不幸的是，OSI 第 4 层之上的协议，例如 HTTPS，在这里是题外话，主机/服务器配置也是如此，代理是一种应用程序，在这里也通常是题外话。

从这里的主题的角度来看，VPN 实际上只是一个隧道，通常对有效负载进行加密。隧道的想法很简单，您将数据包包裹在其他数据包标头中，外部数据包标头是路由到隧道另一端的内容，在那里它们会从内部数据包中剥离。隧道是一条虚拟链路，对于内部数据包，隧道看起来像一个单跳。这也减少了内部数据包的 MTU，可能需要分段以适应隧道。

VPN 通常在路由器或防火墙之间创建，以便私下连接网络。在网络设备上，您为隧道创建一个虚拟接口，该接口使用真实接口将包装的数据包发送到目标网络设备，在那里数据包被解开并可能被解密。您可以像路由真实接口一样将数据包路由到虚拟接口，并且 VPN 会处理将数据包送到隧道目的地。

对于所涉及的网络来说，隧道就像是两个网络之间的直接链接，可以绕过内部数据包的整个NAT问题，使网络看起来像是直接相连。

基本上，VPN 将网络隧道与加密结合使用。

隧道将实际（内部）数据包“包装”到传输（外部）数据包中。外部数据包负责将内部数据包（作为未触及的有效载荷）从隧道一端传输到另一端。退出时，外部数据包被移除，原始数据包被恢复并正常继续。

这样您就可以通过不兼容的网络连接两个网络，无论它是使用另一种编号方案（私有与公共）还是完全不同的协议。几年前，我们曾经在 IPv4 Internet 上使用隧道传输 Novell IPX。此外，当与 IPsec 一起使用时，IPX 需要额外的 PPTP 隧道。

加密可确保您的虚拟网络连接保持私密 - 无监听，无篡改。

网络隧道是在网络层实现的。它对上面的所有协议层，甚至对网络层本身都是透明的。

相比之下，代理是在应用层（或者有时是传输层）上实现的。它需要能够处理应用程序协议，并且通常只对通信的一侧透明。

关键：商业 VPN 与普通用户 VPN 有某种不同

过去，想要连接其分支机构的公司需要支付大量资金从 ISP 租用线路。也就是说，一条专线只是连接分支的两端。没有其他人在使用那根光缆，它有两个连接分支的末端。这是私人网络。字面上地。

现在有人想，如果我们提供一条虚拟专线就不会很好了。？也就是说，不存在物理线路。公司使用与其他任何人相同的基础设施（ISP 电缆和网络）。但通过加密和认证技术，它仍然是私有的。你看，如果你加密你的流量并对其进行身份验证，那么除了预期的人之外没有人可以访问它。您基本上创建了一条租用线路。

这很好，现在公司不必为租用线路付费。但是他们得到了一条“模拟”的租用线路，即 VPN。便宜得多，功能相同。

如您所见，这里没有服务器。你在谈论的是一种叫做代理 VPN 的东西。因此，您想访问您所在国家/地区的这个被阻止的站点。如果您所在国家/地区以外的服务器为您访问了它怎么办。然后创建一个通向您的 PC 的 VPN 隧道以将其交付给您。（请记住，VPN 用作租用线路，因此假设该服务器将为您提供一条专用线路。但它是一个 VPN）。您将能够成功访问该站点，因为您的服务器提供商会看到您从该服务器获取流量，但无法看到该流量中的内容。

现在 HTTPS 使用 SSL，这是一种加密方式。您的 ISP 看不到发送的确切信息。但它可以看到您正在访问 youtube 或某些被阻止的网站并阻止您的访问。

请注意，ISP 使用 LI（合法检查）手段来检查您的流量。