VPN利用的承载网络是Internet，而Internet的网络环境是一个大而复杂的网络，与普通专线网络的组网有一定区别。如果要让VPN成为可运营的解决方案，要解决下面五个问题：

    1 解决的是动态地址分配问题，运营商可以利用DHCP Over IPSec 的技术为企业客户提供IP地址和网络规划的服务。

    2 解决NAT穿越的问题，现在很多企业的MIS系统不能很好地拓展到全国或者全球，就是因为不能很好解决NAT之后本地地址与远端地址不通的问题，所以，利用IPSec VPN 就必须使用国家标准的NAT穿越技术，运营商才能帮助企业解决双向NAT穿越的问题，而不会在运营过程中面临兼容性问题。

    3 解决隧道路由技术的支持，企业网络的环境很可能不是单纯的星形网络，必须要有路由技术的支撑，才能适应不同用户的需求。

    4 提供对隧道QoS的支持，能够提供基于隧道QoS的保证，能够为企业关键数据提供保护，为运营商提供多样性的业务保证。

    5 动态IP地址情况下的隧道建立，企业用户的IP地址很可能是ADSL动态分配的，所以使用普通IP地址为目标的隧道建立方法不能被运营，因此运营商可以提供DDNS来保证动态IP地址的隧道建立。

　　 一个可运营的IPSec VPN解决方案包含的层次