我的一位同事曾问我，“你的车停在了哪里?”我告诉他我的车停放的位置。然后，他又问我，你怎么知道车仍在停留在原来的位置，难道有些爱开玩笑的家伙不会将你的车弄到别处吗?此类事情曾经发生在我身上，所以我知道这是可能的。然后，他又问道，“如果一些家伙把你的车移到了一个位置，而另外一些家伙又将你的车移到了原来的位置，你又怎么会知道?”其实，这个问题可以在网络安全领域中出现。你怎么保证期望发生的事情真得会发生呢?广域网的一个问题是：怎样才足够安全呢?一旦数据离开你的网络，你又怎会知道它会发生什么事情?如果不加密的数据离开网络后被人窃取了，这该如何是好?

　　如果你与电信公司的广域网服务工作人员交谈，其VPN的定义将是覆盖网络，由共享架构上的另外一个网络所承载。电信公司对于VPN的定义不同于VPN作为两节点间的认证和加密的第三层隧道这个定义，一个节点即一个网络。电信公司的定义假定电信公司的雇员是值得信任的。后一个定义并不在乎电信公司的雇员是否值得信任。

　　上面关于电话的例子可能有点儿离题，但却能说明问题。但是，电信公司的工作人员总在谈论帧中继或MPLS VPN，如果你认为这些技术是安全的，你就错了。这些技术所涉及的安全，其意义是雇员并不会嗅探通信，并且运用了第二层和第三层的技术对不同的通信进行了分离，还有，电信公司要部署一套过程，以保证不会发生未授权的数据或服务操作。笔者并不是说电信公司不可信，也不是说你未加密的帧中继或MPLS VPN不会被嗅探。这里的意思是你并不能保证你的数据不会被任何人嗅探，因而，在将数据交付WAN之前需要对通信进行加密。

　　这应当成为标准的操作进程，但是我们常听说不同公司的IT管理员将敏感数据通过电信公司所定义的VPN进行传输。PCI(付款卡行业)的数据安全标准等规范使大众理解了网络加密的必要性，但是从IT管理员的观念来看，他们相信电信公司会保护自己的数据流。当然，我们不能想当然地认为电信公司的工作人员不可信任，也不能认为他们会嗅探客户的数据。

　　与购买其它的服务或设备相比，无论是在第三层的VPN还是在第二层进行数据加密，其成本都不太高。加密的性能如今已经到达了较高的水平，网络加密不再成为网络操作的瓶颈或阻碍，当然，提前条件是加密是数据包进入广域网之前的最后过程，是数据包从广域网传输过来的第一步。事实上，即使是IP报头信息(如QoS标记)也可以从加密的数据包被传输到外部的数据包，所以基于电信公司的处理仍可强化。不管你是否管理自己的VPN加密，或是将其外包给某家服务供应商，你都没有理由不对数据加密，无论这些数据是否经过互联网，或是经过电信公司的VPN服务。

　　选择数据加密和保护方案的理想标准应是高可靠性、高吞吐量、低延迟性，只有这样才能有效地保护语音和视频等动态数据。