VPRN基本特征在于其数据转发决策基于网络层信息。因此，NSP的网络边缘设备（PE）执行路由功能。VPRN是对广域路由网的模拟，在NSP骨干网，VPRN包括执行路由转发功能的PE路由器，以及连接这些路由器的IP隧道构成的网格。PE对于进入的数据包根据其所属VPN和包的目的IP地址转发到正确的隧道（本地节点去往其他节点）或相应的接口（远端节点到达本地的节点）。PE和PE之间的IP隧道可以是多个VPN之间公用的，也可以是VPN特定的，而且由SP来管理。故大大减轻了用户的维护负担，降低了用户的运行成本。

VPRN可以提供以下优点：① VPN IP地址空间专有问题，不同VPN可以使用相同的IP地址，而且不需要NAT。② 灵活配置VPN拓扑：根据不同的应用需求，可以方便配置不同的VPN内部拓扑。譬如：VPN各节点流量分布均衡，则希望全连接拓扑。如果流量主要分布在总部与分部之间，而各分部之间流量很小，或出于其他考虑（譬如安全因素）需要分部之间流量经总部转发，那么希望Hub-Spoke拓扑。③ 保证不同VPN数据包转发的隔离，VPN内的数据不会泄漏到其他VPN。④ 方便构建企业间互联VPN和适应多种接入模式，企业间互联VPN配置简单而且能有效控制接入权限。可以支持用户节点与提供服务的骨干网的多种连接关系。

VPRN有两种实现方式：BGP/MPLS VPN和虚拟路由器VPN。

BGP/MPLS VPN，MPLS作为骨干网上的隧道机制，使用BGP在VPN内各节点之间交换路由信息。为了支持VPN，对BGP进行了扩展。具体说，通过扩展地址族解决VPN地址空间问题，通过增加一种新的路由属性来防止不同VPN路由信息的隔离，通过为隔离不同VPN的路由转发表实现VPN数据的隔离。

虚拟路由器VPN，其基本思想是在NSP PE路由器上维护若干逻辑独立的VR，VR功能上与实际路由器无异，包括路由维护功能、转发功能、接入控制功能甚至可以配置VR之间的固定带宽的连接。因此，一个VPN就是一系列分布在不同地点的VR，以及连接这些VR的隧道的集合。VPN内路由信息可以通过现有的各种路由协议来维护。

基于网络的VPN结构图

由此可以看出：VR机制概念清晰，用户容易理解，而且便于VPN业务的扩展。但是实现较为困难，尤其是需要支持大量VR时。而BGP/MPLS实现可以直接从现有基础上升级，但概念上则不如VR清晰，而且VPN业务的扩展不方便。