VPN技術(shù)的詳細(xì)資料簡介

當(dāng)不同的遠(yuǎn)程網(wǎng)絡(luò)通過 Internet 連接時，比如上海和北京的兩個分公司通過Internet 連接時，網(wǎng)絡(luò)之間的互訪將會出現(xiàn)一些局限性，如下拓樸所示：

在上圖中，由于上海和北京的兩個分公司內(nèi)部網(wǎng)絡(luò)分別使用了私有 IP 網(wǎng)段10.1.1.0 和 192.168.1.0，而私有 IP 網(wǎng)段是不能傳遞到 Internet 上進行路由的，所以兩個分公司無法直接通過私網(wǎng)地址 10.1.1.0 和 192.168.1.0 互訪，如 R2 無法直接通過訪問私網(wǎng)地址 192.168.1.4 來訪問 R4。在正常情況下，上圖中兩個分公司要互訪，可以在連接 Internet 的邊界路由器上配置 NAT 來將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，從而實現(xiàn)兩個私有網(wǎng)絡(luò)的互訪。

但是在某些特殊需求下，兩個分公司需要直接通過對方私有地址來訪問對方網(wǎng)絡(luò)，而不希望通過 NAT 映射后的地址來訪問，比如銀行的業(yè)務(wù)系統(tǒng)，某銀行在全國都有分行，而所有的分行都需要訪問總行的業(yè)務(wù)主機系統(tǒng)，但這些業(yè)務(wù)主機地址并不希望被 NAT 轉(zhuǎn)換成公網(wǎng)地址，因為銀行的主機不可能愿意暴露在公網(wǎng)之中，所以分行都需要直接通過私網(wǎng)地址訪問總行業(yè)務(wù)主機；在此類需求的網(wǎng)絡(luò)環(huán)境中，我們就必須要解決跨越 Internet 的網(wǎng)絡(luò)與網(wǎng)絡(luò)之間直接通過私有地址互訪的問題。

在上圖的網(wǎng)絡(luò)環(huán)境中，上海與北京兩個分公司網(wǎng)絡(luò)通過路由器直接互連，雖然兩個公司的網(wǎng)絡(luò)都是私有網(wǎng)段，但是兩個網(wǎng)絡(luò)是直連的，比如上海分公司的數(shù)據(jù)從本地路由器發(fā)出后，數(shù)據(jù)包直接就丟到了北京分公司的路由器，中間并沒有經(jīng)過任何第三方網(wǎng)絡(luò)和設(shè)備，所以兩個分公司直接通過對方私有地址互訪沒有任何問題。由上圖環(huán)境可知，只要兩個網(wǎng)絡(luò)直接互連而不經(jīng)過任何第三方網(wǎng)絡(luò)，那么互連的網(wǎng)絡(luò)之間可以通過真實地址互訪，而無論其真實地址是公網(wǎng)還是私網(wǎng)。例如上海與北京這樣的遠(yuǎn)距離網(wǎng)絡(luò)要直連從而實現(xiàn)直接通過私有地址互訪，要在公司之間自行鋪設(shè)網(wǎng)絡(luò)電纜或光纖是完全不可能的，可以選擇的替代方法就是向 ISP 申請租用線路，這樣的租用線路稱為專線，專線是 ISP 直接將兩個公司連接起來的線路，完全是公司與公司的路由器直連，用戶不會感覺到 Internet 的存在，所以通過租用 ISP專線連接的網(wǎng)絡(luò)之間可以直接通過對方私有地址進行互訪。至于 ISP 的專線是如何實現(xiàn)的，您不必?fù)?dān)憂，通常是使用二層技術(shù)實現(xiàn)的，但是專線的租用價格是相當(dāng)昂貴的，有時是根據(jù)距離和帶寬收費的，所以在某些時候，在公司之間通過租用 ISP專線連接的成本可能無法承受，因此，人們嘗試著使用網(wǎng)絡(luò)技術(shù)讓跨越 Internet 的

網(wǎng)絡(luò)模擬出專線連接的效果，這種技術(shù)，就是隧道技術(shù)（Tunnel），也是當(dāng)前很常見的 VPN（Virtual Private Network）技術(shù)。

如果不能實現(xiàn)隧道功能的 VPN，不能稱為 VPN。