VPN技術(shù)的詳細(xì)資料簡(jiǎn)介

當(dāng)不同的遠(yuǎn)程網(wǎng)絡(luò)通過(guò) Internet 連接時(shí)，比如上海和北京的兩個(gè)分公司通過(guò)Internet 連接時(shí)，網(wǎng)絡(luò)之間的互訪將會(huì)出現(xiàn)一些局限性，如下拓樸所示：

在上圖中，由于上海和北京的兩個(gè)分公司內(nèi)部網(wǎng)絡(luò)分別使用了私有 IP 網(wǎng)段10.1.1.0 和 192.168.1.0，而私有 IP 網(wǎng)段是不能傳遞到 Internet 上進(jìn)行路由的，所以?xún)蓚€(gè)分公司無(wú)法直接通過(guò)私網(wǎng)地址 10.1.1.0 和 192.168.1.0 互訪，如 R2 無(wú)法直接通過(guò)訪問(wèn)私網(wǎng)地址 192.168.1.4 來(lái)訪問(wèn) R4。在正常情況下，上圖中兩個(gè)分公司要互訪，可以在連接 Internet 的邊界路由器上配置 NAT 來(lái)將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，從而實(shí)現(xiàn)兩個(gè)私有網(wǎng)絡(luò)的互訪。

但是在某些特殊需求下，兩個(gè)分公司需要直接通過(guò)對(duì)方私有地址來(lái)訪問(wèn)對(duì)方網(wǎng)絡(luò)，而不希望通過(guò) NAT 映射后的地址來(lái)訪問(wèn)，比如銀行的業(yè)務(wù)系統(tǒng)，某銀行在全國(guó)都有分行，而所有的分行都需要訪問(wèn)總行的業(yè)務(wù)主機(jī)系統(tǒng)，但這些業(yè)務(wù)主機(jī)地址并不希望被 NAT 轉(zhuǎn)換成公網(wǎng)地址，因?yàn)殂y行的主機(jī)不可能愿意暴露在公網(wǎng)之中，所以分行都需要直接通過(guò)私網(wǎng)地址訪問(wèn)總行業(yè)務(wù)主機(jī)；在此類(lèi)需求的網(wǎng)絡(luò)環(huán)境中，我們就必須要解決跨越 Internet 的網(wǎng)絡(luò)與網(wǎng)絡(luò)之間直接通過(guò)私有地址互訪的問(wèn)題。

在上圖的網(wǎng)絡(luò)環(huán)境中，上海與北京兩個(gè)分公司網(wǎng)絡(luò)通過(guò)路由器直接互連，雖然兩個(gè)公司的網(wǎng)絡(luò)都是私有網(wǎng)段，但是兩個(gè)網(wǎng)絡(luò)是直連的，比如上海分公司的數(shù)據(jù)從本地路由器發(fā)出后，數(shù)據(jù)包直接就丟到了北京分公司的路由器，中間并沒(méi)有經(jīng)過(guò)任何第三方網(wǎng)絡(luò)和設(shè)備，所以?xún)蓚€(gè)分公司直接通過(guò)對(duì)方私有地址互訪沒(méi)有任何問(wèn)題。由上圖環(huán)境可知，只要兩個(gè)網(wǎng)絡(luò)直接互連而不經(jīng)過(guò)任何第三方網(wǎng)絡(luò)，那么互連的網(wǎng)絡(luò)之間可以通過(guò)真實(shí)地址互訪，而無(wú)論其真實(shí)地址是公網(wǎng)還是私網(wǎng)。例如上海與北京這樣的遠(yuǎn)距離網(wǎng)絡(luò)要直連從而實(shí)現(xiàn)直接通過(guò)私有地址互訪，要在公司之間自行鋪設(shè)網(wǎng)絡(luò)電纜或光纖是完全不可能的，可以選擇的替代方法就是向 ISP 申請(qǐng)租用線路，這樣的租用線路稱(chēng)為專(zhuān)線，專(zhuān)線是 ISP 直接將兩個(gè)公司連接起來(lái)的線路，完全是公司與公司的路由器直連，用戶(hù)不會(huì)感覺(jué)到 Internet 的存在，所以通過(guò)租用 ISP專(zhuān)線連接的網(wǎng)絡(luò)之間可以直接通過(guò)對(duì)方私有地址進(jìn)行互訪。至于 ISP 的專(zhuān)線是如何實(shí)現(xiàn)的，您不必?fù)?dān)憂(yōu)，通常是使用二層技術(shù)實(shí)現(xiàn)的，但是專(zhuān)線的租用價(jià)格是相當(dāng)昂貴的，有時(shí)是根據(jù)距離和帶寬收費(fèi)的，所以在某些時(shí)候，在公司之間通過(guò)租用 ISP專(zhuān)線連接的成本可能無(wú)法承受，因此，人們嘗試著使用網(wǎng)絡(luò)技術(shù)讓跨越 Internet 的

網(wǎng)絡(luò)模擬出專(zhuān)線連接的效果，這種技術(shù)，就是隧道技術(shù)（Tunnel），也是當(dāng)前很常見(jiàn)的 VPN（Virtual Private Network）技術(shù)。

如果不能實(shí)現(xiàn)隧道功能的 VPN，不能稱(chēng)為 VPN。