VPN简述-VPN完整版（1）

01

第01篇：VPN简述

导读：

★本文旨在努力使用最简单明了的语言与实验向您解述当前最常用的几乎所有类型的VPN，通读本文，您将熟练掌握几乎所有类型VPN的理论与配置。

★本文旨在成为您学习VPN的最佳教材、最佳笔记、最佳实验手册。

本节开始学习VPN，跟着我一起往下看吧。

简述

当不同的远程网络通过Internet连接时，比如上海和北京的两个分公司通过Internet连接时，网络之间的互访将会出现一些局限性，如下拓朴所示：

在上图中，由于上海和北京的两个分公司内部网络分别使用了私有IP网段10.1.1.0和192.168.1.0，而私有IP网段是不能传递到Internet上进行路由的，所以两个分公司无法直接通过私网地址10.1.1.0和192.168.1.0互访，如R2无法直接通过访问私网地址192.168.1.4来访问R4。在正常情况下，上图中两个分公司要互访，可以在连接Internet的边界路由器上配置NAT来将私网地址转换为公网地址，从而实现两个私有网络的互访。

但是在某些特殊需求下，两个分公司需要直接通过对方私有地址来访问对方网络，而不希望通过NAT映射后的地址来访问，比如银行的业务系统，某银行在全国都有分行，而所有的分行都需要访问总行的业务主机系统，但这些业务主机地址并不希望被NAT转换成公网地址，因为银行的主机不可能愿意暴露在公网之中，所以分行都需要直接通过私网地址访问总行业务主机；在此类需求的网络环境中，我们就必须要解决跨越Internet的网络与网络之间直接通过私有地址互访的问题。

请再看如下拓朴的网络环境：

在上图的网络环境中，上海与北京两个分公司网络通过路由器直接互连，虽然两个公司的网络都是私有网段，但是两个网络是直连的，比如上海分公司的数据从本地路由器发出后，数据包直接就丢到了北京分公司的路由器，中间并没有经过任何第三方网络和设备，所以两个分公司直接通过对方私有地址互访没有任何问题。

由上图环境可知，只要两个网络直接互连而不经过任何第三方网络，那么互连的网络之间可以通过真实地址互访，而无论其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访，要在公司之间自行铺设网络电缆或光纤是完全不可能的，可以选择的替代方法就是向ISP申请租用线路，这样的租用线路称为专线，专线是ISP直接将两个公司连接起来的线路，完全是公司与公司的路由器直连，用户不会感觉到Internet的存在，所以通过租用ISP专线连接的网络之间可以直接通过对方私有地址进行互访。至于ISP的专线是如何实现的，您不必担忧，通常是使用二层技术实现的，但是专线的租用价格是相当昂贵的，有时是根据距离和带宽收费的，所以在某些时候，在公司之间通过租用ISP专线连接的成本可能无法承受，因此，人们尝试着使用网络技术让跨越Internet的网络模拟出专线连接的效果，这种技术，就是隧道技术（Tunnel），也是当前很常见的VPN（Virtual Private Network）技术，本文将全力解述VPN技术，需要强烈说明，如果不能实现隧道功能的VPN，不能称为VPN。

好了，本节到此结束，下一节我们将学习隧道技术（Tunnel）