VPN技术介绍

当不同的远程网络通过 Internet 连接时，比如上海和北京的两个分公司通过Internet 连接时，网络之间的互访将会出现一些局限性，如下拓朴所示：

在上图中，由于上海和北京的两个分公司内部网络分别使用了私有 IP 网段10.1.1.0 和 192.168.1.0，而私有 IP 网段是不能传递到 Internet 上进行路由的，所以两个分公司无法直接通过私网地址 10.1.1.0 和 192.168.1.0 互访，如 R2 无法直接通过访问私网地址 192.168.1.4 来访问 R4。在正常情况下，上图中两个分公司要互访，可以在连接 Internet 的边界路由器上配置 NAT 来将私网地址转换为公网地址，从而实现两个私有网络的互访。

但是在某些特殊需求下，两个分公司需要直接通过对方私有地址来访问对方网络，而不希望通过 NAT 映射后的地址来访问，比如银行的业务系统，某银行在全国都有分行，而所有的分行都需要访问总行的业务主机系统，但这些业务主机地址并不希望被 NAT 转换成公网地址，因为银行的主机不可能愿意暴露在公网之中，所以分行都需要直接通过私网地址访问总行业务主机；在此类需求的网络环境中，我们就必须要解决跨越 Internet 的网络与网络之间直接通过私有地址互访的问题。

在上图的网络环境中，上海与北京两个分公司网络通过路由器直接互连，虽然两个公司的网络都是私有网段，但是两个网络是直连的，比如上海分公司的数据从本地路由器发出后，数据包直接就丢到了北京分公司的路由器，中间并没有经过任何第三方网络和设备，所以两个分公司直接通过对方私有地址互访没有任何问题。由上图环境可知，只要两个网络直接互连而不经过任何第三方网络，那么互连的网络之间可以通过真实地址互访，而无论其真实地址是公网还是私网。例如上海与北京这样的远距离网络要直连从而实现直接通过私有地址互访，要在公司之间自行铺设网络电缆或光纤是完全不可能的，可以选择的替代方法就是向 ISP 申请租用线路，这样的租用线路称为专线，专线是 ISP 直接将两个公司连接起来的线路，完全是公司与公司的路由器直连，用户不会感觉到 Internet 的存在，所以通过租用 ISP专线连接的网络之间可以直接通过对方私有地址进行互访。至于 ISP 的专线是如何实现的，您不必担忧，通常是使用二层技术实现的，但是专线的租用价格是相当昂贵的，有时是根据距离和带宽收费的，所以在某些时候，在公司之间通过租用 ISP专线连接的成本可能无法承受，因此，人们尝试着使用网络技术让跨越 Internet 的

网络模拟出专线连接的效果，这种技术，就是隧道技术（Tunnel），也是当前很常见的 VPN（Virtual Private Network）技术。

如果不能实现隧道功能的 VPN，不能称为 VPN。