1.2 VPN的兩種連接方式

根據客戶網絡接入方式的不同，VPN技術主要分為站點到站點（Site to Site）連接方式和遠程訪問（Remote Access）連接方式。

1.2.1 站點到站點（Site to Site）

站點到站點連接技術是一種主要的VPN連接方式，主要用于公司重要站點之間的連接。如圖1-1所示，兩個站點采用VPN技術虛擬地連接在一起，使得它們在通信時，就像通過普通網線一樣，可以訪問到對方。站點到站點的VPN技術對于終端用戶而言是透明的，即用戶感覺不到VPN技術的存在，而是覺得相互訪問的站點位于同一個內網。

圖1-1 站點到站點VPN連接示意圖

站點到站點VPN連接技術主要包括下面幾種。

1．GRE

GRE（Generic Routing Encapsulation，通用路由封裝）協議能夠對各種網絡層協議（如IP和IPX）的數據報文進行封裝，被封裝的數據報文能夠在IP網絡中傳輸。GRE采用了Tunnel（隧道）技術，是VPN的三層隧道協議。由于GRE技術與本書重點講解的IPSec技術關系緊密，所以在本書的后續部分會對GRE進行介紹。

2．IPSec VPN

IPsec VPN 是業界標準的網絡安全協議，可以為 IP 網絡通信提供透明的安全服務，保護 TCP/IP 通信免遭竊聽和篡改，從而有效地抵御網絡攻擊。IPSec VPN 在網絡的靈活性、安全性、經濟性、擴展性等方面極具優勢，因此越來越受到企業用戶的青睞。本書將會在后文中詳細介紹IPSec VPN 技術。

3．MPLS VPN

MPLS VPN 是指采用MPLS 技術在寬帶IP 的骨干網絡上構建企業IP 專網，以實現跨地域、安全、高速、可靠的數據、語音、圖像等多業務通信。MPLS VPN 結合區分服務、流量工程等相關技術，將公共網絡可靠的性能，良好的擴展性，豐富的功能與專用網的安全、靈活、高效地結合在了一起，可以為用戶提供高質量的服務。MPLS VPN 已經超出了本書的范圍，感興趣的讀者可以參閱人民郵電出版社出版的《MPLS和VPN體系結構》（第1卷、第2卷）等圖書。

1.2.2 遠程訪問（Remote Access）

站點到站點VPN連接技術只能滿足公司站點之間的連接，也就是說客戶必須要在公司內部才能使用這種技術來連接其他站點。如果客戶出差在外，希望在一個提供Internet連接的咖啡館、飛機場或者酒店連接到公司內部，站點到站點VPN連接技術就不再適用了。在這種場合下，需要用到遠程訪問VPN連接技術。遠程訪問VPN一般需要預先在客戶計算機上安裝VPN客戶端（客戶端依據具體采用的實現技術，而有所不同），并且通過這個客戶端撥號到公司VPN網關。如果撥號成功，客戶就像通過一根網線虛擬地連接到公司VPN網關，然后獲取公司內部網絡的一個地址，并且使用這個地址來訪問公司的內部服務器，如圖1-2所示。

圖1-2 遠程訪問VPN示意圖

遠程訪問VPN連接技術有如下幾種。

1．IPSec VPN

IPSec VPN 是一種全面的技術，它不僅適用于站點到站點VPN 連接方式，也能夠部署遠程訪問VPN。我們將在本書的第8章和第9章詳細介紹在Cisco路由器和ASA上的IPSec遠程訪問VPN。

2．VPDN

VPDN（Virtual Private Dial-up Networks，虛擬私有撥號網絡）是VPN 業務的一種，具體包含的技術包括PPTP、L2TP和PPPoE等，是基于撥號用戶的虛擬專用撥號網業務。即用戶以撥號接入方式連網，并通過CDMA 1x 分組網絡傳輸數據時，VPDN會對傳輸的數據進行封裝和加密，從而保障了傳輸數據的私密性，并使VPN達到私有網絡的安全級別。VPDN是利用IP網絡的承載功能結合相應的認證和授權機制建立起來的一種安全的虛擬專用網，是一種比較傳統的VPN技術。VPDN技術已經超出了本書的內容，本書并不對此技術進行詳細介紹。

3．SSL VPN

SSL VPN 指的是基于安全套接層（Security Socket Layer，SSL）協議建立遠程安全訪問通道的VPN技術。它是近年來興起的VPN技術，其應用隨著Web的普及和電子商務、遠程辦公的興起而迅速發展。SSLVPN 技術已經超出了本書的內容，本書并不對此技術進行詳細介紹。