1.2 VPN的两种连接方式

根据客户网络接入方式的不同，VPN技术主要分为站点到站点（Site to Site）连接方式和远程访问（Remote Access）连接方式。

1.2.1 站点到站点（Site to Site）

站点到站点连接技术是一种主要的VPN连接方式，主要用于公司重要站点之间的连接。如图1-1所示，两个站点采用VPN技术虚拟地连接在一起，使得它们在通信时，就像通过普通网线一样，可以访问到对方。站点到站点的VPN技术对于终端用户而言是透明的，即用户感觉不到VPN技术的存在，而是觉得相互访问的站点位于同一个内网。

图1-1 站点到站点VPN连接示意图

站点到站点VPN连接技术主要包括下面几种。

1．GRE

GRE（Generic Routing Encapsulation，通用路由封装）协议能够对各种网络层协议（如IP和IPX）的数据报文进行封装，被封装的数据报文能够在IP网络中传输。GRE采用了Tunnel（隧道）技术，是VPN的三层隧道协议。由于GRE技术与本书重点讲解的IPSec技术关系紧密，所以在本书的后续部分会对GRE进行介绍。

2．IPSec VPN

IPsec VPN 是业界标准的网络安全协议，可以为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，从而有效地抵御网络攻击。IPSec VPN 在网络的灵活性、安全性、经济性、扩展性等方面极具优势，因此越来越受到企业用户的青睐。本书将会在后文中详细介绍IPSec VPN 技术。

3．MPLS VPN

MPLS VPN 是指采用MPLS 技术在宽带IP 的骨干网络上构建企业IP 专网，以实现跨地域、安全、高速、可靠的数据、语音、图像等多业务通信。MPLS VPN 结合区分服务、流量工程等相关技术，将公共网络可靠的性能，良好的扩展性，丰富的功能与专用网的安全、灵活、高效地结合在了一起，可以为用户提供高质量的服务。MPLS VPN 已经超出了本书的范围，感兴趣的读者可以参阅人民邮电出版社出版的《MPLS和VPN体系结构》（第1卷、第2卷）等图书。

1.2.2 远程访问（Remote Access）

站点到站点VPN连接技术只能满足公司站点之间的连接，也就是说客户必须要在公司内部才能使用这种技术来连接其他站点。如果客户出差在外，希望在一个提供Internet连接的咖啡馆、飞机场或者酒店连接到公司内部，站点到站点VPN连接技术就不再适用了。在这种场合下，需要用到远程访问VPN连接技术。远程访问VPN一般需要预先在客户计算机上安装VPN客户端（客户端依据具体采用的实现技术，而有所不同），并且通过这个客户端拨号到公司VPN网关。如果拨号成功，客户就像通过一根网线虚拟地连接到公司VPN网关，然后获取公司内部网络的一个地址，并且使用这个地址来访问公司的内部服务器，如图1-2所示。

图1-2 远程访问VPN示意图

远程访问VPN连接技术有如下几种。

1．IPSec VPN

IPSec VPN 是一种全面的技术，它不仅适用于站点到站点VPN 连接方式，也能够部署远程访问VPN。我们将在本书的第8章和第9章详细介绍在Cisco路由器和ASA上的IPSec远程访问VPN。

2．VPDN

VPDN（Virtual Private Dial-up Networks，虚拟私有拨号网络）是VPN 业务的一种，具体包含的技术包括PPTP、L2TP和PPPoE等，是基于拨号用户的虚拟专用拨号网业务。即用户以拨号接入方式连网，并通过CDMA 1x 分组网络传输数据时，VPDN会对传输的数据进行封装和加密，从而保障了传输数据的私密性，并使VPN达到私有网络的安全级别。VPDN是利用IP网络的承载功能结合相应的认证和授权机制建立起来的一种安全的虚拟专用网，是一种比较传统的VPN技术。VPDN技术已经超出了本书的内容，本书并不对此技术进行详细介绍。

3．SSL VPN

SSL VPN 指的是基于安全套接层（Security Socket Layer，SSL）协议建立远程安全访问通道的VPN技术。它是近年来兴起的VPN技术，其应用随着Web的普及和电子商务、远程办公的兴起而迅速发展。SSLVPN 技术已经超出了本书的内容，本书并不对此技术进行详细介绍。