构建一个虚拟专用网

采用传统的广域网建立跨地区的企业专网，往往需要租用昂贵的数字专线。能否找到一个既安全又廉价的实现办法呢？

　　虚拟专用网（VPN）

　　VPN是通过因特网上将局域网扩展到远程网络和远程计算机用户的一种成本效益极佳的办法。它最大的优点在于异地子网间的通信就象在一个子网内一样安全，虚拟专用网络由此而得名。

　　VPN的三个基本要素

　　1. IP封装

　　VPN系统的第一个基本要素是使用IP封装。若一个IP包包含其他IP包时，就称为IP封装。IP封装可以使两个实际上分离的网络计算机看上去像比邻的——相互之间只是由一个路由器分开，但是它们是通过许多网络路由器和网关分开的，这些路由器和网关也可能不用同一个地址空间。

　　例如，若有两个使用PPTP（Point-to-Point Tunneling Protocol）的RAS（Remote Access Service）服务器连接的IP网络，一个局域网的网络地址是10.1.1，另一个是10.1.2。每个网络上的RAS服务器都提供到Internet的连接。一个RAS服务器有一个局域网的IP地址10.1.1.1和一个ISP分配的因特网地址250.121.13.12，而另一个RAS服务器的局域网地址是10.1.2.1，ISP分配的因特网地址是110.121.112.34。这时若10.1.1网络中的一个计算机，假设为10.1.1.23，需向10.1.2网络中的一个计算机，假设为10.1.2.99，发送一个IP包。其通信过程为：

　　1) 发送方的计算机首先注意到，目标地址10.1.2.99的网络部分与它自己的网络地址不匹配。

　　2) 发送方不将包直接发送给目标地址，而是将包发送给自己子网缺省的网关地址10.1.1.1。

　　3) 这个10.1.1网络上的RAS服务器读这个包。

　　4) 网络10.1.1上的RAS服务器判断出这个包应被放到10.1.2网络的子网上。