VPN原理



VPN的原理

说到这里，你或许会有疑问：来源及目的端IP 都是Private IP，VPN 如何让这些Private IP 可以在因特网上的路由呢？这就是VPN 最为重要的一个特点，笔者以图8-3 为例来说明VPN 技术是如何让两部Private IP 的主机能够跨越因特网来连接。

从图8-3 中我们可以看到两部VPN Server，且各自都有两块网卡，其中一块连接在因特网，我们假设其IP 分别为A 及B 两个Public IP，另外一块网卡则分别连接至192.168.1.0/24 及192.168.2.0/24 两个Private IP 的网段，接着我们来看看192.168.1.10 主机如何借助VPN 技术跨越因特网来连接192.168.2.20主机。

首先192.168.1.10 主机送封包给192.168.2.20 主机，当这个封包传送至①的位置时，其封包的来源端IP 为192.168.1.10，目的端IP 为192.168.2.20，如图8-4 所示。

 

但是这个封包被送到VPN Server（A）之后②，VPN Server 会把这个封包以特殊的方式来处理，如图8-5 所示，VPN Server 会把原本的整个封包当做其所要传递的数据内容，并且重新产生一个新的IP 包头，而这个新的IP 包头中的来源端IP 为VPN Server（A）上的Public IP A，目的端IP 则为VPNServer（B）上的Public IP B，这样这个封包当然就可以从VPN Server（A）跨越因特网传送到VPN Server（B）。

待VPN Server（B）收到这个封包之后③，其内容应该还是如图8-5 所示，接着VPN Server（B）就执行其该做的事，就是将新的IP 包头整个去除掉，而去除新IP 包头之后的内容就如图8-4 所示，最后VPN Server（B）将这个封包送至192.168.2.0/24 的网段上④，这样两个Private IP 的主机就可以跨越因特网来连接。

接着，请你想象以上这样的原理，像不像是使用A 及B 两个IP 来搭建出一条隧道，然后让192.168.1.10 及192.168.2.20 两部主机所传送的封包得以穿梭于隧道之中，这种逻辑上的技术我们称为Tunnel。而VPN 的隧道技术有很多种方式，一般较常见的有IP in IP Tunnel、L2TP Tunnel 及PPTP Tunnel，目前我们所讨论的是IP in IP Tunnel。