隨著互聯(lián)網(wǎng)的廣泛應用，企業(yè)分支機構的聯(lián)網(wǎng)應用也越來越多。但是，租用專線的費用是很多中小企業(yè)無法承受的。通過使用本文中介紹的VPN技術，可以輕易構建企業(yè)之間的聯(lián)網(wǎng)應用。
　　VPN，全稱“虛擬專用網(wǎng)”。這是相對于實際的專有網(wǎng)絡而言的。實際的專有網(wǎng)絡比如銀行，政府機構，大型企業(yè)等等。通過租用專有的線路進行互聯(lián)。而VPN是通過公共互聯(lián)網(wǎng)傳播私有數(shù)據(jù)的一種技術。這種技術通常使用在如下的網(wǎng)絡：
　　　
　　圖 一 VPN網(wǎng)絡示例
　　
　　下面首先簡單介紹一下各種VPN技術和各自長短。
　　GRE：通用路由封裝技術。這種技術是在IP數(shù)據(jù)包的外面再加上一個IP頭。通俗的說，就是把私有數(shù)據(jù)進行一下偽裝，加上一個“外套”，傳送到其他地方。因為企業(yè)私有網(wǎng)絡的IP地址通常是自己規(guī)劃，無法和外部互聯(lián)網(wǎng)進行正確的路由。而在企業(yè)網(wǎng)絡的出口，通常會有一個互聯(lián)網(wǎng)唯一的IP地址。這個地址可以在互聯(lián)網(wǎng)中唯一識別出來。GRE就是把目的IP地址和源地址為企業(yè)內部地址的數(shù)據(jù)報文進行封裝，加上一個目的地址為遠端機構互聯(lián)網(wǎng)出口的IP地址，源地址為本地互聯(lián)網(wǎng)出口的IP地址的IP頭，從而經(jīng)過通過互聯(lián)網(wǎng)進行正確的傳輸。這種技術是最簡單的VPN技術。
　　L2tp ：全稱二層隧道傳輸協(xié)議。這是一種在特定鏈路層實現(xiàn)的VPN技術。具體是把二層協(xié)議PPP的報文封裝在IP 報文中，進行傳輸。這種技術主要是提供了企業(yè)員工出差在外通過撥號網(wǎng)絡直接訪問企業(yè)內部網(wǎng)絡的方式。在Windows2000中，也提供了這項功能。但是，用戶要使用這種技術，必需ISP提供支持。
　　IPsec： 網(wǎng)絡安全協(xié)議。這個協(xié)議提供了互聯(lián)網(wǎng)的驗證，加密等功能，實現(xiàn)了數(shù)據(jù)的安全傳輸。同時，可以使用這種協(xié)議構建VPN網(wǎng)絡。原理也是對IP包進行封裝（可以提供多種方式），并且進行加密，然后在互聯(lián)網(wǎng)中進行傳輸。與前面兩種相比，這種技術提供了更好的安全性。但是，協(xié)議的復雜性導致了處理Ipsec 的網(wǎng)絡設備（如路由器）需要占用大量的資源，效率較低。如果使用專門的加密硬件，又會增加成本。
　　其他還有一些最新的技術，如MPLS VPN，但是都需要ISP提供相應的服務。
　　下面，以目前互聯(lián)網(wǎng)現(xiàn)狀最簡單，成本最低，最有效的VPN技術——GRE為例，說明如何實際的構造中小企業(yè)的VPN網(wǎng)絡。
　　現(xiàn)在，許多中小企業(yè)都有一個互聯(lián)網(wǎng)出口供上網(wǎng)，查找資料，處理郵件等。所使用的技術差不多都是NAT——網(wǎng)絡地址轉換。雖然，這種技術可以讓內部網(wǎng)絡訪問互聯(lián)網(wǎng)，卻不能訪問其他的內部網(wǎng)絡。
　　如下圖，公司的兩個機構原來都使用NAT訪問互聯(lián)網(wǎng)。上網(wǎng)路由器可以通過ISDN，普通撥號電話線，衛(wèi)星專項等上網(wǎng)。如果原來是使用Linux或者Windows網(wǎng)關上網(wǎng)，要實現(xiàn)下面的功能，必須購買路由器（目前國產的地端路由器不過幾千元）。
　　
　　分支A和分支B都有一個上網(wǎng)使用的公共IP地址。分支A的內部網(wǎng)段為 172.17.1.0/24 ，分支B內部網(wǎng)段為 172.17.20/24。現(xiàn)在需要實現(xiàn)分支A的計算機能訪問分支B的服務器Server B，分支B機能訪問分支A的服務器Server A。為了實現(xiàn)這個目的，我們需要在Router A 和Router B上進行相應的配置，其他一切不變。
　　在Router A上：
　　1 配置一個虛接口（邏輯的接口，不是實際的物理接口），配置IP地址，本例中為172.17.10.1/24。
　　2 然后配置通道的目的地址——193.64.2.1，配置通道的源地址——202.38.1.1。
　　3 配置路由：到網(wǎng)段172.17.2.0 255.255.255.0 的下一跳為172.17.10.2。
　　
　　在Router B上：
　　1同樣配置一個虛接口，配置IP地址——172.17.10.2/24。
　　2然后配置通道的目的地址——202.38.1.1，配置通道的源地址——193.64.2.1。
　　3 配置路由：到網(wǎng)段172.17.1.0 255.255.255.0 的下一跳為172.17.10.1。
　　
　　配置完成以后，從Router A如果可以ping 通 Router B 上的地址172.17.10.2，就大功告成了。分支A 和分支 B上就可以進行如專線一樣的聯(lián)網(wǎng)應用了。