當不同的遠程網絡通過 Internet 連接時，比如上海和北京的兩個分公司通過Internet 連接時，網絡之間的互訪将會出現一些局限性，如下拓樸所示：

在上圖中，由于上海和北京的兩個分公司内部網絡分别使用了私有 IP 網段10.1.1.0 和 192.168.1.0，而私有 IP 網段是不能傳遞到 Internet 上進行路由的，所以兩個分公司無法直接通過私網地址 10.1.1.0 和 192.168.1.0 互訪，如 R2 無法直接通過訪問私網地址 192.168.1.4 來訪問 R4。在正常情況下，上圖中兩個分公司要互訪，可以在連接 Internet 的邊界路由器上配置 NAT 來将私網地址轉換為公網地址，從而實現兩個私有網絡的互訪。

但是在某些特殊需求下，兩個分公司需要直接通過對方私有地址來訪問對方網絡，而不希望通過 NAT 映射後的地址來訪問，比如銀行的業務系統，某銀行在全國都有分行，而所有的分行都需要訪問總行的業務主機系統，但這些業務主機地址并不希望被 NAT 轉換成公網地址，因為銀行的主機不可能願意暴露在公網之中，所以分行都需要直接通過私網地址訪問總行業務主機；在此類需求的網絡環境中，我們就必須要解決跨越 Internet 的網絡與網絡之間直接通過私有地址互訪的問題。

在上圖的網絡環境中，上海與北京兩個分公司網絡通過路由器直接互連，雖然兩個公司的網絡都是私有網段，但是兩個網絡是直連的，比如上海分公司的數據從本地路由器發出後，數據包直接就丢到了北京分公司的路由器，中間并沒有經過任何第三方網絡和設備，所以兩個分公司直接通過對方私有地址互訪沒有任何問題。由上圖環境可知，隻要兩個網絡直接互連而不經過任何第三方網絡，那麼互連的網絡之間可以通過真實地址互訪，而無論其真實地址是公網還是私網。例如上海與北京這樣的遠距離網絡要直連從而實現直接通過私有地址互訪，要在公司之間自行鋪設網絡電纜或光纖是完全不可能的，可以選擇的替代方法就是向 ISP 申請租用線路，這樣的租用線路稱為專線，專線是 ISP 直接将兩個公司連接起來的線路，完全是公司與公司的路由器直連，用戶不會感覺到 Internet 的存在，所以通過租用 ISP專線連接的網絡之間可以直接通過對方私有地址進行互訪。至于 ISP 的專線是如何實現的，您不必擔憂，通常是使用二層技術實現的，但是專線的租用價格是相當昂貴的，有時是根據距離和帶寬收費的，所以在某些時候，在公司之間通過租用 ISP專線連接的成本可能無法承受，因此，人們嘗試着使用網絡技術讓跨越 Internet 的

網絡模拟出專線連接的效果，這種技術，就是隧道技術（Tunnel），也是當前很常見的 VPN（Virtual Private Network）技術。

如果不能實現隧道功能的 VPN，不能稱為 VPN。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!