VPN在表面上是一种联网的方式，比起专线网络来，它具有许多优点。在VPN中，通过采用一种所谓"隧道"的技术，可以通过公共网络传送数据分组，例如Internet网或其他商业性网络。
　　　　这里，专有的"隧道"类似于点到点的连接。这种方式能够使得来自许多源的网络流量从同一个基础设施中通过分开的隧道。这种隧道技术使用点对点通信代替了连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间任何地点访问企业网络。
　　　　通过TUNNEL的建立，可实现以下功能：
　　　　　　●将数据流量强制到特定的目的地
　　　　　　●隐藏私有的网络地址
　　　　　　●在IP网上传输非IP数据包
　　　　　　●提供数据支持
　　　　　　●协助完成用户基于AAA的管理。
　　　　在方面可提供数据包认证、数据加密以及密钥管理等手段。
　　　　拨号VPNs使用隧道技术远程访问把用户数据打包进IP信息包中，这些信息包通过电信服务提供商网络传递，在Internet里，则需要穿过不同的网络，最后到达隧道终点，然后数据拆包，转发成最初的形式。VPN允许网络的转换，还允许对来自许多源的流量进行区别，这样可以指定特定的目的地，接受指定级别的服务。公司网进行远程访问通信，从电路的，长距离的本地电信服务提供商到ISPs和Internet需要采用隧道技术。隧道技术使用点对点通信协议，代替了交换连接，通过路由网络来连接数据地址。这代替了电话交换网络使用的电话号码连接。隧道技术允许授权移动用户或已授权的用户再任何时间任何地点访问企业网络。应用授权技术，隧道技术也禁止未授权的访问。
　　　　下面是一个隧道包典型设计：
　　　　要形成隧道，基本的要素有以下几项：
　　　　　　●隧道开通器（TI）
　　　　　　●有路由能力的公用网络
　　　　　　●一个或多个隧道终止器（TT）
　　　　　　●必要时增加一个隧道交换机以增加灵活性
　　　　隧道开通器的任务是在公用网中开出一条隧道。有多种和软件可完成此项任务，例如：（1）配有模拟式调制解调器PC卡和VPN型拨号软件的最终用户膝上型计算机；（2）分支机构的LAN或家庭办公室LAN中的有VPN功能的Extranet路由器；（3）网络服务提供商站点中的有VPN能力的访问集中器。
　　　　隧道终止器的任务是使隧道到此终止，不再继续向前延伸。也有多种和软件可完成此项任务，例如：（1）专门的隧道终止器；（2）企业网络中的隧道交换机；（3）NSP网络的Extranet路由器上的VPN网关。
　　　　VPN网络中通常还有一个或多个安全。安全服务器除提供和地址转换功能之外，还通过与隧道设备的通信来提供加密、身份查验和授权功能。它们通常也提供各种信息，如带宽、隧道端点、网络策略和服务等级。
　　　　通过软件或模块升级，现有的网络设备就可以增加VPN能力。一个有VPN能力的设备可以承担多项VPN应用。
　　　　现在已经有许多Internet(IETF)的建议，都是关于隧道技术如何应用的。其中包括点对点隧道协议(PPTP)、第二层转发（L2F）、第二层隧道协议（L2TP）、虚拟隧道协议（VTP）和移动IP。由于得到了不同网络厂商的支持，建议的标准定义了远程设备如何能以简单安全的方式访问公司网络和Internet。
　　　　隧道技术非常有用：
　　　　　　●首先，一个IP隧道可以调整任何形式的有效负载，使用桌面或便携式计算机的用户能够透明地拨号上网来访问他们公司的IP、IPX或AppleTalk网络。
　　　　　　●第二，隧道能够同时调整多个用户或多个不同形式的有效负载。这可以利用封装技术来实现。例如IETF RFC1701定义的一般路由封装。
　　　　　　●第三，使用隧道技术访问公司网时，公司网不会向Internet报告它的IP网络地址。
　　　　　　●第四，隧道技术允许接受者滤掉或报告个人的隧道连接。
--------------------next---------------------