虚拟专用网络和 IPsec

已配置的隧道是点对点接口。使用隧道，可以将一个 IP 包封装到另一个 IP 包中。正确配置的隧道同时要求隧道源和隧道目标。有关更多信息，请参见 tun(7M) 手册页和针对 IPv6 支持配置隧道。

隧道可创建明显的 IP physical interface（物理接口）。物理链接的完整性取决于基础安全协议。如果您安全地设置了安全关联 (security association, SA)，则可以信任隧道。退出隧道的包必须源于隧道目标中指定的对等设备。如果此信任存在，则可以使用按接口 IP 转发来创建 virtual private network, VPN（虚拟专用网络）。

您可以使用 IPsec 来构造 VPN。IPsec 保证连接安全。例如，使用 VPN 技术将办公室与独立网络连接的组织可以部署 IPsec 来保证两个办公室之间的通信安全。

下图说明了两个办公室如何使用 Internet 来形成其网络系统上部署有 IPsec 的 VPN。

图 19–7 虚拟专用网络

有关设置过程的详细示例，请参见如何使用通过 IPv4 实现的处于隧道模式的 IPsec 隧道保护 VPN。

有关使用 IPv6 地址的类似示例，请参见如何使用通过 Ipv6 实现的处于隧道模式的 IPsec 隧道保护 VPN。