虚拟专用网络和 IPsec

已配置的隧道是点对点接口。使用隧道，可以将一个 IP 包封装到另一个 IP 包中。正确配置的隧道同时要求隧道源和隧道目标。有关更多信息，请参见如何创建和配置 IP 隧道。

隧道可创建明显的 IP physical interface（物理接口）。物理链接的完整性取决于底层安全协议。如果您安全地设置了安全关联 (security association, SA)，则可以信任隧道。退出隧道的包必须源于隧道目标中指定的对等设备。如果此信任存在，则可以使用按接口 IP 转发来创建 virtual private network, VPN（虚拟专用网络）。

您可以对 VPN 添加 IPsec 保护。IPsec 保证连接安全。例如，使用 VPN 技术将办公室与独立网络连接的组织可以添加 IPsec 来保证两个办公室之间的通信安全。

下图说明了两个办公室如何使用其网络系统上部署的 IPsec 来形成 VPN。

图 14-7 虚拟专用网络

有关设置过程的详细示例，请参见如何在隧道模式下使用 IPsec 保护 VPN。