虚拟专用网络和 IPsec

术语 virtual private network, VPN（虚拟专用网络）通常用于描述建立在公共网络（例如 Internet）基础上的专用、安全的点对点网络。点对点网络（或 VPN）可用于将专用网络上的系统或专用网络上的系统网络连接在一起。

已配置的 tunnel（隧道）是点对点接口。使用隧道，可以将一个 IP 包封装到另一个 IP 包中。正确配置的隧道同时要求隧道源和隧道目标。有关更多信息，请参见在 Oracle Solaris 11.2 中管理 TCP/IP 网络、IPMP 和 IP 隧道 中的如何创建和配置 IP 隧道。

隧道会创建一个明显的 physical interface（物理接口）连接至 IP。经过 IP 隧道接口的 IP 通信可以使用 IPsec 进行保护。

Oracle Solaris 中的隧道接口可用于封装或通过隧道传输系统间传送的 IP 包。通过隧道传输的包会在原始 IP 头之前添加一个 IP 头。添加的头使用可在公共网络上路由的地址。这些地址由下图中的 net0 接口表示。

下图说明了两个站点如何使用 IPsec 在它们之间创建 VPN。Intranet 1 和 Intranet 2 之间的通信使用 IP-in-ESP 封装并在 Internet 上通过隧道传输。在此示例中，net0 地址在外部 IP 头中使用，而内部 IP 地址是来自内联网并通过隧道传输的包的地址。因为内部 IP 地址受 ESP 保护，所以它们在通过 Internet 时会免受检查。

图 6-6  虚拟专用网络

有关设置过程的详细示例，请参见如何在隧道模式下使用 IPsec 保护两个 LAN 之间的连接。