当然,专用网络和混合网络的构建需要很高的成本,其中主要是构建或租用专用线路的成本。因此,许多机构选择了低成本的替代方式。降低成本的一种方式是使用其他替代线路技术,比如租用成本更低的帧中继或ATM PVC,替代同等容量的T1的线路;另一种降低成本的方式是通过Internet传输数据,放弃租用线路,从而将线路费用降到最低。
如果直接通过Internet来传输数据,就会失去专用网络提供的保密性。因此,技术的关键是如何使用Internet来连接机构内部的各网点,并保证数据传输的保密性。
这个问题的答案是一种允许机构配置虚拟专用网络VPN(Virtual Private Network)的技术。通过VPN技术,能够保证VPN中任何一对计算机之间的通信对于外来者都是保密的,从而提供了与专用网络相似的保密性。但是VPN是虚拟的专用网络,它不需要租用专门的线路,而是通过Internet在网点间传递通信量。
VPN的实现应用了两种技术:隧道传输(tunneling)和加密(encryption)技术。
VPN定义了在两个网点的路由器之间通过Internet的一个隧道,并使用IP-in-IP封装通过隧道转发数据报。
为了保证保密性,VPN将发送的数据报加密,然后将它封装在另一个数据报中传输。整个内层的数据报(包括首部)在被封装前进行了加密。当数据报通过隧道到达时,负责接收的路由器对数据区解密,还原出内层的数据报,然后再转发该数据报。尽管外层数据报在穿过隧道的过程中可能经过任何网络,但是外来者无法解析传递的内容(包括数据报首部信息),因此保证了数据的保密性。