站到站vpn可以将多个网络整体连接在一起——例如,连接分公司网络和公司总部网络。在站到站vpn配置中,主机并不需要安装vpn客户端软件;它们会通过一个vpn网关发送和接收普通tcp/ip流量。vpn网关负责封装和加密外出流量,然后通过一个vpn通道将它们发送到互联网上,送到目标站的一个对等vpn网关。在接收端,对等的vpn网关会提取头信息,解密内容,然后将数据包发送到私有网络中的目标主机上。
远程访问vpn可以将各个主机连接到私有网络上——例如,移动工作者和远程工作者,他们需要通过互联网安全地访问公司网络。在一个远程访问vpn中,每一台主机都必须安装vpn客户端软件。每当主机尝试发送流量时,vpn客户端软件就会封装和加密浏览,然后再将它们通过互联网发送到目标网络边界的vpn网关上。在接收时,vpn网关就像站到站vpn一样工作。如果私有网络的目标主机返回一个响应,那么vpn网关会执行相反过程,将一个加密的响应体发送回互联网中的vpn客户端。
远程访问vpn协议
站到站vpn中最常用的安全通道协议是ipsec封装安全载荷(ipsec encapsulating security payload),它是目前互联网及大多数企业网络所使用的标准ip的扩展。大多数路由器和防火墙现在都支持ipsec,而它可以用作为私有网络后面的vpn网关。另一种站到站vpn协议是mpls——但是,mplc并不支持加密。
远程访问vpn协议还有更多的版本,包括点对点通道协议(point-to-point tunneling protocol)和ipsec本身。这些方法要求在每一个主机上安装vpn客户端软件,还需要使用一个支持相同的协议和远程访问方法或扩展的vpn网关。
ipsec vpn的一个替代产品是安全套接字层(ssl)vpn。它们通常被称为无客户端产品,因为它们不需要在用户计算机上安装专用软件。在一个ssl vpn中,用户会通过一个web浏览器去连接网络。所有信息会通过ssl或传输层安全(transport layer security)协议进行加密。