基于隧道的VPN宏观总结-附cisco的vti方案

如果说VPN是一种保护专有数据的机制，那么可以说使用隧道封装来完成这种机制是一种策略。隧道形式的VPN除了解决数据专有这种需求之外，还有更多的含义：
1.将“路由器功能的统一”缩小到有限的一组路由器
以组播为例，很多的路由器都是不转发组播的，如果分属遥远两地的公司希望使用组播来通信，那势必要运营商的支持。有了隧道之后，就可以将组播封装在隧道中，这样的话，只需要隧道的两个端点支持组播即可。
2.跨越异构网络
这一点对于自定义协议特别有效。如果你自己定义了一个协议，为互联网所不容，那怎样让基于这种协议的通信跨越公共网络呢？解决方案就是隧道。
3.本来IP网络就是逻辑网络(只有链路层网络是真实存在的物理网络)，VPN的出现使得逻辑网络上嵌套了逻辑网路，而实际上，逻辑网路是可以无限嵌套的。
4.有了VPN，IP协议也可以端到端的工作！
附：cisco的VTI
本质上说，VTI就是完全虚拟的虚拟网卡，和OpenVPN所使用的tap网卡不同的是，它在内核态完成几乎所有的功能，增加了性能，然而代价是减少了灵活性。VTI的框图如下所示：

对于VTI的实现，不要以为有什么大不了，它的实现很简单，基本就是在GRE引擎之上使用IPSec协议来封装数据报。就是说，虚拟网卡是GRE实现的，然而对于虚拟网卡内部数据的封装格式使用的是IPSec。这样做的好处在于，使用两个协议实现VTI，可以灵活的修改随意的一方，我们可以使用GRE封装IPSec，也可以使用别的...这是内核的方案。用户态的方案比这更猛，实际导出到用户态，怎么做都行，这就是tap!