隧道的作用是在兩個網絡節點間給出一條通路,使數據報能在其上透明傳輸。VPN隧道通常指在PSN骨幹網的VPN節點間或VPN節點與用戶節點間構建的傳VPN數據的虛擬連接。隧道是構建VPN不能缺少的部分,來把VPN數據從一個VPN節點公開傳到另一節點。根據所用的隧道協議類型,隧道可分為以下兩種類型：

1.LSP

在MPLS網絡中,邊緣設備對報文打上MPLS標籤,網絡內部設備根據標籤轉發報文。標籤報文走過的路徑叫做標籤交換路徑(LSP)。若核心網只給出純IP功能,而網絡邊緣的PE設備有MPLS功能,可由GRE替代LSP,在核心網給出三層或二層VPN解決方案。

2.GRE隧道

GRE隧道用GRE協議封裝原始數據報文,顺利获得公共IP網絡透明傳輸數據。GRE隧道設置二層信息不行,但IP位址可以,用為隧道規定的實際物理接口實現轉發。

現在的GRE隧道方案有以下缺點：

(1)組網及配置複雜。GRE隧道技術用的是點到點的方案,當接入點的數量為N,建立全連接的VPN時,網絡得手工配置N×(N-1)/2個點到點的連接。

(2)可維護性及可擴展性差。對已組建好的VPN網絡,若要增加節點或修改某節點的配置,那麼剩餘全部節點都得針對此節點修改本地配置,維護成本較高。

(3)無法穿透NAT網關。用GRE建立隧道,若出口有NAT網關,那麼要公網地址對應私網地址解決要大量的公網IP位址,這使得GRE不能用在NAT網關內部。

根據所用協議的不同,隧道分為多種類型,類型不一樣的隧道的建立與管理也不盡相同。例如,GRE、MPLS TE等是藉助隧道接口進行的,而LSP則不用藉助隧道接口。