Layer 2- und Layer 3-VPN

Mittels VPN wird unter Verwendung einer bestehenden, potenziell unsicheren Netzwerkverbindung eine virtuelle, sichere Netzwerkverbindung zwischen Hosts oder Netzwerken realisiert. Die Netzwerkkommunikation zwischen den beidenen verbundenen Segmenten kann entweder auf Layer 2 oder Layer 3 stattfinden.

• Bei einem Layer 2-VPN bedeutet das, dass sich die beiden verbundenen Abschnitte verhalten, als wären sie an einen gemeinsamen Switch angeschlossen.
• Bei einem Layer 3-VPN verhalten sich die beiden verbundenen Abschnitte so, als wären sie über Router miteinander verbunden.

Bei einem Layer 2-VPN bedeutet das, dass sich die beiden verbundenen Abschnitte verhalten, als wären sie an einen gemeinsamen Switch angeschlossen. Layer 2-Pakete, wie z. B. DHCP-Verkehr oder ARP-Auflösung passieren bei einem Layer 2-VPN den Tunnel und erreichen die Netzteilnehmer auf beiden Seiten. Ein Host auf einer Seite des Tunnels kann seine IP-Adresse von einem DHCP-Server auf der anderen Seite des Tunnels beziehen. Es werden keine separaten IP-Adressbereiche für unterschiedliche Subnetze benötigt.

Bei einem Layer 3-VPN verhalten sich die beiden verbundenen Abschnitte so, als wären sie über Router miteinander verbunden. Auf jeder Seite des VPN-Tunnels existieren unterschiedliche IP-Subnetze und die VPN-Gateways fungieren als Router dazwischen. Das bedeutet, dass ein Teilnehmer auf einer Seite des Tunnels einen Teilnehmer auf der anderen Seite nur über mindestens einen Routing-Hop erreichen kann. In vielen Fällen wird die logische Verbindung zwischen den beiden VPN-Gateways als ein weiteres Subnetz ausgeführt. Dieses bezeichnet man auch als Transfernetzwerk.