Теория
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5

Практика
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6

Руководство
Часть 1
Часть 2
Часть 3
Часть 4
Часть 5
Часть 6
Часть 7
Часть 8
Часть 9
Часть 10
Часть 11

О Проекте
О SoftEther VPN
Спецификация
Вопрос-ответ
Соглашение
Лицензия

Теория (часть 2)

2. VPN на базе Ethernet второго уровня (OSI)

2.1. Полная виртуализация Ethernet

Основной идеей способа реализации VPN программой SoftEther VPN является полная виртуализация Ethernet сегментов, Ethernet-коммутаторов второго уровня и Ethernet-адаптеров. Чтобы построить хорошую VPN сеть, SoftEther VPN виртуализирует Ethernet, который широко используется во всём Мире.
Чтобы понять преимущество SoftEther VPN, ознакомьтесь с основами знаний об Ethernet`е и об его ограничении сначала. И вы поймете, как SoftEther VPN решает их чтобы установить приватную связь между удаленными сторонами.

SoftEther VPN инкапсулирует Ethernet в протокол HTTPS для передачи кадров через Интернет.

Ethernet является стандартом LAN.

Как вы знаете Ethernet - это технология, используемая в локальных сетях (локальные вычислительные сети). Ethernet является очень удобным и надежным стандартом для подключения нескольких компьютеров друг к другу. С помощью Ethernet можно пользоваться многими сетевыми программами, такими как общий доступ к файлам, общий доступ к принтерам и доступ к объемам данных в RDBMS (системы управления реляционными базами данных). Сегодня нет компаний, которые бы не имели локальной сети Ethernet в своём офисе.
Стандартной топологией сети при использовании Ethernet является "звезда". В центре находятся концентраторы (коммутаторы Ethernet), и каждый компьютер подключен к концентратору кабелем. Поэтому все компьютеры могут взаимодействовать друг с другом. Преимущество Ethernet`а заключается в том, что можно легко понять эту модель. По этой причине Ethernet широко распространился на весь мир. Компьютеры и концентраторы, объединённые с целью их свободного взаимодействия, образуют сегмент Ethernet. Он также называется "сегментом 2 уровня " или "Широковещательным доменом".

Ограничение длины сети Ethernet.
Нельзя использовать медный Ethernet вне офиса или здания. В нормальном состоянии, как вы знаете, можно подключать компьютеры друг к другу только в комнате или здании. Но нельзя сделать так чтобы компьютер на стороне-А взаимодействовал с другим компьютером на стороне-B только с использованием медного Ethernet. Причина, по которой вы не можете этого сделать, заключается в том, что для подключения Ethernet-устройств к сети Ethernet необходимы проводные сетевые кабели Ethernet. Сетевые кабели могут быть проложены только внутри здания. Вы не можете проложить кабель между двумя или более зданиями, потому что вы не можете проложить кабели через дорогу. Конечно, существуют и другие ограничения Ethernet, например, максимальная длина кабеля. И эти ограничения не могут быть решены использованием других физических сред в качестве расширений Ethernet, которые были изобретены в последнее время, таких как Wi-Fi и оптические кабели.
"Ethernet" полностью отличается от "Интернет". Интернет - это взаимосвязанная сеть, состоящая из множества частных сетей и интернет-провайдеров. Несомненно, что мы можем платить провайдерам небольшие деньги, чтобы пользоваться подключением к Интернету. Вы можете подключить оба отделения в Токио и Пекине к Интернету. И компьютеры в каждом офисе теперь могут получить доступ к Интернету. Но все же вы не можете наслаждаться программным обеспечением, написанным для использования внутри ЛВС между двумя удалёнными сторонами, даже если они обе подключены к Интернету. Вы можете в этом случае: Например,  обмениваться сообщениями электронной почты, использовать программы Skype и Messenger для обмена короткими сообщениями или голосом, а также для доступа к одной и той же групповой программе для обмена расписаниями и так далее. Это можно сделать, если имеется две стороны и обе стороны имеют подключение к Интернету. Но вы не можете наслаждаться другими функциями, которые получаете от программного обеспечения, которое предназначено для использования внутри ЛВС, например, общего доступа к файлам, совместного использования принтеров, протоколов баз данных, CRM, ERPS и других приложений, разработанных для таких же целей. Кроме того, Ethernet не является Интернетом. Интернет не может стать альтернативой Ethernet. Даже если обе стороны подключены к Интернету, две стороны не будут создавать один сегмент Ethernet. Если требуется использовать приложение, разработанное для локальной сети, необходимо построить один сегмент Ethernet, который объединит все компьютеры.

Расширьте сегмент Ethernet запредельно с помощью SoftEther VPN.
SoftEther VPN - это инструмент объединения в один сегмент Ethernet двух или более далеко отдаленных друг от друга точек с использованием технологии туннелирования через Интернет.
Вы поняли преимущества Ethernet и разницу между Ethernet`ом и Интернетом, а также об ограничениях, которые вытекают из этого различия. Но вы, вероятно, задаетесь вопросом, может ли сегмент Ethernet быть расширен на другие объекты, на любые расстояния, например, между двумя зданиями, разделёнными дорогой. Если это возможно, то можно использовать любые приложения, предназначенные для использования внутри локальной сети, между двумя или более удалёнными сторонами.
Вы можете обнаружить, что некоторые телекоммуникационные компании предоставляют такой сервис дистанционной связи как "Широкополосный Ethernet Сервис". Можно сделать единый Ethernet сегмент между двумя или более зданиями на основе такого сервиса. Однако такие услуги выделенной линии превышают стоимость обычного доступа в Интернет (например, в 100 и более раз). И нельзя использовать это решение, если по крайней мере на одной из сторон провайдером не поддерживаются такой сервис.
Тогда вам нужно любое другое решение. К счастью, затраты на подключение точки к Интернету сегодня небольшие. Можно легко поддерживать связь между двумя и более узлами через Интернет. Затем, если установить SoftEther VPN в каждой точке, можно соединить все сегменты ваших точек вместе, чтобы построить единый сегмент Ethernet. Перед установкой VPN туннеля каждая сеть точки имеет свой собственный сегмент Ethernet. Каждый сегмент полностью отделён друг от друга. Однако после создания туннеля VPN все сегменты объединяются вместе и создают единый сегмент. После этого можно запускать любые протоколы между любой удаленной точкой, преодолевая любое физическое расстояние. Вы можете использовать эту технику как для целей удаленного доступа, так и для объединения точек.

Виртуализация Ethernet коммутаторов, адаптеров и кабелей.
Для достижения вышеуказанной цели SoftEther VPN виртуализирует Ethernet-коммутаторы, кабели и адаптеры.
Ethernet коммутатор, известен как концентратор или коммутатор второго уровня, является устройством для обмена пакетами между Ethernet узлами. Для определения, соответствующего конечного порта, являющегося исходящим для пакета, пришедшего во входящий порт, коммутатор имеет FDB (базу данных пересылки) внутри себя. Это поведение называется "коммутация" и является основной функцией коммутаторов.
Сетевой Ethernet кабель Cat5e или Cat6 - это медный кабель, является устройством для подключения Ethernet устройств, таких как Ethernet коммутаторы и Ethernet адаптеры. Ethernet адаптеры также называются "NIC” (сетевая интерфейсная плата) и размещаются в компьютере. В настоящее время компьютер имеет Ethernet адаптер на своей материнской плате. Его называют "встроенным". Вы знаете, что в случае необходимости в компьютер можно вставлять дополнительные адаптеры на шинах PCI или USB.
SoftEther VPN виртуализирует Ethernet коммутатор и эмулирует его. Виртуальный Ethernet коммутатор в программном обеспечении называется «Virtual Hub». А также SoftEther VPN виртуализирует Ethernet-адаптер и эмулирует его. Виртуальный Ethernet-адаптер в программном обеспечении называется "Virtual network adapter". SoftEther VPN также виртуализирует сетевой кабель Ethernet и эмулирует его. Виртуальный сетевой кабель Ethernet в программном обеспечении называется «сеансом VPN» или «VPN Tunnel».
Перечисленные выше три элемента очень важны для понимания SoftEther VPN. Например, если вы хотите создать VPN удаленного доступа для подключения к локальной сети компании, то для того, чтобы принимать VPN-подключения от удаленной стороны, вам необходимо создать виртуальный концентратор на VPN сервере в сети компании. Этот виртуальный концентратор создает Ethernet сегмент. И вы одновременно подключаете виртуальный концентратор и физический сетевой адаптер на сервере. Затем оба сегмента виртуальный концентратор и существующая физическая локальная сеть объединяются в единый сегмент Ethernet с помощью моста. Далее вы установите VPN Клиент на удаленном клиентском ПК, например, на ноутбуке. Программа VPN Клиента создаёт виртуальный сетевой адаптер на клиентском компьютере. Далее вы создаёте соединение, чтобы подключить VPN-клиент к виртуальному концентратору, находящемуся на VPN-сервере вашей компании. При подключении к VPN между виртуальным сетевым адаптером клиенткой машины и виртуальным концентратором сервера будет установлен новый VPN сеанс. Эта ситуация очень похожа на то, как вы подключаете один конец Ethernet кабеля к физическому концентратору, а другой конец к физическому Ethernet адаптеру на компьютере. Это не только похоже, но всё аналогично и в логическом аспекте поведения Ethernet. После создания VPN-подключения можно использовать любые протоколы, предназначенные для применения в Ethernet`е. Все пакеты передаются через виртуальный кабель, называемый VPN сеансом или VPN туннелем.
После того как вы поняли архитектуру организации SoftEther VPN, вы сможете понять, что потенциальные возможности использования SoftEther VPN почти безграничны. В приведенном выше примере показано, как создать VPN-подключение удаленного доступа, но вы можете применить этот способ и для создания любого другого вида VPN. Очень легко построить “сайт-ту-сайт” VPN. Только разница в VPN-подключениях удаленного доступа заключается в противоположных концах VPN-сервера, а не VPN-клиента, а VPN-моста. Единственное отличие от VPN удаленного доступа состоит в том, что на противоположной стороне VPN-сервера ставиться не VPN-клиент, а VPN-мост.

Виртуальный концентратор — это реализованный программный Ethernet коммутатор. Он позволяет обмениваться пакетами между устройствами.

Можно создать множество виртуальных концентраторов на SoftEther VPN-сервере. Каждый виртуальный концентратор изолирован от других.

Можно создать множество виртуальных сетевых адаптеров на клиентском компьютере с SoftEther VPN-клиентом.
Каждый виртуальный сетевой адаптер считается "реальным" Ethernet-адаптером, так же, как и физический адаптер, подключенный к компьютеру.

2.2. Передача любых Ethernet пакетов через VPN.

Поскольку SoftEther VPN туннелируется через Интернет и устанавливает VPN сеанс между удаленными сторонами с возможностями передачи любых Ethernet пакетов, поэтому SoftEther VPN обладает неограниченной прозрачностью для протоколов, точно такой же, как и у физических Ethernet сегментов. Как вам известно, существует множество протоколов, которые можно использовать в сети Ethernet. Например, IPv4 (TCP, UDP, ICMP, ESP, GRE и т. д.), IPv6 (следующее поколение IP), NetBEUI, IPX/SPX, PPPoE, RIP, STP и т. д. Все эти протоколы могут передаваться через SoftEther VPN туннель.
Устаревшие VPN, такие как L2TP, IPsec или PPTP, могут передавать практически только протокол IPv4. Потому что эти VPN протоколы могут переносить только протоколы верхних уровней, равных третьему или выше. SoftEther VPN же может переносить пакеты протоколов, которые равны второму уровню или выше него.
Вы можете извлечь плюсы из этого преимущества. Можно использовать любые устаревшие и новейшие протоколы в VPN-сеансе SoftEther VPN, невозможные для других VPN. Если в вашей компании используется определенный протокол для управления производственным компьютером, его можно использовать в SoftEther VPN-сеансе. Для использования такого протокола в VPN-сетях второго уровня не требуется каких-либо изменений в программном обеспечении.

В отличие от устаревших протоколов IPSec или виртуальных частных сетей, SoftEther VPN может передавать любые типы пакетов.
Вы можете наслаждаться любыми приложениями, которые ориентированны на локальную сеть, без каких-либо их изменений.

2.3. Преимущества VPN 2-го уровня для пользователей удаленного доступа.

Почти все устаревшие VPN-продукты с IPSec, PPTP или L2TP требуют выделения виртуальной IP подсети для туннелей на VPN-сервере, поскольку эти протоколы фактически являются протоколами VPN третьего уровня. Если существующая ЛВС вашей компании имеет IP-подсеть 192.168.3.0/24, то нельзя подключить удаленный компьютер непосредственно к этой IP-подсети. Сначала необходимо создать виртуальную IP-подсеть, например, 192.168.100.0/24 на VPN-сервере. Затем можно подключить клиентский компьютер по VPN к VPN-серверу. И VPN-сервер всегда использует маршрутизацию между двумя разными IP подсетями. Этот вариант VPN удаленного доступа является сложным, поскольку иногда администратору сети приходится разрабатывать и изменять политику маршрутизации локальной сети.
Это также может вызвать проблемы. Например, многие протоколы и приложения разработаны исходя из предположения о том, что любые широковещательные IP-пакеты могут ходить между узлами. В случае же устаревшей виртуальной частной сети такие приложения не смогут работать нормально. Хорошим примером является протокол общего доступа к файлам и принтерам Майкрософт Windows, все о нём знают. Этот протокол, как известно CIFS или SMB, фактически зависит от разрешения имени компьютера посредством широковещательных IP пакетов. Широковещательные IP-пакеты не могут пересылаться за пределы IP подсетей. Таким образом, используемый механизм для обзора компьютеров сети в Windows не работает через старые виртуальные частные сети. Для устранения этой проблемы требуются дополнительные службы, например, создание WINS или DNS-сервера. Кроме того, как упоминалось выше, может возникнуть проблема с использованием удаленно любых протоколов, поскольку устаревшие VPN протоколы пропускают не все типы пакетов.
Некоторые производители устаревших VPN-устройств, такие как Cisco, попытались решить эту проблему, использовав механизм ARP-прокси. Но это редкий случай и нет гарантии в совместимости на все случаи жизни.
SoftEther VPN даёт преимущества, позволяющие передавать любые пакеты между VPN-клиентом и сегментом ЛВС подключенного к VPN-серверу. Вы создаете VPN-сеанс второго уровня между VPN-клиентом и VPN-сервером, и у вас нет причин беспокоиться о том заработает или не заработает какое-нибудь приложение, разработанное для использования в локальной сети. Потому что характеристики такого сеанса VPN на логическом уровне точно такие же, как и в случае, когда вы физически подключаете Ethernet адаптер на ноутбуке к порту Ethernet коммутатора в компании. Можно сказать, что SoftEther VPN выполняет роль очень длинного виртуального сетевого кабеля через сеть Интернет. Из-за этого свойства ноутбук можно использовать в любом месте и в любое время, точно так же, как если бы вы сидели непосредственно за рабочим столом в компании.

SoftEther VPN-клиент так же, как и компьютер физически подключен к локальной вычислительной сети.
Например, в отличие от VPN-сетей, основанных на третьем уровне, клиентский компьютер Windows дома будет видеть компьютеры в сети офиса (в сетевом окружении).

2.4. Преимущества применения VPN второго уровня при организации Сайт-ту-Сайт VPN.

Вы можете создать не только VPN удаленного доступа, но и установить надежную связь между несколькими точками(отделениями). Она называется "Site-to-Site VPN ". Такой линк можно использовать в качестве выделенной линии, даже если физически оно построено на дешевом Интернет-подключении, предоставляемым Интернет-провайдером. Также не имеет значения какой тип подключения к Интернету используется (беспроводной, xDSL, оптика и т.п.). После поднятия VPN туннеля между сторонами, каждая из обеих сторон может передавать любые виды пакетов от одной стороны к другой.
При использовании старых виртуальных частных сетей, таких как IPsec или L2TP, невозможно соединить две или более точки туннелем второго уровня. Необходимо создать туннель третьего уровня из-за ограничения этих протоколов VPN. Тогда возникают всегда почти те же самые проблемы что и при создании VPN удаленного доступа. IP-подсети должны различаться между сторонами. Например, в Токио должна быть подсеть 192.168.1.0/24, в Пекине должна быть 192.168.2.0/24, а в Шанхае должна быть 192.168.3.0/24. Нельзя использовать любые протоколы, работа которых зависит от широковещательных пакетов, такие как функции просмотра имен компьютеров в общем доступе к файлам и принтерам Майкрософт Windows, реализованные в SMB или CIFS. И не допускается использование ни одного протокола, который не является IP-протоколом. Не только такие ограничения, но также вы проектируете разделение IP-подсетей на каждом узле. Не только эти ограничения накладываются, но также вы должны применить отдельные IP-подсети на каждой стороне.
IP-подсеть одной из сторон не может перекрываться с IP-сетями на других сторонах. Если вы небольшая компания, это может вызвать некоторые затруднения поскольку такое назначение IP-подсетей требует определённых навыков, чтобы избежать каких-либо проблем, связанных с этим. А если вы большая компания и хотите соединить много точек, это станет кошмарной ситуацией.
Вы должны будете управлять множеством подсетей, стараясь не допустить пересечения с другими подсетями.
Устаревшие VPN требует от нас дополнительных усилий, чтобы удовлетворить требованиям старых виртуальных частных сетей, если вы хотите использовать их для создания site-to-site VPN.
Но если вы используете SoftEther VPN для создания VPN типа site-to-site (сеть-сеть), то это всё упрощает и сокращает ваши усилия, а также позволяет избежать несколько неприятных ситуаций, которые могут возникнуть при использовании устаревших VPN. Как упоминалось ранее, связь между сторонами всегда эмулируется как очень длинный сетевой Ethernet кабель. Вам не нужно проектировать что-либо специальное для удовлетворения простого требования, которое требуется для подключения удаленных сторон. Вы можете просто продумать и спроектировать свою сеть используя VPN, точно так же, как вы проектируете традиционную сеть Ethernet с топологией типа звезда.
Все ваши знания, а также здравый смысл, помогут вам с VPN, построенном на SoftEther VPN. Вы можете представить ситуацию, в которой есть три стороны; Токио, Пекин и Шанхай, и каждая сторона имеет Ethernet коммутатор.
Вы можете подключить сетевые Ethernet кабели между ними. Тогда каждый компьютер одной из сторон получит доступ к любому компьютеру других сторон. Установка VPN-подключения типа сеть-сеть очень проста в этом примере. Вы можете подключать виртуальные VPN сеансы между сторонами вместо физических сетевых Ethernet кабелей. Вы будете наслаждаться VPN-связью между точками, без каких-либо изменений каких-либо настроек серверных компьютеров и т.п. Все виды серверных служб и приложения для связи между клиентскими ПК будут хорошо работать, как между ПК одной и той же точки так между ПК различных точек. Никакой разницы не будет.

VPN-подключение к узлу можно рассматривать как «очень длинный Ethernet кабель между удаленными сторонами».

2.5. Виртуальные концентраторы, каскады и локальные мосты.

SoftEther VPN-сервер и SoftEther VPN-мост имеют в себе сущности виртуальных концентраторов, каскадов и локальных мостов.

Виртуальный концентратор

Виртуальный концентратор — это такая сущность на VPN-сервере и VPN-мосту, которая имитирует поведение реальных Ethernet коммутаторов. Виртуальный концентратор имеет собственную FDB (базу данных пересылки). Много VPN сеансов будет подключено к виртуальному концентратору. После этого каждая конечная точка VPN может отправлять и принимать любые Ethernet пакеты.

Любой виртуальный концентратор может принимать подключения от VPN-клиентов и других виртуальных концентраторов. VPN-клиент — это программа, которая выполняется на компьютере пользователя, являющегося клиентской конечной точкой VPN.

Виртуальный концентратор имеет много подключенных VPN-сеансов и базу данных пересылки (FDB) с изученными MAC-адресами.

Подобно физическому Ethernet коммутатору, виртуальный концентратор автоматически изучает Mac-адреса каждого сеанса VPN.

Каскадное соединение

На SoftEther VPN-сервере можно создать несколько виртуальных концентраторов (до 4096). Каждый виртуальный концентратор образует свой сегмент Ethernet и полностью изолирован от других концентраторов, даже если они расположены на одном и том же VPN-сервере. Это аналогично ситуации, когда на одном и том же столе есть несколько Ethernet коммутаторов. Каждый коммутатор Ethernet не подключен к другому, поэтому каждый сегмент Ethernet является независимым. Но если подключить сетевой Ethernet кабель между любыми портами каждого коммутатора, то сегменты Ethernet будут объединены. При необходимости можно создать связь между виртуальными концентраторами на одном VPN-сервере. Это называется "каскадным соединением" или просто "каскадом". Каскад — популярный технический термин Ethernet. Если каскадное соединение установлено, то каждый Ethernet сегмент на каждом виртуальном концентраторе оказывается объединен в единый сегмент.
Кроме того, можно создать каскадное соединение между удаленными VPN-серверами. Так если вы имеете VPN-сервера как в Токио, так и Пекине, и каждый VPN-сервер имеет виртуальный концентратор, можно установить каскадное соединение между двумя концентраторами. Тогда каждый концентратор оказывается объединен в единый сегмент. Компьютер, подключенный к концентратору Токио, теперь может обмениваться данными с другим компьютером, подключенным к концентратору Пекина.
Вы можете сделать несколько каскадных соединений на виртуальном концентраторе.

Настройка каскадного соединения в графическом интерфейсе пользователя. Это очень просто.

Локальной мост

Только существование виртуальных концентраторов, каскадов и VPN-клиентов не столь удобно, потому что на каждый компьютер нужно устанавливать VPN-клиент и каждый должен быть подключен к виртуальному концентратору для связи между компьютерами. В этом случае все компьютеры, находящиеся за пределами сегмента виртуального концентратора, не могут участвовать в связи друг с другом. В принципе это возможно, но не очень хорошо для компании, использующей VPN.
Функция локального моста (Local Bridge) может использоваться для расширения Ethernet сегмента виртуальных концентраторов на внешние физические Ethernet сегменты.
Локальный мост — это технология, объединяющая виртуальные и физические Ethernet сегменты. Ваша компания имеет существующий Ethernet сегмент на физическом Ethernet коммутаторе. Чтобы реализовать возможность использования VPN удаленного доступа или VPN типа сеть-сеть, необходимо соединить Ethernet сегмент виртуального концентратора и Ethernet сегмент физического Ethernet коммутатора каким-либо образом. Решение заключается в том чтобы использовать локальный мост (Local Bridge). Локальный мост может быть создан с такой целью, чтобы сделать два сегмента с возможностью взаимного обмена Ethernet пакетами.
Все компьютеры, подключающиеся к виртуальному концентратору, при наличии локального моста между физическим Ethernet сегментом и сегментом виртуального концентратора, могут взаимодействовать со всеми компьютерами в существующей физической сети.
На практике локальные мосты должны применяться между виртуальным концентратором и сетевым Ethernet адаптером, который подключен к физическому Ethernet коммутатору. Поэтому для использования локального моста (Local Bridge) вам необходим выделенный физический Ethernet адаптер. (на самом деле Ethernet адаптер может использоваться совместно с другими целями, такими как физическая передача пакетов в Интернет для поддержания VPN сеанса, но настоятельно рекомендуется подготовить отдельный Ethernet-адаптер из-за возможных проблем с производительностью.)
Таким образом, локальный мост является ключевой функцией для выполнения требований создания как VPN удаленного доступа, так и VPN типа сеть-сеть.

Локальный мост — это функция для связи между виртуальными сегментами и физическими сегментами.

Комбинация локального моста и соединения каскадом может создавать широко распространенные VPN-подключения. Вы можете связать множество филиалов по всему миру.

Чтобы определить локальный мост, выберите виртуальный концентратор и физический Ethernet адаптер, а затем нажмите кнопку “Create Local Bridge”.

2.6. Поддержка VLAN стандарта IEEE 802.1Q.

Некоторые крупные предприятия используют VLAN`ы стандарта IEEE802.1Q для разделения IP-подсетей на едином физическом Ethernet-оборудовании, чтобы сократить расходы на администрирование и прокладке кабелей. Vlan`ы также может позволяют уменьшить количество портов используемых на каждом Ethernet коммутаторе сети.
SoftEther VPN — это VPN технология второго уровня, и она полностью поддерживает передачу пакетов с VLAN тегами IEEE802.1Q. Эта функция очень полезна, если в вашей компании имеется много Ethernet сегментов в каждом филиале. Благодаря технологии VLAN IEEE802.1Q все Ethernet пакеты из каждого сегмента могут быть переданы по одному VPN-каналу с установленными VLAN тегами в каждом пакете. SoftEther VPN может передавать любые пакеты помеченные VLAN тегами для случая применения VPN типа «сеть-сеть». Таким образом, ваша компания может расширить VLAN сегменты одного филиала на другие филиалы.
И в качестве дополнительной функции, связанной с поддержкой передачи VLAN`ов, SoftEther VPN также имеет функцию для добавления и удаления VLAN тега в пакете автоматически. Это может быть настроено индивидуально в каждой политики безопасности пользователя. Таким образом, можно сделать такую политику, что User-А, будет иметь доступ только к VLAN 123, а User-B может получить доступ только к VLAN 456. Ко всем исходящим пакетам от пользователя будет прозрачно добавлен тег с указанным номером VLAN`а, а все пакеты с тегом, направленные пользователю, будут подвергаться фильтрации по номеру тега, а правильный тег будет удален прозрачно прежде чем отправлен пользователю.

Виртуальный концентратор может вставлять или удалять тег VLAN IEEE802.1Q. Параметры VLAN — для пользователя или группы.

Определите политику безопасности "VLAN ID (IEEE802.1Q)" для пользователя или для группы.

Виртуальный концентратор знает как Mac-адреса, так и номер VLAN`а в котором он находится.

2.7. Функция виртуального коммутатора третьего уровня.

На VPN-сервере можно создать не только виртуальный коммутатор второго уровня (виртуальный концентратор), но также можно создать виртуальный коммутатор третьего уровня. Коммутатор третьего уровня — это сущность, которая ведёт себя так же, как и IP-маршрутизатор. Текущая версия SoftEther VPN поддерживает только протокол IPv4 на коммутаторах третьего уровня. Так же как и виртуальных концентраторов, можно создать несколько  виртуальных коммутаторов третьего уровня на VPN-сервере.
Виртуальный коммутатор третьего уровня имеет несколько виртуальных интерфейсов, и каждый интерфейс может быть подключен к виртуальным концентраторам, находящимся на одном и том же VPN-сервере. Затем вы можете организовать IPv4 маршрутизацию подсетей между виртуальными концентраторами. Если по какой-либо причине вы хотите создать несколько виртуальных концентраторов, например, в целях обеспечения безопасности или удобства управления, но вы хотите, включить традиционную IPv4 маршрутизацию между ними, то для выполнения вашего желания самым простым способом будет создать виртуальные коммутаторы третьего уровня, вместо того чтобы устанавливать физические IP-маршрутизаторы или дорогие коммутаторы третьего уровня в реальной физической сети.
Виртуальный коммутатор третьего уровня может иметь статическую таблицу маршрутизации с неограниченными числом записей. Люди, которые обладают необходимыми знаниями для настройки IP-маршрутизации на любом IP-маршрутизаторе или на коммутаторе третьего уровня, могут легко настроить и использовать его для любых целей.

Виртуальный коммутатор третьего уровня — это программный IP-маршрутизатор.

Можно создать неограниченное число виртуальных коммутаторов третьего уровня.
Можно создать неограниченное число виртуальных интерфейсов и записей в таблице маршрутизации.

  © SoftEther Проект