你们俩都说对了。通常，从远程位置使用 VPN 有两个原因：

1. 安全。加密互联网上的流量。这总是一个好主意。
2. 可达性。如果您仍在使用 IPv4（像其他人一样），您可能在一个或两个位置使用私有 ( RFC1918 ) 地址。VPN 将通过互联网隧道传输流量，以便使用私有地址的主机可以在不使用 NAT 的情况下相互访问。

OEAP 可以在不使用 VPN 的情况下解决这两点，但这需要一些额外的步骤。

1. 安全。接入点和控制器（CAPWAP 隧道）之间的所有流量都可以加密，但默认情况下可能不会启用。此外，如果您想正确验证 OEAP，您可能需要设置正确的 PKI。根据贵公司的安全策略，这可能不够，也可能不够。
2. 可达性。OEAP 需要能够访问控制器。这可以通过将 UDP 端口 5246 和 5247 转发到控制器来完成。如果控制器使用私有 IPv4 地址，则必须在控制器上启用对 NAT 的支持。

查看 CIsco 的文档以获取更多详细信息。