VPN 的典型隧道协议 隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式 。

使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包 隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送 。

新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

被封装的数据包 在隧道的两个端点之间通过公共互联网络进行路由。

被封装的数据包在公共互联网络上传递时 所经过的逻辑路径称为隧道 。

一旦到达网络终点，数据将被解包并转发到最终目的地。

注意隧道技术是指包括数据封装，传输和解包在内的全过程 。

1、点对点隧道协议（PPTP ）点对点隧道协议（PPTP,Point-to-point Tunneling Protocol ）是一种用于让远程用户拨 号连接到本地ISP ,通过因特网安全远程访问公司网络资源的新型技术。

PPTP 对PPP 协议 本身并没有做任何修改，只是使用 PPP 拨号连接，然后获取这些PPP 包，并把它们封装进 GRE 头中。

PPTP 使用PPP 协议的PAP 或CHAP （MS-CHA 进行认证，另外也支持 Microsoft 公 司的点到点加密技术（MPPE 。

PPTP 支持的是一种客户-LAN 型隧道的VPN 实现。

传统网络接入服务器（NAS ）执行以下功能：它是PSTN 或 ISDN 的本地接口，控制着外部 的MODE 或终端适配器：它是PPP 链路控制协议会话的逻辑终点；它是PPP 认证协议的执行 者；它为PPP 多链路由协议进行信道汇聚管理； 它是各种PPP 网络控制协议的逻辑终点。

PPTP 协议将上述功能分解成由两部分即 PAC （PPTP^入集中器）和PNS （PPTP 网络服务器）来分别执行。

这样一来，拨号 PPP 链路的终点就延伸至 PNS PPTP B 议正是利用了“ NAS 功能的分解”这样的机制支持在因特网上的VPN 实现。

ISP 的NAS 将执行PPTP 协议中指定的PAC 的功能。

而企业VPN 中心服务器将执行 PNS 勺功能，通过PPTP 远程拥护首先拨号到本地 ISP 的NAS 访问企业的网络和应用，而不再需要直接拨号至企业 的网络，这样，由 GRE 各PPP 报文封装成IP 报文就可以在PAC- PNS 之间经由因特网传递， 即在PAC 和 PNS 之间为用户的 PPP 会话建立一条PPTP 隧道。

建立PPTP 连接，首先需要建立客户端与本地 ISP 的PPP 连接。

一旦成功的接入因特网，下一步就是建立 PPTP 连接。

从最顶端 PPP 客户端、PAC 和PNS 服务器之间开始，由已经安 装好PPTP 的PAC 建立并管理 PPTP 任务。

如果 PPP 客户端将PPTP 添加到它的协议中， 列出来的PPTP 通信都会在支持PPTP 的客户端上开始与终止。

由于所有的通信都将在 内通过隧道，因此 PAC 只起着通过PPP 连接进因特网的入口点的作用。

从技术上讲， 从PPTP 隧道的一端传输到另一端，这种隧道对用户是完全透明的。

PPTP 具有两种不同的工作模式，即被动模式和主动模式。

被动模式的PPTP 会话通过一 个一般是位于ISP 处的前端处理器发起，在客户端不需要安装任何与PPTP 有关的软件。

在 拨号连接到ISP 的过程中，ISP 为用户提供所有的相应服务和帮助。

被动方式的好处是降低 了对客户的要求，缺点是限制了客户对因特网其他部分的访问。

主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP 隧道，这种方式不 需要ISP 的参与，不再需要位于ISP 处的前端处理器，ISP 只提供透明的传输通道。

这种方 式的优点是客户拥有对PPTP 的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP 的相应软件。

通过PPTP 远程用户经由因特网访问企业的网络和应用，而不再需要直接拨号至企业 的网络。

这样大大的减少了建立和维护专用远程线路的费用。

且为企业提供了充分的安全保 证。

另外，PPTP 还在IP 网络中支持IP 协议。

PPTP “隧道”将IP 、IPX 、APPLE-TALK 等协 议封装在IP 包中，使用户能够运行基于特定网络协议的应用程序。

同时，“隧道”采用现 有的安全检测和认证策略，还允许管理员和用户对数据进行加密，使数据更加安全。

PPTP所有 IP 包 ppp 包还提供了灵活的IP 地址管理。

如果企业专用的网络使用未经注册的IP 地址，那么PNS 将把此地址和企业专用地址联系起来。

PPTP 协议是一个为中小企业提供的 VPN 解决方案，但PPTP 协议在实现上存在着重大安 全隐患。

有研究表明其安全性甚至比 PPP 还要弱，因此不适用于需要一定安全保证的通信。

如果条件允许，用户最好选择完全能够替代2、 第二层转发（L2F ）L2F 由Cisco 公司在1 9 9 8年5月提交给 IETF , RFC2341对L2F 有详细的阐述。

L2F 可以在多种介质（如AMT 帧中继、IP 网）上建立多协议的安全虚拟专用网。

它将链路层的协 议（如HDLC PPP ASYNC 等）封装起来传送。

因此，网络的链路层完全独立于用户的链路层 协议。

L2F 远端用户能够通过任何拨号方式接入公共 IP 网络，首先按常规方式拨号到 ISP 的接入服务器（NAS ），建立PPP 连接：NAS 根据用户名等信息，发起第二重连接，呼叫用户 网络的服务器。

在这种方式下隧道的建立和配置对用户是完全透明的。

L2F 允许拨号接入服 务器发送PPP 帧传输并通过 WAN !接到达L2F 服务器。

L2F 服务器将包去封装后把它们接入 到公司自己的网络中。

3、 二层隧道协议（L2T P ）L2TP 协议的前身是 Microsoft 公司的点到点隧道协议（PPTP ）和Cisco 公司的二层转发 协议（L2F ）。

PPTP 协议是一个为中小企业提供的VPN 解决方案。

但PPTP 协议在实现上存在 着重大安全隐患，有研究表明其安全性甚至比PPP 还要弱，因此不适用于需要一定安全保证 的通信。

L2F 协议是一种安全通信隧道协议，但它的主要缺陷是没有把标准加密方法包括在 内，因此它也已经成为一个过时的隧道协议。

和L2F 的优点，特别适合组建远程接入方式的远程拨号的用户通过本地入ISP 在当地的接入服务器（NAS ）。

NAS 通过当地的VPDN 的管理系统（如认证系统 身份进行认证，并获得用户对应的企业安全网关（CPE ）的隧道属性（如企业网关的 等）。

NAS 根据获得的这些信息，采用适当的隧道协议封装上层协，议建立一个位于 LNS （本地网络服务器）之间的虚拟转网。

4、 多协议标记交换（MP LS ）MPLS 为每个IP 包加上一个固定长度的标签，并根据标签值转发数据包。

MPLS 实际上就是一种隧道技术，所以使用它来建立 VPN 隧道是十分容易的。

同时，MPLS 是一种完备的网络技术，可以用它来建立起 VPN 成员之间简单而高效的 VPN 适用于实现对服务质量、 服务等级的划分以及网络资源的利用率、网络的可靠性有较高要求的VPN 业务。

CE 路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。

CE 路由器不使用 MPLS 它可以只是一台IP 路由器。

CE 不必支持任何VPN 的特定路由协议或信令。

PE 路由器是与用户CE 路由器相连的服务提供者边缘路由器。

PE 实际上就是MPLS 中的边缘 标记交换路由器（LER ），它需要能够支持 BGP 协议，一种或几种IGP 路由协议以及 MPLS 协议， 需要能够执行IP 包检查、协议转换等功能。

用户站点是指这样一组网络或子网，它们是用户网络的一部分并且通过一条或多条PE/CE 链路接至VPN 一组共享相同路由信息的站点就构成了VPN 一个站点可以同时位于不同的几个VPN 之中。

PPTP 的下一代二层协议 L2T P 。

IETF 的开放标准L2TP 协议结合了 PPTP 协议 VPN 已经成为事实上的工业标准。

PSTN ISDN 或PLMN 拨号，禾U 用ISP 提供的VPDN 特服号，接 ），对用户 IP 地址 NAS 和VPNIMPLS从MPLS VPN网络的结构可以看到，与前几种VPN技术不同，MPLS VPN网络中的主角虽然仍然是边缘路由器（此时是MPLS网络的边缘LSR），但是它需要公共IP网内部的所有相关路由都能够支持MPLS所以这种技术对网络有较为特殊的要求。

5、I P 安全（IPSec）IP Sec是专门为IP设计提供安全服务的一种协议（其实是一种协议族）。

IP Sec可有效保护IP数据报的安全，所采取的具体保护形式包括：数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。

IP Sec主要由AH（认证头）、ESP（封装安全载荷）、IKE（因特网密钥交换）三个协议组成，各协议之间的关系如下图所示IPS<c悴系结枸①AH为IP数据包提供无连接的数据完整性和数据源身份认证，同时具有防重放攻击的能力。

数据完整性校验通过消息认证码（如MD5产生的校验来保证；数据源身份认证通过在待认证数据中加入一个共享密钥来实现；AH报头中的序列号可以防止重放攻击。

②ESP为IP数据包提供数据的保密性（加密）、无连接的数据完整性、数据源身份认证以及防重放攻击保护。

其中的数据保密性是ESP的基本功能，而数据源身份证、数据完整性检验以及重放保护都是可选的。

③AH和ESP可以单独使用，也可以结合使用，甚至嵌套使用。

通过这些组合方式，可以在两台主机、两台安全网关（防火墙和路由器），或者主机与安全网关之间使用。

④解释域（DOI）将所有的IP Sec协议捆绑在一起，是IP Sec安全参数的主要数据库。

⑤密钥管理包括IKE协议和安全联盟（SA）等部分。

IKE提供密钥确定、密钥管理。

它在通信系统之间建立安全联盟，是一个产生和交换密钥材料并协调IP Sec参数框架。

IP Sec可以在主机、路由器/防火墙（创建一个安全网关）或两者中同时实施和部署。

用户可以根据对安全服务的要求决定究竟在什么地方实施。

、为实现在专用或公共IP网络上的安全传输，IP SEC隧道模式使用的安全方式封装和加密整个IP包。

然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端。

隧道服务器对收到的数据报进行处理，在去除明文IP包头，对内容进行解密之后，获的最初的负载IP包。

负载IP包在经过正常处理之后被路由到位于目标网络的目的地。

6、通用路由封装（GRE）通用路由协议封装（GRE）是由Cisco和NetSmiths等公司1 9 9 4年提交给IETF的，标号为RFC1701和RFC1702目前有多数厂商的网络设备均支持GER隧道协议。