隧道協議有很多好處,例如在撥號網絡中,用戶大都接受ISP分配的動態IP地址,而企業網壹般均采用防火墻、NAT等安全措施來保護自己的網絡,企業員工通過ISP撥號上網時就不能穿過防火墻訪問企業內部網資源。采用隧道協議後,企業撥號用戶就可以得到企業內部網IP地址,通過對PPP幀進行封裝,用戶數據包可以穿過防火墻到達企業內部網。 PPTP點對點隧道協議 PPTP提供PPTP客戶機和PPTP服務器之間的加密通信。PPTP客戶機是指運行了該協議的PC機,如啟動該協議的Windows 95/98,PPTP服務器是指運行該協議的服務器如啟動該協議的Windows NT服務器。PPTP可看作是PPP協議的壹種擴展。它提供了壹種在Internet上建立多協議的安全VPN通信方式。遠端用戶能夠透過任何支持PPTP和ISP訪問公司的專用網絡。
通過PPTP客戶可采用撥號方式接入公***IP網絡Internet。撥號客戶首先按常規方式撥號到ISP的接入服務器NAS,建立PPP連接;在此基礎上,客戶進行二次撥號建立到PPTP服務器的連接,該連接稱為PPTP隧道,實質上是基於IP協議上的另壹個PPP連接,其中的IP包可以封裝多種協議數據,包括TCP/IP、IPX和NetBEUI。PPTP采用了基於RSA公司RC4的數據加密方法,保證了虛擬連接通道的安全性。對於直接連到Internet上的客戶則不需要第壹重PPP的撥號連接,可以直接與PPTP服務器建立虛擬通道。 L2F 第二層轉發協議 L2F是由Cisco公司提出的可以在多種媒質如ATM、幀中繼、IP網上建立多協議的全VPN通信方式。遠端用戶能夠透過任何支持用戶采用撥號方式接入公***IP網絡,首先按常規方式撥號到ISP的接入服務器NAS,建立PPP連接;NAS根據用戶名等信息,發起第二重連接,通向HGW 服務器。在這種情況下隧道的配置、建立對用戶是完全透明的。 L2TP 第二層隧道協議 L2TP結合了L2F和PPTP的優點,可以讓用戶從客戶端或訪問服務器端發起VPN連接。L2TP是把鏈路層PPP幀封裝在公***網絡設施如IP、ATM、幀中繼中進行隧道傳輸的封裝協議。Cisco、Ascend、微軟和RedBack的專家們在修改了十幾個版本後終於在1999年8月公布了L2TP的標準RFC2661。
目前用戶撥號訪問Internet時,必須使用IP協議並且其動態得到的IP地址也是合法的,L2TP的好處在於支持多種協議,用戶可以保留原有的IPX、Appletalk等協議或公司原有的IP地址。L2TP還解決了多個PPP鏈路的捆綁問題,PPP鏈路捆綁要求其成員均指向同壹個NAS,L2TP可以使物理上連接到不同NAS的PPP鏈路,在邏輯上的終結點為同壹個物理設備。L2TP擴展了PPP連接,在傳統方式中用戶通過模擬電話線或ISDN/ADSL與網絡訪問服務器(NAS)建立壹個第2層的連接,並在其上運行PPP。其第2層連接的終結點和PPP會話的終結點在同壹個設備上(如NAS)。L2TP作為PPP的擴展提供更強的功能,第2層連接的終結點和PPP會話的終結點可以是不同的設備。
L2TP 主要由LAC(L2TP Access Concentrator) 和LNS(L2TP Network Server) 構成,LAC(L2TP訪問集中器)支持客戶端的L2TP,用於發起呼叫、接收呼叫和建立隧道;LNS(L2TP網絡服務器)是所有隧道的終點。在傳統的PPP連接中,用戶撥號連接的終點是LAC,L2TP使得PPP協議的終點延伸到LNS。
L2TP的建立過程是:
1.用戶通過公***電話網或ISDN撥號至本地的接入服務器LAC,LAC接收呼叫並進行基本的辨別,這壹過程可以采用幾種標準,如域名、呼叫線路識別(CLID)或撥號ID業務(DNIS)等。
2.當用戶被確認為合法企業用戶時,就建立壹個通向LNS的撥號VPN隧道。
3.通過企業內部的安全服務器如TACACS+、RADIUS鑒定撥號用戶。
4.LNS與遠程用戶交換PPP信息,分配IP地址。LNS可采用企業私有地址(未註冊的IP地址)或服務提供商提供的地址空間分配IP地址。因為內部源IP地址與目的地IP地址實際上都通過服務提供商的IP網絡在PPP信息包內傳送,企業私有地址對提供者的網絡是透明的。
5.端到端的數據從撥號用戶傳到LNS。
與PPTP和L2F相比,L2TP的優點在於提供了差錯和流量控制。作為PPP的擴展,L2TP支持標準的安全特性CHAP和PAP,可以進行用戶身份認證。L2TP定義了控制包的加密傳輸,對於每個被建立的隧道,生成壹個獨壹無二的隨機鑰匙,以便抵抗欺騙性的攻擊。但是對傳輸中的數據並不加密。 參考 /wzjs/images/xiaotong/ysxy/html/jishu-131.htm希望能幫上妳