虛擬專用網路有多少隧道協議

❶ VPN相關技術

當您通過Internet使用VPN時，它會在兩個設備/網路之間創建專用且加密的隧道。現在作為VPN，你很難對數據進行竊聽，即使它被侵入，因為這是數據被加密，從返源這個加密數據中獲取任何信息幾乎是不可能的。有幾種VPN隧道協議，如PPTP（點對點隧道協議），L2TP（第二層隧道協議），IPSec（Internet協議安全），SSL（安全套接字層）等，用於創建VPN隧道。

IPSec實現

工作於TCP/IP第三層IP層上網路數據安全地一整套體系結構；包括網路認證協議AH（Authentication Header，認證頭）、ESP（Encapsulating Security Payload，封裝安全載荷）、IKE（Internet Key Exchange，網際網路密鑰交換又稱isakmp）和用於網路認證及加密的一些演算法等。其中，AH協議和ESP協議用於提供安全服務，IKE協議用於密鑰交換。

整個IPSec VPN地實現基本簡化為兩個SA協商完成

SA（security association）：是兩個通信實體經協商建立起來地一種協議，它們決定了用來保護數據包安全地IPsec協議，轉碼方式，密鑰，以及密鑰地有效存在時間等等

IKE（isakmp）SA： 協商對IKE數據流進行加密以及對對等體進行驗證地演算法（對密鑰地加密和peer地認證） 對等體之間只能存在一個

第一階段：建立ISAKMPSA協商的是以下信息：

1、對等體之間採用何種方式做認證，是預共享密鑰還是數字證書。

2、雙方使用哪種加密演算法（DES、3DES）

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、雙方使用哪種Diffie-Hellman密鑰組

5、使用談大哪種協商模式（主模式或主動模式）

6、協商SA的生存期

IPSec SA： 協商對對等體之間地IP數據流進行加密地演算法  對等體之間可以存在多個

第二階段：建立IPsecSA協商的是以下信息：

1、雙方使用哪種封裝技術，AH還是ESP

2、雙方使用哪種加密演算法

3、雙方使用哪種HMAC方式，是MD5還是SHA

4、使用哪種傳輸模式，是隧道模式還是傳輸模式

5、協商SA的生存期

名詞解釋：

AH協議（IP協議號為51）： 提供數據源認證、數據完整性校驗和防報文重放功能，它能保護通信免受篡改，但不能防止竊聽，適合用於傳輸非機密數據。AH的含世豎工作原理是在每一個數據包上添加一個身份驗證報文頭，此報文頭插在標准IP包頭後面，對數據提供完整性保護。可選擇的認證演算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

ESP協議（IP協議號為50）： 提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每一個數據包的標准IP包頭後面添加一個ESP報文頭，並在數據包後面追加一個ESP尾。與AH協議不同的是，ESP將需要保護的用戶數據進行加密後再封裝到IP包中，以保證數據的機密性。常見的加密演算法有DES、3DES、AES等。同時，作為可選項，用戶可以選擇MD5、SHA-1演算法保證報文的完整性和真實性。

IPSec有兩種工作模式：

隧道（tunnel）模式： 用戶的整個IP數據包被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被封裝在一個新的IP數據包中。通常，隧道模式應用在兩個安全網關之間的通訊。

傳輸（transport）模式： 只是傳輸層數據被用來計算AH或ESP頭，AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常，傳輸模式應用在兩台主機之間的通訊，或一台主機和一個安全網關之間的通訊。

1. 數據認證

數據認證有如下兩方面的概念：

身份認證：身份認證確認通信雙方的身份。支持兩種認證方法：預共享密鑰（pre-shared-key）認證和基於PKI的數字簽名（rsa-signature）認證。

身份保護：身份數據在密鑰產生之後加密傳送，實現了對身份數據的保護。

2. DH

DH（Diffie-Hellman，交換及密鑰分發）演算法是一種公共密鑰演算法。通信雙方在不傳輸密鑰的情況下通過交換一些數據，計算出共享的密鑰。即使第三者（如黑客）截獲了雙方用於計算密鑰的所有交換數據，由於其復雜度很高，不足以計算出真正的密鑰。所以，DH交換技術可以保證雙方能夠安全地獲得公有信息。

3. PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一種安全特性，指一個密鑰被破解，並不影響其他密鑰的安全性，因為這些密鑰間沒有派生關系。對於IPsec，是通過在IKE階段2協商中增加一次密鑰交換來實現的。PFS特性是由DH演算法保障的。

IKE的交換過程

IKE使用了兩個階段為IPsec進行密鑰協商並建立SA：

第一階段，通信各方彼此間建立了一個已通過身份認證和安全保護的通道，即建立一個ISAKMP SA。第一階段有主模式（Main Mode）和野蠻模式（Aggressive Mode）兩種IKE交換方法。

第二階段，用在第一階段建立的安全隧道為IPsec協商安全服務，即為IPsec協商具體的SA，建立用於最終的IP數據安全傳輸的IPsec SA。

如圖2-1所示，第一階段主模式的IKE協商過程中包含三對消息：

l 第一對叫SA交換，是協商確認有關安全策略的過程；

l 第二對消息叫密鑰交換，交換Diffie-Hellman公共值和輔助數據（如：隨機數），密鑰材料在這個階段產生；

l 最後一對消息是ID信息和認證數據交換，進行身份認證和對整個第一階段交換內容的認證。

野蠻模式交換與主模式交換的主要差別在於，野蠻模式不提供身份保護，只交換3條消息。在對身份保護要求不高的場合，使用交換報文較少的野蠻模式可以提高協商的速度；在對身份保護要求較高的場合，則應該使用主模式。

IKE在IPsec中的作用

l 因為有了IKE，IPsec很多參數（如：密鑰）都可以自動建立，降低了手工配置的復雜度。

l IKE協議中的DH交換過程，每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程，保證了每個SA所使用的密鑰互不相關。

l IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是一個32比特的值，此數溢出後，為實現防重放，SA需要重新建立，這個過程需要IKE協議的配合。

l 對安全通信的各方身份的認證和管理，將影響到IPsec的部署。IPsec的大規模使用，必須有CA（Certificate Authority，認證中心）或其他集中管理身份數據的機構的參與。

l IKE提供端與端之間動態認證。

IPsec與IKE的關系

圖 5 IPsec與IKE的關系圖

從圖2-2中我們可以看出IKE和IPsec的關系：

l IKE是UDP之上的一個應用層協議，是IPsec的信令協議；

l IKE為IPsec協商建立SA，並把建立的參數及生成的密鑰交給IPsec；

l IPsec使用IKE建立的SA對IP報文加密或認證處理。

SSL VPN簡介

SSL VPN是以SSL協議為安全基礎的VPN遠程接入技術，移動辦公人員（在SSL VPN中被稱為遠程用戶）使用SSL VPN可以安全、方便的接入企業內網，訪問企業內網資源，提高工作效率。

SSL VPN技術優勢：

無客戶端的便捷部署

應用層接入的安全保護

企業延伸的效率提升

SSL協議從身份認證、機密性、完整性三個方面確保了數據通信的安全 。

SSL VPN實現私密性 完整性 不可否認 源認證

SSL VPN的特點：

採用B/S架構，遠程用戶無需安裝額外軟體，可直接使用瀏覽器訪問內網資源。

SSL VPN可根據遠程用戶訪問內網資源的不同，對其訪問許可權進行高細粒度控制。

提供了本地認證、伺服器認證、認證匿名和證書挑戰多種身份認證方式，提高身份認證的靈活性。

可以使用主機檢查策略。

緩存清理策略用於清理遠程用戶訪問內網過程中在終端上留下的訪問哼唧，加固用戶的信息安全。

PN類型詳解 PPTP VPN

PPTP：點對點隧道協議，一種支持多協議虛擬專用網路（VPN）的網路技術，工作在第二層數據鏈路層。以同樣工作在第二層的點對點傳輸協議（PPP）為基礎，PPTP將PPP幀封裝成IP數據包，以便於在互聯網上傳輸並可以通過密碼驗證協議（PAP），可擴展認證協議（EAP）增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網路資源。

PPTP VPN的實現需要：客戶機和伺服器之間必須有聯通並且可用的IP網路。

該VPN可在Windows、Linux環境下搭建，或者通過配置路由器來實現。

L2F：第二層轉發協議。 用於建立跨越公共網路的安全隧道來將ISP POP連接到企業內部網關。這個隧道建立了一個用戶與企業客戶網路間的虛擬點對點連接。 L2F允許高層協議的鏈路層隧道技術，使得把原始撥號伺服器的位置和撥號協議連接終止與提供的網路訪問位置分離成為可能。

L2TP VPN

L2TP：二層隧道協議，結合PPTP與L2F兩種二層隧道協議的優點，為眾多公司接受。 L2TP擴展了PPP模型，它使用PPP來封裝用戶數據，允許多協議通過隧道傳送，作為安全性增強，L2TP與IPSec（Internet協議安全性）結合——L2TP/IPsec， L2TP基於UDP協議，因此L2TP不保證數據消息的可靠投遞，若數據丟失，不予重傳。

L2TP 的實現：與PPTP不同， PPTP要求網路為IP網路，L2TP要求面向數據包的點對點連接。

該VPN可在Windows、Linux環境下搭建，或者通過配置防火牆、路由器來實現。

MPLS VPN

MPLS：多協議標簽交換（MPLS）是一種用於快速數據包交換和路由的體系，它為網路數據流量提供了目標、路由地址、轉發和交換等能力。更特殊的是，它具有管理各種不同形式通信流的機制。

它提供了一種方式，將IP地址映射為簡單的具有固定長度的標簽，用於不同的包轉發和包交換技術。

傳統的VPN是基於 PPTP L2TP等隧道協議來實現私有網路間數據流在公網上的傳送。而LSP本身就是公網上的隧道，所以用MPLS來實現VPN有天然的優勢。

基於MPLS的VPN就是通過LSP將私有網路的不同分支聯結起來，形成一個統一的網路。基於MPLS的VPN還支持對不同VPN間的互通控制。

MPLSVPN網路主要由CE、PE和P等3部分組成：

CE（Customer Edge）：用戶網路邊緣設備，可以是路由器 交換機 主機。

PE（Provider Edge）：是服務商邊緣路由器，位於骨幹網路。

P（Provider）：是服務提供商網路中的骨幹路由器

SSL工作Socket層,IPsec工作在網路層.

SSL(安全套接層)是一個基於標準的加密協議，提供加密和身份識別服務。SSL廣泛應用於在互聯網上提供加密的通訊。SSL最普通的應用是在網路瀏覽器中通過HTTPS實現的。然而，SSL是一種透明的協議，對用戶基本上是不可見的，它可應用於任何基於TCP/IP的應用程序。

  通用路由封裝協議GRE（Generic Routing Encapsulation） 提供了 將一種協議的報文封裝在另一種協議報文中 的機制，是一種 隧道封裝技術 。GRE可以 封裝組播數據 ，並可以 和IPSec結合使用 ，從而保證語音、視頻等組播業務的安全

 IPSec  用於在兩個端點之間提供安全的IP通信，但只能加密並傳播單播數據，無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量

 GRE屬於網路層協議 IP協議號為47

GRE的優點總結：

 GRE實現機制簡單，對隧道兩端的設備負擔小

 GRE隧道可以通過IPv4網路連通多種網路協議的本地網路，有效利用了原有的網路架構，降低成本

 GRE隧道擴展了跳數受限網路協議的工作范圍，支持企業靈活設計網路拓撲

 GRE隧道可以封裝組播數據，和IPSec結合使用時可以保證語音、視頻等組播業務的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現MPLS骨幹網的互通

 GRE隧道將不連續的子網連接起來，用於組建實現企業總部和分支間安全的連接

 GRE屬於網路層協議 IP協議號為47

GRE的優點總結：

 GRE實現機制簡單，對隧道兩端的設備負擔小

 GRE隧道可以通過IPv4網路連通多種網路協議的本地網路，有效利用了原有的網路架構，降低成本

 GRE隧道擴展了跳數受限網路協議的工作范圍，支持企業靈活設計網路拓撲

 GRE隧道可以封裝組播數據，和IPSec結合使用時可以保證語音、視頻等組播業務的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承載MPLS LDP報文，建立LDP LSP，實現MPLS骨幹網的互通

 GRE隧道將不連續的子網連接起來，用於組建,實現企業總部和分支間安全的連接

隧道介面

 GRE隧道是通過隧道兩端的 Tunnel介面 建立的，所以需要在隧道兩端的設備上分別配置 Tunnel介面 。對於GRE的Tunnel介面，需要指定其協議類型為GRE、源地址或源介面、目的地址和Tunnel介面IP地址

  隧道介面（tunnel介面） 是為實現報文的封裝而提供的一種點對點類型的虛擬介面 與loopback介面類似 都是一種 邏輯接

 GRE隧道介麵包含 源地址 、 目的地址 和 隧道介面IP地址 和 封裝類型

 Tunnel的源地址：配置報文傳輸協議中的源地址。

 當配置地址類型時，直接作為源地址使用

 當配置類型為源介面時，取該介面的IP地址作為源地址使用

  Tunnel的目的地址 ：配置報文傳輸協議中的目的地址

  Tunnel介面IP地址 ：為了在Tunnel介面上啟用動態路由協議，或使用靜態路由協議發布Tunnel介面，需要為Tunnel介面分配IP地址。Tunnel介面的IP地址可以不是公網地址，甚至可以借用其他介面的IP地址以節約IP地址。但是當Tunnel介面借用IP地址後，該地址不能直接通過tunnel口互通，因此在借用IP地址情況下，必須配置靜態路由或路由協議先實現借用地址的互通性，才能實現Tunnel的互通。

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一種用於承載PPP報文的隧道技術，該技術主要應用在遠程辦公場景中為出差員工遠程訪問企業內網資源提供接入服務。

L2TP VPN的優點：

身份驗證機制，支持本地認證，支持Radius伺服器等認證方式

多協議傳輸，L2TP傳輸PPP數據包，PPP本身可以傳輸多協議，而不僅僅是IP可以在PPP數據包內封裝多種協議

計費認證地址分配

可在LAC和LNS兩處同時計費，即ISP處（用於產生賬單）及企業網關（用於付費及審計）。L2TP能夠提供數據傳輸的出入包數、位元組數以及連接的起始、結束時間等計費數據，可根據這些數據方便地進行網路計費

LNS可放置於企業網的USG之後，對遠端用戶地址進行動態分配和管理，可支持私有地址應用

不受NAT限制穿越，支持遠程接入，靈活的身份驗證及時以及高度的安全性，L2TP協議本身並不提供連接的安全性，但它可以依賴於PPP提供的認證（CHAP、PAP等），因此具有PP所具有的所有安全特性。

L2TP和PPTP區別：

L2TP：公有協議、UDP1701、支持隧道驗證，支持多個協議，多個隧道，壓縮位元組，支持三種模式

PPTP：私有協議、TCP1723、不支持隧道驗證，只支持IP、只支持點到點

PPTP：

點對點隧道協議（PPTP）是由包括Microsoft和3com等公司組成的PPTP論壇開發的，一種點對點隧道協議，基於拔號使用的PPP協議使用PAP或CHAP之類的加密演算法，或者使用Microsoft的點對點加密演算法MPPE。

L2TP：

第二層隧道協議（L2TP）是IETF基於L2F（Cisco的2層轉發協議）開發的PPTP後續版本，是一種工業標准Internet隧道協議。

兩者的主要區別主要有以下幾點：

PPTP只能在兩端間建立單一隧道，L2TP支持在兩端點間使用多隧道，這樣可以針對不同的用戶創建不同的服務質量

L2TP可以提供隧道驗證機制，而PPTP不能提供這樣的機制，但當L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，不需要在第二層協議上提供隧道驗證機制

PPTP要求互聯網路為IP網路，而L2TP只要求隧道媒介提供面向數據包的點對點連接，L2TP可以在IP（使用UDP），FR，ATM，x.25網路上使用

L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷（voerhead）佔用4個位元組，而PPTP協議下要佔用6個位元組

❷ VPN目前使用的隧道協議有哪些各有什麼特點

VPN的隧道協議主逗嘩敏要有三種，PPTP，L2TP和IPSec，其中PPTP和L2TP協議工作在OSI模型的第二蘆嘩層，又稱為二層隧道協議；IPSec是第三層隧道協議，也是最常見的協議。L2TP和IPSec配合使用是目前性能最好，山枝應用最廣泛的一種。

❸ VPN通信協議有哪幾種

VPN通信協議有有以下幾種：

一、PPTP: Point to Point Tunneling Protocol --點到點隧道協議

該協議是在PPP協議的基礎上開發的一種新的增強告譽型安全協議，支持多協議虛擬專用網（VPN），可以通過密碼驗證協議（PAP）、可擴展認證協議（EAP）等方法增強安全性。可以使遠程用戶通過撥入ISP、通過直接連接Internet或其他網路安全地訪問企業網。

二、L2F: Layer 2 Forwarding -- 第二層轉發協議

L2F，或第二層轉發協議（Layer 2 Forwarding Protocol），是由思科系統公司開發的，創建在互聯網上的虛擬專用網路連接的隧道協議。L2F協議本身並不提供加密或保密；它依賴於協議被傳輸以提供保密。L2F是專為鄭洞隧道點對點協議（PPP）通信。

三、L2TP: Layer 2 Tunneling Protocol --第二層隧道協議

L2TP是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網路數據流進行加密。不過也有不同之處，比如PPTP要求網路為IP網路，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。

四、喊友枯三層隧道協議

三層隧道協議是用公用網來封裝和傳輸三層（網路層）協議（如IP、IPX、AppleTalk等），此時在隧道內傳輸的是網路層的分組。三層隧道協議並非是一種很新的技術，早已出現的RFC 1701 通路路由封裝協議就是一個三層隧道協議。IETF制定的IP層加密標准協議IPSec 也是一個三層速到協議，利用IPSec（ESP/AN）的隧道模式構成的VPN隧道。

❹ VPN使用的隧道協議可以有那幾類分別有哪些協議

vpn中的隧道是由隧道協議形成的，vpn使用的隧道協議主要有三種：點到點隧道協議（pptp）、第二層隧道協議（l2tp）以及型帆ipsec。
pptp封裝了ppp數據包中包含的
用戶信息，支持隧道交換。隧道交換可以根據用戶許可權，開啟並分配新的隧道，將ppp數據包在網路中傳輸。另外，隧道交換還可以將用戶導向指定的企業內部服
務器。pptp便於企業在防火牆和內部伺服器上實施訪問控制。位於企業防火牆的隧道終端器接受包含用戶信息的ppp數據包，然後對不同來源的數據包實施訪
問控制。
l2tp協議綜合了pptp協議和l2f（layer 2 forwarding）協議的優點,並且支持多路隧道，這樣可以使用戶同時訪問internet和企業網。
ipsec是用來增強vpn安全性的
標准協議。ipsec包含了用戶身份認證、查驗和數據完整性等內容。該協議標准由ietf組織制訂，其中規定了用以在兩個ip工作站之間進行加密、數字簽
名等而使用的一系列ip級協議。ipsec實現來自不同廠商的設備在進行隧道開通和終止時的互操作。另外，由於ipsec的安全性功能與密鑰管理系統鬆散
耦合，所以當密鑰管肢租盯理系統發生變化時，ipsec的安全機制歷和不需要進行修改。
基於mpls的vpn是一種基於網路的新型vpn解決方案，它要求廣域網路支持
mpls，利用mpls的標記交換在廣域網路上為vpn用戶提供虛擬連接。mpls vpn的優點是全網統一管理的能力很強，由於mpls
vpn是基於網路的，全部的vpn網路配置和vpn策略配置都在網路端完成，可以大大降低管理維護的開銷。
itu－t形成的基於網路ip vpn草案中提出了關於基於mpls的ip vpn技術要求，在業務提供商的網路中採用ip技術，且骨幹網用mpls，對於ip vpn業務只能在邊緣設備上提供，而對於骨幹設備，ip vpn業務是透明的，這樣才有利於可擴展性

❺ 什麼是 L2TP

L2TP
第二層隧道協議 (L2TP) 是一種支持多協議虛擬專用網路 (VPN) 的聯網技術，它允許遠程用戶通過 Internet 安全地訪問企業網路。類似點對點隧道協議 (PPTP)，通過其他遠程訪問技術，例如通過 DSL 所提供的 Internet 訪問，它可以被用於為隧道式端對端 Internet 連接提供安全保護。與 PPTP 不同，L2TP 不依賴特定廠商的加密技術即可達到完全安全和成功的實施。由於此原因，它可能成為 Internet 上保護虛擬專用網安全的標准。Windows 2000 通過 IP 安全性 (IPSec) 技術和「路由和遠程訪問」服務實現 L2TP 支持。

❻ VPN三層隧道協議GRE IPsec

這個技術很復雜,一下子難以說的太清楚,
驗證報頭 (AH) 可對整個數據包（IP 報頭與數磨改據包中的數據有效負載）提供驗證、完整性與抗重播。但是它不提供保密性，即它不對數據進行加密。
封裝安全有效負載 (ESP) 為 IP 有效負載提供機密性（除了身份驗證、完旁慎整性和抗重播）。傳輸模式的 ESP 不會對整個數據包進行簽名。而且僅保護 IP 有效負載（不包括 IP 報頭）。ESP 可以獨立使用，也可與 AH 組合使用。
--
而MD5或者是sha只是一種散列運游敬演算法,用來保證消息的完整性;

❼ 網路虛擬化的虛擬專用網路

虛擬專用網路VPN「Virtual Private Network」。vpn被定義為通過一個公用網路(通常是網際網路)建立一個臨時的、安全的連接，是一條穿過混亂的公用網路的安全、穩定隧道。使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的。虛擬專用網是對企業內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
功能
VPN可以提供的功能： 防火牆功能、認證、加密、隧道化。
VPN可以通過特殊加密的通訊協議連接到Internet上，在位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，好比通過安全隧道，到達目的地，而不用為隧道的建設付費，但是它並不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬體設備。VPN技術原是路由器具有的重要技術之一，在交換機，防火牆設備或Windows 2000及以上操作系統中都支持VPN功能，一句話，VPN的核心就是利用公共網路建立虛擬私有網。
常用協議
常用的虛擬專用網路協議有：
IPSec : IPsec(縮寫IP Security)是保護IP協議安全通信的標准，它主要對IP協議分組進行加密和認證。
IPsec作為一個協議族(即一系列相互關聯的協議)由以下部分組成：
(1)保護分組流的協議;
(2)用來建立這些安全分組流的密鑰交換協議。
前者又分成兩個部分：加密分組流的封裝安全載荷(ESP)及較少使用的認證頭(AH)，認證頭提供了對分組流的認證並保證其消息完整性，但不提供保密性。目前為止，IKE協議是唯一已經制定的密鑰交換協議。
PPTP: Point to Point Tunneling Protocol -- 點到點隧道協議在網際網路上建立IP虛擬專用網(VPN)隧道的協議，主要內容是在網際網路上建立多協議安全虛擬專用網的通信方式。
L2F: Layer 2 Forwarding -- 第二層轉發協議
L2TP: Layer 2 Tunneling Protocol --第二層隧道協議
GRE：VPN的第三層隧道協議
OpenVPN:OpenVPN使用OpenSSL庫加密數據與控制信息：它使用了OpenSSL的加密以及驗證功能，意味著，它能夠使用任何OpenSSL支持的演算法。它提供了可選的數據包HMAC功能以提高連接的安全性。此外，OpenSSL的硬體加速也能提高它的性能。
MPLS VPN集隧道技術和路由技術於一身，吸取基於虛電路的VPN的QoS保證的優點，並克服了它們未能解決的缺點。MPLS組網具有極好的靈活性、擴展性，用戶只需一條線路接入MPLS網，便可以實現任何節點之間的直接通信，可實現用戶節點之間的星型、全網狀以及其他任何形式的邏輯拓撲
使用方法
一.便攜網帳號申請開通
企業向運營商申請租用一批便攜網使用帳號(即license，譯：許可證),由企業自行管理分配帳號。企業管理員可以將需要使用便攜網的各個部門，成立不同的VPN域，即不同的工作組，比如可分為財務、人事、市場、外聯部等等。同一工作組內的成員可以互相通訊，既加強了成員之間的聯絡，又保證了數據的安全。而各個工作組之間不能互相通訊，保證了企業內部數據的安全。
二.便攜網客戶端安裝
1.系統需求
表—列出了在裝有Microsoft Windows操作系統的計算機上安裝便
攜網路客戶端軟體(yPND：your Portable Network Desktop)的最小系統要求。計算機配置必須符合或高於最小系統要求才能成功的安裝和使用便攜網路客戶端軟體
2.預安裝
為成功安裝 便攜網路客戶端 軟體必須確保滿足下列情況：
計算機符合「系統需求」表所列的最小系統要求。
安裝程序會檢查系統是否符合要求，如果不滿足就不能繼續安裝，必須使系統符合最低配置要求才能進行安裝。
· 必須擁有計算機的系統管理員許可權才能安裝。
技術特點
1.安全保障
雖然實現VPN的技術和方式很多，但所有的VPN均應保證通過公用網路平台傳輸數據的專用性和安全性。在安全性方面，由於VPN直接構建在公用網上，實現簡單、方便、靈活，但同時其安全問題也更為突出。企業必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，並且要防止非法用戶對網路資源或私有信息的訪問。
2.服務質量保證(QoS)
VPN網應當為企業數據提供不同等級的服務質量保證。不同的用戶和業務對服務質量保證的要求差別較大。在網路優化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網路阻塞，使實時性要求高的數據得不到及時發送;而在流量低谷時又造成大量的網路帶寬空閑。
QoS通過流量預測與流量控制策略，可以按照優先順序實現帶寬管理，使得各類數據能夠被合理地先後發送，並預防阻塞的發生。
3.可擴充性和靈活性
VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。
4.可管理性
從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網路風險、具有高擴展性、經濟性、高可靠性等優點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。
主要優勢
1)建網快速方便用戶只需將各網路節點採用專線方式本地接入公用網路，並對網路進行相關配置即可。
2)降低建網投資由於VPN是利用公用網路為基礎而建立的虛擬專網，因而可以避免建設傳統專用網路所需的高額軟硬體投資。
3)節約使用成本用戶採用VPN組網，可以大大節約鏈路租用費及網路維護費用，從而減少企業的運營成本。
4)網路安全可靠實現VPN主要採用國際標準的網路安全技術，通過在公用網路上建立邏輯隧道及網路層的加密，避免網路數據被修改和盜用，保證了用戶數據的安全性及完整性。
5)簡化用戶對網路的維護及管理大量的網路管理及維護工作由公用網路服務提供商來完成。

❽ 虛擬專用網路是什麼

VPN的英文全稱是「Virtual Private Network」，翻譯過來就是「虛擬專用網路」。虛擬專用網路我們可以把它理解成是虛擬出來的企業內部專線。它可以通過特殊的加密的通訊協議在連接在Internet上的位於不同地方的兩個或多個企業內部網之間建立一條專有的通訊線路。虛擬專用網路功能是：在公用網路上建立專用網路，進行加密通訊。在企業網路中有廣泛應用。VPN網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。VPN有多種分類方式，主要是按協議進行分類。VPN可通過伺服器、硬體、軟體等多種方式實現。VPN具有成本低，易於使用的特點。

虛擬專用網路（Virtual Private Network ，簡稱VPN)指的是在公用網路上建立專用網路的技術。其之所以稱為虛擬網，主要是因為整個VPN網路的任意兩個節點之間的連接並沒有傳統專網所需的端到端的物理鏈路，而是架構在公用網路服務商所提供的網路平台，如Internet、ATM(非同步傳輸模式〉、Frame Relay （幀中繼）等之上的邏輯網路，用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網路或公共網路的封裝、加密和身份驗證鏈接的專用網路的擴展。VPN主要採用了隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。實現VPN，最關鍵部分是在公網上建立虛信道，而建立虛信道是利用隧道技術實現的，IP隧道的建立可以是在鏈路層和網路層。第二層隧道主要是PPP連接，如PPTP，L2TP，其特點是協議簡單，易於加密，適合遠程撥號用戶；第三層隧道是IPinIP，如IPSec，其可靠性及擴展性優於第二層隧道，但沒有前者簡單直接。

❾ vpn使用的網路協議是什麼

VPN主要採用隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
常用的虛擬私人網路協議有帆褲：
IPSec : IPsec(縮寫IP Security)是保護IP協議安全通信的標准，它主要對IP協議分組進行加密和認證。
IPsec作為一個協議族（即一系列相互關聯的協議）由以下部分組成：(1)保護分組流的協議；(2)用來建立這些安全分組流的密鑰交換協議。前者又分成兩個部分：加密分組流的封裝安全載荷（ESP）及較少使態困簡用的認證頭（AH），認證頭提供了對分組流的認證並保證其消息完整性，但不提供保密性。目前為止，IKE協議是唯一已經制定的密鑰交換協議。
PPTP: Point to Point Tunneling Protocol -- 點到點隧道協議
在網際網路上建立IP虛擬專用網（尺凱VPN）隧道的協議，主要內容是在網際網路上建立多協議安全虛擬專用網的通信方式。

❿ VPN是專用的安全協議嗎

VPN是專用的安全協議。
一.VPN簡介

VPN是英文「Virtual Private Network」的縮寫，中文意思是「虛擬專用網路」。

VPN是虛擬出來的企業內部專線。通過特殊加密的通訊協議，為連接在Internet上，不同地理位置的兩個或多個企業內部網，建立一條專有的通訊線路，就像架設了一條專線，但不需要真正去鋪設光纜之類的物理線路。

VPN被定義為通過一個公用互聯網路建立一個臨時的、安全的連接，是一條穿過混亂的公用網路的安全、穩定隧道。

使用這條隧道可以對數據進行幾倍加密達到安全使用互聯網的目的，廣泛使用企業辦公當中。

虛擬專用網也可以是針對企業內部網的擴展，虛擬專用網可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。

因此很多辦公一族在自己電腦中也需要建立VPN連接，方便遠程辦公等等。

二.VPN特點

由於VPN是在Internet上臨時建立的安全專用虛擬網路，用戶就節省了租用專線的費用。

在運行的資金支出上，除了購買VPN設備，企業所付出的僅僅是向企業所在地的ISP支付一定的上網費用，也節省了長途電話費。這就是VPN價格低廉的原因。

三.VPN的構成以及工作原理

VPN由VPN伺服器、VPN連接（internet公共網路）、協議隧道、VPN客戶機組成。

工作原理

1、通常情況下，VPN網關採取雙網卡結構，外網卡使用公網IP接入Internet。

2、網路一（假定為公網internet）的終端A訪問網路二（假定為公司內網）的終端B，其發出的訪問數據包的目標地址為終端B的內部IP地址。

3、網路一的VPN網關在接收到終端A發出的訪問數據包時對其目標地址進行檢查。

如果目標地址屬於網路二的地址，則將該數據包進行封裝，封裝的方式根據所採用的VPN技術不同而不同。

同時VPN網關會構造一個新VPN數前碧據包，並將封裝後的原數據包作為VPN數據包的負載，VPN數據包的目標地址為網路二的VPN網關的外部地址。

4、網路一的VPN網關將VPN數據包發送到Internet，由於VPN數據包的目標地址是網路二的VPN網關的外部地址，所以該數據包將被Internet中的路頃悔伍由正確地發送到網路二的VPN網關。

5、網路二的VPN網關對接收到的數據包進行檢查，如果發現該數據包是從網路一的VPN網關發出的，即可判定該數據包為VPN數據包，並對該數據包進行解包處理。

解包的過程主要是先將VPN數據包的包頭剝離，再將數據包反向處理還原成原始的數據包。

6、網路二的VPN網關將還原後的原始數據包發送至目標終端B，由於原始數據包雀或的目標地址是終端B的IP，所以該數據包能夠被正確地發送到終端B。在終端B看來，它收到的數據包就和從終端A直接發過來的一樣。

7、從終端B返回終端A的數據包處理過程和上述過程一樣，這樣兩個網路內的終端就可以相互通訊了。

在VPN網關對數據包進行處理時，有兩個參數對於VPN通訊十分重要：原始數據包的目標地址（VPN目標地址）和遠程VPN網關地址。

根據VPN目標地址，VPN網關能夠判斷對哪些數據包進行VPN處理，對於不需要處理的數據包通常情況下可直接轉發到上級路由。遠程VPN網關地址則指定了處理後的VPN數據包發送的目標地址，即VPN隧道的另一端VPN網關地址。

由於網路通訊是雙向的，在進行VPN通訊時，隧道兩端的VPN網關都必須知道VPN目標地址和與此對應的遠端VPN網關地址。

實現方式

VPN的實現有很多種方法，常用的有以下四種：

1．VPN伺服器：在大型區域網中，可以通過在網路中心搭建VPN伺服器的方法實現VPN。

2．軟體VPN：可以通過專用的軟體實現VPN。

3．硬體VPN：可以通過專用的硬體實現VPN。

4．集成VPN：某些硬體設備，如路由器、防火牆等，都含有VPN功能，但是一般擁有VPN功能的硬體設備通常都比沒有這一功能的要貴。

根據不同的劃分標准，VPN可以按幾個標准進行分類劃分：

1、按VPN的協議分類

VPN的隧道協議主要有三種：PPTP、L2TP和IPSec。其中PPTP和L2TP協議工作在OSI模型的第二層，又稱為二層隧道協議。IPSec是第三層隧道協議。

2、按VPN的應用分類

（1）Access VPN（遠程接入VPN）：客戶端到網關，使用公網作為骨幹網在設備之間傳輸VPN數據流量。

（2）Intranet VPN（內聯網VPN）：網關到網關，通過公司的網路架構連接來自公司的資源。

（3）Extranet VPN（外聯網VPN）：與合作夥伴企業網構成Extranet，將一個公司與另一個公司的資源進行連接。