|
VPN的建立可以基于几种不同的网络协议,其中最常见的是利用PPTP协议的VPN工作方式。
|
|
|
基于PPTP协议(点对点隧道协议)网络连接方式的VPN,允许一台客户机通过一个公共网络(如Internet)建立一个秘密的多协议VLAN网络。因此,它可以使公司远端的员工通过Internet而不是直接拨号连接公司的网络。这就是说,通过PPTP的封装,可以使非IP网络获得Internet通信的优点。PPTP是微软和其他厂家支持的标准,它是PPP协议的扩展,可以通过Internet建立多协议VPN。
|
|
|
VPN模仿点对点连接技术,依靠Internet服务提供商(ISP)和其他的网络服务提供商(NSP)在公用网中建立自己专用的"隧道",让数据包通过这条隧道传输。对于不同的信息来源,可分别给它们开出不同的隧道。于是,兼容性问题、不同的服务质量要求以及其他的麻烦都迎刃而解了。
|
|
|
PPTP协议是一种第二层隧道协议。为了传输来自不同网络的数据包,最普遍使用的方法是先把各种网络协议(IP、IPX和AppleTalk等)封装到PPP中,再把这整个数据包装入隧道协议里。这种双层封装形成的数据包需靠第二层协议进行传输,所以称之为"第二层隧道"。另一种方法是把各种网络协议直接装入隧道协议中,由于形成的数据包需靠第三层协议进行传输,所以称之为"第三层隧道"。
|
|
|
除了基于PPTP模式的VPN之外,VPN还可以基于以下几种协议。
|
|
|
|
GRE协议是由Cisco和Net-smiths等公司于1994年提交给IETF的,相关文档为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GRE隧道协议。
|
|
|
GRE规定了如何用一种网络协议去封装另一种网络协议的方法。GRE隧道由两端的源IP地址和目的IP地址来定义,允许用户使用IP包封装IP、IPX和AppleTalk包,并支持全部路由协议(如RIP2和OSPF等)。通过GRE,用户可以利用公共IP网络连接IPX网络和AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。GRE只提供了数据包的封装,没有加密功能来防止网络侦听和攻击,所以在实际环境中经常与IPSec一起使用,由IPSec提供用户数据的加密,从而给用户提供更好的安全性。
|
|
|
|
除Microsoft外,还有一些厂家也做了许多开发工作。PPTP能支持Macintosh和UNIX,而Cisco的L2F(Layer2 Forwarding)也是一个隧道协议。Microsoft、Cisco和其他一些网络厂商正一起努力使L2F与PPTP融合,产生一个新的L2TP协议。L2TP和PPTP十分相似,因为L2TP有一部分就是采用PPTP协议,这两个协议都允许客户通过其间的网络建立隧道。L2TP还支持信道认证,但它没有规定信道保护的方法。
|
|
|
|
开发这个协议的目的是解决当前协议中存在的一些缺点。IPSec是由IETF IP安全性工作组定义的协议集,用于确保网络层之间的安全通信。该协议草案建议使用IPSec协议集保护IP网和非IP网上的L2TP业务,并规定了如何共同使用IPSec和L2FP。下一小节将对IPSec的配置作详细介绍。
|
|
|