VPN的典型隧道协议

1、点对点隧道协议(PPTP)
　　点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP，通过因特网安全远程访问公司网络资源的新型技术。PPTP对PPP协议本身并没有做任何修改，只是使用PPP拨号连接，然后获取这些PPP包，并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证，另外也支持Microsoft公司的点到点加密技术（MPPE）。PPTP支持的是一种客户-LAN型隧道的VPN实现。
　　传统网络接入服务器(NAS) 执行以下功能：它是PSTN或ISDN的本地接口，控制着外部的MODEM或终端适配器：它是PPP链路控制协议会话的逻辑终点；它是PPP认证协议的执行者；它为PPP多链路由协议进行信道汇聚管理；它是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来，拨号PPP链路的终点就延伸至PNS。
PPTP协议正是利用了"NAS功能的分解"这样的机制支持在因特网上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能，通过PPTP，远程拥护首先拨号到本地ISP的NAS，访问企业的网络和应用，而不再需要直接拨号至企业的网络，这样，由GRE将PPP报文封装成IP报文就可以在PAC－PNS之间经由因特网传递，即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。
　　建立PPTP连接，首先需要建立客户端与本地ISP的PPP连接。一旦成功的接入因特网，下一步就是建立PPTP连接。从最顶端PPP客户端、PAC 和PNS服务器之间开始，由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中，所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲，PPP包从PPTP隧道的一端传输到另一端，这种隧道对用户是完全透明的。
　　PPTP具有两种不同的工作模式，即被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起，在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中，ISP为用户提供所有的相应服务和帮助。被动方式的好处是降低了对客户的要求，缺点是限制了客户对因特网其他部分的访问。
　　主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP隧道，这种方式不需要ISP的参与，不再需要位于ISP处的前端处理器，ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP的相应软件。
　　通过PPTP，远程用户经由因特网访问企业的网络和应用，而不再需要直接拨号至企业的网络。这样大大的减少了建立和维护专用远程线路的费用。且为企业提供了充分的安全保证。另外，PPTP还在IP网络中支持IP协议。PPTP"隧道"将IP、IPX、APPLE－TALK等协议封装在IP包中，使用户能够运行基于特定网络协议的应用程序。同时，"隧道"采用现有的安全检测和认证策略，还允许管理员和用户对数据进行加密，使数据更加安全。PPTP还提供了灵活的IP地址管理。如果企业专用的网络使用未经注册的IP地址，那么PNS将把此地址和企业专用地址联系起来。
　　PPTP协议是一个为中小企业提供的VPN解决方案，但PPTP协议在实现上存在着重大安全隐患。有研究表明其安全性甚至比PPP还要弱，因此不适用于需要一定安全保证的通信。如果条件允许，用户最好选择完全能够替代PPTP的下一代二层协议L2TP。

2、第二层转发(L2F)
　　L2F由Cisco公司在１９９８年５月提交给IETF，RFC2341对L2F有详细的阐述。L2F可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。它将链路层的协议(如HDLC，PPP，ASYNC等)封装起来传送。因此，网络的链路层完全独立于用户的链路层协议。L2F远端用户能够通过任何拨号方式接入公共IP网络，首先按常规方式拨号到ISP的接入服务器(NAS)，建立PPP连接：NAS根据用户名等信息，发起第二重连接，呼叫用户网络的服务器。在这种方式下隧道的建立和配置对用户是完全透明的。L2F允许拨号接入服务器发送PPP帧传输并通过WAN连接到达L2F服务器。L2F服务器将包去封装后把它们接入到公司自己的网络中。

3、二层隧道协议(L2TP)
　　L2TP协议的前身是Microsoft公司的点到点隧道协议(PPTP)和Cisco公司的二层转发协议(L2F)。PPTP协议是一个为中小企业提供的VPN解决方案。但PPTP协议在实现上存在着重大安全隐患，有研究表明其安全性甚至比PPP还要弱，因此不适用于需要一定安全保证的通信。L2F协议是一种安全通信隧道协议，但它的主要缺陷是没有把标准加密方法包括在内，因此它也已经成为一个过时的隧道协议。IETF的开放标准L2TP协议结合了PPTP协议和L2F的优点，特别适合组建远程接入方式的VPN，已经成为事实上的工业标准。
　　远程拨号的用户通过本地PSTN、ISDN或PLMN拨号，利用ISP提供的VPDN特服号，接入ISP在当地的接入服务器(NAS)。NAS通过当地的VPDN的管理系统(如认证系统)，对用户身份进行认证，并获得用户对应的企业安全网关(CPE)的隧道属性(如企业网关的IP地址等)。NAS根据获得的这些信息，采用适当的隧道协议封装上层协，议建立一个位于NAS和LNS(本地网络服务器)之间的虚拟转网。