VPN的典型隧道协议

4、多协议标记交换(MPLS)
　　MPLS为每个IP包加上一个固定长度的标签，并根据标签值转发数据包。MPLS实际上就是一种隧道技术，所以使用它来建立VPN隧道是十分容易的。同时，MPLS是一种完备的网络技术，可以用它来建立起VPN成员之间简单而高效的VPN。MPLS VPN适用于实现对服务质量、服务等级的划分以及网络资源的利用率、网络的可靠性有较高要求的VPN业务。
　　CE路由器是用于将一个用户站点接入服务提供者网络的用户边缘路由器。CE路由器不使用MPLS，它可以只是一台IP路由器。CE不必支持任何VPN的特定路由协议或信令。
　　PE路由器是与用户CE路由器相连的服务提供者边缘路由器。PE实际上就是MPLS中的边缘标记交换路由器(LER)，它需要能够支持BGP协议，一种或几种IGP路由协议以及MPLS协议，需要能够执行IP包检查、协议转换等功能。
　　用户站点是指这样一组网络或子网，它们是用户网络的一部分并且通过一条或多条PE/CE链路接至VPN。一组共享相同路由信息的站点就构成了VPN。一个站点可以同时位于不同的几个VPN之中。
　　从MPLS VPN网络的结构可以看到，与前几种VPN技术不同，MPLS VPN网络中的主角虽然仍然是边缘路由器(此时是MPLS网络的边缘LSR)，但是它需要公共IP网内部的所有相关路由都能够支持MPLS，所以这种技术对网络有较为特殊的要求。

5、IP安全(IPSec)
　　IPSec是专门为IP设计提供安全服务的一种协议(其实是一种协议族)。IPSec可有效保护IP数据报的安全，所采取的具体保护形式包括：数据源验证、无连接数据的完整性验证、数据内容的机密性保护、抗重播保护等。
　　IPSec主要由AH(认证头)、ESP(封装安全载荷)、IKE(因特网密钥交换)三个协议组成，各协议之间的关系如下图所示

　　①AH为IP数据包提供无连接的数据完整性和数据源身份认证，同时具有防重放攻击的能力。数据完整性校验通过消息认证码(如MD5)产生的校验来保证；数据源身份认证通过在待认证数据中加入一个共享密钥来实现；AH报头中的序列号可以防止重放攻击。
　　②ESP为IP数据包提供数据的保密性 (加密)、无连接的数据完整性、数据源身份认证以及防重放攻击保护。其中的数据保密性是ESP的基本功能，而数据源身份证、数据完整性检验以及重放保护都是可选的。
　　③AH和ESP可以单独使用，也可以结合使用，甚至嵌套使用。通过这些组合方式，可以在两台主机、两台安全网关(防火墙和路由器)，或者主机与安全网关之间使用。
　　④解释域(DOI)将所有的IPSec协议捆绑在一起，是IPSec安全参数的主要数据库。
　　⑤密钥管理包括IKE协议和安全联盟(SA)等部分。IKE提供密钥确定、密钥管理。它在通信系统之间建立安全联盟，是一个产生和交换密钥材料并协调IPSec参数框架。
IPSec可以在主机、路由器／防火墙(创建一个安全网关)或两者中同时实施和部署。用户可以根据对安全服务的要求决定究竟在什么地方实施。

6、通用路由封装(GRE)
　　通用路由协议封装(GRE)是由Cisco和NetSmiths等公司１９９４年提交给IETF的，标号为RFC1701和RFC1702。目前有多数厂商的网络设备均支持GER隧道协议。
　　GER规定了如何用一种网络协议去封装另一种网络协议的方法。GER的隧道由两端的源IP和目的IP来定义，允许用户使用IP包封装IP、IPX、AppleTalk包，并支持全部的路由协议(如RIP2、OSPF等)。通过GER，用户可以利用公共IP网络连接IPX网络、AppleTalk网络，还可以使用保留地址进行网络互联，或者对公网隐藏企业网的IP地址。GER只提供了数据包的封装，并没有加密功能来防止网络侦听和攻击，所以在实际环境中经常与IPSec在一起使用，由IPSec提供用户数据的加密，从而给用户提供更好的安全性。GER的实施策略以及网络结构与IPSec非常相似，只需要网络边缘的接入设备支持GER协议即可。GER封装的格式如下图。