VPN区别于一般网络互联的关键于隧道的建立,然后数据包经过加密后,按隧道协议进行封装、传送以保安全性。一般,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有PPTP、L2TP等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec;另外,SOCKS v5协议则在TCP层实现数据安全。
Pptp--------------在PPP协议的基础上开发了PPTP,它集成于Windows NT Server4.0中,Windows NT Workstation和Windows 9.X也提供相应的客户端软件。PPP支持多种网络协议,可把IP、IPX、AppleTalk或NetBEUI的数据包封装在PPP包中,再将整个报文封装在PPTP隧道协议包中,最后,再嵌入IP报文或帧中继或ATM中进行传输。PPTP提供流量控制,减少拥塞的可能性,避免由包丢弃而引发包重传的数量。PPTP的加密方法采用Microsoft点对点加密(MPPE:Microsoft Point-to-Point Encryption)算法,可以选用较弱的40位密钥或强度较大的128位密钥。
Cisco提出L2F(Layer 2 Forwarding)隧道协议,它也支持多协议,但其主要用于Cisco的路由器和拨号访问服务器。1997年底,Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起,形成了L2TP协议。L2TP支持多协议,利用公共网络封装PPP帧,可以实现和企业原有非IP网的兼容。还继承了PPTP的流量控制,支持MP(Multilink Protocol),把多个物理通道捆绑为单一逻辑信道。L2TP使用PPP可靠性发送(RFC1663)实现数据包的可靠发送。L2TP隧道在两端的VPN服务器之间采用口令握手协议CHAP来验证对方的身份。L2TP受到了许多大公司的支持。
●优点:PPTP/L2TP对用微软操作系统的用户来说很方便,因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其他网络协议,如Novell的IPX,NetBEUI和Apple Talk协议,还支持流量控制。它通过减少丢弃包来改善网络性能,这样可减少重传。
●缺点:PPTP和L2TP将不安全的IP包封装在安全的IP包内,它们用IP帧在两台计算机之间创建和打开数据通道,一旦通道打开,源和目的用户身份就不再需要,这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制,没有强加密和认证支持。
PPTP和L2TP最适合用于远程访问虚拟专用网。