虚拟专用网络有多少隧道协议

❶ VPN相关技术

当您通过Internet使用VPN时，它会在两个设备/网络之间创建专用且加密的隧道。现在作为VPN，你很难对数据进行窃听，即使它被侵入，因为这是数据被加密，从返源这个加密数据中获取任何信息几乎是不可能的。有几种VPN隧道协议，如PPTP（点对点隧道协议），L2TP（第二层隧道协议），IPSec（Internet协议安全），SSL（安全套接字层）等，用于创建VPN隧道。

IPSec实现

工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构；包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换又称isakmp）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

整个IPSec VPN地实现基本简化为两个SA协商完成

SA（security association）：是两个通信实体经协商建立起来地一种协议，它们决定了用来保护数据包安全地IPsec协议，转码方式，密钥，以及密钥地有效存在时间等等

IKE（isakmp）SA： 协商对IKE数据流进行加密以及对对等体进行验证地算法（对密钥地加密和peer地认证） 对等体之间只能存在一个

第一阶段：建立ISAKMPSA协商的是以下信息：

1、对等体之间采用何种方式做认证，是预共享密钥还是数字证书。

2、双方使用哪种加密算法（DES、3DES）

3、双方使用哪种HMAC方式，是MD5还是SHA

4、双方使用哪种Diffie-Hellman密钥组

5、使用谈大哪种协商模式（主模式或主动模式）

6、协商SA的生存期

IPSec SA： 协商对对等体之间地IP数据流进行加密地算法  对等体之间可以存在多个

第二阶段：建立IPsecSA协商的是以下信息：

1、双方使用哪种封装技术，AH还是ESP

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式，是MD5还是SHA

4、使用哪种传输模式，是隧道模式还是传输模式

5、协商SA的生存期

名词解释：

AH协议（IP协议号为51）： 提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的含世竖工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

ESP协议（IP协议号为50）： 提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。

IPSec有两种工作模式：

隧道（tunnel）模式： 用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

传输（transport）模式： 只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

1. 数据认证

数据认证有如下两方面的概念：

身份认证：身份认证确认通信双方的身份。支持两种认证方法：预共享密钥（pre-shared-key）认证和基于PKI的数字签名（rsa-signature）认证。

身份保护：身份数据在密钥产生之后加密传送，实现了对身份数据的保护。

2. DH

DH（Diffie-Hellman，交换及密钥分发）算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据，计算出共享的密钥。即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，由于其复杂度很高，不足以计算出真正的密钥。所以，DH交换技术可以保证双方能够安全地获得公有信息。

3. PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。对于IPsec，是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

IKE的交换过程

IKE使用了两个阶段为IPsec进行密钥协商并建立SA：

第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA。第一阶段有主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方法。

第二阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。

如图2-1所示，第一阶段主模式的IKE协商过程中包含三对消息：

l 第一对叫SA交换，是协商确认有关安全策略的过程；

l 第二对消息叫密钥交换，交换Diffie-Hellman公共值和辅助数据（如：随机数），密钥材料在这个阶段产生；

l 最后一对消息是ID信息和认证数据交换，进行身份认证和对整个第一阶段交换内容的认证。

野蛮模式交换与主模式交换的主要差别在于，野蛮模式不提供身份保护，只交换3条消息。在对身份保护要求不高的场合，使用交换报文较少的野蛮模式可以提高协商的速度；在对身份保护要求较高的场合，则应该使用主模式。

IKE在IPsec中的作用

l 因为有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。

l IKE协议中的DH交换过程，每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程，保证了每个SA所使用的密钥互不相关。

l IPsec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值，此数溢出后，为实现防重放，SA需要重新建立，这个过程需要IKE协议的配合。

l 对安全通信的各方身份的认证和管理，将影响到IPsec的部署。IPsec的大规模使用，必须有CA（Certificate Authority，认证中心）或其他集中管理身份数据的机构的参与。

l IKE提供端与端之间动态认证。

IPsec与IKE的关系

图 5 IPsec与IKE的关系图

从图2-2中我们可以看出IKE和IPsec的关系：

l IKE是UDP之上的一个应用层协议，是IPsec的信令协议；

l IKE为IPsec协商建立SA，并把建立的参数及生成的密钥交给IPsec；

l IPsec使用IKE建立的SA对IP报文加密或认证处理。

SSL VPN简介

SSL VPN是以SSL协议为安全基础的VPN远程接入技术，移动办公人员（在SSL VPN中被称为远程用户）使用SSL VPN可以安全、方便的接入企业内网，访问企业内网资源，提高工作效率。

SSL VPN技术优势：

无客户端的便捷部署

应用层接入的安全保护

企业延伸的效率提升

SSL协议从身份认证、机密性、完整性三个方面确保了数据通信的安全 。

SSL VPN实现私密性 完整性 不可否认 源认证

SSL VPN的特点：

采用B/S架构，远程用户无需安装额外软件，可直接使用浏览器访问内网资源。

SSL VPN可根据远程用户访问内网资源的不同，对其访问权限进行高细粒度控制。

提供了本地认证、服务器认证、认证匿名和证书挑战多种身份认证方式，提高身份认证的灵活性。

可以使用主机检查策略。

缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问哼唧，加固用户的信息安全。

PN类型详解 PPTP VPN

PPTP：点对点隧道协议，一种支持多协议虚拟专用网络（VPN）的网络技术，工作在第二层数据链路层。以同样工作在第二层的点对点传输协议（PPP）为基础，PPTP将PPP帧封装成IP数据包，以便于在互联网上传输并可以通过密码验证协议（PAP），可扩展认证协议（EAP）增加安全性。远程用户能够通过安装有点对点协议的操作系统访问公司网络资源。

PPTP VPN的实现需要：客户机和服务器之间必须有联通并且可用的IP网络。

该VPN可在Windows、Linux环境下搭建，或者通过配置路由器来实现。

L2F：第二层转发协议。 用于建立跨越公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 L2F允许高层协议的链路层隧道技术，使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

L2TP VPN

L2TP：二层隧道协议，结合PPTP与L2F两种二层隧道协议的优点，为众多公司接受。 L2TP扩展了PPP模型，它使用PPP来封装用户数据，允许多协议通过隧道传送，作为安全性增强，L2TP与IPSec（Internet协议安全性）结合——L2TP/IPsec， L2TP基于UDP协议，因此L2TP不保证数据消息的可靠投递，若数据丢失，不予重传。

L2TP 的实现：与PPTP不同， PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接。

该VPN可在Windows、Linux环境下搭建，或者通过配置防火墙、路由器来实现。

MPLS VPN

MPLS：多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。

它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

传统的VPN是基于 PPTP L2TP等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。

基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。

MPLSVPN网络主要由CE、PE和P等3部分组成：

CE（Customer Edge）：用户网络边缘设备，可以是路由器 交换机 主机。

PE（Provider Edge）：是服务商边缘路由器，位于骨干网络。

P（Provider）：是服务提供商网络中的骨干路由器

SSL工作Socket层,IPsec工作在网络层.

SSL(安全套接层)是一个基于标准的加密协议，提供加密和身份识别服务。SSL广泛应用于在互联网上提供加密的通讯。SSL最普通的应用是在网络浏览器中通过HTTPS实现的。然而，SSL是一种透明的协议，对用户基本上是不可见的，它可应用于任何基于TCP/IP的应用程序。

  通用路由封装协议GRE（Generic Routing Encapsulation） 提供了 将一种协议的报文封装在另一种协议报文中 的机制，是一种 隧道封装技术 。GRE可以 封装组播数据 ，并可以 和IPSec结合使用 ，从而保证语音、视频等组播业务的安全

 IPSec  用于在两个端点之间提供安全的IP通信，但只能加密并传播单播数据，无法加密和传输语音、视频、动态路由协议信息等组播数据流量

 GRE属于网络层协议 IP协议号为47

GRE的优点总结：

 GRE实现机制简单，对隧道两端的设备负担小

 GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本

 GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑

 GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通

 GRE隧道将不连续的子网连接起来，用于组建实现企业总部和分支间安全的连接

 GRE属于网络层协议 IP协议号为47

GRE的优点总结：

 GRE实现机制简单，对隧道两端的设备负担小

 GRE隧道可以通过IPv4网络连通多种网络协议的本地网络，有效利用了原有的网络架构，降低成本

 GRE隧道扩展了跳数受限网络协议的工作范围，支持企业灵活设计网络拓扑

 GRE隧道可以封装组播数据，和IPSec结合使用时可以保证语音、视频等组播业务的安全

 GRE隧道支持使能MPLS LDP，使用GRE隧道承载MPLS LDP报文，建立LDP LSP，实现MPLS骨干网的互通

 GRE隧道将不连续的子网连接起来，用于组建,实现企业总部和分支间安全的连接

隧道接口

 GRE隧道是通过隧道两端的 Tunnel接口 建立的，所以需要在隧道两端的设备上分别配置 Tunnel接口 。对于GRE的Tunnel接口，需要指定其协议类型为GRE、源地址或源接口、目的地址和Tunnel接口IP地址

  隧道接口（tunnel接口） 是为实现报文的封装而提供的一种点对点类型的虚拟接口 与loopback接口类似 都是一种 逻辑接

 GRE隧道接口包含 源地址 、 目的地址 和 隧道接口IP地址 和 封装类型

 Tunnel的源地址：配置报文传输协议中的源地址。

 当配置地址类型时，直接作为源地址使用

 当配置类型为源接口时，取该接口的IP地址作为源地址使用

  Tunnel的目的地址 ：配置报文传输协议中的目的地址

  Tunnel接口IP地址 ：为了在Tunnel接口上启用动态路由协议，或使用静态路由协议发布Tunnel接口，需要为Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公网地址，甚至可以借用其他接口的IP地址以节约IP地址。但是当Tunnel接口借用IP地址后，该地址不能直接通过tunnel口互通，因此在借用IP地址情况下，必须配置静态路由或路由协议先实现借用地址的互通性，才能实现Tunnel的互通。

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一种用于承载PPP报文的隧道技术，该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。

L2TP VPN的优点：

身份验证机制，支持本地认证，支持Radius服务器等认证方式

多协议传输，L2TP传输PPP数据包，PPP本身可以传输多协议，而不仅仅是IP可以在PPP数据包内封装多种协议

计费认证地址分配

可在LAC和LNS两处同时计费，即ISP处（用于产生账单）及企业网关（用于付费及审计）。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费

LNS可放置于企业网的USG之后，对远端用户地址进行动态分配和管理，可支持私有地址应用

不受NAT限制穿越，支持远程接入，灵活的身份验证及时以及高度的安全性，L2TP协议本身并不提供连接的安全性，但它可以依赖于PPP提供的认证（CHAP、PAP等），因此具有PP所具有的所有安全特性。

L2TP和PPTP区别：

L2TP：公有协议、UDP1701、支持隧道验证，支持多个协议，多个隧道，压缩字节，支持三种模式

PPTP：私有协议、TCP1723、不支持隧道验证，只支持IP、只支持点到点

PPTP：

点对点隧道协议（PPTP）是由包括Microsoft和3com等公司组成的PPTP论坛开发的，一种点对点隧道协议，基于拔号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用Microsoft的点对点加密算法MPPE。

L2TP：

第二层隧道协议（L2TP）是IETF基于L2F（Cisco的2层转发协议）开发的PPTP后续版本，是一种工业标准Internet隧道协议。

两者的主要区别主要有以下几点：

PPTP只能在两端间建立单一隧道，L2TP支持在两端点间使用多隧道，这样可以针对不同的用户创建不同的服务质量

L2TP可以提供隧道验证机制，而PPTP不能提供这样的机制，但当L2TP或PPTP与IPSec共同使用时，可以由IPSec提供隧道验证，不需要在第二层协议上提供隧道验证机制

PPTP要求互联网络为IP网络，而L2TP只要求隧道媒介提供面向数据包的点对点连接，L2TP可以在IP（使用UDP），FR，ATM，x.25网络上使用

L2TP可以提供包头压缩。当压缩包头时，系统开销（voerhead）占用4个字节，而PPTP协议下要占用6个字节

❷ VPN目前使用的隧道协议有哪些各有什么特点

VPN的隧道协议主逗哗敏要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二芦哗层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，山枝应用最广泛的一种。

❸ VPN通信协议有哪几种

VPN通信协议有有以下几种：

一、PPTP: Point to Point Tunneling Protocol --点到点隧道协议

该协议是在PPP协议的基础上开发的一种新的增强告誉型安全协议，支持多协议虚拟专用网（VPN），可以通过密码验证协议（PAP）、可扩展认证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

二、L2F: Layer 2 Forwarding -- 第二层转发协议

L2F，或第二层转发协议（Layer 2 Forwarding Protocol），是由思科系统公司开发的，创建在互联网上的虚拟专用网络连接的隧道协议。L2F协议本身并不提供加密或保密；它依赖于协议被传输以提供保密。L2F是专为郑洞隧道点对点协议（PPP）通信。

三、L2TP: Layer 2 Tunneling Protocol --第二层隧道协议

L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

四、喊友枯三层隧道协议

三层隧道协议是用公用网来封装和传输三层（网路层）协议（如IP、IPX、AppleTalk等），此时在隧道内传输的是网路层的分组。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 通路路由封装协议就是一个三层隧道协议。IETF制定的IP层加密标准协议IPSec 也是一个三层速到协议，利用IPSec（ESP/AN）的隧道模式构成的VPN隧道。

❹ VPN使用的隧道协议可以有那几类分别有哪些协议

vpn中的隧道是由隧道协议形成的，vpn使用的隧道协议主要有三种：点到点隧道协议（pptp）、第二层隧道协议（l2tp）以及型帆ipsec。
pptp封装了ppp数据包中包含的
用户信息，支持隧道交换。隧道交换可以根据用户权限，开启并分配新的隧道，将ppp数据包在网络中传输。另外，隧道交换还可以将用户导向指定的企业内部服
务器。pptp便于企业在防火墙和内部服务器上实施访问控制。位于企业防火墙的隧道终端器接受包含用户信息的ppp数据包，然后对不同来源的数据包实施访
问控制。
l2tp协议综合了pptp协议和l2f（layer 2 forwarding）协议的优点,并且支持多路隧道，这样可以使用户同时访问internet和企业网。
ipsec是用来增强vpn安全性的
标准协议。ipsec包含了用户身份认证、查验和数据完整性等内容。该协议标准由ietf组织制订，其中规定了用以在两个ip工作站之间进行加密、数字签
名等而使用的一系列ip级协议。ipsec实现来自不同厂商的设备在进行隧道开通和终止时的互操作。另外，由于ipsec的安全性功能与密钥管理系统松散
耦合，所以当密钥管肢租盯理系统发生变化时，ipsec的安全机制历和不需要进行修改。
基于mpls的vpn是一种基于网络的新型vpn解决方案，它要求广域网络支持
mpls，利用mpls的标记交换在广域网络上为vpn用户提供虚拟连接。mpls vpn的优点是全网统一管理的能力很强，由于mpls
vpn是基于网络的，全部的vpn网络配置和vpn策略配置都在网络端完成，可以大大降低管理维护的开销。
itu－t形成的基于网络ip vpn草案中提出了关于基于mpls的ip vpn技术要求，在业务提供商的网络中采用ip技术，且骨干网用mpls，对于ip vpn业务只能在边缘设备上提供，而对于骨干设备，ip vpn业务是透明的，这样才有利于可扩展性

❺ 什么是 L2TP

L2TP
第二层隧道协议 (L2TP) 是一种支持多协议虚拟专用网络 (VPN) 的联网技术，它允许远程用户通过 Internet 安全地访问企业网络。类似点对点隧道协议 (PPTP)，通过其他远程访问技术，例如通过 DSL 所提供的 Internet 访问，它可以被用于为隧道式端对端 Internet 连接提供安全保护。与 PPTP 不同，L2TP 不依赖特定厂商的加密技术即可达到完全安全和成功的实施。由于此原因，它可能成为 Internet 上保护虚拟专用网安全的标准。Windows 2000 通过 IP 安全性 (IPSec) 技术和“路由和远程访问”服务实现 L2TP 支持。

❻ VPN三层隧道协议GRE IPsec

这个技术很复杂,一下子难以说的太清楚,
验证报头 (AH) 可对整个数据包（IP 报头与数磨改据包中的数据有效负载）提供验证、完整性与抗重播。但是它不提供保密性，即它不对数据进行加密。
封装安全有效负载 (ESP) 为 IP 有效负载提供机密性（除了身份验证、完旁慎整性和抗重播）。传输模式的 ESP 不会对整个数据包进行签名。而且仅保护 IP 有效负载（不包括 IP 报头）。ESP 可以独立使用，也可与 AH 组合使用。
--
而MD5或者是sha只是一种散列运游敬算法,用来保证消息的完整性;

❼ 网络虚拟化的虚拟专用网络

虚拟专用网络VPN“Virtual Private Network”。vpn被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
功能
VPN可以提供的功能： 防火墙功能、认证、加密、隧道化。
VPN可以通过特殊加密的通讯协议连接到Internet上，在位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，好比通过安全隧道，到达目的地，而不用为隧道的建设付费，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或Windows 2000及以上操作系统中都支持VPN功能，一句话，VPN的核心就是利用公共网络建立虚拟私有网。
常用协议
常用的虚拟专用网络协议有：
IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。
IPsec作为一个协议族(即一系列相互关联的协议)由以下部分组成：
(1)保护分组流的协议;
(2)用来建立这些安全分组流的密钥交换协议。
前者又分成两个部分：加密分组流的封装安全载荷(ESP)及较少使用的认证头(AH)，认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。
PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议在因特网上建立IP虚拟专用网(VPN)隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。
L2F: Layer 2 Forwarding -- 第二层转发协议
L2TP: Layer 2 Tunneling Protocol --第二层隧道协议
GRE：VPN的第三层隧道协议
OpenVPN:OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpenSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。
MPLS VPN集隧道技术和路由技术于一身，吸取基于虚电路的VPN的QoS保证的优点，并克服了它们未能解决的缺点。MPLS组网具有极好的灵活性、扩展性，用户只需一条线路接入MPLS网，便可以实现任何节点之间的直接通信，可实现用户节点之间的星型、全网状以及其他任何形式的逻辑拓扑
使用方法
一.便携网帐号申请开通
企业向运营商申请租用一批便携网使用帐号(即license，译：许可证),由企业自行管理分配帐号。企业管理员可以将需要使用便携网的各个部门，成立不同的VPN域，即不同的工作组，比如可分为财务、人事、市场、外联部等等。同一工作组内的成员可以互相通讯，既加强了成员之间的联络，又保证了数据的安全。而各个工作组之间不能互相通讯，保证了企业内部数据的安全。
二.便携网客户端安装
1.系统需求
表—列出了在装有Microsoft Windows操作系统的计算机上安装便
携网络客户端软件(yPND：your Portable Network Desktop)的最小系统要求。计算机配置必须符合或高于最小系统要求才能成功的安装和使用便携网络客户端软件
2.预安装
为成功安装 便携网络客户端 软件必须确保满足下列情况：
计算机符合“系统需求”表所列的最小系统要求。
安装程序会检查系统是否符合要求，如果不满足就不能继续安装，必须使系统符合最低配置要求才能进行安装。
· 必须拥有计算机的系统管理员权限才能安装。
技术特点
1.安全保障
虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。
2.服务质量保证(QoS)
VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。
QoS通过流量预测与流量控制策略，可以按照优先级实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。
3.可扩充性和灵活性
VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。
4.可管理性
从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。
主要优势
1)建网快速方便用户只需将各网络节点采用专线方式本地接入公用网络，并对网络进行相关配置即可。
2)降低建网投资由于VPN是利用公用网络为基础而建立的虚拟专网，因而可以避免建设传统专用网络所需的高额软硬件投资。
3)节约使用成本用户采用VPN组网，可以大大节约链路租用费及网络维护费用，从而减少企业的运营成本。
4)网络安全可靠实现VPN主要采用国际标准的网络安全技术，通过在公用网络上建立逻辑隧道及网络层的加密，避免网络数据被修改和盗用，保证了用户数据的安全性及完整性。
5)简化用户对网络的维护及管理大量的网络管理及维护工作由公用网络服务提供商来完成。

❽ 虚拟专用网络是什么

VPN的英文全称是“Virtual Private Network”，翻译过来就是“虚拟专用网络”。虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路。虚拟专用网络功能是：在公用网络上建立专用网络，进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN有多种分类方式，主要是按协议进行分类。VPN可通过服务器、硬件、软件等多种方式实现。VPN具有成本低，易于使用的特点。

虚拟专用网络（Virtual Private Network ，简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。实现VPN，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。

❾ vpn使用的网络协议是什么

VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。
常用的虚拟私人网络协议有帆裤：
IPSec : IPsec(缩写IP Security)是保护IP协议安全通信的标准，它主要对IP协议分组进行加密和认证。
IPsec作为一个协议族（即一系列相互关联的协议）由以下部分组成：(1)保护分组流的协议；(2)用来建立这些安全分组流的密钥交换协议。前者又分成两个部分：加密分组流的封装安全载荷（ESP）及较少使态困简用的认证头（AH），认证头提供了对分组流的认证并保证其消息完整性，但不提供保密性。目前为止，IKE协议是唯一已经制定的密钥交换协议。
PPTP: Point to Point Tunneling Protocol -- 点到点隧道协议
在因特网上建立IP虚拟专用网（尺凯VPN）隧道的协议，主要内容是在因特网上建立多协议安全虚拟专用网的通信方式。

❿ VPN是专用的安全协议吗

VPN是专用的安全协议。
一.VPN简介

VPN是英文“Virtual Private Network”的缩写，中文意思是“虚拟专用网络”。

VPN是虚拟出来的企业内部专线。通过特殊加密的通讯协议，为连接在Internet上，不同地理位置的两个或多个企业内部网，建立一条专有的通讯线路，就像架设了一条专线，但不需要真正去铺设光缆之类的物理线路。

VPN被定义为通过一个公用互联网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定隧道。

使用这条隧道可以对数据进行几倍加密达到安全使用互联网的目的，广泛使用企业办公当中。

虚拟专用网也可以是针对企业内部网的扩展，虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

因此很多办公一族在自己电脑中也需要建立VPN连接，方便远程办公等等。

二.VPN特点

由于VPN是在Internet上临时建立的安全专用虚拟网络，用户就节省了租用专线的费用。

在运行的资金支出上，除了购买VPN设备，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，也节省了长途电话费。这就是VPN价格低廉的原因。

三.VPN的构成以及工作原理

VPN由VPN服务器、VPN连接（internet公共网络）、协议隧道、VPN客户机组成。

工作原理

1、通常情况下，VPN网关采取双网卡结构，外网卡使用公网IP接入Internet。

2、网络一（假定为公网internet）的终端A访问网络二（假定为公司内网）的终端B，其发出的访问数据包的目标地址为终端B的内部IP地址。

3、网络一的VPN网关在接收到终端A发出的访问数据包时对其目标地址进行检查。

如果目标地址属于网络二的地址，则将该数据包进行封装，封装的方式根据所采用的VPN技术不同而不同。

同时VPN网关会构造一个新VPN数前碧据包，并将封装后的原数据包作为VPN数据包的负载，VPN数据包的目标地址为网络二的VPN网关的外部地址。

4、网络一的VPN网关将VPN数据包发送到Internet，由于VPN数据包的目标地址是网络二的VPN网关的外部地址，所以该数据包将被Internet中的路顷悔伍由正确地发送到网络二的VPN网关。

5、网络二的VPN网关对接收到的数据包进行检查，如果发现该数据包是从网络一的VPN网关发出的，即可判定该数据包为VPN数据包，并对该数据包进行解包处理。

解包的过程主要是先将VPN数据包的包头剥离，再将数据包反向处理还原成原始的数据包。

6、网络二的VPN网关将还原后的原始数据包发送至目标终端B，由于原始数据包雀或的目标地址是终端B的IP，所以该数据包能够被正确地发送到终端B。在终端B看来，它收到的数据包就和从终端A直接发过来的一样。

7、从终端B返回终端A的数据包处理过程和上述过程一样，这样两个网络内的终端就可以相互通讯了。

在VPN网关对数据包进行处理时，有两个参数对于VPN通讯十分重要：原始数据包的目标地址（VPN目标地址）和远程VPN网关地址。

根据VPN目标地址，VPN网关能够判断对哪些数据包进行VPN处理，对于不需要处理的数据包通常情况下可直接转发到上级路由。远程VPN网关地址则指定了处理后的VPN数据包发送的目标地址，即VPN隧道的另一端VPN网关地址。

由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的远端VPN网关地址。

实现方式

VPN的实现有很多种方法，常用的有以下四种：

1．VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。

2．软件VPN：可以通过专用的软件实现VPN。

3．硬件VPN：可以通过专用的硬件实现VPN。

4．集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。

根据不同的划分标准，VPN可以按几个标准进行分类划分：

1、按VPN的协议分类

VPN的隧道协议主要有三种：PPTP、L2TP和IPSec。其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议。IPSec是第三层隧道协议。

2、按VPN的应用分类

（1）Access VPN（远程接入VPN）：客户端到网关，使用公网作为骨干网在设备之间传输VPN数据流量。

（2）Intranet VPN（内联网VPN）：网关到网关，通过公司的网络架构连接来自公司的资源。

（3）Extranet VPN（外联网VPN）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接。