關于VPN隧道技術在使用中的優(yōu)勢，對于VPN隧道技術破解問題，大家都很感興趣。在向大家詳細介紹如何VPN隧道技術之前，首先讓大家了解下一般密碼的基本流程，然后比較下面幾種方法的優(yōu)劣。

VPN隧道技術已經(jīng)成為越來越多企業(yè)使用的網(wǎng)絡連接方式了，為了進一步了解VPN，本篇將對它的隧道技術進行深入解釋。為了使得遠程的企業(yè)員工可以與總部實時的交換數(shù)據(jù)信息。企業(yè)得向ISP租用網(wǎng)絡提供服務。但公用網(wǎng)容易遭受各種安全攻擊（比如拒絕服務攻擊來堵塞正常的網(wǎng)絡服務，或竊取重要的企業(yè)內(nèi)部信息）

VPN隧道技術這個概念的引進就是用來解決這個問題。它是利用公用網(wǎng)絡來連接到企業(yè)私有網(wǎng)絡。但在VPN中，用安全機制來保障機密型，真實可靠行，完整性嚴格的訪問控制。這樣就建立了一個邏輯上虛擬的私有網(wǎng)絡。虛擬局域網(wǎng)提供了一個經(jīng)濟有效的手段來解決通過公用網(wǎng)絡安全的交換私有信息。

VPN隧道技術有何優(yōu)勢？

一般VPN隧道技術所具備的優(yōu)點有以下幾點：
◆最小成本：無須購買網(wǎng)絡設備和專用線路覆蓋所有遠程用戶
◆責任共享：通過購買公用網(wǎng)的資源，部分維護責任遷移至provider（更專業(yè)，有經(jīng)驗，是操作，維護成本降低）。
◆安全性：
◆保障Qos
◆可靠性：如果一個VPN節(jié)點壞了，可以一個替換VPN建立起來繞過他，這種恢復工作是得VPN操作可以盡可能的延續(xù)
◆可擴展性：可以通過從公用網(wǎng)申請更多得資源達到非常容易的擴展VPN,或者協(xié)商重構VPN
◆其中安全性是vpn最重要的一個特性,也是各類vpn產(chǎn)品所必須具備和支持的要素.

VPN隧道技術的安全技術剖析

目前VPN主要采用四項技術來保證安全，這四項技術分別是隧道技術（Tunneling）、加解密技術（Encryption & Decryption）、密鑰管理技術（Key Management）、使用者與設備身份認證技術（Authentication）。

加解密技術是數(shù)據(jù)通信中一項較成熟的技術，VPN可直接利用現(xiàn)有技術。

密鑰管理技術的主要任務是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

隧道指的是利用一種網(wǎng)絡協(xié)議來傳輸另一種網(wǎng)絡協(xié)議，它主要利用網(wǎng)絡隧道協(xié)議來實現(xiàn)這種功能。網(wǎng)絡隧道技術涉及了三種網(wǎng)絡協(xié)議，即網(wǎng)絡隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。網(wǎng)絡隧道技術是個關鍵技術,這項vpn的基本技術也是本文要詳細和闡述的。

VPN隧道技術網(wǎng)絡隧道協(xié)議深入解析

網(wǎng)絡隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸?，F(xiàn)有兩種類型的網(wǎng)絡隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡協(xié)議，它主要應用于構建遠程訪問虛擬專網(wǎng)（AccessVPN）；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡協(xié)議，它主要應用于構建企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）。

二層隧道協(xié)議第二層隧道協(xié)議是先把各種網(wǎng)絡協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進行傳輸。第二層隧道協(xié)議主要有以下三種：第一種是由微軟、Ascend、3COM 等公司支持的 PPTP（Point to Point Tunneling Protocol，點對點隧道協(xié)議），在WindowsNT4.0以上版本中即有支持。

第二種是Cisco、北方電信等公司支持的L2F（Layer2Forwarding，二層轉發(fā)協(xié)議），在 Cisco 路由器中有支持。第三種由 IETF 起草，微軟 Ascend 、Cisco、 3COM 等公司參與的 L2TP（Layer 2TunnelingProtocol，二層隧道協(xié)議）結合了上述兩個協(xié)議的優(yōu)點，L2TP協(xié)議是目前IETF的標準，由IETF融合PPTP與L2F而形成。這里就主要介紹一下 L2TP 網(wǎng)絡協(xié)議。

其中，LAC 表示 L2TP 訪問集中器（L2TPAccessConcentrator），是附屬在交換網(wǎng)絡上的具有 PPP 端系統(tǒng)和 L2TP 協(xié)議處理能力的設備，LAC 一般就是一個網(wǎng)絡接入服務器 NAS（Network Access Server）它用于為用戶通過 PSTN/ISDN 提供網(wǎng)絡接入服務；LNS 表示 L2TP 網(wǎng)絡服務器（L2TP Network Server），是 PPP 端系統(tǒng)上用于處理 L2TP 協(xié)議服務器端部分的軟件。

在一個LNS和LAC對之間存在著兩種類型的連接，一種是隧道（tunnel）連接，它定義了一個LNS和LAC對；另一種是會話（session）連接，它復用在隧道連接之上，用于表示承載在隧道連接中的每個 PPP 會話過程。

L2TP連接的維護以及PPP數(shù)據(jù)的傳送都是通過L2TP消息的交換來完成的，這些消息再通過 UDP的1701端口承載于TCP/IP之上。L2TP消息可以分為兩種類型，一種是控制消息，另一種是數(shù)據(jù)消息。

控制消息用于隧道連接和會話連接的建立與維護。數(shù)據(jù)消息用于承載用戶的 PPP 會話數(shù)據(jù)包。 L2TP 連接的維護以及 PPP 數(shù)據(jù)的傳送都是通過 L2TP 消息的交換來完成的，這些消息再通過UDP的1701端口承載于 TCP/IP 之上。

控制消息中的參數(shù)用AVP值對（AttributeValuePair）來表示，使得協(xié)議具有很好的擴展性；在控制消息的傳輸過程中還應用了消息丟失重傳和定時檢測通道連通性等機制來保證了 L2TP 層傳輸?shù)目煽啃浴?/p>

數(shù)據(jù)消息用于承載用戶的 PPP 會話數(shù)據(jù)包。L2TP 數(shù)據(jù)消息的傳輸不采用重傳機制，所以它無法保證傳輸?shù)目煽啃?，但這一點可以通過上層協(xié)議如TCP等得到保證；數(shù)據(jù)消息的傳輸可以根據(jù)應用的需要靈活地采用流控或不流控機制，甚至可以在傳輸過程中動態(tài)地使用消息序列號從而動態(tài)地激活消息順序檢測和流量控制功能；在采用流量控制的過程中，對于失序消息的處理采用了緩存重排序的方法來提高數(shù)據(jù)傳輸?shù)挠行浴?/p>