具體羅列VPN服務(wù)的特性問(wèn)題，也許大家聽(tīng)說(shuō)過(guò)VPN服務(wù)，下面主要向大家介紹D-Link路由器VPN服務(wù)的相關(guān)知識(shí)，如何合理運(yùn)用D-Link路由器VPN服務(wù)來(lái)為我們帶來(lái)方便呢？下面將做出具體的介紹。

靈活的身份驗(yàn)證機(jī)制以及高度的安全性

L2TP 可以選擇多種身份驗(yàn)證機(jī)制（CHAP、PAP等），繼承了PPP的所有安全特性，L2TP 還可以對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證，這使得通過(guò)L2TP所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡(luò)安全要求還可以方便地在L2TP之上采用隧道加密、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。

內(nèi)部地址分配支持

LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)于遠(yuǎn)端用戶(hù)的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持DHCP和私有地址應(yīng)用（RFC1918）等方案。遠(yuǎn)端用戶(hù)所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。

網(wǎng)絡(luò)計(jì)費(fèi)的靈活性

可以在LAC和LNS兩處同時(shí)計(jì)費(fèi)，即ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費(fèi)及審記）。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。

VPN服務(wù)可靠性

L2TP 協(xié)議可以支持備份 LNS，當(dāng)一個(gè)主 LNS 不可達(dá)之后，LAC（接入服務(wù)器）可以重新與備份 LNS 建立連接，這樣增加了 VPN服務(wù)的可靠性和容錯(cuò)性。

VPN服務(wù)統(tǒng)一的網(wǎng)絡(luò)管理

L2TP協(xié)議將很快地成為標(biāo)準(zhǔn)的RFC協(xié)議，有關(guān)L2TP的標(biāo)準(zhǔn)MIB也將很快地得到制定，這樣可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理。

三層隧道協(xié)議

第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。三層隧道協(xié)議并非是一種很新的技術(shù)，早已出現(xiàn)的 RFC 1701 Generic Routing Encapsulation（GRE）協(xié)議就是個(gè)三層隧道協(xié)議。新出來(lái)的 IETF 的 IP 層加密標(biāo)準(zhǔn)協(xié)議 IPSec 協(xié)議也是個(gè)三層隧道協(xié)議。

IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來(lái)提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。 它不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)，它包括網(wǎng)絡(luò)安全協(xié)議 Authentication Header（AH）協(xié)議和 Encapsulating Security Payload（ESP）協(xié)議、密鑰管理協(xié)議Internet Key Exchange （IKE）協(xié)議和用于網(wǎng)絡(luò)驗(yàn)證及加密的一些算法等。下面就IPSec的認(rèn)證與加密機(jī)制和協(xié)議分別做一些詳細(xì)說(shuō)明。

IPSec認(rèn)證包頭（AH）：

它是一個(gè)用于提供IP數(shù)據(jù)報(bào)完整性和認(rèn)證的機(jī)制。其完整性是保證數(shù)據(jù)報(bào)不被無(wú)意的或惡意的方式改變，而認(rèn)證則驗(yàn)證數(shù)據(jù)的來(lái)源（識(shí)別主機(jī)、用戶(hù)、網(wǎng)絡(luò)等）。AH本身其實(shí)并不支持任何形式的加密，它不能保證通過(guò)Internet發(fā)送的數(shù)據(jù)的可信程度。

AH只是在加密的出口、進(jìn)口或使用受到當(dāng)?shù)卣拗频那闆r下可以提高全球Intenret的安全性。當(dāng)全部功能實(shí)現(xiàn)后，它將通過(guò)認(rèn)證IP包并且減少基于IP欺騙的攻擊機(jī)率來(lái)提供更好的安全服務(wù)。AH使用的包頭放在標(biāo)準(zhǔn)的IPv4和IPv6包頭和下一個(gè)高層協(xié)議幀（如TCP、UDP、ICMP等）之間。

AH協(xié)議通過(guò)在整個(gè)IP數(shù)據(jù)報(bào)中實(shí)施一個(gè)消息文摘計(jì)算來(lái)提供完整性和認(rèn)證服務(wù)。一個(gè)消息文摘就是一個(gè)特定的單向數(shù)據(jù)函數(shù)，它能夠創(chuàng)建數(shù)據(jù)報(bào)的唯一的數(shù)字指紋。消息文摘算法的輸出結(jié)果放到AH包頭的認(rèn)證數(shù)據(jù)（Authentication_Data）區(qū)。

消息文摘5算法（MD5）是一個(gè)單向數(shù)學(xué)函數(shù)。當(dāng)應(yīng)用到分組數(shù)據(jù)中時(shí)，它將整個(gè)數(shù)據(jù)分割成若干個(gè)128比特的信息分組。每個(gè)128比特為一組的信息是大分組數(shù)據(jù)的壓縮或摘要的表示。當(dāng)以這種方式使用時(shí)，MD5只提供數(shù)字的完整性服務(wù)。

一個(gè)消息文摘在被發(fā)送之前和數(shù)據(jù)被接收到以后都可以根據(jù)一組數(shù)據(jù)計(jì)算出來(lái)。如果兩次計(jì)算出來(lái)的文摘值是一樣的，那么分組數(shù)據(jù)在傳輸過(guò)程中就沒(méi)有被改變。這樣就防止了無(wú)意或惡意的竄改。在使用HMAC－MD5認(rèn)證過(guò)的數(shù)據(jù)交換中，發(fā)送者使用以前交換過(guò)的密鑰來(lái)首次計(jì)算數(shù)據(jù)報(bào)的64比特分組的MD5文摘。

從一系列的16比特中計(jì)算出來(lái)的文摘值被累加成一個(gè)值，然后放到AH包頭的認(rèn)證數(shù)據(jù)區(qū)，隨后數(shù)據(jù)報(bào)被發(fā)送給接收者。接收者也必須知道密鑰值，以便計(jì)算出正確的消息文摘并且將其與接收到的認(rèn)證消息文摘進(jìn)行適配。如果計(jì)算出的和接收到的文摘值相等，那么數(shù)據(jù)報(bào)在發(fā)送過(guò)程中就沒(méi)有被改變，而且可以相信是由只知道秘密密鑰的另一方發(fā)送的。

封包安全協(xié)議（ESP）包頭：

它提供IP數(shù)據(jù)報(bào)的完整性和可信性服務(wù)ESP協(xié)議是設(shè)計(jì)以?xún)煞N模式工作的：隧道（Tunneling）模式和傳輸（Transport）模式。兩者的區(qū)別在于IP數(shù)據(jù)報(bào)的ESP負(fù)載部分的內(nèi)容不同。在隧道模式中，整個(gè)IP數(shù)據(jù)報(bào)都在ESP負(fù)載中進(jìn)行封裝和加密。

當(dāng)這完成以后，真正的IP源地址和目的地址都可以被隱藏為Internet發(fā)送的普通數(shù)據(jù)。這種模式的一種典型用法就是在防火墻－防火墻之間通過(guò)虛擬專(zhuān)用網(wǎng)的連接時(shí)進(jìn)行的主機(jī)或拓?fù)潆[藏。在傳輸模式中，只有更高層協(xié)議幀（TCP、UDP、ICMP等）被放到加密后的IP數(shù)據(jù)報(bào)的ESP負(fù)載部分。在這種模式中，源和目的IP地址以及所有的IP包頭域都是不加密發(fā)送的。

IPSec要求在所有的ESP實(shí)現(xiàn)中使用一個(gè)通用的缺省算法即DES－CBC算法。美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是一個(gè)現(xiàn)在使用得非常普遍的加密算法。它最早是在由美國(guó)政府公布的，最初是用于商業(yè)應(yīng)用。到現(xiàn)在所有DES專(zhuān)利的保護(hù)期都已經(jīng)到期了，因此全球都有它的免費(fèi)實(shí)現(xiàn)。

IPSecESP標(biāo)準(zhǔn)要求所有的ESP實(shí)現(xiàn)支持密碼分組鏈方式（CBC）的DES作為缺省的算法。DES－CBC通過(guò)對(duì)組成一個(gè)完整的IP數(shù)據(jù)包（隧道模式）或下一個(gè)更高的層協(xié)議幀（傳輸模式）的8比特?cái)?shù)據(jù)分組中加入一個(gè)數(shù)據(jù)函數(shù)來(lái)工作。

DES－CBC用8比特一組的加密數(shù)據(jù)（密文）來(lái)代替8比特一組的未加密數(shù)據(jù)（明文）。一個(gè)隨機(jī)的、8比特的初始化向量（IV）被用來(lái)加密第一個(gè)明文分組，以保證即使在明文信息開(kāi)頭相同時(shí)也能保證加密信息的隨機(jī)性。DES－CBC主要是使用一個(gè)由通信各方共享的相同的密鑰。

正因?yàn)槿绱?，它被認(rèn)為是一個(gè)對(duì)稱(chēng)的密碼算法。接收方只有使用由發(fā)送者用來(lái)加密數(shù)據(jù)的密鑰才能對(duì)加密數(shù)據(jù)進(jìn)行解密。因此，DES－CBC算法的有效性依賴(lài)于秘密密鑰的安全，ESP使用的DES－CBC的密鑰長(zhǎng)度是56比特。

Internet 密鑰交換協(xié)議（IKE）：

用于在兩個(gè)通信實(shí)體協(xié)商和建立安全相關(guān)，交換密鑰。安全相關(guān)（SecurityAssociation）是IPSec中的一個(gè)重要概念。一個(gè)安全相關(guān)表示兩個(gè)或多個(gè)通信實(shí)體之間經(jīng)過(guò)了身份認(rèn)證，且這些通信實(shí)體都能支持相同的加密算法，成功地交換了會(huì)話密鑰，可以開(kāi)始利用 IPSec 進(jìn)行安全通信。

IPSec協(xié)議本身沒(méi)有提供在通信實(shí)體間建立安全相關(guān)的方法，利用 IKE建立安全相關(guān)。IKE定義了通信實(shí)體間進(jìn)行身份認(rèn)證、協(xié)商加密算法以及生成共享的會(huì)話密鑰的方法。IKE中身份認(rèn)證采用共享密鑰和數(shù)字簽名兩種方式，密鑰交換采用 Diffie Hellman 協(xié)議。安全相關(guān)也可以通過(guò)手工方式建立，但是當(dāng) VPN服務(wù)中結(jié)點(diǎn)增多時(shí)，手工配置將非常困難。

由此，IPSec 提供了以下幾種網(wǎng)絡(luò)安全服務(wù)：
◆私有性 － IPsec 在傳輸數(shù)據(jù)包之前將其加密，以保證數(shù)據(jù)的私有性
◆完整性 － IPsec在目的地要驗(yàn)證數(shù)據(jù)包，以保證該數(shù)據(jù)包在傳輸過(guò)程中沒(méi)有被替換
◆真實(shí)性 － IPsec 端要驗(yàn)證所有受 IPsec 保護(hù)的數(shù)據(jù)包
◆反重復(fù) －IPsec防止了數(shù)據(jù)包被撲捉并重新投放到網(wǎng)上，即目的地會(huì)拒絕老的或重復(fù)的數(shù)據(jù)包；

小結(jié)，VPN服務(wù)綜合了專(zhuān)用和公用網(wǎng)絡(luò)的優(yōu)點(diǎn)，允許有多個(gè)站點(diǎn)的公司擁有一個(gè)假想的完全專(zhuān)有的網(wǎng)絡(luò)，而使用公用網(wǎng)絡(luò)作為其站點(diǎn)之間交流的線路,它通過(guò)可靠的加密技術(shù)方法保證其安全性。I P s e c是VPN服務(wù)隧道協(xié)議中一個(gè)相當(dāng)新的標(biāo)準(zhǔn)，是實(shí)現(xiàn)I n t e r n e t的I P協(xié)議級(jí)安全可靠的一種方法，必將成為各個(gè)VPN服務(wù)產(chǎn)品所支持的業(yè)界標(biāo)準(zhǔn)。