VPN的英文是VirtualPrivateNetwork，這是近幾年隨著Internet的發(fā)展而迅猛發(fā)展起來的技術(shù)，這種技術(shù)本身是通過公共網(wǎng)絡(luò)來實(shí)現(xiàn)私人專有網(wǎng)絡(luò)的搭建，在vpn之前要構(gòu)建私人專有網(wǎng)絡(luò)只能通過專線，專線的好處是任何時(shí)刻該線路都是私人的，同時(shí)也保證了數(shù)據(jù)傳輸?shù)目煽啃裕驗(yàn)樗旧砭褪菞l私有鏈路，任何時(shí)候都是可靠的，它的最大缺點(diǎn)是費(fèi)用太高昂。

虛擬專用網(wǎng)本身是通過額外的技術(shù)來實(shí)施的，所以在物理上不用更改聯(lián)網(wǎng)的一些特征，而是在邏輯上針對這個(gè)網(wǎng)絡(luò)連接作了一些額外的定義，所以這種組網(wǎng)是非常靈活的，我們可以很方便的添加或者刪除一個(gè)連接，那么一些異地辦事處和出差員工就很容易的通過私有專網(wǎng)接入公司總部。

VPN要搭建起來，有兩個(gè)重要的概念：

*隧道：隧道是在公共網(wǎng)上實(shí)現(xiàn)類似于專線連接的鏈路，這條鏈路當(dāng)然是虛擬的鏈路，在這個(gè)鏈路里面它具備了專線鏈路的所有特征，并且我們在這個(gè)隧道里面?zhèn)鬟f數(shù)據(jù)的時(shí)候，其他的同樣在公網(wǎng)中傳遞的用戶或者黑客他沒有跟這個(gè)隧道建立聯(lián)系的話是沒辦法竊聽到隧道里面的數(shù)據(jù)的。

*加密：畢竟這個(gè)隧道也是個(gè)邏輯上的鏈路，這個(gè)邏輯上的通道也有可能被一些人所竊取，為了保證傳輸數(shù)據(jù)的安全性，所以要對隧道中的數(shù)據(jù)進(jìn)行加密。

VPN的分類：

VPN有很多種類型，對于我們tcp/ip的網(wǎng)絡(luò)環(huán)境下，ip的vpn是通過利用ip設(shè)施（公共的internet或者專用的ip骨干網(wǎng)絡(luò)）來實(shí)現(xiàn)廣域網(wǎng)專線業(yè)務(wù)。

按照應(yīng)用類型來分類：

*AccessVPN：主要面向與出差的流動的員工，還有一些遠(yuǎn)程的辦公室搭建VPN連接，它主要借助于撥號網(wǎng)絡(luò)（PSTN、ISDN）來實(shí)現(xiàn)，連接的時(shí)候它又有兩種類型，也就是通過發(fā)起的源或者發(fā)起vpn連接的起點(diǎn)不同可分為兩種類型，第一種是由客戶端發(fā)起的（CLIENTAccessVPN），第二種是由接入服務(wù)器發(fā)起的（NASVPN），這種連接跟第一種的區(qū)別是它只在pap和公司路由器之間建立了虛擬專用網(wǎng)連接，而用戶到PAP之間的連接是不能保證其安全性的。第二種靈活性更高，第一種安全性更高。

*IntranetVPN：一般用于總部加上一些大型的分支機(jī)構(gòu)，是同一個(gè)公司或同一個(gè)企業(yè)內(nèi)部的各個(gè)分支結(jié)構(gòu)的連接，我們叫它內(nèi)聯(lián)網(wǎng)，

*ExtranetVPN：一般用于總部加上一些合作伙伴，公司跟合作伙伴之間有頻繁的業(yè)務(wù)，需要類似專線的連接來保證業(yè)務(wù)的安全傳遞，他和intranetvpn實(shí)際上沒有什么區(qū)別，只是名稱上的不同，我們叫他外聯(lián)網(wǎng)

按照VPN實(shí)現(xiàn)的層次來分類；

VPN必然涉及到隧道和加密機(jī)制，隧道是用來衡量這個(gè)VPN連接究竟是哪一種層次的vpn的重要標(biāo)準(zhǔn)，vpn的隧道可以架構(gòu)在數(shù)據(jù)鏈路層，也可以架構(gòu)在網(wǎng)絡(luò)層，如果是架構(gòu)在數(shù)據(jù)鏈路層的vpn我們把它叫做二層隧道VPN，如果是架構(gòu)在網(wǎng)絡(luò)層的VPN我們把它叫做三層隧道VPN。

典型的二層vpn是通過PPTP(Point-to-PointTunnelingProtocol)、L2TP(Layer2TunnelingProtocol)、L2F(Layer2Forwarding)協(xié)議實(shí)現(xiàn)的隧道

典型的三層VPN是通過GRE(GenericRoutingEncapsulation)，IPSec(IPSecurity)協(xié)議實(shí)現(xiàn)的隧道

VPDN

AccessVPN也叫VPDN(VirtualPrivateDialNetwork):他是通過撥號鏈路來實(shí)現(xiàn)的,比如像中國電信中國網(wǎng)通在每個(gè)地方都會有個(gè)本地的撥號接入存在點(diǎn)叫做PAP（撥號存在點(diǎn)），PAP呢會有一個(gè)設(shè)備叫做撥號服務(wù)介入設(shè)備，這種通過撥號連結(jié)和總部連接的VPN我們叫他VPDN，由于它的速率比較慢，因此它的適用范圍為出差員工或者一些小型的異地辦公室。

對于VPDN來說，大部分情況下采用的隧道協(xié)議都是L2TP協(xié)議。

IntranetVPN

對于構(gòu)建IntranetVPN采用的隧道協(xié)議，通常適用IPSec,還有GRE，這樣的協(xié)議建立隧道更加靈活并且更加有安全性保障。

ExtranetVPN

技術(shù)上跟IntranetVPN完全一樣，只是參與的對象并不局限于同一公司或者企業(yè)，而是還有其合作伙伴和供應(yīng)商等的參與。有關(guān)的隧道協(xié)議還是采用IPSec或者GRE。

對很多大型企業(yè)來說，都是采用VPDN和IntranetVPN的結(jié)合方式，采用這種更為靈活的組網(wǎng)方案能夠大大降低企業(yè)成本。

按照實(shí)現(xiàn)層次分類：

有二層VPN和三層VPN，二層VPN主要是由其隧道協(xié)議來體現(xiàn)的，二層VPN上一般說來是PPP的數(shù)據(jù)封裝，在傳輸?shù)臅r(shí)候它在PPP的數(shù)據(jù)包前面封裝了二層的封裝包頭。二層協(xié)議主要有：

L2TP：l2tp主要是有IETF制定的，并且已經(jīng)成為了標(biāo)準(zhǔn)，它由RFC2661所定義，l2tp既可以實(shí)現(xiàn)VPDN的連接，也可以實(shí)現(xiàn)專線連接的業(yè)務(wù)。

pptp:支持ppp協(xié)議，ppp封裝的數(shù)據(jù)包都可以在PPTP的鏈路里面直接傳播，它本身就是一個(gè)呼叫控制和管理協(xié)議，它使用了增強(qiáng)的GRE，這里說的增強(qiáng)，是說他借用了GRE的一些技術(shù)，來增強(qiáng)它的流控能力和擁塞的調(diào)控能力，并不是說它比GRE工作的層面更高，所以整體上來說pptp還是一個(gè)工作在第二層的協(xié)議。

l2f：第二層轉(zhuǎn)發(fā)協(xié)議，它由思科和北電共同研發(fā)制定。他支持對更高層協(xié)議鏈路層的隧道封裝，并且實(shí)現(xiàn)了撥號服務(wù)器和撥號協(xié)議連接在物理位置上的分離。

三層vpn,所謂三層，是說他這個(gè)隧道是建立在網(wǎng)絡(luò)層上的，它和應(yīng)用層無關(guān)，也和鏈路協(xié)議無關(guān)，因此靈活性更高，三層隧道協(xié)議主要有：

GRE:也叫通用路由封裝協(xié)議，用于實(shí)現(xiàn)任意一種網(wǎng)絡(luò)層協(xié)議在另一種網(wǎng)絡(luò)層上的封裝，也就是說可以實(shí)現(xiàn)不同協(xié)議環(huán)境下數(shù)據(jù)的穿越，比如ipx的數(shù)據(jù)要通過ip來傳遞的話，我們可以先在IP的環(huán)境下搭建一個(gè)GRE的通道來傳遞ipx報(bào)文，這個(gè)時(shí)候雖然ip和ipx本身都是第三層的協(xié)議，但現(xiàn)在ipx的數(shù)據(jù)包封裝在ip之上，那ip把ipx的數(shù)據(jù)當(dāng)作一個(gè)傳輸層以上的數(shù)據(jù)，當(dāng)作一些普通數(shù)據(jù)來傳遞，它不會去識別這個(gè)數(shù)據(jù)是不是符合我ip規(guī)范的數(shù)據(jù)，它不是管這個(gè)東西的，所以體現(xiàn)了通用的意義。是指有多網(wǎng)絡(luò)協(xié)議的時(shí)候要實(shí)現(xiàn)他們之間的穿越傳遞的時(shí)候可以通過借助于GRE來實(shí)現(xiàn)。GRE是一個(gè)純粹的隧道協(xié)議，它本身沒有任何的數(shù)據(jù)加密的操作。

IPSec:他并不是一個(gè)單獨(dú)的協(xié)議，它實(shí)際上是一整套的框架體系架構(gòu)，它具體有AH(AuthenticationHeader)頭標(biāo)驗(yàn)證協(xié)議、ESP（EncapsulatingSecurityPayload）、IKE(InternetKeyExchange)這些協(xié)議來協(xié)同它的工作。AH主要是驗(yàn)證數(shù)據(jù)的完整性和真實(shí)性，而ESP完成的是數(shù)據(jù)的私密性的驗(yàn)證，而IKE是完成隧道協(xié)議上的時(shí)候、數(shù)據(jù)加密的時(shí)候它的密鑰交換。

三層隧道協(xié)議的靈活性遠(yuǎn)遠(yuǎn)高于二層隧道協(xié)議，因?yàn)樗旧愍?dú)立于介質(zhì)也獨(dú)立于應(yīng)用，另外對二層協(xié)議來說，因?yàn)樗旧砀溌废嚓P(guān)，所以有可能存在根據(jù)不同鏈路選擇不同協(xié)議的問題，所以在架構(gòu)的時(shí)候它由他的局限性，而且二層隧道協(xié)議很容易受到一些中間人攻擊，所以安全性也不會有太高的保障。

另外從安全方面考慮，因?yàn)槎铀淼酪话阒兄乖谟脩舳说脑O(shè)備上，對于用戶網(wǎng)的安全以及防火墻技術(shù)都提出了十分嚴(yán)峻的挑戰(zhàn)，而三層隧道一般中止在ISP的網(wǎng)關(guān)，因此不會對用戶網(wǎng)構(gòu)成任何的威脅。

從擴(kuò)展性來說，二層隧道封裝了整個(gè)ppp數(shù)據(jù)幀，這可能會導(dǎo)致傳輸效率太低的問題，而且二層隧道中止在用戶這邊，所以用戶端必須保存大量的ppp會話和信息，因此會對整網(wǎng)的性能產(chǎn)生非常大的影響，也會影響到系統(tǒng)的擴(kuò)展性。而且鏈路層是采用lcp和ncp的協(xié)商，采用了隧道之后，lcp和ncp的協(xié)商將會變得非常非常的敏感，可能會造成會話超時(shí)。而三層隧道中止在isp網(wǎng)關(guān)，所以用戶端不需要管理和維護(hù)會話，因此減輕了系統(tǒng)負(fù)荷。當(dāng)然二層隧道實(shí)現(xiàn)起來比三層隧道簡單一些。

VPN的設(shè)計(jì)原則

對于一個(gè)VPN來說，他首先要考慮的是安全性問題，這個(gè)安全性是VPN設(shè)計(jì)時(shí)候的第一個(gè)問題也是最主要的問題，對于這個(gè)安全，主要體現(xiàn)在兩個(gè)方面：

->隧道的建立和數(shù)據(jù)的加密機(jī)制

因?yàn)榘踩耆且蕾囉谶@樣一條虛擬鏈路，那么這個(gè)隧道可不可靠、隧道里面?zhèn)鬏數(shù)臄?shù)據(jù)是否有了加密機(jī)制保護(hù)阿就顯得尤其重要。

隧道可以實(shí)現(xiàn)多個(gè)協(xié)議的封裝，并且可以增加有關(guān)VPN應(yīng)用的靈活性，可以在無連接的IP網(wǎng)上提供點(diǎn)到點(diǎn)的邏輯通道，在對安全性要求更高的場合里面，我們必須應(yīng)用加密機(jī)制，這些加密機(jī)制是針對那些可以傳輸在隧道中的數(shù)據(jù)提供了進(jìn)一步的數(shù)據(jù)私密性的保護(hù)，使得黑客即使圖突破了隧道也沒辦法篡改原始數(shù)據(jù)。

->數(shù)據(jù)驗(yàn)證

為了防止數(shù)據(jù)被篡改，就必須要有簽名或者驗(yàn)證機(jī)制來驗(yàn)證這些數(shù)據(jù)有沒有被篡改過，也就是所謂的完整性驗(yàn)證機(jī)制，比如md5機(jī)制。

->用戶驗(yàn)證

也就是說使得該VPN可以讓合法用戶可以訪問他們所需的網(wǎng)絡(luò)資源，同時(shí)還禁止未授權(quán)用戶的非法訪問，一般是借助于AAA來實(shí)現(xiàn)。

->除了安全性外，在VPN構(gòu)建的時(shí)候還要考慮防火墻的攻擊和檢測機(jī)制，一般大型的網(wǎng)絡(luò)我們都會部屬防火墻，防火墻有兩種，一種是ACL的軟體防火墻，一種是針對實(shí)際硬件的防火墻，這個(gè)防火墻有沒有部屬和他的有關(guān)策略、規(guī)則部屬的怎么樣，還有針對一些可能受到的攻擊的檢測的機(jī)制，來避免一些不必要的一些攻擊。

VPN設(shè)計(jì)的可靠性

因?yàn)閂PN構(gòu)建的環(huán)境是公網(wǎng)，不同于我們傳統(tǒng)上的專線廣域網(wǎng)，那么用戶對這個(gè)網(wǎng)絡(luò)的控制能力大大降低，他基本上是不可控的，所以可靠的運(yùn)行VPN是我們必須要考慮的。

VPN設(shè)計(jì)的經(jīng)濟(jì)性

也就是說在保證可靠性的同時(shí)不能過多的增加操作成本。

VPN設(shè)計(jì)的擴(kuò)展性

是說這個(gè)VPN的管理需要增對日益增多的客戶和合作伙伴做出迅捷的一些反映。

L2TP協(xié)議：

L2TP：Layer2TunnelProtocol第二層隧道協(xié)議，是為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議。L2TP是由IETF制訂的，這個(gè)協(xié)議是在PPTP和L2F的基礎(chǔ)上發(fā)展起來的，它吸收了pptp和l2f的優(yōu)點(diǎn)，同時(shí)也擴(kuò)大了應(yīng)用范圍，因此它是現(xiàn)在應(yīng)用最廣泛的在點(diǎn)到點(diǎn)上實(shí)現(xiàn)隧道的協(xié)議。

l2tp的特征：

->靈活的身份驗(yàn)證機(jī)制以及高度的安全性：配合ppp模塊支持本地或者遠(yuǎn)端的身份驗(yàn)證，針對有關(guān)用戶的身份，可以是用戶的全名、用戶的域名、或者一些特殊號碼；對l2tp來說，它有高度的安全性，可以借助IPSec這樣一些數(shù)據(jù)加密的協(xié)議，在用戶數(shù)據(jù)報(bào)文發(fā)往Internet之前就對數(shù)據(jù)報(bào)文進(jìn)行加密，也可以在VPN的lac（l2tp的接入集中器）側(cè)來進(jìn)行加密。

->可以實(shí)現(xiàn)多協(xié)議傳輸，這個(gè)多謝以傳輸是什么概念呢，是說它本身是作為一個(gè)第二層隧道協(xié)議，它獨(dú)立于網(wǎng)絡(luò)層，那么網(wǎng)絡(luò)層的很多協(xié)議都可以借助于第二層隧道來實(shí)現(xiàn)傳輸，所以很方便各種不同的操作系統(tǒng)之間和各種不同的網(wǎng)絡(luò)之間私密數(shù)據(jù)的傳遞任務(wù)。

->支持RADIUS服務(wù)器得驗(yàn)證：借助RADIUS還可以完成對用戶的一些授權(quán)和記費(fèi)

->支持內(nèi)部地址的分配：用戶和企業(yè)之間的數(shù)據(jù)可以實(shí)現(xiàn)透明傳輸，也就是說私有數(shù)據(jù)可以穿越隧道到達(dá)另外一個(gè)網(wǎng)絡(luò)，也就是說支持在隧道里面來完成私有數(shù)據(jù)的傳遞，它的原有地址可以是私有地址，接入后，可以是公司內(nèi)部動態(tài)分配的地址。

->網(wǎng)絡(luò)記費(fèi)的靈活性：記費(fèi)的靈活性也是數(shù)據(jù)RADIUS的一個(gè)操作。

->可靠性：這個(gè)可靠性是由l2tp本身在和internet協(xié)商時(shí)候的可靠性來保障的。

使用l2tp構(gòu)建vpdn

在使用l2tp構(gòu)建vpdn的時(shí)候它有很多種靈活方式來實(shí)現(xiàn)用戶到總部的接入，這個(gè)方式大體上分為兩種，

第一種方式是隧道模式的VPDN，用戶首先通過isdn或者pstn的一些網(wǎng)絡(luò)接入ISP的LAC，然后再由LAC發(fā)起去往總部的隧道連接，總部的網(wǎng)絡(luò)接入設(shè)備我們叫他LNS，這種接入方式在用戶和LAC之間是沒有任何加密數(shù)據(jù)保障的。這種方式接入對于用戶來說是透明的，用戶只需要登陸一次就可以接入企業(yè)網(wǎng)，用戶本身不需要安裝任何VPN的客戶端軟件，因此它的操作平臺可以非常非常靈活。這種接入方式有個(gè)問題就是你必須確保isp要支持VPDN，這就并不是任何得LAC或者POP或者接入服務(wù)器都可以滿足條件的，因此可能會限制了isp得選擇面。

第二種方式是傳輸模式的VPDN，員工直接撥號到POP，pop在這里只是完成有關(guān)數(shù)據(jù)服務(wù)，用戶直接在Client這邊采用vpdn的撥號軟件和總部直接建立隧道。也就是說隧道建立在用戶和企業(yè)的lns之間。這種方式用戶上網(wǎng)的時(shí)間和地點(diǎn)沒有限制，但是要客戶端支持VPDN的撥號。

不管是哪種方式，都需要一些消息數(shù)據(jù)包來實(shí)現(xiàn)VPDN的傳輸，l2tp存在兩種消息類型，第一種是控制類型消息，主要用于隧道和會話的建立、維護(hù)和刪除，第二種是數(shù)據(jù)消息，也就是當(dāng)已經(jīng)建立了隧道，實(shí)現(xiàn)了ppp會話之后呢，就可以通過這個(gè)隧道實(shí)現(xiàn)ppp數(shù)據(jù)得端到端的傳輸。

下面來介紹一個(gè)相關(guān)概念：

LAC:L2TPAccessConcentratorL2TP服務(wù)接入集中器，提供各種用戶接入AAA的一些服務(wù)，具有發(fā)起隧道和會話連接的一些功能以及對vpn用戶代理認(rèn)證的一些功能，這些LAC一般是由ISP來提供接入設(shè)備。

LNS:L2TPNetworkServerL2TP的網(wǎng)絡(luò)服務(wù)器，它是VPN企業(yè)側(cè)的服務(wù)器，這個(gè)服務(wù)器也可以完成對用戶的最終授權(quán)和驗(yàn)證，并且可以接受來自LAC的隧道連接請求并且更具連接請求來實(shí)現(xiàn)和用戶之間的ppp的會話通道。在有關(guān)驗(yàn)證的時(shí)候，用戶數(shù)據(jù)可以采用RADIUS服務(wù)器來保存。

L2TP隧道和會話得建立流程

L2TP的會話建立是由PPP來觸發(fā)的，隧道的建立由會話觸發(fā)，由于多個(gè)會話可以復(fù)用在一條隧道上，如果會話建立前隧道已經(jīng)建立，則隧道不用重新建立。

這里所探討的隧道和會話建立流程主要是指LAC和LNS之間的建立流程，而Client與LNS建立的過程因操作系統(tǒng)和軟件的不同而不同，而且過程更加簡單一些。

如果在LAC和LNS之間直接建立傳輸報(bào)文的隧道，那這個(gè)隧道就必須涉及到有關(guān)傳輸會話的操作，因此隧道本身必須具備具有相同會話連接特性的一組用戶可以共享連接屬性所定義的一個(gè)通道。而會話是針對每個(gè)用戶與企業(yè)VPN服務(wù)器建立連接ppp的數(shù)據(jù)通道，同一個(gè)LAC與LNS之間指可以建立一個(gè)L2TP的隧道，但是在這個(gè)隧道種可以傳遞多個(gè)會話，不管是隧道也好會話也好，他們都可以動態(tài)的建立維護(hù)以及刪除。

由于隧道的建立是一個(gè)三次握手的流程，類似于TCP連接的建立，三次握手保證了有關(guān)隧道的可靠性，隧道建立的三次握手過程如下：

首先由LAC端像LNS端發(fā)起一個(gè)建立隧道的請求：SCCRQ

然后LNS端會針對請求分配一些資源，分配好后給源端做出一個(gè)回應(yīng)：SCCRP

LAC端收到回應(yīng)之后要對它做一個(gè)確認(rèn)：SCCCN，這就表示隧道已經(jīng)完全建立了。

有了隧道后，會話就可以在隧道里面來傳遞，在觸發(fā)建立了隧道之后，那么后續(xù)得一些同一對LAC和LNS之間的會話就會復(fù)用在這條隧道里面。

會話的建立流程同樣也是三次握手，會話的建立本身是由PPP模塊來觸發(fā)的，如果在會話之前沒有可用會話呢，它會首先建立隧道連接，建立之后在實(shí)現(xiàn)有關(guān)的會話，而會話建立完成之后就可以完成數(shù)據(jù)的傳輸。

首先由LAC端發(fā)起會話請求：ICRQ

LNS收到這個(gè)ICRQ之后會對它做一個(gè)應(yīng)答：ICRP

然后LAC端在收到這個(gè)應(yīng)答后會對它做一個(gè)確認(rèn)：ICCN

除了建立之外，隧道和會話的維護(hù)和拆除也有那么一個(gè)流程

隧道建立之后，一直要等所屬會話全部下線之后才可以拆除，為了確認(rèn)對端隧道依然存在，必須定時(shí)發(fā)送一些維護(hù)報(bào)文，其流程為LAC端或者LNS端互相發(fā)出Hello報(bào)文進(jìn)行查詢，對應(yīng)的LNS或者LAC發(fā)出ZLB(Zero-LengthBody：零長度實(shí)體報(bào)文)進(jìn)行確認(rèn)。ZLB只有一個(gè)L2TP的報(bào)文頭。

如果這個(gè)隧道已經(jīng)沒有必要在進(jìn)行維護(hù)下去了（比如會話已經(jīng)全部中斷了），即進(jìn)行拆除行為，先由任意一端發(fā)出拆除鏈接通知StopCCN(Stop-Control-Connection-Notification)，另外一端回應(yīng)ZLB報(bào)文。

同樣會話的拆除也是由一端發(fā)出拆除通知CDN(Call-Disconnect-Notify)，另外一端返回zlb

隧道拆除是一定要在會話完全拆除之后才能拆除的。

L2TP協(xié)議棧結(jié)構(gòu)及數(shù)據(jù)包的封裝過程

用戶端的IP報(bào)文數(shù)據(jù)，首先封裝成PPP的數(shù)據(jù)，通過物理層發(fā)送到LAC端，發(fā)送到LAC端之后會傳遞給L2TP隧道協(xié)議，來完成對數(shù)據(jù)的進(jìn)一步的處理，這個(gè)處理實(shí)際上就是叫做封裝，LAC收到報(bào)文后，首先還原成p2p的數(shù)據(jù)，然后傳遞給l2tp,l2tp這個(gè)協(xié)議會封裝在ppp的前面，然后通過udp協(xié)議這個(gè)傳輸介質(zhì)來傳遞，因此要封裝成UDP的數(shù)據(jù)包，因?yàn)槭紫纫诠W(wǎng)上傳遞，所以必須具有ip地址，因此在udp報(bào)頭前面加上一個(gè)ip報(bào)頭，然后通過鏈路層打上幀頭幀尾傳遞給物理層，轉(zhuǎn)換為二進(jìn)制傳輸出去。

經(jīng)過internet傳輸之后到達(dá)對端LNS，收到該報(bào)文后，就會有一個(gè)解封裝的過程，跟LAC端的封裝過程相反，解封裝后，它就已經(jīng)跟總部內(nèi)網(wǎng)實(shí)現(xiàn)通訊了，這個(gè)時(shí)候會封裝一個(gè)新的鏈路層發(fā)往總部的server。

【編輯推薦】

1. 熱門VPN客戶端
2. IP VPN技術(shù)特點(diǎn)及應(yīng)用
3. 利用Peplink實(shí)現(xiàn)簡化的站點(diǎn)到站點(diǎn)VPN
4. 網(wǎng)康VPN隨時(shí)隨地訪問私有云應(yīng)用