關(guān)于VPN隧道技術(shù)在使用中的優(yōu)勢，對于VPN隧道技術(shù)破解問題，大家都很感興趣。在向大家詳細(xì)介紹如何VPN隧道技術(shù)之前，首先讓大家了解下一般密碼的基本流程，然后比較下面幾種方法的優(yōu)劣。

VPN隧道技術(shù)已經(jīng)成為越來越多企業(yè)使用的網(wǎng)絡(luò)連接方式了，為了進(jìn)一步了解VPN，本篇將對它的隧道技術(shù)進(jìn)行深入解釋。為了使得遠(yuǎn)程的企業(yè)員工可以與總部實(shí)時的交換數(shù)據(jù)信息。企業(yè)得向ISP租用網(wǎng)絡(luò)提供服務(wù)。但公用網(wǎng)容易遭受各種安全攻擊（比如拒絕服務(wù)攻擊來堵塞正常的網(wǎng)絡(luò)服務(wù)，或竊取重要的企業(yè)內(nèi)部信息）

VPN隧道技術(shù)這個概念的引進(jìn)就是用來解決這個問題。它是利用公用網(wǎng)絡(luò)來連接到企業(yè)私有網(wǎng)絡(luò)。但在VPN中，用安全機(jī)制來保障機(jī)密型，真實(shí)可靠行，完整性嚴(yán)格的訪問控制。這樣就建立了一個邏輯上虛擬的私有網(wǎng)絡(luò)。虛擬局域網(wǎng)提供了一個經(jīng)濟(jì)有效的手段來解決通過公用網(wǎng)絡(luò)安全的交換私有信息。

VPN隧道技術(shù)有何優(yōu)勢？

一般VPN隧道技術(shù)所具備的優(yōu)點(diǎn)有以下幾點(diǎn)：
◆最小成本：無須購買網(wǎng)絡(luò)設(shè)備和專用線路覆蓋所有遠(yuǎn)程用戶
◆責(zé)任共享：通過購買公用網(wǎng)的資源，部分維護(hù)責(zé)任遷移至provider（更專業(yè)，有經(jīng)驗(yàn)，是操作，維護(hù)成本降低）。
◆安全性：
◆保障Qos
◆可靠性：如果一個VPN節(jié)點(diǎn)壞了，可以一個替換VPN建立起來繞過他，這種恢復(fù)工作是得VPN操作可以盡可能的延續(xù)
◆可擴(kuò)展性：可以通過從公用網(wǎng)申請更多得資源達(dá)到非常容易的擴(kuò)展VPN,或者協(xié)商重構(gòu)VPN
◆其中安全性是vpn最重要的一個特性,也是各類vpn產(chǎn)品所必須具備和支持的要素.

VPN隧道技術(shù)的安全技術(shù)剖析

目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption & Decryption）、密鑰管理技術(shù)（Key Management）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。

加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。

密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取。現(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。

身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。

隧道指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能。網(wǎng)絡(luò)隧道技術(shù)涉及了三種網(wǎng)絡(luò)協(xié)議，即網(wǎng)絡(luò)隧道協(xié)議、隧道協(xié)議下面的承載協(xié)議和隧道協(xié)議所承載的被承載協(xié)議。網(wǎng)絡(luò)隧道技術(shù)是個關(guān)鍵技術(shù),這項(xiàng)vpn的基本技術(shù)也是本文要詳細(xì)和闡述的。

VPN隧道技術(shù)網(wǎng)絡(luò)隧道協(xié)議深入解析

網(wǎng)絡(luò)隧道是指在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。現(xiàn)有兩種類型的網(wǎng)絡(luò)隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建遠(yuǎn)程訪問虛擬專網(wǎng)（AccessVPN）；另一種是三層隧道協(xié)議，用于傳輸三層網(wǎng)絡(luò)協(xié)議，它主要應(yīng)用于構(gòu)建企業(yè)內(nèi)部虛擬專網(wǎng)（IntranetVPN）和擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)（Extranet VPN）。

二層隧道協(xié)議第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議主要有以下三種：第一種是由微軟、Ascend、3COM 等公司支持的 PPTP（Point to Point Tunneling Protocol，點(diǎn)對點(diǎn)隧道協(xié)議），在WindowsNT4.0以上版本中即有支持。

第二種是Cisco、北方電信等公司支持的L2F（Layer2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議），在 Cisco 路由器中有支持。第三種由 IETF 起草，微軟 Ascend 、Cisco、 3COM 等公司參與的 L2TP（Layer 2TunnelingProtocol，二層隧道協(xié)議）結(jié)合了上述兩個協(xié)議的優(yōu)點(diǎn)，L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。這里就主要介紹一下 L2TP 網(wǎng)絡(luò)協(xié)議。

其中，LAC 表示 L2TP 訪問集中器（L2TPAccessConcentrator），是附屬在交換網(wǎng)絡(luò)上的具有 PPP 端系統(tǒng)和 L2TP 協(xié)議處理能力的設(shè)備，LAC 一般就是一個網(wǎng)絡(luò)接入服務(wù)器 NAS（Network Access Server）它用于為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)；LNS 表示 L2TP 網(wǎng)絡(luò)服務(wù)器（L2TP Network Server），是 PPP 端系統(tǒng)上用于處理 L2TP 協(xié)議服務(wù)器端部分的軟件。

在一個LNS和LAC對之間存在著兩種類型的連接，一種是隧道（tunnel）連接，它定義了一個LNS和LAC對；另一種是會話（session）連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個 PPP 會話過程。

L2TP連接的維護(hù)以及PPP數(shù)據(jù)的傳送都是通過L2TP消息的交換來完成的，這些消息再通過 UDP的1701端口承載于TCP/IP之上。L2TP消息可以分為兩種類型，一種是控制消息，另一種是數(shù)據(jù)消息。

控制消息用于隧道連接和會話連接的建立與維護(hù)。數(shù)據(jù)消息用于承載用戶的 PPP 會話數(shù)據(jù)包。 L2TP 連接的維護(hù)以及 PPP 數(shù)據(jù)的傳送都是通過 L2TP 消息的交換來完成的，這些消息再通過UDP的1701端口承載于 TCP/IP 之上。

控制消息中的參數(shù)用AVP值對（AttributeValuePair）來表示，使得協(xié)議具有很好的擴(kuò)展性；在控制消息的傳輸過程中還應(yīng)用了消息丟失重傳和定時檢測通道連通性等機(jī)制來保證了 L2TP 層傳輸?shù)目煽啃浴?/p>

數(shù)據(jù)消息用于承載用戶的 PPP 會話數(shù)據(jù)包。L2TP 數(shù)據(jù)消息的傳輸不采用重傳機(jī)制，所以它無法保證傳輸?shù)目煽啃裕@一點(diǎn)可以通過上層協(xié)議如TCP等得到保證；數(shù)據(jù)消息的傳輸可以根據(jù)應(yīng)用的需要靈活地采用流控或不流控機(jī)制，甚至可以在傳輸過程中動態(tài)地使用消息序列號從而動態(tài)地激活消息順序檢測和流量控制功能；在采用流量控制的過程中，對于失序消息的處理采用了緩存重排序的方法來提高數(shù)據(jù)傳輸?shù)挠行浴?/p>