最近的研究方向:Nginx
分类: 网络与安全
2016-04-12 10:09:14
本文转自:http://blog.chinaunix.net/uid-265517-id-2453831.html
VPN协议
Windows 2000远程访问服务器与客户端支持两种针对远程访问VPN连接VPN协议:
端对端隧道协议
端对端隧道协议(PPTP)是Windows NT 4.0中首先提供支持的隧道协议。PPTP是对端对端协议(PPP)的一种扩展,它采用了PPP所提供的身份验证、压缩与加密机制。PPTP能够随TCP/IP协议一道自动进行安装。PPTP与Microsoft端对端加密(MPPE)技术提供了用以对保密数据进行封装与加密的首要VPN服务。
一个PPP帧(一个IP或IPX数据包)将通过通用路由封装(Generic Routing Encapsulation,GRE)报头和IP报头进行封装。IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。
MPPE将通过由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密。为对PPP帧中所包含的有效数据进行加密,虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2或EAP-TLS身份验证协议。PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装。
图4显示了针对PPP帧的PPTP封装与加密方式。
图4 针对PPP帧的PPTP封装与加密方式
第二层隧道协议
第二层隧道协议(L2TP)是一种Internet工程任务组(IETF)标准隧道协议。与PPTP不同,Windows 2000所支持的L2TP协议并非利用MPPE对PPP帧进行加密。L2TP依靠Internet协议安全性(IPSec)技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec。VPN客户端与VPN服务器都必须支持L2TP和IPSec。L2TP将随同路由与远程访问服务一道自动进行安装。
L2TP/IPSec提供了针对保密数据进行封装与加密的首要VPN服务。
在IPSec数据包基础上所进行的L2TP封装由两个层次组成:
图5显示了针对PPP数据报的L2TP/IPSec封装与加密方式。
图5 针对PPP数据报的L2TP/IPSec封装与加密方式
