PPTP－PointtoPointTunnelProtocal 點(diǎn)對(duì)點(diǎn)隧道協(xié)議
這是一個(gè)最流行的Internet協(xié)議，它提供PPTP客戶機(jī)與PPTP服務(wù)器之間的加密通信，它允許公司使用專用的“隧道”，通過公共Internet來擴(kuò)展公司的網(wǎng)絡(luò)。通過Internet的數(shù)據(jù)通信，需要對(duì)數(shù)據(jù)流進(jìn)行封裝和加密，PPTP就可以實(shí)現(xiàn)這兩個(gè)功能，從而可以通過Internet實(shí)現(xiàn)多功能通信。這就是說，通過PPTP的封裝或“隧道”服務(wù)，使非IP網(wǎng)絡(luò)可以獲得進(jìn)行Internet通信的優(yōu)點(diǎn)。但是PPTP會(huì)話不可通過代理器進(jìn)行，PPTP是Microsoft和其它廠家支持的標(biāo)準(zhǔn)，它是PPTP協(xié)議的擴(kuò)展，它可以通過Internet建立多協(xié)議VPN。　　　L2TP－Layer2TunnelingProtocol　
　第二層隧道協(xié)議　
　　除Microsft外，另有一些廠家也做了許多開發(fā)工作，PPTP能支持Macintosh和Unix，Cisco的L2F（Layer2Forwarding）就是又一個(gè)隧道協(xié)議。Microsoft、Cisco和其它一些網(wǎng)絡(luò)廠商正一起努力使L2F與PPTP融合，產(chǎn)生一個(gè)新的L2TP協(xié)議。PPTP和L2TP十分相似，因?yàn)長(zhǎng)2TP有一部分就是采用PPTP協(xié)議，兩個(gè)協(xié)議都允許客戶通過其間的網(wǎng)絡(luò)建立隧道，L2TP正在由包括Microsoft在內(nèi)的幾家廠商開發(fā)。L2TP還支持信道認(rèn)證，但它沒有規(guī)定信道保護(hù)的方法。
轉(zhuǎn)自：奈微建站網(wǎng)（www.nev.cn） 　　IPSEC—InternetPortocolSecurity　因特網(wǎng)協(xié)議安全性　
該協(xié)議正在IETF（因特網(wǎng)工程任務(wù)組）的指導(dǎo)下開發(fā)。開發(fā)這個(gè)協(xié)議的目的是要解決當(dāng)前協(xié)議中存在的一些缺點(diǎn)，這個(gè)標(biāo)準(zhǔn)開發(fā)完成最快也要在一年以后。Microsoft承諾支持L2TP和IPSEC。IPSEC是由IETFIP安全性工作組定義的協(xié)議集，它用于確保網(wǎng)絡(luò)層之間的安全通信。該協(xié)議草案建議使用IPSEC協(xié)議集保護(hù)IP網(wǎng)和非IP網(wǎng)上的L2TP業(yè)務(wù)，以及如何將IPSEC和L2FP一起使用，但它并未試圖將端對(duì)端的安全性標(biāo)準(zhǔn)化。
SOCKs　　　
SOCKs是一個(gè)網(wǎng)絡(luò)連接的代理協(xié)議，它使SOCKs一端的主機(jī)完全訪問SOCKs；而另一端的主機(jī)不要求IP直接可達(dá)。SOCKs能將連接請(qǐng)求進(jìn)行鑒別和授權(quán)，并建立代理連接和傳送數(shù)據(jù)。SOCKs通常用作網(wǎng)絡(luò)防火墻，它使SOCKs后面的主機(jī)能通過Internet取得完全的訪問權(quán)，而避免了通過Internet對(duì)內(nèi)部主機(jī)進(jìn)行未授權(quán)訪問。目前，有SOCKsV4和SOCKsV5二個(gè)版本，SOCKsV5可以處理UDP，而SOCKsV4則不能。通過高速DSL建立VPN　數(shù)字用戶線路（DSL）服務(wù)正作為一種替代建立虛擬專用網(wǎng)（VPN）的T1線路和幀中繼的技術(shù)展現(xiàn)在人們面前，并且顯示出誘人的前景。例如，運(yùn)行在一條雙絞線上的對(duì)稱DSL（SDSL）可以提供與T1線路相同的帶寬，而價(jià)格只有后者的一半。在沒有DSL之前，網(wǎng)絡(luò)專業(yè)人員只能通過使用IP隧道的Internet、電信公司的租用線路或幀中繼服務(wù)來建立VPN?，F(xiàn)在，有一種新的技術(shù)選擇成為了爭(zhēng)論的中心，即DSL上的ATM。ADSL論壇發(fā)表的技術(shù)報(bào)告TR002定義了非對(duì)稱DSL和ATM的互連。由于ATM對(duì)服務(wù)質(zhì)量（QoS）的支持，它向用戶提供的安全性以及ATM通過單一DSL線路支持并行會(huì)話的功能，ADSL論壇已經(jīng)選擇ATM作為用于ADSL的第二層協(xié)議。DSL上的ATM使用戶可以利用低成本接入技術(shù)建立安全、高性能的VPN。ATM支持豐富的QoS特性集和通過DSL提交高質(zhì)量VPN所需的擴(kuò)展傳輸流管理功能。像峰值信元率、可維持信元率、最小信元率和信元時(shí)延變化容錯(cuò)等用戶可定義參數(shù)使用戶可以為利用基于DSL的VPN傳輸?shù)拿總€(gè)應(yīng)用定義服務(wù)質(zhì)量，這就保證了優(yōu)質(zhì)的應(yīng)用性能。ADSL服務(wù)網(wǎng)絡(luò)架構(gòu)組論壇目前正在就用于DSL網(wǎng)絡(luò)的端到端第二層架構(gòu)的兩個(gè)選項(xiàng)進(jìn)行討論：這兩個(gè)選項(xiàng)是用于IP與ATM的本機(jī)提交的包模式和一般IP提交。仍在開發(fā)QoS功能（如IETF建議的差別服務(wù)）的IP目前看起來不能成為實(shí)現(xiàn)QoS的可行選擇。盡管IP可以執(zhí)行某些基于類型的QoS（它可以將多個(gè)傳輸流映射到某些服務(wù)類中），但I(xiàn)P不支持用于像語音和視頻這類特殊應(yīng)用的可定制、用戶可定義的QoS。在使用IP時(shí)，用戶不能修改服務(wù)類型（CoS）來適應(yīng)應(yīng)用獨(dú)特的性能特征。ATM為連接到VPN上每個(gè)位置的多條虛擬電路提供QoS的能力，保證了利用同時(shí)傳輸數(shù)據(jù)流的DSL鏈路傳輸時(shí)延敏感的應(yīng)用（如語音和視頻）。配置有DSL接口的集成訪問設(shè)備（IAD）可以將語音和數(shù)據(jù)傳輸流多路復(fù)用到ATM虛擬電路中，通過一條DSL線路進(jìn)行傳輸。要保證一條DSL本地環(huán)路上的多條虛擬電路的QoS就要求中心交換局DSL訪問系統(tǒng)和IAD支持持續(xù)比特率（CBR）和可變比特率（VBR）ATM服務(wù)類型。盡管多數(shù)DSL調(diào)制解調(diào)器支持這些服務(wù)類型，但是，中心交換局中的許多DSL接入多路復(fù)用器只支持不定比特率（UBR）服務(wù)類型。URB連接只接受非承諾服務(wù)，缺少控制傳輸特性（信元丟棄）的QoS保證。如果沒有可供傳輸U(kuò)BR信元的帶寬的話，信元將被丟棄。在建立DSLVPN之前，用戶必須證實(shí)他們的DSL服務(wù)提供商是否支持DSL本地環(huán)路上的多虛擬電路，是否支持多服務(wù)類型：CBR、VBR以及UBR。在可以使用多服務(wù)類型的情況下，語音虛擬電路可以被配置為CBR或VBR實(shí)時(shí)連接，這兩類連接具有有限的信元丟棄和時(shí)延，從而保證了語音質(zhì)量。數(shù)據(jù)虛擬電路可以根據(jù)服務(wù)水平的要求被設(shè)置為CBR、VBR或UBR連接，并可以與語音呼叫共享同一條DSL線路。由于傳輸語音呼叫的虛擬電路被分配給更高的帶寬優(yōu)先級(jí)，因此，同一條線路上的數(shù)據(jù)連接不會(huì)影響語音質(zhì)量。網(wǎng)絡(luò)專業(yè)人員可以利用ATM上的PPP對(duì)在家辦公者提供服務(wù)。IETF建議RFC2364描述了如何利用ATM適配層Layer5傳輸PPP封裝包。ATM上的PPP正成為通過DSL實(shí)現(xiàn)遠(yuǎn)程接入的最常見的服務(wù)，并且正作為衡量廠商互操作性的標(biāo)準(zhǔn)。全面認(rèn)識(shí)VPN(一)在國(guó)外，VPN已經(jīng)迅速發(fā)展起來，2001年全球VPN市場(chǎng)將達(dá)到120億美元。在中國(guó)，雖然人們對(duì)VPN的定義還有些模糊不清，對(duì)VPN的安全性、服務(wù)質(zhì)量（QoS）等方面存有疑慮，但互聯(lián)網(wǎng)和電子商務(wù)的快速發(fā)展使我們有理由相信，中國(guó)的VPN市場(chǎng)將逐漸熱起來。對(duì)國(guó)內(nèi)的用戶來說，VPN（虛擬專用網(wǎng)，VirtualPrivateNetwork）最大的吸引力在哪里？是價(jià)格。據(jù)估算，如果企業(yè)放棄租用專線而采用VPN，其整個(gè)網(wǎng)絡(luò)的成本可節(jié)約21%-45%，至于那些以電話撥號(hào)方式連網(wǎng)存取數(shù)據(jù)的公司，采用VPN則可以節(jié)約通訊成本50%-80%。為什么VPN可以節(jié)約這么多的成本？這就先要從VPN的概念談起。認(rèn)識(shí)VPN現(xiàn)在有很多連接都被稱作VPN，用戶經(jīng)常分不清楚，那么一般所說的VPN到底是什么呢？顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。虛擬專用網(wǎng)指的是依靠ISP（Internet服務(wù)提供商）和其它NSP（網(wǎng)絡(luò)服務(wù)提供商），在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。IETF草案理解基于IP的VPN為："使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)"是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。用戶現(xiàn)在在電信部門租用的幀中繼（FrameRelay）與ATM等數(shù)據(jù)網(wǎng)絡(luò)提供固定虛擬線路（PVC-PermanentVirtualCircuit）來連接需要通訊的單位，所有的權(quán)限掌握在別人的手中。如果用戶需要一些別的服務(wù)，需要填寫許多的單據(jù)，再等上相當(dāng)一段時(shí)間，才能享受到新的服務(wù)。更為重要的是兩端的終端設(shè)備不但價(jià)格昂貴，而且管理也需要一定的專業(yè)技術(shù)人員，無疑增加了成本，而且?guī)欣^、ATM數(shù)據(jù)網(wǎng)絡(luò)也不會(huì)像Internet那樣，可立即與世界上任何一個(gè)使用Internet網(wǎng)絡(luò)的單位連接。而在Internet上，VPN使用者可以控制自己與其他使用者的聯(lián)系，同時(shí)支持撥號(hào)的用戶。所以我們說的虛擬專用網(wǎng)一般指的是建筑在Internet上能夠自我管理的專用網(wǎng)絡(luò)，而不是FrameRelay或ATM等提供虛擬固定線路（PVC）服務(wù)的網(wǎng)絡(luò)。以IP為主要通訊協(xié)議的VPN，也可稱之為IP-VPN。由于VPN是在Internet上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，用戶就節(jié)省了租用專線的費(fèi)用，在運(yùn)行的資金支出上，除了購(gòu)買VPN設(shè)備，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，也節(jié)省了長(zhǎng)途電話費(fèi)。這就是VPN價(jià)格低廉的原因。越來越多的用戶認(rèn)識(shí)到，隨著Internet和電子商務(wù)的蓬勃發(fā)展，經(jīng)濟(jì)全球化的最佳途徑是發(fā)展基于Internet的商務(wù)應(yīng)用。隨著商務(wù)活動(dòng)的日益頻繁，各企業(yè)開始允許其生意伙伴、供應(yīng)商也能夠訪問本企業(yè)的局域網(wǎng)，從而大大簡(jiǎn)化信息交流的途徑，增加信息交換速度。這些合作和聯(lián)系是動(dòng)態(tài)的，并依靠網(wǎng)絡(luò)來維持和加強(qiáng)，于是各企業(yè)發(fā)現(xiàn)，這樣的信息交流不但帶來了網(wǎng)絡(luò)的復(fù)雜性，還帶來了管理和安全性的問題，因?yàn)镮nternet是一個(gè)全球性和開放性的、基于TCP/IP技術(shù)的、不可管理的國(guó)際互聯(lián)網(wǎng)絡(luò)，因此，基于Internet的商務(wù)活動(dòng)就面臨非善意的信息威脅和安全隱患。還有一類用戶，隨著自身的的發(fā)展壯大與跨國(guó)化，企業(yè)的分支機(jī)構(gòu)不僅越來越多，而且相互間的網(wǎng)絡(luò)基礎(chǔ)設(shè)施互不兼容也更為普遍。因此，用戶的信息技術(shù)部門在連接分支機(jī)構(gòu)方面也感到日益棘手。用戶的需求正是虛擬專用網(wǎng)技術(shù)誕生的直接原因。用戶需要的VPN

VPN的特點(diǎn)在實(shí)際應(yīng)用中，用戶需要的是什么樣的VPN呢？一般情況下，一個(gè)高效、成功的VPN應(yīng)具備以下幾個(gè)特點(diǎn)：
1．安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶，對(duì)安全性提出了更高的要求。
2．服務(wù)質(zhì)量保證（QoS）VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。如移動(dòng)辦公用戶，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其它應(yīng)用（如視頻等）則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。所有以上網(wǎng)絡(luò)應(yīng)用均要求網(wǎng)絡(luò)根據(jù)需要提供不同等級(jí)的服務(wù)質(zhì)量。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。
3．可擴(kuò)充性和靈活性VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。
4．可管理性從用戶角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。在VPN管理方面，VPN要求企業(yè)將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡(luò)管理任務(wù)交給服務(wù)提供商去完成，企業(yè)自己仍需要完成許多網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。
二.自建還是外包由于VPN低廉的使用成本和良好的安全性，許多大型企業(yè)及其分布在各地的辦事處或分支機(jī)構(gòu)成了VPN順理成章的用戶群。對(duì)于那些最需要VPN業(yè)務(wù)的中小企業(yè)來說，一樣有適合的VPN策略。當(dāng)然，不論何種VPN策略，它們都有一個(gè)基本目標(biāo)：在提供與現(xiàn)有專用網(wǎng)絡(luò)基礎(chǔ)設(shè)施相當(dāng)或更高的可管理性、可擴(kuò)展性以及簡(jiǎn)單性的基礎(chǔ)之上，進(jìn)一步擴(kuò)展公司的網(wǎng)絡(luò)連接。
1．大型企業(yè)自建VPN大型企業(yè)用戶由于有雄厚的資金投入做保證，可以自己建立VPN，將VPN設(shè)備安裝在其總部和分支機(jī)構(gòu)中，將各個(gè)機(jī)構(gòu)低成本且安全地連接在一起。企業(yè)建立自己的VPN，最大的優(yōu)勢(shì)在于高控制性，尤其是基于安全基礎(chǔ)之上的控制。一個(gè)內(nèi)部VPN能使企業(yè)對(duì)所有的安全認(rèn)證、網(wǎng)絡(luò)系統(tǒng)以及網(wǎng)絡(luò)訪問情況進(jìn)行控制，建立端到端的安全結(jié)構(gòu)，集成和協(xié)調(diào)現(xiàn)有的內(nèi)部安全技術(shù)。企業(yè)還可以確保得到業(yè)內(nèi)最好的技術(shù)以滿足自身的特殊需要，這要優(yōu)于ISP所提供的普通服務(wù)。而且，建立內(nèi)部VPN能使企業(yè)有效節(jié)省VPN的運(yùn)作費(fèi)用。企業(yè)可以節(jié)省用于外包管理設(shè)備的額外費(fèi)用，并且能將現(xiàn)有的遠(yuǎn)程訪問和端到端的網(wǎng)絡(luò)集成起來，以獲取最佳性價(jià)比的VPN。雖然VPN外包能避免技術(shù)過時(shí)，但并不意味著企業(yè)可以節(jié)省開支。因?yàn)?，企業(yè)最終還要為高額產(chǎn)品支付費(fèi)用，以作為使用新技術(shù)的代價(jià)。雖然VPN外包可以簡(jiǎn)化企業(yè)網(wǎng)絡(luò)部署，但這同樣降低了企業(yè)對(duì)公司網(wǎng)的控制等級(jí)。網(wǎng)絡(luò)越大，企業(yè)就越依賴于外包VPN供應(yīng)商。因此，自建VPN是大型企業(yè)的最好選擇。
2．中小型企業(yè)外包VPN雖然每個(gè)中小型企業(yè)都是相對(duì)集中和固定的，但是部門與部門之間、企業(yè)與其業(yè)務(wù)相關(guān)企業(yè)之間的聯(lián)系依然需要廉價(jià)而安全的信息溝通，在這種情況下就用得上VPN。電信企業(yè)、IDC目前提供的VPN服務(wù)，更多的是面向中小企業(yè)，因?yàn)榭梢哉犀F(xiàn)有資源，包括網(wǎng)絡(luò)優(yōu)勢(shì)、托管和技術(shù)力量來為中小企業(yè)提供整體的服務(wù)。中小型企業(yè)如果自己購(gòu)買VPN設(shè)備，則財(cái)務(wù)成本較高，而且一般中小型企業(yè)的IT人員短缺、技能水平不足、資金能力有限，不足以支持VPN，所以，外包VPN是較好的選擇。*外包VPN比企業(yè)自己動(dòng)手建立VPN要快得多，也更為容易。*外包VPN的可擴(kuò)展性很強(qiáng)，易于企業(yè)管理。有統(tǒng)計(jì)表明，使用外包VPN方式的企業(yè)，可以支持多于2300名用戶，而內(nèi)部VPN平均只能支持大約150名用戶。而且，隨著用戶數(shù)目的增長(zhǎng)，對(duì)用于監(jiān)控、管理、提供IT資源和人力資源的要求也將呈指數(shù)增長(zhǎng)。*企業(yè)VPN必須將安全和性能結(jié)合在一起，然而，實(shí)際情況中兩者不能兼顧。例如，對(duì)安全加密級(jí)別的配置經(jīng)常降低VPN的整體性能。而通過提供VPN外包業(yè)務(wù)的專業(yè)ISP的統(tǒng)一管理，可大大提高VPN的性能和安全。ISP的VPN專家還可幫助企業(yè)進(jìn)行VPN決策。*對(duì)服務(wù)水平協(xié)議（SLA）的改進(jìn)和服務(wù)質(zhì)量（QoS）保證，為企業(yè)外包VPN方式提供了進(jìn)一步的保證。
三.VPN安全技術(shù)由于傳輸?shù)氖撬接行畔ⅲ琕PN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。目前VPN主要采用四項(xiàng)技術(shù)來保證安全，這四項(xiàng)技術(shù)分別是隧道技術(shù)（Tunneling）、加解密技術(shù)（Encryption&Decryption）、密鑰管理技術(shù)（KeyManagement）、使用者與設(shè)備身份認(rèn)證技術(shù)（Authentication）。
1.隧道技術(shù)是VPN的基本技術(shù)，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，它在公用網(wǎng)建立一條數(shù)據(jù)通道（隧道），讓數(shù)據(jù)包通過這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第二層隧道協(xié)議有L2F、PPTP、L2TP等。L2TP協(xié)議是目前IETF的標(biāo)準(zhǔn)，由IETF融合PPTP與L2F而形成。第三層隧道協(xié)議是把各種網(wǎng)絡(luò)協(xié)議直接裝入隧道協(xié)議中，形成的數(shù)據(jù)包依靠第三層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有VTP、IPSec等。IPSec（IPSecurity）是由一組RFC文檔組成，定義了一個(gè)系統(tǒng)來提供安全協(xié)議選擇、安全算法，確定服務(wù)所使用密鑰等服務(wù)，從而在IP層提供安全保障。
2.加解密技術(shù)是數(shù)據(jù)通信中一項(xiàng)較成熟的技術(shù)，VPN可直接利用現(xiàn)有技術(shù)。
3.密鑰管理技術(shù)的主要任務(wù)是如何在公用數(shù)據(jù)網(wǎng)上安全地傳遞密鑰而不被竊取?，F(xiàn)行密鑰管理技術(shù)又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則，在網(wǎng)絡(luò)上傳輸密鑰；在ISAKMP中，雙方都有兩把密鑰，分別用于公用、私用。轉(zhuǎn)自：奈微建站網(wǎng)（www.nev.cn）
4.身份認(rèn)證技術(shù)最常用的是使用者名稱與密碼或卡片式認(rèn)證等方式。四.堵住安全漏洞安全問題是VPN的核心問題。目前，VPN的安全保證主要是通過防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來實(shí)現(xiàn)的，可以保證企業(yè)員工安全地訪問公司網(wǎng)絡(luò)。但是，如果一個(gè)企業(yè)的VPN需要擴(kuò)展到遠(yuǎn)程訪問時(shí)，就要注意，這些對(duì)公司網(wǎng)直接或始終在線的連接將會(huì)是黑客攻擊的主要目標(biāo)。因?yàn)?，遠(yuǎn)程工作員工通過防火墻之外的個(gè)人計(jì)算機(jī)可以接觸到公司預(yù)算、戰(zhàn)略計(jì)劃以及工程項(xiàng)目等核心內(nèi)容，這就構(gòu)成了公司安全防御系統(tǒng)中的弱點(diǎn)。雖然，員工可以雙倍地提高工作效率，并減少在交通上所花費(fèi)的時(shí)間，但同時(shí)也為黑客、競(jìng)爭(zhēng)對(duì)手以及商業(yè)間諜提供了無數(shù)進(jìn)入公司網(wǎng)絡(luò)核心的機(jī)會(huì)。但是，企業(yè)并沒有對(duì)遠(yuǎn)距離工作的安全性予以足夠的重視。大多數(shù)公司認(rèn)為，公司網(wǎng)絡(luò)處于一道網(wǎng)絡(luò)防火墻之后是安全的，員工可以撥號(hào)進(jìn)入系統(tǒng)，而防火墻會(huì)將一切非法請(qǐng)求拒之其外；還有一些網(wǎng)絡(luò)管理員認(rèn)為，為網(wǎng)絡(luò)建立防火墻并為員工提供VPN，使他們可以通過一個(gè)加密的隧道撥號(hào)進(jìn)入公司網(wǎng)絡(luò)就是安全的。這些看法都是不對(duì)的。在家辦公是不錯(cuò)，但從安全的觀點(diǎn)來看，它是一種極大的威脅，因?yàn)?，公司使用的大多?shù)安全軟件并沒有為家用計(jì)算機(jī)提供保護(hù)。一些員工所做的僅僅是進(jìn)入一臺(tái)家用計(jì)算機(jī)，跟隨它通過一條授權(quán)的連接進(jìn)入公司網(wǎng)絡(luò)系統(tǒng)。雖然，公司的防火墻可以將侵入者隔離在外，并保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在于，侵入者可以通過一個(gè)被信任的用戶進(jìn)入網(wǎng)絡(luò)。因此，加密的隧道是安全的，連接也是正確的，但這并不意味著家庭計(jì)算機(jī)是安全的。黑客為了侵入員工的家用計(jì)算機(jī)，需要探測(cè)IP地址。有統(tǒng)計(jì)表明，使用撥號(hào)連接的IP地址幾乎每天都受到黑客的掃描。因此，如果在家辦公人員具有一條諸如DSL的不間斷連接鏈路（通常這種連接具有一個(gè)固定的IP地址），會(huì)使黑客的入侵更為容易。因?yàn)椋瑩芴?hào)連接在每次接入時(shí)都被分配不同的IP地址，雖然它也能被侵入，但相對(duì)要困難一些。一旦黑客侵入了家庭計(jì)算機(jī)，他便能夠遠(yuǎn)程運(yùn)行員工的VPN客戶端軟件。因此，必須有相應(yīng)的解決方案堵住遠(yuǎn)程訪問VPN的安全漏洞，使員工與網(wǎng)絡(luò)的連接既能充分體現(xiàn)VPN的優(yōu)點(diǎn)，又不會(huì)成為安全的威脅。在個(gè)人計(jì)算機(jī)上安裝個(gè)人防火墻是極為有效的解決方法，它可以使非法侵入者不能進(jìn)入公司網(wǎng)絡(luò)。當(dāng)然，還有一些提供給遠(yuǎn)程工作人員的實(shí)際解決方法：*所有遠(yuǎn)程工作人員必須被批準(zhǔn)使用VPN；*所有遠(yuǎn)程工作人員需要有個(gè)人防火墻，它不僅防止計(jì)算機(jī)被侵入，還能記錄連接被掃描了多少次；*所有的遠(yuǎn)程工作人員應(yīng)具有入侵檢測(cè)系統(tǒng)，提供對(duì)黑客攻擊信息的記錄；*監(jiān)控安裝在遠(yuǎn)端系統(tǒng)中的軟件，并將其限制只能在工作中使用；*IT人員需要對(duì)這些系統(tǒng)進(jìn)行與辦公室系統(tǒng)同樣的定期性預(yù)定檢查；*外出工作人員應(yīng)對(duì)敏感文件進(jìn)行加密；*安裝要求輸入密碼的訪問控制程序，如果輸入密碼錯(cuò)誤，則通過Modem向系統(tǒng)管理員發(fā)出警報(bào)；*當(dāng)選擇DSL供應(yīng)商時(shí)，應(yīng)選擇能夠提供安全防護(hù)功能的供應(yīng)商。