■ VPN的基本要求
　　一般來說，企業(yè)在選用一種遠(yuǎn)程網(wǎng)絡(luò)互聯(lián)方案時都希望能夠?qū)υL問企業(yè)資源和信息的要求加以控制，所選用的方案應(yīng)當(dāng)既能夠?qū)崿F(xiàn)授權(quán)用戶與企業(yè)局域網(wǎng)資源的自由連接，不同分支機(jī)構(gòu)之間的資源共享；又能夠確保企業(yè)數(shù)據(jù)在公共互聯(lián)網(wǎng)絡(luò)或企業(yè)內(nèi)部網(wǎng)絡(luò)上傳輸時安全性不受破壞.因此，最低限度，一個成功的VPN方案應(yīng)當(dāng)能夠滿足以下所有方面的要求：
　　1.用戶驗(yàn)證
　　VPN方案必須能夠驗(yàn)證用戶身份并嚴(yán)格控制只有授權(quán)用戶才能訪問VPN。另外，方案還必須能夠提供審計(jì)和記費(fèi)功能，顯示何人在何時訪問了何種信息。
　　2.地址管理
　　VPN方案必須能夠?yàn)橛脩舴峙鋵Ｓ镁W(wǎng)絡(luò)上的地址并確保地址的安全性。
　　3.數(shù)據(jù)加密
　　對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。
　　4.密鑰管理
　　VPN方案必須能夠生成并更新客戶端和服務(wù)器的加密密鑰。
　　5.多協(xié)議支持
　　VPN方案必須支持公共互聯(lián)網(wǎng)絡(luò)上普遍使用的基本協(xié)議，包括IP，IPX等。以點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）或第2層隧道協(xié)議（L2TP）為基礎(chǔ)的VPN方案既能夠滿足以上所有的基本要求，又能夠充分利用遍及世界各地的Internet互聯(lián)網(wǎng)絡(luò)的優(yōu)勢。其它方案，包括安全I(xiàn)P協(xié)議（IPSec)，雖然不能滿足上述全部要求，但是仍然適用于在特定的環(huán)境。本文以下部分將主要集中討論有關(guān)VPN的概念，協(xié)議，和部件（component）。
　　
　　■ 隧道技術(shù)基礎(chǔ)
　　隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)楨（此字不正確）或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。
　　被封裝的數(shù)據(jù)包在隧道的兩個端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。
　　
　　隧道所使用的傳輸網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò)，本文主要以目前普遍使用Internet為例進(jìn)行說明。此外，在企業(yè)網(wǎng)絡(luò)同樣可以創(chuàng)建隧道。隧道技術(shù)在經(jīng)過一段時間的發(fā)展和完善之后，目前較為成熟的技術(shù)包括：
　　1.IP網(wǎng)絡(luò)上的SNA隧道技術(shù)
　　當(dāng)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（SystemNetworkArchitecture）的數(shù)據(jù)流通過企業(yè)IP網(wǎng)絡(luò)傳送時，SNA數(shù)據(jù)楨將被封裝在UDP和IP協(xié)議包頭中。
　　2.IP網(wǎng)絡(luò)上的NovellNetWareIPX隧道技術(shù)
　　當(dāng)一個IPX數(shù)據(jù)包被發(fā)送到NetWare服務(wù)器或IPX路由器時，服務(wù)器或路由器用UDP和IP包頭封裝IPX數(shù)據(jù)包后通過IP網(wǎng)絡(luò)發(fā)送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后，把數(shù)據(jù)包轉(zhuǎn)發(fā)到IPX目的地。
　　近幾年不斷出現(xiàn)了一些新的隧道技術(shù)，本文將主要介紹這些新技術(shù)。具體包括：
　　1.點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）
　　PPTP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。
　　2.第2層隧道協(xié)議（L2TP）
　　L2TP協(xié)議允許對IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對點(diǎn)數(shù)據(jù)報傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，楨中繼或ATM。
　　3.安全I(xiàn)P（IPSec)隧道模式
　　IPSec隧道模式允許對IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。
　　
　　■ 隧道協(xié)議
　　為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。
　　隧道技術(shù)可以分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。上述分層按照開放系統(tǒng)互聯(lián)（OSI）的參考模型劃分。第2層隧道協(xié)議對應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用楨作為數(shù)據(jù)交換單位。PPTP，L2TP和L2F（第2層轉(zhuǎn)發(fā)）都屬于第2層隧道協(xié)議，都是將數(shù)據(jù)封裝在點(diǎn)對點(diǎn)協(xié)議（PPP）楨中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第3層隧道協(xié)議對應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IP overIP以及IPSec隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。
　　
　　■ 隧道技術(shù)如何實(shí)現(xiàn)
　　對于象PPTP和L2TP這樣的第2層隧道協(xié)議，創(chuàng)建隧道的過程類似于在雙方之間建立會話；隧道的兩個端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報的協(xié)議發(fā)送。隧道維護(hù)協(xié)議被用來作為管理隧道的機(jī)制。
　　第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。這些協(xié)議不對隧道進(jìn)行維護(hù)。與第3層隧道協(xié)議不同，第2層隧道協(xié)議（PPTP和L2TP）必須包括對隧道的創(chuàng)建，維護(hù)和終止。
　　隧道一旦建立，數(shù)據(jù)就可以通過隧道發(fā)送。隧道客戶端和服務(wù)器使用隧道數(shù)據(jù)傳輸協(xié)議準(zhǔn)備傳輸數(shù)據(jù)。例如，當(dāng)隧道客戶端向服務(wù)器端發(fā)送數(shù)據(jù)時，客戶端首先給負(fù)載數(shù)據(jù)加上一個隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝的數(shù)據(jù)通過互聯(lián)網(wǎng)絡(luò)發(fā)送，并由互聯(lián)網(wǎng)絡(luò)將數(shù)據(jù)路由到隧道的服務(wù)器端。隧道服務(wù)器端收到數(shù)據(jù)包之后，去除隧道數(shù)據(jù)傳輸協(xié)議包頭，然后將負(fù)載數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。