什麼是gre vpn?跟pptp/l2tp有什麼區別?

什麼是grevpn?跟pptp/l2tp有什麼區別?

虛擬專用網
虛擬專用網(vpn)是專用網絡的延伸，它包含了類似internet的共享或公共網絡鏈接。通過vpn可以以模擬點對點專用鏈接的方式通過共享或公共網絡在兩台計算機之間發送數據。虛擬專用聯網是創建和配置虛擬專用網的行為。

要模擬點對點鏈路，應壓縮或包裝數據，並加上一個提供路由信息的報頭，該報頭使數據能夠通過共享或公用網絡到達其終點。若要模擬專用鏈接，數據應加密以進行保密。沒有加密密鑰，在共享或公用網絡上截取的數據包是無法破譯的。封裝和加密專用數據之處的鏈接是虛擬專用網(vpn)連接。

以下圖示顯示vpn連接的邏輯等價物。

藝術圖像

在家裡或者旅途中工作的用戶可以使用vpn連接建立到組織服務器的遠程訪問連接，方法是使用公共網絡（例如internet）提供的基礎結構。從用戶的角度來講，vpn是一種在計算機（vpn客戶端）與團體服務器（vpn服務器）之間的點對點連接。vpn與共享或公用網絡的具體基礎結構無關，因為在邏輯上數據就象是通過專用的私有鏈接發送的。

單位也能夠使用vpn連接來為地理位置分開的辦公室建立路由連接，或者在保持安全通訊的同時通過公共網絡，例如internet，連接到其他單位。通過internet被路由的vpn連接邏輯上作為專用的wan鏈接來操作。

通過遠程訪問和路由連接，組織可以使用vpn連接將長途撥號或租用線路換成本地撥號或者到internet服務提供商（isp)的租用線路。

注意

•在windowsserver2003webedition和windowsserver2003standardedition上，您最多可以創建1,000個點對點隧道協議(pptp)端口，最多可以創建1,000個第二層隧道協議(l2tp)端口。然而，windowsserver2003webedition一次只能接受一個虛擬專用網絡(vpn)連接。有關windowsserver2003webedition功能可用性的詳細信息，請參閱“windowsserver2003webedition概述”。windowsserver2003standardedition最多可以接受1,000個並發vpn連接。如果已經連接了1,000個vpn客戶端，則其他連接嘗試將被拒絕，直到連接數目低於1,000為止。

在microsoftwindows2003家族中有兩種基於點對點協議(ppp)的vpn技術。

1.
點對點隧道協議(pptp)

pptp使用用戶級別的ppp身份驗證方法和用於數據加密的microsoft點對點加密(mppe)。

2.
帶有internet協議安全性(ipsec)的第二層隧道協議(l2tp)

l2tp將用戶級別的ppp身份驗證方法和計算機級別的證書與用於數據加密的ipsec或隧道模式中的ipsec（ipsec本身在其中僅對ip通信提供封裝）一起使用。

l2tp（第二層隧道協議）
更新日期：01/21/2005

第二層隧道協議(l2tp)
通過使用虛擬專用網(vpn)連接和第二層隧道協議(l2tp)，可以通過internet或其他公共網絡訪問專用網。l2tp是一個工業標准internet隧道協議，它和點對點隧道協議(pptp)的功能大致相同。l2tp的windowsserver2003家族的實施設計為通過ip網絡在本機運行。l2tp的實施不支持通過x.25、幀中繼網絡的本地隧道。

根據第二層轉發(l2f)和點對點隧道協議(pptp)的規范，您可以使用l2tp通過中介網絡建立隧道。與pptp一樣，l2tp也會壓縮點對點協議(ppp)幀，從而壓縮ip、ipx或netbeui協議，因此允許用戶遠程運行依賴特定網絡協議的應用程序。

ipsec簡介
作者：文章出處：發布時間：2001-12-02點擊：字體：【小中大】
ipsec是一系列基於ip網絡（包括intranet、extranet和internet）的，由ietf正式定制的開放性ip安全標准，是虛擬專網的基礎，已經相當成熟可靠。這裡主要介紹：

ipsec

ipsec的優點

vpn工作原理

ipsec的實現方式

ipsec及vpn

ipsec

後來的事實證明，人們對這一問題的關注是不無道理的。計算機緊急事件響應隊（cert）在1996年的年終報告中列舉了影響近11，000個站點的2，500多起安全事件。其中最嚴重的攻擊包括ip哄騙（入侵者偽造假的ip地址，並對基於ip認證的應用程序進行哄騙）和各種的竊聽和嗅探網包（攻擊者在信息傳輸過程中非法截取如登錄口令或數據庫內容一類的敏感信息）。

iab為了杜絕這些手段，將認證和加密作為下一代ip（即ipv6）中必不可少的安全特征。這就意味著廠商可以開始提供這些項目的服務了。實際上有一些廠商已經在這樣做了。

ipsec細則首先於1995年在互聯網標准草案中頒布。

ipsec可以保證局域網、專用或公用的廣域網及internet上信息傳輸的安全。下面的例子指明了ipsec的用途。

保證internet上各分支辦公點的安全連接。公司可以借助internet或公用的廣域網搭建安全的虛擬專用網絡。這使得公司可以不必耗巨資去建立自己的專用網絡，而只需依托internet即可以獲得同樣的效果。
保證internet上遠程訪問的安全。在計算機上裝有ipsec的終端用戶可以通過撥入所在地的isp的方式獲得對公司網絡的安全訪問權。這一做法降低了流動辦公雇員及遠距離工作者的長途電話費用。
通過外部網或內部網建立與合作伙伴的聯系。ipsec通過認證和鑰匙交換機制確保企業與其它組織的信息往來的安全性與機密性。
提高了電子商務的安全性。盡管在電子商務的許多應用中已嵌入了一些安全協議，ipsec的使用仍可以使其安全級別在原有的基礎上更進一步，因為所有由網絡管理員指定的通信都是經過加密和認證的。
ipsec的主要特征在於它可以對所有ip級的通信進行加密和認證，正是這一點才使ipsec可以確保包括遠程登錄、客戶/服務器、電子郵件、文件傳輸及web訪問在內多種應用程序的安全。

ipsec的優點

如果在路由器或防火牆上執行了ipsec，它就會為周邊的通信提供強有力的安全保障。一個公司或工作組內部的通信將不涉及與安全相關的費用。下文敘述了ipsec的一些優點：

ipsec在傳輸層之下，對於應用程序來說是透明的。當在路由器或防火牆上安裝ipsec時，無需更改用戶或服務器系統中的軟件設置。即使在終端系統中執行ipsec，應用程序一類的上層軟件也不會被影響。
ipsec對終端用戶來說是透明的，因此不必對用戶進行安全機制的培訓。
如果需要的話，ipsec可以為個體用戶提供安全保障，這樣做就可以保護企業內部的敏感信息。
ipsec正向internet靠攏。已經有一些機構部分或全部執行了ipsec。iab的前任總裁christianhuitema認為，關於如何保證internet安全的討論是他所見過的最激烈的討論之一。討論的話題之一就是安全是否在恰當的協議層上被使用。想要提供ip級的安全，ipsec必須成為配置在所有相關平台（包括windowsnt，unix和macintosh系統）的網絡代碼中的一部分。

實際上，現在發行的許多internet應用軟件中已包含了安全特征。例如，netscapenavigator和microsoftinternetexplorer支持保護互聯網通信的安全套層協議（ssl），還有一部分產品支持保護internet上信用卡交易的安全電子交易協議（set）。然而，vpn需要的是網絡級的功能，這也正是ipsec所提供的。

vpn工作原理

ipsec提供三種不同的形式來保護通過公有或私有ip網絡來傳送的私有數據：

認證--可以確定所接受的數據與所發送的數據是一致的，同時可以確定申請發送者在實際上是真實發送者，而不是偽裝的。
數據完整--保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。
機密性--使相應的接收者能獲取發送的真正內容，而無意獲取數據的接收者無法獲知數據的真正內容。
在ipsec由三個基本要素來提供以上三種保護形式：認證協議頭（ah）、安全加載封裝（esp）和互聯網密匙管理協議（ikmp）。認證協議頭和安全加載封裝可以通過分開或組合使用來達到所希望的保護等級。

對於vpn來說，認證和加密都是必需的，因為只有雙重安全措施才能確保未經授權的用戶不能進入vpn，同時，internet上的竊聽者無法讀取vpn上傳輸的信息。大部分的應用實例中都采用了esp而不是ah。鑰匙交換功能允許手工或自動交換密鑰。

當前的ipsec支持數據加密標准（des），但也可以使用其它多種加密算法。因為人們對des的安全性有所懷疑，所以用戶會選擇使用triple-des（即三次des加密）。至於認證技術，將會推出一個叫作hmac（mac即信息認證代碼messageauthenticationcode）的新概念。

認證協議頭（ah）是在所有數據包頭加入一個密碼。正如整個名稱所示，ah通過一個只有密匙持有人才知道的"quot;數字簽名"quot;來對用戶進行認證。這個簽名是數據包通過特別的算法得出的獨特結果；ah還能維持數據的完整性，因為在傳輸過程中無論多小的變化被加載，數據包頭的數字簽名都能把它檢測出來。不過由於ah不能加密數據包所加載的內容，因而它不保證任何的機密性。兩個最普遍的ah標准是md5和sha-1，md5使用最高到128位的密匙，而sha-1通過最高到160位密匙提供更強的保護。
安全加載封裝（esp）通過對數據包的全部數據和加載內容進行全加密來嚴格保證傳輸信息的機密性，這樣可以避免其他用戶通過監聽來打開信息交換的內容，因為只有受信任的用戶擁有密匙打開內容。esp也能提供認證和維持數據的完整性。最主要的esp標准是數據加密標准（des），des最高支持56位的密匙，而triple-des使用三套密匙加密，那就相當於使用最高到168位的密匙。由於esp實際上加密所有的數據，因而它比ah需要更多的處理時間，從而導致性能下降。
密匙管理包括密匙確定和密匙分發兩個方面，最多需要四個密匙：ah和esp各兩個發送和接收密匙。密匙本身是一個二進制字符串，通常用十六進制表示，例如，一個56位的密匙可以表示為5f39da752e0c25b4。注意全部長度總共是64位，包括了8位的奇偶校驗。56位的密匙（des）足夠滿足大多數商業應用了。密匙管理包括手工和自動兩種方式。
人工手動管理方式是指管理員使用自己的密鑰及其它系統的密鑰手工設置每個系統。這種方法在小型網絡環境中使用比較實際。手工管理系統在有限的安全需要可以工作得很好。使用手工管理系統，密匙由管理站點確定然後分發到所有的遠程用戶。真實的密匙可以用隨機數字生成器或簡單的任意拼湊計算出來，每一個密匙可以根據集團的安全政策進行修改。
自動管理系統能滿足其他所有的應用要求。使用自動管理系統，可以動態地確定和分發密匙，顯然和名稱一樣，是自動的。自動管理系統具有一個中央控制點，集中的密匙管理者可以令自己更加安全，最大限度的發揮ipsec

[1] [2] 下一页