VPN中的隧道是由隧道協議形成的,VPN使用的隧道協議主要有三種:點到點隧道協議(PPTP)、第二層隧道協議(L2TP)以及IPSec。
PPTP封裝了PPP數據包中包含的用戶信息,支持隧道交換。隧道交換可以根據用戶權限,開啟并分配新的隧道,將PPP數據包在網絡中傳輸。另外,隧道交換還可以將用戶導向指定的企業內部服務器。PPTP便于企業在防火墻和內部服務器上實施訪問控制。位于企業防火墻的隧道終端器接受包含用戶信息的PPP數據包,然后對不同來源的數據包實施訪問控制。
L2TP協議綜合了PPTP協議和L2F(Layer 2 Forwarding)協議的優點,并且支持多路隧道,這樣可以使用戶同時訪問Internet和企業網。
IPSec是用來增強VPN安全性的標準協議。IPSec包含了用戶身份認證、查驗和數據完整性等內容。該協議標準由IETF組織制訂,其中規定了用以在兩個IP工作站之間進行加密、數字簽名等而使用的一系列IP級協議。IPSec實現來自不同廠商的設備在進行隧道開通和終止時的互操作。另外,由于IPSec的安全性功能與密鑰管理系統松散耦合,所以當密鑰管理系統發生變化時,IPsec的安全機制不需要進行修改。
基于MPLS的VPN是一種基于網絡的新型VPN解決方案,它要求廣域網絡支持MPLS,利用MPLS的標記交換在廣域網絡上為VPN用戶提供虛擬連接。MPLS VPN的優點是全網統一管理的能力很強,由于MPLS VPN是基于網絡的,全部的VPN網絡配置和VPN策略配置都在網絡端完成,可以大大降低管理維護的開銷。
ITU-T形成的基于網絡IP VPN草案中提出了關于基于MPLS的IP VPN技術要求,在業務提供商的網絡中采用IP技術,且骨干網用MPLS,對于IP VPN業務只能在邊緣設備上提供,而對于骨干設備,IP VPN業務是透明的,這樣才有利于可擴展性。
