虚拟专用网(一)

1.VPN的用途

　　代理服务器Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。

　　与代理服务器不同。VPN是解决通过外网访问内网资源的一种远程连接方式，如下面的情况：

　　(1)公司出差员工，可以通过vpn登陆公司内网进行办公；(远程接入VPN)

　　(2)各个分公司可以通过vpn与总公司联系；（内联网VPN）

2.什么是VPN

　　VPN就是利用开放的公众IP/MPLS网络建立专用数据传输通道，将远程的分支机构、移动办公人员等连接起来。 

　　　　V(Virtual): 虚拟通道，不需要专用线路。

　　　　P(Private): 安全的，数据进行加密传输

　　　　N(Network): 远程连接

　　VPN虚拟专用网，通过对传输的数据进行加密，在公网上实现了一条虚拟的所谓专用线路进行安全传输。

     所以，如果需要在公网或者外网访问内网的资源或者电脑，那就可以在内网建立VPN，这样就方便多了。

3.第二层隧道协议

   PPP(Point-to-Point Protocol)协议是在SLIP的基础上发展起来的,由于SLIP只支持异步传输方式,无协商过程,它逐渐被PPP协议所替代.PPP协议作为一种提供在点到点链路上封装,传输网络层数据包的数据链路层协议,处于OSI参考模型的第二层,主要被发计用来支持全双工的同异步链路上进行点到点之间的传输.

  PPP协议的特点:

             PPP协议是数据链路层协议

            支持点到点的连接(不同于X.25,Frame Relay等数据链路层协议);

            物理层可以是同步电路或异步电路(如Frame Relay 等数据链路层协议)

            具有各种NCP协议,如IPCP,IPXCP更好的支持了网络层协议;

            具有验证协议PAP/CHAP（口令认证协议/挑战---握手协议）,更好的保证了网络的安全性.

     PPP主要由两类协议组成:链路控制协议族(LCP)和网络控制协议族(NCP)

     链路控制协议主要用于建立,拆除和监控PPP数据链路,网络层控制协议族主要用于协商在该数据链路上所传输的数据包的格式与类型。同时，PPP还提供了用于网络安全方面的验证协议族（PAP和CHAP）。

     链路控制协议（LCP）：建立，配置，测试PPP数据链路连接；

     网络控制协议族（NCPS）：协商在该链路上所传输的数据包的格式与类型，建立，配置不同网络层协议；PPP扩展协议族：提供对PPP功能的进一步支持。

    参考 ：  http://blog.youkuaiyun.com/csucxcc/article/details/1684416#comments

 2.点对点隧道协议（PPTP）  默认端口号：1723

  PPTP，即PPTF协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码身份验证协议（PAP）、可扩展身份验证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

  点对点隧道协议（PPTP）是一种支持多协议虚拟专用网络的网络技术，它工作在第二层。通过该协议，远程用户能够通过 Microsoft Windows NT工作站、Windows xp 、Windows 2000 和windows2003、windows7操作系统以及其它装有点对点协议的系统安全访问公司网络，并能拨号连入本地ISP，通过Internet 安全链接到公司网络。

  PPTP协议是点对点隧道协议，其将控制包与数据包分开，控制包采用TCP控制。PPTP使用TCP协议，适合在没有防火墙限制的网络中使用。

2、L2TP（Layer 2 Tunneling Protocol，第二层隧道协议）

   L2TP是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处，比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

   L2TP是一个数据链路层协议，基于UDP。其报文分为数据消息和控制消息两类。数据消息用投递 PPP 帧，该帧作为L2TP报文的数据区。L2TP不保证数据消息的可靠投递，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。控制消息用以建立、维护和终止控制连接及会话，L2TP确保其可靠投递，并支持对控制消息的流量控制和拥塞控制。

   L2TP是国际标准隧道协议，它结合了PPTP协议以及第二层转发L2F协议的优点，能以隧道方式使PPP包通过各种网络协议，包括ATM、SONET和帧中继。但是L2TP没有任何加密措施，更多是和IPSec协议结合使用，提供隧道验证。

   L2TP使用UDP协议，一般可以穿透防火墙，适合在有防火墙限制、局域网用户，如公司、网吧、学校等场合使用。

 PPTP和L2TP二个连接类型在性能上差别不大，如果使用PPTP不正常，那就更换为L2TP。

3、OpenVPN

   OpenVpn的技术核心是虚拟网卡，其次是SSL协议实现。

   虚拟网卡是使用网络底层编程技术实现的一个驱动软件，安装后在主机上多出现一个网卡，可以像其它网卡一样进行配置。服务程序可以在应用层打开虚拟网卡，如果应用软件（如IE）向虚拟网卡发送数据，则服务程序可以读取到该数据，如果服务程序写合适的数据到虚拟网卡，应用软件也可以接收得到。虚拟网卡在很多的操作系统下都有相应的实现，这也是OpenVpn能够跨平台一个很重要的理由。

   OpenVPN使用OpenSSL库加密数据与控制信息：它使用了OpenSSL的加密以及验证功能，意味着，它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外，OpenSSL的硬件加速也能提高它的性能。

   OpenVPN所有的通信都基于一个单一的IP端口，默认且推荐使用UDP协议通讯，同时TCP也被支持。

   在选择协议时候，需要注意2个加密隧道之间的网络状况，如有高延迟或者丢包较多的情况下，请选择TCP协议作为底层协议，UDP协议由于存在无连接和重传机制，导致要隧道上层的协议进行重传，效率非常低下。

   OpenVPN是一个基于SSL加密的纯应用层VPN协议，是SSL VPN的一种，支持UDP与TCP两种方式（说明：UDP和TCP是2种通讯协议，这里通常UDP的效率会比较高，速度也相对较快。所以尽量使用UDP连接方式，实在UDP没法使用的时候，再使用TCP连接方式）。

   由于其运行在纯应用层，避免了PPTP和L2TP在某些NAT设备后面不被支持的情况，并且可以绕过一些网络的封锁（通俗点讲，基本上能上网的地方就能用OpenVPN）。

   OpenVPN客户端软件可以很方便地配合路由表，实现不同线路（如国内和国外）的路由选择，实现一部分IP走VPN，另一部分IP走原网络。

百度百科：http://baike.baidu.com/link?url=00I2C_Gm7Xvcma3QJYHCrJJ0-

 

PPTP、L2TP、OpenVPN三种隧道协议的优缺点对比

易用性：    PPTP > L2TP > OpenVPN
速度：      PPTP > OpenVPN UDP > L2TP > OpenVPN TCP
安全性：    OpenVPN > L2TP > PPTP
稳定性：    OpenVPN > L2TP > PPTP
网络适用性：OpenVPN > PPTP > L2TP