-
精品文档
GRE
、<
/p>
PPTP
、
L2TP
隧道协议
在
IPSec
和
Multiprotocol Label
Switching (MPLS) VPN
出现前,
GRE<
/p>
被用来提供
Internet
上的
VPN
功能。
GRE
将用户数据包封装到携带数据包中。因为支持多种协
议,多播,点到点或点到多点协议,
如今,
GRE
仍然被使用。
在
GRE
隧道中,路由器会在封装数据包的
IP
头部指定要携带的协议,并建立到对
端
路由器的虚拟点对点连接
Passenger:
要封装的乘客协议
(IPX, AppleTalk,
IP, IPSec, DVMRP, etc.).
?
Carrier:
封装
passenger protocol
< br>的
GRE
协议,插入到
tran
sport
和
passenger
包头
之间
,
在
GRE
包头中定义了传输的协议
?
Transport:
IP
协议携带了封装的
passenger
protocol.
这个传输协议通常实施在
点对点的
GRE
连接中
(GRE
是无连接的
).
?
GRE
的特点:
?
?
?
?
?
GRE
是一个标准协议
支持多种协议和多播
能够用来创建弹性的
VPN
支持多点隧道
能够实施
QOS
精品文档
精品文档
GRE
的缺点:
?
?
?
?
?
缺乏加密机制
没有标准的控制协议来
保持
GRE
隧道(通常使用协议和
ke
epalive
)
隧道很消耗
CPU
出现问题要进行<
/p>
DEBUG
很困难
MTU
和
IP
分片是一个问题
配置:
这里配置对端的
IP
地址和
tunnel ID (tunnel key 2323)
来进行简单的认证。两端
配置的
tunnel
ID
必须配置相同。
在
Cisco IOS versions 12.2(8)T
允许配置
keepalive
,定期发
送报文检测对端是
否还活着
GRE
隧道
GRE
建立的是简单的(不进行加密)
VPN
< br>隧道,他通过在物理链路中使用
ip
地址
和路由穿越普通网络。
大部分协议都没有内建加密机
制,所以携带他们穿越网络的很常见的方法就是使用
加密(如使用
IPSec
)的
GRE
隧道,这样可
以为这些协议提供安全性。(相关配
置请参看
GRE over
IPSec
)网状连接(
Full-
Mesh
)
由于
GRE
是建立点对点的隧道,如果要多个端点的网状互联,则必须采用这种
Hub-and-spoke
的拓扑形式
精品文档
精品文档
但是可以通过使用
NHRP
(
Next-Hop Resolution Protocol
)来自动
建立全网状拓
扑。(相关配置请参看
NHRP
配置全网状互联
GRE
隧道)
VPDN
简介
VPDN
(
Virtual
Private Dial Network
,虚拟私有拨号网)是指利用公共网络(如
ISDN
和
PSTN
< br>)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型
ISP
、
移动办公人员提供接入服务。
VPDN
采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专
网。
企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总<
/p>
部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的
资源。
VPDN
有下列两种实现方式:
1.
网络接入服务器(
NAS
)通过隧道协议,与
VPDN
网关建立通道的方式。
这种方式将客户的
PPP
连接直接连到企业的网关上,目前可使用的协议有
L2F
与
L2TP
。其好处在于:对用户是透明的,用户
只需要登录一次就可以
接入企业网络
,由企业网进行用户认证和地址分配,而不占用公共地址,用
户可使用各种平台上网。这
种方式需要
NAS
支持
VPDN
协议,
需要认证系
统支持
VPDN
属性,网关一般使用路由器或
< br>VPN
专用服务器。
精品文档
精品文档
2.
客户机与
VPDN
网关建立隧道的方式。这种方式由客户机先建立
<
/p>
与
Internet
的连接,再通过专用
的客户软件(如
Win2000
支持的
L2TP
客户端)与网关
建立通道连接。其好处在于:用户上网
的方式和地点没有限
制,不需
ISP
介入。缺点是:用户需要安装专用的软件(一般都是
Win20
00
平台),限
制了用户使用的平台。
VPDN
隧道协议可分为
PPTP
、
L2F
和
L2TP
三种
Point to
Point Tunneling Protocol
(
PPT
P
)
点对点隧道协议(
PPTP
)是一种支持多协议虚拟专用网络的网络技术
,
它工作在
第二层。通过该协议,
远程用户能够通过
Microsoft Windows
NT
工作站、
Windows
95
和
Windows 98
操作系统以及其它装有点对点协议的系统安全访问公司网络,并
能拨号连
入本地
ISP
,通过
Internet
安全链接到公司网络。
PPTP
协议假定在
PPTP
客户机和
PPTP
服务器之间有连通并且可用的
IP
网络。因
此如果
PPTP
客户机本身已经是
IP
网络的组成部分,那么即可通过该
IP
网络与
PPTP
服务器取得连接;而如果
PPTP
客户机尚未连入网络,譬
如在
Internet
拨号用
户的情形
下,
PPTP
客户机必须首先拨打
NA
S
以建
立
I
P
连接。这里所说的
PPTP
客户机也
就是使用
PPTP
协议的
VPN
客户机,而
PPTP
服务器亦即使用
PPTP
协议
的
VPN
服务器。
PPTP Access Concentrator
(PAC)
:
接入服务商,允许拨号
接入连接(通常是
由
ISP
担任,而且
不需要
ISP
的协助来建立隧道)
?
PPTP Network
Server (PNS)
:通常是
PPTP
< br>服务器或者路由器用来建立
PPTP
隧道
?
Microsoft
Point-to-Point Encryption (MPPE)
:和
IPSec
一样,是一种数据加
密协议,用来为
PPP
拨号连接传输的数据进行加密。
MPPE
使用
RSA
< br>算法
来进行加密,支持
40-bit
和
128-bit
的会话密钥
?
精品文档
-
-
-
-
-
-
-
-
-
上一篇:成都光明光学玻璃产品对照表
下一篇:短期成本函数──长期成本函数