VPN協(xié)議
Windows 2000遠(yuǎn)程訪問(wèn)服務(wù)器與客戶端支持兩種針對(duì)遠(yuǎn)程訪問(wèn)VPN連接VPN協(xié)議：

• 端對(duì)端隧道協(xié)議
• 第二層隧道協(xié)議

端對(duì)端隧道協(xié)議
端對(duì)端隧道協(xié)議（PPTP）是Windows NT 4.0中首先提供支持的隧道協(xié)議,。PPTP是對(duì)端對(duì)端協(xié)議（PPP）的一種擴(kuò)展,，它采用了PPP所提供的身份驗(yàn)證、壓縮與加密機(jī)制,。PPTP能夠隨TCP/IP協(xié)議一道自動(dòng)進(jìn)行安裝,。PPTP與Microsoft端對(duì)端加密（MPPE）技術(shù)提供了用以對(duì)保密數(shù)據(jù)進(jìn)行封裝與加密的首要VPN服務(wù)。

一個(gè)PPP幀（一個(gè)IP或IPX數(shù)據(jù)包）將通過(guò)通用路由封裝（Generic Routing Encapsulation,，GRE）報(bào)頭和IP報(bào)頭進(jìn)行封裝,。IP報(bào)頭中提供了與VPN客戶端和VPN服務(wù)器相對(duì)應(yīng)的源IP地址和目標(biāo)IP地址。

MPPE將通過(guò)由MS-CHAP,、MS-CHAP v2或EAP-TLS身份驗(yàn)證過(guò)程所生成的加密密鑰對(duì)PPP幀進(jìn)行加密,。為對(duì)PPP幀中所包含的有效數(shù)據(jù)進(jìn)行加密，虛擬專用網(wǎng)絡(luò)客戶端必須使用MS-CHAP,、MS-CHAP v2或EAP-TLS身份驗(yàn)證協(xié)議,。PPTP將利用底層PPP加密功能并直接對(duì)原先經(jīng)過(guò)加密的PPP幀進(jìn)行封裝。

圖4顯示了針對(duì)PPP幀的PPTP封裝與加密方式,。

如果您所使用的瀏覽器產(chǎn)品不支持嵌入式框架,， 請(qǐng)點(diǎn)擊此處以便在獨(dú)立頁(yè)面中進(jìn)行瀏覽。
圖4 針對(duì)PPP幀的PPTP封裝與加密方式

第二層隧道協(xié)議
第二層隧道協(xié)議（L2TP）是一種Internet工程任務(wù)組（IETF）標(biāo)準(zhǔn)隧道協(xié)議。與PPTP不同,，Windows 2000所支持的L2TP協(xié)議并非利用MPPE對(duì)PPP幀進(jìn)行加密,。L2TP依靠Internet協(xié)議安全性（IPSec）技術(shù)提供加密服務(wù)。L2TP與IPSec的結(jié)合產(chǎn)物稱為L(zhǎng)2TP/IPSec,。VPN客戶端與VPN服務(wù)器都必須支持L2TP和IPSec,。L2TP將隨同路由與遠(yuǎn)程訪問(wèn)服務(wù)一道自動(dòng)進(jìn)行安裝。

L2TP/IPSec提供了針對(duì)保密數(shù)據(jù)進(jìn)行封裝與加密的首要VPN服務(wù),。

在IPSec數(shù)據(jù)包基礎(chǔ)上所進(jìn)行的L2TP封裝由兩個(gè)層次組成：

• L2TP封裝： PPP幀（IP或IPX數(shù)據(jù)包）將通過(guò)L2TP報(bào)頭和UDP報(bào)頭進(jìn)行封裝,。
• IPSec封裝： 上述封裝后所得到的L2TP報(bào)文將通過(guò)IPSec封裝安全性有效載荷（ESP）報(bào)頭、用以提供消息完整性與身份驗(yàn)證的IPSec身份驗(yàn)證報(bào)尾以及IP報(bào)頭再次進(jìn)行封裝,。IP報(bào)頭中將提供與VPN客戶端和VPN服務(wù)器相對(duì)應(yīng)的源IP地址和目標(biāo)IP地址,。IPSec加密機(jī)制將通過(guò)由IPSec身份驗(yàn)證過(guò)程所生成的加密密鑰對(duì)L2TP報(bào)文進(jìn)行加密。

圖5顯示了針對(duì)PPP數(shù)據(jù)報(bào)的L2TP/IPSec封裝與加密方式,。

如果您所使用的瀏覽器產(chǎn)品不支持嵌入式框架,， 請(qǐng)點(diǎn)擊此處以便在獨(dú)立頁(yè)面中進(jìn)行瀏覽。
圖5 針對(duì)PPP數(shù)據(jù)報(bào)的L2TP/IPSec封裝與加密方式