VPN的典型隧道协议隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。注意隧道技术是指包括数据封装，传输和解包在内的全过程。1、点对点隧道协议(PPTP)点对点隧道协议(PPTP,Point-to-pointTunnelingProtocol)是一种用于让远程用户拨号连接到本地ISP，通过因特网安全远程访问公司网络资源的新型技术。PPTP对PPP协议本身并没有做任何修改，只是使用PPP拨号连接，然后获取这些PPP包，并把它们封装进GRE头中。PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证，另外也支持Microsoft公司的点到点加密技术（MPPE）。PPTP支持的是一种客户-LAN型隧道的VPN实现。传统网络接入服务器(NAS)执行以下功能：它是PSTN或ISDN的本地接口，控制着外部的MODEM或终端适配器：它是PPP链路控制协议会话的逻辑终点；它是PPP认证协议的执行者；它为PPP多链路由协议进行信道汇聚管理；它是各种PPP网络控制协议的逻辑终点。PPTP协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。这样一来，拨号PPP链路的终点就延伸至PNS。PPTP协议正是利用了“NAS功能的分解”这样的机制支持在因特网上的VPN实现。ISP的NAS将执行PPTP协议中指定的PAC的功能。而企业VPN中心服务器将执行PNS的功能，通过PPTP，远程拥护首先拨号到本地ISP的NAS，访问企业的网络和应用，而不再需要直接拨号至企业的网络，这样，由GRE将PPP报文封装成IP报文就可以在PAC－PNS之间经由因特网传递，即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。建立PPTP连接，首先需要建立客户端与本地ISP的PPP连接。一旦成功的接入因特网，下一步就是建立PPTP连接。从最顶端PPP客户端、PAC和PNS服务器之间开始，由已经安装好PPTP的PAC建立并管理PPTP任务。如果PPP客户端将PPTP添加到它的协议中，所有列出来的PPTP通信都会在支持PPTP的客户端上开始与终止。由于所有的通信都将在IP包内通过隧道，因此PAC只起着通过PPP连接进因特网的入口点的作用。从技术上讲，PPP包从PPTP隧道的一端传输到另一端，这种隧道对用户是完全透明的。PPTP具有两种不同的工作模式，即被动模式和主动模式。被动模式的PPTP会话通过一个一般是位于ISP处的前端处理器发起，在客户端不需要安装任何与PPTP有关的软件。在拨号连接到ISP的过程中，ISP为用户提供所有的相应服务和帮助。被动方式的好处是降低了对客户的要求，缺点是限制了客户对因特网其他部分的访问。主动方式是由客户建立一个与网络另外一端服务器直接连接的PPTP隧道，这种方式不需要ISP的参与，不再需要位于ISP处的前端处理器，ISP只提供透明的传输通道。这种方式的优点是客户拥有对PPTP的绝对控制，缺点是对用户的要求较高，并需要在客户端安装支持PPTP的相应软件。通过PPTP，远程用户经由因特网访问企业的网络和应用，而不再需要直接拨号至企业的网络。这样大大的减少了建立和维护专用远程线路的费用。且为企业提供了充分的安全保证。另外，PPTP还在IP网络中支持IP协议。PPTP“隧道”将IP、IPX、APPLE－TALK等协议封装在IP包中，使用户能够运行基于特定网络协议的应用程序。同时，“隧道”采用现有的安全检测和认证策略，还允许管理员和用户对数据进行加密，使数据更加安全。PPTP还提供了灵活的IP地址管理。如果企业专用的网络使用未经注册的IP地址，那么PNS将把此地址和企业专用地址联系起来。PPTP协议是一个为---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---中小企业提供的VPN解决方案，但PPTP协议在实现上存在着重大安全隐患。有研究表明其安全性甚至比PPP还要弱，因此不适用于需要一定安全保证的通信。如果条件允许，用户最好选...