VPN技术标准类型

VPN主要有PPTP，L2TP，IPsec，MLPS等标准类型。

a）PPT/L2TP：

PPTP和 L2TP都是OSI第二层的VPN，也是较早期的VPN协议，在IPsec出现前是最主要的VPN类型，今天使用仍然相当广泛，典型地是使用两台托管的Windows 2000服务器作为VPN网关。前者是微软在1996年制定，后者则由CISCO汇同微软在PPTP和L2F的基础上制定。第二层协议对ＰＰＰ协议本身并没有做任何修改，只是将用户的 PPP帧基于GRE封装成IP报文。
PPTP和L2TF均具有简单易行的优点，但是它们的可扩展性都不好。更重要的是，它们都没有提供内在的安全机制，它们不能支持企业和企业的外部客户以及供应商之间会话的保密性需求，因此它们不支持用来连接企业内部网和企业的外部客户及供应商的企业外部网Extranet的概念。Extranet需要对隧道进行加密并需要相应的密钥管理机制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。安全程度差，是PPTP/L2TF简易型VPN最大的弱点。
PPTP和L2TP最适合用于客户端远程访问虚拟专用网，作为安全要求高的企业信息，使用PPTP/L2TP与明文传送的差别不大。PPTP/L2TP不适合于向Ipv6的转移。

b)IPsec（安全IP）:

IPSec是IETF(Internet Engineer Task Force)完善的安全标准，它把几种安全技术结合在一起形成一个较为完整的体系，通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头AH(Authentication Header)、IP安全载荷封载ESP(Encapsulated Security Payload)和密钥管理协议组成。是目前支持最广泛的VPN协议。

IPSec协议是一个范围广泛、开放的虚拟专用网安全协议。IPSec适应向IP v6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。即：

认证：用于对主机和端点进行身份鉴别。

完整性检查：用于保证数据在通过网络传输时没有被修改。

加密：加密IP地址和数据以保证私有性。

IPsec是完全意义上的VPN，能直接与PKI、CA设备密切协同完成认证功能。IPSec的缺占是需要固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。（图腾VPN是目前不多的部分支持动态IP的VPN网关技术）；除了TCP/IP协议外，IPSec不支持其他协议。除了包过滤之外，它没有指定其他访问控制方法。另外，微软在windows中没有集成对IPSec的支持，因此，windows客户端需要专门的软件或硬件的支持。

IPSec最适合可信的网关到网关之间的虚拟专用网，即企业广域网(Extranet)的构建。

c）MPLS VPN

MPLS VPN是与IPsec同级的，同样由IETF制度的，与IPsec互补的VPN的标准。IETF IPsec工作组（属于Security Area部分）的工作主要涉及网络层的保护方面，所以该组设计了加密安全机制以便灵活地支持认证、完整性、访问控制和系统加密；而IETF MPLS工作组（属于Routing Area部分）则在从另一方面着手开发了支持高层资源预留、QoS和主机行为定义的机制。

MPLS VPN广泛用于ISP直接向VPN客户提供专线VPN的服务。与IPsec的对比如下：

VPN的关键技术参数

VPN产品的关键技术参数包括：支持那些标准（IPsec，PPTP，L2TP，MSLP，SOCK5），支持那些加密算法；最大加密强度是多少；是否支持公钥体系（PKI），及IKE密钥管理等。
(e129)