分类

隧道可分为自愿隧道和强制隧道两种。1

自愿隧道

自愿隧道是使用最普遍的隧道类型。客户端可以通过发送VPN请求配置和创建一条自愿隧道。1

为建立自愿隧道，客户端计算机必须安装适当的隧道协议，并需要一条IP连接(可通过局域网或拨号线路)。如果使用拨号方式，客户端必须在建立隧道之前创建与公共互联网的一个拨号连接。1

强制隧道

强制隧道由支持VPN的拨号接入服务器配置和创建。在这种情况下，用户计算机不作为隧道端点，而是由位于用户计算机和隧道服务器之间的远程接入服务器作为隧道客户端，成为隧道的一个端点。1

一些厂家提供能够创建隧道的拨号接入服务器，包括支持PPTP协议的前端处理器(FEP)、支持L2TP协议的L2TP接入集线器(LAC)或支持IPSec的安全IP网关等。1

FEP和隧道服务器之间建立的隧道可以被多个拨号客户共享，而不必为每个客户建立各自的隧道。因此，一条强制隧道中可能会传递多个客户的数据信息，只有在最后一个隧道用户断开连接之后才能终止这条隧道。1

隧道协议

隧道技术是VPN技术的基础，在创建隧道过程中，隧道的客户机和服务器双方必须使用相同的隧道协议。按照开放系统互连参考模型( OSI)的划分，隧道技术可以分为第2层和第3层隧道协议。第2层隧道协议使用帧作为数据交换单位。PPTP、L2TP都属于第2层隧道协议，它们都是将数据封装在点对点协议( PPP)帧中通过互联网发送的。第3层隧道协议使用包作为数据交换单位。IPoverIP和IPSec隧道模式都属于第3层隧道协议，它们都是将lP包封装在附加的IP包头中通过IP网络传送。下面介绍几种常见的隧道协议。

PPTP协议

PPTP（Point-to-Point Tunneling Protocol，点对点隧道协议）是PPP（点对点）协议的扩展，并协调使用PPP的身份验证、压缩和加密机制。它允许对IP、IPX或NETBEUI数据流进行加密，然后封装在IP包头中通过诸如Internet这样的公共网络发送，从而实现多功能通信。

只有IP网络才可以建立PPTP的VPN。两个局域网之间若通过PPTP来连接，则两端直接连接到Internet的VPN服务器必须要执行TC P/IP通信协议，但网络中的其他计算机不一定需要执行TCP/IP协议，它们可以执行TCP/IP、IPX或NetBEUI通信协议。因为当它们通过VPN服务器与远程计算机通信时，这些不同通信协议的数据包会被封装到PPP的数据包内，然后经过Internet传送，信息到达目的地后，再由远程的VPN服务器将其还原为TCP/IP、IPX或NetBEUI数据包。但需要注意的是，PPTP会话不能通过代理服务器进行。

L2TP协议

L2TP（Layer Two Tunneling Protocol，第2层隧道协议）是基于RFC的隧道协议，该协议依赖于加密服务的Internet安全性(IPSec)。该协议允许客户通过其间的网络建立隧道，L2TP还支持信道认证，但它没有规定信道保护的方法。

IPSec协议

IPSec是由IETF( Internet Engineering Task Force)定义的一套在网络层提供IP安全性的协议。它主要用于确保网络层之间的安全通信。该协议使用IPSec协议集保护IP网和非IP网上的L2TP业务。在IPSec协议中，一旦IPSec通道建立，在通信双方网络层之上的所有协议（如TCP、UDP、SNMP、HTTP、POP等）就要经过加密，而不管这些通道构建时所采用的安全和加密方法如何。