Tunnel VPN in Layer2

PPTP(Point to Point Tunneling Protocol,點對點通道通訊協定):定義主從式的架構
為ppp擴充運用,且pptp封裝的封包多屬ppp資料封包
因ppp支援多重協定,所以pptp也可支援多重協定

微軟產品多支援pptp(1998)
因容易部署,具彈性,但編碼技術並非很好,認證功能也不佳
pptp client有win 95/98/nt/2000
pptp server有WinNT4/2000

運作方法有:
a.client pptp enable tunneling
用撥號方式接入公用IP網,先撥到ISP建立PPP連線,在進行二次撥號建立到PPTP伺服器的連接,該連接稱為PPTP隧道
b.isp pptp enable tunneling
客戶端撥號到遠端存取轉接器後,若isp對pptp:
 有支援:連線建立後遠端存取轉接器會與pptp伺服端之間建立pptp session
 無支援:客戶端需事安裝好pptp,連線建立後在撥入pptp伺服端,會在客戶端和伺服端之間建立pptp session
c.lan to lan tunneling
不需要PPP的撥號連接,直接在兩端的PPTP伺服器建立虛擬通道

主要由PNS(PPTP Network Server)和PAC(PPTP Access Concentrator)組成,使用者撥號連接的終點是PAC
包含兩層安全程序
authentication(身份驗證):可選chap,mschap
encryption(加密編碼):加密使用rc4,長40bit或128bit的session key(每次建立新session會產生一次key)
根據PPP(點對點通訊協定)所制訂
 PPTP會將IP、IPX或NetBEUI通訊協定封裝在IP封包中,然後在封裝進ppp訊框
 到遠端存取轉接器時會將PPP訊框內payload裝進grev2的header,在加上ip header,在加上delivery header
 最後在用ip網路來傳送資料,delivery header會隨著封包所經傳輸媒介而改變
 到達pptp伺服端後在依循將拆除header,最後留下payload
 使用TCP port1723 方式來交換加密通道的維護訊息
remote access switch(遠端存取轉接器):可支援pptp的產品
ex:remote access server(遠端存取伺服器),remote hub(遠端集線器),terminal server(終端伺服器),remote access switch(遠端存取交換器)

…….

L2TP(Layer 2 Tunneling Protocol,第二層通道通訊協定)
由Microsoft、Cisco、Ascend、IBM及3Com共同開發的一項多重通訊協定通道技術
結合L2F和PPTP特點的資料連結層的加密通訊協定,具有廣泛建置的,成熟的IETF標準追蹤通訊協定
cisco router及最新win 2000有支援

主要由2部份組成:
LAC(L2TP Access Concentrator):
實體上用於發起呼叫、接收呼叫和建立隧道或可說是節點的裝置
使用於isp,主要提供給使用者撥接存取
LNS(L2TP Network Server):
所有隧道的終點,點對點通訊協定的認證裝置
使用於企業lan中,提供給內部使用者使用l2tp封包

可用IPsec傳輸模式,具有以ppp為基礎之通道優點,可支援tcp/ip以外
適合用戶端與伺服端連線,因連線參數可應付動態變化之用戶端,也可從伺服器端發起VPN連接
連接一個網路以點對點通訊協定PPP為主
L2TP可以建立多種通道,每一個通道各有不同的QoS
將IP、IPX或NetBEUI通訊協定加密並封裝在IP封包中,在用在各種網路傳輸資料,包括IP、X.25、frame relay或ATM
使用UDP來傳送L2TP封裝的PPP框架數,作為透過通道傳輸的「資料」

…….

PPTP及L2TP相同處
均為第二層的穿隧技術,適合具有IP/IPX/AppleTalk等多種協定的環境。
都是將資料封裝在ppp(點對點協議)中通過互聯網路送出
只能執行點對點VPN的功能,無法同時執行Internet的應用,使用時較不方便
可執行pap,chap,mschap等驗證協定
對封包的Encapsulation(封裝)做加密處理,並未對資料,安全性較低

PPTP和L2TP不同:
1.PPTP要求互聯网絡為IP网絡,L2TP只要求隧道媒介提供面向數据包的點對點的連接。
2.PPTP只能在兩端點間建立單一隧道,L2TP支持在兩端點間使用多隧道,每一個通道各有不同的QoS
3.L2TP可以提供包頭壓縮,當壓縮包頭時,overhead(系統開銷)占用4個字節,而PPTP協議下要占用6個字節。
4.L2TP可以提供隧道驗証,而PPTP則不支持隧道驗証,但是當L2TP或PPTP与IPSEC共同使用時,可由IPSEC提供隧道驗証,不需要在第2層協議上驗証隧道

……………………………………………………………………

L2F(Layer 2 Forwarding,第二層轉發協議)
思科發展的TUNNELING通訊協定,可用來在網際網路上建立VPN,及建立用戶與企業客戶網路間的虛擬點對點連接
允許鏈路層協議隧道技術。使用這樣的隧道,使得分離原始撥號伺服器位置即撥號協議連接終止的位置與提供的網路訪問的位置成為可能
允許在L2F中封裝PPP/SLIP包。ISP NAS與家庭通路都需要請求一種常規封裝協議,所以可以成功地傳輸或接收SLIP/PPP包
使用key長40bit或56bit的des