VPN 具 体 实 现 是 采 用 隧 道 技 术， 将 企 业 网 的 数 据 封 装 在 隧 道 中 进 行 传 输。 隧 道 协 议 可 分 为 第 二 层 隧 道 协 议PPTP、L2F、L2TP 和 第 三 层 隧 道 协 议GRE、IPsec。 它 们 的 本 质 区 别 在 于 用 户 的 数 据 包 是 被 封 装 在 哪 种 数 据 包 中 在 隧 道 中 传 输 的 隧 道 技 术---- 无 论 哪 种 隧 道 协 议 都 是 由 传 输 的 载 体、 不 同 的 封 装 格 式 以 及 被 传 输 数 据 包 组 成 的。 让 我 们 以L2TP 为 例， 看 一 下 隧 道 协 议 的 组 成。 ---- 传 输 协 议 被 用 来 传 送 封 装 协 议。IP 是 一 种 常 见 的 传 输 协 议， 这 是 因 为IP 具 有 强 大 的 路 由 选 择 能 力， 可 以 运 行 于 不 同 介 质 上， 并 且 其 应 用 最 为 广 泛。 此 外， 帧 中 继、ATM PVC 和SVC 也 是 非 常 合 适 的 传 输 协 议。 比 如 用 户 想 通 过Internet 将 其 分 公 司 网 络 连 接 起 来， 但 他 的 网 络 环 境 是IPX， 这 时 用 户 就 可 以 使 用IP 作 为 传 输 协 议， 通 过 封 装 协 议 封 装IPX 的 数 据 包， 然 后 就 可 以 在Internet 网 上 传 递IPX 数 据。 封 装 协 议 被 用 来 建 立、 保 持 和 拆 卸 隧 道。Cisco 支 持 几 种 封 装 协 议， 包 括L2F、L2TP、GRE 协 议。 而 乘 客 协 议 是 被 封 装 的 协 议， 它 们 可 以 是PPP、SLIP 。

---- 隧 道 协 议 有 很 多 好 处， 例 如 在 拨 号 网 络 中， 用 户 大 都 接 受ISP 分 配 的 动 态IP 地 址， 而 企 业 网 一 般 均 采 用 防 火 墙、NAT 等 安 全 措 施 来 保 护 自 己 的 网 络， 企 业 员 工 通 过ISP 拨 号 上 网 时 就 不 能 穿 过 防 火 墙 访 问 企 业 内 部 网 资 源。 采 用 隧 道 协 议 后， 企 业 拨 号 用 户 就 可 以 得 到 企 业 内 部 网IP 地 址， 通 过 对PPP 帧 进 行 封 装， 用 户 数 据 包 可 以 穿 过 防 火 墙 到 达 企 业 内 部 网。

PPTP — — 点 对 点 隧 道 协 议 　

---- PPTP 提 供PPTP 客 户 机 和PPTP 服 务 器 之 间 的 加 密 通 信。PPTP 客 户 机 是 指 运 行 了 该 协 议 的PC 机， 如 启 动 该 协 议 的Windows95/98；PPTP 服 务 器 是 指 运 行 该 协 议 的 服 务 器， 如 启 动 该 协 议 的WindowsNT 服 务 器。PPTP 可 看 作 是PPP 协 议 的 一 种 扩 展。 它 提 供 了 一 种 在Internet 上 建 立 多 协 议 的 安 全 虚 拟 专 用 网（VPN） 的 通 信 方 式。 远 端 用 户 能 够 透 过 任 何 支 持PPTP 的ISP 访 问 公 司 的 专 用 网 络。

---- 通 过PPTP， 客 户 可 采 用 拨 号 方 式 接 入 公 共IP 网 络Internet。 拨 号 客 户 首 先 按 常 规 方 式 拨 号 到ISP 的 接 入 服 务 器（NAS）， 建 立PPP 连 接； 在 此 基 础 上， 客 户 进 行 二 次 拨 号 建 立 到 PPTP 服 务 器 的 连 接， 该 连 接 称 为PPTP 隧 道， 实 质 上 是 基 于IP 协 议 上 的 另 一 个PPP 连 接， 其 中 的IP 包 可 以 封 装 多 种 协 议 数 据， 包 括 TCP ／IP、IPX 和NetBEUI。PPTP 采 用 了 基 于RSA 公 司RC4 的 数 据 加 密 方 法， 保 证 了 虚 拟 连 接 通 道 的 安 全 性。 对 于 直 接 连 到Internet 上 的 客 户 则 不 需 要 第 一 重PPP 的 拨 号 连 接， 可 以 直 接 与PPTP 服 务 器 建 立 虚 拟 通 道。PPTP 把 建 立 隧 道 的 主 动 权 交 给 了 用 户， 但 用 户 需 要 在 其PC 机 上 配 置PPTP， 这 样 做 既 增 加 了 用 户 的 工 作 量 又 会 造 成 网 络 安 全 隐 患。 另 外PPTP 只 支 持IP 作 为 传 输 协 议。