×××技術描述

×××技術描述
隧道協議中最爲典型的有IPSEC、L2TP、GRE、PPTP、L2F等。其中GRE、IPSEC屬於第三層隧道協議，L2TP、PPTP、L2F屬於第二層隧道協議。第二層隧道和第三層隧道的本質區別在於用戶的IP數據包是被封裝在何種數據包中在隧道里傳輸的。
目前，在虛擬專網的諸多協議中，最引人注目的兩個協議是L2TP與IPSEC。其中  IPSEC已基本完成了標準化的工作。
L2TP可以讓撥號用戶支持多種協議，如IP、IPX、AppleTalk，且可以使用保留網絡地址，包括保留IP地址。利用L2TP提供的撥號×××服務對最終用戶、企業和服務提供商都很有意義，它能夠讓更多的用戶羣共享撥號接入和骨幹IP網絡設施，爲撥號用戶節省長途通信費用。同時，由於L2TP支持多種網絡協議，企業在非IP網絡和應用上的投資不至於浪費。L2TP帶來的另一個好處是它能夠支持多個鏈路的捆綁使用。
IPSec是在傳輸層(TCP,UDP)之下，因此對應用透明。不必改變用戶或服務器系統上的軟件。IPSec可以對最終用戶透明。無須訓練用戶。
IPSEC定義瞭如何在IP數據包中增加字段來保證IP包的完整性、私有性和真實性，它規定了如何加密數據包，並將幾種安全技術結合形成一個完整的體系。IPSEC使用的安全技術包括：密鑰交換技術、非對稱加密算法；大數據量加密算法；帶密鑰的安全算法；用於身份認證和密鑰發放的CA技術等。IPSEC定義了兩個新的數據包頭增加到IP包中，這些數據包頭用於保證IP數據包的安全性。這兩個數據包頭是AH和ESP。AH插到標準IP包頭後面，它保證數據包的完整性和真實性，防止***截斷數據包或向網絡中插入僞造的數據包。ESP將需要保護的用戶數據進行加密後再封裝到IP包中，ESP也可以保證數據的完整性、真實性和私有性。IPSEC有隧道和傳送兩種工作方式。在隧道方式中，用戶的整個IP數據包被用來計算ESP頭，且被加密，ESP頭和加密用戶數據被封裝在一個新的IP數據包中；在傳送方式中，只是傳輸層數據被用來計算ESP頭，ESP頭和被加密的傳輸層數據被放置在原IP包頭後面。
 IP_SECURITY協議(IPSec)，是INTERNET工程任務組(IETF)爲IP安全推薦的一個協議。通過相應的隧道技術，可實現×××。IPSec有兩種模式：隧道模式和傳輸模式。
IPSec協議組還包括支持網絡層安全性密鑰管理要求的密碼技術。ISAKMP(InternetSecurityAssociationKeyManagementProtocolInternet安全協定密鑰管理協議)爲Internet密鑰管理提供框架結構，爲安全屬性的協商提供協議支持。它本身不能建立會話密鑰；然而它可與各種會話密鑰建立協議一起使用，如Qakley,爲Internet密鑰管理提供完整的解決方案。
Oakley密鑰確定協議使用一種混合的Diffie-Hellman技術，在Internet主機及路由器上建立會話密鑰。Onkley提供重要的完美的前向保密安全特性，它基於經過大量公衆審查的密碼技術。完善的前向保密確保在任何單個密鑰受損時只有用此密鑰加密的數據受損。而用後續的會話密鑰加密的數據不會受損。
ISAKMP及Qakley協議已結合到一種混合協議中。用Qakley分解ISAKMP使用ISAKMP框架來支持Qakley密鑰交換模式的子集。這種新的密鑰交換協議提供可選的完美前向保密、全安全關聯特性協商以及提供否認、非否認的鑑別方法。例如，這種協議的實施可用於建立虛擬專用網絡(×××)並允許遠程用戶從遠程站址（有動態分配的IP地址）接入安全網絡。
IPSec工作時，首先兩端的網絡設備必須就SA(securityassociation)達成一致，這是兩者之間的一項安全策略協定。SA包括：
加密算法
鑑別算法
共享會話密鑰
密鑰使用期限
SA是單向的，故欲進行雙向通信需建立兩個SA（各爲一個方向）。這些SA通過ISAKMP協商或可人工定義。
SA商定之後，然後確定是使用鑑別、保密和完整性或僅僅只用鑑別。IPSec有兩種模式：隧道模式和傳輸模式；
在隧道模式中，整個IP數據報、IP報頭和數據都封裝在ESP報頭中。在傳輸模式中，只有數據部分是封裝，而IP報頭則不封裝即被傳送。目前，標準規定必須實施密碼塊鏈接(CBC)模式中的DES。
IPSec接收端的網絡設備根據接收端的SA數據庫對使用IPSec加密的數據進行相應的解密並接收，這樣就達到了傳送數據的私有性和完整性。