加密隧道传输技术

‘壹’ IPSEC传输模式和隧道模式的区别 / 蓝讯

这么说吧，保护的对象和使用的地方不同。
专有名词这样解释：
传输模式：用于主机之间，保护分组的有效负载，不对原来的IP地址进行加密
隧道模式：用于在Internet中的路由，对整个IP分组进行保护，首先对IP分组进行加密，然后将加密后的分组封装到另一个IP分组

‘贰’ 加密技术在互联网的应用范围

网络加密的四种类型

1、无客户端SSL：SSL的原始应用。在这种应用中，一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。

2、配置VPN设备的无客户端SSL：这种使用SSL的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN设备完成的，而不是由在线资源完成的(如Web或者邮件服务器)。

3、主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。

SSL：由于设置简单，SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。

IPsec：在SSL成为创建主机至网络的流行方式之前，要使用IPsec客户端软件。IPsec仍在使用，但是，它向用户提供了许多设置选择，容易造成混淆。

4、网络至网络：有许多方法能够创建这种类型加密的隧道VPN.但是，要使用的技术几乎总是IPsec.

在网络至网络的VPN的情况下，我们在讨论从一个网络设备到另一个网络设备的加密问题。由于我们期待目前的网络设备要做的事情，在这个讨论中会出现一些其它难题：

与其它技术的相互作用：广域网经常使用服务质量、深度包检测或者广域网加速。如果在部署的时候没有考虑这些服务，加密就会使这些服务失效。网络地址解析是另一个需要克服的障碍，因为它首先会干扰建立一个加密的连接的能力。

叠加网络：加密隧道VPN是通过在现有的网络上创建一个叠加的加密连接发挥作用的。加密的连接存在于这个网络上的两个具体接口之间。从源头上看，如果要加密的网络通讯被重新路由或者传送到不同的接口，它就不会被加密。如果这个通讯在加密之后被重新路由并且被发送到指定接口以外的其它接口，它就不能被解码或者被抛弃。

在一个加密的VPN中，DNS、IP地址和路由都需要特别注意。一些安全VPN技术与专用地址领域工作得非常好。有些安全 VPN技术甚至在网络端点采用动态地址的情况下也能很好工作。在某些情况下，企业喜欢把所有的互联网通讯路由到一个中心的位置。在其它情况下，采用拆分隧道方法，分支地点有单独的互联网网关。

带宽：网络工程师不停地解决带宽问题一边为其用户提供尽可能最好的体验。但是，在一个加密的VPN的情况下，他们必须要考虑加密带宽或者加密和解密大型数据流的能力。

无论是什么动机，探索这个技术正是时候。加密技术是比以前更便宜和产品更多的技术(这种技术嵌入在防火墙、路由器和广域网加速器)。但是，对于大多数网络工程师和设计师来说，这个技术需要不同的思路：按照复杂程度的顺序进行思考以便在这种技术中进行选择;努力地最大限度地减少网络和网络用户的负担; 等等。通过遵守一些基本的原则，你可以确保加密技术成为保证你的网络安全的一种非常有用的、甚至是至关重要的工具。

p>

加密技术的应用是多方面的，但最为广泛的还是在电子商务和VPN上的应用，下面就分别简叙。

1、在电子商务方面的应用

电子商务(E-business)要求顾客可以在网上进行各种商务活动，不必担心自己的信用卡会被人盗用。在过去，用户为了防止信用卡的号码被窃取到，一般是通过电话订货，然后使用用户的信用卡进行付款。现在人们开始用RSA(一种公开/私有密钥)的加密技术，提高信用卡交易的安全性，从而使电子商务走向实用成为可能。

许多人都知道NETSCAPE公司是Internet商业中领先技术的提供者，该公司提供了一种基于RSA和保密密钥的应用于因特网的技术，被称为安全插座层(Secure Sockets Layer，SSL)。

也许很多人知道Socket，它是一个编程界面，并不提供任何安全措施，而SSL不但提供编程界面，而且向上提供一种安全的服务，SSL3.0现在已经应用到了服务器和浏览器上，SSL2.0则只能应用于服务器端。

SSL3.0用一种电子证书(electric certificate)来实行身份进行验证后，双方就可以用保密密钥进行安全的会话了。它同时使用“对称”和“非对称”加密方法，在客户与电子商务的服务器进行沟通的过程中，客户会产生一个Session Key，然后客户用服务器端的公钥将Session Key进行加密，再传给服务器端，在双方都知道Session Key后，传输的数据都是以Session Key进行加密与解密的，但服务器端发给用户的公钥必需先向有关发证机关申请，以得到公证。

基于SSL3.0提供的安全保障，用户就可以自由订购商品并且给出信用卡号了，也可以在网上和合作伙伴交流商业信息并且让供应商把订单和收货单从网上发过来，这样可以节省大量的纸张，为公司节省大量的电话、传真费用。在过去，电子信息交换(Electric Data Interchange，EDI)、信息交易(information transaction)和金融交易(financial transaction)都是在专用网络上完成的，使用专用网的费用大大高于互联网。正是这样巨大的诱惑，才使人们开始发展因特网上的电子商务，但不要忘记数据加密。

2、加密技术在VPN中的应用

虚拟专用网(Virtual Private Network，VPN)是一种“基于公共数据网，给用户一种直接连接到私人局域网感觉的服务”。VPN极大地降低了用户的费用，而且提供了比传统方法更强的安全性和可靠性。

VPN可分为三大类：

(1)企业各部门与远程分支之间的Intranet VPN;

(2)企业网与远程(移动)雇员之间的远程访问(Remote Access)VPN;

(3)企业与合作伙伴、客户、供应商之间的Extranet VPN。

现在，越多越多的公司走向国际化，一个公司可能在多个国家都有办事机构或销售中心，每一个机构都有自己的局域网LAN(Local Area Network)，但在当今的网络社会人们的要求不仅如此，用户希望将这些LAN连结在一起组成一个公司的广域网，这个在现在已不是什么难事了。

事实上，很多公司都已经这样做了，但他们一般使用租用专用线路来连结这些局域网 ，他们考虑的就是网络的安全问题。现在具有加密/解密功能的路由器已到处都是，这就使人们通过互联网连接这些局域网成为可能，这就是我们通常所说的虚拟专用网(Virtual Private Network ，VPN)。当数据离开发送者所在的局域网时，该数据首先被用户连接到互联网上的路由器进行硬件加密，数据在互联网上是以加密的形式传送的，当达到目的LAN的路由器时，该路由器就会对数据进行解密，这样目的LAN中的用户就可以看到真正的信息了。

‘叁’ 隧道协议的隧道协议

隧道技术的实质是如何利用一种网络层的协议来传输另一种网络层的协议，其基本功能是封装和加密，主要利用隧道协议来实现。封装是构建隧道的基本手段。从隧道的两端来看，封装就是用来创建、维持和撤销一个隧道，来实现信息的隐蔽和抽象。而如果流经隧道的数据不加密，那么整个隧道就暴露在公共网络中，VPN的安全性和私有性就得不到体现。
网路隧道技术涉及了3种网络协议：网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。如图所示

隧道协议作为VPN IP层的底层，将VPN IP分组进行安装封装；隧道协议同时作为公用IP网的一种特殊形式，将封装的VPN分组利用公网内的IP协议栈进行传输，以实现隧道内的功能。隧道协议在这个协议体系中起着承上启下的作用。
隧道协议存在多种可能的实现方式，按照工作的层次，可分为两类：一类是二层隧道协议，用于传输二层网络协议，它主要应用于构建拨号VPN（Access VPN）；另一类是三层隧道协议，用于传输三层网络协议，它主要应用于构建内部网VPN（Intranet VPN）和外联网（VPN Extranet VPN）。 二层隧道协议指用公用网络来封装和传输二层（数据链路层）协议，此时在隧道内传输的是数据链路层的帧。工作原理如图所示

在点到点的二层链路上，最常用的二层协议是PPP协议，隧道协议实现中，首先将IP分组封装在二层的PPP协议帧中，也就是会所，先把各种网络协议封装在PPP中，再把整个数据包装入二层隧道协议中。这种双层封装方法形成的数据包在公用网络中传输。
第二层隧道协议具有简单易行的优点，但是他没的可扩展性不太好，而且提供内在的安全机制安全强度低，因此它们不支持企业和企业的外部客户以及供应商之间通信的保密性需求，不适合用来构建连接企业内部网和企业的外部客户和供应商的企业外部网VPN。 三层隧道协议是用公用网来封装和传输三层（网路层）协议（如IP、IPX、AppleTalk等），此时在隧道内传输的是网路层的分组。三层隧道协议并非是一种很新的技术，早已出现的RFC 1701 通路路由封装协议就是一个三层隧道协议。IETF制定的IP层加密标准协议IPSec 也是一个三层速到协议，利用IPSec（ESP/AN）的隧道模式构成的VPN隧道。三层隧道协议的协议栈如图所示，

‘肆’ 工业互联网的应用技术包括什么

‘伍’ 隧道技术的隧道协议

L2TP（Layer Two Tunneling Protocol）结合了L2F和PPTP的优点，允许用户从客户端或访问服务器端建立VPN连接。L2TP是把链路层的PPP帧装入公用网络设施，如IP、ATM、帧中继中进行隧道传输的封装协议。其体系结构见图1。
Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后，终于在1999年8月公布了L2TP的标准RFC2661。现用户拨号访问Internet时，必须使用IP协议，并且其动态得到的IP地址也是合法的。L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP则允许在物理上连接到不同NAS的PPP链路，在逻辑上的终点为同一个物理设备。L2TP扩展了PPP连接，在传统的方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器建立一个第2层的连接，并在其上运行PPP，第2层连接的终点和PPP会话的终点均设在同一个设备上(如NAS)。L2TP作为PPP的扩充提供了更强大的功能，包括允许第2层连接的终点和PPP会话的终点分别设在不同的设备上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成。LAC支持客户端的L2TP，发起呼叫，接收呼叫和建立隧道；LNS是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，而L2TP能把PPP协议的终点延伸到LNS。 1.用户通过公用电话网或ISDN拨号呼叫本地接入服务器LAC；LAC接受呼叫并进行基本的识别过程，这一过程可以采用几种标准，如域名、呼叫线路识别(CLID)或拨号ID业务(DNIS)等。
2.当用户被确认为合法企业用户时，就建立一个通向LNS的拨号VPN隧道。
3.企业内部的安全服务器如TACACS+、RADIUS对拨号用户进行验证。
4.LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业专用地址对提供者的网络是透明的。
5.端到端的数据从拨号用户传到LNS。
在实际应用中，LAC将拨号用户的PPP帧封装后，传送到LNS，后者去掉封装包头，取出PPP帧，再去掉PPP帧头，最后获得网络层数据包。
L2TP方式给服务提供商和用户带来了许多方便。用户不需要在PC板上安装专门的客户端软件，企业网可以使用未注册的IP地址，并在本地管理认证数据库，从而降低了应用成本和培训维护费用。
与PPTP和L2F相比，L2TP的优点在于提供了差错和流量控制；L2TP使用UDP封装和传送PPP帧。面向无连接的UDP无法保证网络数据的可靠传输，L2TP使用Nr（下一个希望接受的信息序列号）和Ns（当前发送的数据包序列号）字段进行流量和差错控制。双方通过序列号来确定数据包的顺序和缓冲区，一旦丢失数据，根据序列号可以进行重发。
作为PPP的扩展协议，L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。L2TP定义了控制包的加密传输，每个被建立的隧道分别生成一个独一无二的随机钥匙，以便对付欺骗性的攻击，但是它对传输中的数据并不加密。

‘陆’ 隧道加密与端对端加密有何不同

1、查了一下，这个问题好专业啊！
2、我就不冒充了，只能从字面意思讲，隧道加密可能是文件传输过程中，比如说未经数据为一个矩阵，文件的起始、结尾行都加密，中间的列隔几列加密。端对端加密，估计就是文件的起始、结尾行都加密。
3、没学过加密技术，乱猜的哈！

‘柒’ IPSEC协议中隧道模式与传输模式的区别

区别：

1、封装过程

传输模式，不会改变原始报文的IP头，只会在原始IP头后面封装一些ipsec协议

隧道模式，会在原始IP报文头前面添加新的IP头，并且在新的IP头后面封装一些ipsec协议。

2、优点

隧道模式更安全，传输模式性能好，解放了更多带宽

3、应用场景

传输模式在AH、ESP处理前后IP头部保持不变，主要用于End-to-End的应用场景。

隧道模式在AH、ESP处理之后再封装了一个外网IP头，主要用于Site-to-Site的应用场景。

(7)加密隧道传输技术扩展阅读

IPSec有“隧道”和“传输”两种封装模式。数据封装是指将AH或ESP协议相关的字段插入到原始IP数据包中，以实现对报文的身份认证和加密。

从安全性来讲，隧道模式优于传输模式，因为隧道模式可以完全地对原始IP数据包进行认证和加密，隐藏客户机的私网IP地址，而传输模式中的数据加密是不包括原始IP报头的。

从性能来讲，因为隧道模式有一个额外的IP头，所以它将比传输模式占用更多带宽，有效传输率较低。

‘捌’ 什么是VPN隧道

VPN隧道通常指在PSN骨干网的VPN节点间或VPN节点与用户节点间构建的传VPN数据的虚拟连接。隧道是构建VPN不能缺少的部分，来把VPN数据从一个VPN节点公开传到另一节点。

对于构建VPN来说，网络隧道(Tunnelling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议，即网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。

(8)加密隧道传输技术扩展阅读

为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。此外，建立在 TCP/UDP 之上的网络隧道技术近几年来也有了较快的发展，通过采用 TCP/UDP 协议，避免了网络运营商的过滤，使得真正能够通过公网来建立加密隧道。

根据所用协议的不同,隧道分为多种类型,类型不一样的隧道的建立与管理也不尽相同。例如,GRE、MPLS TE等是借助隧道接口进行的,而LSP则不用借助隧道接口。

‘玖’ 名词解释：OSPF. CIDR IPng 隧道技术

隧道技术及其应用

隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据（或负载）可以是不同协议的数据帧或包。隧道协议将其它协议的数据帧或包重新封装然后通过隧道发送。新的帧头提供路由信息，以便通过互联网传递被封装的负载数据。
这里所说的隧道类似于点到点的连接。这种方式能够使来自许多信息源的网络业务在同一个基础设施中通过不同的隧道进行传输。隧道技术使用点对点通信协议代替了交换连接，通过路由网络来连接数据地址。隧道技术允许授权移动用户或已授权的用户在任何时间、任何地点访问企业网络。
通过隧道的建立，可实现：
* 将数据流强制送到特定的地址
* 隐藏私有的网络地址
* 在IP网上传递非IP数据包
* 提供数据安全支持
近来出现了一些新的隧道技术，并在不同的系统中得到运用和拓展。

隧道技术

为创建隧道，隧道的客户机和服务器双方必须使用相同的隧道协议。隧道技术可分别以第2层或第3层隧道协议为基础。第2层隧道协议对应于OSI模型的数据链路层，使用帧作为数据交换单位。PPTP（点对点隧道协议）、L2TP（第二层隧道协议）和L2F（第2层转发协议）都属于第2层隧道协议，是将用户数据封装在点对点协议（PPP）帧中通过互联网发送。第3层隧道协议对应于OSI模型的网络层，使用包作为数据交换单位。IPIP（IP over IP）以及IPSec隧道模式属于第3层隧道协议，是将IP包封装在附加的IP包头中，通过IP网络传送。无论哪种隧道协议都是由传输的载体、不同的封装格式以及用户数据包组成的。它们的本质区别在于，用户的数据包是被封装在哪种数据包中在隧道中传输。

点对点隧道协议
PPTP（Point to Point Tunneling Protocol）提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机，如启动该协议的Windows95/98；PPTP服务器是指运行该协议的服务器，如启动该协议的WindowsNT服务器。PPTP是PPP协议的一种扩展。它提供了一种在互联网上建立多协议的安全虚拟专用网（VPN）的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网。
通过PPTP，客户可采用拨号方式接入公用IP网。拨号用户首先按常规方式拨到ISP的接入服务器（NAS），建立PPP连接；在此基础上，用户进行二次拨号建立到PPTP服务器的连接，该连接称为PPTP隧道，实质上是基于IP协议的另一个PPP连接，其中的IP包可以封装多种协议数据，包括TCP／IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法，保证了虚拟连接通道的安全。对于直接连到互联网的用户则不需要PPP的拨号连接，可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户，但用户需要在其PC机上配置PPTP，这样做既增加了用户的工作量，又会给网络带来隐患。另外，PPTP只支持IP作为传输协议。

第二层转发协议
L2F(Layer Two Forwarding protocol )是由Cisco公司提出的可以在多种介质，如ATM、帧中继、IP网上建立多协议的安全虚拟专用网的通信。远端用户能通过任何拨号方式接入公用IP网，首先按常规方式拨到ISP的接入服务器（NAS），建立PPP连接；NAS根据用户名等信息，建立直达HGW服务器的第二重连接。在这种情况下，隧道的配置和建立对用户是完全透明的。其体系结构见图1。

第二层隧道协议
L2TP（Layer Two Tunneling Protocol）结合了L2F和PPTP的优点，允许用户从客户端或访问服务器端建立VPN连接。L2TP是把链路层的PPP帧装入公用网络设施，如IP、ATM、帧中继中进行隧道传输的封装协议。其体系结构见图1。
Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后，终于在1999年8月公布了L2TP的标准RFC2661。目前用户拨号访问Internet时，必须使用IP协议，并且其动态得到的IP地址也是合法的。L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP则允许在物理上连接到不同NAS的PPP链路，在逻辑上的终点为同一个物理设备。L2TP扩展了PPP连接，在传统的方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器建立一个第2层的连接，并在其上运行PPP，第2层连接的终点和PPP会话的终点均设在同一个设备上(如NAS)。L2TP作为PPP的扩充提供了更强大的功能，包括允许第2层连接的终点和PPP会话的终点分别设在不同的设备上。
L2TP主要由LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)构成。LAC支持客户端的L2TP，发起呼叫，接收呼叫和建立隧道；LNS是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，而L2TP能把PPP协议的终点延伸到LNS。
L2TP的建立过程如图2。
1.用户通过公用电话网或ISDN拨号呼叫本地接入服务器LAC；LAC接受呼叫并进行基本的识别过程，这一过程可以采用几种标准，如域名、呼叫线路识别(CLID)或拨号ID业务(DNIS)等。
2.当用户被确认为合法企业用户时，就建立一个通向LNS的拨号VPN隧道。
3.企业内部的安全服务器如TACACS+、RADIUS对拨号用户进行验证。
4.LNS与远程用户交换PPP信息，分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送，企业专用地址对提供者的网络是透明的。
5.端到端的数据从拨号用户传到LNS。
在实际应用中，LAC将拨号用户的PPP帧封装后，传送到LNS，后者去掉封装包头，取出PPP帧，再去掉PPP帧头，最后获得网络层数据包。
L2TP方式给服务提供商和用户带来了许多方便。用户不需要在PC板上安装专门的客户端软件，企业网可以使用未注册的IP地址，并在本地管理认证数据库，从而降低了应用成本和培训维护费用。
与PPTP和L2F相比，L2TP的优点在于提供了差错和流量控制；L2TP使用UDP封装和传送PPP帧。面向无连接的UDP无法保证网络数据的可靠传输，L2TP使用Nr（下一个希望接受的信息序列号）和Ns（当前发送的数据包序列号）字段进行流量和差错控制。双方通过序列号来确定数据包的顺序和缓冲区，一旦丢失数据，根据序列号可以进行重发。
作为PPP的扩展协议，L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。L2TP定义了控制包的加密传输，每个被建立的隧道分别生成一个独一无二的随机钥匙，以便对付欺骗性的攻击，但是它对传输中的数据并不加密。

通用路由封装
通用路由封装（GRE：Generic Routing Encapsulation）在RFC1701/RFC1702中定义，它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义，它允许用户使用IP封装IP、IPX、AppleTalk，并支持全部的路由协议，如RIP、OSPF、IGRP、EIGRP。通过GRE，用户可以利用公用IP网络连接IPX网络和AppleTalk网络，还可以使用保留地址进行网络互联，或对公网隐藏企业网的IP地址。
GRE的包头包含了协议类型（用于标明乘客协议的类型）；校验和包括了GRE的包头和完整的乘客协议与数据；密钥（用于接收端验证接收的数据）；序列号（用于接收端数据包的排序和差错控制）和路由信息（用于本数据包的路由）。
GRE只提供了数据包的封装，它没有防止网络侦听和攻击的加密功能。所以在实际环境中它常和IPsec一起使用，由IPsec为用户数据的加密，给用户提供更好的安全服务。

IP安全协议
IP安全协议（IPSec：IP Security）实际上是一套协议包而不是一个独立的协议，这一点对于我们认识IPSec是很重要的。从1995年开始IPSec的研究以来，IETF IPSec工作组在它的主页上发布了几十个Internet草案文献和12个RFC文件。其中，比较重要的有RFC2409 IKE（互连网密钥交换）、RFC2401 IPSec协议、RFC2402 AH验证包头、RFC2406 ESP加密数据等文件。
IPSec安全体系包括3个基本协议：AH协议为IP包提供信息源验证和完整性保证；ESP协议提供加密机制；密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件，规定了加密和认证的算法。最后，解释域（DOI）通过一系列命令、算法、属性和参数连接所有的IPSec组文件。

隧道技术应用

虚拟专用网络
VPN是Internet技术迅速发展的产物，其简单的定义是，在公用数据网上建立属于自己的专用数据网。也就是说不再使用长途专线建立专用数据网，而是充分利用完善的公用数据网建立自己的专用网。它的优点是，既可连到公网所能达到的任何地点，享受其保密性、安全性和可管理性，又降低网络的使用成本。
VPN依靠Internet服务提供商（ISP）和其他的网络服务提供商（NSP）在公用网中建立自己的专用“隧道”，不同的信息来源，可分别使用不同的“隧道”进行传输。
新出台的标准ISE CHEIP6版保证用户数据的安全加密。由于用户对企业网传输个人数据很敏感，因此集成度更高的VPN技术不久将会流行起来。

Linux 中的IP隧道
为了在TCP/IP网络中传输其他协议的数据包，Linux采用了一种IP隧道技术。在已经使用多年的桥接技术中就是通过在源协议数据包上再套上一个IP协议帽来实现。
利用IP隧道传送的协议包也包括IP数据包，Linux的IPIP包封指的就是这种情况。移动IP（Mobile-IP）和IP多点广播（IP-Multicast）是两个流行的例子。目前，IP隧道技术在VPN中也显示出极大的魅力。
移动IP是在全球Internet上提供移动功能的一种服务，它允许节点在切换链路时仍可保持正在进行的通信。它提供了一种IP路由机制，使移动节点以一个永久的IP地址连接到任何链路上。与特定主机路由技术和数据链路层方案不同，移动IP还要解决安全性和可靠性问题，并与传输媒介无关。移动IP的可扩展性使其可以在整个互联网上应用。

GPRS隧道协议
随着隧道技术的发展，各种业务已经开始根据本业务的特点制定相应的隧道协议。GPRS（General Packet Radio Service）中的隧道协议GTP（GPRS Tunnel Protocol）就是一例。
GPRS是GSM提供的分组交换和分组传输方式的新的承载业务，可以应用在PLMN（Public Land Mobile Network）内部或应用在GPRS网与外部互联分组数据网（IP、X.25）之间的分组数据传送，GPRS能提供到现有数据业务的无缝连接。它在GSM网络中增加了两个节点：服务GPRS支持节点（SGSN—serving GPRS support node）和网关GPRS支持节点（GGSN—Gateway GPRS support node）。
SGSN是GPRS骨干网与无线接入网之间的接口，它将分组交换到正确的基站子系统（BSS）。其任务包括提供对移动台的加密、认证、会话（session）管理、移动性管理和逻辑链路管理。它也提供到HLR等数据库的连接。
通过GPRS隧道协议可为多种协议的数据分组通过GPRS骨干网提供隧道。GTP根据所运载的协议需求，利用TCP或UDP协议来分别提供可靠的连接（如支持X.25的分组传输）和无连接服务（如IP分组）。

‘拾’ 加密技术的四种类型

1、无客户端SSL：SSL的原始应用。在这种应用中，一台主机计算机在加密的链路上直接连接到一个来源(如Web服务器、邮件服务器、目录等)。
2、配置VPN设备的无客户端SSL：这种使用SSL的方法对于主机来说与第一种类似。但是，加密通讯的工作是由VPN设备完成的，而不是由在线资源完成的(如Web或者邮件服务器)。
3、主机至网络：在上述两个方案中，主机在一个加密的频道直接连接到一个资源。在这种方式中，主机运行客户端软件(SSL或者IPsec客户端软件)连接到一台VPN设备并且成为包含这个主机目标资源的那个网络的一部分。
SSL：由于设置简单，SSL已经成为这种类型的VPN的事实上的选择。客户端软件通常是很小的基于Java的程序。用户甚至可能都注意不到。
IPsec：在SSL成为创建主机至网络的流行方式之前，要使用IPsec客户端软件。IPsec仍在使用，但是，它向用户提供了许多设置选择，容易造成混淆。
4、网络至网络：有许多方法能够创建这种类型加密的隧道VPN.但是，要使用的技术几乎总是IPsec.