浅谈×××技术的应用与发展
前言
虚拟专用网络（Virtual Private Network ，简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用dsn（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet)进入企业的局域网，而这样必然带来安全上的隐患。×××的实现有很多种方法:例如：可以通过搭建×××服务器的方法来实现；可以通过专用的软件来实现×××；也可以通过专用的硬件来实现×××；也可以集成×××，很多的硬件设备，如路由器，防火墙等等，都含有×××功能，但是一般拥有×××功能的硬件设备通常都比没有这一功能的要贵。个人建议，如果是大型局域网的话，购买路由器，交换机等设备时就不需要×××这一项了。直接在服务器上安装相应的软件就可以了。
×××属于远程访问技术，简单地说就是利用公网链路架设私有网络，例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？×××的解决方法是在内网中架设一台×××服务器，×××服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到×××服务器，然后利用×××服务器作为跳板进入企业内网。为了保证数据安全，×××服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上×××使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：×××实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了×××技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用×××非常方便地访问内网资源，这就是为什么×××在企业中应用得如此广泛。

×××发展至今，它已经不在是一个单纯的经过加密的访问隧道了，它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，并在全球的信息安全体系中发挥着重要的作用。在网络上，有关各种×××协议优缺点的比较是仁者见仁，智者见智，很多技术人员由于出于使用目的考虑，包括访问控制、 安全和用户简单易用，灵活扩展等各方面，权衡利弊，难以取舍;尤其在VOIP语音环境中，网络安全显得尤为重要，因此现在越来越多的网络电话和语音网关支持×××协议。
上面讲到了×××技术的应用与发展趋势，本人很荣幸能涉足网络安全中的×××技术，那么我本人也是从无到有的学习，也是从零开始的去接触、了解×××，结合本人的实际学习和工作经验，总结了关于×××的学习要点，望对×××技术有兴趣的朋友有帮助。那么我就从“什么是×××”、“为什么要用×××”、“×××配置”来带领大家走进×××技术。要想深刻理解和应用×××技术，必须要明白其中的通信过程和原理。关于×××技术中应用到的名词整理如下， 
隧道技术：实现×××，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。
隧道协议：隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现×××功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。
加解密技术：加解密技术是数据通信中一项较成熟的技术，×××可直接利用现有技术实现加解密。
密匙管理技术：密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。
身份认证技术：使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。
根据不同的划分标准，×××可以按几个标准进行分类划分
⒈ 按×××的协议分类
×××的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。
PPTP
PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 ××× 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

L2TP
L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道使用L2TP。 PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接，L2TP可以在IP(使用UDP)，桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

IPSec
IPSec 隧道模式隧道是封装、路由与解封装的整个 过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通 过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后，会删除封 装，原始数据包头用于将数据包路由到最终目的地。

隧道本身是封装数据经过的逻辑数据路径，对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时，可用于提供×××。
封装的数据包在网络中的隧道内部传输。在此示例中，该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外，在专用网络内部可使用两个网关来保护网络中不信任的通讯。
当以隧道模式使用 IPSec 时，其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP ××× 隧道技术的路由器、网关或终端系统之间的相互操作。

SSL×××
SSL ×××SSL ×××, SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器 和客户端在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换 的数据。

SSL独立于应用，因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的 传输层和应用层之间。此外，SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能 应用于×××的关键点。
⒉ 按×××的应用分类：
1）Access ×××（远程接入×××）：客户端到网关，使用公网作为骨干网在设备之间传输×××的数据流量；
2）Intranet ×××（内联网×××）：网关到网关，通过公司的网络架构连接来自同公司的资源；
3）Extranet ×××（外联网×××）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接；
⒊ 按所用的设备类型进行分类：网络设备提供商针对不同客户的需求，开发出不同的×××网络设备，主要为交换机，路由器，和防火墙
1）路由器式×××：路由器式×××部署较容易，只要在路由器上添加×××服务即可；
2）交换机式×××：主要应用于连接用户较少的×××网络；
3）防火墙式×××：防火墙式×××是最常见的一种×××的实现方式，许多厂商都提供这种配置类型
在这个信息高速发展的时代，×××技术在网络安全中是否成熟？
⑴安全保障，×××通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有性和安全性。×××能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。
⑵服务质量保证，×××可以为不同要求用户提供不同等级的服务质量保证。×××能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。此外，高速宽带网连接提供一种成本效率高的连接远程办公室的方法。
⑶可扩充、灵活性，×××支持通过Internet和Extranet的任何类型的数据流。
⑷可管理性，×××可以从用户和运营商角度方便进行管理。设计良好的宽带×××是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施，让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
在网络中，服务质量（QoS）是指所能提供的带宽级别。将QoS融入一个×××，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：
信息包分类：信息包分类按重要性将数据分组。数据越重要，它的级别越高。当然，它的操作也会优先于同网络中相对次要的数据。
带宽管理：通过带宽管理，一个×××管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。
通信量管理：通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。
公平带宽：公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流，例如MP3时，它将减少所用带宽以便给其他人访问的机会。
传输保证：传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。
在实际的工作中本人也总结了关于×××在企业中会遇见的一些常见问题：
错误691，提示是“由于域上的用户名和/或密码无效而拒绝访问”
1、一般是因为×××拨号时的帐户和密码不正确，或没有使用×××服务的权限。
2、***一个帐号默认只限制一台电脑使用，检查您的用户名有无登陆重复
3、若您是在使用的途中掉线了，不要急着连代理，请耐心等待2分钟。
若还是提示错误，及时把您的用户名提供给在线客服，给您解决。
619错误、错误800，是因为你连接×××的电脑处于内网通过路由器上网，市面上有一小部份的路由器对×××支持不好，从而引起错误619，只能连接几台机，经常掉线等多种问题。这些问题并不是贵的路由器就不会出现. 这是因为路由器采用的NAT方式问题. 不能让×××协议穿透.
2、如果计算机中开启了系统防火墙，可以先关闭后再重试；
3、如果偶尔出现，重拨几次，或者重新启动计算机及路由器后再重试；
4、如果是通过局域网或者通过路由器上网的用户，请网管在服务器或者路由器上打开UDP端口1701～1704；
5、如果路由器中不能设置，可以尝试将计算机直接连到外网，用单机拨号方式连接互联网，再重试×××拨号；
6、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现619错误，需要与网络接入部门联系。
7、安装了简化版的操作系统 （WINXP/ⅥSTA）缺少相关组件，下载安装错误619注册表文件
错误721，提示是“远程计算机没反应”，这种情况有可能网络延迟造成的，可以多连几次试试，如果还是不行，可以尝试以下解决方法。
1、单击“开始”，然后单击“运行”。
2、在“打开”框中，键入 regedit，然后单击“确定”。
3、在注册表编辑器中，找到以下子项
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。
4、在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
5、键入 ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。
6、退出注册表编辑器。
7、重新启动计算机[1]
错误742/741，提示是“远程服务器不支持加密”
1、点击网上邻居→选择×××连接用鼠标点击右键属性→点击安全
2、在 数据加密（D): 选择 没有加密也可以连接
3、W7下点击网络共享中心—更改适配器—点击×××链接图标—查看属性安全数据加密—选择没有加密也可以连接
错误800，提示是“不能建立×××连接，×××服务器不能到达”
1、如果计算机中开启了系统防火墙，可以先关闭后再重试。
2、如果有安装路由器的用户，也建议重启一下路由器。
3、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现800错误，需要与网络接入部门联系。
4、桌面右键单击“我的电脑”或“计算机”选择打开管理，在服务和应用程序中，点击“服务”，找到 IPsec Policy Agent服务，检查有没有禁用该服务。改为自动，服务状态已启动。
纵观整个信息行业×××市场较之前有了更大的发展，各类公司、工作室出品的×××品牌多达上百种，在繁杂的×××市场让使用的客户难以挑选总体来说分为三类：
公司出品：此类产品性能好，稳定性强，客户群多，常见有迅游网游加速器、91×××、3gty×××、搜狐×××网络加速器专业从事国际网游加速,产品经历了四年的市场考验,尤其针对台服魔兽,暗黑3、激战2等游戏,效果显著，全国各一线城市均设有节点，能够彻底解决网游延迟过高，登录困难，频繁掉线等问题，彻底实现了电信，网通，铁通，教育网，移动等不同用户网络环境的互联互通，并且提供有全平台支持(Win7/Vista/XP 32/64位系统 Mac系统),保证加速效果；四川迅游网络科技股份有限公司出品的迅游网游加速器，客户量庞大，常与大型国内游戏商合作，资金和技术实力雄厚，但是国外线路一般；91网游加速器是上海91网游科技有限公司出品，为最早进入×××市场的一个品牌，价格较为便宜，使用人数也比较多，多年积累了相应的品牌效应；搜狐×××是北京搜狐网络科技有限公司开发出来的全新的×××品牌，以线路多（近6500）速度快，全球国家数量齐全，完美支持国内外视频及游戏而而迅速发展起来，价格较91贵，定位于中高端客户及企业客户，上市近一年以积累相当的人气和客户，有后来居上之势。
工作室：此类为早先的游戏工作室为自身的游戏开发的×××品牌，能满足自身的需求，此类品牌较多：类似有Green×××、soso×××,豆莱×××，鲨鱼×××等一大批。
网页形式：此类主要是为以网站论坛形式或改变形式出售，服务器数量较少，主要为国内人士提供国外浏览服务。
虚拟专用网络作为国内最早从事信息安全产品研发生产的专业安全厂商，天融信自2000年开始推出×××产品，历经了十多年的×××技术的积累与市场考验。网络卫士×××系统包括IPSEC ×××、VONE(IPSEC/SSL ×××多合一网关)两大系列，向用户提供成熟、完善的高性能×××接入方案；拥有包括政府、金融、能源、电信、交通、军队、教育和企业等行业在内的两万余名用户。国内最大×××网络的运营，多个全球性×××项目的实施，验证着天融信×××产品凭借卓越的品质与技术进入了国际领先行列。

那么×××是不是就完全能满足行业的需求呢？在网络安全行业×××也存在着隐患和一些不确定的因素存在，也存在着一些问题：
1、企业不能直接控制基于互联网的×××的可靠性和性能。机构必须依靠提供×××的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商讨价还价签署一个服务级协议非常重要，要签署一个保证各种性能指标的协议。
2、企业创建和部署×××线路并不容易。这种技术需要高水平地理解网络和安全问题，需要认真的规划和配置。因此，选择互联网服务提供商负责运行×××的大多数事情是一个好主意。
3、不同厂商的×××产品和解决方案总是不兼容的，因为许多厂商不愿意或者不能遵守×××技术标准。因此，混合使用不同厂商的产品可能会出现技术问题。另一方面，使用一家供应商的设备可能会提高成本。
4、当使用无线设备时，×××有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候，任何使用高级加密技术的解决方案都可能被攻破。幸运的是有一些能够解决这个缺陷的第三方解决方案。

浅谈×××技术的应用与发展
前言
虚拟专用网络（Virtual Private Network ，简称×××)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网，主要是因为整个×××网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式〉、Frame Relay （帧中继）等之上的逻辑网络，用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。
在传统的企业网络配置中，要进行异地局域网之间的互连，传统的方法是租用dsn（数字数据网）专线或帧中继。这样的通讯方案必然导致高昂的网络通讯/维护费用。对于移动用户（移动办公人员）与远端个人用户而言，一般通过拨号线路（Internet)进入企业的局域网，而这样必然带来安全上的隐患。×××的实现有很多种方法:例如：可以通过搭建×××服务器的方法来实现；可以通过专用的软件来实现×××；也可以通过专用的硬件来实现×××；也可以集成×××，很多的硬件设备，如路由器，防火墙等等，都含有×××功能，但是一般拥有×××功能的硬件设备通常都比没有这一功能的要贵。个人建议，如果是大型局域网的话，购买路由器，交换机等设备时就不需要×××这一项了。直接在服务器上安装相应的软件就可以了。
×××属于远程访问技术，简单地说就是利用公网链路架设私有网络，例如公司员工出差到外地，他想访问企业内网的服务器资源，这种访问就属于远程访问。怎么才能让外地员工访问到内网资源呢？×××的解决方法是在内网中架设一台×××服务器，×××服务器有两块网卡，一块连接内网，一块连接公网。外地员工在当地连上互联网后，通过互联网找到×××服务器，然后利用×××服务器作为跳板进入企业内网。为了保证数据安全，×××服务器和客户机之间的通讯数据都进行了加密处理。有了数据加密，就可以认为数据是在一条专用的数据链路上进行安全传输，就如同专门架设了一个专用网络一样。但实际上×××使用的是互联网上的公用链路，因此只能称为虚拟专用网。即：×××实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了×××技术，用户无论是在外地出差还是在家中办公，只要能上互联网就能利用×××非常方便地访问内网资源，这就是为什么×××在企业中应用得如此广泛。

×××发展至今，它已经不在是一个单纯的经过加密的访问隧道了，它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能，并在全球的信息安全体系中发挥着重要的作用。在网络上，有关各种×××协议优缺点的比较是仁者见仁，智者见智，很多技术人员由于出于使用目的考虑，包括访问控制、 安全和用户简单易用，灵活扩展等各方面，权衡利弊，难以取舍;尤其在VOIP语音环境中，网络安全显得尤为重要，因此现在越来越多的网络电话和语音网关支持×××协议。
上面讲到了×××技术的应用与发展趋势，本人很荣幸能涉足网络安全中的×××技术，那么我本人也是从无到有的学习，也是从零开始的去接触、了解×××，结合本人的实际学习和工作经验，总结了关于×××的学习要点，望对×××技术有兴趣的朋友有帮助。那么我就从“什么是×××”、“为什么要用×××”、“×××配置”来带领大家走进×××技术。要想深刻理解和应用×××技术，必须要明白其中的通信过程和原理。关于×××技术中应用到的名词整理如下， 
隧道技术：实现×××，最关键部分是在公网上建立虚信道，而建立虚信道是利用隧道技术实现的，IP隧道的建立可以是在链路层和网络层。第二层隧道主要是PPP连接，如PPTP，L2TP，其特点是协议简单，易于加密，适合远程拨号用户；第三层隧道是IPinIP，如IPSec，其可靠性及扩展性优于第二层隧道，但没有前者简单直接。
隧道协议：隧道是利用一种协议传输另一种协议的技术，即用隧道协议来实现×××功能。为创建隧道，隧道的客户机和服务器必须使用同样的隧道协议。
加解密技术：加解密技术是数据通信中一项较成熟的技术，×××可直接利用现有技术实现加解密。
密匙管理技术：密匙管理技术的主要任务是如何在公用数据网上安全地传递密匙而不被窃取。
身份认证技术：使用者与设备认证技术最常用的是使用者名称与密码或卡片式认证等方式。
根据不同的划分标准，×××可以按几个标准进行分类划分
⒈ 按×××的协议分类
×××的隧道协议主要有三种，PPTP，L2TP和IPSec，其中PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPSec是第三层隧道协议，也是最常见的协议。L2TP和IPSec配合使用是目前性能最好，应用最广泛的一种。
PPTP
PPTP（点到点隧道协议）是一种用于让远程用户拨号连接到本地的ISP，通过因特网安全远程访问公司资源的新型技术。点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协，基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法，或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 ××× 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。它能将PPP（点到点协议）帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP使用TCP（传输控制协议）连接的创建，维护，与终止隧道，并使用GRE(通用路由封装）将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密或者压缩或者同时被加密与压缩。

L2TP
L2TP第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议，其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道，用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时，可以由IPSEC提供隧道验证，不需要在第2层协议上验证隧道使用L2TP。 PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接，L2TP可以在IP(使用UDP)，桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

IPSec
IPSec 隧道模式隧道是封装、路由与解封装的整个 过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息，从而使其能够通 过网络传输。隧道与数据保密性结合使用时，在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后，会删除封 装，原始数据包头用于将数据包路由到最终目的地。

隧道本身是封装数据经过的逻辑数据路径，对原始的源和目的端，隧道是不可见的，而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时，可用于提供×××。
封装的数据包在网络中的隧道内部传输。在此示例中，该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外，在专用网络内部可使用两个网关来保护网络中不信任的通讯。
当以隧道模式使用 IPSec 时，其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP ××× 隧道技术的路由器、网关或终端系统之间的相互操作。

SSL×××
SSL ×××SSL ×××, SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成，其中两个主要的子协议是握手协议和记录协议。握手协议允许服务器 和客户端在应用协议传输第一个数据字节以前，彼此确认，协商一种加密算法和密码钥匙。在数据传输期间，记录协议利用握手协议生成的密钥加密和解密后来交换 的数据。

SSL独立于应用，因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的 传输层和应用层之间。此外，SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能 应用于×××的关键点。
⒉ 按×××的应用分类：
1）Access ×××（远程接入×××）：客户端到网关，使用公网作为骨干网在设备之间传输×××的数据流量；
2）Intranet ×××（内联网×××）：网关到网关，通过公司的网络架构连接来自同公司的资源；
3）Extranet ×××（外联网×××）：与合作伙伴企业网构成Extranet，将一个公司与另一个公司的资源进行连接；
⒊ 按所用的设备类型进行分类：网络设备提供商针对不同客户的需求，开发出不同的×××网络设备，主要为交换机，路由器，和防火墙
1）路由器式×××：路由器式×××部署较容易，只要在路由器上添加×××服务即可；
2）交换机式×××：主要应用于连接用户较少的×××网络；
3）防火墙式×××：防火墙式×××是最常见的一种×××的实现方式，许多厂商都提供这种配置类型
在这个信息高速发展的时代，×××技术在网络安全中是否成熟？
⑴安全保障，×××通过建立一个隧道，利用加密技术对传输数据进行加密，以保证数据的私有性和安全性。×××能提供高水平的安全，使用高级的加密和身份识别协议保护数据避免受到窥探，阻止数据窃贼和其他非授权用户接触这种数据。
⑵服务质量保证，×××可以为不同要求用户提供不同等级的服务质量保证。×××能够让移动员工、远程员工、商务合作伙伴和其他人利用本地可用的高速宽带网连接(如DSL、有线电视或者WiFi网络)连接到企业网络。此外，高速宽带网连接提供一种成本效率高的连接远程办公室的方法。
⑶可扩充、灵活性，×××支持通过Internet和Extranet的任何类型的数据流。
⑷可管理性，×××可以从用户和运营商角度方便进行管理。设计良好的宽带×××是模块化的和可升级的。这种技术能够让应用者使用一种很容易设置的互联网基础设施，让新的用户迅速和轻松地添加到这个网络。这种能力意味着企业不用增加额外的基础设施就可以提供大量的容量和应用。
在网络中，服务质量（QoS）是指所能提供的带宽级别。将QoS融入一个×××，使得管理员可以在网络中完全控制数据流。信息包分类和带宽管理是两种可以实现控制的方法：
信息包分类：信息包分类按重要性将数据分组。数据越重要，它的级别越高。当然，它的操作也会优先于同网络中相对次要的数据。
带宽管理：通过带宽管理，一个×××管理员可以监控网络中所有输入输出的数据流，可以允许不同的数据包类获得不同的带宽。
通信量管理：通信量管理方法的形成是一个服务提供商在Internet通信拥塞中发现的。大量的输入输出数据流排队通过，这使得带宽没有得到合理使用。
公平带宽：公平带宽允许网络中所有用户机会均等地利用带宽访问Internet。通过公平带宽，当应用程序需要用更大的数据流，例如MP3时，它将减少所用带宽以便给其他人访问的机会。
传输保证：传输保证为网络中特殊的服务预留出一部分带宽，例如视频会议，IP电话和现金交易。它判断哪个服务有更高的优先权并分配相应带宽。
在实际的工作中本人也总结了关于×××在企业中会遇见的一些常见问题：
错误691，提示是“由于域上的用户名和/或密码无效而拒绝访问”
1、一般是因为×××拨号时的帐户和密码不正确，或没有使用×××服务的权限。
2、***一个帐号默认只限制一台电脑使用，检查您的用户名有无登陆重复
3、若您是在使用的途中掉线了，不要急着连代理，请耐心等待2分钟。
若还是提示错误，及时把您的用户名提供给在线客服，给您解决。
619错误、错误800，是因为你连接×××的电脑处于内网通过路由器上网，市面上有一小部份的路由器对×××支持不好，从而引起错误619，只能连接几台机，经常掉线等多种问题。这些问题并不是贵的路由器就不会出现. 这是因为路由器采用的NAT方式问题. 不能让×××协议穿透.
2、如果计算机中开启了系统防火墙，可以先关闭后再重试；
3、如果偶尔出现，重拨几次，或者重新启动计算机及路由器后再重试；
4、如果是通过局域网或者通过路由器上网的用户，请网管在服务器或者路由器上打开UDP端口1701～1704；
5、如果路由器中不能设置，可以尝试将计算机直接连到外网，用单机拨号方式连接互联网，再重试×××拨号；
6、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现619错误，需要与网络接入部门联系。
7、安装了简化版的操作系统 （WINXP/ⅥSTA）缺少相关组件，下载安装错误619注册表文件
错误721，提示是“远程计算机没反应”，这种情况有可能网络延迟造成的，可以多连几次试试，如果还是不行，可以尝试以下解决方法。
1、单击“开始”，然后单击“运行”。
2、在“打开”框中，键入 regedit，然后单击“确定”。
3、在注册表编辑器中，找到以下子项
HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Class/{4D36E972-E325-11CE-BFC1-08002bE10318}/<000x>其中 <000x> 是 WAN 微型端口 (PPTP) 驱动程序的网络适配器。
4、在“编辑”菜单上，指向“新建”，然后单击“DWORD 值”。
5、键入 ValidateAddress，然后按 Enter。该值的默认设置为“1”（打开）；因此，您可以通过将其设置为“0”将其关闭。
6、退出注册表编辑器。
7、重新启动计算机[1]
错误742/741，提示是“远程服务器不支持加密”
1、点击网上邻居→选择×××连接用鼠标点击右键属性→点击安全
2、在 数据加密（D): 选择 没有加密也可以连接
3、W7下点击网络共享中心—更改适配器—点击×××链接图标—查看属性安全数据加密—选择没有加密也可以连接
错误800，提示是“不能建立×××连接，×××服务器不能到达”
1、如果计算机中开启了系统防火墙，可以先关闭后再重试。
2、如果有安装路由器的用户，也建议重启一下路由器。
3、部分网络如校园网、广电网、长城宽带、宽带通，也容易出现800错误，需要与网络接入部门联系。
4、桌面右键单击“我的电脑”或“计算机”选择打开管理，在服务和应用程序中，点击“服务”，找到 IPsec Policy Agent服务，检查有没有禁用该服务。改为自动，服务状态已启动。
纵观整个信息行业×××市场较之前有了更大的发展，各类公司、工作室出品的×××品牌多达上百种，在繁杂的×××市场让使用的客户难以挑选总体来说分为三类：
公司出品：此类产品性能好，稳定性强，客户群多，常见有迅游网游加速器、91×××、3gty×××、搜狐×××网络加速器专业从事国际网游加速,产品经历了四年的市场考验,尤其针对台服魔兽,暗黑3、激战2等游戏,效果显著，全国各一线城市均设有节点，能够彻底解决网游延迟过高，登录困难，频繁掉线等问题，彻底实现了电信，网通，铁通，教育网，移动等不同用户网络环境的互联互通，并且提供有全平台支持(Win7/Vista/XP 32/64位系统 Mac系统),保证加速效果；四川迅游网络科技股份有限公司出品的迅游网游加速器，客户量庞大，常与大型国内游戏商合作，资金和技术实力雄厚，但是国外线路一般；91网游加速器是上海91网游科技有限公司出品，为最早进入×××市场的一个品牌，价格较为便宜，使用人数也比较多，多年积累了相应的品牌效应；搜狐×××是北京搜狐网络科技有限公司开发出来的全新的×××品牌，以线路多（近6500）速度快，全球国家数量齐全，完美支持国内外视频及游戏而而迅速发展起来，价格较91贵，定位于中高端客户及企业客户，上市近一年以积累相当的人气和客户，有后来居上之势。
工作室：此类为早先的游戏工作室为自身的游戏开发的×××品牌，能满足自身的需求，此类品牌较多：类似有Green×××、soso×××,豆莱×××，鲨鱼×××等一大批。
网页形式：此类主要是为以网站论坛形式或改变形式出售，服务器数量较少，主要为国内人士提供国外浏览服务。
虚拟专用网络作为国内最早从事信息安全产品研发生产的专业安全厂商，天融信自2000年开始推出×××产品，历经了十多年的×××技术的积累与市场考验。网络卫士×××系统包括IPSEC ×××、VONE(IPSEC/SSL ×××多合一网关)两大系列，向用户提供成熟、完善的高性能×××接入方案；拥有包括政府、金融、能源、电信、交通、军队、教育和企业等行业在内的两万余名用户。国内最大×××网络的运营，多个全球性×××项目的实施，验证着天融信×××产品凭借卓越的品质与技术进入了国际领先行列。

那么×××是不是就完全能满足行业的需求呢？在网络安全行业×××也存在着隐患和一些不确定的因素存在，也存在着一些问题：
1、企业不能直接控制基于互联网的×××的可靠性和性能。机构必须依靠提供×××的互联网服务提供商保证服务的运行。这个因素使企业与互联网服务提供商讨价还价签署一个服务级协议非常重要，要签署一个保证各种性能指标的协议。
2、企业创建和部署×××线路并不容易。这种技术需要高水平地理解网络和安全问题，需要认真的规划和配置。因此，选择互联网服务提供商负责运行×××的大多数事情是一个好主意。
3、不同厂商的×××产品和解决方案总是不兼容的，因为许多厂商不愿意或者不能遵守×××技术标准。因此，混合使用不同厂商的产品可能会出现技术问题。另一方面，使用一家供应商的设备可能会提高成本。
4、当使用无线设备时，×××有安全风险。在接入点之间漫游特别容易出问题。当用户在接入点之间漫游的时候，任何使用高级加密技术的解决方案都可能被攻破。幸运的是有一些能够解决这个缺陷的第三方解决方案。