L2TP、IPSec、SSL、组网类型与原理

当一种资源开始稀缺时，人们总是创造更多的资源或寻找更好的替代资源。当资源开始丰富时，人们会开始浪费资源，最终导致资源再次稀缺。网络带宽就是这样。带宽和应用程序需求正在竞争。虽然带宽越来越宽，但人们总是有越来越多的带宽需求。因此，解决带宽稀缺的方法不仅包括寻找更高的带宽，还包括充分利用现有带宽。

构建方案网络的基本网络平台可以是IP网络，也可以ATM网络或者FR网络等ATM/FR网络构建的虚拟专用网络属于传统数据专用网络的范畴。

根据构建方案的基础网络平台层次不同，方案可分为二层方案，如使用VLAN在以太网络上实现多个虚拟网络；三层方案，如使用IPSec 实现方案等；四层方案，如使用SSL技术构建方案。至于在国内应用较多的基于TDM实现数据网络等技术DDN等等，一般称为数据网络，不再包含在方案的概念中，尽管数据网络也是由电信运营商提供的统一数据网络平台上的虚拟用户网络。

链路加密机是指为特定链路层协议提供数据加密功能的设备ATM帧中继加密机、加密机、DDN加密机等。加密机的特点是必须在链路两端配对使用，比如一个企业租一个64K的链路，那么必须在链路两端分别部署加密机。利用链路加密机可以实现链路两端的网络之间通信的保密性，但是其组网方式也因此受到限制，不能实现任意两点之间灵活的加密保护。

随着互联网随着宽带网络的发展，链路加密机不再适用互联网由于企业的利用，在宽带网络环境网络环境互联网构建Intranet当企业两个分支机构之间的网络连接可能会跨越多种链接，如一方的访问和利用ADSL，然后通过运营商的骨干ATM在这样的网络环境下，不可能使用链路加密机实现端到端的网络保护。

基于IPSec该方案的主要目的是解决网络通信的安全性和开放性互联网实现异地局域网之间的虚拟连接，IPSec 方案可在IPv4网络也可以在IPv6网络部署。图1是典型的基础IPSec移动用户接入方案体现了方案组网模式(Access 方案)、企业分支机构与总部之间的建设Intranet 方案，以及企业与合作伙伴之间的建设Extranet 方案。

基于IPSec该方案不依赖于网络接入模式。它可以部署在任何基本网络上，并可以实现端到端的安全保护，即只要基于两个不同地区局域网络的出口IPSec 网关设备，无论采用何种广域网络，都能保证两个局域网络安全互联。

SSL (Secure Socket Layer，安全套接字层)是Netscape为保护公司开发的协议软件HTTP协议，但是这个协议本身可以保护任何一种基于TCP协议的应用。

基于SSL因为SSL在Socket在层上实施安全措施，因此可以对具体应用进行安全保护，目前应用最多SSL实现对Web保护应用。

需要在应用服务器前部署一个SSL负责接入各种分布的服务器SSL客户端。这种应用模式也是如此SSL类似于主要应用模式IPSec 方案中的Access 方案模式，如果这是企业分布的网络环境中唯一的基础C/S或B/S架构的应用可以选择使用，而不需要各分支机构之间的计算机相互访问SSL建立一个简单的计划。具有这种应用模式的企业包括：证券公司为投资者提供的在线股票投机、金融系统的在线银行和中小企业ERP等。

基于SSL方案的部署非常简单，只需要一个服务器和几个客户端软件。

组网(Multi Protocol Label Switch，多协议标签交换)协议设计的目的是利用三层以太网交换机多次转发路由的想法来提高路由器的转发性能。其基本原则是在报纸中添加一个TAG字段，通过数据报告的路径上的设备根据标签确定下一个转发方向。这与传统路由器通过查看路由表来确定下一个转发方向完全不同。路径上的路由转发设备需要运行LDP标签分发协议，相互通知不同TAG处理方法。使用网络协议，可以是纯的IP虚拟专用网络在网络上实现，但这种虚拟专用网络并不能保证用户数据的安全。

利用组网构建的方案网络需要全网设备支持组网协议IPSec 方案只需要在网络边缘部署设备IPSec协议的支持即可，从这一点上来看，IPSec 方案非常适合公共企业用户IP在网络上建立自己的虚拟专用网络，而网络只能由运营商统一部署。这种建立方案的方法有一点用处IP传统的网络模拟DDN/FR等待专线网络的味道，因为在用户使用网络 解决方案之前，网络运营商需要根据用户的需要在整体网络网络中为用户设置渠道。网络 解决方案隧道划分的原则是网络中组网络路由器使用数据包本身携带的渠道信息来转发数据，而不是像传统路由器那样依赖数据IP包的地址信息匹配路由表查找转发路径。这种方法可以减少路由器搜索地址的时间，保留资源，确保方案渠道的服务质量。

网络本身不能提供数据的安全性，网络协议包装的数据没有任何加密处理，只是在报纸中添加一个TAG路由设备用于识别和快速转发数据。

网络更适合运营商部署，而不是企业用户自己建设。运营商部署网络后，可以为企业用户提供服务质量保证的网络传输服务。但是，如果用户想要确保他们的数据在网络传输中的安全，他们仍然需要帮助IPSec 方案或者SSL 实现方案。

L2TP协议由 IETF 起草，微软， Ascend 、Cisco、 3Com 等公司参与。该协议结合了许多公司的支持PPTP(Point to Point Tunneling Protocol，和 Cisco、 由北方电信等公司支持L2F(Layer 2 Forwarding，二层转发协议)。L2TP(Layer 2 Tunneling Protocol，结合上述两项协议的优点，二层隧道协议将很快成为 IETF 二层隧道协议的工业标准。L2TP 作为更好更新的标准，已经得到了很多厂家的支持，将是使用最广泛的 方案 协议。

利用L2TP运营商也需要支持来构建企业计划LAC一般部署在传统的电话交换网络中，一家公司的分支机构和移动办公室的员工在该地区分布广泛，因此需要来自世界各地的运营商LAC企业可以大规模构建方案网络。当然，企业也可以建立自己的基础L2TP方案网络。

在L2TP 方案中，用户端的感觉就像使用一样PPP该协议直接连接到企业总部PPP企业可以通过端接设备上的相同地址分配DHCP可采用认证方法进行分配PPP各种认证方法一直在使用，而且L2TP是IETF定义的，其MIB库还将定义为实现全球网络管理。