多种VPN协议简介【荐】.pdfVIP

PPP PPP是一种数据链路层协议，遵循HDLC （高级数据链路控制协议）族的一般报 文格式。PPP是为了在点对点物理链路(例如RS232串口链路、电 话ISDN线路 等)上传输OSI模型中的网络层报文而设计的，它改进了之前的一个点对点协议 –SLIP协议–只能同时运行一个网络协议、无容错控制、无授 权等许多缺陷， PPP是现在最流行的点对点链路控制协议。 上图中PPP 的flag字段恒为0×7f，地址(adress)字段恒为0xff，控制 (control)字段恒为0×03.协议 （protocol）字段表示PPP报文中封装的 payload （data字段）的类型，如果为0×0021，则表示PPP封装的IP报文，0 ×002B 表示IPX报文，0×0029表示AppleTalk报文，这几种都属于PPP 的数 据报文；如果为0×8021则表示PPP的LCP报文（用来协商连 接），如果为0xC021 则属于PPP的NCP报文（用来协商封装的三层协议），这些属于PPP的控制报文。 PPP协议状态机如下图所示： 在上图的链接建立阶段 （建立），PPP使用LCP报文来协商连接 （一种发送配置 请求，然后接收响应的简单 “握手”过程，不做过多介绍，感兴趣可以去细读 RFC1661），协商中双方获得当前点对点连接的状态配置等，之后的 “鉴别”阶 段使用哪种鉴别方式也在这个协商中确定下来。 鉴别阶段是可选的，如果链接协商阶段并没有设置鉴别方式，则将忽略本阶段 直接进入 “网络”阶段。鉴别阶段使用链接协商阶段确定下来的鉴别方式来为 连接授权，以起到保证点对点连接安全，防止非法终端接入点对点链路的功能。 常用的鉴别认证方式有CHAP和PAP方式。 CHAP方式的原理是由一端定期发起挑战 “challenge”，收到 “challenge”的 一端将收到的 “challenge”报文中的密钥使用之前双发协商好的一种算法加 密后再把结果发回发起端，这种算法应该是结果唯一 （不同输入必得到不同输 出）且不可逆 （由 输出无法得到输入）的，发起端也使用该算法计算后验证结 果是否正确来为对端授权认证。一个常用的方案实例是：发起端发送随机长度 及内容的字符串加上自己的 用户名作为 “密钥”发送出来，接受到 “challenge”的一方将收到的字符串和与对方用户名相对应的本端用户的密 码使用MD5算法计算后发回，然后发 起端将收到的计算结果和本端MD5计算该 随机字符串加自己密码的结果相对照，如果双发一致，则认证成功。 另一种认证方式PAP方式相比就简单很多，直接由被验证方将自己的用户名和 密码明文方式发送给对端，由对端对用户名和密码验证来决定是否认证成功。 所以，比较而言，CHAP是一种相对更安全一些的验证方式。 需要注意的是，PPP两端双方向的鉴权方式可以不同，即A端为B端鉴权时使 用PAP方式 （B发送自己的用户名和密码给请A认证），而同时B端使用CHAP 方式为A端鉴权 （B 向A发起CHAP挑战），是完全可以的。 如果鉴别阶段成功，则PPP状态机进入 “网络”阶段。这个阶段主要是使用NCP 报文来协商将PPP封装怎样的网络层的问题。NCP报文及协商流程和LCP极为 相似，就不过多介绍了。 经过网络阶段后，PPP状态机进入OPEN打开状态，在这个状态下，PPP链路上 的三层数据报文即可正常通信了。 PPP,PPPoE,PPTP,L2TP-VPN简介 （之二）- 普通modem、ISDN 以及ADSL 2010-03-17 15:47 上一篇文章简略的介绍了PPP协议，它帮助人们在简单的点对点链路上实现了 上层协议的封装。但是，目前丰富多彩的互联网世界是承载在复杂、庞大的广域网 上，灵活方便的非点对点的以太网络是现代网络世界的主要常用媒介，那PPP是否 已经远离了我们呢？答案是否定的，实际上，现在我在家中利用ADSL接入ISP登 录到我的博客来写这篇文章，这一过程就离不开PPP协议，且听我慢慢道来。 就让我用我们最熟悉的上网为例来讲解吧。早期，人们用计算机外接modem(调 制解调器)再通过电话线拨号来接入ISP （Internet接入服务提供商）连接 Internet，就使用了PPP协议，具体来说，就是在 “用户拨出计算机 - 用户modem - ISP modem -接入服务器”这样一条点对点链路上，使用PPP封装了IP报文来实 现用户至Internet网络接入服务器之间IP报文的流控和计费等功能，如下图： (点小图查看大图) 点对点链路拨号接入ISP 上图中，”电话线 “这一串行连接是通