计算机系统与网络安全技术（第2版）-课件 第四章 网络安全技术

第四章网络安全技术-网络安全模型计算机系统与网络安全技术网络安全模型模型及网络安全模型模型是所研究系统、过程、事物或概念的一种表达形式。网络安全模型是研究网络安全防御技术、设计安全防御工具和构建安全防御系统的宏观架构。网络安全模型的内容技术：确保网络安全需要研究和采用的方法。工具：确保网络安全需要开发和使用的软硬件工具。管理：确保网络安全需要制定和实施的规章制度。PDR模型P2DR模型PDR2模型APPDRR模型PADIMEE模型网络安全模型主要的网络安全模型Protection(保护)Detection(检测)Response(响应)指采取一切可能的措施来保护网络、系统以及信息的安全了解和评估网络和系统的安全状态解决紧急响应和异常处理问题相应发生在检测到安全漏洞时，或者检测到危及网络和系统安全的事件、行为以及过程时网络安全模型

PDR模型主要包括入侵检测、漏洞检测以及网络扫描等技术包括物理实体保护和信息保护包括加密、认证、访问控制、防火墙、防病毒等Policy(安全策略)Protection(保护)Detection(检测)Response(响应)核心网络安全模型P2DR模型也称自适应网络安全模型ANSM(AdaptiveNetworkSecurityModel)安全策略为中心，保护、检测和响应组成了一个完整、动态的安全循环。恢复响应检测保护失败成功失败攻击成功成功失败网络安全模型PDRR安全模型网络安全模型PDRR安全模型（续1）根据PDRR模型，可以用时间来衡量一个安全体系的安全性和安全能力。PDRR模型所提出的时间概念包括保护时间、检测时间、响应时间和系统暴露时间。保护时间（Pt）

：系统处于安全保护状态的时间系统暴露时间（Et）：系统处于不安全状态的时间检测时间（Dt）：检测出正在发生攻击所需要的时间响应时间（Rt）：对攻击做出响应需要的时间Pt>Dt+Rt系统的保护时间应大于系统的检测时间和响应时间之和Et=Dt+Rt,if

Pt=0假设保护时间为0，那么检测时间与响应时间的和就是安全目标系统的暴露时间Et“及时的检测和响应就是安全”，“及时的检测和恢复就是安全”网络安全模型PDRR安全模型（续2）根据PDRR模型对时间的定义和描述，可以用数学公式来表达各种安全概念。由风险评估(Assessment)安全策略(Policy)保护(Protection)检测(Detection)响应(Reaction)恢复(Restoration)网络安全模型APPDRR模型Policy(安全策略）Assessment(安全评估)Design(设计/方案)Implementation(实施/实现)Management/Monitor(管理/监控)EmergencyResponse(紧急响应)Education(安全教育)网络安全模型PADIMEE模型结束谢谢！第四章网络安全技术-网络安全预警技术计算机系统与网络安全技术网络安全预警技术模型及网络安全模型预警技术通过分析监测到的数据预测和汇报未来的趋势，从而提前监控危险事故隐患并将由此可能引发的安全损失降到最低限度。从实现方法来看网络安全预警技术通过监控有敏感数据需要保护的网络对分布于不同网段的探测器（如入侵检测传感器）所采集的信息数据进行有效、合理地分析发现潜在的安全威胁和入侵倾向预测潜在的攻击目标或攻击发展方向实时网络数据流跟踪网络攻击模式识别网络安全违规活动捕获对将要发生的或已发生的网络攻击进行预警对攻击的下一步动作进行合理的推测网络安全预警技术安全预警系统的主要功能总预警中心区域预警中心分布式IDS检测代理分布式IDS检测代理分布式IDS检测代理分布式IDS检测代理区域预警中心区域预警中心应急响应中心...............网络安全预警技术安全预警系统的结构数据采集模块预警数据结果处理模块安全预警模型事件分析模块数据提取模块原始数据数据采集模块数据采集模块...网络安全预警技术安全预警系统功能模块结构网络安全预警技术预警的处理过程（1）数据采集主要的预警原始数据包括：各种安全设备的监测信息、操作记录信息、日志信息、网络中的审计和报警信息、以及流量变化情况或趋势等信息。（2）数据提取数据提取模块对数据采集模块采集到的数据进行处理，如过滤、类型转换、数据格式标准化等把处理过的统一的、标准的数据发送到事件分析模块网络安全预警技术预警的处理过程（续1）（3）事件分析事件分析模块对数据提取模块提取的标准数据进行必要的分类、深入的分析和挖掘得出标准的规则集并提交给安全预警模型模块（4）安全预警安全预警模型模块根据事件分析模块的分析结果生成预测模型根据生成的预测模型检测异常数据并生成异常事件处理异常数据得到一个预测后的数据序列网络安全预警技术预警的处理过程（续2）（5）结果处理结果处理模块把预测后的数据序列进行归纳总结，产生响应方案。生成的预警信息也可以通过短信、电子邮件等方式予以发布和通告。基于入侵事件的预警模型基于攻击过程的预警模型基于流量监控的预警模型常见网络安全预警模型网络安全预警技术网络安全预警技术常见网络安全预警模型（1）基于网络入侵事件的预警模型假设入侵行为每一步对应一个安全事件将一次入侵行为的安全事件序列构造成一个有限自动机基于有限自动机模型实现对入侵事件序列的分析和对入侵行为的描述。基于网络入侵事件的预警模型能够检测入侵行为并预测可能的入侵行为当入侵到达某一个状态之后，通过检测其相应的输出状态，基于网络入侵事件的预警模型能够实现对入侵行为的跟踪以及对入侵行为的发展趋势的预测。网络安全预警技术常见网络安全预警模型（2）基于攻击过程的预警模型实时接收来自检测设备的原始警报数据通过关联分析形成入侵序列数据通过比较这些入侵序列和己知的入侵序列，推断入侵序列中即将发生的下一个攻击步骤或者攻击事件可以借助于图形化的方式，对攻击过程进行直观的显示，从而有助于发现攻击发展趋势和动向网络安全预警技术常见网络安全预警模型（3）基于流量监控的预警模型通过对网络流量测量值和预测值分析，发现异常，发出报警信息此外，基于流量监控的预警技术还可以对流量进行深度解析和分析，从而找到攻击特征或发行攻击行为。深度包检测技术（DPI：DeepPacketInspection)）是基于流量监控的预警技术的基础。网络安全预警技术常见网络安全预警模型（4）宏观网络安全预警综合来自不同系统、网络和应用的信息从宏观上建立互联网安全的指标的体系、安全预警模型监控整个网络的安全态势、用户行为、舆情传播、热点分析等制定应急策略，提前做好各种安全威胁的响应预案通过建立宏观网络安全预警与应急响应系统，综合分析网络数据，评估当前网络用户的行为，预测用户下一行为，在攻击行为发生之前，主动地管控网络结束谢谢！第四章网络安全技术-威胁情报技术计算机系统与网络安全技术威胁情报技术威胁情报的定义威胁情报（TI：ThreatIntelligence）是一种基于证据来描述威胁的知识信息，包括威胁上下文信息（Context）、威胁所使用的方法机制、威胁指标点（Indicators）、攻击影响，以及应对行动建议。威胁上下文信息（Context）是威胁存在的物理环境、系统环境和网络环境等信息。威胁指标点（Indicators）是准确描述威胁的特征参数。从威胁情报所包含的内容来看，主要有关威胁者的物理位置、所用工具、攻击时间、恶意软件所在网络域、僵尸网络信息以及其他信息。威胁情报技术威胁情报的类型从威胁情况的作用来看，主要包括战略性威胁情报、操作性威胁情报、战术性威胁情报和技术性威胁情报。战略性威胁情报是从威胁的全貌及未来发展动态的知识信息，主要提供给高层战略决策者使用。操作性威胁情报是针对特定攻击的可付诸行动的知识信息。战术性威胁情报是关于网络攻击战术性的知识信息（如攻击技巧、方法等）。技术性威胁情报是关于攻击的技术细节的知识信息，包括攻击的工具、命令、控制渠道、基础架构等技术信息。威胁情报技术威胁情报的标准化标准化是解决不同系统之间交换信息的一种方法它主要解决语义、技术和策略的互操作性问题语义互操作性：数据通信的接收方按照发送方的预期来理解信息的能力。技术互操作性：不同系统之间通过被明确定义并被广泛采用的接口标准来进行数据通信和数据交换的能力。策略互操作性：所有参与者之间关于数据传输、接收和确认的通用业务流程的能力。威胁情报技术威胁情报的标准化威胁情报的标准化：可机读威胁情报（MRTI：MachineReadableThreatIntelligence）就是一种威胁情报的特殊格式，使其可以被计算机所处理，并可以在不同部门或系统间进行交换。威胁情报转换为可机读威胁情报是共享威胁情报的基础和前提网络可观察表达式结构化威胁信息表达式可信自动交换指标信息常见的威胁情报标准威胁情报技术开放式威胁指标事件记录和事故共享词汇事件描述与交换格式可管理型安全事件轻量级交换联合式情报框架国家漏洞数据库红绿灯协议网络可观察表达式威胁情报技术用XML形式化地描述网络中可观察对象的属性和特性。可观察对象是在一个可操作的网络空间环境的实体（如UNIX系统的文件、Windows系统的注册表等。CybOX主要通过CybOX_Core和CybOX_Common这两个描述规则（Schemas）来提供其基础结构和功能。CybOX_Core列出了目前CybOX所支持的可观察对象CybOX_Common则描述了这些对象的结构及属性CybOX：CyberObservableExpression网络可观察表达式（续）威胁情报技术<xs:elementname="Account"type="AccountObj:AccountObjectType"><xs:annotation><xs:documentation>TheAccountobjectisintendedtocharacterizegenericaccounts.</xs:documentation></xs:annotation></xs:element>对AccountObj:Account的XML描述示例结构化威胁信息表达式威胁情报技术STIX：StructuredThreatInformationExpression提供了基于XML的威胁情报的形式化描述，包括威胁情报的因素、活动、安全事故等详细内容。支持采用CybOX等规范来描述具体的网络实体可以对网络威胁进行有效管理和威胁情报的标准化共享分析网络威胁（analyzingcyberthreats）定义指标点模型（specifyingindicatorpatterns）管理响应行为（managingresponseactivities共享网络威胁信息（sharingcyberthreatinformation）可信自动交换指标信息威胁情报技术TAXII：TrustedAutomatedExchangeofIndicatorInformation定义了用于威胁情报交换的协议和消息传输规范TAXII定义了以下规范：服务规范（ServicesSpecification）消息绑定规范（MessageBindingSpecifications）协议绑定规范（ProtocolBindingSpecifications）查询格式规范（QueryFormatSpecification）内容绑定参照（ContentBindingReference）开放式威胁指标威胁情报技术OpenIOC：OpenIndicatorsofCompromise通过XML来描述已知威胁、攻击者所采用方法或者威胁证据的标准。威胁指标点（IOC：IndicatorsofCompromise）就是用于描述入侵的详细信息或者是一组可用检测攻击者的入侵及其他行为的特征信息事件描述与交换格式威胁情报技术IODEF：IncidentObjectDescriptionExchangeFormat是在计算机安全应急响应小组以及他们的合作者之间，交换可操作式和统计性安全事件的标准格式。IODEF由IETF扩展安全事件处理工作组（ExtendedIncidentHandlingWorkingGroup）提出，并作为IETF安全领域的标准。IODEF也兼容入侵检测消息交换格式（IDMEF：IntrusionDetectionMessageExchangeFormat）。可管理型安全事件轻量级交换威胁情报技术MILE：ManagedIncidentLightweightExchange是一个IETF的工作组，它开发用于支持计算机和网络安全事件管理的标准。对于IODEF，MILE工作组主要是更具实际需求与经验，对其进行完善和扩展，并提供实施参考指导。实时网络防御（RID：Real-timeInter-network），则是工作组重点工作。MILE工作组主要工作涉及两个方面：IODEF和RID可管理型安全事件轻量级交换（续）威胁情报技术RID定义了一个协议，用于简化计算机和网络安全事件的共享。RID协议在RFC6545中定义，而利用HTTPS来传输RID（RIDoverHTTPS）则在RFC6546中定义。定义一个面向资源的方法（resource-orientedapproach），用来进行网络安全信息共享。对实现和使用RID提供指导。根据需要，RID进行修改和完善，使其满足其他标准的要求。RID的功能包括：联合式情报框架威胁情报技术CIF：CollectiveIntelligenceFramework是一个威胁情报管理系统。最重要的威胁情报数据包括与恶意行为相关的IP地址、网络域和URL等。由CSIRTGadgets基金会支持。CIF允许用户将来自多个情报源的威胁情报进行整合和融合，并用于识别、检测和清除安全攻击。国家漏洞数据库威胁情报技术NVD：NationalVulnerabilityDatabase是一组用SCAP（SecurityContentAutomationProtocol）来表示脆弱性数据的标准。NVD包括一个由安全脆弱性列表、与安全相关的软件缺陷、错误配置、产品名称和影响指标等构成的漏洞数据库。事件记录和事故共享词汇威胁情报技术VERIS：VocabularyforEventRecordingandIncidentSharing定义了一个用于描述安全事件的词汇表它由Verizon公司提出红绿灯协议威胁情报技术TLP：TrafficLightProtocol提供了一组名称，而不是一个数据格式TLP将可能被共享的情报分类，以控制共享范围。它定义了四个层次的共享（对应四种颜色）：红色：表示不能共享黄色：表示只能在产生的组织内共享绿色：表示可以在组织外部共享，但有范围限制白色：表示可被广泛共享常见的其他威胁情报标准威胁情报技术通用漏洞及披露（CVE：CommonVulnerabilitiesandExposures）是包含了公众已知的信息安全漏洞的信息和披露的集合。通过用弱点列举（CWE：CommonWeaknessEnumeration）是列举软件弱点和漏洞的标准。通用配置枚举（CCE：CommonConfigurationEnumeration）是用于描述计算机及设备配置的标准化语言。通用平台枚举（CPE：CommonPlatformEnumeration）是一种对应用程序、操作系统以及硬件设备进行描述和标识的标准化方案。通用配置评分系统（CCSS：CommonConfigurationScoringSystem）描述系统配置缺陷的严重程度。常见的其他威胁情报标准（续1）威胁情报技术通用漏洞评分系统（CVSS：CommonVulnerabilityScoringSystem）用来评测漏洞的严重程度，并帮助确定其紧急度和重要度。开放检查单交互语言（OCIL：OpenChecklistInteractiveLanguage）能够用来处理安全检查中需要人工交互反馈才能完成的检查项。通用攻击模式列举与分类（CAPEC：CommonAttackPatternEnumerationandClassification）能够用来对攻击进行模式划分和分类。恶意软件特征列举与描述（MAEC：MalwareAttributeEnumerationandCharacterization）基于恶意软件属性进行标准化的编码和通信语言。可扩展配置列表与描述格式（XCCDF：TheExtensibleConfigurationChecklistDescriptionFormat）是一种用来定义安全检查单、安全基线、以及其他类似文档的一种描述语言。常见的其他威胁情报标准（续2）威胁情报技术开放漏洞评估语言（OVAL：OpenVulnerabilityandAssessmentLanguage）定义检查项、脆弱点等技术细节的一种描述语言。通用公告交换格式（CAIF：CommonAnnouncementInterchangeFormat）是一种用于存储和交换安全公告信息的XML格式。公共事件表达（CEE：CommonEventExpression）是一种描述、记录和交换计算机事件的标准。评估结果格式ARF（AssetReportingFormat）是一个用于描述资产及资产之间交换数据交换格式的数据模型。国家信息交换模型（NIEM：NationalInformationExchangeModel）是美国计算机应急响应小组用于安全公告和事件报告的标准。常见的其他威胁情报标准（续3）威胁情报技术开放式Web应用程序安全项目（OWASP：OpenWebApplicationSecurityProject）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。Web应用安全联合威胁分类（WASC-TC：WebApplicationSecurityConsortiumThreatClassification）是一个评估Web应用程序安全性的开放标准，它从攻击和弱点两方面讨论安全问题。基于威胁情报的网络安全预警威胁情报技术威胁情报不仅包括对安全威胁的描述，也包括攻击的各方面，而且为应对攻击而提出了应急响应与行动的建议。基于威胁情报，可以预测大规模网络攻击事件，从而起到网络安全预警的作用。例如，CybOX、STIX和TAXII是美国国土安全部所规定威胁情报交换标准。其中CybOX用来描述实体的信息，STIX用来描述具体的威胁，而TAXII则用来在不同组织间传输威胁情报基于威胁情报的网络安全预警威胁情报技术基于威胁情报的网络安全预警的步骤（1）情报采集（Collect）：通过技术和非技术手段，从各情报源（如开源的情报信息、漏洞库、网络爬虫、社交信息、黑客组织、客户反馈、自由产品反馈、网络流数据等）全面收集数据。（2）关联与分类（CorrelateandCategorize）：对来自不同数据源的情报进行整合和数据分析形成对安全有价值的威胁情报。基于威胁情报的网络安全预警威胁情报技术基于威胁情报的网络安全预警的步骤（续）（3）行动（Action）：与现有安全防御系统和组件（如防火墙、审计系统）联动，积极响应，预防攻击的发生或减少攻击带来的危害，从而发挥威胁情报的价值。（4）共享（Share）：通过与合作伙伴或有关组织分享威胁情报，形成威胁情报共享的生态圈，进一步发挥威胁情报的价值。结束谢谢！第四章网络安全技术-加密保护技术计算机系统与网络安全技术加密技术文件保护技术内网监管技术VPN技术

加密保护技术典型的网络安全保护技术加密技术本质上是一种秘密变换技术，它是保障信息安全的最基本、最核心的技术，是所有通信安全的基石。对信息进行重新编码，从而隐藏信息内容，防止秘密数据的泄漏。加密技术加密保护技术加密技术数据传输加密技术于对传输中的数据流进行加密，有链路加密、节点加密和端到端加密三种数据传输加密应用模式。数据存储加密技术防止在存储环节上的数据失密，可分为密文存储和存取控制两种应用方式数据完整性鉴别技术对信息内容的完整性以及介入信息传送、存取、处理等环节的人的身份真实性进行验证。加密技术的分类加密保护技术对称加密算法数据加密标准（DES）和高级数据加密标准（AES）非对称加密算法RSA和椭圆曲线加密算法（ECC）流密码算法RC4典型的密码算法哈希算法MD5，SHA-1签名算法DSA加密保护技术加密算法的选择不同的加密算法有其特性和应用环境对称加密算法适合于对大数据量进行加密非对称加密算法适合于对小数据进行加密流密码算法一般用于无线通信加密加密保护技术密钥的类型主要有根密钥、主密钥、密钥加密密钥和会话密钥。根密钥是密码系统中最高层次的密钥，极少数用来加密，主要用来作为生成其它密钥的密钥素材。主密钥是用户之间长期共享的秘密密钥，它存储在安全区域，并主要用来作为生成其它低级别密钥的密钥素材。密钥加密密钥是密钥交换中用来加密其它密钥的密钥。会话密钥是用来在用户之间对数据进行加密的密钥。在二级密钥管理体制中，存储在安全区域的一级密钥既是主密钥也是密钥加密密钥，用它对二级密钥信息加密生成二级密钥（也称会话密钥、工作密钥），再用会话密钥对数据加密。加密保护技术会话密钥是用来直接加密通信数据的一次性密钥。链路加密保护通信链路中所有节点之间的链路信息安全。节点加密保护明文不在节点中出现的加密技术。端到端加密用于向源节点到目的节点的数据提供端到端加密保护。数据传输加密的模式加密保护技术链路加密技术链路，就是网络中两个相邻节点之间的通信信道。假如节点S到节点D之间需要经过P1，P2，……，Pk个节点则从S到D的链路包含S→P1，P1→P2，P2→P3，……，Pk→D共k+1条链路链路加密（又称在线加密）是传输数据仅在物理层前的数据链路层进行加密。加密保护技术信息在每个节点都要被解密和再加密依次进行，直至到达目的地链路加密技术（续1）链路加密的优点可以提供不安全信道上的安全传输服务可以隐藏通信的信源和信宿加密保护技术可以抵御业务流分析攻击链路加密技术（续2）链路加密的缺点只适合于专用信道，每个节点均必须配置密码装置，因此成本高，实用性差需要在专用链路上进行同步，因此会带来额外的网络开销加密保护技术消息在链路节点以明文行形式存在，必须依赖网络中每个节点的可信性密钥管理复杂节点加密技术节点，就是网络中的通信主机节点加密方是在节点处采用一个与节点相连的被保护密码装置，密文在该装置中被解密并用另外一个不同的密钥被重新加密。加密保护技术节点加密的目的是对源节点到目的节点之间的传输链路提供保护。在通信链路上为传输的消息提供保密性；都在中间节点先对消息进行解密，然后进行加密。节点的解密和再加密是在同一个密码装置中完成，因此在节点上不会出现明文。节点加密技术（续1）节点加密的优点提供不安全信道上的安全传输服务避免了中间节点易受攻击的问题，安全性较高加密保护技术不需要每个节点均配备密码装置，因此成本相对较低节点加密技术（续2）节点的缺点存在业务流分析安全威胁：要求报头和路由信息以明文形式传输需要中间交换节点配备密码装置加密保护技术端到端加密技术端节点是指网络系统中发送数据和接收数据的节点加密保护技术发送数据的端节点称之为源端节点接收数据的端节点称之为目的端节点数据在发送端被加密，在最终目的地（接收端）解密，链路及中间节点处不以明文的形式出现。除报头外的的报文均以密文的形式贯穿于全部传输过程，而路由信息则是明文传送的端到端加密是为数据从源端节点传送到目的端节点提供的加密方式。端到端加密技术（续1）端到端加密的优点加密保护技术实现成本低，更容易设计、实现和维护，实用性强避免了链路加密模式和节点加密模式的同步问题端到端加密技术（续2）端到端加密的缺点加密保护技术端到端加密存在窃听安全威胁：端到端加密只能加密报文，而不能对报头加密端到端加密无法抵御业务流分析攻击：分析端到端加密系统中密文量、密文长度、发送频率加密技术的比较从机密性来看加密保护技术链路加密对用户来说比较容易，但需要依赖所有用户的可信和安全，因此存在一定的泄露风险节点加密和端到端加密不需要所有节点均可信，因此安全性较高加密技术的比较（续1）加密保护技术从使用的密钥数量来看链路加密：密钥的数目最多n(n-1）/2个（n是节点数）端到端加密：共需密钥n(n-1）/2个，其中每个用户需（n-1）节点加密：密钥使用量介于链路加密和端到端加密之间加密技术的比较（续2）加密保护技术从身份认证的角度看链路加密和节点加密只能认证节点，而不是用户即使用某个密钥对报文进行加密，也仅能保证它来自节点而不能确认来自哪个用户端到端加密是针对具体的用户，可以进行用户认证为保证数据在计算机上存储时受到机密性、完整性和真实性的保护,防止数据的非授权访问以及信息泄露,采用的有效的防护技术和手段。文件保护技术加密保护技术文件加密技术结束谢谢！第四章网络安全技术-VPN技术计算机系统与网络安全技术网络接入与安全用户需要通过服务器提供商（ISP：InternetServiceProvider）所提供的公用网络来建立连接对于公用的网络信道来说，它无法抵御窃听、欺骗等攻击是不安全的信道VPN技术虚拟专用网络虚拟专用网络，也叫虚拟专网（VPN：irtualPrivateNetwork），是在不安全的公共网络上建立一条虚拟的安全专用信道，从而允许用户在不安全网络上进行安全通信的一种网络接入技术。任意两个节点之间的连接并不像传统专网那样独享端到端的物理链路，而是通过对公共通信基础设施的通信介质进行某种安全保护割是虚拟的网VPN技术专用网络虚拟专用网络的特点（1）安全性好由于VPN能建立安全的虚拟专用数据通道，保证了通信的安全性，因此借助于VPN能够实现用户之间的安全通信。VPN技术（2）成本低VPN不需要在节点之间建立专用的物理连路，而是利用公共网络基础设施来组建网络，因此大大降低了网络维护和设备费用，节约了成本。（3）使用方便覆盖地域广泛，其接入点也是无处不在。虚拟专用网络的特点（4）可扩展性强VPN可以非常方便地增加或减少用户。VPN技术（5）便于管理VPN不需要关心公共网络的各种安全威胁，只需要解决利用VPN所建立的企业内部网络的安全问题即可，因此减少了管理复杂性。虚拟专用网络中的隧道技术隧道技术（Tunneling）是一种通过使用互联网络的基础设施在网络之间传递数据的方式。隧道将将其它协议的数据重新封装然后通过隧道发送。VPN技术隧道协议（TunnelingProtocol）也叫封装协议，是指将一种协议的数据单元封装在另一种协议数据单元中传输的协议。隧道协议不是单只某个协议，而是指用于实现隧道的一组协议新的数据包中，新的包头提供路由信息。除非特别说明，隧道协议就是封装协议虚拟专用网络中的隧道技术隧道技术是实现VPN的基本技术，其实质上是一种封装将一种协议（如协议X）封装在另一种协议（如协议Y）中传输VPN技术隧道协议（TunnelingProtocol）的构成乘客协议：被封装的协议，如PPP、SLIP、IP、TC、HTTP协议实现协议X对公共网络的透明传输封装协议：也叫隧道协议，隧道的建立、维持和断开所采用的协议，如L2TP、IPSec、SSL等承载协议：承载经过封装后的数据包的协议，如IP协议、PPP协议等。隧道协议举例将TCP数据包封装到HTTP协议中，并利用UDP协议进行传输TCP协议就是乘客协议VPN技术HTTP协议就是封装协议UDP协议就是承载协议按应用平台软件平台专用硬件平台辅助硬件平台按协议PPTPL2TPIPSec按部署模式端到端模式供应商到用户模式内部供应商模式按服务类型AccessVPNIntranetVPNExtranetVPN按所用设备的类型路由器式VPN交换机式VPN防火墙式VPNVPN分类第二层VPN协议：第二层转发协议（L2F）、第二层隧道协议（L2TP）、点到点隧道协议（PPTP）

第三层协议：GRE协议、IPSec协议第四层隧道协议：SSL/TLS协议

VPN技术主要VPN协议第二层转发协议L2F：Layer2Forwarding虽然依然使用PPP协议来传输数据VPN技术但是网络的链路层完全独立于用户的链路层协议链路层的端点与用户的会话端点在不同的主机上。是通过PPP协议将用户链路层的协议（如PPP）数据包封装起来进行传送的协议。在L2F协议的VPN中，乘客协议是PPP等协议，封装协议是时L2F，而承载协议是PPP协议。PPP协议概述点对点协议（PPP：PointtoPointProtocol）是为在点对点连接上传输多协议数据包的一个数据链路层协议。具有动态分配IP地址的能力，允许在连接时刻协商IP地址VPN技术支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等其主要功能包括具有错误检测以及纠错能力，支持数据压缩具有身份验证功能可以用于多种类型的物理介质上，包括串口线、电话线、移动电话和光纤（例如SDH）、以太网接口等PPP协议概述（续）VPN技术字段名帧头F地址A控制C协议P载荷帧校验FCS帧尾F字段值7EFF03协议信息校验值7E字节长度1112<=150021F：PPP采用7EH作为一帧的开始和结束标志A：地址字段（A）取固定值FFHC：控制字段（C）取固定值03HP：协议字段（P）取0021H表示IP分组FCS：帧校验字段（FCS）也为两个字节L2F协议的消息格式VPN技术 0123 01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|F|K|P|S|0|0|0|0|0|0|0|0|C|Ver|Protocol|Sequence(opt)|\+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+\|MultiplexID|ClientID||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2F|Length|Offset(opt)||Header+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+||Key(opt)|/+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/+(payload)|+.....|+(payload)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2FChecksum(optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2F的VPN建立过程第一步：向拨号服务器发送建立PPP连接请求。远程用户在本地局域网（HomeLAN）通过自己的家庭网关（HGW：HomeGateway）通过PPP拨号连接至服务提供商的拨号服务器（也叫网络服务器，NAS：NetworkAccessServer）建立初始的PPP连接，用来传送L2F包。VPN技术基于L2F的VPN建立过程第二步：网络服务器向家庭网关发送一个L2F管理包（L2F_CONF）各字段可能值为Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的载荷包括网络服务器的名字（NAS_name）、挑战随机数（ChallengeRnd）和一个随机分配的客户标示（Assigned_CLIDCLID1）VPN技术基于L2F的VPN建立过程第二步：网络服务器向家庭网关发送一个L2F管理包（L2F_CONF）各字段可能值为Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的载荷包括网络服务器的名字（NAS_name）、挑战随机数（ChallengeRnd）和一个随机分配的客户标示（Assigned_CLIDCLID1）VPN技术基于L2F的VPN建立过程第三步：家庭网关向网络服务器返回一个L2F管理包（L2F_CONF）各字段可能值为Proto=L2F、Seq=0,MID=0、CLID=CLID1、Key=0。包的载荷包括家庭网关的名字（GW_name）、挑战随机数（ChallengeRnd2）和一个网关自己分配的的客户标示（Assigned_CLIDCLID2）。VPN技术基于L2F的VPN建立过程第四步：网络服务器向家庭网关发送一个L2F管理包（L2F_OPEN）各字段可能值为Proto=L2F,Seq=1,MID=0,CLID=CLID2,Key=MD5(Rnd2)。Key的值是用MD5哈希算法对Rnd2进行运算所得到的128位值MD5(Rnd2)。MD5(Rnd2)也包含在载荷部分的“response"字段中。VPN技术基于L2F的VPN建立过程第五步：家庭网关向网络服务器返回一个L2F管理包（L2F_OPEN）各字段可能值为Proto=L2F、Seq=1、MID=0、CLID=CLID1、Key=C(Rnd1)。Key的值是128位值MD5(Rnd1)。MD5(Rnd1)也包含在载荷部分的“response"字段中VPN技术基于L2F的VPN建立过程第六步：在已经建立的L2F隧道上进行CHAP或者PAP认证，并最终建立L2F安全隧道。VPN技术第二层隧道协议（L2TP）L2TP：LayerTwoTunnelingProtocolVPN技术是将PPP协议数据包封装起来进行传送的协议。用户向本地的L2TP接入集中器（LAC：AccessConcentrator）发起网络连接（如PPP连接或以太网连接）由LAC将用户的数据封装为L2TP在不同网络媒介（如IP网络、帧中继网络等)以隧道方式传输到L2TP网络服务器（LNS：L2TPNetworkServer）在L2TP协议中，乘客协议是PPP协议，封装协议是L2TP协议，而承载协议是PPP协议。第二层隧道协议（L2TP）L2TP接入集中器VPN技术用户向本地的L2TP接入集中器（LAC：AccessConcentrator）发起网络连接（如PPP连接或以太网连接）L2TP接入集中器（LAC：LayerTwoAccessConcentrator）是L2TP隧道中面向用户的一个端点，位于用户和L2TP网络服务器之间，向用户或者网络服务器转发数据。L2TP接入集中器与L2TP网络服务器之间是L2TP隧道连接L2TP接入集中器与远程用户之间可以本地局域网连接，也可以是PPP连接。LAC就是服务提供商提供VPN服务的接入设备，从物理实现来看，它就是L2TP服务的防火墙、路由器或者专用VPN服务器。第二层隧道协议（L2TP）L2TP网络服务器VPN技术L2TP网络服务器（LNS：L2TPNetworkServer）是L2TP隧道的另外一个端点与L2TP接入集中器连接，同时也是L2TP隧道逻辑上的终点。LNS就是位于企业侧的VPN服务器，该服务器完成对用户的认证和授权，接收来自LAC的L2TP的隧道和连接请求，并建立远程用户与LNS之间的PPP通道。第二层隧道协议（L2TP）VPN技术

012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|T|L|x|x|S|x|O|P|x|x|x|x|Ver|Length(opt)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|TunnelID|SessionID|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Ns(opt)|Nr(opt)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|OffsetSize(opt)|Offsetpad...(opt)+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2TP的VPN建立过程利用L2TP来建立PPP隧道需要经过两个阶段为隧道建立控制连接（ControlConnection）VPN技术同一个隧道可以有多各连接，而用户和服务器之间之间可以建立多个隧道根据用户请求建立会话（Session）由于L2TP本身没有提供安全保护功能，因此一般将L2TP数据包封装为IPSec数据包来传输基于L2TP的VPN建立过程第一步：初始化PPP连接如果用户已经连接到了互联网，则与本地的LAC建立一条虚拟的PPP连接如果没有接入网络，则需要通过拨号等形式建立与LAC的网络连接VPN技术第二步：建立L2TP控制连接PAC使用UDP协议连接PNS的L2TP服务端口（默认为1701）通过交换L2TP消息完成隧道的建立基于L2TP的VPN建立过程第三步：通过隧道传输数据PAC和PNS使用L2TP协议来封装PPP数据，即初始数据添加PPP头形成PPP帧PPP帧再添加L2TP头、UDP头形成UDP报文UDP报文进行加密、完整性保护后添加IPSec头和尾，形成IP报文IP报文添加相应的数据链路层帧头和帧尾（如以太网帧头和帧尾）后通过物理网络发送到对方VPN技术基于L2TP的VPN建立过程第四步：对方接收L2TP报文并处理去掉帧头和帧尾得到IP报文去掉IP头并进行IPSec解密和校验去掉UDP头和L2TP头得到PPP帧去掉PPP帧得到有效载荷对有效载荷进行传输或转发（例如封装为以太网帧发送给目的接收方）VPN技术点到点隧道协议（PPTP）PPTP：PointtoPointTunnelingProtocolVPN技术是将PPP协议数据包封装为IP数据包进而在互联网上传输的协议。PPTP没有对PPP协议进行任何修改提出了一种在IP网络上传输PPP协议数据的新方法在PPTP协议中，乘客协议可以是PPP等协议，封装协议是GRE协议，而承载协议是UDP协议。PPTP使用GRE的扩展版本来传输PPP数据包点到点隧道协议（PPTP）PPTP采用客户/服务器模型，将传统服务器的功能划分为PPP接入集中器和网络服务器两个部分VPN技术PPP接入集中器PPP接入集中器（PAC：PPTPAccessConcentrator）负责与拨号用户之间的链路和协议管理。不仅可以用来在PNS和PAC之间传输数据包，而且也用于呼叫控制和呼叫管理点到点隧道协议（PPTP）PPTP网络服务器VPN技术PPTP网络服务器（PNS：PPTPNetworkServer）负责管理网络传输介质作为PPP逻辑终点以及部分用户认证工作点到点隧道协议（PPTP）PPTP协议只在PNS和PAC上实现，对于其他系统完全透明VPN技术PPTP的网络服务器PNS是运行于一个通用的操作系统上，在公司私有网内客户端及PPTP的访问集中器PAC可以运行在一个支持拨号访问的平台上远程用户使用本地拨号网络与PAC建立一条PPP连接，PAC使用一条隧道将PPP数据包传送给PNS点到点隧道协议（PPTP）在PPTP协议中，控制连接（ControlConnection）和IP隧道（IPtunnel）同时存在VPN技术控制连接位于PAC和PNS之间，并采用TCP协议传输数据IP隧道位于同一组PAC和PNS之间，但用于传输采用GRE协议来封装的PPP数据包虽然逻辑上控制连接与PPTP隧道有关，但它们是完全分离的。对于一对PNS和PAC，控制连接和隧道同时存在。基于PPTP的VPN建立过程第一步：建立IP网络连接PPTP协议采用客户/服务器模型假定PAC和PNS之间已经有IP网络连接如果PAC尚未接入IP网络，则远程用户需要通过拨打网络访问服务器先建立与PAC之间IP网络连接VPN技术第二步：建立PPTP控制连接PAC使用TCP协议连接PNS的PPTP服务端口（默认为1723）通过交换PPTP消息完成隧道的建立。基于PPTP的VPN建立过程第三步：控制连接的维护与释放PAC和PNS之间每60秒通过发送PPTPEchoRequest和PPTEchoReply消息来维护控制连接信息当控制连接释放后，PPP连接、PPTP协议连接和TCP连接均释放VPN技术第四步：通过隧道传输数据PAC和PNS使用通用路由封装（GRE）协议来封装PPP数据初始的数据经过加密后添加PPP头形成PPP帧PPP帧再添加GRE头、IP头形成IP报文IP报文添加相应的数据链路层帧头和帧尾（如以太网帧头和帧尾）后通过物理网络发送到对方基于PPTP的VPN建立过程第五步：对方接收PPTP报文并处理去掉帧头和帧尾得到IP报文去掉IP头和GRE头得到PPP帧去掉PPP头得到有效载荷，并对有效载荷进行解密等操作对数据进行传输或转发（例如封装为以太网帧发送给目的接收方）当控制连接释放后，PPP连接、PPTP协议连接和TCP连接均释放VPN技术通用路由封装协议（GRE）GRE：GenericRoutingEncapsulationVPN技术通用路由封装协议（GRE：GenericRoutingEncapsulation）是对某些网络层协议（如IP和IPX）的数据报进行封装，使这些被封装的数据报能够在另一个网络层协议（如IP）中传输的协议。GRE规定了怎样用一种网络层协议去封装另一种网络层协议的方法GRE只提供了数据包的封装，它没有加密功能来防止网络侦听和攻击，所以在实际环境中它常和IPSec在一起使用，由IPSec提供用户数据的加密，给用户提供更好的安全性。通用路由封装协议（GRE）VPN技术

01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|C|Reserved0|Ver|ProtocolType|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum(optional)|Reserved1(Optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

通用路由封装协议（GRE）VPN技术

01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|C|Reserved0|Ver|ProtocolType|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Checksum(optional)|Reserved1(Optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Reserved0(bits1-12)：如果1-5位为非零值，触发接收者使用RFC1701（GRE原来的版本）来实现GRE，否则抛弃该包。6-12位保留，但必须设置为0。ProtocolType(2octets)：载荷部分所包含的协议。常见的协议值1代表ICMP，4表示IP，6表示TCP和17表示UDP。IP安全协议（IPSec）IPSec：IPSecurityVPN技术是一组开放协议的总称。给出了应用于IP层上网络数据安全的一整套体系结构包括：IPsec认证头协议（AH）：为IP数据报提供无连接完整性和数据起源认证，并提供保护以避免重播情况。IPsec封装安全负载（ESP）：主要提供数据机密性和完整性服务。Internet密钥交换（IKE）：是一种密钥管理框架，规定了密钥管理的消息表示等，通过与ISAKMP协议和Oakley密钥交换协议结合，可提供密钥交换等功能。在基于IPSec的VPN中，乘客协议是IP协议，封装协议是IPSec协议，而承载协议是IP协议。安全套接层协议（SSL）SSL：SecureSocketsLayerVPN技术是在传输层为网络通信提供机密性和数据完整性的一种安全协议。包括：SSL记录协议（SSLRecordProtocol）：为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSLHandshakeProtocol）：用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。TLS加密规范修改协议（SSLChangeCipherSpecProtocol）：主要用于通告对方启用新的密码参数TLS报警协议（SSLAlertProtocol）：主要用来处理协议过程中的错误或向对方发送报警消息。在基于SSL的VPN中，乘客协议是应用层协议（如HTTP等），封装协议是SSL协议，而承载协议是TCP协议。常见VPN协议比较VPN技术协议所属网络层加密认证安全性复杂性备注L2F数据链路层支持支持一般一般仅支持PPP协议L2TP数据链路层不支持支持无一般与IPSec结合使用PPTP数据链路层支持支持一般一般仅支持Windows系统GRE网络层不支持不支持无简单必须配合其它协议使用IPSec网络层支持支持高复杂应用最为广泛SSL应用层支持支持高较复杂适用于WEB安全结束谢谢！第四章网络安全技术-VPN技术计算机系统与网络安全技术第二层转发协议L2F：Layer2Forwarding虽然依然使用PPP协议来传输数据VPN技术但是网络的链路层完全独立于用户的链路层协议链路层的端点与用户的会话端点在不同的主机上。是通过PPP协议将用户链路层的协议（如PPP）数据包封装起来进行传送的协议。在L2F协议的VPN中，乘客协议是PPP等协议，封装协议是时L2F，而承载协议是PPP协议。PPP协议概述点对点协议（PPP：PointtoPointProtocol）是为在点对点连接上传输多协议数据包的一个数据链路层协议。具有动态分配IP地址的能力，允许在连接时刻协商IP地址VPN技术支持多种网络协议，比如TCP/IP、NetBEUI、NWLINK等其主要功能包括具有错误检测以及纠错能力，支持数据压缩具有身份验证功能可以用于多种类型的物理介质上，包括串口线、电话线、移动电话和光纤（例如SDH）、以太网接口等PPP协议概述（续）VPN技术字段名帧头F地址A控制C协议P载荷帧校验FCS帧尾F字段值7EFF03协议信息校验值7E字节长度1112<=150021F：PPP采用7EH作为一帧的开始和结束标志A：地址字段（A）取固定值FFHC：控制字段（C）取固定值03HP：协议字段（P）取0021H表示IP分组FCS：帧校验字段（FCS）也为两个字节L2F协议的消息格式VPN技术 0123 01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|F|K|P|S|0|0|0|0|0|0|0|0|C|Ver|Protocol|Sequence(opt)|\+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+\|MultiplexID|ClientID||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2F|Length|Offset(opt)||Header+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+||Key(opt)|/+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/+(payload)|+.....|+(payload)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2FChecksum(optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2F的VPN建立过程第一步：向拨号服务器发送建立PPP连接请求。远程用户在本地局域网（HomeLAN）通过自己的家庭网关（HGW：HomeGateway）通过PPP拨号连接至服务提供商的拨号服务器（也叫网络服务器，NAS：NetworkAccessServer）建立初始的PPP连接，用来传送L2F包。VPN技术基于L2F的VPN建立过程第二步：网络服务器向家庭网关发送一个L2F管理包（L2F_CONF）各字段可能值为Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的载荷包括网络服务器的名字（NAS_name）、挑战随机数（ChallengeRnd）和一个随机分配的客户标示（Assigned_CLIDCLID1）VPN技术基于L2F的VPN建立过程第二步：网络服务器向家庭网关发送一个L2F管理包（L2F_CONF）各字段可能值为Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的载荷包括网络服务器的名字（NAS_name）、挑战随机数（ChallengeRnd）和一个随机分配的客户标示（Assigned_CLIDCLID1）VPN技术基于L2F的VPN建立过程第三步：家庭网关向网络服务器返回一个L2F管理包（L2F_CONF）各字段可能值为Proto=L2F、Seq=0,MID=0、CLID=CLID1、Key=0。包的载荷包括家庭网关的名字（GW_name）、挑战随机数（ChallengeRnd2）和一个网关自己分配的的客户标示（Assigned_CLIDCLID2）。VPN技术基于L2F的VPN建立过程第四步：网络服务器向家庭网关发送一个L2F管理包（L2F_OPEN）各字段可能值为Proto=L2F,Seq=1,MID=0,CLID=CLID2,Key=MD5(Rnd2)。Key的值是用MD5哈希算法对Rnd2进行运算所得到的128位值MD5(Rnd2)。MD5(Rnd2)也包含在载荷部分的“response"字段中。VPN技术基于L2F的VPN建立过程第五步：家庭网关向网络服务器返回一个L2F管理包（L2F_OPEN）各字段可能值为Proto=L2F、Seq=1、MID=0、CLID=CLID1、Key=C(Rnd1)。Key的值是128位值MD5(Rnd1)。MD5(Rnd1)也包含在载荷部分的“response"字段中VPN技术基于L2F的VPN建立过程第六步：在已经建立的L2F隧道上进行CHAP或者PAP认证，并最终建立L2F安全隧道。VPN技术结束谢谢！第四章网络安全技术-VPN技术计算机系统与网络安全技术第二层隧道协议（L2TP）L2TP：LayerTwoTunnelingProtocolVPN技术是将PPP协议数据包封装起来进行传送的协议。用户向本地的L2TP接入集中器（LAC：AccessConcentrator）发起网络连接（如PPP连接或以太网连接）由LAC将用户的数据封装为L2TP在不同网络媒介（如IP网络、帧中继网络等)以隧道方式传输到L2TP网络服务器（LNS：L2TPNetworkServer）在L2TP协议中，乘客协议是PPP协议，封装协议是L2TP协议，而承载协议是PPP协议。第二层隧道协议（L2TP）L2TP接入集中器VPN技术用户向本地的L2TP接入集中器（LAC：AccessConcentrator）发起网络连接（如PPP连接或以太网连接）L2TP接入集中器（LAC：LayerTwoAccessConcentrator）是L2TP隧道中面向用户的一个端点，位于用户和L2TP网络服务器之间，向用户或者网络服务器转发数据。L2TP接入集中器与L2TP网络服务器之间是L2TP隧道连接L2TP接入集中器与远程用户之间可以本地局域网连接，也可以是PPP连接。LAC就是服务提供商提供VPN服务的接入设备，从物理实现来看，它就是L2TP服务的防火墙、路由器或者专用VPN服务器。第二层隧道协议（L2TP）L2TP网络服务器VPN技术L2TP网络服务器（LNS：L2TPNetworkServer）是L2TP隧道的另外一个端点与L2TP接入集中器连接，同时也是L2TP隧道逻辑上的终点。LNS就是位于企业侧的VPN服务器，该服务器完成对用户的认证和授权，接收来自LAC的L2TP的隧道和连接请求，并建立远程用户与LNS之间的PPP通道。第二层隧道协议（L2TP）VPN技术

012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|T|L|x|x|S|x|O|P|x|x|x|x|Ver|Length(opt)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|TunnelID|SessionID|+-+-+-+-+-+-+-+-+-+-+-+-+-