pptp协议可以设置几个路由器上?


首页
电脑配置
硬件知识
电脑故障
电脑资讯
电脑技巧
电脑应用
电脑软件
组装电脑
当前位置： 首页 电脑软件 路由器pptp怎么设置(tplink路由器pptp设置)
路由器pptp怎么设置(tplink路由器pptp设置)
电脑软件 电脑知识网 2022-10-26 20:10:38 1 0条评论
路由器pptp怎么设置
d-linkdir-612无线路由器设置方法如下：
1、首先接通电源，将设备自带的电源适配器一端插入路由器的电源孔，一端插入电源插座。然后连接WAN口线，将Modem或者是小区宽带的网线连接到路由器的Internet口上。
再次连接LAN口线，再利用一根网线，一端连接在路由器的任意一个LAN口上，另一端连接电脑网卡(台式机、笔记本都可以)。
2、打开电脑，右击桌面上的“网上邻居”，打开属性。再右击“本地连接”，打开属性。
3、在常规选项卡中选择“Internet协议(TCP/IP)”点击“属性”，选择“自动获得IP地址”和“自动获得DNS服务器地址”即可。
4、打开浏览器，在地址栏中输入路由器的IP地址，即可登录到路由器的管理界面，对路由器进行各项配置。
5、设置WAN口，即Internet口的设置。
此步骤主要是设置用户当前的上网类型，一般分为PPPoE、动态IP、静态IP、PPTP、L2TP等。家庭用户大多数使用的是ADSL或者是小区宽带对应的是PPPoE，公司使用的是静态IP方式上网。
用户在此不用过多担心自己使用的到底是哪种上网方式，因为智能的路由器会自动侦测用户的上网类型。
如果用户不慎丢失了用户名和密码，则可以咨询宽带接入商。
6、当前默认的管理员admin的密码是空的，这太不安全，如果邻居使用无线网络也可以对这个路由器进行设置，所以需要给admin加一个新的密码，点击维护选项卡，输入新的密码后，点击“保存设置”，路由器会自动重启以使更改生效。
如果用户愿意也可以更改用户名。
再次进入的时候就需要输入用户名和密码了。
如果没有密码，就没有权限修改路由器的设置。
7、保存设置，重启路由器就可以上网了。
tplink路由器pptp设置
d-link无线路由器设置方法如下：
1、 首先接通电源，将设备自带的电源适配器一端插入路由器的电源孔，一端插入电源插座。然后，连接WAN口线，将Modem或者是小区宽带的网线连接到路由器的Internet口上。再次，连接LAN口线，再利用一根网线，一端连接在路由器的任意一个LAN口上，另一端连接电脑网卡(台式机、笔记本都可以)。
2、打开电脑，右击桌面上的“网上邻居”，打开属性。再右击“本地连接”，打开属性。
3、在常规选项卡中选择“Internet协议(TCP/IP)”点击“属性”，选择“自动获得IP地址”和“自动获得DNS服务器地址”即可。
4、打开浏览器，在此以IE为例，在地址栏中输入：>去年以来，各大运营商把IPTV看成实现战略转型提供切实可行的切入点，成为宽带未来发展的杀手级应用，这种基于电信网和IP提供三重业务捆绑（TriplePlay)的IP业务是网络融合大趋势下的产物，IPTV不仅能够满足电信运营商业务创新的需求，而且可以为电信运营商转变经营思路，IPTV只是众多宽带应用中的一项，而不是仅有的的业务，除了IPTV外，网络游戏、视频会议、远程教育、远程医疗业务、数字股票交易、电子商务以及将来的数字家庭都可为个人用户、大客户用户的业务，这些新业务都应是通过流媒体在用户端进行无延迟(相对而言，一般延迟会在10s以下)播放的让音频和视频一系列新技术，首先网络的带宽必需满足宽带业务要求。基于IP封装业务将越来越多，接入网的IP化是发展必然趋势，IP网络的特点之一是业务突发性，突发的信息量，中间有间隙，一般带宽突发率为10：1，而影视的流媒体一旦启动，不会中途停止，接入网承载IPTV业务也必需满足宽带的要求。

接入网转型需要宽带化网络支撑宽带化是网络支撑

当前，城域网、骨干网光纤化后带宽矛盾已不突出，而接入网已经成为宽带化的最后瓶颈。所谓的宽带网络的带宽到多“宽”，承载多高的速率算是“宽带”没有定义，ITU-T和其它相关的标准化组织也没定义，有一点是无疑的，宽带应承载所有的业务，包括数据业务和实时语音、IPTV、视频等交互式多媒体、流媒体业务，不因网络带宽而受限，能提供电信级的QOS和网络管理，网络恢复、保护迅速，满足这种网络要求的是宽带化的网络。按照上述的宽带业务，光纤、铜缆都可应用，接入网宽带化的理想是FTTH，FTTH这种能够提供高带宽的接入方式及HDTV，并能够实现对称的双向传输，这是其他接入方式与其无法相比的。目前我国对于FTTH技术还处在试验阶段。主要是成本的问题。用户难以接受，运营商有投入大,大规模使用还有待时日但要尽量延伸光缆的距离，缩短铜缆距离,即“光进铜退”这是接入网近期的规划策略，使光纤更加接近用户，缩短用户铜缆的接入距离。中国电信集团建议城市地区从2006年开始停建800线对以上且距离1km以上的接入铜缆，有条件的地方（例如经济发达、业务需求大的地区）所有新建的接入铜缆长度应控制在1km以内。配合宽带升速对铜缆的要求，结合接入网点优化及新技术的引入，使用户铜缆接入距离日趋合理。为缩短用户铜缆的接入距离，比较可行的办法是局端DSLAM（数字用户线接入复用器）下移。结合DSLAM的下移，可以解决老局普遍存在的线路老化现象，并有效缓解升速引起的出线率和串扰问题。

铜缆xDSL的带宽潜力还没挖尽,光纤不能到家，铜缆技术还要应用,因此ADSL成为我国宽带接入的主导接入技术,但目前的ADSL又不能适应上述宽带业务，尤其是运营商的杀手级应用IPTV，笔者曾在家中的ADSL加某设备制造商的IPTV机顶盒试应用，采用MPEG4技术标准，是在电信提供的1M的下行传输带宽上实现的，因此其画面质量大多不能令用户满意。如果为用户提供DVD效果的IPTV业务，利用现有广泛使用的编码技术，用户至少需要2Mbps(使用MPEG-4或更高压缩率的编码)的下行接入带宽。值得欣慰的是现在的铜缆技术的ADSL2＋和VDSL在传输速率和覆盖范围方面有明显提高，增强了线路故障诊断能力，具有智能功耗管理特性、引入了无缝数据速率适配技术等，G9925的ADSL2+标准将频谱加倍，从1104MHz扩展至2208MHz，所以其下行速率大大提高，它支持的净数据速率最小下行速率可达16Mbit/s，理论上可达到24Mb/s，1．2km内速率可达20Mbit／s，能与第一代ADSL兼容的新一代ADSL+技术，是目前铜缆技术在我国用户普遍是宽带接入的选择，因此中国电信集团公司也明确了近几年的IPTV传输各地宽带接入网的规划应坚持“以ADSL2+为主”的原则。VDSL(也叫ADSL2++)技术利用0138-12MHz频段，为用户提供高速数据业务，在近距离(几百米范围内)，上下行速率分别可达26Mb/s和52Mb/s，而VDSL2基于铜缆可提供高达100M的上下行速率传还可支持未来的三个通道的高清电视HDTV，是未来满足住宅用户高带宽需求的关键技术。应积极跟踪FTTx+VDSL2的发展，大家知道日本是世界上推进FTTH最激进的国家,虽然FTTH作为宽带接入的一种优势技术已经被广泛投入商用，但xDSL技术的宽带接入市场中仍占有主导地位，去年8月笔者到日本分别下榻的酒店和高级的公寓住宅都还是铜缆的接入,即FTTC+DSL,采用的技术是50Mb/s的VDSL,不但可支持IPTV,还可支持两个信道的HDTV,日本乃至于世界各国发展宽带接入的策略都是挖尽铜缆资源潜力，即ADSL=>ADSL2plus=>VDSL=>VDSL2,并采用了无线、光纤多元化的接入技术。

宽带设备要适应宽带的需求

宽带网接入网除了与介质所在选择用户端设备外，另外在局端DSLAM（数字用户线接入复用器）和BRAS（宽带远程接入服务器）设备上同样要适应转型的要求，宽带接入网是城域骨干网业务接入控制点以下、用户CPE以上（不含CPE）的二层接入网络，层次上划分为汇聚层和接入层。汇聚层网络是指BRAS到DSLAM或SR到园区交换机间的网络，主要由以太汇聚交换机和MSTP/RPR设备组成，可级联组网。接入层包含xDSL接入点DSLAM和LAN接入点（园区交换机），以及接入点到用户CPE之间的设备和线缆，包括楼道交换机、铜缆、五类线和光纤等。由于IPTV所需要的容量是现有宽带接入容量的几倍到几十倍，大规模开放IPTV业务对于现有网络的容量和结构都将形成很大的挑战，但是现有网上的大多数老的DSLAM和BRAS不具备这个能力，现有城域网上的交换机、路由器和DSLAM的组播能力参差不齐，难以实现全程的组播能力。开展IPTV仅仅靠单播和大容量设备结合不是一个经济的长远解决方案，新的IPDSLAM和BRAS已经具备组播能力和较大的容量，必须现有网上的大多数老的DSLAM和BRAS都能升级有效地支持网络的组播能力才行。对无法支持组播的接入层设备根据业务发展逐步进行替换。下图1为IPTV的接入系统分布图,局端设备有BRAS和基于ATM和IP的DSLAM,接入有基于铜缆的ADSL2+和基于FTTH的GEPON；PPPoE和IPoEDHCP都是IPTV接入用户业务的认证方式，在IPTV的应用环境中对组波的支持又恰恰是IPTV业务最需要的，因此，处理，而且还对IP层三进行处理或上连三层交换机处理，并将宽带接入服务器BAS功能集成进来。可支持丰富的增值业务，不但支持组播，尤其是支持可控组播，即对标准组播协议进行增强，提供安全控制和管理能力，从根本上解决了困扰运营商组播业务开展的难题。在维护管理上，所有级联IP－DSLAM在网管上表现为一个独立网元，并且支持级联设备的即插即用、远程管理，使级联管理问题迎刃而解。各运营商在宽带IP城域网的建设上投入很大，IP网络资源越来越丰富。从技术发展、建设成本、市场经营和提高使用效率上看，采取IP内核的第三代ADSLDSLAM都有着明显的优势，而且国内IP架构DSLAM产品已成熟。

BRAS（BroadbandRemoteAccessServer宽带远程接入服务器）作为进行宽带汇聚的边缘路由器，是宽带网络的灵魂之一。它一侧连接宽带接入网络，另一侧连接IP城域网络，集宽带IP的业务和赢利于一身，是用来完成各种宽带接入方式的宽带网络用户的接入汇聚、认证、计费、控制、管理的网络设备，是宽带网络可运营、可管理的基石外，还有组播、QoS、安全性、和网管等功能。业界也把BRAS分为三代，什么是第三代BRAS呢？它是采取高端路由器IP内核架构，拥有超过50G的大容量交换矩阵，IPPacket方式的无阻塞交换，在I/O接口板可运行非IP协议，主要运行TCP/IP协议系统软件的电信级BRAS，可称为IPBRAS。也可将BRAS看作宽带运营网络中的业务和控制网关，设备制造商也研发了具备组播能力和大容量的基于IP的DSLAM和BRAS设备，配合运营商的转型。

例如华为的MA5200GBRAS是基于NT的第五代路由器平台，可以同时提供高性能的BRAS功能和路由器特性：采用分布式IP体系架构，克服了ATM平台BRAS的扩展性能弱、端口密度低、难以承载多种IP业务（如IPTV）的问题；采用高性能的NP处理器，解决了L3平台BRAS的VLAN数量有限、QoS能力弱以及不支持MPLS和集中式处理的性能瓶颈问题；中兴通讯BRAS产品ZXUAS10800/10400核心汇聚层宽带接入服务器都具有优越的接入网IPTV组播支持性能。
接入网的综合化

综合化的问题就是对各种数据、语音、宽带业务的综合接入，从某种意义讲是宽、窄带接入，为了满足接入层网络宽带业务的需求，从建设的水平层次上看可采用两种方式：一种方式窄带模块或者窄带接入网叠加DSLAM方式，解决宽带数据业务的接入，这是运营商目前的主要的接入方式；这种多业务支持策略只是设备的简单叠加，其结果是对同一用户、同一地理区域的客户的多业务需求，只能采用多种设备堆叠来满足，这种建设方式造成接入层设备多样性、需要更多的维护人员对设备和线路进行管理，从而提高了运营和维护成本；另外，在协调运营商内部资源响应客户特别是商业客户的多业务需求时，需要协调多方面的资源，而叠加建设方式只能通过外置网关来解决互通问题，从而增加了设备种类、运维成本进一步增加。

而综合接入提供了一种快速、简单的宽窄带多业务接入的方法，接入网综合化是采用综合接入设备，各种宽、窄带业务、专线业务可以通过综合接入设备，实现灵活方便的接入。这种接入是一种真正融合多种业务接入的设备，对各种业务的带宽可以灵活调配，业务槽位不同的业务接口板可以混插、依据用户的需求配置不同的业务接入接口，这样多种接入业务都承载到了综合接入网络中，使原来的几个接入网络的业务承载在一个网络中，网络得以简化，运维成本相对来说更低，且更容易快速响应客户、特别是大客户专线和宽带接入的需求。采用综合接入建设接入层网络，业务互通和升级也很便捷，由于多种业务接入在同一设备内，在综合接入设备内部就有可能实现内置的互通网关。在技术上，综合接入设备现阶段既能满足运营商低成本构建窄带和宽带一体化接入平台要求，又能满足将来过渡到的NGN的接入平台的需要，普遍意义上看，今后几年接入网的建设重点一是继续满足承载基础话音业务的需要，一是需要向各类用户提供各种数据带宽。各类用户（住宅用户、各类大客户）因其特点各异而对于电话业务和数据类业务需求具有不同的要求，对服务水平和安全性也不尽相同，因此运营商需要根据用户各自的特点给予不同的考虑
从用户的需求看综合业务接入是一种趋势，具体地讲综合接入模式的优势如下：

● 顺应NGN网络发展需要

NGN是一种目标网络和理想化的网络，其发展是现有网络按NGN概念与框架要求逐步演进完善的长期过程，决不可能轻而易举地一步到位。在2004年ITU-T的NGN会议上，经过激烈辩论，NGN的定义才有了定论：NGN是基于分组的网络，能够提供电信业务；利用多种宽带能力和QoS保证的传送技术；其业务相关功能与其传送技术相独立。NGN使用户可以自由接人到不同的业务提供商；NGN支持通用移动性。NGN网络采用了全新的体系模型，控制和承载分离、业务和控制分离、业务和接人分离、用户数据的集中统一管理等多种新型技术，使得网络具有明显的成本优势、业务优势和维护优势等，所谓下一代网络（NGN），实质上是一个具有极其松散定义的术语，即泛指一个不同于当代或前一代的网络体系结构，通常是指以数据为中心的融合网络体系结构。对NGN国际电信联盟下了定义。我把它理解为多业务、宽带化、分组化、开放性、移动性、泛在性、兼容性、安全性、可管理的网络基于分组技术的综合开放的网络架构，从总体趋势上看，下一代网络整个网的核心层功能结构将趋向扁平化的两层结构，即业务层上具有统一的IP通信协议，传送层上具有巨大的传输容量。核心网的发展趋势将更加倾向于传送层和业务层而独立发展，并分别优化；而在网络边缘则倾向于多业务、多体系的融合，允许多协议业务接入，能以最经济的成本和灵活、可靠且持续支持一切已有的和将有的业务和信号。接入层趋向于采用多元化的宽带无缝接入技术。如果我们理解了NGN,网络转型就顺应NGN网络发展需要。

以软交换技术为核心试验探索及启动实施PSTN向初级NGN的融合演进，使NGN期望的低建设成本、低运营开销、有效的平滑演进等优点能具体有所体现。综合接入平台将是宽带接入网的重要组成内容。

随着软交换体系架构的完善、软交换相关标准和协议的成熟以及产品的商用化，越来越多的运营商为了应对外界和自身的种种挑战，开始有规模地部署软交换商用网络。采用不同的策略，要求接入层不仅能完成现有网络的延伸，还要能够平滑接入NGN网络。采用综合接入建网，可以在对现有网络改动最小、增加额外投资最少的前提下顺利的向NGN网络发展。新一代的综合接入设备基于纯IP内核，具有带宽扩展、新业务支持、新功能升级等优点。内置物理层适配、ONU、DSLAM、AG等功能。下行提供不同的物理接口、带宽及QoS能力，提供POTS、ADSL、ADSL2+，SHDSL、VDSL、LAN、E1、IMAE1、G/EPON甚至WiMAX等多种宽带接入方式。上行通过标准接口连接到不同的业务网络，包括PSTN、互联网及NGN。综合宽带接入平台的成熟为多种业务接入及综合业务模式的实现提供了便利，使得全业务成为可能。　

当前网上正在使用的窄带光纤接入设备应本着努力提高现网资源利用率，减少每线综合建设成本的原则，尽量利用现有设备资源满足覆盖区域内的新增窄带用户需求，提高设备实装率，加强本地网内设备的调配。传统窄带光纤接入设备（V5或者远端模块）可以根据业务需求适度进行扩容。对于新建光纤接入设备，应根据软交换发展实际情况采用相应的建设模式：在软交换应用条件成熟的地区，对于新建的住宅小区和商业办公大楼等用户集中、容量需求量大的新增区域，可优先考虑采用AG设备覆盖；NGNReady：内置AG功能，能演进到未来NGN网络，实现对网络的投资保护。

对于规模比较小、分布分散且有综合业务需求的新增用户，宜优先采用IAD（综合接入设备）。设备，为用户提供包括语音、数据和IPTV业务在内的综合接入。在软交换应用条件不成熟的地区，新建接入设备宜选择能够平滑升级为支持软交换功能的宽窄带综合接入设备，同时支持窄带语音和xDSL宽带接入等。网络日益向宽带化方向发展的状况，综合接入解决方案是目前优化本地网结构提升网络竞争力的有效手段，是NGN演进解决方案得切入点。综合接入不光是在设备层面上满足了多业务接入的需求，同时从市场、运维等角度而言，也带来了一个可持续发展的新思路，是个系统工程。从竞争环境、用户需求和未来网络发展等各要素来看，综合接入已经具备了良好的建设条件，必将成为当前各运营商建设本地接入层网络的理想模式。因此，选择综合接入的建网思路是目前传统电信运营商建设本地接入网络的理想选择。

● 开放式的网络基础

网络转型能不能成功？关键就是接入网能不能很好的开放，开放可以创造新的业务，使得更多的外部力量加入到信息痛通信行业里，为业务创新提供更好的基础。越开放意味着标准化的要求越高，难度也就越高。运营创新和商业模式的创新更为灵活、方便，可以创造一些新的商业机会。所以转型能不能成功关键就是开放能不能做好。近年来，数据业务已经逐渐成为整个电信业务的主导业务。当电信核心网、城域网正在面向分组数据业务转型，与互联网走向融合，接入网的建设也应是开放的网络，开放式网络的特征应是：动态的、灵活的网络结构，便于多种业务、各类用户的高效接入，目前的IP新业务不仅只IPTV，还包括将开放VoIP等IP业务将也渗透到电信宽带接入网中，把宽带接入网建设成为开放式的宽带IP接入网。IP接入出现了许多新的概念，包含了许多新的内涵，增加了许多新的功能。如何应对也是一个艰难的抉择。

服务提供商的服务对象是其客户的整体需求，而不是某个时期、某些部门或个体的需求。它包括了信息的完整性、媒体的完整性和交互的完整性。即，服务提供商提供的信息应该是可以满足各个用户的各种需要的，而不是局部的，受限的。因此，服务的完整性也表现为网络的开放性,信息的表达必须满足用户中的不同个体在不同场合的不同需要。服务提供商的服务是作用在用户上的，用户通过一个终端群获得业务的提供，而不是仅仅通过某个特定的终端。这种服务的提供独立于终端，也独立于物理网络，从而支持移动性和游牧性，实现无所不在的服务。

IP网络本来就是一个开放的网络，信息封装在分组中、面向无连接，没有呼叫建立、不存在信令的概念，靠IP目的地址寻址，对链路中断有更大的d性、效率高，将传统交换机的功能模块分离成独立的网络部件;部件的协议接口基于相应的标准，支持多业务的接入，由于基于因特网的开放业务主要问题是缺乏对资源和用户的有效管理，Inte是一个难以提供可运营级、可控制的业务的网络。因此对网络业务的控制在很大程度上体现在对TCP/IP协议上，这一点可以通过BRAS对用户数据包的逐包控制来实现，从这一方面来理解，BRAS也可以看作是宽带网络中的控制部件。与之对应的NGN也是开放式结构，将传统交换机的功能模块分离成独立的网络部件;部件的协议接口基于相应的标准，软交换采用开放式标准接口，易于和不同网关、交换机、服务器、网络接点通信，并且兼容性、互 *** 作性、互通性好。网络的开放性也表现为服务的完整性

● 降低综合建网及运营成本

网络的技术转型，对接入层网络建设提出了新的要求。IPTV业务已经成为固网发展的一个亮点，现在已呈现出网络规划建设趋势，如何与原有接入网络分离的窄带、宽带接入网络，两个网络怎么结合、如何融合及以后维护管理怎么考虑，都没有很好的发展思路。而利用综合接入设备可以很好地解决这一问题，一方面采用综合接入建网思路，可以按照客户所需灵活布放语音、数据、IPTV和增值业务，实现业务的快速布放；另一方面综合接入设备既可以充当纯粹的话音接入设备又可以充当DSLAM设备，降低整个网络的运维成本和运营风险。设备制造商已将窄带和宽带业务合一接口板实现，既可以很好地解决了当前窄带和宽带业务的现实需要，又能满足逐渐提高的宽带业务普及率的要求。显然目前宽窄带综合接入设备的综合造价与窄带接入和宽带接入设备分别建设相比已具有一定的优势。此外，综合接入设备引入机型应限制在目前已有的DSLAM机型内较好。设备制造商也研发增加升级的DSLAM满足综合接入，另外综合信息服务商的基础设施的演进也包含支持固定宽带接入和多种无线接入的IP网络，支持分类业务的QoS的通信能力和安全能力，支持窄带业务和宽带业务的，支持移动性和游牧性的，支持业务独立的多媒体通信(交换)网络，这个基础已经在3GPPIMS中得到了定义，是推动固网和移动网络的融合。

当您通过Internet使用时，它会在两个设备/网络之间创建专用且加密的隧道。现在作为，你很难对数据进行窃听，即使它被侵入，因为这是数据被加密，从这个加密数据中获取任何信息几乎是不可能的。有几种隧道协议，如PPTP（点对点隧道协议），L2TP（第二层隧道协议），IPSec（Internet协议安全），SSL（安全套接字层）等，用于创建隧道。

IPSec实现

工作于TCP/IP第三层IP层上网络数据安全地一整套体系结构；包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换又称isakmp）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

整个IPSec 地实现基本简化为两个SA协商完成

SA（security association）：是两个通信实体经协商建立起来地一种协议，它们决定了用来保护数据包安全地IPsec协议，转码方式，密钥，以及密钥地有效存在时间等等

IKE（isakmp）SA： 协商对IKE数据流进行加密以及对对等体进行验证地算法（对密钥地加密和peer地认证） 对等体之间只能存在一个

第一阶段：建立ISAKMPSA协商的是以下信息：
1、对等体之间采用何种方式做认证，是预共享密钥还是数字证书。

2、双方使用哪种加密算法（DES、3DES）

3、双方使用哪种HMAC方式，是MD5还是SHA

4、双方使用哪种Diffie-Hellman密钥组

5、使用哪种协商模式（主模式或主动模式）

6、协商SA的生存期

IPSec SA： 协商对对等体之间地IP数据流进行加密地算法  对等体之间可以存在多个

第二阶段：建立IPsecSA协商的是以下信息：

1、双方使用哪种封装技术，AH还是ESP

2、双方使用哪种加密算法

3、双方使用哪种HMAC方式，是MD5还是SHA

4、使用哪种传输模式，是隧道模式还是传输模式

5、协商SA的生存期

名词解释：

AH协议（IP协议号为51）： 提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

ESP协议（IP协议号为50）： 提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。

IPSec有两种工作模式：

隧道（tunnel）模式： 用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

传输（transport）模式： 只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

1 数据认证

数据认证有如下两方面的概念：

身份认证：身份认证确认通信双方的身份。支持两种认证方法：预共享密钥（pre-shared-key）认证和基于PKI的数字签名（rsa-signature）认证。

身份保护：身份数据在密钥产生之后加密传送，实现了对身份数据的保护。

2 DH

DH（Diffie-Hellman，交换及密钥分发）算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据，计算出共享的密钥。即使第三者（如黑客）截获了双方用于计算密钥的所有交换数据，由于其复杂度很高，不足以计算出真正的密钥。所以，DH交换技术可以保证双方能够安全地获得公有信息。

3 PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。对于IPsec，是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

IKE的交换过程

IKE使用了两个阶段为IPsec进行密钥协商并建立SA：

第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA。第一阶段有主模式（Main Mode）和野蛮模式（Aggressive Mode）两种IKE交换方法。

第二阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。
如图2-1所示，第一阶段主模式的IKE协商过程中包含三对消息：

l 第一对叫SA交换，是协商确认有关安全策略的过程；

l 第二对消息叫密钥交换，交换Diffie-Hellman公共值和辅助数据（如：随机数），密钥材料在这个阶段产生；

l 最后一对消息是ID信息和认证数据交换，进行身份认证和对整个第一阶段交换内容的认证。

野蛮模式交换与主模式交换的主要差别在于，野蛮模式不提供身份保护，只交换3条消息。在对身份保护要求不高的场合，使用交换报文较少的野蛮模式可以提高协商的速度；在对身份保护要求较高的场合，则应该使用主模式。

IKE在IPsec中的作用

l 因为有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。

l IKE协议中的DH交换过程，每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程，保证了每个SA所使用的密钥互不相关。

l IPsec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值，此数溢出后，为实现防重放，SA需要重新建立，这个过程需要IKE协议的配合。

l 对安全通信的各方身份的认证和管理，将影响到IPsec的部署。IPsec的大规模使用，必须有CA（Certificate Authority，认证中心）或其他集中管理身份数据的机构的参与。

l IKE提供端与端之间动态认证。

IPsec与IKE的关系

图 5 IPsec与IKE的关系图

从图2-2中我们可以看出IKE和IPsec的关系：

l IKE是UDP之上的一个应用层协议，是IPsec的信令协议；

l IKE为IPsec协商建立SA，并把建立的参数及生成的密钥交给IPsec；

l IPsec使用IKE建立的SA对IP报文加密或认证处理。

SSL 简介

SSL 是以SSL协议为安全基础的远程接入技术，移动办公人员（在SSL 中被称为远程用户）使用SSL 可以安全、方便的接入企业内网，访问企业内网资源，提高工作效率。

SSL 技术优势：

无客户端的便捷部署

应用层接入的安全保护

企业延伸的效率提升

SSL协议从身份认证、机密性、完整性三个方面确保了数据通信的安全 。

SSL 实现私密性 完整性 不可否认 源认证

SSL 的特点：

采用B/S架构，远程用户无需安装额外软件，可直接使用浏览器访问内网资源。

SSL 可根据远程用户访问内网资源的不同，对其访问权限进行高细粒度控制。

提供了本地认证、服务器认证、认证匿名和证书挑战多种身份认证方式，提高身份认证的灵活性。

可以使用主机检查策略。

缓存清理策略用于清理远程用户访问内网过程中在终端上留下的访问哼唧，加固用户的信息安全。

PN类型详解 PPTP

PPTP：点对点隧道协议，一种支持多协议虚拟专用网络（）的网络技术，工作在第二层数据链路层。以同样工作在第二层的点对点传输协议（PPP）为基础，PPTP将PPP帧封装成IP数据包，以便于在互联网上传输并可以通过密码验证协议（PAP），可扩展认证协议（EAP）增加安全性。远程用户能够通过安装有点对点协议的 *** 作系统访问公司网络资源。

PPTP 的实现需要：客户机和服务器之间必须有联通并且可用的IP网络。

该可在Windows、Linux环境下搭建，或者通过配置路由器来实现。

L2F：第二层转发协议。 用于建立跨越公共网络的安全隧道来将ISP POP连接到企业内部网关。这个隧道建立了一个用户与企业客户网络间的虚拟点对点连接。 L2F允许高层协议的链路层隧道技术，使得把原始拨号服务器的位置和拨号协议连接终止与提供的网络访问位置分离成为可能。

L2TP

L2TP：二层隧道协议，结合PPTP与L2F两种二层隧道协议的优点，为众多公司接受。 L2TP扩展了PPP模型，它使用PPP来封装用户数据，允许多协议通过隧道传送，作为安全性增强，L2TP与IPSec（Internet协议安全性）结合——L2TP/IPsec， L2TP基于UDP协议，因此L2TP不保证数据消息的可靠投递，若数据丢失，不予重传。

L2TP 的实现：与PPTP不同， PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接。

该可在Windows、Linux环境下搭建，或者通过配置防火墙、路由器来实现。

MPLS

MPLS：多协议标签交换（MPLS）是一种用于快速数据包交换和路由的体系，它为网络数据流量提供了目标、路由地址、转发和交换等能力。更特殊的是，它具有管理各种不同形式通信流的机制。

它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。

传统的是基于 PPTP L2TP等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现有天然的优势。

基于MPLS的就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的还支持对不同间的互通控制。

MPLS网络主要由CE、PE和P等3部分组成：

CE（Customer Edge）：用户网络边缘设备，可以是路由器 交换机 主机。

PE（Provider Edge）：是服务商边缘路由器，位于骨干网络。

P（Provider）：是服务提供商网络中的骨干路由器

SSL工作Socket层,IPsec工作在网络层

SSL(安全套接层)是一个du基于标准的加密协议，提供加密和身份zhi识别服务。daoSSL广泛应用于在互联网上提供加密的通讯。SSL最普通的应用是在网络浏览器中通过>中国移动集客专线业务分为互联网专线、数据专线、语音专线、APN专线、5GtoB专网、MPLS***专线、集团短彩信专线等，下面我们就来逐一介绍。
一、互联网专线
互联网专线接入业务是指为客户提供链路连接至互联网（中国移动为CMNET），实现方便快捷的高速互联网上网服务，客户可自由选择各种
带宽和接口。主要接入方式为PON和PTN。
二、数据专线
为客户提供透明的数据传输通道，用于客户点对点，或多点间计算机联网 ，可视电视会议，实时图像监控等。主要接入方式为PTN，也有使用PON的比如：“雪亮工程”、“天网工程”、“智慧城市”等。还有少量使用SDH和OTN的。
数据专线又分为三种类型：本地专线、跨地市专线、跨省专线
三、IMS语音专线
承载普通固定电话业务，如本地通话、国内长途等
补充业务，如来电显示、呼叫前转等。接入方式和互联网专线一样，主要是PTN和PON。
四、APN专线
政企APN专线（2G/3G/4G，含VPDN）是指通过中国移动光纤骨干网及各地城域网，利用多种接入方式（数据专线、互联网专线）为政企客户提供用于GPRS数据传输的专用通道，为政企客户提供专享的、安全的内部服务器到中国移动GPRS网络的专用通道服务。
政企APN专线应用场景：
1政府机关、大型企业：银行无线POS、电网无线抄表、政务OA、企业应急平台等；
2小型企业：运输车辆定位、安防监控、数据采集等；
3公司内部：移动办公等。
五、5GtoB专网
5G专网分为广域专网和局域专网。1、广域专网：不限定区域，通常利用运营商公网，和APN专线有相似之处。应用场景：公共事业，应用行业：公安、交通、电力、车联网、无人机、 B2C游戏等。2、局域专网：限定区域的网络覆盖，需满足特定需求。应用场景：企业园区 应用行业：制造、钢铁、石化、矿山、港口、教育、医疗等。
六、MPLS ***专线
MPLS ***专线是指在中国移动IP专用承载网平台上，通过MP-BGP协议传播和发布路由，采用多协议标记交换（MPLS）技术建立用户数据传送通道，为用户提供广域网的路由设备连接，利用运营商网络平台，建立用户自有网络架构，帮助用户实现数据、语音、视频等多种业务在虚拟专用网络内的传输服务。不同专线用户网络之间应进行区隔。主要接入方式为PTN。
七、短彩信专线
短彩信专线主要是指通过互联网专线网络（中国移动为CMNET）承载的MAS服务器专线。MAS指中国移动通过在集团客户内部部署移动代理服务器（Mobile Agent Server），为集团客户提供的基于移动终端（包括短信、彩信、WAP、手机客户端等）的信息化应用服务，企业通过移动代理服务器将自己的业务延伸到移动终端。主要接入方式为PTN和PON。

---