一、VPN概述

虛擬專(zhuān)用網(wǎng)絡(luò )（Virtual Private Network，VPN）在VPN客戶(hù)機與VPN網(wǎng)關(guān)之間創(chuàng )建一個(gè)加密的、虛擬的點(diǎn)對點(diǎn)連接，保障數據在經(jīng)過(guò)互聯(lián)網(wǎng)時(shí)的安全。

例如，公司人員出差到外地或在家中，需要訪(fǎng)問(wèn)公司企業(yè)網(wǎng)資源。如果直接撥入的話(huà)，未加密的數據包很容易被人監聽(tīng)或攔截。

因此，企業(yè)內部信息資源也開(kāi)始廣泛使用互聯(lián)網(wǎng)絡(luò )協(xié)議時(shí)，VPN也就越來(lái)越重要了。

對于構建VPN來(lái)說(shuō)，網(wǎng)絡(luò )隧道（Tunnelling）技術(shù)是個(gè)關(guān)鍵技術(shù)。網(wǎng)絡(luò )隧道技術(shù)指的是利用一種網(wǎng)絡(luò )協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò )協(xié)議，它主要利用網(wǎng)絡(luò )隧道協(xié)議來(lái)實(shí)現這種功能。

目前，常用的有三種網(wǎng)絡(luò )隧道協(xié)議，一種是二層隧道協(xié)議，用于傳輸二層網(wǎng)絡(luò )協(xié)議，它主要應用于構建遠程訪(fǎng)問(wèn)虛擬專(zhuān)網(wǎng)（Access VPN）；

三層隧道協(xié)議則用于傳輸三層網(wǎng)絡(luò )協(xié)議，它主要應用于構建企業(yè)內部虛擬專(zhuān)網(wǎng)（Intranet VPN）和擴展的企業(yè)內部虛擬專(zhuān)網(wǎng)（Extranet VPN）。

第2層隧道協(xié)議對應數據鏈路層，使用幀作為數據交換單位。PPTP、L2TP和L2F（第2層轉發(fā)）都屬于第2層隧道協(xié)議，都是將數據封裝在點(diǎn)對點(diǎn)協(xié)議（PPP）幀中通過(guò)互聯(lián)網(wǎng)絡(luò )發(fā)送。

第3層隧道協(xié)議對應于網(wǎng)絡(luò )層，使用包作為數據交換單位。IP over IP以及IPSEC隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過(guò)IP網(wǎng)絡(luò )傳送。

為創(chuàng )建隧道，隧道的客戶(hù)機和服務(wù)器雙方必須使用相同的隧道協(xié)議。此外，建立在 TCP/UDP 之上的網(wǎng)絡(luò )隧道技術(shù)近幾年來(lái)也有了較快的發(fā)展，通過(guò)采用 TCP/UDP 協(xié)議，避免了網(wǎng)絡(luò )運營(yíng)商的過(guò)濾，使得真正能夠通過(guò)公網(wǎng)來(lái)建立加密隧道。

這方面比較常見(jiàn)的如OpenVPN 隧道以及最近出現的構建于https之上的Softether隧道技術(shù)等。

點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）允許對IP、IPX或NetBEUI數據流進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò )或公共互聯(lián)網(wǎng)絡(luò )發(fā)送。

第2層隧道協(xié)議（L2TP）協(xié)議允許對IP、IPX或NetBEUI數據流進(jìn)行加密，然后通過(guò)支持點(diǎn)對點(diǎn)數據報傳遞的任意網(wǎng)絡(luò )發(fā)送，如IP、X.25、幀中繼或ATM。

對于像PPTP和L2TP這樣的第2層隧道協(xié)議，創(chuàng )建隧道的過(guò)程類(lèi)似于在雙方之間建立會(huì )話(huà)；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng )建隧道并協(xié)商隧道各種配置變量，如地址分配、加密或壓縮等參數。

絕大多數情況下，通過(guò)隧道傳輸的數據都使用基于數據報的協(xié)議發(fā)送。隧道維護協(xié)議被用來(lái)作為管理隧道的機制。

安全IP（IPSEC）隧道模式即IPSEC隧道模式允許對IP負載數據進(jìn)行加密，然后封裝在IP包頭中通過(guò)企業(yè)IP網(wǎng)絡(luò )或公共IP互聯(lián)網(wǎng)絡(luò )如Internet發(fā)送。

第3層隧道技術(shù)通常假定所有配置問(wèn)題已經(jīng)通過(guò)手工過(guò)程完成，這些協(xié)議不對隧道進(jìn)行維護。

這與第2層隧道協(xié)議不同，第2層隧道協(xié)議（PPTP和L2TP）必須包括對隧道的創(chuàng )建，維護和終止。為實(shí)現在專(zhuān)用或公共IP網(wǎng)絡(luò )上的安全傳輸，IPSEC隧道模式使用的安全方式封裝和加密整個(gè)IP包。

然后對加密的負載再次封裝在明文 IP包頭內通過(guò)網(wǎng)絡(luò )發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對收到的數據報進(jìn)行處理，在去除明文IP包頭，對內容進(jìn)行解密之后，獲得最初的負載IP包。

負載IP包在經(jīng)過(guò)正常處理之后被路由到位于目標網(wǎng)絡(luò )的目的地。

IPSEC 隧道模式具有以下功能和局限：（1）只能支持 IP 數據流；（2）工作在 IP 棧（IPstack）的底層，因此，應用程序和高層協(xié)議可以繼承 IPSEC 的行為；

（3）由一個(gè)安全策略（一整套過(guò)濾機制）進(jìn)行控制。

安全策略按照優(yōu)先級的先后順序創(chuàng )建可供使用的加密和隧道機制以及驗證方式。當需要建立通信時(shí)，雙方機器執行相互驗證，然后協(xié)商使用何種加密方式。

此后的所有數據流都將使用雙方協(xié)商的加密機制進(jìn)行加密，然后封裝在隧道包頭內。

隧道一旦建立，數據就可以通過(guò)隧道發(fā)送。隧道客戶(hù)端和服務(wù)器使用隧道數據傳輸協(xié)議準備傳輸數據。

例如，當隧道客戶(hù)端向服務(wù)器端發(fā)送數據時(shí)，客戶(hù)端首先給負載數據加上一個(gè)隧道數據傳送協(xié)議包頭，然后把封裝的數據通過(guò)互聯(lián)網(wǎng)絡(luò )發(fā)送，并由互聯(lián)網(wǎng)絡(luò )將數據路由到隧道的服務(wù)器端。

隧道服務(wù)器端收到數據包之后，去除隧道數據傳輸協(xié)議包頭，然后將負載數據轉發(fā)到目標網(wǎng)絡(luò )。

（1）自愿隧道（Voluntary Tunnel）。用戶(hù)或客戶(hù)端計算機可以通過(guò)發(fā)送VPN請求配置和創(chuàng )建一條自愿隧道。此時(shí)，用戶(hù)端計算機作為隧道客戶(hù)方成為隧道的一個(gè)端點(diǎn)。

當一臺工作站或路由器使用隧道客戶(hù)軟件創(chuàng )建到目標隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現這一目的，客戶(hù)端計算機必須安裝適當的隧道協(xié)議。自愿隧道需要有一條IP連接（通過(guò)局域網(wǎng)或撥號線(xiàn)路）。

使用撥號方式時(shí)，客戶(hù)端必須在建立隧道之前創(chuàng )建與公共互聯(lián)網(wǎng)絡(luò )的撥號連接。一個(gè)最典型的例子是Internet撥號用戶(hù)必須在創(chuàng )建Internet隧道之前撥通本地ISP取得與Internet的連接。

對企業(yè)內部網(wǎng)絡(luò )來(lái)說(shuō)，客戶(hù)機已經(jīng)具有同企業(yè)網(wǎng)絡(luò )的連接，由企業(yè)網(wǎng)絡(luò )為封裝負載數據提供到目標隧道服務(wù)器路由。

自愿隧道技術(shù)為每個(gè)客戶(hù)創(chuàng )建獨立的隧道。FEP和隧道服務(wù)器之間建立的隧道可以被多個(gè)撥號客戶(hù)共享，而不必為每個(gè)客戶(hù)建立一條新的隧道。

因此，一條隧道中可能會(huì )傳遞多個(gè)客戶(hù)的數據信息，只有在最后一個(gè)隧道用戶(hù)斷開(kāi)連接之后才終止整條隧道。

（2）強制隧道（Compulsory Tunnel）。由支持VPN的撥號接入服務(wù)器配置和創(chuàng )建一條強制隧道。

此時(shí)，用戶(hù)端的計算機不作為隧道端點(diǎn)，而是由位于客戶(hù)計算機和隧道服務(wù)器之間的遠程接入服務(wù)器作為隧道客戶(hù)端，成為隧道的一個(gè)端點(diǎn)。

目前，一些商家提供能夠代替撥號客戶(hù)創(chuàng )建隧道的撥號接入服務(wù)器。

這些能夠為客戶(hù)端計算機提供隧道的計算機或網(wǎng)絡(luò )設備包括支持PPTP協(xié)議的前端處理器（FEP）、支持L2TP協(xié)議的L2TP接入集線(xiàn)器（LAC）或支持IPSEC的安全IP網(wǎng)關(guān)。

本文將主要以FEP為例進(jìn)行說(shuō)明。為正常地發(fā)揮功能，FEP必須安裝適當的隧道協(xié)議，同時(shí)必須能夠當客戶(hù)計算機建立起連接時(shí)創(chuàng )建隧道。以 Internet 為例，客戶(hù)機向位于本地ISP的能夠提供隧道技術(shù)的NAS發(fā)出撥號呼叫。

例如，企業(yè)可以與某個(gè)ISP簽定協(xié)議，由ISP為企業(yè)在全國范圍內設置一套FEP。這些FEP可以通過(guò)Internet創(chuàng )建一條到隧道服務(wù)器的隧道，隧道服務(wù)器與企業(yè)的專(zhuān)用網(wǎng)絡(luò )相連。

這樣，就可以將不同地方合并成企業(yè)網(wǎng)絡(luò )端的一條單一的Internet連接。因為客戶(hù)只能使用由FEP創(chuàng )建的隧道，所以稱(chēng)為強制隧道。一旦最初的連接成功，所有客戶(hù)端的數據流將自動(dòng)地通過(guò)隧道發(fā)送。

使用強制隧道，客戶(hù)端計算機建立單一的 PPP連接，當客戶(hù)撥入 NAS時(shí)，一條隧道將被創(chuàng )建，所有的數據流自動(dòng)通過(guò)該隧道路由。

可以配置FEP為所有的撥號客戶(hù)創(chuàng )建到指定隧道服務(wù)器的隧道，也可以配置FEP基于不同的用戶(hù)名或目的地創(chuàng )建不同的隧道。

二、點(diǎn)對點(diǎn)協(xié)議（PPP）

因為第2層隧道協(xié)議在很大程度上依靠PPP協(xié)議的各種特性，因此有必要對PPP協(xié)議進(jìn)行深入的探討。

PPP協(xié)議主要是設計用來(lái)通過(guò)撥號或專(zhuān)線(xiàn)方式建立點(diǎn)對點(diǎn)連接發(fā)送數據。PPP協(xié)議將IP、IPX和NETBEUI包封裝在PPP幀內通過(guò)點(diǎn)對點(diǎn)的鏈路發(fā)送。

PPP協(xié)議主要應用于連接撥號用戶(hù)和NAS。PPP撥號會(huì )話(huà)過(guò)程可以分成4個(gè)不同的階段。分別如下：

階段1：創(chuàng )建PPP鏈路。PPP使用鏈路控制協(xié)議（LCP）創(chuàng )建，維護或終止一次物理連接。在LCP階段的初期，將對基本的通信方式進(jìn)行選擇。

應當注意在鏈路創(chuàng )建階段，只是對驗證協(xié)議進(jìn)行選擇，用戶(hù)驗證將在第2階段實(shí)現。同樣，在LCP階段還將確定鏈路對等雙方是否要對使用數據壓縮或加密進(jìn)行協(xié)商。實(shí)際對數據壓縮/加密算法和其他細節的選擇將在第4階段實(shí)現。

階段2：用戶(hù)驗證。在第2階段，客戶(hù)端PC將用戶(hù)的身份證明發(fā)給遠端的接入服務(wù)器。該階段使用一種安全驗證方式避免第三方竊取數據或冒充遠程客戶(hù)接管與客戶(hù)端的連接。

大多數的 PPP 方案只提供了有限的驗證方式，包括口令驗證協(xié)議（PAP）、挑戰握手驗證協(xié)議（CHAP）和微軟挑戰握手驗證協(xié)議（MSCHAP）。

（1）口令驗證協(xié)議（PAP）。PAP是一種簡(jiǎn)單的明文驗證方式。NAS要求用戶(hù)提供用戶(hù)名和口令，PAP以明文方式返回用戶(hù)信息。

很明顯，這種驗證方式的安全性較差，第三方可以很容易地獲取被傳送的用戶(hù)名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。

所以，一旦用戶(hù)密碼被第三方竊取，PAP無(wú)法提供避免受到第三方攻擊的保障措施。

（2）挑戰—握手驗證協(xié)議（CHAP）。CHAP是一種加密的驗證方式，能夠避免建立連接時(shí)傳送用戶(hù)的真實(shí)密碼。

NAS向遠程用戶(hù)發(fā)送一個(gè)挑戰口令，其中包括會(huì )話(huà)ID和一個(gè)任意生成的挑戰字串。

遠程客戶(hù)必須使用 MD5 單向哈西算法返回用戶(hù)名和加密的挑戰口令，會(huì )話(huà)ID以及用戶(hù)口令，其中用戶(hù)名以非哈西方式發(fā)送。

CHAP對PAP進(jìn)行了改進(jìn)，不再直接通過(guò)鏈路發(fā)送明文口令，而是使用挑戰口令以哈西算法對口令進(jìn)行加密。

因為服務(wù)器端存有客戶(hù)的明文口令，所以服務(wù)器可以重復客戶(hù)端進(jìn)行的操作，并將結果與用戶(hù)返回的口令進(jìn)行對照。

CHAP為每一次驗證任意生成一個(gè)挑戰字串來(lái)防止受到重放攻擊。在整個(gè)連接過(guò)程中，CHAP將不定時(shí)地向客戶(hù)端重復發(fā)送挑戰口令，從而避免第3方冒充遠程客戶(hù)進(jìn)行攻擊。

（3）微軟挑戰—握手驗證協(xié)議（MS-CHAP）。與CHAP相類(lèi)似，MS-CHAP也是一種加密驗證機制。

同 CHAP一樣，使用MS-CHAP時(shí)，NAS會(huì )向遠程客戶(hù)發(fā)送一個(gè)含有會(huì )話(huà)ID和任意生成的挑戰字串的挑戰口令。

遠程客戶(hù)必須返回用戶(hù)名以及經(jīng)過(guò) MD4 哈西算法加密的挑戰字串，會(huì )話(huà)ID和用戶(hù)口令的MD4哈西值。

采用這種方式服務(wù)器端將只存儲經(jīng)過(guò)哈西算法加密的用戶(hù)口令而不是明文口令，這樣就能夠提供進(jìn)一步的安全保障。

此外，MS-CHAP同樣支持附加的錯誤編碼，包括口令過(guò)期編碼以及允許用戶(hù)自己修改口令的加密的客戶(hù)-服務(wù)器附加信息。

使用MS-CHAP，客戶(hù)端和NAS雙方各自生成一個(gè)用于隨后數據加密的起始密鑰。

MS-CHAP使用基于MPPE 的數據加密，這一點(diǎn)非常重要，可以解釋為什么啟用基于MPPE的數據加密時(shí)必須進(jìn)行MS-CHAP驗證。

EAP是由IETF提出的PPP協(xié)議的擴展，允許連接使用任意方式對一條PPP連接的有效性進(jìn)行驗證。EAP支持在一條連接的客戶(hù)和服務(wù)器兩端動(dòng)態(tài)加入驗證插件模塊。

交易層安全協(xié)議（EAP-TLS）已經(jīng)作為提議草案提交給IETF，用于建立基于公用密鑰證書(shū)的強大的驗證方式。

使用EAP-TLS，客戶(hù)向撥入服務(wù)器發(fā)送一份用戶(hù)方證書(shū)，同時(shí)，服務(wù)器把服務(wù)器證書(shū)發(fā)送給客戶(hù)。用戶(hù)證書(shū)向服務(wù)器提供了強大的用戶(hù)識別信息；服務(wù)器證書(shū)保證用戶(hù)已經(jīng)連接到預期的服務(wù)器。

用戶(hù)方證書(shū)可以被存放在撥號客戶(hù) PC 中，或存放在外部智能卡中。無(wú)論哪種方式，如果用戶(hù)不能提供沒(méi)有一定形式的用戶(hù)識別信息（PIN 號或用戶(hù)名和口令），就無(wú)法訪(fǎng)問(wèn)證書(shū)。

在第2階段PPP鏈路配置階段，NAS收集驗證數據然后對照自己的數據庫或中央驗證數據庫服務(wù)器（位于NT主域控制器或遠程驗證用戶(hù)撥入服務(wù)器）驗證數據的有效性。

階段3：PPP回叫控制。微軟設計的PPP包括一個(gè)可選的回叫控制階段。該階段在完成驗證之后使用回叫控制協(xié)議（CBCP）如果配置使用回叫，那么在驗證之后遠程客戶(hù)和 NAS之間的連接將會(huì )被斷開(kāi)。

然后由NAS使用特定的電話(huà)號碼回叫遠程客戶(hù)。這樣可以進(jìn)一步保證撥號網(wǎng)絡(luò )的安全性。NAS只支持對位于特定電話(huà)號碼處的遠程客戶(hù)進(jìn)行回叫。

階段4：調用網(wǎng)絡(luò )層協(xié)議。在以上各階段完成之后，PPP將調用在鏈路創(chuàng )建階段（階段1）選定的各種網(wǎng)絡(luò )控制協(xié)議（NCP）。

例如，在該階段IP控制協(xié)議（IPCP）可以向撥入用戶(hù)分配動(dòng)態(tài)地址。在微軟的PPP方案中，考慮到數據壓縮和數據加密實(shí)現過(guò)程相同，所以共同使用壓縮控制協(xié)議協(xié)商數據壓縮（使用MPPC）和數據加密（使用MPPE）。

一旦完成上述4階段的協(xié)商，PPP就開(kāi)始在連接對等雙方之間轉發(fā)數據。每個(gè)被傳送的數據報都被封裝在PPP包頭內，該包頭將會(huì )在到達接收方之后被去除。

如果在階段1選擇使用數據壓縮并且在階段4完成了協(xié)商，數據將會(huì )在被傳送之前進(jìn)行壓縮。

類(lèi)似的，如果如果已經(jīng)選擇使用數據加密并完成了協(xié)商，數據（或被壓縮數據）將會(huì )在傳送之前進(jìn)行加密。

三、常見(jiàn)的隧道協(xié)議

1、點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）

PPTP是一個(gè)第2層的協(xié)議，將PPP數據幀封裝在IP數據報內通過(guò)IP網(wǎng)絡(luò )，如Internet傳送。PPTP還可用于專(zhuān)用局域網(wǎng)絡(luò )之間的連接。

RFC草案“點(diǎn)對點(diǎn)隧道協(xié)議”對PPTP協(xié)議進(jìn)行了說(shuō)明和介紹。該草案由 PPTP論壇的成員公司，包括微軟、Ascend、3Com和ECI 等公司在1996年6月提交至IETF。

PPTP使用一個(gè)TCP連接對隧道進(jìn)行維護，使用通用路由封裝（GRE）技術(shù)把數據封裝成PPP數據幀通過(guò)隧道傳送�？梢詫Ψ庋bPPP幀中的負載數據進(jìn)行加密或壓縮。

2、第2層轉發(fā)（L2F）

L2F是Cisco公司提出隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號接入服務(wù)器，將撥號數據流封裝在PPP幀內通過(guò)廣域網(wǎng)鏈路傳送到 L2F服務(wù)器（路由器）。

L2F服務(wù)器把數據包解包之重新注入（Inject）網(wǎng)絡(luò )。與PPTP和L2TP不同，L2F沒(méi)有確定的客戶(hù)方。應當注意L2F只在強制隧道中有效。

3、第2層隧道協(xié)議（L2TP）

L2TP結合了PPTP和L2F協(xié)議。設計者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢。L2TP是一種網(wǎng)絡(luò )層協(xié)議，支持封裝的PPP幀在IP、X.25、幀中繼或ATM等的網(wǎng)絡(luò )上進(jìn)行傳送。

當使用IP作為L(cháng)2TP的數據報傳輸協(xié)議時(shí)，可以使用 L2TP作為Internet上的隧道協(xié)議。L2TP還可以直接在各種 WAN媒介上使用而不需要使用IP傳輸層。

RFC“第2層隧道協(xié)議”對 L2TP 進(jìn)行了說(shuō)明和介紹。該文檔于 1998年1月被提交至 IETF。

IP網(wǎng)上的L2TP使用UDP和一系列的L2TP消息對隧道進(jìn)行維護。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP幀通過(guò)隧道發(fā)送。

可以對封裝在PPP幀中的負載數據進(jìn)行加密或壓縮。

PPTP 和 L2TP 都使用 PPP 協(xié)議對數據進(jìn)行封裝，然后添加附加包頭用于數據在互聯(lián)網(wǎng)絡(luò )上的傳輸。盡管兩個(gè)協(xié)議非常相似，但是仍存在以下幾方面的不同：

PPTP要求互聯(lián)網(wǎng)絡(luò )為IP網(wǎng)絡(luò )。L2TP只要求隧道媒介提供面向數據包的點(diǎn)對點(diǎn)的連接。L2TP可以在IP（使用UDP）、幀中繼永久虛擬電路（PVC）、X.25虛擬電路（VC）或ATM VC網(wǎng)絡(luò )上使用。

PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP，用戶(hù)可以針對不同的服務(wù)質(zhì)量創(chuàng )建不同的隧道。

L2TP可以提供包頭壓縮。當壓縮包頭時(shí)，系統開(kāi)銷(xiāo)（overhead）占用4字節，而PPTP協(xié)議下要占用6字節。

L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時(shí)，可以由IPSEC提供隧道驗證，不需要在第2層協(xié)議上驗證隧道。

因為第2層隧道協(xié)議（PPTP和L2TP）以完善的PPP協(xié)議為基礎，因此繼承了一整套的特性。

用戶(hù)驗證。

令牌卡（Token Card）支持。通過(guò)使用擴展驗證協(xié)議（EAP），第2層隧道協(xié)議能夠支持多種驗證方法，包括一次性口令（One-Time Password）、加密計算器（Cryptographic Calculator）和智能卡等。

動(dòng)態(tài)地址分配。第2層隧道協(xié)議支持在網(wǎng)絡(luò )控制協(xié)議（NCP）協(xié)商機制的基礎上動(dòng)態(tài)分配客戶(hù)地址。

第 3 層隧道協(xié)議通常假定隧道建立之前已經(jīng)進(jìn)行了地址分配。目前IPSEC隧道模式下的地址分配方案仍在開(kāi)發(fā)之中。

數據壓縮。第 2層隧道協(xié)議支持基于 PPP的數據壓縮方式。例如，微軟的 PPTP和L2TP方案使用微軟點(diǎn)對點(diǎn)加密協(xié)議（MPPE）。

IETP正在開(kāi)發(fā)應用于第3層隧道協(xié)議的類(lèi)似數據壓縮機制。

數據加密。第2層隧道協(xié)議支持基于PPP的數據加密機制。微軟的PPTP方案支持在RSA/RC4算法的基礎上選擇使用MPPE。

密鑰管理。作為第2層協(xié)議的MPPE依靠驗證用戶(hù)時(shí)生成的密鑰，定期對其更新。

多協(xié)議支持。第2層隧道協(xié)議支持多種負載數據協(xié)議，從而使隧道客戶(hù)能夠訪(fǎng)問(wèn)使用IP、IPX，或NetBEUI等多種協(xié)議企業(yè)網(wǎng)絡(luò )。