VPN协议
Windows 2000远程访问服务器与客户端支持两种针对远程访问VPN连接VPN协议：

• 端对端隧道协议
• 第二层隧道协议

端对端隧道协议
端对端隧道协议（PPTP）是Windows NT 4.0中首先提供支持的隧道协议。PPTP是对端对端协议（PPP）的一种扩展，它采用了PPP所提供的身份验证、压缩与加密机制。PPTP能够随TCP/IP协议一道自动进行安装。PPTP与Microsoft端对端加密（MPPE）技术提供了用以对保密数据进行封装与加密的首要VPN服务。

一个PPP帧（一个IP或IPX数据包）将通过通用路由封装（Generic Routing Encapsulation，GRE）报头和IP报头进行封装。IP报头中提供了与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。

MPPE将通过由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密。为对PPP帧中所包含的有效数据进行加密，虚拟专用网络客户端必须使用MS-CHAP、MS-CHAP v2或EAP-TLS身份验证协议。PPTP将利用底层PPP加密功能并直接对原先经过加密的PPP帧进行封装。

图4显示了针对PPP帧的PPTP封装与加密方式。

如果您所使用的浏览器产品不支持嵌入式框架， 请点击此处以便在独立页面中进行浏览。
图4 针对PPP帧的PPTP封装与加密方式

第二层隧道协议
第二层隧道协议（L2TP）是一种Internet工程任务组（IETF）标准隧道协议。与PPTP不同，Windows 2000所支持的L2TP协议并非利用MPPE对PPP帧进行加密。L2TP依靠Internet协议安全性（IPSec）技术提供加密服务。L2TP与IPSec的结合产物称为L2TP/IPSec。VPN客户端与VPN服务器都必须支持L2TP和IPSec。L2TP将随同路由与远程访问服务一道自动进行安装。

L2TP/IPSec提供了针对保密数据进行封装与加密的首要VPN服务。

在IPSec数据包基础上所进行的L2TP封装由两个层次组成：

• L2TP封装： PPP帧（IP或IPX数据包）将通过L2TP报头和UDP报头进行封装。
• IPSec封装： 上述封装后所得到的L2TP报文将通过IPSec封装安全性有效载荷（ESP）报头、用以提供消息完整性与身份验证的IPSec身份验证报尾以及IP报头再次进行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。IPSec加密机制将通过由IPSec身份验证过程所生成的加密密钥对L2TP报文进行加密。

图5显示了针对PPP数据报的L2TP/IPSec封装与加密方式。

如果您所使用的浏览器产品不支持嵌入式框架， 请点击此处以便在独立页面中进行浏览。
图5 针对PPP数据报的L2TP/IPSec封装与加密方式