VPN技术说明.docx

《VPN技术说明.docx》由会员分享，可在线阅读，更多相关《VPN技术说明.docx（9页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、VPN 技术具体说明一、引言虚拟专用网络可以实现不同网络的组件和资源之间的相互连接。虚拟专用网络能够利用Internet 或其它公共互联网络的根底设施为用户创立隧道，并供给与专用网络一样的安全和功能保障。虚拟专用网络允许远程通讯方，销售人员或企业分支机构使用Internet 等公共互联网络的路由根底设施以安全的方式与位于企业局域网端的企业效劳器建立连接。虚拟专用网络对用户端透亮，用户好象使用一条专用线路在客户计算机和企业效劳器之间建立点对点连接，进展数据的传输。虚拟专用网络技术同样支持企业通过Internet 等公共互联网络与分支机构或其它公司建立连接，进展安全的通讯。这种跨越 Interne

2、t 建立的 VPN 连接规律上等同于两地之间使用广域网建立的连接。虽然VPN 通讯建立在公共互联网络的根底上，但是用户在使用 VPN 时感觉如同在使用专用网络进展通讯，所以得名虚拟专用网络。使用 VPN 技术可以解决在当今远程通讯量日益增大，企业全球运作广泛分布的状况下，员工需要访问中心资源，企业相互之间必需进展准时和有效的通讯的问题。假设期望企业员工无论身处何地都能够与企业计算资源建立连接，企业必需承受一个牢靠性高、扩展性强的远程访问解决方案。一般的，企业有如下选择：治理信息系统MIS部门驱动方案。建立一个内部的 MIS 部门特地负责购置，安装和维护企业modem 池和专用网络根底设施。增值

3、网络VAN方案。企业雇佣一个外部公司负责购置，安装和维护modem 池和远程通讯网络根底设施。从费用，牢靠性，治理和便于连接等几方面来看，这两种方案都不能最大程度的满足企业对网络安全性或扩展性的要求。因此，选择一种基于Internet 技术的廉价方案取代企业花费在modem 池和专用网络根底设施上的投资就显得极为重要。二、虚拟专用网络的根本用途通过 Internet 实现远程用户访问虚拟专用网络支持以安全的方式通过公共互联网络远程访问企业资源。与使用专线拨打长途或1-800 连接企业的网络接入效劳器NAS不同，虚拟专用网络用户首先拨通本地ISP 的NAS，然后VPN 软件利用与本地ISP 建立

4、的连接在拨号用户和企业VPN 效劳器之间创立一个跨越Internet 或其它公共互联网络的虚拟专用网络。通过 Internet 实现网络互连可以承受以下两种方式使用VPN 连接远程局域网络。使用专线连接分支机构和企业局域网。不需要使用价格昂贵的长距离专用电路，分支机构和企业端路由器可以使用各自本地的专用线路通过本地的 ISP 连通 Internet。VPN 软件使用与当本地 ISP 建立的连接和 Internet 网络在分支机构和企业端路由器之间创立一个虚拟专用网络。使用拨号线路连接分支机构和企业局域网。不同于传统的使用连接分支机构路由器的专线拨打长途或1-800 连接企业 NAS 的方式，分

5、支机构端的路由器可以通过拨号方式连接本地ISP。VPN 软件使用与本地ISP 建立起的连接在分支机构和企业端路由器之间创立一个跨越Internet 的虚拟专用网络。应当留意在以上两种方式中，是通过使用本地设备在分支机构和企业部门与Internet 之间建立连接。无论是在客户端还是效劳器端都是通过拨打本地接入 建立连接，因此VPN 可以大大节约连接的费用。建议作为 VPN 效劳器的企业端路由器使用专线连接本地ISP。VPN 效劳器必需一天 24 小时对VPN 数据流进展监听。连接企业内部网络计算机在企业的内部网络中，考虑到一些部门可能存储有重要数据，为确保数据的安全性，传统的方式只能是把这些部门

6、同整个企业网络断开形成孤立的小网络。这样做虽然保护了部门的重要信息，但是由于物理上的中断，使其他部门的用户无法，造成通讯上的困难。承受VPN 方案，通过使用一台 VPN 效劳器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的 数据进展限制。使用 VPN 效劳器，但是企业网络治理人员通过使用VPN 效劳器，指定只有符合特定身份要求的用户才能连接VPN 效劳器获得访问敏感信息的权利。此外，可以对全部 VPN 数据进展加密，从而确保数据的安全性。没有访问权利的用户无法看到部门的局域网络。三、VPN 的根本要求一般来说，企业在选

7、用一种远程网络互联方案时都期望能够对访问企业资源和信息的要求加以掌握，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机 构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN 方案应当能够满足以下全部方面的要求：用户验证VPN 方案必需能够验证用户身份并严格掌握只有授权用户才能访问VPN。另外，方案还必需能够供给审计和记费功能，显示何人在何时访问了何种信息。地址治理VPN 方案必需能够为用户安排专用网络上的地址并确保地址的安全性。数据加密对通过公共互联网络传递的数据必需经过加密，确保网络其他未授权的用户无

8、法读取该信息。密钥治理VPN 方案必需能够生成并更客户端和效劳器的加密密钥。多协议支持VPN 方案必需支持公共互联网络上普遍使用的根本协议，包括IP，IPX 等。以点对点隧道协议PPTP或第 2 层隧道协议L2TP为根底的 VPN 方案既能够满足以上全部的根本要求，又能够充分利用普及世界各地的 Internet 互联网络的优势。其它方案，包括安全 IP 协议IPSec)，虽然不能满足上述全部要求，但是仍旧适用于在特定的环境。本文以下局部将主要集中争论有关VPN 的概念，协议，和部件component。四、隧道技术根底隧道技术是一种通过使用互联网络的根底设施在网络之间传递数据的方式。使用隧道传递

9、的 数据或负载可以是不同协议的数据桢此字不正确或包。隧道协议将这些其它协议的数据桢或包重封装在的包头中发送。的包头供给了路由信息，从而使封装的负载数据 能够通过互联网络传递。被封装的数据包在隧道的两个端点之间通过公共互联网络进展路由。被封装的数据包在公共互联网络上传递时所经过的规律路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。留意隧道技术是指包括数据封装，传输和解包在内的全过程。隧道所使用的传输网络可以是任何类型的公共互联网络，本文主要以目前普遍使用 Internet 为例进展说明。此外，在企业网络同样可以创立隧道。隧道技术在经过一段时间的进展和完善之后，目前较为成熟的技术包

10、括：IP 网络上的SNA 隧道技术当系统网络构造SystemNetworkArchitecture的数据流通过企业 IP 网络传送时，SNA 数据桢将被封装在UDP 和 IP 协议包头中。IP 网络上的NovellNetWareIPX 隧道技术当一个IPX 数据包被发送到NetWare 效劳器或IPX 路由器时，效劳器或路由器用 UDP 和 IP 包头封装 IPX 数据包后通过IP 网络发送。另一端的IP-TO-IPX 路由器在去除UDP 和 IP 包头之后，把数据包转发到IPX 目的地。近几年不断消灭了一些的隧道技术，本文将主要介绍这些技术。具体包括：点对点隧道协议PPTPPPTP 协议允许

11、对 IP，IPX 或 NetBEUI 数据流进展加密，然后封装在IP 包头中通过企业IP网络或公共互联网络发送。第 2 层隧道协议L2TPL2TP 协议允许对IP，IPX 或 NetBEUI 数据流进展加密，然后通过支持点对点数据报传递的任意网络发送，如IP，X.25，桢中继或ATM。安全 IPIPSec)隧道模式IPSec 隧道模式允许对IP 负载数据进展加密，然后封装在 IP 包头中通过企业IP 网络或公共IP 互联网络如Internet 发送。五、隧道协议为创立隧道，隧道的客户机和效劳器双方必需使用一样的隧道协议。隧道技术可以分别以第 2 层或第 3 层隧道协议为根底。上述分层依据开放系

12、统互联OSI 的参考模型划分。第 2 层隧道协议对应 OSI 模型中的数据链路层，使用桢作为数据交换单位。PPTP，L2TP 和 L2F第 2 层转发都属于第2 层隧道协议，都是将数据封装在点对点协议PPP桢中通过互联网络发送。第3 层隧道协议对应OSI 模型中的网络层，使用包作为数据交换单位。IP overIP 以及 IPSec 隧道模式都属于第 3 层隧道协议，都是将IP 包封装在附加的IP 包头中通过IP 网络传送。六、隧道技术如何实现对于象PPTP 和 L2TP 这样的第 2 层隧道协议，创立隧道的过程类似于在双方之间建立会话； 隧道的两个端点必需同意创立隧道并协商隧道各种配置变量，如

13、地址安排，加密或压缩等参 数。绝大多数状况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被 用来作为治理隧道的机制。第 3 层隧道技术通常假定全部配置问题已经通过手工过程完成。这些协议不对隧道进展维护。与第 3 层隧道协议不同，第 2 层隧道协议PPTP 和 L2TP必需包括对隧道的创立， 维护和终止。隧道一旦建立，数据就可以通过隧道发送。隧道客户端和效劳器使用隧道数据传输协议预备传输数据。例如，当隧道客户端向效劳器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的效劳器端。隧道效劳器端收到数据包之后

14、，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。七、隧道协议和根本隧道要求由于第 2 层隧道协议PPTP 和 L2TP以完善的 PPP 协议为根底，因此继承了一整套的特性。用户验证第 2 层隧道协议继承了 PPP 协议的用户验证方式。很多第 3 层隧道技术都假定在创立隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外状况是 IPSec 协议的ISAKMP 协商供给了隧道端点之间进展的相互验证。令牌卡Tokencard支持通过使用扩展验证协议EAP，第 2 层隧道协议能够支持多种验证方法，包括一次性口令one-timepassword)，加密计算器cryptographi

15、c calculator和智能卡等。第 3 层隧道协议也支持使用类似的方法，例如，IPSec 协议通过ISAKMP/Oakley 协商确定公共密钥证书验证。动态地址安排第 2 层隧道协议支持在网络掌握协议NCP协商机制的根底上动态安排客户地址。第 3 层隧道协议通常假定隧道建立之前已经进展了地址安排。目前 IPSec 隧道模式下的地址安排方案仍在开发之中。数据压缩第 2 层隧道协议支持基于PPP 的数据压缩方式。例如，微软的PPTP 和 L2TP 方案使用微软点对点加密协议MPPE。IETP 正在开发应用于第 3 层隧道协议的类似数据压缩机制。 数据加密第 2 层隧道协议支持基于PPP 的数据

16、加密机制。微软的PPTP 方案支持在RSA/RC4 算法的根底上选择使用MPPE。第3 层隧道协议可以使用类似方法，例如，IPSec 通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP 协议使用IPSec 加密保障隧道客户端和效劳器之间数据流的安全。密钥治理作为第 2 层协议的 MPPE 依靠验证用户时生成的密钥，定期对其更。IPSec 在 ISAKMP交换过程中公开协商公用密钥，同样对其进展定期更。多协议支持第 2 层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用 IP，IPX，或 NetBEUI等多种协议企业网络。相反，第 3 层隧道协议，如 IPSec

17、 隧道模式只能支持使用 IP 协议的目标网络。八、点对点协议由于第 2 层隧道协议在很大程度上依靠PPP 协议的各种特性，因此有必要对PPP 协议进展深入的探讨。PPP 协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP 协议将 IP，IPX 和 NETBEUI 包封装在 PP 桢内通过点对点的链路发送。PPP 协议主要应用于连接拨号用户和NAS。 PPP 拨号会话过程可以分成 4 个不同的阶段。分别如下：阶段 1：创立PPP 链路PPP 使用链路掌握协议LCP创立，维护或终止一次物理连接。在 LCP 阶段的初期，将对根本的通讯方式进展选择。应当留意在链路创立阶段，只是对验证协

18、议进展选择，用户验证将在第 2 阶段实现。同样，在 LCP 阶段还将确定链路对等双方是否要对使用数据压缩或加密进展协商。实际对数据压缩/加密算法和其它细节的选择将在第4 阶段实现。阶段 2：用户验证在第 2 阶段，客户会PC 将用户的身份明发给远端的接入效劳器。该阶段使用一种安全验证方式避开第三方窃取数据或冒充远程客户接收与客户端的连接。大多数的 PPP 方案只供给了有限的验证方式，包括口令验证协议PAP，挑战握手验证协议CHAP和微软挑战握手验证协议MSCHAP。口令验证协议PAPPAP 是一种简洁的明文验证方式。NAS 要求用户供给用户名和口令，PAP 以明文方式返回用户信息。很明显，这种

19、验证方式的安全性较差，第三方可以很简洁的猎取被传送的用户名和口令，并利用这些信息与 NAS 建立连接猎取NAS 供给的全部资源。所以，一旦用户密码被第三方窃取，PAP 无法供给避开受到第三方攻击的保障措施。挑战-握手验证协议CHAPCHAP 是一种加密的验证方式，能够避开建立连接时传送用户的真实密码。NAS 向远程用户发送一个挑战口令challenge，其中包括会话 ID 和一个任意生成的挑战字串arbitrarychallengestring。远程客户必需使用MD5 单向哈希算法one-wayhashingalgorithm返回用户名和加密的挑战口令，会话ID 以及用户口令，其中用户名以非哈

20、希方式发送。CHAP 对 PAP 进展了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进展加密。由于效劳器端存有客户的明文口令，所以效劳器可以重复客户端进展的操作，并将结果与用户返回的口令进展比照。CHAP 为每一次验证任意生成一个挑战字串来防止受到再现攻击replay attack).在整个连接过程中，CHAP 将不定时的向客户端重复发送挑战口令，从而避开第 3 方冒充远程客户remoteclient impersonation)进展攻击。微软挑战-握手验证协议MS-CHAP与 CHAP 相类似，MS-CHAP 也是一种加密验证机制。同CHAP 一样，使用MS-CHAP

21、 时， NAS 会向远程客户发送一个含有会话ID 和任意生成的挑战字串的挑战口令。远程客户必需返回用户名以及经过MD4 哈希算法加密的挑战字串，会话ID 和用户口令的MD4 哈希值。承受这种方式效劳器端将只存储经过哈希算法加密的用户口令而不是明文口令，这样就能够 供给进一步的安全保障。此外，MS-CHAP 同样支持附加的错误编码，包括口令过期编码以及允许用户自己修改口令的加密的客户-效劳器client-server)附加信息。使用 MS-CHAP， 客户端和NAS 双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP 使用基于MPPE 的数据加密，这一点格外重要，可以解释为什么启用基于

22、MPPE 的数据加密时必需进展MS-CHAP 验证。在第 2 阶段 PPP 链路配置阶段，NAS 收集验证数据然后比照自己的数据库或中心验证数据库效劳器位于NT 主域掌握器或远程验证用户拨入效劳器验证数据的有效性。阶段 3：PPP 回叫掌握callbackcontrol)微软设计的 PPP 包括一个可选的回叫掌握阶段。该阶段在完成验证之后使用回叫掌握协议CBCP假设配置使用回叫，那么在验证之后远程客户和 NAS 之间的连接将会被断开。然后由 NAS 使用特定的 号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS 只支持对位于特定 号码处的远程客户进展回叫。阶段 4：调用网络层协议在以

23、上各阶段完成之后，PPP 将调用在链路创立阶段阶段 1选定的各种网络掌握协议NCP).例如，在该阶段IP 掌握协议IPCP可以向拨入用户安排动态地址。在微软的PPP 方案中，考虑到数据压缩和数据加密实现过程一样，所以共同使用压缩掌握协议协商数据压缩使用MPPC和数据加密使用MPPE。九、数据传输阶段一旦完成上述 4 阶段的协商，PPP 就开头在连接对等双方之间转发数据。每个被传送的数据报都被封装在 PPP 包头内，该包头将会在到达接收方之后被去除。假设在阶段 1 选择使用数据压缩并且在阶段 4 完成了协商，数据将会在被传送之间进展压缩。类似的，假设假设已经选择使用数据加密并完成了协商，数据或被

24、压缩数据将会在传送之前进展加密。点对点隧道协议PPTPPPTP 是一个第 2 层的协议，将 PPP 数据桢封装在 IP 数据报内通过 IP 网络，如 Internet 传送。PPTP 还可用于专用局域网络之间的连接。RFC 草案“点对点隧道协议”对 PPTP 协议进行了说明和介绍。该草案由PPTP 论坛的成员公司，包括微软，Ascend，3Com，和 ECI 等公司在 1996 年 6 月提交至IETF。可在如下站点 :/ ietf.org :/ ietf.org参看草案的在线拷贝.PPTP 使用一个 TCP 连接对隧道进展维护，使用通用路由封装GRE技术把数据封装成PPP 数据桢通过隧道传送

25、。可以对封装 PPP 桢中的负载数据进展加密或压缩。图 7 所示为如何在数据传递之前组装一个PPTP 数据包。第 2 层转发L2FL2F 是 Cisco 公司提出隧道技术，作为一种传输协议 L2F 支持拨号接入效劳器将拨号数据流封装在PPP 桢内通过广域网链路传送到L2F 效劳器路由器。L2F 效劳器把数据包解包之重注入inject)网络。与 PPTP 和 L2TP 不同，L2F 没有确定的客户方。应当留意 L2F 只在强制隧道中有效。自愿和强制隧道的介绍参看“隧道类型”。第 2 层隧道协议L2TPL2TP 结合了PPTP 和 L2F 协议。设计者期望L2TP 能够综合PPTP 和 L2F 的

26、优势。L2TP 是一种网络层协议，支持封装的PPP 桢在 IP，X.25，桢中继或ATM 等的网络上进展传送。当使用IP 作为L2TP 的数据报传输协议时，可以使用L2TP 作为Internet 网络上的隧道协议。L2TP 还可以直接在各种 WAN 媒介上使用而不需要使用IP 传输层。草案 RFC“第 2 层隧道协议”对 L2TP 进展了说明和介绍。该文档于 1998 年 1 月被提交至 IETF。可以在以下网站 :/ ietf.org :/ ietf.org获得草案拷贝。IP 网上的 L2TP 使用 UDP 和一系列的 L2TP 消息对隧道进展维护。L2TP 同样使用 UDP 将L2TP 协

27、议封装的PPP 桢通过隧道发送。可以对封装PPP 桢中的负载数据进展加密或压缩。图 8 所示为如何在传输之前组装一个L2TP 数据包。PPTP 与 L2TPPPTP 和 L2TP 都使用 PPP 协议对数据进展封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议格外相像，但是仍存在以下几方面的不同：PPTP 要求互联网络为IP 网络。L2TP 只要求隧道媒介供给面对数据包的点对点的连接。L2TP 可以在 IP使用 UDP，桢中继永久虚拟电路PVCs),X.25 虚拟电路VCs或 ATM VCs网络上使用。PPTP 只能在两端点间建立单一隧道。L2TP 支持在两端点间使用多隧道。使用L

28、2TP，用户可以针对不同的效劳质量创立不同的隧道。L2TP 可以供给包头压缩。当压缩包头时，系统开销overhead占用 4 个字节，而 PPTP协议下要占用 6 个字节。L2TP 可以供给隧道验证，而PPTP 则不支持隧道验证。但是当L2TP 或 PPTP 与 IPSEC 共同使用时，可以由IPSEC 供给隧道验证，不需要在第 2 层协议上验证隧道。十、IPSec 隧道模式IPSEC 是第 3 层的协议标准，支持 IP 网络上数据的安全传输。本文将在“高级安全”一局部中对 IPSEC 进展具体的总体介绍，此处仅结合隧道协议争论IPSEC 协议的一个方面。除了对 IP 数据流的加密机制进展了规

29、定之外，IPSEC 还制定了IPoverIP 隧道模式的数据包格式，一般被称作 IPSEC 隧道模式。一个IPSEC 隧道由一个隧道客户和隧道效劳器组成，两端都配置使用IPSEC 隧道技术，承受协商加密机制。为实现在专用或公共 IP 网络上的安全传输，IPSEC 隧道模式使用的安全方式封装和加密整个 IP 包。然后对加密的负载再次封装在明文IP 包头内通过网络发送到隧道效劳器端。隧道效劳器对收到的数据报进展处理，在去除明文IP 包头，对内容进展解密之后，获的最初的负载 IP 包。负载IP 包在经过正常处理之后被路由到位于目标网络的目的地。IPSEC 隧道模式具有以下功能和局限： 只能支持IP

30、数据流工作在IP 栈IPstack的底层，因此，应用程序和高层协议可以继承IPSEC 的行为。由一个安全策略一整套过滤机制进展掌握。安全策略依据优先级的先后挨次创立可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的全部数据流都将使用双方协商的加密机制进展加密，然后封装在隧道包头内。关于 IPSEC 的具体介绍参看本文稍后的“高级安全”局部。十一、隧道类型1. 自愿隧道Voluntarytunnel)用户或客户端计算机可以通过发送VPN 恳求配置和创立一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。2. 强制隧道Com

31、pulsorytunnel由支持 VPN 的拨号接入效劳器配置和创立一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道效劳器之间的远程接入效劳器作为隧道客户端，成为 隧道的一个端点。目前，自愿隧道是最普遍使用的隧道类型。以下，将对上述两种隧道类型进展具体介绍。自愿隧道当一台工作站或路由器使用隧道客户软件创立到目标隧道效劳器的虚拟连接时建立自愿隧道。为实现这一目的，客户端计算机必需安装适当的隧道协议。自愿隧道需要有一条IP 连接通过局域网或拨号线路。使用拨号方式时，客户端必需在建立隧道之前创立与公共互联网络的拨号连接。一个最典型的例子是 Internet 拨号用户必需在

32、创立 Internet 隧道之前拨通本地ISP 取得与Internet 的连接。对企业内部网络来说，客户机已经具有同企业网络的连接，由企业网络为封装负载数据供给到目标隧道效劳器路由。大多数人误认为 VPN 只能使用拨号连接。其实，VPN 只要求支持 IP 的互联网络。一些客户机如家用PC可以通过使用拨号方式连接Internet 建立 IP 传输。这只是为创立隧道所做的初步预备，并不属于隧道协议。强制隧道目前，一些商家供给能够代替拨号客户创立隧道的拨号接入效劳器。这些能够为客户端计算机供给隧道的计算机或网络设备包括支持PPTP 协议的前端处理器FEP，支持 L2TP 协议的 L2TP 接入集线器

33、LAC或支持 IPSec 的安全 IP 网关。本文将主要以FEP 为例进展说明。为正常的发挥功能，FEP 必需安装适当的隧道协议，同时必需能够当客户计算机建立起连接时创立隧道。以 Internet 为例，客户机向位于本地ISP 的能够供给隧道技术的NAS 发出拨号呼叫。例如， 企业可以与某个 ISP 签定协议，由 ISP 为企业在全国范围内设置一套 FEP。这些 FEP 可以通过 Internet 互联网络创立一条到隧道效劳器的隧道，隧道效劳器与企业的专用网络相连。这样，就可以将不同地方合并成企业网络端的一条单一的Internet 连接。由于客户只能使用由 FEP 创立的隧道，所以称为强制隧道。一旦最初的连接成功，全部客户端的数据流将自动的通过隧道发送。使用强制隧道，客户端计算机建立单一的PPP 连接， 当客户拨入NAS 时，一条隧道将被创立，全部的数据流自动通过该隧道路由。可以配置 FEP 为全部的拨号客户创立到指定隧道效劳器的隧道，也可以配置 FEP 基于不同的用户名或目的地创立不同的隧道。自愿隧道技术为每个客户创立独立的隧道。FEP 和隧道效劳器之间建立的隧道可以被多个拨号客户共享，而不必为每个客户建立一条的隧道。因此，一条隧道中可能会传递多个客户的数据信息，只有在最终一个隧道用户断开连接之后才终止整条隧道。