【正文】 所有服務(wù)器均采用跨接的方式連接在這兩臺(tái)交換機(jī)上，確保在其一臺(tái)交換機(jī)出現(xiàn)問題時(shí)整個(gè)網(wǎng)絡(luò)系統(tǒng)可用。在兩臺(tái)核心交換之間使用 Fast Ether Channel，把多個(gè)物理鏈路捆綁成一個(gè)快速邏輯通道，從而提供了鏈路備份，當(dāng) Fast Ehter Channel 一個(gè)物理鏈路發(fā)生故障時(shí)，所有的數(shù)據(jù)都會(huì)從其他正常物理鏈路上進(jìn)行傳輸；同時(shí)也提供了更高的互聯(lián)帶寬。 模塊配置這兩臺(tái)核心交換機(jī)配置兩個(gè)相同 48 口千兆以太網(wǎng)模塊。所有引擎上都支持 Cisco IOS Software 和 Cisco Catalyst Operating System Software。高速?gòu)V域網(wǎng)接口提供與其它核心路由器兼容的高速?gòu)V域網(wǎng)、ATM 和 SONET 接口單一平臺(tái)實(shí)現(xiàn)廣域網(wǎng)匯聚以及園區(qū)網(wǎng)和城域連接管理。不需要部署外部設(shè)備，直接在 6509機(jī)箱內(nèi)部署集成式的千兆位的網(wǎng)絡(luò)服務(wù)模塊，以簡(jiǎn)化網(wǎng)絡(luò)管理，降低網(wǎng)絡(luò)的總體成本。（4）能夠適應(yīng)未來發(fā)展并保護(hù)投資的體系結(jié)構(gòu)在同一種機(jī)箱中支持三代可互換、可熱插拔的模塊，以提高 IT 基礎(chǔ)設(shè)施利用率，增大投資回報(bào)，并降低總體擁有成本；（5）卓越的服務(wù)集成和靈活性將安全和內(nèi)容等高級(jí)服務(wù)與融合網(wǎng)絡(luò)集成在一起，提供從 10/100 和 10/100/1000 以太網(wǎng)到萬兆以太網(wǎng)，從 DS0 到 OC48 的各種接口和密度，并能夠在任何部署項(xiàng)目中端到端地執(zhí)行。（2）全面的網(wǎng)絡(luò)安全性將切實(shí)可行的數(shù)千兆位級(jí)思科安全解決方案集成到現(xiàn)有網(wǎng)絡(luò)中，包括入侵檢測(cè)、防火墻、VPN 和 SSL。 網(wǎng)絡(luò)一級(jí)中心網(wǎng)絡(luò)安全方案實(shí)施 網(wǎng)絡(luò)核心交換區(qū)實(shí)施 交換機(jī)設(shè)備選型及指標(biāo)根據(jù)以上對(duì)網(wǎng)絡(luò)一級(jí)中心的安全設(shè)計(jì)，通過比較選擇，我們采用了思科公司的兩臺(tái) Cisco Catalyst 6509 交換機(jī)作為網(wǎng)絡(luò)一級(jí)中心的核心交換設(shè)備。使得病毒難以跨 VLAN 傳播；（5）采用網(wǎng)絡(luò)防病毒服務(wù)器，運(yùn)用網(wǎng)絡(luò)機(jī)制，實(shí)現(xiàn)服務(wù)器與客戶端病毒代碼的動(dòng)態(tài)實(shí)時(shí)升級(jí)；（6）對(duì)于 Unix, Windows 平臺(tái)，采用系統(tǒng)安全漏洞掃描，及時(shí)修補(bǔ)安全漏洞。嚴(yán)格規(guī)范好生產(chǎn)網(wǎng)的出入口，除了特定的受控的計(jì)算機(jī)外，禁止生產(chǎn)網(wǎng)上的計(jì)算機(jī)接入 Internet；（2）統(tǒng)一 OA 網(wǎng)和 Internet 之間的連接，OA 網(wǎng)的計(jì)算機(jī)必須通過代理服務(wù)器才能接入 Internet。一個(gè)方面需要建立完整的網(wǎng)絡(luò)防病毒機(jī)制，另一方面建立嚴(yán)格完善的防病毒管理規(guī)范。為了有效的防止內(nèi)部威脅，我們?cè)诤诵慕粨Q區(qū)域部署 IDS，監(jiān)測(cè)內(nèi)部所有分區(qū)的數(shù)據(jù)。（2）入侵檢測(cè)可按不同的方式實(shí)現(xiàn)，應(yīng)依據(jù)所要保護(hù)網(wǎng)絡(luò)的類型、采用的邊界防護(hù)系統(tǒng)和安全策略規(guī)定的保護(hù)級(jí)別來決定采用哪種實(shí)現(xiàn)方法?？梢詫?duì)生產(chǎn)外聯(lián)區(qū)域和辦公區(qū)域的阻塞點(diǎn)進(jìn)行 IDS 控制對(duì)阻塞點(diǎn)的 IP 地址進(jìn)行流量分析[46]。它們可以監(jiān)視任何定義好的流量。 網(wǎng)絡(luò)一級(jí)中心入侵檢測(cè)系統(tǒng)設(shè)計(jì)IDS 掃描當(dāng)前網(wǎng)絡(luò)的活動(dòng)，監(jiān)視和記錄網(wǎng)絡(luò)的流量，根據(jù)生產(chǎn)服務(wù)區(qū)、MIS（信息服務(wù)）區(qū)、運(yùn)行管理區(qū)、開發(fā)測(cè)試區(qū)和辦公區(qū)的安全等級(jí)的不同，定義不同地規(guī)則來過濾流量，提供實(shí)時(shí)報(bào)警。對(duì)于內(nèi)部訪問 Internet 的資源，可以通過具有代理功能的防火墻或者代理服務(wù)器進(jìn)行理和控制；防火墻提供自內(nèi)而外的 NAT 地址轉(zhuǎn)換，隱蔽內(nèi)網(wǎng)的拓?fù)浣Y(jié)構(gòu)，也防止外部的用戶對(duì)內(nèi)部資源的訪問；在防火墻上可以限定被訪問的 Internet 資源，例如針對(duì)敏感 URL 地址，內(nèi)容進(jìn)行過濾；只有授權(quán)的用戶才能合法的訪問內(nèi)部資源(使用防火墻的認(rèn)證技術(shù)校驗(yàn)用戶身份)；通過防火墻限定撥號(hào)用戶由外而內(nèi)的可訪問的資源；撥號(hào)用戶通過 VPN 加密方式訪問內(nèi)網(wǎng)資源，保證數(shù)據(jù)傳輸?shù)陌踩?。該區(qū)域考慮到 OA 網(wǎng)辦公時(shí)使用 Internet 的需要，OA 網(wǎng)的服務(wù)器需要開通收發(fā)郵件的服務(wù)，而 OA 網(wǎng)的計(jì)算機(jī)必須通過代理服務(wù)接入 Internet，禁止在內(nèi)網(wǎng)直接撥號(hào)接入 Internet。四是生產(chǎn)外聯(lián)區(qū)域（合作伙伴）防火墻。三是辦公業(yè)務(wù)虛擬防火墻。因此運(yùn)行管理主機(jī)區(qū)域的安全級(jí)別設(shè)置為 75，更高安全級(jí)別的所有區(qū)域安全級(jí)都設(shè)為 100，外聯(lián)區(qū)安全級(jí)別設(shè)為 0，并且本防火墻內(nèi)不允許相同級(jí)別的安全區(qū)域之間相互通信。這個(gè)虛擬防火墻中只會(huì)存在兩種流量，一種是在管理實(shí)施主機(jī)與更高安全級(jí)別的被管設(shè)備之間的流量；一種是在管理實(shí)施主機(jī)與較低安全級(jí)別的被管設(shè)備之間的流量。因?yàn)楣芾砹髁勘仨毮軌虻竭_(dá)所有的安全區(qū)域，對(duì)相應(yīng)安全區(qū)域內(nèi)的主機(jī)、應(yīng)用和網(wǎng)絡(luò)設(shè)備實(shí)施管理。運(yùn)行管理虛擬防火墻涉及的安全分區(qū)安全級(jí)別定義如表 。外聯(lián)區(qū)（外聯(lián)合作伙伴）—用于連接核心交換機(jī)的多層交換引擎，實(shí)現(xiàn)外網(wǎng)與各個(gè)被保護(hù)網(wǎng)段之間的通信[45]。（1）根據(jù)不同的虛擬防火墻定義各個(gè)安全分區(qū)級(jí)別的高低一是生產(chǎn)虛擬防火墻。 網(wǎng)絡(luò)一級(jí)中心防火墻設(shè)計(jì)圖在上述所設(shè)計(jì)的防火墻策略中，主要做以下幾點(diǎn)考慮：定義每個(gè)防火墻中各個(gè)區(qū)域的安全級(jí)別，在Cisco 防火墻中，安全級(jí)別的定義是從0到100，其中0的安全級(jí)別最低，100的安全級(jí)別最高。（5）VPN 接入防火墻為來之外部網(wǎng)絡(luò)的用戶提供安全的 L2TP VPN 和 IPSec VPN 接入。遠(yuǎn)程設(shè)備將不會(huì)知道核心網(wǎng)絡(luò)的布局以及 IP 地址等這些重要的信息。通過 NAT 技術(shù)對(duì)于外部網(wǎng)隱藏了核心網(wǎng)絡(luò)系統(tǒng)的重要信息增強(qiáng)保密性。優(yōu)秀日志策略是保證適當(dāng)數(shù)據(jù)中心網(wǎng)絡(luò)安全的有效工具之一。（3）記錄外部網(wǎng)絡(luò)活動(dòng)防火墻進(jìn)行強(qiáng)制日志記錄，開啟警報(bào)功能。（2）創(chuàng)建一個(gè)阻塞點(diǎn)（設(shè)置網(wǎng)絡(luò)邊界）防火墻在中心的各個(gè)區(qū)域之間各建立一個(gè)阻塞點(diǎn)，要求所有的流量都要通過阻塞點(diǎn)，防火墻設(shè)備就可以監(jiān)視，過濾和檢查所有進(jìn)來和出去的流量。首先限制所有的訪問[44]，然后，再開啟需要的訪問。通過防火墻來保護(hù)整個(gè)核心網(wǎng)絡(luò)的安全，防止非法連接，實(shí)現(xiàn)以下功能：（1）實(shí)現(xiàn)數(shù)據(jù)中心的安全策略防火墻的主要意圖是強(qiáng)制執(zhí)行我們需要的安全策略。 網(wǎng)絡(luò)一級(jí)中心VLAN劃分?jǐn)?shù)據(jù)庫服務(wù)器和MIS系統(tǒng)服務(wù)器通過 HACMP 群集技術(shù)構(gòu)成一個(gè)雙機(jī)互備系統(tǒng)，劃分在VLAN20中；應(yīng)用服務(wù)器和數(shù)據(jù)備份服務(wù)器通過HACMP群集技術(shù)構(gòu)成一個(gè)雙機(jī)互備系統(tǒng)，劃分在VLAN18中；測(cè)試服務(wù)器和事后監(jiān)督服務(wù)器通過HACMP群集技術(shù)構(gòu)成一個(gè)雙機(jī)互備系統(tǒng)，劃分在VLAN22中；金融平臺(tái)服務(wù)器通過HACMP群集技術(shù)構(gòu)成一個(gè)雙機(jī)互備系統(tǒng)，劃分在VLAN6 中；后臺(tái)維護(hù)服務(wù)器劃分在VLAN7中；網(wǎng)絡(luò)管理服務(wù)器劃分在VLAN5中。 網(wǎng)絡(luò)一級(jí)中心 VLAN 的劃分對(duì)網(wǎng)絡(luò)一級(jí)中心VLAN的劃分，遵循以下原則：一是將不同風(fēng)險(xiǎn)程度的區(qū)域劃入不同的VLAN；二是同一個(gè)應(yīng)用系統(tǒng)劃分到同一個(gè)VLAN中；三是VLAN之間的通信應(yīng)通過防火墻或者是路由器等安全設(shè)備進(jìn)行訪問控制；四是VLAN之間要禁止NETBEUI等局域網(wǎng)協(xié)議，僅開放系統(tǒng)運(yùn)行所必需的TCP/IP端口，對(duì)FTP(21), Telnet(23)等端口，必須嚴(yán)格控制。所以，對(duì)應(yīng)的虛擬安全機(jī)制不但可以支撐一般防火墻的各種功能，還能夠支撐 AAA 認(rèn)證。與此同時(shí)，運(yùn)行管理區(qū)可以對(duì)開發(fā)測(cè)試區(qū)的設(shè)施進(jìn)行管控分配。 開發(fā)測(cè)試區(qū)業(yè)務(wù)邏輯圖從圖中可以看出，開發(fā)測(cè)試區(qū)更具有單一性，而且該區(qū)域內(nèi)接受多次數(shù)據(jù)流互換，除非當(dāng)中間業(yè)務(wù)的開發(fā)測(cè)試人員要使用生產(chǎn)外聯(lián)區(qū)與合作伙伴測(cè)試中間業(yè)務(wù)的應(yīng)用交易的時(shí)候，其才會(huì)和其他部分進(jìn)行互換。借由兩臺(tái) Cisco Catalyst6509 集成的安全模塊做安全策略管控。（3）核心交換區(qū)該區(qū)域主要對(duì)整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)信息進(jìn)行互換。 MIS服務(wù)區(qū)業(yè)務(wù)邏輯圖從圖中能夠看出，生產(chǎn)服務(wù)區(qū)的相關(guān)數(shù)據(jù)信息都被MIS 服務(wù)區(qū)接收，其供給相關(guān)人員相應(yīng)的服務(wù)，由生產(chǎn)服務(wù)區(qū)的專用設(shè)備發(fā)起其與生產(chǎn)服務(wù)區(qū)之間的全部數(shù)據(jù)流；運(yùn)行管理區(qū)對(duì)其設(shè)備實(shí)施維護(hù)管控；與此同時(shí)，MIS 服務(wù)區(qū)借由廣域網(wǎng)區(qū)服務(wù)于縣級(jí)聯(lián)社工作人員。安全級(jí)別定義：安全等級(jí)高于其他所有區(qū)域；訪問控制定義：同意廣域網(wǎng)區(qū)的柜面業(yè)務(wù)前置機(jī)和生產(chǎn)外聯(lián)區(qū)的中間業(yè)務(wù)前置機(jī)借由虛擬防火墻訪問業(yè)務(wù)主機(jī)的特定端口，使服務(wù)項(xiàng)目完成；同意專用設(shè)備穿越防火墻，連接MIS 服務(wù)區(qū)報(bào)表服務(wù)器的專項(xiàng)應(yīng)用端口，使相關(guān)數(shù)據(jù)信息的分派完成；同時(shí)，同意運(yùn)行管控區(qū)的工作站穿越虛擬防火墻對(duì)生產(chǎn)服務(wù)區(qū)的設(shè)備加以維護(hù)管控。 生產(chǎn)服務(wù)區(qū)業(yè)務(wù)邏輯圖從圖中可以看出，生產(chǎn)服務(wù)區(qū)和廣域網(wǎng)區(qū)、生產(chǎn)外聯(lián)區(qū)產(chǎn)生雙向業(yè)務(wù)關(guān)聯(lián)，生產(chǎn)服務(wù)區(qū)能夠向 MIS 服務(wù)區(qū)傳輸單向業(yè)務(wù)信息，運(yùn)行管控區(qū)域可以對(duì)生產(chǎn)服務(wù)區(qū)的設(shè)施加以單向分派。 網(wǎng)絡(luò)邏輯分區(qū)圖 其包括了加工服務(wù)區(qū)、生產(chǎn)外聯(lián)區(qū)、核心交換、MIS服務(wù)區(qū)、研發(fā)檢測(cè)區(qū)、廣域網(wǎng)區(qū)、辦公區(qū)和操作管控區(qū)。通過上述原則，將該系統(tǒng)劃分成以下區(qū)域，即研發(fā)檢測(cè)區(qū)域、生產(chǎn)外聯(lián)區(qū)域、生產(chǎn)應(yīng)用區(qū)域、信息（MIS）服務(wù)區(qū)、核心交換區(qū)、操作管控網(wǎng)絡(luò)區(qū)域、廣域網(wǎng)區(qū)域、辦公區(qū)域。第二，于相同的區(qū)域內(nèi)，使用統(tǒng)一的安全管控標(biāo)準(zhǔn)。 網(wǎng)絡(luò)一級(jí)中心安全分區(qū)設(shè)計(jì)整個(gè)網(wǎng)絡(luò)一級(jí)中心采用安全分區(qū)技術(shù)設(shè)計(jì)，換句話說，就是根據(jù)安全級(jí)別，對(duì)區(qū)域進(jìn)行劃分，每一個(gè)區(qū)域之間都有著差異性的防范策略。其通過相關(guān)信息，重新調(diào)整相應(yīng)的安全對(duì)策，并且強(qiáng)化安全防范。并且，廣域網(wǎng)區(qū)中將非專線的區(qū)域網(wǎng)絡(luò)采用 IPSec VPN。并且對(duì)接入核心交換區(qū)設(shè)備一定要傳送設(shè)備標(biāo)識(shí)和用戶標(biāo)識(shí)到3A 服務(wù)器上進(jìn)行認(rèn)證和評(píng)估，通過認(rèn)證和評(píng)估的，得到對(duì)應(yīng)的用戶級(jí)別，可以訪問預(yù)先設(shè)定的被允許訪問的網(wǎng)絡(luò)資源。其中，核心交換區(qū)是整個(gè)網(wǎng)絡(luò)的安全策略所在，在防火墻上面按照各個(gè)區(qū)域各自的安全要求，將各個(gè)區(qū)域接口設(shè)定不一樣的安全級(jí)別，規(guī)劃各自的應(yīng)對(duì)方式。 網(wǎng)絡(luò)一級(jí)中心網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)一級(jí)中心依照各自的功能和承載應(yīng)用，區(qū)分出正確的網(wǎng)絡(luò)邊界,劃定出八個(gè)不同的安全分區(qū)，并且植入IDS 系統(tǒng)， 所示[42]。三是使用入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)對(duì)網(wǎng)絡(luò)一級(jí)中心入侵行為進(jìn)行評(píng)估和檢測(cè)。主要安全設(shè)計(jì)為:一是依照合理網(wǎng)絡(luò)邊界區(qū)分原理, 使用虛擬防火墻技術(shù)，把整個(gè)網(wǎng)絡(luò)一級(jí)中心以各自的功能來劃分安全分區(qū)。多種應(yīng)用系統(tǒng) 、多種軟硬件平臺(tái)、多種通信協(xié)議融合在一起，組建成了一個(gè)巨大的網(wǎng)絡(luò)體系。 網(wǎng)絡(luò)一級(jí)中心網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)一級(jí)中心運(yùn)行的網(wǎng)絡(luò)應(yīng)用，其中包含后臺(tái)應(yīng)用系統(tǒng)、辦公業(yè)務(wù)OA 系統(tǒng)、各種聯(lián)機(jī)交易系統(tǒng)。第五，具有先進(jìn)性。第四，具有安全性。第三，易于控制。第二，具有開放性。平臺(tái)結(jié)構(gòu)一致，有助于各個(gè)應(yīng)用系統(tǒng)具有共同的規(guī)范標(biāo)準(zhǔn)，方便整理合并及集成。其網(wǎng)絡(luò)結(jié)構(gòu)如圖 。第4章 沂南縣農(nóng)村信用社信息系統(tǒng)網(wǎng)絡(luò)安全的設(shè)計(jì)和實(shí)現(xiàn) 沂南縣農(nóng)村信用社信息系統(tǒng)網(wǎng)絡(luò)平臺(tái)基本構(gòu)成根據(jù)前文中所設(shè)定的原則和相關(guān)分析，沂南縣農(nóng)村信用社要以均衡、安全、開放為基礎(chǔ)，針對(duì)金融市場(chǎng)的千變?nèi)f化，對(duì)現(xiàn)有的網(wǎng)絡(luò)系統(tǒng)進(jìn)行重新構(gòu)建，并且加強(qiáng)安全設(shè)置，融入加密功能，使系統(tǒng)不但具有靈活的實(shí)用性，還具有較高的安全性。因此，采用 56 位密鑰的 DES 算法已經(jīng)無法防止黑客入侵。現(xiàn)今，常采用的算法是三重 DES 算法。但是，所有的銀行的網(wǎng)絡(luò)系統(tǒng)在網(wǎng)絡(luò)傳送上都進(jìn)行了多次加密，所以，這一次對(duì)該信用社網(wǎng)絡(luò)系統(tǒng)改造時(shí)，必須將加密融入之中。 合理的加密措施截止到當(dāng)前，沂南縣農(nóng)村信用社現(xiàn)有整個(gè)網(wǎng)絡(luò)系統(tǒng)都沒有進(jìn)行任何安全防范措施。但是，還應(yīng)該加強(qiáng)相關(guān)的病毒防范對(duì)策，比如使用一些病毒查殺軟件，如瑞星、卡巴、賽門鐵克等。以認(rèn)證系統(tǒng)利用密鑰管理功能解決用戶數(shù)據(jù)的機(jī)密性及完整性保護(hù)的問題[38]。換句話說，也就是系統(tǒng)只會(huì)得知是哪些用戶來訪問過，但是卻無法獲悉其真實(shí)目的。應(yīng)用系統(tǒng)或網(wǎng)絡(luò)訪問的最基本的安全機(jī)制是對(duì)用戶的身份認(rèn)證， 證書的身份認(rèn)證技術(shù)與 SSL 技術(shù)為基礎(chǔ)，而加強(qiáng)安全的全新的對(duì)策。應(yīng)用系統(tǒng)完成網(wǎng)絡(luò)系統(tǒng)為用戶服務(wù)的宗旨。后者是以網(wǎng)絡(luò)系統(tǒng)為基礎(chǔ)，創(chuàng)建的服務(wù)軟件和硬件整體，比如電子郵件服務(wù)器、數(shù)據(jù)庫服務(wù)器、Web 服務(wù)器等。前者主要通過隔絕界面和合理運(yùn)用操作系統(tǒng)，從而使網(wǎng)絡(luò)安全不受侵襲，相關(guān)資料不被盜取。IPSec 規(guī)定 DES 算法的應(yīng)用方式必須是密碼塊鏈接(CBC)方式[37]。ESP為了使數(shù)據(jù)更具完整性，供給對(duì) IP 包的加密和一些認(rèn)證。而在 IPSec 傳送方式里，需要封裝的只有一些數(shù)據(jù)信息，其他的內(nèi)容，傳送時(shí)都不需要通過封裝。SA 商定之后確定是啟用保密、辨別和完整性功效，還是只開啟辨別功能[36]。由于SA 是單一方向運(yùn)行，所以要?jiǎng)?chuàng)建不同方向的SA。IPSec 運(yùn)行的時(shí)候，網(wǎng)絡(luò)設(shè)備必須就 SA形成統(tǒng)一。全新的密鑰交換約定提供可選的全安全關(guān)聯(lián)特性協(xié)商以及提供否認(rèn)、完善前向保密、非否認(rèn)的鑒別對(duì)策。ISAKMP 及 Oakley 二者相融，形成另一個(gè)不同的約定。Oakley 提供重要的完美的前向保密安全特性，它基于經(jīng)過大量公眾審查的密碼技術(shù)。盡管它無法進(jìn)行對(duì)話加密，但是其能夠和多個(gè)種類的對(duì)話密匙，共同建立約定，共同使用，比如 Oakley，供給全面的緩解措施于 Internet 密鑰管理。IPSec協(xié)議組還包括支持網(wǎng)絡(luò)層安全性密鑰管理要求的密碼技術(shù)。3. IP Security (IPSec)IPSec 是 Internet 工程任務(wù)組(IETF)為IP安全推薦的一個(gè)約定，也可以在L2TP 和 PPTP運(yùn)行。接收端路由器就把數(shù)據(jù)包從其局域網(wǎng)端口傳輸出去。接著，取消GRE 的包頭，檢測(cè)原數(shù)據(jù)包。在中間的公網(wǎng)中沒有任何與 時(shí)相關(guān)的信息。原數(shù)據(jù)包被打包進(jìn)一個(gè)源地址為 和目的地址 的數(shù)據(jù)包里。 GRE工作例圖當(dāng)來自 子網(wǎng)的數(shù)據(jù)包要發(fā)至子網(wǎng) 時(shí)，首先由路由器對(duì)數(shù)據(jù)包進(jìn)行接收，進(jìn)而檢測(cè)路由表，覺察可以通過通道通往 。校驗(yàn)和包括了 GRE 包頭和完整的乘客約定和信息；GRE 包頭中包含了約定種類用于標(biāo)明乘客約定的種類；序列號(hào)用于接收端數(shù)據(jù)包的排序和差錯(cuò)控制；密鑰用于接收端驗(yàn)證接收的數(shù)據(jù)；路由用于本數(shù)據(jù)包的路由[33]。它同意用戶采用IP 封裝 IP,IPX, AppleTalk 并支持全部的路由協(xié)議如 RIP,OSPF，IGRP, EIGRP。作為 PPP 的擴(kuò)展，L2TP 支持標(biāo)準(zhǔn) CHAP 和 PAP，可以對(duì)用戶身份信息加以辨別，向每一個(gè)建立的通道提供一個(gè)隨機(jī)密匙，從而加強(qiáng)風(fēng)險(xiǎn)防范，但是對(duì)于傳送的信息卻沒有密匙 [32]。供應(yīng)