【正确答案】 B

【答案解析】本题考查VPN协议方面的基本知识。
VPN是一门网络新技术，提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。与普通网络连接一样，VPN也由客户机、传输介质和服务器3部分组成，不同的是VPN连接使用隧道作为传输通道，这个隧道是建立在公共网络或专用网络基础之上的，如Internet或Intranet。
VPN可以实现不同网络的组件和资源之间的相互连接，利用Internet或其他公共互联网络的基础设施为用户创建隧道，并提供与专用网络一样的安全和功能保障。VPN允许远程通信方、销售人员或企业分支机构使用Internet等公共互联网络的路由基础设施以安全的方式与位于企业局域网端的企业服务器建立连接。VPN对用户端透明，用户好像使用一条专用线路在客户计算机和企业服务器之间建立点对点连接，进行数据的传输。
VPN技术同样支持企业通过Internet等公共互联网络与分支机构或其他公司建立连接，进行安全的通信。这种跨越Internet建立的VPN连接在逻辑上等同于两地之间使用广域网建立的连接。
使用VPN技术可以解决在当今远程通信量日益增大，企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通信的问题。
1．VPN的关键技术
一个完整的VPN技术方案中包括VPN隧道技术、密码技术和QoS机制。
(1)隧道技术就是一种数据封装协议，即将一种协议封装在另一种协议中传输，从而实现被封装协议对封装协议的透明性。常见的隧道技术可以根据其工作的层次分为两类：一是“二层隧道技术”，包括PPP基础上的PPTP(点到点隧道协议)和L2F(二层转发协议)、L2TP(二层隧道协议)；二是“三层隧道技术”，主要代表是IPSec(IP层安全协议，它是IPv4和IPv6的安全标准)、移动IP协议和虚拟隧道协议。
(2)密码技术：在VPN中采用的密码技术包括加解密、身份认证、密钥管理等。
(3)QoS机制：包括RSVP(资源预留协议)、SBM(子网带宽管理)。
2．PPTP
在逻辑上延伸了PPP会话，从而形成了虚拟的远程拨号。在协议实现时，使用了与PPP相同的认证机制，包括扩展身份认证协议(Extensible Authentication Protocol, EAP)、MS-CHAP(微软询问握手认证协议)、CHAP(询问握手认证协议)、SPAP(Shiva口令字认证协议)、PAP(口令字认证协议)。另外，在Windows 2000中，PPP使用了MPPE(微软点对点加密技术)进行加密，因此必须采用EAP或MS-CHAP身份认证技术。
3．L2F/L2TP
L2F(Level 2 Forwarding protocol，第二层转发协议)可以在多种介质上建立多协议的安全VPN通信方式，它将链路层的协议封装起来，以使网络的链路层完全独立于用户的链路层协议。
L2TP(Laver 2 Tunneling Protocol，第二层隧道协议)是PPTP和L2F结合的产物。L2TP协议将PPP帧封装后，可以通过IP、X.25、FR或ATM进行转输。创建L2TP隧道时必须使用与PPP连接相同的认证机制，它结合了L2F和PPTP的优点，可以让用户从客户端或接入服务器端发起VPN连接。
4．GRE
GRE是VPN的第三层隧道协议，即在协议层之间采用了隧道技术。这种技术是在IP数据包的外面再加上一个IP头。通俗地说，就是把私有数据进行一下伪装，加上一个“外套”，传送到其他地方。因为企业私有网络的IP地址通常是自己规划，无法和外部互联网进行正确的路由。而在企业网络的出口，通常会有一个互联网唯一的IP地址。这个地址可以在互联网中唯一识别出来。GRE就是把目的IP地址和源地址为企业内部地址的数据报文进行封装，加上一个目的地址为远端机构互联网出口的IP地址，NINON本地互联网出口的口地址的口头，从而通过互联网进行正确的传输。GRE是最简单的VPN技术。
5．IPSec
IPSec是包括安全协议、密钥管理协议、安全关联、认证和加密算法4部分构成的安全结构。安全协议在IP协议中增加两个基于密码的安全机制——认证头(AH)和封装安全载荷(ESP)，前者支持了IP数据项的可认证性和完整性，后者实现了通信的机密性。密钥管理协议(密钥交换手工和自动IKE)定义了通信实体间身份认证、创建安全关联、协商加密算法、共享会话密钥的方法。
(1)AH：是一段报文认证代码，在发送IP包之前已计算好。发送方用加密密钥计算出AH，接收方用同一(私钥体制)或另一密钥(公钥体制)对其进行验证。
(2)ESP：对整个IP包进行封装加密，通常使用DES算法。
6．MPLS VPN
MPLS VPN是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络，可用来构造宽带的Intranet、Extranet，满足多种灵活的业务需求。
7．VPDN
VPDN是基于拨号接入(PSTN、ISDN)的虚拟专用拨号网业务，可用于跨地域集团企业内部网、专业信息服务提供商专用网、金融大众业务网、银行存取业务网等业务。
VPDN采用专用的网络安全和通信协议，可以使企业在公共网络上建立相对安全的虚拟专网。VPN用户可以经过公共网络，通过虚拟的安全通道和用户内部的用户网络进行连接，而公共网络上的用户则无法穿过虚拟通道访问用户网络内部资源。
VPN实现安全保证的主要措施之一是对发送的数据帧的载荷部分加密。
L2TP与PPTP是VPN的两种代表性协议，其区别有以下几点：
(1)PPTP要求互连网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP)、帧中继永久虚拟电路(PVCs)、X.25虚拟电路(VCs)或ATMVCs网络上使用。
(2)PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道。
(3)L2TP可以提供包头压缩。当压缩包头时，系统开销(Overhead)占用4个字节，而PPTP协议下要占用6个字节。
(4)L2TP可以提供隧道验证，而PPTP则不支持隧道验证。

【正确答案】 C