VPN提供了安全、可靠的互联网访问通道,确保了使用公共基础设施的通信不是以牺牲数据的安全性为代价。越来越多的商业活动通过VPN进行管理,全球化的企业使得VPN发展极具潜力。其实现主要依靠隧道技术,其中的L2TP技术结合了L2F和PPTP的优点,身份认证机制和密钥管理采用简单点到点的隧道验证和预共享秘密的方法,根本无法扩展,也缺乏相应的信任关系和层次划分,不能提供更好的隐私保护。本文综合分析了VPN的实现办法,重点描述了L2TP的工作过程,介绍了Kara的Meet-In-The-middle方案NAT穿透解决办法。由于L2TP中断开连接存在缺陷,阐述了StopCCN和PPP LCP终止等几种攻击办法。根据L2TP的重发机制,提出了一种L2TP性能自适应调节算法,其降低了隧道建立的时间,使其传输更均匀,可以提供更好的QoS要求。根据L2TP需要一种不依靠IPsec的隧道保护机制,首先使用数字证书来扩充了L2TP下的VPN,提出了CA和对称路由器的方案,解决了L2TP隧道内多路呼叫各自独立安全的问题,对协议架构和IKE的密钥协商进行了改进。为了满足VPN中的信任问题,形式化描述与定义了该L2TP方案下的群信任模型,给出了其相应的四条基本安全原则,提出了SSM中心的概念,设计了信任传递过程把静态的安全等级和信任度等信息安全地发送到VPN的各个节点,任意节点都可以验证与路由器之间的信任关系,从而在我们方案的基础上建立一个可信的VPN框架,同其他方案进行了安全性能的比较。最后对新方案中的L2TP路由器,根据Linux下Netfliter的特点,进行了架构的设计,详细阐述了各个模块的功能以及它们之间进行互操作的方法。最后比较了各开源VPN方案的操作复杂性、带宽利用和网络延迟,分析了方案的性能特点。