《网络安全技术》课件第8章

第8章VPN技术8.1VPN概述

8.2VPN关键技术

8.3隧道协议与VPN实现

8.4WindowsServer2003系统中VPN

连接的设置习题

8.1VPN概

述

8.1.1VPN的概念

在现有的技术中，DDN技术虽然可以实现企业间互联，但租金昂贵；ADSL宽带虽然价格低廉，但它只能应用于企业接入Internet，不能实现企业间的互联。由于安全意识淡薄，缺乏应有的安全防范措施，因此非法入侵、对数据进行篡改和窃听等事件时有发生。虽然一些企业也采取了相应的安全措施如建立自己的防火墙等，但是据报道有1/3的防火墙已被黑客攻破，许多安全措施也形同虚设。为了防止非法用户进入内部网络对数据进行存取和窃听，必须认真验证对方身份，防止抵赖，以确保数据的真实性和完整性等安全问题得到保障。

为了能在访问Internet的同时实现企业互联，并保证接入费用低廉，人们提出了VPN技术。

VPN即虚拟专用网，顾名思义，虚拟专用网不是真的专用网络，但它却能够实现专用网络的功能。VPN被定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过公用网络的安全、稳定的隧道。通俗地讲，VPN就是利用公用网络来组建企业自己的网络，实现异地组网。虽然VPN建立在公共互联网络的基础上，但是用户在使用VPN时会感觉如同在使用专用网络进行通信。例如，有一家公司总部设在长沙(总部有多台应用服务器)，在暮云有一个办事处，都有局域网，都通过Internet上网，那么可以通过VPN技术在公网上为他们建立一条虚拟通道，暮云局域网的用户可以通过“网上邻居”访问长沙的总部服务器，感觉和在本地一样。

通常，可用VPN实现对企业内部网的扩展。当移动或远程用户通过拨号方式远程访问公司或企业内部专用网络的时候，采用传统的远程访问方式通信费用比较高，而且在与内部专用网络中的计算机进行数据传输时，不能保证通信的安全性。为了避免上述问题的发生，通过拨号与企业内部专用网络建立VPN连接是一个理想的选择。由于VPN是在公网上临时建立的安全专用虚拟网络，利用公网资源可实现企业专网的延续，因此用户节省了租用专线的费用；在运行资金的支出上，除了购买VPN设备外，企业所付出的仅仅是向企业所在地的ISP支付一定的上网费用，从而节省了长途电话费。这些都是VPN价格低廉的原因。总之，VPN就是要实现低成本的安全稳定互通。

VPN通过安全的数据通道将远程用户、公司各分支机构、公司的业务伙伴等和公司的企业网连接起来，就构成了一个扩展的公司企业网。可以说VPN是原有专线式企业专用广域网的替代方案，但VPN并没有改变原有广域网的某些特性(如支持多重协议、高可靠性及高扩充性等)，而是在降低成本的基础上来实现这些特性。VPN中的主机不会“察觉”到公网的存在，仿佛所有的主机都处于一个网络中，公网只由本网络独占使用，而事实上并非如此，所以称为虚拟专用网。

综上所述，虚拟专用网可以使远程用户、公司分支机构、商业伙伴和供应商等同公司的内部网建立可信的安全连接，并保证数据的安全传输。企业的虚拟专用网解决方案可以大幅度减少用户在城域网和远程网络连接上的花费，同时也会简化网络的设计和管理，并且便于增加新用户和网站。另外，虚拟专用网还可以保护现有的网络资源。随着用户的商业服务的不断发展，企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上。

8.1.2VPN的特点

1．安全保障

虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在非面向连接的公用IP网络上建立一个逻辑的、点对点的连接，称为建立一个隧道。可以利用加密技术对经过隧道传输的数据进行加密，以保证数据仅被指定的发送者和接收者了解，从而保证数据的私有性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保它在VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。特别地，ExtranetVPN将企业网扩展到合作伙伴和客户后，对安全性提出了更高的要求。

2．服务质量保证因为不同的用户和业务对服务质量保证(QoS)的要求差别不同，所以VPN网应当为企业数据提供不同等级的服务质量保证。例如，对移动办公用户而言，提供广泛的连接和覆盖性是保证VPN服务的一个主要因素；而对于拥有众多分支机构的专线VPN网络，交互式的内部企业网应用则要求网络能提供良好的稳定性；对于其他应用(如视频等)则对网络提出了更明确的要求，如网络时延及误码率等。在网络优化方面，构建VPN的另一个重要要求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时易引起网络阻塞，产生网络瓶颈，使数据得不到及时发送；而在流量低谷时又容易造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，从而防止阻塞的发生。

3．可扩充性和灵活性

(1)能够支持通过Intranet和Extranet的各种类型的数据流；

(2)便于增加新的节点；

(3)支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等应用对高质量传输以及带宽增加的需求。

4．可管理性对于用户和运营商来说，可以方便地对VPN进行管理和维护。站在VPN的角度，VPN要求企业能将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。服务提供商需要完成一些次要的网络管理任务，而企业本身则需要完成更多的网络管理任务。所以，一个完善的VPN管理系统是必不可少的。VPN管理的目标是减小网络风险，具有高扩展性、经济性、高可靠性等优点。管理的内容主要包括安全管理、设备管理、配置管理、访问控制列表管理以及QoS管理等。

8.1.3VPN的分类

1．根据VPN所起的作用划分根据VPN所起的作用可以将VPN分为三类：VPDN、IntranetVPN和ExtranetVPN。

1)VPDN

在远程用户或移动雇员和公司内部网之间的VPN，称为VPDN(VirtualPrivateDialNetwork)。VPDN使用拨号(如模拟电话、ISDN和ADSL等)连接到ISP，是典型的按需连接方式，也是一种非固定线路的VPN。其实现过程如下：

(1)用户拨号NSP(网络服务提供商)的网络访问服务器NAS(NetworkAccessServer)，发出PPP连接请求；

(2)NAS收到呼叫后，在用户和NAS之间建立PPP链路；

(3)NAS对用户进行身份验证，确定是合法用户，启动VPDN功能，与公司总部内部连接，访问其内部资源。

2)IntranetVPN通过公网将公司各远程分支机构LAN和公司总部LAN相连的VPN，称为IntranetVPN。IntranetVPN便于公司内部的资源共享、文件传递等，可节省DDN等专线所带来的高额费用。

3)ExtranetVPN在供应商、商业合作伙伴的LAN和公司的LAN之间的VPN，称为ExtranetVPN。由于供应商、商业合作伙伴和公司的网络环境可能存在差异，因此ExtranetVPN必须能兼容不同的操作平台和协议。另一方面，由于用户的多样性，因此公司的网络管理员必须考虑到不同用户的不同访问权限。具体说来就是要设置特定的访问控制表ACL(AccessControlList)，根据访问者的身份、网络地址等参数来确定访问者的访问权限，再根据访问权限开放相应部分的资源。

2．按VPN网络结构划分按VPN网络结构划分，VPN可分为以下3种类型。

1)基于VPN的远程访问基于VPN的远程访问即单机连接到网络，用于提供远程移动用户对公司内部网的安全访问。

2)基于VPN的网络互联基于VPN的网络互联即网络连接到网络，又称站点到站点，网关(路由器)到网关(路由器)或网络到网络。用于企业总部网络和分支机构网络的内部主机之间的安全通信，还可用于企业的内部网与企业合作伙伴网络之间的信息交流，并提供一定程度的安全保护，防止对内部信息的非法访问。

3)基于VPN的点对点通信基于VPN的点对点即单机到单机，又称端对端，用于企业内部网的两台主机之间的安全通信。

3．按隧道协议划分按隧道协议的网络分层，VPN可划分为第2层隧道协议、第3层隧道协议等。PPTP、L2P和L2TP都属于第2层隧道协议，IPSec属于第3层隧道协议，MPLS则是跨越第2层和第3层的协议。VPN的实现往往是将第2层和第3层协议配合使用，如L2TP/IPSec。当然，还可根据具体的协议来进一步划分VPN类型，如PPTPVPN、L2TPVPN、IPSecVPN和MPLSVPN等。

4．按隧道建立方式划分根据隧道建立方式，VPN可分为两种类型。

1)自愿隧道自愿隧道(VoluntaryTunnel)指客户计算机或路由器可以通过发送VPN请求配置和创建的隧道。这种方式也称为基于用户设备的VPN。VPN的技术实现集中在VPN用户端，隧道的起始点和终止点都位于用户端，隧道的建立、管理和维护也都由用户负责；ISP只提供通信线路，不承担建立隧道的业务。该方式技术实现容易，但要求用户在终端上装载所需的协议，并且与互联网相联。不过这仍然是目前最普遍使用的VPN组网类型。

2)强制隧道强制隧道(CompulsoryTunnel)指由VPN服务提供商配置和创建的隧道。与自愿隧道不同的是，在这种方式中由一台网络设备(一般是ISP端的设备)代替拨号用户建立与目的地隧道服务器之间的隧道。这种方式也称为基于网络的VPN。VPN的技术实现集中在ISP，隧道的起始点和终止点都位于ISP，隧道的建立、管理和维护都由ISP负责；VPN用户不承担隧道业务，客户端无需安装VPN软件。这种方式便于用户使用，增强了VPN的灵活性和可扩展性，但是其技术实现较复杂，目前一般由电信运营商提供或由用户委托电信运营商来实现。

5．按路由管理方式划分

1)叠加模式叠加模式(OverlayModel)即覆盖模式。目前大多数VPN技术都是基于叠加模式的。采用叠加模式时，各站点都由一个路由器通过点到点连接到其他站点的路由器上(通常将这个由点到点的连接以及相关的路由器组成的网络称为虚拟骨干网)。这种方式的缺点在于难以支持大规模的VPN，可扩展性差。如果一个VPN用户有许多站点，且站点间需要全交叉网状连接，则一个站点上的骨干路由器必须与其他所有站点建立点对点的路由关系。站点数的增加会受到单个路由器处理能力的限制。另外，增加新站点时，网络配置变化也会很大，网状连接上的每一个站点都必须重新配置路由器。

2)对等模式对等模式(PeerModel)是针对叠加模式的缺陷而推出的改进方法，它通过限制路由信息的传播来实现VPN。这种模式能够支持大规模的VPN业务，如一个VPN服务提供商可支持成百上千个VPN。采用这种模式，相关的路由设备很复杂，但实际配置却非常简单；容易实现QoS服务；扩展更加方便，因为新增一个站点，不需与其他站点建立连接。对等模式对网状结构的大型复杂网络非常有用。

8.2VPN关键技术

8.2.1隧道封装技术由于受到Internet网络中IP地址资源短缺的影响，各企业内部网络使用的多为私有IP地址，从这些地址发出的数据包是不能直接通过Internet传输的，必须用合法的IP地址来代替。有多种方法可以完成这种地址转换，如静态IP地址转换、动态IP地址转换、端口替换、数据包封装等。对于VPN而言，数据包封装(隧道)是最常用的技术，几乎所有的VPN技术都采用数据包封装技术。

所谓隧道，就是这样一种封装技术，它利用一种网络传输协议，将其他协议产生的数据报文封装到它自己的报文中在网络中传输。数据包封装发生在VPN的发送节点，此时需将原数据打包，添加合法的外层IP包头。被封装的数据包在隧道的两个端点之间通过公网进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点(即目的局域网和公网的接口处)，数据将被解包，并在还原出原报文后转发给目标主机。隧道技术是指包括数据封装、传输和解包在内的全过程。

8.2.2密码技术一般来讲，信息安全主要包括系统安全和数据安全两方面的内容。系统安全一般采用防火墙、病毒查杀、防范等被动措施；而数据安全则主要采用现代密码技术对数据进行主动保护，如数据保密、数据完整性、数据不可否认与抵赖、双向身份认证等。其中，数据加密的基本过程就是对原来可读的文件或数据按某种方法进行处理，使其成为不可读的一段代码，通常称之为“密文”，使其只能在输入相应的密钥之后才能显示出原来的内容。通过这种方法以达到保护数据，确保数据不被窃取、阅读的目的。

对于密码技术，我国政府明确规定禁止直接使用国外的密码算法和安全产品，这是因为国外禁止出口密码算法和产品，对于那些已出口的安全密码算法国外都有破译手段。因此，我国担心国外的算法和产品中存在“后门”，关键时刻可能会危害到我国的信息安全。为此，1999年国务院颁布商用密码管理条例，对密码的管理使用进行了具体规定。当前我国的信息安全系统由国家密码管理委员会统一管理。

可以这样说，密码技术是保障信息安全的核心技术，在VPN中更是如此。众所周知，密码技术早在古代就已经得到应用，但当时仅限于军事和外交等重要领域。随着现代计算机技术的飞速发展，密码技术正在不断向更多领域渗透，并且已经成为了集计算机科学、数学、电子、通信等诸多学科于一体的交叉学科。密码技术不仅能保证机密信息的加密，还能完成数字签名、身份验证、系统安全等功能。所以，使用密码技术不仅可以保证信息的机密性，还可以保证信息的完整性和确定性，防止信息被篡改、伪造和假冒。

简而言之，密码技术即加密隐蔽传输信息、认证用户身份等，是实现网络安全最有效的技术之一。加密网络可以防止非授权用户的搭线窃听和入网，并能有效对付恶意攻击软件，这使它能以较小的代价提供较强的安全保护。数据加密可通过各种加密算法来实现，作为一项基本技术，数据加密已成为所有通信数据安全的基石。在多数情况下，数据加密是保证信息机密性的惟一方法。

8.2.3身份验证和认证技术

1．身份验证

1)CHAP

CHAP是通过使用MD5(一种工业标准的散列方案)来协商加密身份验证的一种安全形式。CHAP在响应时使用质询-响应机制和单向MD5散列。采用这种方法可以向服务器证明客户机知道密码，但不必真正地将密码发送到网络上。

2)MS-CHAP

MS-CHAP同CHAP相似，微软开发MS-CHAP是为了对远程Windows工作站进行身份验证，它在响应时使用质询-响应机制和单向加密，不要求使用原文或可逆加密密码。

3)MS-CHAPv2

MS-CHAPv2是微软开发的第二版的质询握手身份验证协议，它提供了相互身份验证和更强大的初始数据密钥，而且发送和接收分别使用不同的密钥。如果将VPN连接配置为用MS-CHAPv2作为惟一的身份验证方法，那么客户端和服务器端就都要证明其身份，哪方不提供对自己身份的验证，其连接将被断开。

4)EAP

EAP的开发是为了适应对使用其他安全设备的远程访问用户进行身份验证的日益增长的需求。通过使用EAP，可以增加对许多身份验证方案的支持，其中包括令牌卡、一次性密码、智能卡的公钥、证书及其他身份验证。对于VPN来说，使用EAP可以防止暴力或词典攻击及密码猜测，EAP能提供比其他身份验证方法更高的安全性。在Windows系统中，对于采用智能卡进行身份验证，将采用EAP验证方法；对于通过密码进行身份验证，将采用CHAP、MS-CHAP或MS-CHAPv2验证方法。

2．认证问题除了加密和解密，VPN还需要核实信息发送方的身份，并确保信息在公网上传送时没有被篡改。其中核实发送者身份的过程称做认证。认证可以通过用户的名字和口令来实现，也可以通过电子证书或数字证书提供的相关信息来完成。电子证书包括加密参数，电子证书是用于验证用户或主系统身份的工具。

目前常见的身份认证技术主要有三种，最常见的是用户名加口令的方式，但这种身份确认方式很不安全，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段而导致合法用户身份被伪造；第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等)，该技术以人体惟一的生物特征为依据，具有很好的安全性和有效性，但其实现复杂，目前技术尚不成熟，实施成本昂贵，在应用推广中还不具有现实意义；第三种是现在电子政务和电子商务领域最流行的身份认证方式——基于USBKey的身份认证，USBKey结合了现代密码学技术、智能卡技术和USB技术，是新一代的身份认证产品。

在VPN中，为了保证公用密钥的完整性，将公用密钥与证书一同发布。证书(或公用密钥证书)是一种经过证书签发机构(CA)数字签名的数据结构。CA使用自己的专用密钥对证书进行数字签名。如果接收方知道CA的公用密钥，就可以证明证书有CA签发，因此包含可靠的信息和有效的公用密钥。总之，公用密钥证书为验证发送方的身份提供了一种方便、可靠的方法。另一方面，也可以使用消息认证代码(MAC)来达到认证的目的。MAC通过使用一个共享秘钥，接收方使用它的一个副本，发送方必须拥有秘钥的另一个副本。该密钥可以用于认证可疑数据。

8.2.4QoS技术

1．QoS技术简介一般来说，基于存储转发机制的Internet(IPv4标准)只为用户提供了“尽力而为”(Best-Effort)的服务，并不能保证数据包传输的实时性、完整性以及到达的顺序性，即不能保证服务的质量，所以IPv4标准主要应用在文件传送和电子邮件服务等方面。随着网络技术的飞速发展，用户在Internet上传输分布式多媒体应用的需求越来越大，通常用户对不同的分布式多媒体应用有着不同的服务质量要求，这就要求网络能根据用户的要求分配和调度资源。此时，传统的存储转发机制已经不能再满足用户的要求了。为了解决这一问题，美国于1996年底开始了以提高网络服务质量为核心的InternetⅡ以及NGI(下一代Internet)等研究项目。IETF(InternetEngineeringTaskForce)也成立了专门的工作小组来研究多媒体服务质量的定义和相关的标准。

其中，综合业务模型引入了资源预留协议RSVP，该协议用于网络控制，它虽然不是路由协议，但是需要与路由协议一起使用。RSVP的引入使得IP网络为应用提供所要求的端到端的QoS保证成为可能，但为了支持这种能力，数据包所经过的每个网络元素(子网和IP路由器)都必须能够支持RSVP控制服务质量的机制。RSVP中的资源预留方式与异步转移模式ATM中的资源预留方式有两个不同之处：其一，RSVP是一种面向信宿端的协议，由信宿端来描述资源需求，而ATM是由信源端来要求资源预留的；其二，RSVP中保留的状态需要周期性地更新，而ATM中保留的状态在通信期间是不会改变的。

遗憾的是，综合业务模型存在着许多致命的缺陷，这些缺陷使原本要提供的端到端QoS保证难以实现，原因主要有两点：

(1)综合业务模型下的预留状态信息与业务流的个数成正比。这使路由器的负担会随着网络规模的扩大、业务流的增多而加重，直接导致了网络的扩展性不好。

(2)综合业务模型中的每个路由器都要支持RSVP，为业务流保持状态信息，这对路由器的要求较高。如果有中间的路由器不支持RSVP，QoS就得不到保证。

2．QoS中存在的问题及相关的研究方向

(1)传统的QoS模型基本上是由通信系统的网络层完成的，并在传输服务中引入QoS控制来提高QoS。然而在分布式的计算环境中，由于全局的QoS依赖于网络各部分的QoS，因此要提高全局的QoS就必须提高系统每一层的QoS，即端到端系统必须能管理参与传输服务的每一层(从服务层到网络层)。

为了达到这个目的，研究人员提出了一种基于CORBA的分布式多媒体服务的QoS管理模型。当用户提出他要求服务的多媒体QoS参数的规格说明后，系统首先将用户的QoS请求参数映射为系统的QoS参数，然后通过协商与再协商，对QoS的方式进行系统和网络的介入控制，一旦接入成功，系统就开始为用户提供多媒体服务。在服务过程中，系统能随时监控网络和系统的性能状况，如果出现了网络拥挤致使服务质量下降，就可以采取降级服务的方式继续为用户提供服务或停止服务。它具有层次性、互操作性以及分布式等特点，是一种便于开发和维护的分布式多媒体服务系统，具有良好的应用前景。

但在该模型中，QoS参数映射和QoS参数协商与再协商的系统开销较大。在多媒体服务开始之前，必须进行QoS参数协商，在服务过程中，一旦系统或网络的性能发生重大变化(如网络的有效带宽增加了10Mb)，就要根据这些变化进行QoS参数的再协商。频繁地协商与再协商会降低网络性能，对于这一问题，系统可以提供一种策略来控制协商发生的频率，或直接把这个选择权利交给用户。

(2)目前，许多有关支持QoS的研究主要着眼于调度、拥塞控制和资源预留，而对QoS路由研究得很少。现有支持QoS保证的连接建立协议大部分都执行下列步骤。①从选定路由的第一个节点开始，发送预留请求，预留支持新连接所需要的资源。②当中继节点接收到预留请求后，检查是否有足够的资源来支持请求的QoS。如果有，则将预留请求发送给下一个节点；否则，将拒绝转发报文并将其发送回源节点，同时前面的节点必须释放那些它们为该请求预留了的资源。③

目的节点接收预留请求后必须评估被选路由上不同节点所支持的QoS，以验证端到端的QoS是否得到保证。

④如果端到端的QoS不能保证，则发送拒绝报文至源节点，各节点释放预留资源；否则，将带有生育QoS(即提供的QoS减去请求的QoS)的证实报文发送回源节点。上述这些方法有着共同的缺点，那就是它们都假定通信实体间的路由在初始时是已知的。当源与目的节点之间只有一条路由时，这一假设是合理的。但如果存在着多条路由，则由于在建立连接时必须进行多次重试操作，因此阻塞概率会上升，而成功建立新连接的概率就会下降。所以，应当让路由选择与QoS支持相关联，在连接建立之前降低重试的次数，而且合适的路由选择机制将使高速网络的资源利用率最大化，从而降低冲突。

根据网络上可利用资源和流(flow)的QoS需求来决定流的路由机制称为QoS路由(QoS-basedrouting)。QoS路由应能达到下列目标：●动态确定可行路径；●优化资源利用；●

路由开销尽可能小。

(3)建立一个适用于QoS路由机制的网络模型是选择并计算合适的路由尺度和信息的关键。网络的带宽和缓存能力决定了减少端到端延迟的效果，正确有效的调度、接纳和路由机制是保证不同QoS需求、平衡网络负载的必要措施。当网络拥塞时，高QoS要求的业务会“排挤”低QoS要求的业务(如采用Best-Effort原则传输的数据业务)，受“排挤”的数据包将会在一段时间内滞留于网络中并被不断地重传，这会进一步加剧网络的拥塞。对于这一问题，简单的解决方法是为不同业务分配一定的网络资源，但是这将影响到网络资源的利用率。因此，可以以各类业务对资源的实时需求情况为基准来调整网络资源在不同业务间的分配，这样可以达到充分利用资源和平衡各类业务需求的目的。

(3)建立一个适用于QoS路由机制的网络模型是选择并计算合适的路由尺度和信息的关键。网络的带宽和缓存能力决定了减少端到端延迟的效果，正确有效的调度、接纳和路由机制是保证不同QoS需求、平衡网络负载的必要措施。当网络拥塞时，高QoS要求的业务会“排挤”低QoS要求的业务(如采用Best-Effort原则传输的数据业务)，受“排挤”的数据包将会在一段时间内滞留于网络中并被不断地重传，这会进一步加剧网络的拥塞。对于这一问题，简单的解决方法是为不同业务分配一定的网络资源，但是这将影响到网络资源的利用率。因此，可以以各类业务对资源的实时需求情况为基准来调整网络资源在不同业务间的分配，这样可以达到充分利用资源和平衡各类业务需求的目的。

(4)要建立一个支持QoS保证的分布式系统必须建立统一的QoS框架，这个框架包括QoS体系结构和统一的QoS说明分类。

8.3隧道协议与VPN实现

8.3.1PPTP

PPTP(点到点隧道协议)是由PPTP论坛开发的点到点的安全隧道协议，它为使用电话上网的用户提供了安全的VPN业务，并于1996年成为了IETF草案。PPTP是PPP的扩展，提供了在IP网上建立多协议的安全VPN的通信方式，即增加了一个新的安全等级，并且可以通过Internet进行多协议通信，它支持通过公网建立按需的、多协议的VPN。通过PPTP客户可以采用拨号方式接入公共的IP网。拨号客户首先按常规方式拨号到ISP的接入服务器，建立PPP连接；在此基础上，客户进行二次拨号，建立到PPTP服务器的连接，该连接称为PPTP隧道。PPTP隧道实质上是基于IP协议的另一个PPP连接，其中IP包可以封装多种协议数据，包括TCP/IP、IPX和NetBEUI等。因此PPTP允许用户远程运行依赖于特定网络协议的应用程序。对于直接连接到IP网的客户则不需要第一次PPP拨号连接，可以直接与PPTP服务器建立虚拟通路。PPTP在基于TCP/IP协议的数据网络上创建VPN连接，实现从远程计算机到专用服务器的安全数据传输。

VPN服务器执行所有的安全检查和验证，并启用数据加密来提供PPTP客户机(指运行该协议的PC机)和PPTP服务器(指运行该协议的服务器)之间的保密通信，从而保证信息的安全传送。尤其是使用EAP后，在使用PPTP的VPN上传输数据就像在企业的一个局域网内传输数据那样安全。另外，还可以使用PPTP建立专用LAN到LAN的网络。

简而言之，PPTP的建立过程如下：

(1)用户通过串口以拨号IP访问的方式与NAS(NetworkAccessServer)建立连接并取得网络服务；

(2)用户通过路由信息定位PPTP接入服务器；

(3)用户形成一个PPTP虚拟接口；

(4)用户通过该接口与PPTP接入服务器协商、认证并建立一条PPP访问服务隧道；

(5)用户通过该隧道获得VPN服务。

PPTP的最大优势是得到了Microsoft公司的大力支持。WindowsNT4.0已经包括了PPTP客户机和服务器的功能。另外一个优势是它支持流量控制，可保证客户机与服务器之间不拥塞，从而改善了通信性能，能最大限度地减少丢包和重发现象。但是，PPTP把建立隧道的主动权交给了客户，因此客户需要在其PC机上配置PPTP，这样做既会增加用户的工作量和工作难度，又容易造成网络的安全隐患。另外，PPTP仅工作于IP，不具有隧道终点的验证功能，它需要依赖用户的验证。

8.3.2L2F

L2F(Layer2Forwarding)是Cisco公司提出的隧道技术，作为一种传输协议，L2F支持拨号接入服务器将拨号数据流封装在PPP帧内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包后重新注入(inject)网络。L2F与PPTP和L2TP的不同之处在于它没有确定的客户方。值得注意的是：L2F仅在强制隧道中有效。

8.3.3L2TP

L2TP是一个工业标准的Internet隧道协议，是L2F和PPTP的结合，设计者希望L2TP能够综合PPTP和L2F的优势。但由于PC机的桌面操作系统包含PPTP，因此PPTP仍比较流行。隧道的建立有两种方式，即用户初始化隧道和NAS(NetworkAccessServer)初始化隧道。前者一般指自愿隧道，后者指强制隧道。

IP网上的L2TP使用UDP和一系列L2TP消息对隧道进行维护。L2TP同样使用UDP将L2TP协议封装的PPP帧通过隧道发送，可以对封装PPP帧中的负载数据进行加密或压缩。L2TP作为强制隧道模型，是使拨号用户与网络中的另一点建立连接的重要机制。建立过程如下：

(1)用户通过Modem与NAS建立连接；

(2)用户通过NAS的L2TP接入服务器进行身份认证；

(3)在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；

(4)用户与L2TP接入服务器之间建立一条PPP协议，访问服务隧道；

(5)用户通过该隧道获得VPN服务。

L2TP与PPTP主要有以下几点区别。

(1)L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖于特定网络协议的应用程序。与PPTP不同的是，L2TP使用IPSec这种网际协议安全机制来进行身份验证和数据加密。

(2)PPTP作为自愿隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立了一条不连续的、点到点的隧道，并且NAS不参与PPTP协商和隧道建立过程，NAS的作用只是提供网络服务。在L2TP中，用户感觉不到NAS的存在。而在PPTP中，PPTP隧道对NAS是透明的；NAS不需要知道PPTP接入服务器的存在，只是简单地把PPTP流量作为普通IP流量来处理。采用L2TP还是PPTP实现VPN关键在于要把控制权放在NAS还是用户手中。L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户是从哪里来的。因此L2TP主要用于比较集中、固定的VPN用户，而PPTP则比较适合移动用户。

8.3.4MPLS

1．MPLS的定义多协议标签交换(MPLS)是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。这个网络层包转发的标准主要基于互联网工作组(IETF)提交的一系列信令协议，包括标签分配协议(LDP)、资源预留协议(RSVP)和限制路由的标签分配协议(CR-LDP)等。

2．MPLS的特点

MPLS具有如下特点：

(1)简化了ATM与IP的结合；

(2)在一个网内同时提供ATM和IP的各种服务，不必为了这两种服务分别建两个网，从而减少了网络的复杂性；

(3)通过IP直接提供ATM的服务，如标签交换的硬件化处理、缓存技术、流量控制以及质量保证等；

(4)能较好地解决网络发展所面临的问题，如可扩展性、维护费用等；

(5)大大促进了IP网络层的发展。

3．MPLS的基本工作原理

MPLS中选路和转发是分开进行的，由标签来规定一个分组在网络中路由的路径。标签相当于IP包头，数据包在网络中传送时，MPLS在数据包所经过的路径沿途通过交换标签来实现转发；当数据包要退出MPLS网络时，数据包被解开封装，继续按照IP包的路由方式路由到目的地。

4．MPLS的网络构成

MPLS网络边缘的节点被称做标签边缘路由器(LER)，而网络的核心节点就称为标签交换路由器(LSR)。LER节点在MPLS节点之间的路径就是标签交换路径(LSP)，因此可以把LSP看做是贯穿网络的单向隧道。MPLS网络是由LER和LSR组成的，如图8.1所示。

图8.1MPLS网络的组成

5．基于MPLS的IPVPN

1)基于MPLS的IPVPN的结构组成

MPLS为IPVPN的实现提供了一种灵活的、可扩展的技术基础。在MPLS网络中，一项IPVPN业务可以通过多种方式来提供。一种方式是仿真第二层的IPVPN，如直接仿真帧中继。另一种方式是使用支持MPLS功能的用户设备来提供这一业务。无论是哪一种方式都可以让业务提供者以一种集成的方式，在提供因特网服务的同一平台上提供这一流行业务。因此有多种IPVPN的支持方法，服务提供者可以根据其内部网络以及用户的特定需求来决定自己的网络如何支持IPVPN。

图8.2给出了使用MPLS和多协议边界网关协议来提供IPVPN业务的一种网络配置模型。这种网络模型主要由提供者(P)路由器、提供者边缘(PE)路由器、用户边缘(CE)路由器以及站点(Site)组成。其中，提供者(P)路由器相当于核心部分的标签交换路由器(LSR)，P路由器之间使用MPLS协议与进程。P与PE路由器将使用IP路由协议(内部网管协议)来建立MPLS核心网络中的路径，并且使用LDP实现路由器之间的标签分发。提供者边缘(PE)路由器相当于核心部分的标签边缘路由器(LER)。用户边缘(CE)路由器的作用是将某个用户站点连接至PE路由器，它不使用MPLS，也不必支持任何VPN的特定路由协议和信令。站点(Site)是指这样一组网络或子网：它们是用户网络的一部分，通过一条或多条PE/CE链路接至VPN，而VPN是指一组共享相同路由信息的站点。一个站点可以同时位于不同的几个VPN之中。

图8.2基于MPLS的IPVPN

2)MPLSIPVPN的工作过程

(1)用户端的路由器(CE)向提供商的路由器(PE)发送用户网络中的路由信息；

(2)PE之间发送VPN-IP的信息以及相应的VPN标签；

(3)PE与P路由器之间相互学习路由信息，并进行路由信息与骨干网络中标签的绑定。通过这三步，CE、PE和P路由器可以获取基本的网络拓扑以及路由信息。PE路由器还会拥有骨干网的路由信息和每个VPN的路由信息。

当属于某一VPN的CE用户数据进入网络时，在CE与PE连接的接口处可以识别出该CE所属的VPN，以此为依据到这个VPN的路由表中读取下一跳的地址信息，同时在前传的数据包中打上VPN标签。为了到达目的端PE，应在起始端PE中读取骨干网路由信息，得到下一个P路由器的地址，同时采用LDP在用户前传数据包中打上骨干网标签。其中在骨干网络中，起始端PE后的P路由器都通过读取骨干网标签信息来决定下一跳，因此可在骨干网中进行简单的标签交换。在目的端PE前的最后一个P路由器将骨干网中的标签去掉，读取VPN标签，找到对应的VPN，并发送到相关的接口上，进而将数据传送到VPN的目的地址处。

8.3.5IPSec

IPSec工作在网络层，是定义在IP数据包格式中的一个开放结构，它为目前较流行的数据加密或认证的实现提供了数据结构，并为这些算法的实现提供了统一的体系结构，这有利于数据安全方面相关措施的进一步发展和标准化。同时，不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。IPSec体系结构如图8.3所示。

图8.3IPSec体系结构

简而言之，IPSec协议是一个应用广泛、开放的VPN安全协议，它提供所有在网络层上的数据保护，并提供透明的安全通信(包括如何使敏感数据在开放的网络中传输的安全机制)。同时，IPSec在参加IPSec的设备(如路由器)之间为数据传输提供保护，主要是对数据进行加密并对数据收发方的身份进行认证。

众所周知，当数据在公网上传输时，IP包本身并不继承任何安全特性，所以很容易便可伪造出IP包的地址，修改其内容，重播以前的包以及在传输途中拦截并查看包的内容。因此，我们不能担保收到的IP数据包是否来自原先要求的发送方，数据包内所包含的数据是否是发送方发送的原始数据，原始数据是否在传输途中被泄密。

针对这些问题，IPSec可以有效地保护IP数据包的安全。具体说来，IPSec采用密码技术可提供以下安全服务：接入控制、无连接完整性、数据源认证、抗重播保护、加密以及防传输流分析等。由于受IPSec保护的数据包从本质上来说就是一种IP包，因此IPSec可以嵌套提供安全服务，同时在主机之间提供像端到端这样的验证，并通过一个通道将那些受IPSec保护的数据传送出去。

大多数IPSec实施方案都定义了下面几个组件。

(1)IPSec基本协议。这个组件实施了封装安全载荷(ESP)和验证头(AH)。其中，AH可证明数据的起源地、保障数据的完整性并防止相同数据包的不断重播。ESP则更胜一筹，除具有AH的所有功能之外，还可选择保障数据的机密性，以及为数据流提供有限的机密性保障。AH和ESP可以单独使用，也可以配合使用。通过这些组合方式，可以在两台主机、两台安全网管(防火墙和路由器)或主机与安全网管之间配置多种灵活的安全机制。IPSec基本协议主要用于处理头，并与SPD和SADB进行交互，以便决定为数据包提供哪些安全保障，并解决一些网络层的问题。

(2)SPD。SPD对数据包采用的安全保障起决定性的作用。外出包和进入包的处理都要查阅SPD。对外出包来说，由IPSec基本协议组件查阅SPD，判断这个包是否需要安全保护。对进入包来说，由IPSec基本协议组件来查阅SPD，判断为这个包提供的安全保护是否和策略配置的安全保护相符。

(3)SADB。SADB为进入和外出包处理维持一个活动的安全联盟(SA)列表。外出SA用来保障外出包的安全，进入SA用来处理带有IPSec头的进入包。

(4)IKE。Internet密钥交换(IKE)在通信系统之间建立SA，提供密钥管理和密钥确定的机制，是一个产生和交换密钥材料并协调IPSec参数的框架。

(5)策略和安全联盟(SA)管理，如图8.4所示。

图8.4策略和安全联盟(SA)管理

简单地说，可以从以下五步来考虑IPSec过程。

(1)感兴趣的流量初始化IPSec隧道的建立。

(2)IKE第1阶段认证对等实体，并为IPSec协商建立一条安全隧道。

(3)IKE第2阶段完成IPSec协商，并建立IPSec隧道。

(4)隧道建立后就可以开始被保护的VPN通信了。

(5)当没有流量使用IPSec时，废弃隧道(明确地废弃隧道，或通过SA生存周期超时来废弃隧道)。

IPSec的优点主要有以下几点。●IPSec提供了一种标准的、健壮的、包容广泛的机制，可用它来为IP以及上层协议提供安全保证。●它定义了一套用于保护私有性和完整性的标准协议；●支持DES、3DES、IDEA等加密算法；●它会对传输的数据包的完整性进行检查，以确保数据没有被修改，具有数据源认证功能；●

它可以确保运行在TCP/IP协议上的VPN之间的互操作性。

IPSec的缺点主要有以下几点。●IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配地址时IPSec就不太适合了；●IPSec仅支持TCP/IP协议；●它只指定了包过滤作为其访问控制方法；●难以处理采用NAT方式访问公网的情况；●

目前，IPSec只支持单播(Unicast)的IP数据包，对多播(Multicast)和广播(Broadcast)的IP数据包都不支持。

8.3.6SSL

SSL即安全套接层协议层(SecureSocketsLayer)，是Netscape公司提出的基于Web应用的安全协议，被视为因特网上Web浏览器和服务器的安全标准。SSL是在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议。它为TCP/IP连接提供数据加密、服务器身份验证和消息完整性验证。

SSL协议的主要用途是保证两个通信应用程序之间的私密性和可靠性，这个过程可通过3个协议来完成。

(1)握手协议：当一个SSL客户机和服务器第一次通信时，它们需要在一个协议版本上达成一致，选择加密算法和认证方式，并使用公钥技术来生成共享密钥。

(2)记录协议：用于交换应用数据。应用程序消息被分割成可管理的数据块，还可以压缩，并产生一个消息认证代码(MAC)，然后结果被加密并传输。接受方接受数据并对其解密，校验MAC，解压并重新组合，把结果提供给应用程序协议。

(3)警告协议：用于指示在什么时候发生了错误或两个主机之间的会话在什么时候终止。

SSLVPN一般的实现方式是在浏览器中设置SSL代理服务器。首先浏览器与代理服务器建立TCP连接，并向其发出与远端Web服务器连接的消息，然后代理服务器与Web服务器建立TCP连接，此时这个代理服务器完全成为内容转发装置。浏览器与Web服务器建立了一个安全通道，由于这个安全通道是端到端的，因此尽管所有的消息都经过代理服务器，但其内容代理服务器是无法解密和改动的。

SSLVPN的目标是确保用户随时随地安全存取企业信息，是一种低成本、高安全性、简便易用的远程访问VPN解决方案，非常适合以Web应用为主、有大量客户端的用户。

SSLVPN的主要优点如下所述。

(1)费用低。对那些只需要简单远程访问的用户(仅需进入公司内部网站或者进行E-mail通信)来说，SSLVPN可以大大节约远程访问服务的开销。

(2)适用于大多数设备。基于Web访问的开放体系在运行标准的浏览器下可以访问任何设备，包括非传统设备(如可以上网的电话和PDA等产品)。

(3)支持网络驱动器访问。

(4)适用于大多数操作系统。可以运行标准的因特网浏览器的大多数操作系统都可以用来进行基于Web的远程访问，包括Windows、Unix、Linux和Macintosh等。

(5)用户可以方便地得到基于企业内部网的资源，并进行应用。

(6)具有较强的资源控制能力。

(7)可以绕过防火墙和代理服务器进行访问。

(8)大多数执行基于SSL协议的远程访问是不需要在远程客户端设备上安装软件的。

SSLVPN仍然存在许多不足之处。

(1)必须依靠因特网进行访问。在SSLVPN中，Web浏览器实质上扮演着客户服务器的角色，远程用户的Web浏览器依靠公司的服务器进行访问。所以，如果因特网没有连通，则远程用户就只能单独工作而不能与总部网络进行连接。

(2)对新的或者复杂的Web技术只能提供有限支持。

(3)只能有限地支持Windows应用或者其他非Web系统。虽然有些SSL提供商已经开始合并终端服务来提供非Web应用，但目前SSLVPN还未正式提出全面支持，这一技术还处于初级阶段。

(4)只能为访问资源提供有限的安全保障。因为SSLVPN只对通信双方的某个应用通道进行加密，而不是对在通信双方的主机之间的整个通道进行加密。

8.3.7SOCKSv5

SOCKSv5是NEC公司开发的建立在TCP层上的安全协议，它便于为与特定TCP端口相连的应用建立特定的隧道。SOCKSv5可以对连接请求进行认证和授权，事实上它是一个需要认证的防火墙协议。SOCKS和SSL协议配合使用时，可作为建立高度安全VPN的基础。基于SOCKSv5的VPN适合用于客户机到服务器的连接模式，也适合用于外联网VPN。

SOCKSv5的优点在于：它在OSI模型的会话层控制数据流，并定义了详尽、可行的访问控制。众所周知，在网络层只能根据源和目的IP地址允许或拒绝数据包通过，而在会话层控制手段会多一些。SOCKSv5能提供非常复杂的方法来保证信息安全传输。它通过在客户机和主机之间建立一条虚电路，可根据对用户的认证进行监视和访问控制。由于SOCKSv5和SSL都工作在会话层，因此它们都能协同如IPv4、IPSec、PPTP，L2TP等低层协议一起使用。用SOCKSv5的代理服务器可隐藏网络地址结构。如果SOCKSv5同防火墙结合起来使用，则数据包将经过惟一的防火墙端口(缺省的是1080)到代理服务器，再经代理服务器过滤发往目的端，这样可以防止防火墙上存在的漏洞。同时，SOCKSv5可根据规则过滤数据流，包括JavaApplet和ActiveX控件。最后，SOCKSv5能为认证、加密和密钥管理提供“插件”模块，可以让用户自由地使用他们所需要的技术。

虽然SOCKSv5的安全性较高，但是由于SOCKSv5是通过代理服务器来增加安全性的，因此其性能通常比低层协议差。尽管它比网络层和传输层的方案更安全，但同时也需要制定比网络层和传输层协议更复杂的安全管理策略。总之，SOCKS协议的优势在于访问控制，因此适合用于安全性较高的VPN。IETF建议将SOCKS作为建立VPN的标准，除此以外，SOCKS协议还得到了一些大公司(如Microsoft、Netscape、IBM等)的支持。

8.4WindowsServer2003系统中VPN连接的设置

1．连接前的验证工作在缺省情况下，系统中的路由和远程访问服务(VPN是其中的一个组件)都没有被激活。在激活这些服务之前，需要进行必要的验证工作。首先，检查服务器上的两个通信设备是否已经激活了。为了保证外部用户能够通过VPN连接访问到内部网络的资源，VPN连接的建立者必须给外部用户分配IP地址。通常可以采用两种方式来分配IP地址，一种是通过网络中的DHCP服务器，还有一种是通过在路由和远程访问服务配置中定义一个地址池来完成这项工作。在为远程客户端提供恰当的地址信息后，DNS和WINS就能进行有效的名字查询了。最后，根据对网络访问的实际需求设置允许或限制访问以降低系统的安全风险。

2．激活VPN服务为了激活VPN服务，必须激活路由和远程访问服务，这中间包括VPN服务。首先，在要支持VPN的服务器上点击“开始”→“所有程序”→“管理员工具”→“路由和远程访问”。然后，在服务器名字上单击右键并选择“配置并启用路由和远程访问”，如图8.5所示。这时将弹出一个向导来帮助用户配置这些服务。在“配置”窗口上，用户可以指定想要激活的服务，如只激活“远程访问(拨号或VPN)”，如图8.6所示。

图8.5配置并启用“路由和远程访问”图