虛擬專用網絡VPN(Virtual Private Network)是Internet技術迅速發(fā)展的產物，他可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其他公共互聯網絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網絡一樣的安全和功能保障。為了保障信息在公共網上傳輸的安全，VPN技術采用了、存取控制、加密、數據完整性等措施以保證信息在傳輸中不被偷看、篡改、復制。

1 支持實現VPN的主要技術

VPN技術的發(fā)展是基于隧道技術的基礎上的，隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據幀或包。隧道協議將這些其他協議的數據幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負載數據能夠通過互聯網絡傳遞。

被封裝的數據包在隧道的2個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點，數據將被解包并轉發(fā)到終目的地。注意隧道技術是指包括數據封裝，傳輸和解包在內的全過程。

下面考察一些主要的隧道技術。具體包括：

1．1 對點隧道協議(PPTP)

PPTP協議是點到點協議(PPP)的擴充，PPTP是一個第2層的協議，將PPP數據幀封裝在IP數據報內通過IP網絡，如Internet傳送。PPTP還可用于專用局域網絡之間的連接。RFC草案"點對點隧道協議"對PPTP協議進行了說明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF?？稍谡军chttp：／／WWW．ietf．org參看草案的在線拷貝。PPTP使用一個TCP連接對隧道進行維護，使用通用路由封裝(GRE)技術把數據封裝成PPP數據幀通過隧道傳送?？梢詫Ψ庋bPPP幀中的負載數據進行加密或壓縮。

1．2 L2F

L2F是Cisco公司提出隧道技術，作為一種傳輸協議L2F支持撥號接人服務器將撥號數據流封裝在PPP幀內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之重新注入(inject)網絡。與PPTP和L2TP不同，L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。

1．3 第2層隧道協議(L2TP)

L2TP結合了PPTP和L2F協議。他是一種網絡層協議，支持封裝的PPP幀在IP、X．25、幀中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時，可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。

IP網上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協議封裝的PPP幀通過隧道發(fā)送。可以對封裝PPP幀中的負載數據進行加密或壓縮。L2TP協議允許對IP，IPX或NetBEUI數據流進行加密，然后通過支持點對點數據報傳遞的任意網絡發(fā)送，如IP、X．25、幀中繼或ATM。

PPTP和L2TP都使用PPP協議對數據進行封裝，然后添加附加包頭用于數據在互聯網絡上的傳輸。盡管2個協議非常相似，但是仍存在以下幾方面的不同：

(1)PPTP要求互聯網絡為IP網絡 L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP)、幀中繼虛擬電路(PVCs)、X．25虛擬電路(VCs)或ATM VCs網絡上使用。

(2)PPTP只能在2個端點間建立單一隧道 L2TP支持在2個端點間使用多隧道。使用L2TP，用戶可以針對不同的服務質量創(chuàng)建不同的隧道。

(3)L2TP可以提供包頭壓縮 當壓縮包頭時，系統開銷(overhead)占用4個字節(jié)，而PPTP協議下要占用6個字節(jié)。

(4)L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證 但是當L2TP或PPTP與IPSEC共同使用時，可以由IPSEC提供隧道驗證，不需要在第2層協議上驗證隧道。

1．4 安全IP(IPSec)隧道模式

IPSec是第3層的協議標準，支持IP網絡上數據的安全傳輸。IPSEC是一種由IETF設計的端到端的確?；贗P通訊的數據安全性的機制。IPSEC支持對數據加密，同時確保數據的完整性。按照IETF的規(guī)定，不采用數據加密時，IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication)，確保數據的完整性；IPSEC使用封裝安全負載(ESP)與加密一道提供來源驗證，確保數據完整性。IPSEC協議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗證數據有效，接受方就可以知道數據來自發(fā)送方，并且在傳輸過程中沒有受到破壞。

ESP有2種工作模式：傳送模式和隧道模式。在傳送模式時只對IP的數據部分加密。一個IPSEC隧道由一個隧道客戶和隧道服務器組成，兩端都配置使用IPSEC隧道技術，采用協商加密機制。而在隧道模式時將通過設備對整個IP包加密(包括包頭)，使IP包的源地址與目的地址隱藏。此時的IP包的包頭為VPN設備(網關，路由器等)的IP地址。一個IPSEC隧道由一個隧道客戶和隧道服務器組成，兩端都配置使用IPSEC隧道技術，采用協商加密機制。

IPSec隧道模式具有以下功能和局限：

(1)只能支持IP數據流。

(2)工作在IP棧(IPstack)的底層，因此，應用程序和高層協議可以繼承IPSEC的行為。

(3)由一個安全策略(一整套過濾機制)進行控制。安全策略按照優(yōu)先級的先后順序創(chuàng)建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時，雙方機器執(zhí)行相互驗證，然后協商使用何種加密方式。此后的所有數據流都將使用雙方協商的加密機制進行加密，然后封裝在隧道包頭內。 2 VPN在Windows 2000服務器中的實現

2．1 Windows 2000的虛擬專用網絡

Windows 2000支持2種類型的VPN技術：

(1)PPTP 他使用了用戶級點對點協議的方法和微軟的點對點數據加密方法；

(2)IPSec的L2TP協議 使用用戶級PPP方法和IPSec級的證書進行數據加密。

基于IPSec的L2TP數據包的封裝由2層組成：

(1)L2TP封裝 將PPP框架(1P數據包、IPX數據包或NetBEUI框架)包裝成L2TP頭和UDP頭

(2)IPSec封裝 使用IPSec封裝安全措施負載量(ESP)頭文件和尾文件、提供消息完整性和身份驗證的IPSec身份驗證尾文件及的IP頭數據包裝L2TP結果消息。在IP頭文件中有與VPN客戶機和VPN服務器對應的源和目標IP地址。

圖1顯示了PPP數據包的L2TP和IPSec封裝。

2．2 在Windows NT服務器中建立VPN

在Windows NT服務器中建立VPN的過程是：首先在Windows NT上安裝PPTP并輸入該服務器支持的VPN數量，然后增加VPN設備作為RAS的端口，配置加密和驗證辦法，然后對VPN隧道配置TCP／IP協議。配置RAS路由選擇使PPTP包經過該服務器到網絡。

在Windows 2000中可以通過"網絡連接向導"快速配置VPN，Windows 2000可以自動識別VPN設備并添加VPN網絡連接。

客戶端可采用Windows 98操作系統，首先通過Windows 98光盤安裝VPN網絡例程，然后安裝Microsoft Virtual Private Network適配器，建立和配置Dial-UP Networking圖標連接到PPTP服務器即可。

Windows 2000L2TP是PPTP用采管道化，地址分配和的更安全的版本。

Windows 2000通過策略來配置IPsec并提供管理控制臺、IP安全策略，同時，在Windows 2000中PKI提供了數字論證證書授權功能。通過PKI來實現密鑰的分配和管理，這也是Windows 2000實現VPN不可缺少的重要組成部分。

3 VPN的安全性

3．1 授 權

只有得到授權的用戶和路由器才能創(chuàng)建VPN連接。對于Windows 2000，VPN連接的授權由用戶帳戶的撥人屬性及遠端訪問策略決定。不需要單為VPN連接創(chuàng)建用戶帳戶。根據Windows 2000安全性，VPN服務器使用在可用用戶帳戶數據庫中指定的用戶帳戶。從基于PPTP的VPN客戶端連接到基于PPTP的運行Windows 2000的VPN服務器時發(fā)生的情況：

(1)VPN客戶端使用VPN服務器創(chuàng)建PPTP隧道。

(2)服務器向客戶端發(fā)送質詢。

(3)客戶將加密的響應發(fā)送給服務器。(假定VPN客戶端和VPN服務器使用MS-CHAP v1或CHAP身份驗證協議。)

(4)服務器檢查對應于用戶帳戶數據庫的響應。

(5)如果帳戶有效并擁有遠程訪問權限，服務器將接受符合VPN客戶遠程訪問策略和用戶帳戶屬性的連接。

基于IPSec的VPN客戶端上的L2TP連接到運行Windows 2000的基于IPSec的VPN服務器上的L2TP時發(fā)生的情況：

(1)通過使用機器驗證、Internet安全協會與密鑰管理協議(1SAKMP)以及Oakley密鑰生成協議來創(chuàng)建IPSec安全協會。

(2)VPN客戶端使用VPN服務器創(chuàng)建L2TP隧道．

(3)服務器向客戶端發(fā)送質詢。(假定VPN客戶端和VPN服務器使用MS-CHAP v1或CHAP身份驗證協議)

(4)客戶將加密的響應發(fā)送給服務器。

(5)服務器檢查對應于用戶帳戶數據庫的響應。

(6)如果帳戶有效并擁有遠程訪問權限，服務器將接受符合VPN客戶遠程訪問策略和用戶帳戶屬性的連接。

通過授權和身份驗證并連接到LAN后，遠程訪問VPN連接的VPN客戶只能訪問那些具有權限的網絡資源。遠程訪問VPN客戶服從Windows 2000安全設置，如同他們在辦公室中一樣。換句話說，遠程訪問VPN客戶不能進行任何無權進行的操作，也不能訪問無權訪問的資源。 遠程訪問服務器必須先鑒別遠程訪問VPN客戶的身份，然后才允許其進行網絡訪問和數據傳輸。該身份驗證是登錄到Windows 2000中的獨立步驟。

可以將遠程訪問VPN客戶限制為只許訪問VPN服務器的共享資源，而不許訪問VPN服務器連接的網絡。因此，管理員可以嚴格控制遠程訪問VPN客戶端的可用信息并限制客戶端在破壞安全事件中曝光。

另外，可以在遠程訪問策略配置文件基礎上，使用數據包篩選器限制對Intranet的IP通信的訪問。通過參數文件包過濾器，可以配置基于例外的允許輸出連接(輸出過濾器)和進入連接(輸入過濾器)的IP傳輸：除了過濾器指定的通信以外的所有通信，或除了過濾器指定的通信以外沒有通信。遠程訪問策略配置文件對所有與遠程訪問策略相匹配的連接申請進行篩選。

3．2 身份驗證

通過VPN服務器驗證VPN客戶身份至關重要地關系到安全性問題。身份驗證以2個級別進行：

(1)機器級身份驗證 如果將IPSec用于通過IPSecVPN連接的L2TP，機器級別的身份驗證將通過IPSec安全關聯建立過程中的機器證書交換完成。

(2)用戶級別身份驗證 在通過PPTP或L2TP隧道發(fā)送數據之前，必須對請求VPN連接的用戶或請求撥號路由器進行身份驗證。用戶級別的身份驗證是通過PPP身份驗證方式進行的。

3．3 數據加密

必須使用數據加密來保護在VPN客戶和VPN服務器或者共享或公共網絡之間發(fā)送的數據，因為這些網絡通常有未授權攔截的危險。可以將VPN服務器配置為強制執(zhí)行加密的通訊。連接到該服務器的用戶必須對數據進行加密，否則不允許建立連接。對VPN連接，Windows 2000使用有PPTP的Microsoft點到點加密(MPPE)及使用L2TP的IPSec加密。

3．4 數據包篩選

要保證VPN服務器在Internet接口上發(fā)送或接收除VPN通信之外任何通信的安全，需要在響應與Internet連接的接口上的IPSec輸入和輸出篩選器上配置PPTP或L2TP。對于路由器到路由器VPN連接，還必須使用IPSec數據包篩選器上的PPTP或L2TP配置呼叫路由器(VPN客戶)。

因為默認情況下，在Intranet接口和Internet連接相對應的接口上啟用IP路由，運行Windows 2000的計算機在Internet和Intranet之間轉發(fā)IP數據包。這在Intranet和Internet上可能的非法用戶之間提供一個直接、路由的連接。為了保護Intranet，以使Intranet的惟一通信是通過安全VNP連接發(fā)送或接收的，必須通過Internet接口上的IPSec過濾器配置PPTP或L2TP。

4 結 語

VPN作為一種正在發(fā)展和完善的技術，其設計應該包含以下原則：安全性、網絡優(yōu)化、VPN管理等。

在安全性上，由于VPN直接構建在公用網上，其安全問題極其重要，必須確定其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源和信息的訪問。同時還要充分有效地利用有限的廣域網資源，按優(yōu)先級分配帶寬資源，為重要數據提供可靠的帶寬，預防阻塞的發(fā)生。

在VPN的管理上，VPN要求將網絡功能從局域網無縫地延伸到公用網、個人和別的局域網。所以，一個完善的VPN管理系統是必不可少的。VPN管理的目標為：減少網絡風險、具有高擴展性和高可靠性、經濟性。