《網(wǎng)絡(luò)安全技術(shù)》課件第10章

第10章VPN技術(shù)10.1VPN概述10.2VPN隧道協(xié)議10.3VPN集成10.4VPN應(yīng)用實(shí)例習(xí)題

10.1VPN概述

VPN是將不同物理位置的組織和個(gè)人通過(guò)已有的公共網(wǎng)絡(luò)建立一條點(diǎn)到點(diǎn)的虛擬鏈路，模擬專用網(wǎng)進(jìn)行安全數(shù)據(jù)通信的網(wǎng)絡(luò)技術(shù)，其基本原理是通過(guò)一定的技術(shù)將互聯(lián)網(wǎng)上每個(gè)VPN用戶的數(shù)據(jù)與其他數(shù)據(jù)加以區(qū)別，避免未經(jīng)授權(quán)的訪問(wèn)，從而確保數(shù)據(jù)的安全。通過(guò)利用共享的公共網(wǎng)絡(luò)設(shè)施實(shí)現(xiàn)VPN，能夠以極低的費(fèi)用為遠(yuǎn)程用戶提供性能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)。

1.隧道技術(shù)

隧道技術(shù)(Tunneling)是目前構(gòu)建VPN的基本方式。隧道技術(shù)是指把一種類型的報(bào)文封裝在另一種報(bào)文中在網(wǎng)絡(luò)上進(jìn)行傳輸，如圖10.1所示。兩個(gè)網(wǎng)絡(luò)通過(guò)VPN接入設(shè)備的一個(gè)端口，即一個(gè)VPN端點(diǎn)，建立的虛擬鏈路就叫隧道。發(fā)送給遠(yuǎn)程網(wǎng)絡(luò)的數(shù)據(jù)要進(jìn)行一定的封裝處理，從發(fā)送方網(wǎng)絡(luò)的一個(gè)VPN端點(diǎn)進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN(物理上穿越不安全的互聯(lián)網(wǎng))，到達(dá)接收方網(wǎng)絡(luò)的另一個(gè)VPN端點(diǎn)，再經(jīng)過(guò)解封裝處理，便得到原始數(shù)據(jù)，并且把加密后的原始數(shù)據(jù)發(fā)給目的主機(jī)。圖10.1VPN隧道模式封裝的數(shù)據(jù)在傳送中，不僅遵循指定的路徑，避免經(jīng)過(guò)不信任的節(jié)點(diǎn)而到達(dá)未授權(quán)接收方，而且封裝處理使得傳送的中間節(jié)點(diǎn)不必也不會(huì)解析原始數(shù)據(jù)，這在一定程度上防止了數(shù)據(jù)泄密。對(duì)主機(jī)來(lái)說(shuō)，不管是發(fā)送主機(jī)還是接收主機(jī)，都不知道數(shù)據(jù)曾經(jīng)被封裝過(guò)，也不知道數(shù)據(jù)是在Internet網(wǎng)絡(luò)上進(jìn)行傳輸?shù)?，它只需要提供要傳輸?shù)臄?shù)據(jù)，而不需要特殊的軟件或配置，所有傳送過(guò)程都由VPN設(shè)備來(lái)處理。僅僅通過(guò)隧道技術(shù)還不能建立適合所有安全要求的VPN，因?yàn)橐话愕乃淼兰夹g(shù)只能夠滿足在單個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)安全傳輸?shù)男枨?。用戶?shù)據(jù)要跨越多個(gè)運(yùn)營(yíng)商網(wǎng)絡(luò)時(shí)，在兩個(gè)獨(dú)立網(wǎng)絡(luò)節(jié)點(diǎn)的封裝數(shù)據(jù)要先解封處理后再封裝，可能在此過(guò)程中造成信息泄漏，因此，必須結(jié)合加密技術(shù)和密鑰管理等技術(shù)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。同時(shí)，身份認(rèn)證及訪問(wèn)控制等技術(shù)可以支持遠(yuǎn)程接入或動(dòng)態(tài)建立隧道的VPN，通過(guò)對(duì)訪問(wèn)者身份的確認(rèn)及對(duì)其訪問(wèn)資源的控制來(lái)保證信息安全。所以，VPN通信具有與專用網(wǎng)同等的通信安全性。VPN的簡(jiǎn)單通信過(guò)程如下：(1)客戶機(jī)向VPN服務(wù)器發(fā)出請(qǐng)求。

(2)

VPN服務(wù)器響應(yīng)請(qǐng)求，并要求客戶進(jìn)行身份認(rèn)證。

(3)客戶機(jī)將加密的用戶身份認(rèn)證響應(yīng)信息發(fā)給服務(wù)器。

(4)

VPN服務(wù)器收到客戶的認(rèn)證響應(yīng)信息，確認(rèn)該帳戶是否有效，是否具有遠(yuǎn)程訪問(wèn)權(quán)限。如果有訪問(wèn)權(quán)限，則接收此連接。

(5)

VPN服務(wù)器利用在認(rèn)證過(guò)程中產(chǎn)生的客戶機(jī)和服務(wù)器的公有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，然后通過(guò)VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

總之，VPN可以通過(guò)隧道技術(shù)、密碼技術(shù)、身份認(rèn)證及訪問(wèn)控制技術(shù)等在共享的互聯(lián)網(wǎng)上實(shí)現(xiàn)低成本的安全數(shù)據(jù)傳輸。

2.

VPN的優(yōu)點(diǎn)

VPN的優(yōu)點(diǎn)如下：

1)費(fèi)用低廉

這是使用VPN的最主要的好處。通過(guò)使用VPN，我們可以在公共網(wǎng)絡(luò)上盡可能安全地傳輸數(shù)據(jù)，而不需要再租用專線來(lái)組網(wǎng)。并且，多數(shù)VPN都可以提供可靠的遠(yuǎn)程撥號(hào)服務(wù)，如此便減少了管理、維護(hù)和操作撥號(hào)網(wǎng)絡(luò)的人力成本，節(jié)約了相關(guān)費(fèi)用。2)安全可靠

VPN為數(shù)據(jù)安全傳輸提供了許多安全保證，可以保證傳輸數(shù)據(jù)的機(jī)密性、完整性和對(duì)發(fā)送/接收者的認(rèn)證。

3)部署簡(jiǎn)單

VPN使用的是已有的基礎(chǔ)設(shè)施，因此可以利用現(xiàn)有的基礎(chǔ)設(shè)施快速建立VPN，從而降低工作量，節(jié)省時(shí)間，減少施工費(fèi)用。

3.

VPN的缺點(diǎn)

VPN有如上所述的許多優(yōu)點(diǎn)，但同時(shí)也有一些缺點(diǎn)：

1)增加了處理開銷

為了保證數(shù)據(jù)傳輸安全，通常對(duì)傳輸?shù)拿恳粋€(gè)報(bào)文都進(jìn)行加密，如此便增加了VPN處理壓力。雖然可以采取硬件技術(shù)來(lái)解決，但同時(shí)也增加了構(gòu)建VPN的成本。同時(shí)，由于VPN對(duì)發(fā)送的報(bào)文進(jìn)行了封裝，或者在原始報(bào)文上增加額外報(bào)文信息，這些都增加了處理開銷，對(duì)網(wǎng)絡(luò)性能構(gòu)成一定的影響。2)實(shí)現(xiàn)問(wèn)題

由于現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)情況一般比較復(fù)雜，因此VPN在設(shè)計(jì)的時(shí)候必須考慮到實(shí)現(xiàn)的問(wèn)題，包括VPN通過(guò)、網(wǎng)絡(luò)地址轉(zhuǎn)換、最大傳輸單元大小等問(wèn)題。3)故障診斷和控制問(wèn)題

由于VPN上傳輸?shù)臄?shù)據(jù)都進(jìn)行了封裝處理，真實(shí)數(shù)據(jù)只能等解封后才能看見(jiàn)，因此一旦發(fā)生故障，很難進(jìn)行診斷。同時(shí)，如果遠(yuǎn)程用戶通過(guò)VPN接入的話，必須要考慮對(duì)其實(shí)施控制。因?yàn)榇藭r(shí)的遠(yuǎn)程接入客戶作為進(jìn)入網(wǎng)絡(luò)的入口，由于其自身主機(jī)的安全問(wèn)題，可能會(huì)帶來(lái)安全隱患。并且，VPN畢竟是構(gòu)建在公共基礎(chǔ)設(shè)施上，而一旦這些基礎(chǔ)設(shè)施出現(xiàn)問(wèn)題則會(huì)導(dǎo)致Internet服務(wù)故障，從而使VPN的通信出現(xiàn)問(wèn)題。

10.2VPN隧道協(xié)議

按照用戶數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù)鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng)用層，可以將VPN協(xié)議劃分成第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。

第二層隧道協(xié)議：主要包括點(diǎn)到點(diǎn)隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(Layer2Forwarding，L2F)，第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)、多協(xié)議標(biāo)記交換(Multi-ProtocolLabelSwitching，MPLS)等，主要應(yīng)用于構(gòu)建接入VPN。

第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議(GenericRoutingEncapsulation，GRE)和IPSec，它主要應(yīng)用于構(gòu)建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。

第四層隧道協(xié)議：如SSLVPN。SSLVPN與IPSecVPN都是實(shí)現(xiàn)VPN的兩大實(shí)現(xiàn)技術(shù)。其中，IPSecVPN工作在網(wǎng)絡(luò)層，因此與上層的應(yīng)用程序無(wú)關(guān)。采用隧道運(yùn)行模式的IPSec對(duì)原始的IP數(shù)據(jù)包進(jìn)行封裝，從而隱藏了所有的應(yīng)用協(xié)議信息，因此可以實(shí)現(xiàn)各種應(yīng)用類型的一對(duì)多的連接，如Web、電子郵件、文件傳輸、VoIP等連接。與SSL相比，IPSec只在一個(gè)客戶程序和遠(yuǎn)程VPN網(wǎng)關(guān)或主機(jī)之間建立一條連接，所有應(yīng)用程序的流量都通過(guò)該連接建立的隧道進(jìn)行傳輸。而SSLVPN工作在應(yīng)用層，對(duì)每一個(gè)附加的應(yīng)用程序都不得不建立額外的連接和隧道。不過(guò)，SSL除了具備與IPSecVPN相當(dāng)?shù)陌踩酝猓€增加了訪問(wèn)控制機(jī)制。而且客戶端只需要擁有支持SSL的瀏覽器即可，配置方便，使用簡(jiǎn)單，非常適合遠(yuǎn)程用戶訪問(wèn)企業(yè)內(nèi)部網(wǎng)。因此，現(xiàn)在第四層隧道協(xié)議最著名的便是SSL。

關(guān)于SSL和IPSec的技術(shù)原理與應(yīng)用請(qǐng)參考9.4節(jié)與9.5節(jié)，本章內(nèi)容將重點(diǎn)討論其他幾種VPN協(xié)議。10.2.1PPTP

在了解點(diǎn)到點(diǎn)隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)協(xié)議之前，必須先要了解PPP和GRE兩個(gè)協(xié)議。

1)點(diǎn)到點(diǎn)協(xié)議(Point-to-PointProtocol，PPP)

PPP協(xié)議主要是為通過(guò)撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接的同等單元之間傳輸數(shù)據(jù)包而設(shè)計(jì)的鏈路層協(xié)議。PPP協(xié)議將IP、IPX和NETBEUI包封裝在PP幀內(nèi)通過(guò)點(diǎn)對(duì)點(diǎn)的鏈路發(fā)送，主要應(yīng)用于撥號(hào)連接用戶和NAS。2)

GRE協(xié)議

GRE協(xié)議由Cisco和NetSmiths等公司提交給IETF的數(shù)據(jù)封裝協(xié)議，它規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，由RFC1701和RFC1702詳細(xì)定義。目前多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GER隧道協(xié)議。

GER協(xié)議允許用戶使用IP包封裝IP、

IPX、

AppleTalk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)。不過(guò)，GER協(xié)議只提供了數(shù)據(jù)包封裝功能而沒(méi)有加密功能，所以在實(shí)際環(huán)境中為了保證用戶數(shù)據(jù)安全，GER協(xié)議經(jīng)常與IPSec結(jié)合使用，由IPSec提供用戶數(shù)據(jù)的加密。PPTP是由微軟、Ascend、3COM等公司支持的基于IP的點(diǎn)對(duì)點(diǎn)隧道協(xié)議，它采用隧道技術(shù)，使用IP數(shù)據(jù)包通過(guò)Internet傳送PPP數(shù)據(jù)幀，在RFC2367中有詳細(xì)定義。該協(xié)議使用兩種不同類型的數(shù)據(jù)包來(lái)管理隧道和發(fā)送數(shù)據(jù)包。PPTP通過(guò)TCP端口1723建立TCP連接并發(fā)送和接收所有控制命令。對(duì)于數(shù)據(jù)傳輸，PPTP先使用PPP封裝，再將PPP封裝到一個(gè)IP類型為47的GRE數(shù)據(jù)包中，最后GRE數(shù)據(jù)包再被封裝到一個(gè)IP數(shù)據(jù)包中通過(guò)隧道傳輸。如圖10.2所示。圖10.2PPTP數(shù)據(jù)包格式PPTP協(xié)議的實(shí)現(xiàn)由PPTP接入集中器(PPTPAccessConcentrator，PAC)和PPTP網(wǎng)絡(luò)服務(wù)器(PPTPNetworkServer，PNS)來(lái)分別執(zhí)行，從而實(shí)現(xiàn)因特網(wǎng)上的VPN。其中，ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能，企業(yè)VPN中心服務(wù)器將執(zhí)行PNS的功能。如圖10.3所示，遠(yuǎn)程撥號(hào)用戶(如遠(yuǎn)程用戶1)首先采用撥號(hào)方式接入到ISP的NAS(PAC)建立PPP連接，然后接入Internet，通過(guò)企業(yè)VPN服務(wù)器(PNS)訪問(wèn)企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號(hào)至企業(yè)的網(wǎng)絡(luò)。這樣，由GRE將PPP報(bào)文封裝成的IP報(bào)文就可以在PAC－PNS之間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS之間為用戶的PPP會(huì)話建立了一條PPTP隧道(如PPTP隧道1)。由于所有的通信都將在IP包內(nèi)通過(guò)隧道，因此PAC只起著通過(guò)PPP連接進(jìn)因特網(wǎng)的入口點(diǎn)的作用。對(duì)于直接連接到Internet上的客戶(如遠(yuǎn)程用戶2)，可以直接與企業(yè)VPN服務(wù)器建立虛擬通道(如PPTP隧道2)而不需要與ISP建立PPP連接。圖10.3PPTP實(shí)現(xiàn)過(guò)程PPTP具有兩種不同的工作模式，即被動(dòng)模式和主動(dòng)模式。

被動(dòng)模式的PPTP：ISP為用戶提供其撥號(hào)連接到ISP過(guò)程中所有的服務(wù)和幫助，而客戶端則不需要安裝任何與PPTP相關(guān)的軟件。此模式的好處是降低了對(duì)客戶的要求，缺點(diǎn)是限制了客戶對(duì)因特網(wǎng)其他部分的訪問(wèn)。

主動(dòng)模式的PPTP：由客戶建立一個(gè)與企業(yè)網(wǎng)絡(luò)服務(wù)器直接連接的PPTP隧道，ISP只提供透明的傳輸通道而并不參與隧道的建立。此模式的優(yōu)點(diǎn)是客戶擁有對(duì)PPTP的絕對(duì)控制，缺點(diǎn)是對(duì)用戶的要求較高，并需要在客戶端安裝支持PPTP的相應(yīng)軟件。從安全性上來(lái)說(shuō)，對(duì)于加密，PPTP使用Microsoft點(diǎn)對(duì)點(diǎn)加密算法(MicrosoftPoint-to-PointEncryption，MPPE)，采用RC4加密程序。對(duì)于認(rèn)證，PPTP使用Microsoft挑戰(zhàn)握手認(rèn)證協(xié)議(MicrosoftChallengeHandshakeAuthenticationProtocol，MS-CHAP)、口令認(rèn)證協(xié)議(PasswordAuthenticationProtocol，PAP)、挑戰(zhàn)握手認(rèn)證協(xié)議(Challenge-HandshakeAuthenticationProtocol，CHAP)或可擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)來(lái)實(shí)現(xiàn)用戶認(rèn)證功能。但是，由于MS-CHAP是不安全的，因此大都認(rèn)為PPTP不安全。后來(lái)，Microsoft在PPTP實(shí)現(xiàn)中采用了MS-CHAPV2，解決了其存在的安全問(wèn)題。10.2.2L2TP

第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)是IETF起草，微軟、Ascend、Cisco、3COM等公司參與的協(xié)議，在RFC2661中對(duì)其進(jìn)行了詳細(xì)定義。該協(xié)議由PPTP與二層轉(zhuǎn)發(fā)協(xié)議(Layer2Forwarding，L2F)的融合而形成，結(jié)合了兩個(gè)協(xié)議的優(yōu)點(diǎn)，是目前IETF的標(biāo)準(zhǔn)。其中，L2F是由Cisco公司提出的可以在多種傳輸網(wǎng)絡(luò)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)的通信方式，主要用于Cisco的路由器和撥號(hào)訪問(wèn)服務(wù)器，能夠?qū)㈡溌穼拥膮f(xié)議(如HDLC、PPP等)封裝起來(lái)傳送。和PPTP一樣，L2TP通過(guò)對(duì)數(shù)據(jù)加密和對(duì)目的地址加密隱藏，在Internet網(wǎng)絡(luò)上建立隧道，從而創(chuàng)建一種安全的連接來(lái)傳送信息。L2TP消息可以分為兩種類型，一種是控制信息，另一種是數(shù)據(jù)信息?？刂菩畔⒂糜谒淼篮秃艚械慕?、維護(hù)與清除。數(shù)據(jù)信息用于封裝隧道傳輸?shù)腜PP數(shù)據(jù)幀?？刂菩畔⒗肔2TP內(nèi)部可靠的控制通道來(lái)保證傳輸，而數(shù)據(jù)信息一旦數(shù)據(jù)包丟失則不再重傳。如圖10.4所示。L2TP在IP網(wǎng)絡(luò)上的隧道控制信息以及數(shù)據(jù)使用相類似，通過(guò)UDP的1701端口承載于TCP/IP之上進(jìn)行傳輸。

結(jié)合IPSec技術(shù)進(jìn)行數(shù)據(jù)安全傳輸?shù)腖2TP數(shù)據(jù)包格式如圖10.5所示。圖10.4L2TP協(xié)議結(jié)構(gòu)圖10.5L2TP數(shù)據(jù)包格式與PPTP類似，L2TP協(xié)議的實(shí)現(xiàn)也由兩個(gè)設(shè)備來(lái)執(zhí)行：一個(gè)是L2TP訪問(wèn)集中器(L2TPAccessConcentrator，LAC)，另一個(gè)是L2TP網(wǎng)絡(luò)服務(wù)器(L2TPNetworkServer，LNS)。L2TP將隧道連接定義為一個(gè)LNS和LAC對(duì)，其中LAC用于發(fā)起呼叫、接收呼叫和建立隧道，而LNS是遠(yuǎn)程系統(tǒng)通過(guò)L2TP建立的隧道傳送PPP會(huì)話的邏輯終點(diǎn)。如圖10.6所示。圖10.6L2TP實(shí)現(xiàn)過(guò)程

1.

L2TP的建立過(guò)程

(1)遠(yuǎn)程用戶通過(guò)PSTN或ISDN撥號(hào)至本地接入服務(wù)器LAC(LAC是連接的終點(diǎn))；

(2)

LAC接收呼叫，認(rèn)證用戶是否合法，通過(guò)Internet、幀中繼或ATM網(wǎng)絡(luò)建立一個(gè)通向內(nèi)部網(wǎng)(HomeLAN)LNS的VPN隧道；

(3)在隧道上傳輸PPP數(shù)據(jù)到達(dá)內(nèi)部網(wǎng)絡(luò)。

在以上過(guò)程中，內(nèi)部網(wǎng)提供地址分配、認(rèn)證、計(jì)費(fèi)等管理。LAC客戶端(運(yùn)行L2TP的主機(jī))可以直接接入內(nèi)部網(wǎng)而不需要另外的LAC。在這種情況下，包含LAC客戶端軟件的主機(jī)必須已經(jīng)連接到公網(wǎng)上，然后建立一個(gè)“虛擬”PPP連接，使本機(jī)L2TPLAC客戶端與LNS之間建立一個(gè)隧道。其地址分配、認(rèn)證、授權(quán)和計(jì)費(fèi)都由目標(biāo)網(wǎng)絡(luò)的管理域提供。LAC和LNS功能一般由為用戶通過(guò)PSTN/ISDN撥入網(wǎng)絡(luò)提供服務(wù)的網(wǎng)絡(luò)接入服務(wù)器NAS(NetworkAccessServer)提供。

2.

L2TP協(xié)議的特性

(1)擴(kuò)展性。為了在互通的基礎(chǔ)上具有最大化擴(kuò)展性，L2TP使用了統(tǒng)一的格式來(lái)對(duì)消息的類型和主體(body)進(jìn)行編碼，用AVP值對(duì)(AttributeValuePair)來(lái)表示。

(2)可靠性。L2TP在控制信息的傳輸過(guò)程中，應(yīng)用消息丟失重傳和定時(shí)檢測(cè)通道連通性等機(jī)制來(lái)保證傳輸?shù)目煽啃?。而其?shù)據(jù)消息的傳輸由于不采用重傳機(jī)制，所以它無(wú)法保證傳輸?shù)目煽啃裕@一點(diǎn)可以通過(guò)上層協(xié)議如TCP等得到保證。另外，L2TP在所有的控制信息中都采用序號(hào)來(lái)保證可靠傳輸，而數(shù)據(jù)信息可用序號(hào)來(lái)進(jìn)行數(shù)據(jù)包的重排或用來(lái)檢測(cè)丟失的數(shù)據(jù)包。(3)身份認(rèn)證及保密性。L2TP繼承了PPP的所有安全特性，不僅可以選擇多種身份認(rèn)證機(jī)制(CHAP、PAP等)，還可以對(duì)隧道端點(diǎn)進(jìn)行認(rèn)證。L2TP定義了控制包的加密傳輸，對(duì)每個(gè)隧道生成一個(gè)獨(dú)一無(wú)二的隨機(jī)密鑰，以抵御欺騙性的攻擊，但是它對(duì)傳輸中的數(shù)據(jù)不加密。根據(jù)特定的網(wǎng)絡(luò)安全要求可以方便地在L2TP之上采用隧道加密、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。

3.

L2TP與PPTP的區(qū)別

雖然L2TP是由PPTP發(fā)展起來(lái)的，都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加報(bào)頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸，但兩者間仍有一定的區(qū)別：

(1)從網(wǎng)絡(luò)運(yùn)行環(huán)境上來(lái)看，PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，而L2TP可以在IP、幀中繼、ATM等網(wǎng)絡(luò)上使用。

(2)從建立隧道的模式來(lái)看，PPTP只能在兩端點(diǎn)間建立單一隧道，而L2TP支持在兩端點(diǎn)間使用多隧道。因此，用戶可以針對(duì)不同的服務(wù)質(zhì)量使用L2TP創(chuàng)建不同的隧道。(3)從認(rèn)證方式來(lái)看，L2TP可以提供隧道認(rèn)證，而PPTP則不支持隧道認(rèn)證。但是當(dāng)L2TP或PPTP與IPSec共同使用時(shí)，可以由IPSec提供隧道驗(yàn)證，而不需要在第二層協(xié)議上驗(yàn)證隧道。

(4)從數(shù)據(jù)包傳輸效率來(lái)看，L2TP合并了控制通道和數(shù)據(jù)通道，使用UDP協(xié)議來(lái)傳輸所有信息，因此，相對(duì)采用TCP協(xié)議傳輸數(shù)據(jù)的PPTP來(lái)說(shuō)，效率更高，更容易通過(guò)防火墻。另一方面，PPTP支持通過(guò)NAT防火墻的操作，而L2TP則不能支持。10.2.3MPLS

多協(xié)議標(biāo)記交換(Multi-ProtocolLabelSwitching，MPLS)吸收了ATM的VPI/VCI交換思想，無(wú)縫集成了IP路由技術(shù)的靈活性和兩層交換的簡(jiǎn)捷性，在面向無(wú)連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過(guò)采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運(yùn)營(yíng)的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，MPLS應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLSVPN等應(yīng)用。本節(jié)重點(diǎn)介紹MPLSVPN技術(shù)。MPLS的主要原理是為每個(gè)IP數(shù)據(jù)包提供一個(gè)標(biāo)記，并由此標(biāo)記決定數(shù)據(jù)包的路徑以及優(yōu)先級(jí)，使與MPLS兼容的路由器在將數(shù)據(jù)包轉(zhuǎn)送到其路徑之前，只需讀取數(shù)據(jù)包標(biāo)記，而無(wú)需讀取每個(gè)數(shù)據(jù)包的IP地址和標(biāo)頭，然后將所傳送的數(shù)據(jù)包置于幀中繼或ATM的虛擬電路上，從而將數(shù)據(jù)包快速傳送至終點(diǎn)路由器，減少了數(shù)據(jù)包的延遲，增加了網(wǎng)絡(luò)傳輸?shù)乃俣?。同時(shí)由幀中繼及ATM交換器所提供的服務(wù)質(zhì)量(QualityofService，QoS)對(duì)所傳送的數(shù)據(jù)包加以分級(jí)，因而大幅提升網(wǎng)絡(luò)服務(wù)品質(zhì)及提供更多樣化的服務(wù)。因此，MPLS技術(shù)適合用于遠(yuǎn)程互聯(lián)的大中型企業(yè)專用網(wǎng)絡(luò)等對(duì)QoS、服務(wù)級(jí)別(ClassofService，CoS)、網(wǎng)絡(luò)帶寬、可靠性等要求高的VPN業(yè)務(wù)。

10.3VPN集成

VPN在網(wǎng)絡(luò)中的集成有很多方式，最常見(jiàn)的有路由器集成VPN、防火墻集成VPN和專用VPN設(shè)備三種方式。

1.路由器集成VPN

現(xiàn)在一些路由器中已經(jīng)配備了VPN模塊，即路由器集成VPN，如圖10.7所示。圖10.7路由器集成VPN邊緣路由器上集成VPN，訪問(wèn)過(guò)程如下：

遠(yuǎn)程用戶建立VPN到路由器。

路由器將請(qǐng)求轉(zhuǎn)發(fā)給NAS。

NAS認(rèn)證遠(yuǎn)程用戶是否合法，若合法，則授權(quán)用戶訪問(wèn)內(nèi)部網(wǎng)。

路由器集成VPN的設(shè)備僅適合小型網(wǎng)絡(luò)而不適合大型網(wǎng)絡(luò)，因?yàn)槁酚善鞅旧淼男阅苡邢?，若再加上加?解密VPN信息帶來(lái)的負(fù)擔(dān)，則會(huì)使路由器超負(fù)荷。因此，一般對(duì)企業(yè)用戶來(lái)說(shuō)，路由器集成VPN并不是一個(gè)很好的選擇。

2.防火墻集成VPN

防火墻集成VPN是應(yīng)用廣泛的模式。許多廠家的防火墻產(chǎn)品都具有VPN功能。由于防火墻本身具備較完善的記錄功能，因此，在此基礎(chǔ)上增加VPN記錄不會(huì)給防火墻帶來(lái)太大的額外負(fù)擔(dān)。另外，防火墻也是網(wǎng)絡(luò)的入口點(diǎn)，在此增加VPN功能將使用戶能夠訪問(wèn)網(wǎng)絡(luò)而不用開放防火墻規(guī)則，以免增加安全漏洞。

防火墻集成VPN如圖10.8所示。圖10.8防火墻集成VPN防火墻集成VPN訪問(wèn)過(guò)程與路由器集成VPN類似：

遠(yuǎn)程用戶建立VPN到防火墻。

防火墻將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給NAS。

NAS認(rèn)證遠(yuǎn)程用戶是否合法，若合法，則防火墻授權(quán)用戶訪問(wèn)內(nèi)部網(wǎng)。防火墻集成VPN的模式可以獲得設(shè)備中由防火墻部件提供的健壯的訪問(wèn)控制功能，給網(wǎng)絡(luò)管理員提供了更多的控制權(quán)，使用戶能夠訪問(wèn)的網(wǎng)絡(luò)資源部分被限定。但與路由器集成VPN一樣，處理VPN加密/解密信息需要占用大量系統(tǒng)資源，如果防火墻本身負(fù)荷已經(jīng)很重，則不適合選擇此種模式。而且，防火墻集成VPN方案還有一個(gè)缺陷，就是在優(yōu)化配置虛擬網(wǎng)和防火墻部件方面，選擇余地非常小，因?yàn)樽钸m合業(yè)務(wù)需要的防火墻產(chǎn)品可能與虛擬專用網(wǎng)不匹配。同時(shí)，集成方案還會(huì)使VPN和防火墻部件限制在一套系統(tǒng)上，使得配置方案不靈活。

3.專用VPN設(shè)備

專用VPN設(shè)備最主要的優(yōu)點(diǎn)就是減輕了路由器和防火墻管理VPN的負(fù)擔(dān)，即使有再多的連接甚至過(guò)載，也不會(huì)影響網(wǎng)絡(luò)的其他部分。專用VPN設(shè)備的另一個(gè)優(yōu)點(diǎn)是增強(qiáng)了VPN訪問(wèn)的安全性，即使VPN被攻破，也可以使攻擊者引起的破壞降到最低，相比路由器和防火墻集成VPN而言，增強(qiáng)了網(wǎng)絡(luò)安全性。

專用VPN設(shè)備如圖10.9所示。圖10.9專用VPN設(shè)備專用VPN設(shè)備訪問(wèn)過(guò)程如下：

遠(yuǎn)程用戶建立VPN到專用設(shè)備。

專用設(shè)備處理用戶認(rèn)證請(qǐng)求，或?qū)⒄?qǐng)求轉(zhuǎn)發(fā)給NAS。

如果認(rèn)證成功，則授權(quán)用戶訪問(wèn)內(nèi)部網(wǎng)，并且管理員還能夠限定用戶訪問(wèn)網(wǎng)絡(luò)的哪部分資源。專用VPN設(shè)備與防火墻的組合主要有三種結(jié)構(gòu)：

1)

VPN設(shè)備在非軍事區(qū)內(nèi)，位于防火墻和路由器之間

此種模式最大的問(wèn)題就是網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。例如，用戶發(fā)出的報(bào)文使用了IPSec的AH進(jìn)行認(rèn)證，在報(bào)文到達(dá)目標(biāo)網(wǎng)絡(luò)虛擬網(wǎng)設(shè)備時(shí)，由于還沒(méi)通過(guò)防火墻進(jìn)行地址轉(zhuǎn)換，因此不能通過(guò)目標(biāo)網(wǎng)絡(luò)VPN的完整性校驗(yàn)。這是因?yàn)樵诎l(fā)送端的NAT設(shè)備在對(duì)報(bào)文處理時(shí)修改了報(bào)文的源地址，從而導(dǎo)致接收端的VPN連接不能通過(guò)消息摘要認(rèn)證。2)

VPN設(shè)備在防火墻之后，位于屏蔽子網(wǎng)或網(wǎng)絡(luò)內(nèi)部

此種模式的問(wèn)題是地址管理，有些虛擬專用網(wǎng)規(guī)范要求給虛擬專用網(wǎng)設(shè)備配置一個(gè)合法的IP地址，如果IP地址被NAT改寫后，可能會(huì)引起IPSec的IKE階段失敗。

3)

VPN設(shè)備在防火墻之前，更靠近Internet一些

此種模式可以避免潛在的網(wǎng)絡(luò)地址轉(zhuǎn)換和地址管理上出現(xiàn)的問(wèn)題，但由于不能得到防火墻的保護(hù)，如果VPN端點(diǎn)的系統(tǒng)受到損害，可能使攻擊者訪問(wèn)到應(yīng)該受VPN保護(hù)的

信息?？傊瑢Ｓ肰PN設(shè)備為穩(wěn)固和可升級(jí)方案的實(shí)現(xiàn)提供了很好的解決方法，而且不影響網(wǎng)絡(luò)的其他部分，具備許多優(yōu)點(diǎn)。但是專用VPN也有一些缺點(diǎn)，因?yàn)樗穷~外的網(wǎng)絡(luò)設(shè)備，所以也需要對(duì)它進(jìn)行管理和監(jiān)控。另外，VPN設(shè)備及軟件的管理和漏洞也要加強(qiáng)防范，同時(shí)還要防止由于在防火墻中要通過(guò)VPN而創(chuàng)建的連接可能引起的安全問(wèn)題。最后，專用VPN設(shè)備的使用也會(huì)使網(wǎng)絡(luò)成本提高。因此，選擇哪一種VPN端接方式需要對(duì)所有的方案及網(wǎng)絡(luò)潛在流量進(jìn)行徹底的評(píng)估，才能找到最適合的解決方案。

10.4VPN應(yīng)用實(shí)例

【實(shí)驗(yàn)背景】

PPTP協(xié)議是最常用的VPN技術(shù)之一，它能夠在通信的雙方之間建立一個(gè)安全隧道，保證信息的安全傳輸，Windows系統(tǒng)中提供了構(gòu)建PPTP安全應(yīng)用的所有組件。

【實(shí)驗(yàn)?zāi)康摹?/p>

掌握PPTPVPN技術(shù)，保證信息的傳輸安全?！緦?shí)驗(yàn)條件】

(1)基于WindowsServer2003的PC機(jī)一臺(tái)；

(2)基于Windows的PC機(jī)兩臺(tái)。

【實(shí)驗(yàn)任務(wù)】

(1)實(shí)現(xiàn)PPTPVPN服務(wù)器端配置；

(2)實(shí)現(xiàn)PPTPVPN客戶端配置；

(3)利用PPTPVPN技術(shù)實(shí)現(xiàn)客戶端和服務(wù)器端安全訪問(wèn)。

【實(shí)驗(yàn)內(nèi)容】

首先配置網(wǎng)絡(luò)環(huán)境：

1.各主機(jī)IP地址配置

VPN服務(wù)器：WindowsServer2003，配置兩塊網(wǎng)卡，或一塊網(wǎng)卡配兩個(gè)IP地址。其中外網(wǎng)IP為/8，內(nèi)網(wǎng)IP為/24。

外網(wǎng)主機(jī)：Windows2000/XP/2003，IP為/8。

內(nèi)網(wǎng)主機(jī)：Windows2000/XP/2003，IP為/24。

2.域的建立

(1)將VPN服務(wù)器配置成域服務(wù)器，域名自己定義。本實(shí)驗(yàn)指導(dǎo)以建立的域名為例。

(2)在域服務(wù)器上建立一個(gè)域用戶，并賦予撥入權(quán)限，本文以建立的vpn_client1用戶為例，其配置如圖10.10所示。圖10.10域用戶撥入權(quán)限設(shè)置

3.?VPN服務(wù)器配置

(1)單擊“開始”按鈕→“所有程序”→“管理工具”→“路由和遠(yuǎn)程訪問(wèn)”，打開【路由和訪問(wèn)控制】窗口。

(2)右擊【路由和訪問(wèn)控制】窗口中的機(jī)器名→選擇“配置并啟用路由和遠(yuǎn)程訪問(wèn)”。

(3)在【歡迎使用路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А看翱谥袉螕簟跋乱徊健卑粹o。

(4)在【配置】窗口中選擇“自定義配置”，單擊“下一步”按鈕。

(5)在【自定義配置】窗口中選擇“VPN訪問(wèn)(V)”，單擊“下一步”按鈕。

(6)在【正在完成路由和遠(yuǎn)程訪問(wèn)服務(wù)器安裝向?qū)А看翱谥袉螕簟巴瓿伞卑粹o。

(7)在【路由和遠(yuǎn)程訪問(wèn)】提示開始服務(wù)窗口中單擊“是”按鈕，開始啟動(dòng)路由和遠(yuǎn)程訪問(wèn)服務(wù)。

(8)雙擊計(jì)算機(jī)名，高亮顯示“端口”，可以看到該向?qū)ё詣?dòng)創(chuàng)建了VPN端口，包括PPTP端口和L2TP端口，如圖10.11所示。圖10.11VPN端口列表

4.客戶端配置

(1)首先檢查客戶端網(wǎng)卡設(shè)置，為一外網(wǎng)靜態(tài)網(wǎng)卡/24，并用Ping命令測(cè)試其與IAS是否連通。

(2)在“網(wǎng)絡(luò)和撥號(hào)連接”中新建一個(gè)網(wǎng)絡(luò)連接(以Windows