1、Windowss Servver 20003 的虛虛擬專用網(wǎng)絡絡：互操作性性Microsooft Coorporaation發(fā)布時間：20003 年 3 月摘要Microsooft Winddows Servver 20003 操作作系統(tǒng)集成了了 VPN 技術(shù)，該技技術(shù)幫助實現(xiàn)現(xiàn)了通過 IInternnet 進行行安全、低成成本遠程訪問問和分支機構(gòu)構(gòu)連接。Wiindowss Servver 20003 虛擬擬專用網(wǎng)絡的的設(shè)計初衷是是與 VPNN 軟件和支支持安全遠程程訪問行業(yè)標標準的設(shè)備進進行交互操作作。本白皮書書闡述了 MMicrossoft 如如何致力于通通過“基于 Innterneet

2、協(xié)議安安全性的第二二層隧道協(xié)議議”(L2TPP/IPSeec) 和“點對點隧道道協(xié)議”(PPTPP) 等標準準來支持 VVPN 互操操作性。本文檔所包含的的信息代表 Microosoft Corpooratioon 對截至至發(fā)布日期之之前所討論問問題的當前觀觀點。Miccrosofft 必須緊緊跟瞬息萬變變的市場形勢勢，因此不應應將其視為 Microosoft 的承諾，并并且 Miccrosofft 無法保保證發(fā)布日期期之后所提供供的任何信息息的準確性。本文檔僅用于提提供信息之目目的。MICCROSOFFT 對本文文檔中的信息息不做任何明明示或暗示的的擔保。遵守所有適用版版權(quán)法是用戶戶的職責。

3、在在不限制版權(quán)權(quán)權(quán)利的情況況下，如未獲獲得 Miccrosofft Corrporattion 明明確的書面許許可，不得以以任何形式或或通過任何方方法（電子、機機械、影印、記記錄或其他方方法）或出于于任何目的將將本文檔的任任何部分進行行復制、存入入或引入檢索索系統(tǒng)或進行行傳送。Microsooft 可能能擁有涉及本本文檔中主題題事項的專利利權(quán)、專利申申請權(quán)、商標標權(quán)、版權(quán)或或其他知識產(chǎn)產(chǎn)權(quán)。除非得得到 Miccrosofft 明確提提供的任何書書面許可協(xié)議議，否則提供供本文檔并不不表示授予您您對這些專利利、商標、版版權(quán)或其他知知識產(chǎn)權(quán)的許許可。 2003 Microosoft Corpoora

4、tioon。版權(quán)所有，保保留所有權(quán)利利。Microsooft、Windoows、Windoows 徽標標和 Winndows NT 是 Micrrosoftt Corpporatiion 在美美國和/或其他國家家或地區(qū)的注注冊商標或商商標。本文檔提及的實實際公司和產(chǎn)產(chǎn)品的名稱可可能是其各自自所有者的商商標。目錄TOC o 2-3 h z t Heading 1,1 HYPERLINK l _Toc148288663 簡介 PAGEREF _Toc148288663 h 1 HYPERLINK l _Toc148288664 VPN 技術(shù)概概述 PAGEREF _Toc148288664 h 2

5、 HYPERLINK l _Toc148288665 遠程訪問 VPPN 要求和和基于 IPPSec 的的實現(xiàn) PAGEREF _Toc148288665 h 3 HYPERLINK l _Toc148288666 用戶身份驗證 PAGEREF _Toc148288666 h 3 HYPERLINK l _Toc148288667 地址分配 PAGEREF _Toc148288667 h 4 HYPERLINK l _Toc148288668 PPTP：基于于 IPSeec 的 VVPN 的替替代方案和/或補充 PAGEREF _Toc148288668 h 4 HYPERLINK l _To

6、c148288669 Microsooft VPPN 支持的的未來發(fā)展方方向 PAGEREF _Toc148288669 h 5 HYPERLINK l _Toc148288670 客戶要完成的工工作 PAGEREF _Toc148288670 h 5 HYPERLINK l _Toc148288671 對 VPN 供供應商的建議議 PAGEREF _Toc148288671 h 5 HYPERLINK l _Toc148288672 相關(guān)鏈接 PAGEREF _Toc148288672 h 6簡介基于 Micrrosoftt Winddows Servver 20003 的虛虛擬專用網(wǎng)絡絡支

7、持行業(yè)標標準技術(shù)，為為客戶提供了了一個開放式式可互操作虛虛擬專用網(wǎng)絡絡 (VPNN) 解決方方案。Miccrosofft 一直致致力于基于“因特網(wǎng)工程程工作組”(IETFF) 標準的的技術(shù)，例如如“Interrnet 協(xié)協(xié)議安全性”(IPSeec) 和“第二層隧道道協(xié)議”(L2TPP) (RFFC 31993)，以及及“點對點隧道道協(xié)議”(PPTPP)（即多個個可互操作第第三方產(chǎn)品中中支持的經(jīng)過過實踐證明的的已發(fā)布信息息性 RFCC (RFCC 26377)）。Miicrosooft 支持持 L2TPP/IPSeec 和 PPPTP 的的原因如下：PPTP 提供供的 VPNN 安全性簡簡單易用

8、且成成本較低。與與采用 IPPSec 技技術(shù)的 VPPN 不同，PPPTP 與與多數(shù)“網(wǎng)絡地址轉(zhuǎn)轉(zhuǎn)換器”(NAT) 都兼容，并并且同時支持持多協(xié)議環(huán)境境和組播環(huán)境境。它還將標標準的用戶密密碼身份驗證證與強加密相相結(jié)合，避免免了公鑰基礎(chǔ)礎(chǔ)結(jié)構(gòu) (PPKI) 的的復雜性和支支出。IPSec 為為 VPN 提供了高級級安全性，但但其設(shè)計初衷衷并未解決關(guān)關(guān)鍵的遠程訪訪問需要，例例如用戶身份份驗證和地址址分配。此外外，它不支持持多協(xié)議或組組播（包括某某些路由協(xié)議議）。它僅適適用于 IPP 單播通信信。與 IPSecc 結(jié)合的 L2TP (L2TPP/IPSeec) 是唯唯一在利用 IPSecc 進行加密

9、密的同時又解解決這些遠程程訪問 VPPN 需要的的標準跟蹤技技術(shù) (RFFC 31993)。L22TP 目前前所保持的 IETF 標準跟蹤狀狀態(tài)與 IPPSec 的的相同。未將 L2TPP 與 IPPSec結(jié)合合使用的第三三方“IPSecc-onlyy”（僅 IPSSec）實現(xiàn)現(xiàn)使用的是非非標準專有技技術(shù)，這些技技術(shù)可使客戶戶受困于關(guān)閉閉的解決方案案。在缺少基于標準準的 IPSSec 解決決方案的情況況下，Miccrosofft 認為 L2TP/IPSecc 可為多供供應商的可互互操作遠程訪訪問 VPNN 場景提供供最佳的基于于標準的解決決方案。V決先些基作支戶證帳如 c式現(xiàn)細 /c方操期客慮

10、于P方其Pe方Microsooft 鼓勵勵 VPN 網(wǎng)關(guān)供應商商為遠程訪問問 VPN 提供 L22TP/IPPSec 支支持，并將其其作為一種選選擇來補充適適用于站點對對站點情況（也也稱為網(wǎng)關(guān)對對網(wǎng)關(guān)，其中中，多協(xié)議和和組播是起作作用的考慮因因素）的 IIPSec 隧道模式。通通過支持 LL2TP/IIPSec 和/或 PPPTP，WWindowws 客戶端端可以直接連連接到供應商商網(wǎng)關(guān)和其他他 VPN 解決方案，而而無需客戶更更改客戶端代代碼。VPN 技術(shù)概概述鑒于企業(yè)收購的的性質(zhì)、將公公司網(wǎng)絡延伸伸到承包商和和合作伙伴的的需要以及公公司網(wǎng)絡內(nèi)設(shè)設(shè)備的多元性性，虛擬專用用網(wǎng)絡具有的的多供應商

11、互互操作性在當當今的網(wǎng)絡環(huán)環(huán)境中必不可可少。為確保保客戶擁有開開放式解決方方案，基于 Microosoft Windoows Seerver 2003 的 VPNN 技術(shù)根據(jù)據(jù)行業(yè)標準設(shè)設(shè)計而成。通過支持 IEETF 行業(yè)業(yè)標準，Miicrosooft 呈獻獻了一個將與與其他符合標標準的設(shè)備或或軟件系統(tǒng)協(xié)協(xié)同工作的 VPN 解解決方案，從從而幫助降低低支持專有解解決方案所附附帶的成本和和復雜性。采采用基于標準準的技術(shù)的客客戶不會受困困于任何特定定供應商的專專有實現(xiàn)。MMicrossoft 支支持 IETTF 對 VVPN 技術(shù)術(shù)進行標準化化。迄今為止止，以下兩個個主要技術(shù)符符合 IETTF 標

12、準：第二層隧道協(xié)議議 (L2TTP) - PPTP 與 Cissco 的“第二層轉(zhuǎn)發(fā)發(fā)協(xié)議”的組合，通通過 IETTF 標準過過程演化而來來。Interneet 協(xié)議安安全性 (IIPSec) - 體系結(jié)構(gòu)構(gòu)、協(xié)議和相相關(guān)的“Interrnet 密密鑰交換”(IKE) 協(xié)議，在在 IETFF RFC 2401-2409 中進行了描描述。RFC 31993（一個 IEETF 提議議標準）中對對這些技術(shù)的的組合進行了了描述。除了 IETFF 標準跟蹤蹤技術(shù)之外，Microsoft 還支持由 PPTP 行業(yè)論壇（US Robotics 現(xiàn)在的 3Com、3Com/Primary Access、Asc

13、end、Microsoft 和 ECI Telematics）創(chuàng)建的 PPTP。PPTP 是一個已發(fā)布的信息性 RFC (RFC 2637)，為許多公司提供了第三方實現(xiàn)。針對高級安全性性的要求，IIPSec 作為一種關(guān)關(guān)鍵技術(shù)脫穎穎而出。但 IPSecc 隧道模式式自身就支持持傳統(tǒng)的身份份驗證方法、隧隧道 IP 地址分配和和配置以及多多協(xié)議，這些些都是對遠程程訪問 VPPN 連接的的關(guān)鍵要求。為為提供真正的的可互操作解解決方案，WWindowws Serrver 22003 將將 L2TPP 與 IPPSec 結(jié)結(jié)合使用來提提供安全的可可互操作 VVPN 解決決方案。L2TP 擁有有廣泛的供應

14、應商支持（尤尤其是在最大大的網(wǎng)絡訪問問設(shè)備提供商商之中），并并且已通過一一系列由供應應商主辦的測測試活動驗證證了互操作性性。通過將 L2TP 作為有效載載荷放入 IIPSec 數(shù)據(jù)包，通通信不但受益益于 IPSSec 的基基于標準的加加密、完整性性和重放保護護，同時還受受益于基于 PPP 的的隧道的用戶戶身份驗證、隧隧道地址分配配和配置以及及多協(xié)議支持持。這種組合合通常被稱為為 L2TPP/IPSeec。遠程訪問 VPPN 要求和和基于 IPPSec 的的實現(xiàn)遠程訪問 VPPN 解決方方案要求進行行用戶身份驗驗證（不僅僅僅是計算機身身份驗證）、授授權(quán)和帳戶設(shè)設(shè)置以提供安安全的客戶端端對服務器通

15、通信，還要求求進行隧道地地址分配和配配置以實現(xiàn)可可管理性。未未使用 L22TP 的基基于 IPSSec 的實實現(xiàn)將使用非非標準專有方方法來解決這這些關(guān)鍵性遠遠程訪問 VVPN 要求求。用戶身份驗證許多 IPSeec 隧道模模式實現(xiàn)都不不支持通過證證書來進行基基于用戶的身身份驗證。如如果單獨使用用基于計算機機的身份驗證證，則無法通通過確定正在在訪問網(wǎng)絡的的用戶來實施施正確的授權(quán)權(quán)。鑒于當今今的多用戶操操作系統(tǒng)，許許多用戶可能能使用的是同同一臺計算機機，如果不采采用基于用戶戶的身份驗證證，IPSeec 隧道模模式就無法對對這些用戶進進行區(qū)分。因因此，不帶用用戶身份驗證證的 IPSSec 隧道道模式

16、并不適適用于遠程訪訪問 VPNN。基于 XAUTTH（一種非非標準跟蹤專專有技術(shù)）的的第三方 IIPSec 隧道模式實實現(xiàn)試圖通過過支持用戶身身份驗證專有有技術(shù)以及預預共享組密鑰鑰來解決這一一問題。結(jié)果果，預共享組組密鑰帶來了了“man-iin-thee-midddle”（中間人攻攻擊）這一安安全漏洞，使使具備預共享享組密鑰訪問問權(quán)限的任何何人都可以擔擔任“中間人”，從而假冒冒網(wǎng)絡上的其其他用戶。IPSec 隧隧道模式專用用于站點對站站點的 VPPN 連接，其其中用戶身份份驗證和隧道道尋址并不算算是問題。由由于站點對站站點的 VPPN 連接通通常是在路由由器之間進行行，因此減少少盒子數(shù)量會會簡

17、化地址分分配。同時，由由于路由器通通常并不具有有用戶級的身身份驗證，因因此在許多情情況下計算機機身份驗證可可能就足夠了了。對于要求求通信為僅 IP 和僅僅單播模式的的站點對站點點配置，Miicrosooft 在 Windoows Seerver 2003 中支持 IIPSec 隧道模式。此此時，用戶身身份驗證并不不是問題，而而且互操作性性也良好。注意：對于遠程程訪問，鑒于于 IPSeec 隧道模模式的身份驗驗證安全漏洞洞和非標準實實現(xiàn)，Miccrosofft 強烈建建議客戶僅部部署 L2TTP/IPSSec。Miicrosooft 還建建議對多協(xié)議議、組播的站站點對站點配配置使用 LL2TP/

18、IIPSec。盡管許多客戶都都對最終部署署智能卡身份份驗證頗有興興趣，但多數(shù)數(shù)情況下，都都有必要在過過渡期間保持持對傳統(tǒng)身份份驗證方法（例例如密碼或令令牌卡）的支支持。有些客客戶可能還想想支持生物測測定（例如視視網(wǎng)膜掃描、指指紋等等）之之類的高級身身份驗證技術(shù)術(shù)。這就需要要有一種標準準方式來適應應傳統(tǒng)的身份份驗證以及將將來出現(xiàn)的身身份驗證方法法。正如最初規(guī)定的的，IPSeec 隧道模模式僅支持通通過用戶證書書或預共享密密鑰進行用戶戶身份驗證。不不過，多數(shù) IPSecc 隧道模式式實現(xiàn)都僅支支持使用計算算機證書或預預共享密鑰。LL2TP 利利用“點對點協(xié)議議”(PPP) 來作為協(xié)協(xié)商用戶身份份驗

19、證的方法法。因此，LL2TP 可可以通過“密碼身份驗驗證協(xié)議”(PAP)、“挑戰(zhàn)握手身身份驗證協(xié)議議”(CHAPP)、“Microosoft 挑戰(zhàn)握手身身份驗證協(xié)議議”(MS-CCHAP) 或 MS-CHAP 版本 2 (MS-CCHAP vv2) 對傳傳統(tǒng)的基于密密碼的系統(tǒng)進進行身份驗證證。它還通過過“可擴展身份份驗證協(xié)議”(EAP) 支持高級級身份驗證服服務，該協(xié)議議提供了無需需創(chuàng)建其他 PPP 身身份驗證協(xié)議議即可插入不不同身份驗證證服務的方法法。由于 LL2TP 是是在 IPSSec 傳輸輸模式數(shù)據(jù)包包內(nèi)部加密，所所以這些身份份驗證服務也也將受到有力力保護。最重重要的是，通通過與“遠程

20、身份驗驗證撥號用戶戶服務”(RADIIUS) 和和基于“輕量目錄訪訪問協(xié)議”(LDAPP) 的目錄錄進行集成，LL2TP 為為業(yè)界提供了了一種以可互互操作方式進進行身份驗證證同時又支持持多數(shù)客戶和和供應商已經(jīng)經(jīng)擁有的身份份驗證服務的的通用途徑。盡管有供應商針針對“IPSecc-onlyy”（僅 IPPSec）研研發(fā)和提議了了其他身份驗驗證服務，但但這些替代方方案偏離了 IETF 標準。這些些提議不但不不支持用于可可擴展身份驗驗證的現(xiàn)有 IETF 標準，還引引入了另一個個帶有嚴重的的已知安全漏漏洞的身份驗驗證框架。MMicrossoft 認認為，使實現(xiàn)現(xiàn)遵守標準才才能最好地滿滿足客戶需求求。地址

21、分配目前，許多 IIPSec 隧道模式實實現(xiàn)都使用專專有方法進行行地址分配和和配置，而不不支持“動態(tài)主機配配置協(xié)議”(DHCPP) 之類的的 IETFF 標準。MMicrossoft 與與 Sun Microosysteems、Inntel 和和 RedCCreek 已聯(lián)手提議議使用 DHHCP 對 IPSecc 隧道進行行尋址和配置置，從而實現(xiàn)現(xiàn)與企業(yè)級 IP 地址址管理解決方方案的集成。支支持地址分配配專有方法的的 IPSeec 隧道模模式客戶端無無法支持已受受 DHCPP 支持的多多種配置選項項，另外，這這些客戶端無無法使用 DDHCP 技技術(shù)的改進功功能，例如 DHCP 故障轉(zhuǎn)移、地地

22、址池管理或或 DHCPP 身份驗證證。因此，它它們在 IPP 地址管理理方面毫無發(fā)發(fā)展前景。由于 L2TPP 使用 PPPP，因此它很很容易就可以以與現(xiàn)有的 IP 地址址管理系統(tǒng)相相集成。PPPP 客戶端端可以使用“Interrnet 協(xié)協(xié)議控制協(xié)議議”(IPCPP) 進行地地址分配并使使用 DHCCPInfoorm 消息息進行配置，而而 PPP 和 L2TPP 服務器可可以通過 DDHCP 和和 RADIIUS 與 IP 地址址管理和配置置系統(tǒng)相集成成。因此，LL2TP 提提供了基于現(xiàn)現(xiàn)有標準的卓卓越的互操作作性。PPTP：基于于 IPSeec 的 VVPN 的替替代方案和/或補充PPTP

23、是最最早的受到廣廣泛支持的 VPN 協(xié)協(xié)議。PPTTP 開發(fā)于于 IPSeec 和 PPKI 標準準之前，實現(xiàn)現(xiàn)了自動化配配置并支持傳傳統(tǒng)的身份驗驗證方法。由由于 PPTTP 不需要要 PKI，因因此在不需要要最完備的安安全性的情況況下，它更加加節(jié)省成本且且更易于部署署。PPTPP 還可能是是 VPN 連接必須遍遍歷“網(wǎng)絡地址轉(zhuǎn)轉(zhuǎn)換器”(NAT) 時唯一可可行的選擇，“網(wǎng)絡地址轉(zhuǎn)換器”與任何不支持新開發(fā)的“IPSec NAT 遍歷”(IPSec NAT-T) 技術(shù)（目前采用 IETF 草稿形式）的 IPSec 實現(xiàn)都不兼容。dSr3P隧 c式取的的歷o d2以P現(xiàn)對Cv份)增功又他通強以卡書戶

24、和這假截強方了此P為2P的 有代充Microsooft VPPN 支持的的未來發(fā)展方方向Microsooft 的客客戶、出版社社和分析人員員曾告訴 MMicrossoft，他他們更希望 Microosoft 為 Winndows 創(chuàng)建單一的的標準 VPPN 客戶端端，因為這會會使部署變得得更加容易、WWindowws 集成更更加有效、可可靠性更高。Microsooft 一直直都將 L22TP/IPPSec 作作為其唯一的的基于 IPPSec 的的自帶遠程訪訪問 VPNN 協(xié)議來支支持，因為它它保留了解決決實際客戶部部署問題的唯唯一現(xiàn)有的可可互操作標準準。另外，對于遠程程訪問 VPPN 場景和和

25、站點對站點點場景，Miicrosooft 還繼繼續(xù)支持 PPPTP，以以應對通過任任何基于 IIPSec 的解決方案案都無法解決決的特殊要求求情況。客戶要完成的工工作計劃將基于 IIPSec 的 VPNN 解決方案案用于遠程訪訪問的客戶應應認真評估互互操作性問題題。鑒于企業(yè)業(yè)收購的性質(zhì)質(zhì)、使承包商商和合作伙伴伴可以訪問公公司網(wǎng)絡的需需要以及公司司網(wǎng)絡內(nèi)設(shè)備備的多元性等等諸多因素，虛虛擬專用網(wǎng)絡絡的多供應商商互操作性非非常重要。盡盡管專有解決決方案可能有有效，但重要要的是考慮如如何在接下來來的一兩年內(nèi)內(nèi)使用虛擬專專用網(wǎng)絡以及及您如今的 VPN 解解決方案選擇擇會如何影響響未來的總體體方向。計劃將 VPNN 用于業(yè)務務合作或支持持由擁有其自自己設(shè)備的簽簽約雇員進行行遠程訪問的的客戶應確定定 VPN 解決方案的的優(yōu)先順序，這這些解決方案案基于可互操操作標準并支支持基于用戶戶的身份驗證證、授權(quán)和帳帳戶設(shè)置。如如果要考慮 IPSecc 隧道模式式的專有實現(xiàn)現(xiàn)，則應仔細細評估基于 L2TP/IPSecc 的解決方方案支持互操操作性的近期期可行性。客客戶還應考慮慮如何用基于于 PPTPP 的解決方方案來補充其其 L2TPP/IPSeec 解決方方案。對 VPN 供供應商的建議議Microsooft 鼓勵勵網(wǎng)關(guān)供應商商為遠程訪問問 VPN 實現(xiàn) L22TP/IPPSec，以以便支持 LL2TP/