第8章VPN技術(shù)8.1VPN概述

8.2VPN關(guān)鍵技術(shù)

8.3隧道協(xié)議與VPN實(shí)現(xiàn)

8.4WindowsServer2003系統(tǒng)中VPN

連接的設(shè)置習(xí)題

8.1VPN概

述

8.1.1VPN的概念

在現(xiàn)有的技術(shù)中，DDN技術(shù)雖然可以實(shí)現(xiàn)企業(yè)間互聯(lián)，但租金昂貴；ADSL寬帶雖然價(jià)格低廉，但它只能應(yīng)用于企業(yè)接入Internet，不能實(shí)現(xiàn)企業(yè)間的互聯(lián)。由于安全意識(shí)淡薄，缺乏應(yīng)有的安全防范措施，因此非法入侵、對(duì)數(shù)據(jù)進(jìn)行篡改和竊聽等事件時(shí)有發(fā)生。雖然一些企業(yè)也采取了相應(yīng)的安全措施如建立自己的防火墻等，但是據(jù)報(bào)道有1/3的防火墻已被黑客攻破，許多安全措施也形同虛設(shè)。為了防止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)對(duì)數(shù)據(jù)進(jìn)行存取和竊聽，必須認(rèn)真驗(yàn)證對(duì)方身份，防止抵賴，以確保數(shù)據(jù)的真實(shí)性和完整性等安全問題得到保障。

為了能在訪問Internet的同時(shí)實(shí)現(xiàn)企業(yè)互聯(lián)，并保證接入費(fèi)用低廉，人們提出了VPN技術(shù)。

VPN即虛擬專用網(wǎng)，顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但它卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能。VPN被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。通俗地講，VPN就是利用公用網(wǎng)絡(luò)來(lái)組建企業(yè)自己的網(wǎng)絡(luò)，實(shí)現(xiàn)異地組網(wǎng)。雖然VPN建立在公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)上，但是用戶在使用VPN時(shí)會(huì)感覺如同在使用專用網(wǎng)絡(luò)進(jìn)行通信。例如，有一家公司總部設(shè)在長(zhǎng)沙(總部有多臺(tái)應(yīng)用服務(wù)器)，在暮云有一個(gè)辦事處，都有局域網(wǎng)，都通過(guò)Internet上網(wǎng)，那么可以通過(guò)VPN技術(shù)在公網(wǎng)上為他們建立一條虛擬通道，暮云局域網(wǎng)的用戶可以通過(guò)“網(wǎng)上鄰居”訪問長(zhǎng)沙的總部服務(wù)器，感覺和在本地一樣。

通常，可用VPN實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。當(dāng)移動(dòng)或遠(yuǎn)程用戶通過(guò)撥號(hào)方式遠(yuǎn)程訪問公司或企業(yè)內(nèi)部專用網(wǎng)絡(luò)的時(shí)候，采用傳統(tǒng)的遠(yuǎn)程訪問方式通信費(fèi)用比較高，而且在與內(nèi)部專用網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)，不能保證通信的安全性。為了避免上述問題的發(fā)生，通過(guò)撥號(hào)與企業(yè)內(nèi)部專用網(wǎng)絡(luò)建立VPN連接是一個(gè)理想的選擇。由于VPN是在公網(wǎng)上臨時(shí)建立的安全專用虛擬網(wǎng)絡(luò)，利用公網(wǎng)資源可實(shí)現(xiàn)企業(yè)專網(wǎng)的延續(xù)，因此用戶節(jié)省了租用專線的費(fèi)用；在運(yùn)行資金的支出上，除了購(gòu)買VPN設(shè)備外，企業(yè)所付出的僅僅是向企業(yè)所在地的ISP支付一定的上網(wǎng)費(fèi)用，從而節(jié)省了長(zhǎng)途電話費(fèi)。這些都是VPN價(jià)格低廉的原因。總之，VPN就是要實(shí)現(xiàn)低成本的安全穩(wěn)定互通。

VPN通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司各分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等和公司的企業(yè)網(wǎng)連接起來(lái)，就構(gòu)成了一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。可以說(shuō)VPN是原有專線式企業(yè)專用廣域網(wǎng)的替代方案，但VPN并沒有改變?cè)袕V域網(wǎng)的某些特性(如支持多重協(xié)議、高可靠性及高擴(kuò)充性等)，而是在降低成本的基礎(chǔ)上來(lái)實(shí)現(xiàn)這些特性。VPN中的主機(jī)不會(huì)“察覺”到公網(wǎng)的存在，仿佛所有的主機(jī)都處于一個(gè)網(wǎng)絡(luò)中，公網(wǎng)只由本網(wǎng)絡(luò)獨(dú)占使用，而事實(shí)上并非如此，所以稱為虛擬專用網(wǎng)。

綜上所述，虛擬專用網(wǎng)可以使遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴和供應(yīng)商等同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。企業(yè)的虛擬專用網(wǎng)解決方案可以大幅度減少用戶在城域網(wǎng)和遠(yuǎn)程網(wǎng)絡(luò)連接上的花費(fèi)，同時(shí)也會(huì)簡(jiǎn)化網(wǎng)絡(luò)的設(shè)計(jì)和管理，并且便于增加新用戶和網(wǎng)站。另外，虛擬專用網(wǎng)還可以保護(hù)現(xiàn)有的網(wǎng)絡(luò)資源。隨著用戶的商業(yè)服務(wù)的不斷發(fā)展，企業(yè)的虛擬專用網(wǎng)解決方案可以使用戶將精力集中到自己的生意上，而不是網(wǎng)絡(luò)上。

8.1.2VPN的特點(diǎn)

1．安全保障

雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在非面向連接的公用IP網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱為建立一個(gè)隧道。可以利用加密技術(shù)對(duì)經(jīng)過(guò)隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證數(shù)據(jù)的私有性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保它在VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對(duì)網(wǎng)絡(luò)資源或私有信息的訪問。特別地，ExtranetVPN將企業(yè)網(wǎng)擴(kuò)展到合作伙伴和客戶后，對(duì)安全性提出了更高的要求。

2．服務(wù)質(zhì)量保證因?yàn)椴煌挠脩艉蜆I(yè)務(wù)對(duì)服務(wù)質(zhì)量保證(QoS)的要求差別不同，所以VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。例如，對(duì)移動(dòng)辦公用戶而言，提供廣泛的連接和覆蓋性是保證VPN服務(wù)的一個(gè)主要因素；而對(duì)于擁有眾多分支機(jī)構(gòu)的專線VPN網(wǎng)絡(luò)，交互式的內(nèi)部企業(yè)網(wǎng)應(yīng)用則要求網(wǎng)絡(luò)能提供良好的穩(wěn)定性；對(duì)于其他應(yīng)用(如視頻等)則對(duì)網(wǎng)絡(luò)提出了更明確的要求，如網(wǎng)絡(luò)時(shí)延及誤碼率等。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一個(gè)重要要求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)易引起網(wǎng)絡(luò)阻塞，產(chǎn)生網(wǎng)絡(luò)瓶頸，使數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又容易造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，從而防止阻塞的發(fā)生。

3．可擴(kuò)充性和靈活性

(1)能夠支持通過(guò)Intranet和Extranet的各種類型的數(shù)據(jù)流；

(2)便于增加新的節(jié)點(diǎn)；

(3)支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4．可管理性對(duì)于用戶和運(yùn)營(yíng)商來(lái)說(shuō)，可以方便地對(duì)VPN進(jìn)行管理和維護(hù)。站在VPN的角度，VPN要求企業(yè)能將其網(wǎng)絡(luò)管理功能從局域網(wǎng)無(wú)縫地延伸到公用網(wǎng)，甚至是客戶和合作伙伴。服務(wù)提供商需要完成一些次要的網(wǎng)絡(luò)管理任務(wù)，而企業(yè)本身則需要完成更多的網(wǎng)絡(luò)管理任務(wù)。所以，一個(gè)完善的VPN管理系統(tǒng)是必不可少的。VPN管理的目標(biāo)是減小網(wǎng)絡(luò)風(fēng)險(xiǎn)，具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。管理的內(nèi)容主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理以及QoS管理等。

8.1.3VPN的分類

1．根據(jù)VPN所起的作用劃分根據(jù)VPN所起的作用可以將VPN分為三類：VPDN、IntranetVPN和ExtranetVPN。

1)VPDN

在遠(yuǎn)程用戶或移動(dòng)雇員和公司內(nèi)部網(wǎng)之間的VPN，稱為VPDN(VirtualPrivateDialNetwork)。VPDN使用撥號(hào)(如模擬電話、ISDN和ADSL等)連接到ISP，是典型的按需連接方式，也是一種非固定線路的VPN。其實(shí)現(xiàn)過(guò)程如下：

(1)用戶撥號(hào)NSP(網(wǎng)絡(luò)服務(wù)提供商)的網(wǎng)絡(luò)訪問服務(wù)器NAS(NetworkAccessServer)，發(fā)出PPP連接請(qǐng)求；

(2)NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路；

(3)NAS對(duì)用戶進(jìn)行身份驗(yàn)證，確定是合法用戶，啟動(dòng)VPDN功能，與公司總部?jī)?nèi)部連接，訪問其內(nèi)部資源。

2)IntranetVPN通過(guò)公網(wǎng)將公司各遠(yuǎn)程分支機(jī)構(gòu)LAN和公司總部LAN相連的VPN，稱為IntranetVPN。IntranetVPN便于公司內(nèi)部的資源共享、文件傳遞等，可節(jié)省DDN等專線所帶來(lái)的高額費(fèi)用。

3)ExtranetVPN在供應(yīng)商、商業(yè)合作伙伴的LAN和公司的LAN之間的VPN，稱為ExtranetVPN。由于供應(yīng)商、商業(yè)合作伙伴和公司的網(wǎng)絡(luò)環(huán)境可能存在差異，因此ExtranetVPN必須能兼容不同的操作平臺(tái)和協(xié)議。另一方面，由于用戶的多樣性，因此公司的網(wǎng)絡(luò)管理員必須考慮到不同用戶的不同訪問權(quán)限。具體說(shuō)來(lái)就是要設(shè)置特定的訪問控制表ACL(AccessControlList)，根據(jù)訪問者的身份、網(wǎng)絡(luò)地址等參數(shù)來(lái)確定訪問者的訪問權(quán)限，再根據(jù)訪問權(quán)限開放相應(yīng)部分的資源。

2．按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分按VPN網(wǎng)絡(luò)結(jié)構(gòu)劃分，VPN可分為以下3種類型。

1)基于VPN的遠(yuǎn)程訪問基于VPN的遠(yuǎn)程訪問即單機(jī)連接到網(wǎng)絡(luò)，用于提供遠(yuǎn)程移動(dòng)用戶對(duì)公司內(nèi)部網(wǎng)的安全訪問。

2)基于VPN的網(wǎng)絡(luò)互聯(lián)基于VPN的網(wǎng)絡(luò)互聯(lián)即網(wǎng)絡(luò)連接到網(wǎng)絡(luò)，又稱站點(diǎn)到站點(diǎn)，網(wǎng)關(guān)(路由器)到網(wǎng)關(guān)(路由器)或網(wǎng)絡(luò)到網(wǎng)絡(luò)。用于企業(yè)總部網(wǎng)絡(luò)和分支機(jī)構(gòu)網(wǎng)絡(luò)的內(nèi)部主機(jī)之間的安全通信，還可用于企業(yè)的內(nèi)部網(wǎng)與企業(yè)合作伙伴網(wǎng)絡(luò)之間的信息交流，并提供一定程度的安全保護(hù)，防止對(duì)內(nèi)部信息的非法訪問。

3)基于VPN的點(diǎn)對(duì)點(diǎn)通信基于VPN的點(diǎn)對(duì)點(diǎn)即單機(jī)到單機(jī)，又稱端對(duì)端，用于企業(yè)內(nèi)部網(wǎng)的兩臺(tái)主機(jī)之間的安全通信。

3．按隧道協(xié)議劃分按隧道協(xié)議的網(wǎng)絡(luò)分層，VPN可劃分為第2層隧道協(xié)議、第3層隧道協(xié)議等。PPTP、L2P和L2TP都屬于第2層隧道協(xié)議，IPSec屬于第3層隧道協(xié)議，MPLS則是跨越第2層和第3層的協(xié)議。VPN的實(shí)現(xiàn)往往是將第2層和第3層協(xié)議配合使用，如L2TP/IPSec。當(dāng)然，還可根據(jù)具體的協(xié)議來(lái)進(jìn)一步劃分VPN類型，如PPTPVPN、L2TPVPN、IPSecVPN和MPLSVPN等。

4．按隧道建立方式劃分根據(jù)隧道建立方式，VPN可分為兩種類型。

1)自愿隧道自愿隧道(VoluntaryTunnel)指客戶計(jì)算機(jī)或路由器可以通過(guò)發(fā)送VPN請(qǐng)求配置和創(chuàng)建的隧道。這種方式也稱為基于用戶設(shè)備的VPN。VPN的技術(shù)實(shí)現(xiàn)集中在VPN用戶端，隧道的起始點(diǎn)和終止點(diǎn)都位于用戶端，隧道的建立、管理和維護(hù)也都由用戶負(fù)責(zé)；ISP只提供通信線路，不承擔(dān)建立隧道的業(yè)務(wù)。該方式技術(shù)實(shí)現(xiàn)容易，但要求用戶在終端上裝載所需的協(xié)議，并且與互聯(lián)網(wǎng)相聯(lián)。不過(guò)這仍然是目前最普遍使用的VPN組網(wǎng)類型。

2)強(qiáng)制隧道強(qiáng)制隧道(CompulsoryTunnel)指由VPN服務(wù)提供商配置和創(chuàng)建的隧道。與自愿隧道不同的是，在這種方式中由一臺(tái)網(wǎng)絡(luò)設(shè)備(一般是ISP端的設(shè)備)代替撥號(hào)用戶建立與目的地隧道服務(wù)器之間的隧道。這種方式也稱為基于網(wǎng)絡(luò)的VPN。VPN的技術(shù)實(shí)現(xiàn)集中在ISP，隧道的起始點(diǎn)和終止點(diǎn)都位于ISP，隧道的建立、管理和維護(hù)都由ISP負(fù)責(zé)；VPN用戶不承擔(dān)隧道業(yè)務(wù)，客戶端無(wú)需安裝VPN軟件。這種方式便于用戶使用，增強(qiáng)了VPN的靈活性和可擴(kuò)展性，但是其技術(shù)實(shí)現(xiàn)較復(fù)雜，目前一般由電信運(yùn)營(yíng)商提供或由用戶委托電信運(yùn)營(yíng)商來(lái)實(shí)現(xiàn)。

5．按路由管理方式劃分

1)疊加模式疊加模式(OverlayModel)即覆蓋模式。目前大多數(shù)VPN技術(shù)都是基于疊加模式的。采用疊加模式時(shí)，各站點(diǎn)都由一個(gè)路由器通過(guò)點(diǎn)到點(diǎn)連接到其他站點(diǎn)的路由器上(通常將這個(gè)由點(diǎn)到點(diǎn)的連接以及相關(guān)的路由器組成的網(wǎng)絡(luò)稱為虛擬骨干網(wǎng))。這種方式的缺點(diǎn)在于難以支持大規(guī)模的VPN，可擴(kuò)展性差。如果一個(gè)VPN用戶有許多站點(diǎn)，且站點(diǎn)間需要全交叉網(wǎng)狀連接，則一個(gè)站點(diǎn)上的骨干路由器必須與其他所有站點(diǎn)建立點(diǎn)對(duì)點(diǎn)的路由關(guān)系。站點(diǎn)數(shù)的增加會(huì)受到單個(gè)路由器處理能力的限制。另外，增加新站點(diǎn)時(shí)，網(wǎng)絡(luò)配置變化也會(huì)很大，網(wǎng)狀連接上的每一個(gè)站點(diǎn)都必須重新配置路由器。

2)對(duì)等模式對(duì)等模式(PeerModel)是針對(duì)疊加模式的缺陷而推出的改進(jìn)方法，它通過(guò)限制路由信息的傳播來(lái)實(shí)現(xiàn)VPN。這種模式能夠支持大規(guī)模的VPN業(yè)務(wù)，如一個(gè)VPN服務(wù)提供商可支持成百上千個(gè)VPN。采用這種模式，相關(guān)的路由設(shè)備很復(fù)雜，但實(shí)際配置卻非常簡(jiǎn)單；容易實(shí)現(xiàn)QoS服務(wù)；擴(kuò)展更加方便，因?yàn)樾略鲆粋€(gè)站點(diǎn)，不需與其他站點(diǎn)建立連接。對(duì)等模式對(duì)網(wǎng)狀結(jié)構(gòu)的大型復(fù)雜網(wǎng)絡(luò)非常有用。

8.2VPN關(guān)鍵技術(shù)

8.2.1隧道封裝技術(shù)由于受到Internet網(wǎng)絡(luò)中IP地址資源短缺的影響，各企業(yè)內(nèi)部網(wǎng)絡(luò)使用的多為私有IP地址，從這些地址發(fā)出的數(shù)據(jù)包是不能直接通過(guò)Internet傳輸?shù)模仨氂煤戏ǖ腎P地址來(lái)代替。有多種方法可以完成這種地址轉(zhuǎn)換，如靜態(tài)IP地址轉(zhuǎn)換、動(dòng)態(tài)IP地址轉(zhuǎn)換、端口替換、數(shù)據(jù)包封裝等。對(duì)于VPN而言，數(shù)據(jù)包封裝(隧道)是最常用的技術(shù)，幾乎所有的VPN技術(shù)都采用數(shù)據(jù)包封裝技術(shù)。

所謂隧道，就是這樣一種封裝技術(shù)，它利用一種網(wǎng)絡(luò)傳輸協(xié)議，將其他協(xié)議產(chǎn)生的數(shù)據(jù)報(bào)文封裝到它自己的報(bào)文中在網(wǎng)絡(luò)中傳輸。數(shù)據(jù)包封裝發(fā)生在VPN的發(fā)送節(jié)點(diǎn)，此時(shí)需將原數(shù)據(jù)打包，添加合法的外層IP包頭。被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過(guò)公網(wǎng)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過(guò)的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)(即目的局域網(wǎng)和公網(wǎng)的接口處)，數(shù)據(jù)將被解包，并在還原出原報(bào)文后轉(zhuǎn)發(fā)給目標(biāo)主機(jī)。隧道技術(shù)是指包括數(shù)據(jù)封裝、傳輸和解包在內(nèi)的全過(guò)程。

8.2.2密碼技術(shù)一般來(lái)講，信息安全主要包括系統(tǒng)安全和數(shù)據(jù)安全兩方面的內(nèi)容。系統(tǒng)安全一般采用防火墻、病毒查殺、防范等被動(dòng)措施；而數(shù)據(jù)安全則主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、數(shù)據(jù)不可否認(rèn)與抵賴、雙向身份認(rèn)證等。其中，數(shù)據(jù)加密的基本過(guò)程就是對(duì)原來(lái)可讀的文件或數(shù)據(jù)按某種方法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱之為“密文”，使其只能在輸入相應(yīng)的密鑰之后才能顯示出原來(lái)的內(nèi)容。通過(guò)這種方法以達(dá)到保護(hù)數(shù)據(jù)，確保數(shù)據(jù)不被竊取、閱讀的目的。

對(duì)于密碼技術(shù)，我國(guó)政府明確規(guī)定禁止直接使用國(guó)外的密碼算法和安全產(chǎn)品，這是因?yàn)閲?guó)外禁止出口密碼算法和產(chǎn)品，對(duì)于那些已出口的安全密碼算法國(guó)外都有破譯手段。因此，我國(guó)擔(dān)心國(guó)外的算法和產(chǎn)品中存在“后門”，關(guān)鍵時(shí)刻可能會(huì)危害到我國(guó)的信息安全。為此，1999年國(guó)務(wù)院頒布商用密碼管理?xiàng)l例，對(duì)密碼的管理使用進(jìn)行了具體規(guī)定。當(dāng)前我國(guó)的信息安全系統(tǒng)由國(guó)家密碼管理委員會(huì)統(tǒng)一管理。

可以這樣說(shuō)，密碼技術(shù)是保障信息安全的核心技術(shù)，在VPN中更是如此。眾所周知，密碼技術(shù)早在古代就已經(jīng)得到應(yīng)用，但當(dāng)時(shí)僅限于軍事和外交等重要領(lǐng)域。隨著現(xiàn)代計(jì)算機(jī)技術(shù)的飛速發(fā)展，密碼技術(shù)正在不斷向更多領(lǐng)域滲透，并且已經(jīng)成為了集計(jì)算機(jī)科學(xué)、數(shù)學(xué)、電子、通信等諸多學(xué)科于一體的交叉學(xué)科。密碼技術(shù)不僅能保證機(jī)密信息的加密，還能完成數(shù)字簽名、身份驗(yàn)證、系統(tǒng)安全等功能。所以，使用密碼技術(shù)不僅可以保證信息的機(jī)密性，還可以保證信息的完整性和確定性，防止信息被篡改、偽造和假冒。

簡(jiǎn)而言之，密碼技術(shù)即加密隱蔽傳輸信息、認(rèn)證用戶身份等，是實(shí)現(xiàn)網(wǎng)絡(luò)安全最有效的技術(shù)之一。加密網(wǎng)絡(luò)可以防止非授權(quán)用戶的搭線竊聽和入網(wǎng)，并能有效對(duì)付惡意攻擊軟件，這使它能以較小的代價(jià)提供較強(qiáng)的安全保護(hù)。數(shù)據(jù)加密可通過(guò)各種加密算法來(lái)實(shí)現(xiàn)，作為一項(xiàng)基本技術(shù)，數(shù)據(jù)加密已成為所有通信數(shù)據(jù)安全的基石。在多數(shù)情況下，數(shù)據(jù)加密是保證信息機(jī)密性的惟一方法。

8.2.3身份驗(yàn)證和認(rèn)證技術(shù)

1．身份驗(yàn)證

1)CHAP

CHAP是通過(guò)使用MD5(一種工業(yè)標(biāo)準(zhǔn)的散列方案)來(lái)協(xié)商加密身份驗(yàn)證的一種安全形式。CHAP在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向MD5散列。采用這種方法可以向服務(wù)器證明客戶機(jī)知道密碼，但不必真正地將密碼發(fā)送到網(wǎng)絡(luò)上。

2)MS-CHAP

MS-CHAP同CHAP相似，微軟開發(fā)MS-CHAP是為了對(duì)遠(yuǎn)程Windows工作站進(jìn)行身份驗(yàn)證，它在響應(yīng)時(shí)使用質(zhì)詢-響應(yīng)機(jī)制和單向加密，不要求使用原文或可逆加密密碼。

3)MS-CHAPv2

MS-CHAPv2是微軟開發(fā)的第二版的質(zhì)詢握手身份驗(yàn)證協(xié)議，它提供了相互身份驗(yàn)證和更強(qiáng)大的初始數(shù)據(jù)密鑰，而且發(fā)送和接收分別使用不同的密鑰。如果將VPN連接配置為用MS-CHAPv2作為惟一的身份驗(yàn)證方法，那么客戶端和服務(wù)器端就都要證明其身份，哪方不提供對(duì)自己身份的驗(yàn)證，其連接將被斷開。

4)EAP

EAP的開發(fā)是為了適應(yīng)對(duì)使用其他安全設(shè)備的遠(yuǎn)程訪問用戶進(jìn)行身份驗(yàn)證的日益增長(zhǎng)的需求。通過(guò)使用EAP，可以增加對(duì)許多身份驗(yàn)證方案的支持，其中包括令牌卡、一次性密碼、智能卡的公鑰、證書及其他身份驗(yàn)證。對(duì)于VPN來(lái)說(shuō)，使用EAP可以防止暴力或詞典攻擊及密碼猜測(cè)，EAP能提供比其他身份驗(yàn)證方法更高的安全性。在Windows系統(tǒng)中，對(duì)于采用智能卡進(jìn)行身份驗(yàn)證，將采用EAP驗(yàn)證方法；對(duì)于通過(guò)密碼進(jìn)行身份驗(yàn)證，將采用CHAP、MS-CHAP或MS-CHAPv2驗(yàn)證方法。

2．認(rèn)證問題除了加密和解密，VPN還需要核實(shí)信息發(fā)送方的身份，并確保信息在公網(wǎng)上傳送時(shí)沒有被篡改。其中核實(shí)發(fā)送者身份的過(guò)程稱做認(rèn)證。認(rèn)證可以通過(guò)用戶的名字和口令來(lái)實(shí)現(xiàn)，也可以通過(guò)電子證書或數(shù)字證書提供的相關(guān)信息來(lái)完成。電子證書包括加密參數(shù)，電子證書是用于驗(yàn)證用戶或主系統(tǒng)身份的工具。

目前常見的身份認(rèn)證技術(shù)主要有三種，最常見的是用戶名加口令的方式，但這種身份確認(rèn)方式很不安全，非常容易由于外部泄漏等原因或通過(guò)口令猜測(cè)、線路竊聽、重放攻擊等手段而導(dǎo)致合法用戶身份被偽造；第二種是生物特征識(shí)別技術(shù)(包括指紋、聲音、手跡、虹膜等)，該技術(shù)以人體惟一的生物特征為依據(jù)，具有很好的安全性和有效性，但其實(shí)現(xiàn)復(fù)雜，目前技術(shù)尚不成熟，實(shí)施成本昂貴，在應(yīng)用推廣中還不具有現(xiàn)實(shí)意義；第三種是現(xiàn)在電子政務(wù)和電子商務(wù)領(lǐng)域最流行的身份認(rèn)證方式——基于USBKey的身份認(rèn)證，USBKey結(jié)合了現(xiàn)代密碼學(xué)技術(shù)、智能卡技術(shù)和USB技術(shù)，是新一代的身份認(rèn)證產(chǎn)品。

在VPN中，為了保證公用密鑰的完整性，將公用密鑰與證書一同發(fā)布。證書(或公用密鑰證書)是一種經(jīng)過(guò)證書簽發(fā)機(jī)構(gòu)(CA)數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)。CA使用自己的專用密鑰對(duì)證書進(jìn)行數(shù)字簽名。如果接收方知道CA的公用密鑰，就可以證明證書有CA簽發(fā)，因此包含可靠的信息和有效的公用密鑰。總之，公用密鑰證書為驗(yàn)證發(fā)送方的身份提供了一種方便、可靠的方法。另一方面，也可以使用消息認(rèn)證代碼(MAC)來(lái)達(dá)到認(rèn)證的目的。MAC通過(guò)使用一個(gè)共享秘鑰，接收方使用它的一個(gè)副本，發(fā)送方必須擁有秘鑰的另一個(gè)副本。該密鑰可以用于認(rèn)證可疑數(shù)據(jù)。

8.2.4QoS技術(shù)

1．QoS技術(shù)簡(jiǎn)介一般來(lái)說(shuō)，基于存儲(chǔ)轉(zhuǎn)發(fā)機(jī)制的Internet(IPv4標(biāo)準(zhǔn))只為用戶提供了“盡力而為”(Best-Effort)的服務(wù)，并不能保證數(shù)據(jù)包傳輸?shù)膶?shí)時(shí)性、完整性以及到達(dá)的順序性，即不能保證服務(wù)的質(zhì)量，所以IPv4標(biāo)準(zhǔn)主要應(yīng)用在文件傳送和電子郵件服務(wù)等方面。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，用戶在Internet上傳輸分布式多媒體應(yīng)用的需求越來(lái)越大，通常用戶對(duì)不同的分布式多媒體應(yīng)用有著不同的服務(wù)質(zhì)量要求，這就要求網(wǎng)絡(luò)能根據(jù)用戶的要求分配和調(diào)度資源。此時(shí)，傳統(tǒng)的存儲(chǔ)轉(zhuǎn)發(fā)機(jī)制已經(jīng)不能再滿足用戶的要求了。為了解決這一問題，美國(guó)于1996年底開始了以提高網(wǎng)絡(luò)服務(wù)質(zhì)量為核心的InternetⅡ以及NGI(下一代Internet)等研究項(xiàng)目。IETF(InternetEngineeringTaskForce)也成立了專門的工作小組來(lái)研究多媒體服務(wù)質(zhì)量的定義和相關(guān)的標(biāo)準(zhǔn)。

其中，綜合業(yè)務(wù)模型引入了資源預(yù)留協(xié)議RSVP，該協(xié)議用于網(wǎng)絡(luò)控制，它雖然不是路由協(xié)議，但是需要與路由協(xié)議一起使用。RSVP的引入使得IP網(wǎng)絡(luò)為應(yīng)用提供所要求的端到端的QoS保證成為可能，但為了支持這種能力，數(shù)據(jù)包所經(jīng)過(guò)的每個(gè)網(wǎng)絡(luò)元素(子網(wǎng)和IP路由器)都必須能夠支持RSVP控制服務(wù)質(zhì)量的機(jī)制。RSVP中的資源預(yù)留方式與異步轉(zhuǎn)移模式ATM中的資源預(yù)留方式有兩個(gè)不同之處：其一，RSVP是一種面向信宿端的協(xié)議，由信宿端來(lái)描述資源需求，而ATM是由信源端來(lái)要求資源預(yù)留的；其二，RSVP中保留的狀態(tài)需要周期性地更新，而ATM中保留的狀態(tài)在通信期間是不會(huì)改變的。

遺憾的是，綜合業(yè)務(wù)模型存在著許多致命的缺陷，這些缺陷使原本要提供的端到端QoS保證難以實(shí)現(xiàn)，原因主要有兩點(diǎn)：

(1)綜合業(yè)務(wù)模型下的預(yù)留狀態(tài)信息與業(yè)務(wù)流的個(gè)數(shù)成正比。這使路由器的負(fù)擔(dān)會(huì)隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大、業(yè)務(wù)流的增多而加重，直接導(dǎo)致了網(wǎng)絡(luò)的擴(kuò)展性不好。

(2)綜合業(yè)務(wù)模型中的每個(gè)路由器都要支持RSVP，為業(yè)務(wù)流保持狀態(tài)信息，這對(duì)路由器的要求較高。如果有中間的路由器不支持RSVP，QoS就得不到保證。

2．QoS中存在的問題及相關(guān)的研究方向

(1)傳統(tǒng)的QoS模型基本上是由通信系統(tǒng)的網(wǎng)絡(luò)層完成的，并在傳輸服務(wù)中引入QoS控制來(lái)提高QoS。然而在分布式的計(jì)算環(huán)境中，由于全局的QoS依賴于網(wǎng)絡(luò)各部分的QoS，因此要提高全局的QoS就必須提高系統(tǒng)每一層的QoS，即端到端系統(tǒng)必須能管理參與傳輸服務(wù)的每一層(從服務(wù)層到網(wǎng)絡(luò)層)。

為了達(dá)到這個(gè)目的，研究人員提出了一種基于CORBA的分布式多媒體服務(wù)的QoS管理模型。當(dāng)用戶提出他要求服務(wù)的多媒體QoS參數(shù)的規(guī)格說(shuō)明后，系統(tǒng)首先將用戶的QoS請(qǐng)求參數(shù)映射為系統(tǒng)的QoS參數(shù)，然后通過(guò)協(xié)商與再協(xié)商，對(duì)QoS的方式進(jìn)行系統(tǒng)和網(wǎng)絡(luò)的介入控制，一旦接入成功，系統(tǒng)就開始為用戶提供多媒體服務(wù)。在服務(wù)過(guò)程中，系統(tǒng)能隨時(shí)監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的性能狀況，如果出現(xiàn)了網(wǎng)絡(luò)擁擠致使服務(wù)質(zhì)量下降，就可以采取降級(jí)服務(wù)的方式繼續(xù)為用戶提供服務(wù)或停止服務(wù)。它具有層次性、互操作性以及分布式等特點(diǎn)，是一種便于開發(fā)和維護(hù)的分布式多媒體服務(wù)系統(tǒng)，具有良好的應(yīng)用前景。

但在該模型中，QoS參數(shù)映射和QoS參數(shù)協(xié)商與再協(xié)商的系統(tǒng)開銷較大。在多媒體服務(wù)開始之前，必須進(jìn)行QoS參數(shù)協(xié)商，在服務(wù)過(guò)程中，一旦系統(tǒng)或網(wǎng)絡(luò)的性能發(fā)生重大變化(如網(wǎng)絡(luò)的有效帶寬增加了10Mb)，就要根據(jù)這些變化進(jìn)行QoS參數(shù)的再協(xié)商。頻繁地協(xié)商與再協(xié)商會(huì)降低網(wǎng)絡(luò)性能，對(duì)于這一問題，系統(tǒng)可以提供一種策略來(lái)控制協(xié)商發(fā)生的頻率，或直接把這個(gè)選擇權(quán)利交給用戶。

(2)目前，許多有關(guān)支持QoS的研究主要著眼于調(diào)度、擁塞控制和資源預(yù)留，而對(duì)QoS路由研究得很少。現(xiàn)有支持QoS保證的連接建立協(xié)議大部分都執(zhí)行下列步驟。①?gòu)倪x定路由的第一個(gè)節(jié)點(diǎn)開始，發(fā)送預(yù)留請(qǐng)求，預(yù)留支持新連接所需要的資源。②當(dāng)中繼節(jié)點(diǎn)接收到預(yù)留請(qǐng)求后，檢查是否有足夠的資源來(lái)支持請(qǐng)求的QoS。如果有，則將預(yù)留請(qǐng)求發(fā)送給下一個(gè)節(jié)點(diǎn)；否則，將拒絕轉(zhuǎn)發(fā)報(bào)文并將其發(fā)送回源節(jié)點(diǎn)，同時(shí)前面的節(jié)點(diǎn)必須釋放那些它們?yōu)樵撜?qǐng)求預(yù)留了的資源。③

目的節(jié)點(diǎn)接收預(yù)留請(qǐng)求后必須評(píng)估被選路由上不同節(jié)點(diǎn)所支持的QoS，以驗(yàn)證端到端的QoS是否得到保證。

④如果端到端的QoS不能保證，則發(fā)送拒絕報(bào)文至源節(jié)點(diǎn)，各節(jié)點(diǎn)釋放預(yù)留資源；否則，將帶有生育QoS(即提供的QoS減去請(qǐng)求的QoS)的證實(shí)報(bào)文發(fā)送回源節(jié)點(diǎn)。上述這些方法有著共同的缺點(diǎn)，那就是它們都假定通信實(shí)體間的路由在初始時(shí)是已知的。當(dāng)源與目的節(jié)點(diǎn)之間只有一條路由時(shí)，這一假設(shè)是合理的。但如果存在著多條路由，則由于在建立連接時(shí)必須進(jìn)行多次重試操作，因此阻塞概率會(huì)上升，而成功建立新連接的概率就會(huì)下降。所以，應(yīng)當(dāng)讓路由選擇與QoS支持相關(guān)聯(lián)，在連接建立之前降低重試的次數(shù)，而且合適的路由選擇機(jī)制將使高速網(wǎng)絡(luò)的資源利用率最大化，從而降低沖突。

根據(jù)網(wǎng)絡(luò)上可利用資源和流(flow)的QoS需求來(lái)決定流的路由機(jī)制稱為QoS路由(QoS-basedrouting)。QoS路由應(yīng)能達(dá)到下列目標(biāo)：●動(dòng)態(tài)確定可行路徑；●優(yōu)化資源利用；●

路由開銷盡可能小。

(3)建立一個(gè)適用于QoS路由機(jī)制的網(wǎng)絡(luò)模型是選擇并計(jì)算合適的路由尺度和信息的關(guān)鍵。網(wǎng)絡(luò)的帶寬和緩存能力決定了減少端到端延遲的效果，正確有效的調(diào)度、接納和路由機(jī)制是保證不同QoS需求、平衡網(wǎng)絡(luò)負(fù)載的必要措施。當(dāng)網(wǎng)絡(luò)擁塞時(shí)，高QoS要求的業(yè)務(wù)會(huì)“排擠”低QoS要求的業(yè)務(wù)(如采用Best-Effort原則傳輸?shù)臄?shù)據(jù)業(yè)務(wù))，受“排擠”的數(shù)據(jù)包將會(huì)在一段時(shí)間內(nèi)滯留于網(wǎng)絡(luò)中并被不斷地重傳，這會(huì)進(jìn)一步加劇網(wǎng)絡(luò)的擁塞。對(duì)于這一問題，簡(jiǎn)單的解決方法是為不同業(yè)務(wù)分配一定的網(wǎng)絡(luò)資源，但是這將影響到網(wǎng)絡(luò)資源的利用率。因此，可以以各類業(yè)務(wù)對(duì)資源的實(shí)時(shí)需求情況為基準(zhǔn)來(lái)調(diào)整網(wǎng)絡(luò)資源在不同業(yè)務(wù)間的分配，這樣可以達(dá)到充分利用資源和平衡各類業(yè)務(wù)需求的目的。

(3)建立一個(gè)適用于QoS路由機(jī)制的網(wǎng)絡(luò)模型是選擇并計(jì)算合適的路由尺度和信息的關(guān)鍵。網(wǎng)絡(luò)的帶寬和緩存能力決定了減少端到端延遲的效果，正確有效的調(diào)度、接納和路由機(jī)制是保證不同QoS需求、平衡網(wǎng)絡(luò)負(fù)載的必要措施。當(dāng)網(wǎng)絡(luò)擁塞時(shí)，高QoS要求的業(yè)務(wù)會(huì)“排擠”低QoS要求的業(yè)務(wù)(如采用Best-Effort原則傳輸?shù)臄?shù)據(jù)業(yè)務(wù))，受“排擠”的數(shù)據(jù)包將會(huì)在一段時(shí)間內(nèi)滯留于網(wǎng)絡(luò)中并被不斷地重傳，這會(huì)進(jìn)一步加劇網(wǎng)絡(luò)的擁塞。對(duì)于這一問題，簡(jiǎn)單的解決方法是為不同業(yè)務(wù)分配一定的網(wǎng)絡(luò)資源，但是這將影響到網(wǎng)絡(luò)資源的利用率。因此，可以以各類業(yè)務(wù)對(duì)資源的實(shí)時(shí)需求情況為基準(zhǔn)來(lái)調(diào)整網(wǎng)絡(luò)資源在不同業(yè)務(wù)間的分配，這樣可以達(dá)到充分利用資源和平衡各類業(yè)務(wù)需求的目的。

(4)要建立一個(gè)支持QoS保證的分布式系統(tǒng)必須建立統(tǒng)一的QoS框架，這個(gè)框架包括QoS體系結(jié)構(gòu)和統(tǒng)一的QoS說(shuō)明分類。

8.3隧道協(xié)議與VPN實(shí)現(xiàn)

8.3.1PPTP

PPTP(點(diǎn)到點(diǎn)隧道協(xié)議)是由PPTP論壇開發(fā)的點(diǎn)到點(diǎn)的安全隧道協(xié)議，它為使用電話上網(wǎng)的用戶提供了安全的VPN業(yè)務(wù)，并于1996年成為了IETF草案。PPTP是PPP的擴(kuò)展，提供了在IP網(wǎng)上建立多協(xié)議的安全VPN的通信方式，即增加了一個(gè)新的安全等級(jí)，并且可以通過(guò)Internet進(jìn)行多協(xié)議通信，它支持通過(guò)公網(wǎng)建立按需的、多協(xié)議的VPN。通過(guò)PPTP客戶可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號(hào)，建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。PPTP隧道實(shí)質(zhì)上是基于IP協(xié)議的另一個(gè)PPP連接，其中IP包可以封裝多種協(xié)議數(shù)據(jù)，包括TCP/IP、IPX和NetBEUI等。因此PPTP允許用戶遠(yuǎn)程運(yùn)行依賴于特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。對(duì)于直接連接到IP網(wǎng)的客戶則不需要第一次PPP撥號(hào)連接，可以直接與PPTP服務(wù)器建立虛擬通路。PPTP在基于TCP/IP協(xié)議的數(shù)據(jù)網(wǎng)絡(luò)上創(chuàng)建VPN連接，實(shí)現(xiàn)從遠(yuǎn)程計(jì)算機(jī)到專用服務(wù)器的安全數(shù)據(jù)傳輸。

VPN服務(wù)器執(zhí)行所有的安全檢查和驗(yàn)證，并啟用數(shù)據(jù)加密來(lái)提供PPTP客戶機(jī)(指運(yùn)行該協(xié)議的PC機(jī))和PPTP服務(wù)器(指運(yùn)行該協(xié)議的服務(wù)器)之間的保密通信，從而保證信息的安全傳送。尤其是使用EAP后，在使用PPTP的VPN上傳輸數(shù)據(jù)就像在企業(yè)的一個(gè)局域網(wǎng)內(nèi)傳輸數(shù)據(jù)那樣安全。另外，還可以使用PPTP建立專用LAN到LAN的網(wǎng)絡(luò)。

簡(jiǎn)而言之，PPTP的建立過(guò)程如下：

(1)用戶通過(guò)串口以撥號(hào)IP訪問的方式與NAS(NetworkAccessServer)建立連接并取得網(wǎng)絡(luò)服務(wù)；

(2)用戶通過(guò)路由信息定位PPTP接入服務(wù)器；

(3)用戶形成一個(gè)PPTP虛擬接口；

(4)用戶通過(guò)該接口與PPTP接入服務(wù)器協(xié)商、認(rèn)證并建立一條PPP訪問服務(wù)隧道；

(5)用戶通過(guò)該隧道獲得VPN服務(wù)。

PPTP的最大優(yōu)勢(shì)是得到了Microsoft公司的大力支持。WindowsNT4.0已經(jīng)包括了PPTP客戶機(jī)和服務(wù)器的功能。另外一個(gè)優(yōu)勢(shì)是它支持流量控制，可保證客戶機(jī)與服務(wù)器之間不擁塞，從而改善了通信性能，能最大限度地減少丟包和重發(fā)現(xiàn)象。但是，PPTP把建立隧道的主動(dòng)權(quán)交給了客戶，因此客戶需要在其PC機(jī)上配置PPTP，這樣做既會(huì)增加用戶的工作量和工作難度，又容易造成網(wǎng)絡(luò)的安全隱患。另外，PPTP僅工作于IP，不具有隧道終點(diǎn)的驗(yàn)證功能，它需要依賴用戶的驗(yàn)證。

8.3.2L2F

L2F(Layer2Forwarding)是Cisco公司提出的隧道技術(shù)，作為一種傳輸協(xié)議，L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP幀內(nèi)通過(guò)廣域網(wǎng)鏈路傳送到L2F服務(wù)器(路由器)。L2F服務(wù)器把數(shù)據(jù)包解包后重新注入(inject)網(wǎng)絡(luò)。L2F與PPTP和L2TP的不同之處在于它沒有確定的客戶方。值得注意的是：L2F僅在強(qiáng)制隧道中有效。

8.3.3L2TP

L2TP是一個(gè)工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，是L2F和PPTP的結(jié)合，設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢(shì)。但由于PC機(jī)的桌面操作系統(tǒng)包含PPTP，因此PPTP仍比較流行。隧道的建立有兩種方式，即用戶初始化隧道和NAS(NetworkAccessServer)初始化隧道。前者一般指自愿隧道，后者指強(qiáng)制隧道。

IP網(wǎng)上的L2TP使用UDP和一系列L2TP消息對(duì)隧道進(jìn)行維護(hù)。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP幀通過(guò)隧道發(fā)送，可以對(duì)封裝PPP幀中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。L2TP作為強(qiáng)制隧道模型，是使撥號(hào)用戶與網(wǎng)絡(luò)中的另一點(diǎn)建立連接的重要機(jī)制。建立過(guò)程如下：

(1)用戶通過(guò)Modem與NAS建立連接；

(2)用戶通過(guò)NAS的L2TP接入服務(wù)器進(jìn)行身份認(rèn)證；

(3)在政策配置文件或NAS與政策服務(wù)器進(jìn)行協(xié)商的基礎(chǔ)上，NAS和L2TP接入服務(wù)器動(dòng)態(tài)地建立一條L2TP隧道；

(4)用戶與L2TP接入服務(wù)器之間建立一條PPP協(xié)議，訪問服務(wù)隧道；

(5)用戶通過(guò)該隧道獲得VPN服務(wù)。

L2TP與PPTP主要有以下幾點(diǎn)區(qū)別。

(1)L2TP也會(huì)壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協(xié)議，同樣允許用戶遠(yuǎn)程運(yùn)行依賴于特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。與PPTP不同的是，L2TP使用IPSec這種網(wǎng)際協(xié)議安全機(jī)制來(lái)進(jìn)行身份驗(yàn)證和數(shù)據(jù)加密。

(2)PPTP作為自愿隧道模型允許終端系統(tǒng)進(jìn)行配置，與任意位置的PPTP服務(wù)器建立了一條不連續(xù)的、點(diǎn)到點(diǎn)的隧道，并且NAS不參與PPTP協(xié)商和隧道建立過(guò)程，NAS的作用只是提供網(wǎng)絡(luò)服務(wù)。在L2TP中，用戶感覺不到NAS的存在。而在PPTP中，PPTP隧道對(duì)NAS是透明的；NAS不需要知道PPTP接入服務(wù)器的存在，只是簡(jiǎn)單地把PPTP流量作為普通IP流量來(lái)處理。采用L2TP還是PPTP實(shí)現(xiàn)VPN關(guān)鍵在于要把控制權(quán)放在NAS還是用戶手中。L2TP比PPTP更安全，因?yàn)長(zhǎng)2TP接入服務(wù)器能夠確定用戶是從哪里來(lái)的。因此L2TP主要用于比較集中、固定的VPN用戶，而PPTP則比較適合移動(dòng)用戶。

8.3.4MPLS

1．MPLS的定義多協(xié)議標(biāo)簽交換(MPLS)是一種在開放的通信網(wǎng)上利用標(biāo)簽引導(dǎo)數(shù)據(jù)高速、高效傳輸?shù)男录夹g(shù)。這個(gè)網(wǎng)絡(luò)層包轉(zhuǎn)發(fā)的標(biāo)準(zhǔn)主要基于互聯(lián)網(wǎng)工作組(IETF)提交的一系列信令協(xié)議，包括標(biāo)簽分配協(xié)議(LDP)、資源預(yù)留協(xié)議(RSVP)和限制路由的標(biāo)簽分配協(xié)議(CR-LDP)等。

2．MPLS的特點(diǎn)

MPLS具有如下特點(diǎn)：

(1)簡(jiǎn)化了ATM與IP的結(jié)合；

(2)在一個(gè)網(wǎng)內(nèi)同時(shí)提供ATM和IP的各種服務(wù)，不必為了這兩種服務(wù)分別建兩個(gè)網(wǎng)，從而減少了網(wǎng)絡(luò)的復(fù)雜性；

(3)通過(guò)IP直接提供ATM的服務(wù)，如標(biāo)簽交換的硬件化處理、緩存技術(shù)、流量控制以及質(zhì)量保證等；

(4)能較好地解決網(wǎng)絡(luò)發(fā)展所面臨的問題，如可擴(kuò)展性、維護(hù)費(fèi)用等；

(5)大大促進(jìn)了IP網(wǎng)絡(luò)層的發(fā)展。

3．MPLS的基本工作原理

MPLS中選路和轉(zhuǎn)發(fā)是分開進(jìn)行的，由標(biāo)簽來(lái)規(guī)定一個(gè)分組在網(wǎng)絡(luò)中路由的路徑。標(biāo)簽相當(dāng)于IP包頭，數(shù)據(jù)包在網(wǎng)絡(luò)中傳送時(shí)，MPLS在數(shù)據(jù)包所經(jīng)過(guò)的路徑沿途通過(guò)交換標(biāo)簽來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)；當(dāng)數(shù)據(jù)包要退出MPLS網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包被解開封裝，繼續(xù)按照IP包的路由方式路由到目的地。

4．MPLS的網(wǎng)絡(luò)構(gòu)成

MPLS網(wǎng)絡(luò)邊緣的節(jié)點(diǎn)被稱做標(biāo)簽邊緣路由器(LER)，而網(wǎng)絡(luò)的核心節(jié)點(diǎn)就稱為標(biāo)簽交換路由器(LSR)。LER節(jié)點(diǎn)在MPLS節(jié)點(diǎn)之間的路徑就是標(biāo)簽交換路徑(LSP)，因此可以把LSP看做是貫穿網(wǎng)絡(luò)的單向隧道。MPLS網(wǎng)絡(luò)是由LER和LSR組成的，如圖8.1所示。

圖8.1MPLS網(wǎng)絡(luò)的組成

5．基于MPLS的IPVPN

1)基于MPLS的IPVPN的結(jié)構(gòu)組成

MPLS為IPVPN的實(shí)現(xiàn)提供了一種靈活的、可擴(kuò)展的技術(shù)基礎(chǔ)。在MPLS網(wǎng)絡(luò)中，一項(xiàng)IPVPN業(yè)務(wù)可以通過(guò)多種方式來(lái)提供。一種方式是仿真第二層的IPVPN，如直接仿真幀中繼。另一種方式是使用支持MPLS功能的用戶設(shè)備來(lái)提供這一業(yè)務(wù)。無(wú)論是哪一種方式都可以讓業(yè)務(wù)提供者以一種集成的方式，在提供因特網(wǎng)服務(wù)的同一平臺(tái)上提供這一流行業(yè)務(wù)。因此有多種IPVPN的支持方法，服務(wù)提供者可以根據(jù)其內(nèi)部網(wǎng)絡(luò)以及用戶的特定需求來(lái)決定自己的網(wǎng)絡(luò)如何支持IPVPN。

圖8.2給出了使用MPLS和多協(xié)議邊界網(wǎng)關(guān)協(xié)議來(lái)提供IPVPN業(yè)務(wù)的一種網(wǎng)絡(luò)配置模型。這種網(wǎng)絡(luò)模型主要由提供者(P)路由器、提供者邊緣(PE)路由器、用戶邊緣(CE)路由器以及站點(diǎn)(Site)組成。其中，提供者(P)路由器相當(dāng)于核心部分的標(biāo)簽交換路由器(LSR)，P路由器之間使用MPLS協(xié)議與進(jìn)程。P與PE路由器將使用IP路由協(xié)議(內(nèi)部網(wǎng)管協(xié)議)來(lái)建立MPLS核心網(wǎng)絡(luò)中的路徑，并且使用LDP實(shí)現(xiàn)路由器之間的標(biāo)簽分發(fā)。提供者邊緣(PE)路由器相當(dāng)于核心部分的標(biāo)簽邊緣路由器(LER)。用戶邊緣(CE)路由器的作用是將某個(gè)用戶站點(diǎn)連接至PE路由器，它不使用MPLS，也不必支持任何VPN的特定路由協(xié)議和信令。站點(diǎn)(Site)是指這樣一組網(wǎng)絡(luò)或子網(wǎng)：它們是用戶網(wǎng)絡(luò)的一部分，通過(guò)一條或多條PE/CE鏈路接至VPN，而VPN是指一組共享相同路由信息的站點(diǎn)。一個(gè)站點(diǎn)可以同時(shí)位于不同的幾個(gè)VPN之中。

圖8.2基于MPLS的IPVPN

2)MPLSIPVPN的工作過(guò)程

(1)用戶端的路由器(CE)向提供商的路由器(PE)發(fā)送用戶網(wǎng)絡(luò)中的路由信息；

(2)PE之間發(fā)送VPN-IP的信息以及相應(yīng)的VPN標(biāo)簽；

(3)PE與P路由器之間相互學(xué)習(xí)路由信息，并進(jìn)行路由信息與骨干網(wǎng)絡(luò)中標(biāo)簽的綁定。通過(guò)這三步，CE、PE和P路由器可以獲取基本的網(wǎng)絡(luò)拓?fù)湟约奥酚尚畔ⅰE路由器還會(huì)擁有骨干網(wǎng)的路由信息和每個(gè)VPN的路由信息。

當(dāng)屬于某一VPN的CE用戶數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)時(shí)，在CE與PE連接的接口處可以識(shí)別出該CE所屬的VPN，以此為依據(jù)到這個(gè)VPN的路由表中讀取下一跳的地址信息，同時(shí)在前傳的數(shù)據(jù)包中打上VPN標(biāo)簽。為了到達(dá)目的端PE，應(yīng)在起始端PE中讀取骨干網(wǎng)路由信息，得到下一個(gè)P路由器的地址，同時(shí)采用LDP在用戶前傳數(shù)據(jù)包中打上骨干網(wǎng)標(biāo)簽。其中在骨干網(wǎng)絡(luò)中，起始端PE后的P路由器都通過(guò)讀取骨干網(wǎng)標(biāo)簽信息來(lái)決定下一跳，因此可在骨干網(wǎng)中進(jìn)行簡(jiǎn)單的標(biāo)簽交換。在目的端PE前的最后一個(gè)P路由器將骨干網(wǎng)中的標(biāo)簽去掉，讀取VPN標(biāo)簽，找到對(duì)應(yīng)的VPN，并發(fā)送到相關(guān)的接口上，進(jìn)而將數(shù)據(jù)傳送到VPN的目的地址處。

8.3.5IPSec

IPSec工作在網(wǎng)絡(luò)層，是定義在IP數(shù)據(jù)包格式中的一個(gè)開放結(jié)構(gòu)，它為目前較流行的數(shù)據(jù)加密或認(rèn)證的實(shí)現(xiàn)提供了數(shù)據(jù)結(jié)構(gòu)，并為這些算法的實(shí)現(xiàn)提供了統(tǒng)一的體系結(jié)構(gòu)，這有利于數(shù)據(jù)安全方面相關(guān)措施的進(jìn)一步發(fā)展和標(biāo)準(zhǔn)化。同時(shí)，不同的加密算法都可以利用IPSec定義的體系結(jié)構(gòu)在網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中實(shí)施。IPSec體系結(jié)構(gòu)如圖8.3所示。

圖8.3IPSec體系結(jié)構(gòu)

簡(jiǎn)而言之，IPSec協(xié)議是一個(gè)應(yīng)用廣泛、開放的VPN安全協(xié)議，它提供所有在網(wǎng)絡(luò)層上的數(shù)據(jù)保護(hù)，并提供透明的安全通信(包括如何使敏感數(shù)據(jù)在開放的網(wǎng)絡(luò)中傳輸?shù)陌踩珯C(jī)制)。同時(shí)，IPSec在參加IPSec的設(shè)備(如路由器)之間為數(shù)據(jù)傳輸提供保護(hù)，主要是對(duì)數(shù)據(jù)進(jìn)行加密并對(duì)數(shù)據(jù)收發(fā)方的身份進(jìn)行認(rèn)證。

眾所周知，當(dāng)數(shù)據(jù)在公網(wǎng)上傳輸時(shí)，IP包本身并不繼承任何安全特性，所以很容易便可偽造出IP包的地址，修改其內(nèi)容，重播以前的包以及在傳輸途中攔截并查看包的內(nèi)容。因此，我們不能擔(dān)保收到的IP數(shù)據(jù)包是否來(lái)自原先要求的發(fā)送方，數(shù)據(jù)包內(nèi)所包含的數(shù)據(jù)是否是發(fā)送方發(fā)送的原始數(shù)據(jù)，原始數(shù)據(jù)是否在傳輸途中被泄密。

針對(duì)這些問題，IPSec可以有效地保護(hù)IP數(shù)據(jù)包的安全。具體說(shuō)來(lái)，IPSec采用密碼技術(shù)可提供以下安全服務(wù)：接入控制、無(wú)連接完整性、數(shù)據(jù)源認(rèn)證、抗重播保護(hù)、加密以及防傳輸流分析等。由于受IPSec保護(hù)的數(shù)據(jù)包從本質(zhì)上來(lái)說(shuō)就是一種IP包，因此IPSec可以嵌套提供安全服務(wù)，同時(shí)在主機(jī)之間提供像端到端這樣的驗(yàn)證，并通過(guò)一個(gè)通道將那些受IPSec保護(hù)的數(shù)據(jù)傳送出去。

大多數(shù)IPSec實(shí)施方案都定義了下面幾個(gè)組件。

(1)IPSec基本協(xié)議。這個(gè)組件實(shí)施了封裝安全載荷(ESP)和驗(yàn)證頭(AH)。其中，AH可證明數(shù)據(jù)的起源地、保障數(shù)據(jù)的完整性并防止相同數(shù)據(jù)包的不斷重播。ESP則更勝一籌，除具有AH的所有功能之外，還可選擇保障數(shù)據(jù)的機(jī)密性，以及為數(shù)據(jù)流提供有限的機(jī)密性保障。AH和ESP可以單獨(dú)使用，也可以配合使用。通過(guò)這些組合方式，可以在兩臺(tái)主機(jī)、兩臺(tái)安全網(wǎng)管(防火墻和路由器)或主機(jī)與安全網(wǎng)管之間配置多種靈活的安全機(jī)制。IPSec基本協(xié)議主要用于處理頭，并與SPD和SADB進(jìn)行交互，以便決定為數(shù)據(jù)包提供哪些安全保障，并解決一些網(wǎng)絡(luò)層的問題。

(2)SPD。SPD對(duì)數(shù)據(jù)包采用的安全保障起決定性的作用。外出包和進(jìn)入包的處理都要查閱SPD。對(duì)外出包來(lái)說(shuō)，由IPSec基本協(xié)議組件查閱SPD，判斷這個(gè)包是否需要安全保護(hù)。對(duì)進(jìn)入包來(lái)說(shuō)，由IPSec基本協(xié)議組件來(lái)查閱SPD，判斷為這個(gè)包提供的安全保護(hù)是否和策略配置的安全保護(hù)相符。

(3)SADB。SADB為進(jìn)入和外出包處理維持一個(gè)活動(dòng)的安全聯(lián)盟(SA)列表。外出SA用來(lái)保障外出包的安全，進(jìn)入SA用來(lái)處理帶有IPSec頭的進(jìn)入包。

(4)IKE。Internet密鑰交換(IKE)在通信系統(tǒng)之間建立SA，提供密鑰管理和密鑰確定的機(jī)制，是一個(gè)產(chǎn)生和交換密鑰材料并協(xié)調(diào)IPSec參數(shù)的框架。

(5)策略和安全聯(lián)盟(SA)管理，如圖8.4所示。

圖8.4策略和安全聯(lián)盟(SA)管理

簡(jiǎn)單地說(shuō)，可以從以下五步來(lái)考慮IPSec過(guò)程。

(1)感興趣的流量初始化IPSec隧道的建立。

(2)IKE第1階段認(rèn)證對(duì)等實(shí)體，并為IPSec協(xié)商建立一條安全隧道。

(3)IKE第2階段完成IPSec協(xié)商，并建立IPSec隧道。

(4)隧道建立后就可以開始被保護(hù)的VPN通信了。

(5)當(dāng)沒有流量使用IPSec時(shí)，廢棄隧道(明確地廢棄隧道，或通過(guò)SA生存周期超時(shí)來(lái)廢棄隧道)。

IPSec的優(yōu)點(diǎn)主要有以下幾點(diǎn)。●IPSec提供了一種標(biāo)準(zhǔn)的、健壯的、包容廣泛的機(jī)制，可用它來(lái)為IP以及上層協(xié)議提供安全保證。●它定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議；●支持DES、3DES、IDEA等加密算法；●它會(huì)對(duì)傳輸?shù)臄?shù)據(jù)包的完整性進(jìn)行檢查，以確保數(shù)據(jù)沒有被修改，具有數(shù)據(jù)源認(rèn)證功能；●

它可以確保運(yùn)行在TCP/IP協(xié)議上的VPN之間的互操作性。

IPSec的缺點(diǎn)主要有以下幾點(diǎn)。●IPSec需要已知范圍的IP地址或固定范圍的IP地址，因此在動(dòng)態(tài)分配地址時(shí)IPSec就不太適合了；●IPSec僅支持TCP/IP協(xié)議；●它只指定了包過(guò)濾作為其訪問控制方法；●難以處理采用NAT方式訪問公網(wǎng)的情況；●

目前，IPSec只支持單播(Unicast)的IP數(shù)據(jù)包，對(duì)多播(Multicast)和廣播(Broadcast)的IP數(shù)據(jù)包都不支持。

8.3.6SSL

SSL即安全套接層協(xié)議層(SecureSocketsLayer)，是Netscape公司提出的基于Web應(yīng)用的安全協(xié)議，被視為因特網(wǎng)上Web瀏覽器和服務(wù)器的安全標(biāo)準(zhǔn)。SSL是在Web服務(wù)協(xié)議(HTTP)和TCP/IP之間提供數(shù)據(jù)連接安全性的協(xié)議。它為TCP/IP連接提供數(shù)據(jù)加密、服務(wù)器身份驗(yàn)證和消息完整性驗(yàn)證。

SSL協(xié)議的主要用途是保證兩個(gè)通信應(yīng)用程序之間的私密性和可靠性，這個(gè)過(guò)程可通過(guò)3個(gè)協(xié)議來(lái)完成。

(1)握手協(xié)議：當(dāng)一個(gè)SSL客戶機(jī)和服務(wù)器第一次通信時(shí)，它們需要在一個(gè)協(xié)議版本上達(dá)成一致，選擇加密算法和認(rèn)證方式，并使用公鑰技術(shù)來(lái)生成共享密鑰。

(2)記錄協(xié)議：用于交換應(yīng)用數(shù)據(jù)。應(yīng)用程序消息被分割成可管理的數(shù)據(jù)塊，還可以壓縮，并產(chǎn)生一個(gè)消息認(rèn)證代碼(MAC)，然后結(jié)果被加密并傳輸。接受方接受數(shù)據(jù)并對(duì)其解密，校驗(yàn)MAC，解壓并重新組合，把結(jié)果提供給應(yīng)用程序協(xié)議。

(3)警告協(xié)議：用于指示在什么時(shí)候發(fā)生了錯(cuò)誤或兩個(gè)主機(jī)之間的會(huì)話在什么時(shí)候終止。

SSLVPN一般的實(shí)現(xiàn)方式是在瀏覽器中設(shè)置SSL代理服務(wù)器。首先瀏覽器與代理服務(wù)器建立TCP連接，并向其發(fā)出與遠(yuǎn)端Web服務(wù)器連接的消息，然后代理服務(wù)器與Web服務(wù)器建立TCP連接，此時(shí)這個(gè)代理服務(wù)器完全成為內(nèi)容轉(zhuǎn)發(fā)裝置。瀏覽器與Web服務(wù)器建立了一個(gè)安全通道，由于這個(gè)安全通道是端到端的，因此盡管所有的消息都經(jīng)過(guò)代理服務(wù)器，但其內(nèi)容代理服務(wù)器是無(wú)法解密和改動(dòng)的。

SSLVPN的目標(biāo)是確保用戶隨時(shí)隨地安全存取企業(yè)信息，是一種低成本、高安全性、簡(jiǎn)便易用的遠(yuǎn)程訪問VPN解決方案，非常適合以Web應(yīng)用為主、有大量客戶端的用戶。

SSLVPN的主要優(yōu)點(diǎn)如下所述。

(1)費(fèi)用低。對(duì)那些只需要簡(jiǎn)單遠(yuǎn)程訪問的用戶(僅需進(jìn)入公司內(nèi)部網(wǎng)站或者進(jìn)行E-mail通信)來(lái)說(shuō)，SSLVPN可以大大節(jié)約遠(yuǎn)程訪問服務(wù)的開銷。

(2)適用于大多數(shù)設(shè)備。基于Web訪問的開放體系在運(yùn)行標(biāo)準(zhǔn)的瀏覽器下可以訪問任何設(shè)備，包括非傳統(tǒng)設(shè)備(如可以上網(wǎng)的電話和PDA等產(chǎn)品)。

(3)支持網(wǎng)絡(luò)驅(qū)動(dòng)器訪問。

(4)適用于大多數(shù)操作系統(tǒng)。可以運(yùn)行標(biāo)準(zhǔn)的因特網(wǎng)瀏覽器的大多數(shù)操作系統(tǒng)都可以用來(lái)進(jìn)行基于Web的遠(yuǎn)程訪問，包括Windows、Unix、Linux和Macintosh等。

(5)用戶可以方便地得到基于企業(yè)內(nèi)部網(wǎng)的資源，并進(jìn)行應(yīng)用。

(6)具有較強(qiáng)的資源控制能力。

(7)可以繞過(guò)防火墻和代理服務(wù)器進(jìn)行訪問。

(8)大多數(shù)執(zhí)行基于SSL協(xié)議的遠(yuǎn)程訪問是不需要在遠(yuǎn)程客戶端設(shè)備上安裝軟件的。

SSLVPN仍然存在許多不足之處。

(1)必須依靠因特網(wǎng)進(jìn)行訪問。在SSLVPN中，Web瀏覽器實(shí)質(zhì)上扮演著客戶服務(wù)器的角色，遠(yuǎn)程用戶的Web瀏覽器依靠公司的服務(wù)器進(jìn)行訪問。所以，如果因特網(wǎng)沒有連通，則遠(yuǎn)程用戶就只能單獨(dú)工作而不能與總部網(wǎng)絡(luò)進(jìn)行連接。

(2)對(duì)新的或者復(fù)雜的Web技術(shù)只能提供有限支持。

(3)只能有限地支持Windows應(yīng)用或者其他非Web系統(tǒng)。雖然有些SSL提供商已經(jīng)開始合并終端服務(wù)來(lái)提供非Web應(yīng)用，但目前SSLVPN還未正式提出全面支持，這一技術(shù)還處于初級(jí)階段。

(4)只能為訪問資源提供有限的安全保障。因?yàn)镾SLVPN只對(duì)通信雙方的某個(gè)應(yīng)用通道進(jìn)行加密，而不是對(duì)在通信雙方的主機(jī)之間的整個(gè)通道進(jìn)行加密。

8.3.7SOCKSv5

SOCKSv5是NEC公司開發(fā)的建立在TCP層上的安全協(xié)議，它便于為與特定TCP端口相連的應(yīng)用建立特定的隧道。SOCKSv5可以對(duì)連接請(qǐng)求進(jìn)行認(rèn)證和授權(quán)，事實(shí)上它是一個(gè)需要認(rèn)證的防火墻協(xié)議。SOCKS和SSL協(xié)議配合使用時(shí)，可作為建立高度安全VPN的基礎(chǔ)。基于SOCKSv5的VPN適合用于客戶機(jī)到服務(wù)器的連接模式，也適合用于外聯(lián)網(wǎng)VPN。

SOCKSv5的優(yōu)點(diǎn)在于：它在OSI模型的會(huì)話層控制數(shù)據(jù)流，并定義了詳盡、可行的訪問控制。眾所周知，在網(wǎng)絡(luò)層只能根據(jù)源和目的IP地址允許或拒絕數(shù)據(jù)包通過(guò)，而在會(huì)話層控制手段會(huì)多一些。SOCKSv5能提供非常復(fù)雜的方法來(lái)保證信息安全傳輸。它通過(guò)在客戶機(jī)和主機(jī)之間建立一條虛電路，可根據(jù)對(duì)用戶的認(rèn)證進(jìn)行監(jiān)視和訪問控制。由于SOCKSv5和SSL都工作在會(huì)話層，因此它們都能協(xié)同如IPv4、IPSec、PPTP，L2TP等低層協(xié)議一起使用。用SOCKSv5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)。如果SOCKSv5同防火墻結(jié)合起來(lái)使用，則數(shù)據(jù)包將經(jīng)過(guò)惟一的防火墻端口(缺省的是1080)到代理服務(wù)器，再經(jīng)代理服務(wù)器過(guò)濾發(fā)往目的端，這樣可以防止防火墻上存在的漏洞。同時(shí)，SOCKSv5可根據(jù)規(guī)則過(guò)濾數(shù)據(jù)流，包括JavaApplet和ActiveX控件。最后，SOCKSv5能為認(rèn)證、加密和密鑰管理提供“插件”模塊，可以讓用戶自由地使用他們所需要的技術(shù)。

雖然SOCKSv5的安全性較高，但是由于SOCKSv5是通過(guò)代理服務(wù)器來(lái)增加安全性的，因此其性能通常比低層協(xié)議差。盡管它比網(wǎng)絡(luò)層和傳輸層的方案更安全，但同時(shí)也需要制定比網(wǎng)絡(luò)層和傳輸層協(xié)議更復(fù)雜的安全管理策略。總之，SOCKS協(xié)議的優(yōu)勢(shì)在于訪問控制，因此適合用于安全性較高的VPN。IETF建議將SOCKS作為建立VPN的標(biāo)準(zhǔn)，除此以外，SOCKS協(xié)議還得到了一些大公司(如Microsoft、Netscape、IBM等)的支持。

8.4WindowsServer2003系統(tǒng)中VPN連接的設(shè)置

1．連接前的驗(yàn)證工作在缺省情況下，系統(tǒng)中的路由和遠(yuǎn)程訪問服務(wù)(VPN是其中的一個(gè)組件)都沒有被激活。在激活這些服務(wù)之前，需要進(jìn)行必要的驗(yàn)證工作。首先，檢查服務(wù)器上的兩個(gè)通信設(shè)備是否已經(jīng)激活了。為了保證外部用戶能夠通過(guò)VPN連接訪問到內(nèi)部網(wǎng)絡(luò)的資源，VPN連接的建立者必須給外部用戶分配IP地址。通常可以采用兩種方式來(lái)分配IP地址，一種是通過(guò)網(wǎng)絡(luò)中的DHCP服務(wù)器，還有一種是通過(guò)在路由和遠(yuǎn)程訪問服務(wù)配置中定義一個(gè)地址池來(lái)完成這項(xiàng)工作。在為遠(yuǎn)程客戶端提供恰當(dāng)?shù)牡刂沸畔⒑螅珼NS和WINS就能進(jìn)行有效的名字查詢了。最后，根據(jù)對(duì)網(wǎng)絡(luò)訪問的實(shí)際需求設(shè)置允許或限制訪問以降低系統(tǒng)的安全風(fēng)險(xiǎn)。

2．激活VPN服務(wù)為了激活VPN服務(wù)，必須激活路由和遠(yuǎn)程訪問服務(wù)，這中間包括VPN服務(wù)。首先，在要支持VPN的服務(wù)器上點(diǎn)擊“開始”→“所有程序”→“管理員工具”→“路由和遠(yuǎn)程訪問”。然后，在服務(wù)器名字上單擊右鍵并選擇“配置并啟用路由和遠(yuǎn)程訪問”，如圖8.5所示。這時(shí)將彈出一個(gè)向?qū)?lái)幫助用戶配置這些服務(wù)。在“配置”窗口上，用戶可以指定想要激活的服務(wù)，如只激活“遠(yuǎn)程訪問(撥號(hào)或VPN)”，如圖8.6所示。

圖8.5配置并啟用“路由和遠(yuǎn)程訪問”圖