《網(wǎng)絡(luò)安全技術(shù)》課件第10章

第10章VPN技術(shù)10.1VPN概述10.2VPN隧道協(xié)議10.3VPN集成10.4VPN應(yīng)用實例習(xí)題

10.1VPN概述

VPN是將不同物理位置的組織和個人通過已有的公共網(wǎng)絡(luò)建立一條點到點的虛擬鏈路，模擬專用網(wǎng)進(jìn)行安全數(shù)據(jù)通信的網(wǎng)絡(luò)技術(shù)，其基本原理是通過一定的技術(shù)將互聯(lián)網(wǎng)上每個VPN用戶的數(shù)據(jù)與其他數(shù)據(jù)加以區(qū)別，避免未經(jīng)授權(quán)的訪問，從而確保數(shù)據(jù)的安全。通過利用共享的公共網(wǎng)絡(luò)設(shè)施實現(xiàn)VPN，能夠以極低的費用為遠(yuǎn)程用戶提供性能和專用網(wǎng)絡(luò)相媲美的保密通信服務(wù)。

1.隧道技術(shù)

隧道技術(shù)(Tunneling)是目前構(gòu)建VPN的基本方式。隧道技術(shù)是指把一種類型的報文封裝在另一種報文中在網(wǎng)絡(luò)上進(jìn)行傳輸，如圖10.1所示。兩個網(wǎng)絡(luò)通過VPN接入設(shè)備的一個端口，即一個VPN端點，建立的虛擬鏈路就叫隧道。發(fā)送給遠(yuǎn)程網(wǎng)絡(luò)的數(shù)據(jù)要進(jìn)行一定的封裝處理，從發(fā)送方網(wǎng)絡(luò)的一個VPN端點進(jìn)入VPN，經(jīng)相關(guān)隧道穿越VPN(物理上穿越不安全的互聯(lián)網(wǎng))，到達(dá)接收方網(wǎng)絡(luò)的另一個VPN端點，再經(jīng)過解封裝處理，便得到原始數(shù)據(jù)，并且把加密后的原始數(shù)據(jù)發(fā)給目的主機(jī)。圖10.1VPN隧道模式封裝的數(shù)據(jù)在傳送中，不僅遵循指定的路徑，避免經(jīng)過不信任的節(jié)點而到達(dá)未授權(quán)接收方，而且封裝處理使得傳送的中間節(jié)點不必也不會解析原始數(shù)據(jù)，這在一定程度上防止了數(shù)據(jù)泄密。對主機(jī)來說，不管是發(fā)送主機(jī)還是接收主機(jī)，都不知道數(shù)據(jù)曾經(jīng)被封裝過，也不知道數(shù)據(jù)是在Internet網(wǎng)絡(luò)上進(jìn)行傳輸?shù)?，它只需要提供要傳輸?shù)臄?shù)據(jù)，而不需要特殊的軟件或配置，所有傳送過程都由VPN設(shè)備來處理。僅僅通過隧道技術(shù)還不能建立適合所有安全要求的VPN，因為一般的隧道技術(shù)只能夠滿足在單個運營商網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)安全傳輸?shù)男枨?。用戶?shù)據(jù)要跨越多個運營商網(wǎng)絡(luò)時，在兩個獨立網(wǎng)絡(luò)節(jié)點的封裝數(shù)據(jù)要先解封處理后再封裝，可能在此過程中造成信息泄漏，因此，必須結(jié)合加密技術(shù)和密鑰管理等技術(shù)保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。同時，身份認(rèn)證及訪問控制等技術(shù)可以支持遠(yuǎn)程接入或動態(tài)建立隧道的VPN，通過對訪問者身份的確認(rèn)及對其訪問資源的控制來保證信息安全。所以，VPN通信具有與專用網(wǎng)同等的通信安全性。VPN的簡單通信過程如下：(1)客戶機(jī)向VPN服務(wù)器發(fā)出請求。

(2)

VPN服務(wù)器響應(yīng)請求，并要求客戶進(jìn)行身份認(rèn)證。

(3)客戶機(jī)將加密的用戶身份認(rèn)證響應(yīng)信息發(fā)給服務(wù)器。

(4)

VPN服務(wù)器收到客戶的認(rèn)證響應(yīng)信息，確認(rèn)該帳戶是否有效，是否具有遠(yuǎn)程訪問權(quán)限。如果有訪問權(quán)限，則接收此連接。

(5)

VPN服務(wù)器利用在認(rèn)證過程中產(chǎn)生的客戶機(jī)和服務(wù)器的公有密鑰對數(shù)據(jù)進(jìn)行加密，然后通過VPN隧道技術(shù)進(jìn)行封裝、加密、傳輸?shù)侥康膬?nèi)部網(wǎng)絡(luò)。

總之，VPN可以通過隧道技術(shù)、密碼技術(shù)、身份認(rèn)證及訪問控制技術(shù)等在共享的互聯(lián)網(wǎng)上實現(xiàn)低成本的安全數(shù)據(jù)傳輸。

2.

VPN的優(yōu)點

VPN的優(yōu)點如下：

1)費用低廉

這是使用VPN的最主要的好處。通過使用VPN，我們可以在公共網(wǎng)絡(luò)上盡可能安全地傳輸數(shù)據(jù)，而不需要再租用專線來組網(wǎng)。并且，多數(shù)VPN都可以提供可靠的遠(yuǎn)程撥號服務(wù)，如此便減少了管理、維護(hù)和操作撥號網(wǎng)絡(luò)的人力成本，節(jié)約了相關(guān)費用。2)安全可靠

VPN為數(shù)據(jù)安全傳輸提供了許多安全保證，可以保證傳輸數(shù)據(jù)的機(jī)密性、完整性和對發(fā)送/接收者的認(rèn)證。

3)部署簡單

VPN使用的是已有的基礎(chǔ)設(shè)施，因此可以利用現(xiàn)有的基礎(chǔ)設(shè)施快速建立VPN，從而降低工作量，節(jié)省時間，減少施工費用。

3.

VPN的缺點

VPN有如上所述的許多優(yōu)點，但同時也有一些缺點：

1)增加了處理開銷

為了保證數(shù)據(jù)傳輸安全，通常對傳輸?shù)拿恳粋€報文都進(jìn)行加密，如此便增加了VPN處理壓力。雖然可以采取硬件技術(shù)來解決，但同時也增加了構(gòu)建VPN的成本。同時，由于VPN對發(fā)送的報文進(jìn)行了封裝，或者在原始報文上增加額外報文信息，這些都增加了處理開銷，對網(wǎng)絡(luò)性能構(gòu)成一定的影響。2)實現(xiàn)問題

由于現(xiàn)有的網(wǎng)絡(luò)基礎(chǔ)情況一般比較復(fù)雜，因此VPN在設(shè)計的時候必須考慮到實現(xiàn)的問題，包括VPN通過、網(wǎng)絡(luò)地址轉(zhuǎn)換、最大傳輸單元大小等問題。3)故障診斷和控制問題

由于VPN上傳輸?shù)臄?shù)據(jù)都進(jìn)行了封裝處理，真實數(shù)據(jù)只能等解封后才能看見，因此一旦發(fā)生故障，很難進(jìn)行診斷。同時，如果遠(yuǎn)程用戶通過VPN接入的話，必須要考慮對其實施控制。因為此時的遠(yuǎn)程接入客戶作為進(jìn)入網(wǎng)絡(luò)的入口，由于其自身主機(jī)的安全問題，可能會帶來安全隱患。并且，VPN畢竟是構(gòu)建在公共基礎(chǔ)設(shè)施上，而一旦這些基礎(chǔ)設(shè)施出現(xiàn)問題則會導(dǎo)致Internet服務(wù)故障，從而使VPN的通信出現(xiàn)問題。

10.2VPN隧道協(xié)議

按照用戶數(shù)據(jù)是在網(wǎng)絡(luò)協(xié)議棧的第幾層被封裝，即隧道協(xié)議是工作在第二層數(shù)據(jù)鏈路層、第三層網(wǎng)絡(luò)層，還是第四層應(yīng)用層，可以將VPN協(xié)議劃分成第二層隧道協(xié)議、第三層隧道協(xié)議和第四層隧道協(xié)議。

第二層隧道協(xié)議：主要包括點到點隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)、第二層轉(zhuǎn)發(fā)協(xié)議(Layer2Forwarding，L2F)，第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)、多協(xié)議標(biāo)記交換(Multi-ProtocolLabelSwitching，MPLS)等，主要應(yīng)用于構(gòu)建接入VPN。

第三層隧道協(xié)議：主要包括通用路由封裝協(xié)議(GenericRoutingEncapsulation，GRE)和IPSec，它主要應(yīng)用于構(gòu)建內(nèi)聯(lián)網(wǎng)VPN和外聯(lián)網(wǎng)VPN。

第四層隧道協(xié)議：如SSLVPN。SSLVPN與IPSecVPN都是實現(xiàn)VPN的兩大實現(xiàn)技術(shù)。其中，IPSecVPN工作在網(wǎng)絡(luò)層，因此與上層的應(yīng)用程序無關(guān)。采用隧道運行模式的IPSec對原始的IP數(shù)據(jù)包進(jìn)行封裝，從而隱藏了所有的應(yīng)用協(xié)議信息，因此可以實現(xiàn)各種應(yīng)用類型的一對多的連接，如Web、電子郵件、文件傳輸、VoIP等連接。與SSL相比，IPSec只在一個客戶程序和遠(yuǎn)程VPN網(wǎng)關(guān)或主機(jī)之間建立一條連接，所有應(yīng)用程序的流量都通過該連接建立的隧道進(jìn)行傳輸。而SSLVPN工作在應(yīng)用層，對每一個附加的應(yīng)用程序都不得不建立額外的連接和隧道。不過，SSL除了具備與IPSecVPN相當(dāng)?shù)陌踩酝猓€增加了訪問控制機(jī)制。而且客戶端只需要擁有支持SSL的瀏覽器即可，配置方便，使用簡單，非常適合遠(yuǎn)程用戶訪問企業(yè)內(nèi)部網(wǎng)。因此，現(xiàn)在第四層隧道協(xié)議最著名的便是SSL。

關(guān)于SSL和IPSec的技術(shù)原理與應(yīng)用請參考9.4節(jié)與9.5節(jié)，本章內(nèi)容將重點討論其他幾種VPN協(xié)議。10.2.1PPTP

在了解點到點隧道協(xié)議(Point-to-PointTunnelingProtocol，PPTP)協(xié)議之前，必須先要了解PPP和GRE兩個協(xié)議。

1)點到點協(xié)議(Point-to-PointProtocol，PPP)

PPP協(xié)議主要是為通過撥號或?qū)＞€方式建立點對點連接的同等單元之間傳輸數(shù)據(jù)包而設(shè)計的鏈路層協(xié)議。PPP協(xié)議將IP、IPX和NETBEUI包封裝在PP幀內(nèi)通過點對點的鏈路發(fā)送，主要應(yīng)用于撥號連接用戶和NAS。2)

GRE協(xié)議

GRE協(xié)議由Cisco和NetSmiths等公司提交給IETF的數(shù)據(jù)封裝協(xié)議，它規(guī)定了如何用一種網(wǎng)絡(luò)協(xié)議去封裝另一種網(wǎng)絡(luò)協(xié)議的方法，由RFC1701和RFC1702詳細(xì)定義。目前多數(shù)廠商的網(wǎng)絡(luò)設(shè)備均支持GER隧道協(xié)議。

GER協(xié)議允許用戶使用IP包封裝IP、

IPX、

AppleTalk包，并支持全部的路由協(xié)議(如RIP2、OSPF等)。不過，GER協(xié)議只提供了數(shù)據(jù)包封裝功能而沒有加密功能，所以在實際環(huán)境中為了保證用戶數(shù)據(jù)安全，GER協(xié)議經(jīng)常與IPSec結(jié)合使用，由IPSec提供用戶數(shù)據(jù)的加密。PPTP是由微軟、Ascend、3COM等公司支持的基于IP的點對點隧道協(xié)議，它采用隧道技術(shù)，使用IP數(shù)據(jù)包通過Internet傳送PPP數(shù)據(jù)幀，在RFC2367中有詳細(xì)定義。該協(xié)議使用兩種不同類型的數(shù)據(jù)包來管理隧道和發(fā)送數(shù)據(jù)包。PPTP通過TCP端口1723建立TCP連接并發(fā)送和接收所有控制命令。對于數(shù)據(jù)傳輸，PPTP先使用PPP封裝，再將PPP封裝到一個IP類型為47的GRE數(shù)據(jù)包中，最后GRE數(shù)據(jù)包再被封裝到一個IP數(shù)據(jù)包中通過隧道傳輸。如圖10.2所示。圖10.2PPTP數(shù)據(jù)包格式PPTP協(xié)議的實現(xiàn)由PPTP接入集中器(PPTPAccessConcentrator，PAC)和PPTP網(wǎng)絡(luò)服務(wù)器(PPTPNetworkServer，PNS)來分別執(zhí)行，從而實現(xiàn)因特網(wǎng)上的VPN。其中，ISP的NAS將執(zhí)行PPTP協(xié)議中指定的PAC的功能，企業(yè)VPN中心服務(wù)器將執(zhí)行PNS的功能。如圖10.3所示，遠(yuǎn)程撥號用戶(如遠(yuǎn)程用戶1)首先采用撥號方式接入到ISP的NAS(PAC)建立PPP連接，然后接入Internet，通過企業(yè)VPN服務(wù)器(PNS)訪問企業(yè)的網(wǎng)絡(luò)和應(yīng)用，而不再需要直接撥號至企業(yè)的網(wǎng)絡(luò)。這樣，由GRE將PPP報文封裝成的IP報文就可以在PAC－PNS之間經(jīng)由因特網(wǎng)傳遞，即在PAC和PNS之間為用戶的PPP會話建立了一條PPTP隧道(如PPTP隧道1)。由于所有的通信都將在IP包內(nèi)通過隧道，因此PAC只起著通過PPP連接進(jìn)因特網(wǎng)的入口點的作用。對于直接連接到Internet上的客戶(如遠(yuǎn)程用戶2)，可以直接與企業(yè)VPN服務(wù)器建立虛擬通道(如PPTP隧道2)而不需要與ISP建立PPP連接。圖10.3PPTP實現(xiàn)過程PPTP具有兩種不同的工作模式，即被動模式和主動模式。

被動模式的PPTP：ISP為用戶提供其撥號連接到ISP過程中所有的服務(wù)和幫助，而客戶端則不需要安裝任何與PPTP相關(guān)的軟件。此模式的好處是降低了對客戶的要求，缺點是限制了客戶對因特網(wǎng)其他部分的訪問。

主動模式的PPTP：由客戶建立一個與企業(yè)網(wǎng)絡(luò)服務(wù)器直接連接的PPTP隧道，ISP只提供透明的傳輸通道而并不參與隧道的建立。此模式的優(yōu)點是客戶擁有對PPTP的絕對控制，缺點是對用戶的要求較高，并需要在客戶端安裝支持PPTP的相應(yīng)軟件。從安全性上來說，對于加密，PPTP使用Microsoft點對點加密算法(MicrosoftPoint-to-PointEncryption，MPPE)，采用RC4加密程序。對于認(rèn)證，PPTP使用Microsoft挑戰(zhàn)握手認(rèn)證協(xié)議(MicrosoftChallengeHandshakeAuthenticationProtocol，MS-CHAP)、口令認(rèn)證協(xié)議(PasswordAuthenticationProtocol，PAP)、挑戰(zhàn)握手認(rèn)證協(xié)議(Challenge-HandshakeAuthenticationProtocol，CHAP)或可擴(kuò)展認(rèn)證協(xié)議(ExtensibleAuthenticationProtocol，EAP)來實現(xiàn)用戶認(rèn)證功能。但是，由于MS-CHAP是不安全的，因此大都認(rèn)為PPTP不安全。后來，Microsoft在PPTP實現(xiàn)中采用了MS-CHAPV2，解決了其存在的安全問題。10.2.2L2TP

第二層隧道協(xié)議(Layer2TunnelingProtocol，L2TP)是IETF起草，微軟、Ascend、Cisco、3COM等公司參與的協(xié)議，在RFC2661中對其進(jìn)行了詳細(xì)定義。該協(xié)議由PPTP與二層轉(zhuǎn)發(fā)協(xié)議(Layer2Forwarding，L2F)的融合而形成，結(jié)合了兩個協(xié)議的優(yōu)點，是目前IETF的標(biāo)準(zhǔn)。其中，L2F是由Cisco公司提出的可以在多種傳輸網(wǎng)絡(luò)(如ATM、幀中繼、IP網(wǎng))上建立多協(xié)議的安全虛擬專用網(wǎng)的通信方式，主要用于Cisco的路由器和撥號訪問服務(wù)器，能夠?qū)㈡溌穼拥膮f(xié)議(如HDLC、PPP等)封裝起來傳送。和PPTP一樣，L2TP通過對數(shù)據(jù)加密和對目的地址加密隱藏，在Internet網(wǎng)絡(luò)上建立隧道，從而創(chuàng)建一種安全的連接來傳送信息。L2TP消息可以分為兩種類型，一種是控制信息，另一種是數(shù)據(jù)信息?？刂菩畔⒂糜谒淼篮秃艚械慕ⅰ⒕S護(hù)與清除。數(shù)據(jù)信息用于封裝隧道傳輸?shù)腜PP數(shù)據(jù)幀?？刂菩畔⒗肔2TP內(nèi)部可靠的控制通道來保證傳輸，而數(shù)據(jù)信息一旦數(shù)據(jù)包丟失則不再重傳。如圖10.4所示。L2TP在IP網(wǎng)絡(luò)上的隧道控制信息以及數(shù)據(jù)使用相類似，通過UDP的1701端口承載于TCP/IP之上進(jìn)行傳輸。

結(jié)合IPSec技術(shù)進(jìn)行數(shù)據(jù)安全傳輸?shù)腖2TP數(shù)據(jù)包格式如圖10.5所示。圖10.4L2TP協(xié)議結(jié)構(gòu)圖10.5L2TP數(shù)據(jù)包格式與PPTP類似，L2TP協(xié)議的實現(xiàn)也由兩個設(shè)備來執(zhí)行：一個是L2TP訪問集中器(L2TPAccessConcentrator，LAC)，另一個是L2TP網(wǎng)絡(luò)服務(wù)器(L2TPNetworkServer，LNS)。L2TP將隧道連接定義為一個LNS和LAC對，其中LAC用于發(fā)起呼叫、接收呼叫和建立隧道，而LNS是遠(yuǎn)程系統(tǒng)通過L2TP建立的隧道傳送PPP會話的邏輯終點。如圖10.6所示。圖10.6L2TP實現(xiàn)過程

1.

L2TP的建立過程

(1)遠(yuǎn)程用戶通過PSTN或ISDN撥號至本地接入服務(wù)器LAC(LAC是連接的終點)；

(2)

LAC接收呼叫，認(rèn)證用戶是否合法，通過Internet、幀中繼或ATM網(wǎng)絡(luò)建立一個通向內(nèi)部網(wǎng)(HomeLAN)LNS的VPN隧道；

(3)在隧道上傳輸PPP數(shù)據(jù)到達(dá)內(nèi)部網(wǎng)絡(luò)。

在以上過程中，內(nèi)部網(wǎng)提供地址分配、認(rèn)證、計費等管理。LAC客戶端(運行L2TP的主機(jī))可以直接接入內(nèi)部網(wǎng)而不需要另外的LAC。在這種情況下，包含LAC客戶端軟件的主機(jī)必須已經(jīng)連接到公網(wǎng)上，然后建立一個“虛擬”PPP連接，使本機(jī)L2TPLAC客戶端與LNS之間建立一個隧道。其地址分配、認(rèn)證、授權(quán)和計費都由目標(biāo)網(wǎng)絡(luò)的管理域提供。LAC和LNS功能一般由為用戶通過PSTN/ISDN撥入網(wǎng)絡(luò)提供服務(wù)的網(wǎng)絡(luò)接入服務(wù)器NAS(NetworkAccessServer)提供。

2.

L2TP協(xié)議的特性

(1)擴(kuò)展性。為了在互通的基礎(chǔ)上具有最大化擴(kuò)展性，L2TP使用了統(tǒng)一的格式來對消息的類型和主體(body)進(jìn)行編碼，用AVP值對(AttributeValuePair)來表示。

(2)可靠性。L2TP在控制信息的傳輸過程中，應(yīng)用消息丟失重傳和定時檢測通道連通性等機(jī)制來保證傳輸?shù)目煽啃?。而其?shù)據(jù)消息的傳輸由于不采用重傳機(jī)制，所以它無法保證傳輸?shù)目煽啃裕@一點可以通過上層協(xié)議如TCP等得到保證。另外，L2TP在所有的控制信息中都采用序號來保證可靠傳輸，而數(shù)據(jù)信息可用序號來進(jìn)行數(shù)據(jù)包的重排或用來檢測丟失的數(shù)據(jù)包。(3)身份認(rèn)證及保密性。L2TP繼承了PPP的所有安全特性，不僅可以選擇多種身份認(rèn)證機(jī)制(CHAP、PAP等)，還可以對隧道端點進(jìn)行認(rèn)證。L2TP定義了控制包的加密傳輸，對每個隧道生成一個獨一無二的隨機(jī)密鑰，以抵御欺騙性的攻擊，但是它對傳輸中的數(shù)據(jù)不加密。根據(jù)特定的網(wǎng)絡(luò)安全要求可以方便地在L2TP之上采用隧道加密、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。

3.

L2TP與PPTP的區(qū)別

雖然L2TP是由PPTP發(fā)展起來的，都使用PPP協(xié)議對數(shù)據(jù)進(jìn)行封裝，然后添加附加報頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸，但兩者間仍有一定的區(qū)別：

(1)從網(wǎng)絡(luò)運行環(huán)境上來看，PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)，而L2TP可以在IP、幀中繼、ATM等網(wǎng)絡(luò)上使用。

(2)從建立隧道的模式來看，PPTP只能在兩端點間建立單一隧道，而L2TP支持在兩端點間使用多隧道。因此，用戶可以針對不同的服務(wù)質(zhì)量使用L2TP創(chuàng)建不同的隧道。(3)從認(rèn)證方式來看，L2TP可以提供隧道認(rèn)證，而PPTP則不支持隧道認(rèn)證。但是當(dāng)L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，而不需要在第二層協(xié)議上驗證隧道。

(4)從數(shù)據(jù)包傳輸效率來看，L2TP合并了控制通道和數(shù)據(jù)通道，使用UDP協(xié)議來傳輸所有信息，因此，相對采用TCP協(xié)議傳輸數(shù)據(jù)的PPTP來說，效率更高，更容易通過防火墻。另一方面，PPTP支持通過NAT防火墻的操作，而L2TP則不能支持。10.2.3MPLS

多協(xié)議標(biāo)記交換(Multi-ProtocolLabelSwitching，MPLS)吸收了ATM的VPI/VCI交換思想，無縫集成了IP路由技術(shù)的靈活性和兩層交換的簡捷性，在面向無連接的IP網(wǎng)絡(luò)中增加了MPLS這種面向連接的屬性。通過采用MPLS建立“虛連接”的方法，為IP網(wǎng)增加了一些管理和運營的手段。隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，MPLS應(yīng)用也逐步轉(zhuǎn)向MPLS流量工程和MPLSVPN等應(yīng)用。本節(jié)重點介紹MPLSVPN技術(shù)。MPLS的主要原理是為每個IP數(shù)據(jù)包提供一個標(biāo)記，并由此標(biāo)記決定數(shù)據(jù)包的路徑以及優(yōu)先級，使與MPLS兼容的路由器在將數(shù)據(jù)包轉(zhuǎn)送到其路徑之前，只需讀取數(shù)據(jù)包標(biāo)記，而無需讀取每個數(shù)據(jù)包的IP地址和標(biāo)頭，然后將所傳送的數(shù)據(jù)包置于幀中繼或ATM的虛擬電路上，從而將數(shù)據(jù)包快速傳送至終點路由器，減少了數(shù)據(jù)包的延遲，增加了網(wǎng)絡(luò)傳輸?shù)乃俣?。同時由幀中繼及ATM交換器所提供的服務(wù)質(zhì)量(QualityofService，QoS)對所傳送的數(shù)據(jù)包加以分級，因而大幅提升網(wǎng)絡(luò)服務(wù)品質(zhì)及提供更多樣化的服務(wù)。因此，MPLS技術(shù)適合用于遠(yuǎn)程互聯(lián)的大中型企業(yè)專用網(wǎng)絡(luò)等對QoS、服務(wù)級別(ClassofService，CoS)、網(wǎng)絡(luò)帶寬、可靠性等要求高的VPN業(yè)務(wù)。

10.3VPN集成

VPN在網(wǎng)絡(luò)中的集成有很多方式，最常見的有路由器集成VPN、防火墻集成VPN和專用VPN設(shè)備三種方式。

1.路由器集成VPN

現(xiàn)在一些路由器中已經(jīng)配備了VPN模塊，即路由器集成VPN，如圖10.7所示。圖10.7路由器集成VPN邊緣路由器上集成VPN，訪問過程如下：

遠(yuǎn)程用戶建立VPN到路由器。

路由器將請求轉(zhuǎn)發(fā)給NAS。

NAS認(rèn)證遠(yuǎn)程用戶是否合法，若合法，則授權(quán)用戶訪問內(nèi)部網(wǎng)。

路由器集成VPN的設(shè)備僅適合小型網(wǎng)絡(luò)而不適合大型網(wǎng)絡(luò)，因為路由器本身的性能有限，若再加上加密/解密VPN信息帶來的負(fù)擔(dān)，則會使路由器超負(fù)荷。因此，一般對企業(yè)用戶來說，路由器集成VPN并不是一個很好的選擇。

2.防火墻集成VPN

防火墻集成VPN是應(yīng)用廣泛的模式。許多廠家的防火墻產(chǎn)品都具有VPN功能。由于防火墻本身具備較完善的記錄功能，因此，在此基礎(chǔ)上增加VPN記錄不會給防火墻帶來太大的額外負(fù)擔(dān)。另外，防火墻也是網(wǎng)絡(luò)的入口點，在此增加VPN功能將使用戶能夠訪問網(wǎng)絡(luò)而不用開放防火墻規(guī)則，以免增加安全漏洞。

防火墻集成VPN如圖10.8所示。圖10.8防火墻集成VPN防火墻集成VPN訪問過程與路由器集成VPN類似：

遠(yuǎn)程用戶建立VPN到防火墻。

防火墻將認(rèn)證請求轉(zhuǎn)發(fā)給NAS。

NAS認(rèn)證遠(yuǎn)程用戶是否合法，若合法，則防火墻授權(quán)用戶訪問內(nèi)部網(wǎng)。防火墻集成VPN的模式可以獲得設(shè)備中由防火墻部件提供的健壯的訪問控制功能，給網(wǎng)絡(luò)管理員提供了更多的控制權(quán)，使用戶能夠訪問的網(wǎng)絡(luò)資源部分被限定。但與路由器集成VPN一樣，處理VPN加密/解密信息需要占用大量系統(tǒng)資源，如果防火墻本身負(fù)荷已經(jīng)很重，則不適合選擇此種模式。而且，防火墻集成VPN方案還有一個缺陷，就是在優(yōu)化配置虛擬網(wǎng)和防火墻部件方面，選擇余地非常小，因為最適合業(yè)務(wù)需要的防火墻產(chǎn)品可能與虛擬專用網(wǎng)不匹配。同時，集成方案還會使VPN和防火墻部件限制在一套系統(tǒng)上，使得配置方案不靈活。

3.專用VPN設(shè)備

專用VPN設(shè)備最主要的優(yōu)點就是減輕了路由器和防火墻管理VPN的負(fù)擔(dān)，即使有再多的連接甚至過載，也不會影響網(wǎng)絡(luò)的其他部分。專用VPN設(shè)備的另一個優(yōu)點是增強(qiáng)了VPN訪問的安全性，即使VPN被攻破，也可以使攻擊者引起的破壞降到最低，相比路由器和防火墻集成VPN而言，增強(qiáng)了網(wǎng)絡(luò)安全性。

專用VPN設(shè)備如圖10.9所示。圖10.9專用VPN設(shè)備專用VPN設(shè)備訪問過程如下：

遠(yuǎn)程用戶建立VPN到專用設(shè)備。

專用設(shè)備處理用戶認(rèn)證請求，或?qū)⒄埱筠D(zhuǎn)發(fā)給NAS。

如果認(rèn)證成功，則授權(quán)用戶訪問內(nèi)部網(wǎng)，并且管理員還能夠限定用戶訪問網(wǎng)絡(luò)的哪部分資源。專用VPN設(shè)備與防火墻的組合主要有三種結(jié)構(gòu)：

1)

VPN設(shè)備在非軍事區(qū)內(nèi)，位于防火墻和路由器之間

此種模式最大的問題就是網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)。例如，用戶發(fā)出的報文使用了IPSec的AH進(jìn)行認(rèn)證，在報文到達(dá)目標(biāo)網(wǎng)絡(luò)虛擬網(wǎng)設(shè)備時，由于還沒通過防火墻進(jìn)行地址轉(zhuǎn)換，因此不能通過目標(biāo)網(wǎng)絡(luò)VPN的完整性校驗。這是因為在發(fā)送端的NAT設(shè)備在對報文處理時修改了報文的源地址，從而導(dǎo)致接收端的VPN連接不能通過消息摘要認(rèn)證。2)

VPN設(shè)備在防火墻之后，位于屏蔽子網(wǎng)或網(wǎng)絡(luò)內(nèi)部

此種模式的問題是地址管理，有些虛擬專用網(wǎng)規(guī)范要求給虛擬專用網(wǎng)設(shè)備配置一個合法的IP地址，如果IP地址被NAT改寫后，可能會引起IPSec的IKE階段失敗。

3)

VPN設(shè)備在防火墻之前，更靠近Internet一些

此種模式可以避免潛在的網(wǎng)絡(luò)地址轉(zhuǎn)換和地址管理上出現(xiàn)的問題，但由于不能得到防火墻的保護(hù)，如果VPN端點的系統(tǒng)受到損害，可能使攻擊者訪問到應(yīng)該受VPN保護(hù)的

信息?？傊瑢Ｓ肰PN設(shè)備為穩(wěn)固和可升級方案的實現(xiàn)提供了很好的解決方法，而且不影響網(wǎng)絡(luò)的其他部分，具備許多優(yōu)點。但是專用VPN也有一些缺點，因為它是額外的網(wǎng)絡(luò)設(shè)備，所以也需要對它進(jìn)行管理和監(jiān)控。另外，VPN設(shè)備及軟件的管理和漏洞也要加強(qiáng)防范，同時還要防止由于在防火墻中要通過VPN而創(chuàng)建的連接可能引起的安全問題。最后，專用VPN設(shè)備的使用也會使網(wǎng)絡(luò)成本提高。因此，選擇哪一種VPN端接方式需要對所有的方案及網(wǎng)絡(luò)潛在流量進(jìn)行徹底的評估，才能找到最適合的解決方案。

10.4VPN應(yīng)用實例

【實驗背景】

PPTP協(xié)議是最常用的VPN技術(shù)之一，它能夠在通信的雙方之間建立一個安全隧道，保證信息的安全傳輸，Windows系統(tǒng)中提供了構(gòu)建PPTP安全應(yīng)用的所有組件。

【實驗?zāi)康摹?/p>

掌握PPTPVPN技術(shù)，保證信息的傳輸安全?！緦嶒灄l件】

(1)基于WindowsServer2003的PC機(jī)一臺；

(2)基于Windows的PC機(jī)兩臺。

【實驗任務(wù)】

(1)實現(xiàn)PPTPVPN服務(wù)器端配置；

(2)實現(xiàn)PPTPVPN客戶端配置；

(3)利用PPTPVPN技術(shù)實現(xiàn)客戶端和服務(wù)器端安全訪問。

【實驗內(nèi)容】

首先配置網(wǎng)絡(luò)環(huán)境：

1.各主機(jī)IP地址配置

VPN服務(wù)器：WindowsServer2003，配置兩塊網(wǎng)卡，或一塊網(wǎng)卡配兩個IP地址。其中外網(wǎng)IP為/8，內(nèi)網(wǎng)IP為/24。

外網(wǎng)主機(jī)：Windows2000/XP/2003，IP為/8。

內(nèi)網(wǎng)主機(jī)：Windows2000/XP/2003，IP為/24。

2.域的建立

(1)將VPN服務(wù)器配置成域服務(wù)器，域名自己定義。本實驗指導(dǎo)以建立的域名為例。

(2)在域服務(wù)器上建立一個域用戶，并賦予撥入權(quán)限，本文以建立的vpn_client1用戶為例，其配置如圖10.10所示。圖10.10域用戶撥入權(quán)限設(shè)置

3.?VPN服務(wù)器配置

(1)單擊“開始”按鈕→“所有程序”→“管理工具”→“路由和遠(yuǎn)程訪問”，打開【路由和訪問控制】窗口。

(2)右擊【路由和訪問控制】窗口中的機(jī)器名→選擇“配置并啟用路由和遠(yuǎn)程訪問”。

(3)在【歡迎使用路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А看翱谥袉螕簟跋乱徊健卑粹o。

(4)在【配置】窗口中選擇“自定義配置”，單擊“下一步”按鈕。

(5)在【自定義配置】窗口中選擇“VPN訪問(V)”，單擊“下一步”按鈕。

(6)在【正在完成路由和遠(yuǎn)程訪問服務(wù)器安裝向?qū)А看翱谥袉螕簟巴瓿伞卑粹o。

(7)在【路由和遠(yuǎn)程訪問】提示開始服務(wù)窗口中單擊“是”按鈕，開始啟動路由和遠(yuǎn)程訪問服務(wù)。

(8)雙擊計算機(jī)名，高亮顯示“端口”，可以看到該向?qū)ё詣觿?chuàng)建了VPN端口，包括PPTP端口和L2TP端口，如圖10.11所示。圖10.11VPN端口列表

4.客戶端配置

(1)首先檢查客戶端網(wǎng)卡設(shè)置，為一外網(wǎng)靜態(tài)網(wǎng)卡/24，并用Ping命令測試其與IAS是否連通。

(2)在“網(wǎng)絡(luò)和撥號連接”中新建一個網(wǎng)絡(luò)連接(以Windows