隧道協(xié)議

　　為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。

　　隧道技術(shù)可以分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。上述分層按照開放系統(tǒng)互聯(lián)（OSI）的參考模型劃分。第2層隧道協(xié)議對(duì)應(yīng)OSI模型中的數(shù)據(jù)鏈路層，使用楨作為數(shù)據(jù)交換單位。PPTP，L2TP和L2F（第2層轉(zhuǎn) ┒際粲詰?層隧道協(xié)議，都是將數(shù)據(jù)封裝在點(diǎn)對(duì)點(diǎn)協(xié)議（PPP）楨中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IP overIP以及IPSec隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。

　　隧道技術(shù)如何實(shí)現(xiàn)

　　對(duì)于象PPTP和L2TP這樣的第2層隧道協(xié)議，創(chuàng)建隧道的過程類似于在雙方之間建立會(huì)話；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報(bào)的協(xié)議發(fā)送。隧道維護(hù)協(xié)議被用來作為管理隧道的機(jī)制。

　　第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。這些協(xié)議不對(duì)隧道進(jìn)行維護(hù)。與第3層隧道協(xié)議不同，第2層隧道協(xié)議（PPTP和L2TP）必須包括對(duì)隧道的創(chuàng)建，維護(hù)和終止。

　　隧道一旦建立，數(shù)據(jù)就可以通過隧道發(fā)送。隧道客戶端和服務(wù)器使用隧道數(shù)據(jù)傳輸協(xié)議準(zhǔn)備傳輸數(shù)據(jù)。例如，當(dāng)隧道客戶端向服務(wù)器端發(fā)送數(shù)據(jù)時(shí)，客戶端首先給負(fù)載數(shù)據(jù)加上一個(gè)隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝的數(shù)據(jù)通過互聯(lián)網(wǎng)絡(luò)發(fā)送，并由互聯(lián)網(wǎng)絡(luò)將數(shù)據(jù)路由到隧道的服務(wù)器端。隧道服務(wù)器端收到數(shù)據(jù)包之后，去除隧道數(shù)據(jù)傳輸協(xié)議包頭，然后將負(fù)載數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。

　　隧道協(xié)議和基本隧道要求

　　因?yàn)榈?層隧道協(xié)議（PPTP和L2TP）以完善的PPP協(xié)議為基礎(chǔ)，因此繼承了一整套的特性。

　　1.用戶驗(yàn)證
　　第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗(yàn)證方式。許多第3層隧道技術(shù)都假定在創(chuàng)建隧道之前，隧道的兩個(gè)端點(diǎn)相互之間已經(jīng)了解或已經(jīng)經(jīng)過驗(yàn)證。一個(gè)例外情況是IPSec協(xié)議的ISAKMP協(xié)商提供了隧道端點(diǎn)之間進(jìn)行的相互驗(yàn)證。

　　2.令牌卡（Tokencard）支持
　　通過使用擴(kuò)展驗(yàn)證協(xié)議（EAP），第2層隧道協(xié)議能夠支持多種驗(yàn)證方法，包括一次性口令（one-timepassword)，加密計(jì)算器（cryptographic calculator）和智能卡等。第3層隧道協(xié)議也支持使用類似的方法，例如，IPSec協(xié)議通過ISAKMP/Oakley協(xié)商確定公共密鑰證書驗(yàn)證。

　　3.動(dòng)態(tài)地址分配
　　第2層隧道協(xié)議支持在網(wǎng)絡(luò)控制協(xié)議（NCP）協(xié)商機(jī)制的基礎(chǔ)上動(dòng)態(tài)分配客戶地址。第3層隧道協(xié)議通常假定隧道建立之前已經(jīng)進(jìn)行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發(fā)之中。

　　4.數(shù)據(jù)壓縮
　　第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮方式。例如，微軟的PPTP和L2TP方案使用微軟點(diǎn)對(duì)點(diǎn)加密協(xié)議（MPPE）。IETP正在開發(fā)應(yīng)用于第3層隧道協(xié)議的類似數(shù)據(jù)壓縮機(jī)制。

　　5.數(shù)據(jù)加密
　　第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)加密機(jī)制。微軟的PPTP方案支持在RSA/RC4算法的基礎(chǔ)上選擇使用MPPE。第3層隧道協(xié)議可以使用類似方法，例如，IPSec通過ISAKMP/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法。微軟的L2TP協(xié)議使用IPSec加密保障隧道客戶端和服務(wù)器之間數(shù)據(jù)流的安全。

　　6.密鑰管理
　　作為第2層協(xié)議的MPPE依靠驗(yàn)證用戶時(shí)生成的密鑰，定期對(duì)其更新。IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰，同樣對(duì)其進(jìn)行定期更新。

　　7.多協(xié)議支持
　　第2層隧道協(xié)議支持多種負(fù)載數(shù)據(jù)協(xié)議，從而使隧道客戶能夠訪問使用IP，IPX，或NetBEUI等多種協(xié)議企業(yè)網(wǎng)絡(luò)。相反，第3層隧道協(xié)議，如IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。

　　點(diǎn)對(duì)點(diǎn)協(xié)議

　　因?yàn)榈?層隧道協(xié)議在很大程度上依靠PPP協(xié)議的各種特性，因此有必要對(duì)PPP協(xié)議進(jìn)行深入的探討。PPP協(xié)議主要是設(shè)計(jì)用來通過撥號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)。PPP協(xié)議將IP，IPX和NETBEUI包封裝在PP楨內(nèi)通過點(diǎn)對(duì)點(diǎn)的鏈路發(fā)送。PPP協(xié)議主要應(yīng)用于連接撥號(hào)用戶和NAS。 PPP撥號(hào)會(huì)話過程可以分成4個(gè)不同的階段。分別如下：

　　階段1：創(chuàng)建PPP鏈路

　　PPP使用鏈路控制協(xié)議（LCP）創(chuàng)建，維護(hù)或終止一次物理連接。在LCP階段的初期，將對(duì)基本的通訊方式進(jìn)行選擇。應(yīng)當(dāng)注意在鏈路創(chuàng)建階段，只是對(duì)驗(yàn)證協(xié)議進(jìn)行選擇，用戶驗(yàn)證將在第2階段實(shí)現(xiàn)。同樣，在LCP階段還將確定鏈路對(duì)等雙方是否要對(duì)使用數(shù)據(jù)壓縮或加密進(jìn)行協(xié)商。實(shí)際對(duì)數(shù)據(jù)壓縮/加密算法和其它細(xì)節(jié)的選擇將在第4階段實(shí)現(xiàn)。

　　階段2：用戶驗(yàn)證

　　在第2階段，客戶會(huì)PC將用戶的身份明發(fā)給遠(yuǎn)端的接入服務(wù)器。該階段使用一種安全驗(yàn)證方式避免第三方竊取數(shù)據(jù)或冒充遠(yuǎn)程客戶接管與客戶端的連接。大多數(shù)的PPP方案只提供了有限的驗(yàn)證方式，包括口令驗(yàn)證協(xié)議（PAP），挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）和微軟挑戰(zhàn)握手驗(yàn)證協(xié)議（MSCHAP）。

　　1.口令驗(yàn)證協(xié)議（PAP）

　　PAP是一種簡(jiǎn)單的明文驗(yàn)證方式。NAS要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

　　2.挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP）

　　CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-wayhashingalgorithm）返回用戶名和加密的挑戰(zhàn)口令，會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。

　　CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)字串來防止受到再現(xiàn)攻擊（replay attack).在整個(gè)連接過程中，CHAP將不定時(shí)的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠(yuǎn)程客戶（remoteclient impersonation)進(jìn)行攻擊。

　　3.微軟挑戰(zhàn)-握手驗(yàn)證協(xié)議（MS-CHAP）

　　與CHAP相類似，MS-CHAP也是一種加密驗(yàn)證機(jī)制。同CHAP一樣，使用MS-CHAP時(shí)，NAS會(huì)向遠(yuǎn)程客戶發(fā)送一個(gè)含有會(huì)話ID和任意生成的挑戰(zhàn)字串的挑戰(zhàn)口令。遠(yuǎn)程客戶必須返回用戶名以及經(jīng)過MD4哈希算法加密的挑戰(zhàn)字串，會(huì)話ID和用戶口令的MD4哈希值。采用這種方式服務(wù)器端將只存儲(chǔ)經(jīng)過哈希算法加密的用戶口令而不是明文口令，這樣就能夠提供進(jìn)一步的安全保障。此外，MS-CHAP同樣支持附加的錯(cuò)誤編碼，包括口令過期編碼以及允許用戶自己修改口令的加密的客戶-服務(wù)器（client-server)附加信息。使用MS-CHAP，客戶端和NAS雙方各自生成一個(gè)用于隨后數(shù)據(jù)加密的起始密鑰。MS-CHAP使用基于MPPE的數(shù)據(jù)加密，這一點(diǎn)非常重要，可以解釋為什么啟用基于MPPE的數(shù)據(jù)加密時(shí)必須進(jìn)行MS-CHAP驗(yàn)證。

　　在第2階段PPP鏈路配置階段，NAS收集驗(yàn)證數(shù)據(jù)然后對(duì)照自己的數(shù)據(jù)庫(kù)或中央驗(yàn)證數(shù)據(jù)庫(kù)服務(wù)器（位于NT主域控制器或遠(yuǎn)程驗(yàn)證用戶撥入服務(wù)器）驗(yàn)證數(shù)據(jù)的有效性。

　　階段3：PPP回叫控制（callbackcontrol)

　　微軟設(shè)計(jì)的PPP包括一個(gè)可選的回叫控制階段。該階段在完成驗(yàn)證之后使用回叫控制協(xié)議（CBCP）如果配置使用回叫，那么在驗(yàn)證之后遠(yuǎn)程客戶和NAS之間的連接將會(huì)被斷開。然后由NAS使用特定的電話號(hào)碼回叫遠(yuǎn)程客戶。這樣可以進(jìn)一步保證撥號(hào)網(wǎng)絡(luò)的安全性。NAS只支持對(duì)位于特定電話號(hào)碼處的遠(yuǎn)程客戶進(jìn)行回叫。

　　階段4：調(diào)用網(wǎng)絡(luò)層協(xié)議

　　在以上各階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段（階段1）選定的各種網(wǎng)絡(luò)控制協(xié)議（NCP).例如，在該階段IP控制協(xié)議（IPCP）可以向撥入用戶分配動(dòng)態(tài)地址。在微軟的PPP方案中，考慮到數(shù)據(jù)壓縮和數(shù)據(jù)加密實(shí)現(xiàn)過程相同，所以共同使用壓縮控制協(xié)議協(xié)商數(shù)據(jù)壓縮（使用MPPC）和數(shù)據(jù)加密（使用MPPE）。

　　一旦完成上述4階段的協(xié)商，PPP就開始在連接對(duì)等雙方之間轉(zhuǎn)發(fā)數(shù)據(jù)。每個(gè)被傳送的數(shù)據(jù)報(bào)都被封裝在PPP包頭內(nèi)，該包頭將會(huì)在到達(dá)接收方之后被去除。如果在階段1選擇使用數(shù)據(jù)壓縮并且在階段4完成了協(xié)商，數(shù)據(jù)將會(huì)在被傳送之間進(jìn)行壓縮。類似的，如果如果已經(jīng)選擇使用數(shù)據(jù)加密并完成了協(xié)商，數(shù)據(jù)（或被壓縮數(shù)據(jù)）將會(huì)在傳送之前進(jìn)行加密。

　　點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）

　　PPTP是一個(gè)第2層的協(xié)議，將PPP數(shù)據(jù)楨封裝在IP數(shù)據(jù)報(bào)內(nèi)通過IP網(wǎng)絡(luò)，如Internet傳送。PPTP還可用于專用局域網(wǎng)絡(luò)之間的連接。RFC草案“點(diǎn)對(duì)點(diǎn)隧道協(xié)議”對(duì)PPTP協(xié)議進(jìn)行了說明和介紹。該草案由PPTP論壇的成員公司，包括微軟，Ascend，3Com，和ECI等公司在1996年6月提交至IETF?？稍谌缦抡军c(diǎn)http://www.ietf.org http://www.ietf.org參看草案的在線拷貝.PPTP使用一個(gè)TCP連接對(duì)隧道進(jìn)行維護(hù)，使用通用路由封裝（GRE）技術(shù)把數(shù)據(jù)封裝成PPP數(shù)據(jù)楨通過隧道傳送。可以對(duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。圖7所示為如何在數(shù)據(jù)傳遞之前組裝一個(gè)PPTP數(shù)據(jù)包。

　　第2層轉(zhuǎn)發(fā)（L2F）

　　L2F是Cisco公司提出隧道技術(shù)，作為一種傳輸協(xié)議L2F支持撥號(hào)接入服務(wù)器將撥號(hào)數(shù)據(jù)流封裝在PPP楨內(nèi)通過廣域網(wǎng)鏈路傳送到L2F服務(wù)器（路由器）。L2F服務(wù)器把數(shù)據(jù)包解包之重新注入（inject)網(wǎng)絡(luò)。與PPTP和L2TP不同，L2F沒有確定的客戶方。應(yīng)當(dāng)注意L2F只在強(qiáng)制隧道中有效。（自愿和強(qiáng)制隧道的介紹參看“隧道類型”）。

　　第2層隧道協(xié)議（L2TP）

　　L2TP結(jié)合了PPTP和L2F協(xié)議。設(shè)計(jì)者希望L2TP能夠綜合PPTP和L2F的優(yōu)勢(shì)。

　　L2TP是一種網(wǎng)絡(luò)層協(xié)議，支持封裝的PPP楨在IP，X.25，楨中繼或ATM等的網(wǎng)絡(luò)上進(jìn)行傳送。當(dāng)使用IP作為L(zhǎng)2TP的數(shù)據(jù)報(bào)傳輸協(xié)議時(shí)，可以使用L2TP作為Internet網(wǎng)絡(luò)上的隧道協(xié)議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。草案RFC“第2層隧道協(xié)議”對(duì)L2TP進(jìn)行了說明和介紹。該文檔于1998年1月被提交至IETF?？梢栽谝韵戮W(wǎng)站http://www.ietf.org http://www.ietf.org獲得草案拷貝。

　　IP網(wǎng)上的L2TP使用UDP和一系列的L2TP消息對(duì)隧道進(jìn)行維護(hù)。L2TP同樣使用UDP將L2TP協(xié)議封裝的PPP楨通過隧道發(fā)送?？梢詫?duì)封裝PPP楨中的負(fù)載數(shù)據(jù)進(jìn)行加密或壓縮。圖8所示為如何在傳輸之前組裝一個(gè)L2TP數(shù)據(jù)包。

　　PPTP與L2TP

　　PPTP和L2TP都使用PPP協(xié)議對(duì)數(shù)據(jù)進(jìn)行封裝，然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。

　　1.PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接。L2TP可以在IP（使用UDP），楨中繼永久虛擬電路（PVCs),X.25虛擬電路（VCs）或ATM VCs網(wǎng)絡(luò)上使用。

　　2.PPTP只能在兩端點(diǎn)間建立單一隧道。L2TP支持在兩端點(diǎn)間使用多隧道。使用L2TP，用戶可以針對(duì)不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。

　　3.L2TP可以提供包頭壓縮。當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷（overhead）占用4個(gè)字節(jié)，而PPTP協(xié)議下要占用6個(gè)字節(jié)。

　　4.L2TP可以提供隧道驗(yàn)證，而PPTP則不支持隧道驗(yàn)證。但是當(dāng)L2TP或PPTP與IPSEC共同使用時(shí)，可以由IPSEC提供隧道驗(yàn)證，不需要在第2層協(xié)議上驗(yàn)證隧道。

　　IPSec隧道模式

　　IPSEC是第3層的協(xié)議標(biāo)準(zhǔn)，支持IP網(wǎng)絡(luò)上數(shù)據(jù)的安全傳輸。本文將在“高級(jí)安全”一部分中對(duì)IPSEC進(jìn)行詳細(xì)的總體介紹，此處僅結(jié)合隧道協(xié)議討論IPSEC協(xié)議的一個(gè)方面。除了對(duì)IP數(shù)據(jù)流的加密機(jī)制進(jìn)行了規(guī)定之外，IPSEC還制定了IPoverIP隧道模式的數(shù)據(jù)包格式，一般被稱作IPSEC隧道模式。一個(gè)IPSEC隧道由一個(gè)隧道客戶和隧道服務(wù)器組成，兩端都配置使用IPSEC隧道技術(shù)，采用協(xié)商加密機(jī)制。

　　為實(shí)現(xiàn)在專用或公共IP網(wǎng)絡(luò)上的安全傳輸，IPSEC隧道模式使用的安全方式封裝和加密整個(gè)IP包。然后對(duì)加密的負(fù)載再次封裝在明文IP包頭內(nèi)通過網(wǎng)絡(luò)發(fā)送到隧道服務(wù)器端。隧道服務(wù)器對(duì)收到的數(shù)據(jù)報(bào)進(jìn)行處理，在去除明文IP包頭，對(duì)內(nèi)容進(jìn)行解密之后，獲的最初的負(fù)載IP包。負(fù)載IP包在經(jīng)過正常處理之后被路由到位于目標(biāo)網(wǎng)絡(luò)的目的地。

　　IPSEC隧道模式具有以下功能和局限：

　　1.只能支持IP數(shù)據(jù)流

　　2.工作在IP棧（IPstack）的底層，因此，應(yīng)用程序和高層協(xié)議可以繼承IPSEC的行為。

　　3.由一個(gè)安全策略（一整套過濾機(jī)制）進(jìn)行控制。安全策略按照優(yōu)先級(jí)的先后順序創(chuàng)建可供使用的加密和隧道機(jī)制以及驗(yàn)證方式。當(dāng)需要建立通訊時(shí)，雙方機(jī)器執(zhí)行相互驗(yàn)證，然后協(xié)商使用何種加密方式。此后的所有數(shù)據(jù)流都將使用雙方協(xié)商的加密機(jī)制進(jìn)行加密，然后封裝在隧道包頭內(nèi)。

　　關(guān)于IPSEC的詳細(xì)介紹參看本文稍后的“高級(jí)安全”部分。

隧道類型

　　1.自愿隧道（Voluntarytunnel)
　　用戶或客戶端計(jì)算機(jī)可以通過發(fā)送VPN請(qǐng)求配置和創(chuàng)建一條自愿隧道。此時(shí)，用戶端計(jì)算機(jī)作為隧道客戶方成為隧道的一個(gè)端點(diǎn)。
　　2.強(qiáng)制隧道（Compulsorytunnel）
　　由支持VPN的撥號(hào)接入服務(wù)器配置和創(chuàng)建一條強(qiáng)制隧道。此時(shí)，用戶端的計(jì)算機(jī)不作為隧道端點(diǎn)，而是由位于客戶計(jì)算機(jī)和隧道服務(wù)器之間的遠(yuǎn)程接入服務(wù)器作為隧道客戶端，成為隧道的一個(gè)端點(diǎn)。

　　目前，自愿隧道是最普遍使用的隧道類型。以下，將對(duì)上述兩種隧道類型進(jìn)行詳細(xì)介紹。

　　·自愿隧道
　　當(dāng)一臺(tái)工作站或路由器使用隧道客戶軟件創(chuàng)建到目標(biāo)隧道服務(wù)器的虛擬連接時(shí)建立自愿隧道。為實(shí)現(xiàn)這一目的，客戶端計(jì)算機(jī)必須安裝適當(dāng)?shù)乃淼绤f(xié)議。自愿隧道需要有一條IP連接（通過局域網(wǎng)或撥號(hào)線路）。使用撥號(hào)方式時(shí)，客戶端必須在建立隧道之前創(chuàng)建與公共互聯(lián)網(wǎng)絡(luò)的撥號(hào)連接。一個(gè)最典型的例子是Internet撥號(hào)用戶必須在創(chuàng)建Internet隧道之前撥通本地ISP取得與Internet的連接。

　　對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)來說，客戶機(jī)已經(jīng)具有同企業(yè)網(wǎng)絡(luò)的連接，由企業(yè)網(wǎng)絡(luò)為封裝負(fù)載數(shù)據(jù)提供到目標(biāo)隧道服務(wù)器路由。

　　大多數(shù)人誤認(rèn)為VPN只能使用撥號(hào)連接。其實(shí)，VPN只要求支持IP的互聯(lián)網(wǎng)絡(luò)。一些客戶機(jī)（如家用PC）可以通過使用撥號(hào)方式連接Internet建立IP傳輸。這只是為創(chuàng)建隧道所做的初步準(zhǔn)備，并不屬于隧道協(xié)議。

　　·強(qiáng)制隧道
　　目前，一些商家提供能夠代替撥號(hào)客戶創(chuàng)建隧道的撥號(hào)接入服務(wù)器。這些能夠?yàn)榭蛻舳擞?jì)算機(jī)提供隧道的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備包括支持PPTP協(xié)議的前端處理器（FEP），支持L2TP協(xié)議的L2TP接入集線器（LAC）或支持IPSec的安全I(xiàn)P網(wǎng)關(guān)。本文將主要以FEP為例進(jìn)行說明。為正常的發(fā)揮功能，F(xiàn)EP必須安裝適當(dāng)?shù)乃淼绤f(xié)議，同時(shí)必須能夠當(dāng)客戶計(jì)算機(jī)建立起連接時(shí)創(chuàng)建隧道。

　　以Internet為例，客戶機(jī)向位于本地ISP的能夠提供隧道技術(shù)的NAS發(fā)出撥號(hào)呼叫。例如，企業(yè)可以與某個(gè)ISP簽定協(xié)議，由ISP為企業(yè)在全國(guó)范圍內(nèi)設(shè)置一套FEP。這些FEP可以通過Internet互聯(lián)網(wǎng)絡(luò)創(chuàng)建一條到隧道服務(wù)器的隧道，隧道服務(wù)器與企業(yè)的專用網(wǎng)絡(luò)相連。這樣，就可以將不同地方合并成企業(yè)網(wǎng)絡(luò)端的一條單一的Internet連接。

　　因?yàn)榭蛻糁荒苁褂糜蒄EP創(chuàng)建的隧道，所以稱為強(qiáng)制隧道。一旦最初的連接成功，所有客戶端的數(shù)據(jù)流將自動(dòng)的通過隧道發(fā)送。使用強(qiáng)制隧道，客戶端計(jì)算機(jī)建立單一的PPP連接，當(dāng)客戶撥入NAS時(shí)，一條隧道將被創(chuàng)建，所有的數(shù)據(jù)流自動(dòng)通過該隧道路由。可以配置FEP為所有的撥號(hào)客戶創(chuàng)建到指定隧道服務(wù)器的隧道，也可以配置FEP基于不同的用戶名或目的地創(chuàng)建不同的隧道。

　　自愿隧道技術(shù)為每個(gè)客戶創(chuàng)建獨(dú)立的隧道。FEP和隧道服務(wù)器之間建立的隧道可以被多個(gè)撥號(hào)客戶共享，而不必為每個(gè)客戶建立一條新的隧道。因此，一條隧道中可能會(huì)傳遞多個(gè)客戶的數(shù)據(jù)信息，只有在最后一個(gè)隧道用戶斷開連接之后才終止整條隧道。

　　高級(jí)安全功能

　　雖然Internet為創(chuàng)建VPN提供了極大的方便，但是需要建立強(qiáng)大的安全功能以確保企業(yè)內(nèi)部網(wǎng)絡(luò)不受到外來攻擊，確保通過公共網(wǎng)絡(luò)傳送的企業(yè)數(shù)據(jù)的安全。

　　對(duì)稱加密與非對(duì)稱加密（專用密鑰與公用密鑰）

　　對(duì)稱加密，或?qū)Ｓ妹荑€（也稱做常規(guī)加密）由通信雙方共享一個(gè)秘密密鑰。發(fā)送方在進(jìn)行數(shù)學(xué)運(yùn)算時(shí)使用密鑰將明文加密成密文。接受方使用相同的密鑰將密文還原成明文。RSA RC4算法，數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），國(guó)際數(shù)據(jù)加密算法（IDEA）以及Skipjack加密技術(shù)都屬于對(duì)稱加密方式?！?

　　非對(duì)稱加密，或公用密鑰，通訊各方使用兩個(gè)不同的密鑰，一個(gè)是只有發(fā)送方知道的專用密鑰，另一個(gè)則是對(duì)應(yīng)的公用密鑰，任何人都可以獲得公用密鑰。專用密鑰和公用密鑰在加密算法上相互關(guān)聯(lián)，一個(gè)用于數(shù)據(jù)加密，另一個(gè)用于數(shù)據(jù)解密。

　　公用密鑰加密技術(shù)允許對(duì)信息進(jìn)行數(shù)字簽名。數(shù)字簽名使用發(fā)送發(fā)送一方的專用密鑰對(duì)所發(fā)送信息的某一部分進(jìn)行加密。接受方收到該信息后，使用發(fā)送方的公用密鑰解密數(shù)字簽名，驗(yàn)證發(fā)送方身份。

　　證書

　　使用對(duì)稱加密時(shí)，發(fā)送和接收方都使用共享的加密密鑰。必須在進(jìn)行加密通訊之前，完成密鑰的分布。使用非對(duì)稱加密時(shí)，發(fā)送方使用一個(gè)專用密鑰加密信息或數(shù)字簽名，接收方使用公用密鑰解密信息。公用密鑰可以自由分布給任何需要接收加密信息或數(shù)字簽名信息的一方，發(fā)送方只要保證專用密鑰的安全性即可。

　　為保證公用密鑰的完整性，公用密鑰隨證書一同發(fā)布。證書（或公用密鑰證書）是一種經(jīng)過證書簽發(fā)機(jī)構(gòu)（CA）數(shù)字簽名的數(shù)據(jù)結(jié)構(gòu)。CA使用自己的專用密鑰對(duì)證書進(jìn)行數(shù)字簽名。如果接受方知道CA的公用密鑰，就可以證明證書是由CA簽發(fā)，因此包含可靠的信息和有效的公用密鑰。

　　總之，公用密鑰證書為驗(yàn)證發(fā)送方的身份提供了一種方便，可靠的方法。IPSec可以選擇使用該方式進(jìn)行端到端的驗(yàn)證。RAS可以使用公用密鑰證書驗(yàn)證用戶身份。

　　擴(kuò)展驗(yàn)證協(xié)議（EAP）

　　如前文所述，PPP只能提供有限的驗(yàn)證方式。EAP是由IETF提出的PPP協(xié)議的擴(kuò)展，允許連接使用任意方式對(duì)一條PPP連接的有效性進(jìn)行驗(yàn)證。EAP支持在一條連接的客戶和服務(wù)器兩端動(dòng)態(tài)加入驗(yàn)證插件模塊。

　　交易層安全協(xié)議（EAP-TLS）

　　EAP-TLS已經(jīng)作為提議草案提交給IETF，用于建立基于公用密鑰證書的強(qiáng)大的驗(yàn)證方式。使用EAP-TLS，客戶向撥入服務(wù)器發(fā)送一份用戶方證書，同時(shí)，服務(wù)器把服務(wù)器證書發(fā)送給客戶。用戶證書向服務(wù)器提供了強(qiáng)大的用戶識(shí)別信息；服務(wù)器證書保證用戶已經(jīng)連接到預(yù)期的服務(wù)器。

　　用戶方證書可以被存放在撥號(hào)客戶PC中，或存放在外部智能卡。無論那種方式，如果用戶不能提供沒有一定形式的用戶識(shí)別信息（PIN號(hào)或用戶名和口令），就無法訪問證書。

　　IPSEC

　　IPSEC是一種由IETF設(shè)計(jì)的端到端的確?；贗P通訊的數(shù)據(jù)安全性的機(jī)制。IPSEC支持對(duì)數(shù)據(jù)加密，同時(shí)確保數(shù)據(jù)的完整性。按照IETF的規(guī)定，不采用數(shù)據(jù)加密時(shí)，IPSEC使用驗(yàn)證包頭（AH）提供驗(yàn)證來源驗(yàn)證（source authentication)，確保數(shù)據(jù)的完整性；IPSEC使用封裝安全負(fù)載（ESP）與加密一道提供來源驗(yàn)證，確保數(shù)據(jù)完整性。IPSEC協(xié)議下，只有發(fā)送方和接受方知道秘密密鑰。如果驗(yàn)證數(shù)據(jù)有效，接受方就可以知道數(shù)據(jù)來自發(fā)送方，并且在傳輸過程中沒有受到破壞。

　　可以把IPSEC想象成是位于TCP/IP協(xié)議棧的下層協(xié)議。該層由每臺(tái)機(jī)器上的安全策略和發(fā)送、接受方協(xié)商的安全關(guān)聯(lián)（security association)進(jìn)行控制。安全策略由一套過濾機(jī)制和關(guān)聯(lián)的安全行為組成。如果一個(gè)數(shù)據(jù)包的IP地址，協(xié)議，和端口號(hào)滿足一個(gè)過濾機(jī)制，那么這個(gè)數(shù)據(jù)包將要遵守關(guān)聯(lián)的安全行為。

　　協(xié)商安全關(guān)聯(lián)（NegotiatedSecurityAssociation）

　　上述第一個(gè)滿足過濾機(jī)制的數(shù)據(jù)包將會(huì)引發(fā)發(fā)送和接收方對(duì)安全關(guān)聯(lián)進(jìn)行協(xié)商。ISAKMP/OAKLEY是這種協(xié)商采用的標(biāo)準(zhǔn)協(xié)議。在一個(gè)ISAKMP/OAKLEY交換過程中，兩臺(tái)機(jī)器對(duì)驗(yàn)證和數(shù)據(jù)安全方式達(dá)成一致，進(jìn)行相互驗(yàn)證，然后生成一個(gè)用于隨后的數(shù)據(jù)加密的個(gè)共享密鑰。

　　驗(yàn)證包頭

　　通過一個(gè)位于IP包頭和傳輸包頭之間的驗(yàn)證包頭可以提供IP負(fù)載數(shù)據(jù)的完整性和數(shù)據(jù)驗(yàn)證。驗(yàn)證包頭包括驗(yàn)證數(shù)據(jù)和一個(gè)序列號(hào)，共同用來驗(yàn)證發(fā)送方身份，確保數(shù)據(jù)在傳輸過程中沒有被改動(dòng)，防止受到第三方的攻擊。IPSEC驗(yàn)證包頭不提供數(shù)據(jù)加密；信息將以明文方式發(fā)送。

　　封裝安全包頭

　　為了保證數(shù)據(jù)的保密性并防止數(shù)據(jù)被第3方竊取，封裝安全負(fù)載（ESP）提供了一種對(duì)IP負(fù)載進(jìn)行加密的機(jī)制。另外，ESP還可以提供數(shù)據(jù)驗(yàn)證和數(shù)據(jù)完整性服務(wù)；因此在IPSEC包中可以用ESP包頭替代AH包頭。

　　用戶管理

　　在選擇VPN技術(shù)時(shí)，一定要考慮到管理上的要求。一些大型網(wǎng)絡(luò)都需要把每個(gè)用戶的目錄信息存放在一臺(tái)中央數(shù)據(jù)存儲(chǔ)設(shè)備中（目錄服務(wù)）便于管理人員和應(yīng)用程序?qū)π畔⑦M(jìn)行添加，修改和查詢。每一臺(tái)接入或隧道服務(wù)器都應(yīng)當(dāng)能夠維護(hù)自己的內(nèi)部數(shù)據(jù)庫(kù)，存儲(chǔ)每一名用戶的信息，包括用戶名，口令，以及撥號(hào)接入的屬性等。但是，這種由多臺(tái)服務(wù)器維護(hù)多個(gè)用戶帳號(hào)的作法難以實(shí)現(xiàn)及時(shí)的更新，給管理帶來很大的困難。因此，大多數(shù)的管理人員采用在目錄服務(wù)器，主域控制器或RADIUS服務(wù)器上建立一個(gè)主帳號(hào)數(shù)據(jù)庫(kù)的方法，進(jìn)行有效管理。

　　RAS支持

　　微軟的遠(yuǎn)程接入服務(wù)器（RAS）使用域控制器或RADIUS服務(wù)器存儲(chǔ)每名用戶的信息。因?yàn)楣芾韱T可以在單獨(dú)的數(shù)據(jù)庫(kù)中管理用戶信息中的撥號(hào)許可信息，所以使用一臺(tái)域控制器能夠簡(jiǎn)化系統(tǒng)管理。

　　微軟的RAS最初被用作撥號(hào)用戶的接入服務(wù)器。現(xiàn)在，RAS可以作為PPTP和L2TP協(xié)議的隧道服務(wù)器（NT5將支持L2TP）。這些第2層的VPN方案繼承了已有的撥號(hào)網(wǎng)絡(luò)全部的管理基礎(chǔ)。

　　擴(kuò)展性

　　通過使用循環(huán)DNS在同屬一個(gè)安全地帶（securityperimeter）的VPN隧道服務(wù)器之間進(jìn)行請(qǐng)求分配，可以實(shí)現(xiàn)容余和負(fù)荷平衡。一個(gè)安全地帶只具有一個(gè)對(duì)外域名，但擁有多個(gè)IP地址，負(fù)荷可以在所有的IP地址之間進(jìn)行任意的分配。所有的服務(wù)器可以使用一個(gè)共享數(shù)據(jù)庫(kù)，如NT域控制器驗(yàn)證訪問請(qǐng)求。

　　RADIUS

　　遠(yuǎn)程驗(yàn)證用戶撥入服務(wù)（RADIUS）協(xié)議是管理遠(yuǎn)程用戶驗(yàn)證和授權(quán)的常用方法。RADIUS是一種基于UDP協(xié)議的超輕便（lightweight）協(xié)議。RADIUS服務(wù)器可以被放置在Internet網(wǎng)絡(luò)的任何地方為客戶NAS提供驗(yàn)證（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服務(wù)器可以提供代理服務(wù)將驗(yàn)證請(qǐng)求轉(zhuǎn)發(fā)到遠(yuǎn)端的RADIUS服務(wù)器。例如，ISP之間相互合作，通過使用RADIUS代理服務(wù)實(shí)現(xiàn)漫游用戶在世界各地使用本地ISP提供的撥號(hào)服務(wù)連接Internet和VPN。如果ISP發(fā)現(xiàn)用戶名不是本地注冊(cè)用戶，就會(huì)使用RADIUS代理將接入請(qǐng)求轉(zhuǎn)發(fā)給用戶的注冊(cè)網(wǎng)絡(luò)。這樣企業(yè)在掌握授權(quán)權(quán)利的前提下，有效的使用ISP的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，使企業(yè)的網(wǎng)絡(luò)費(fèi)用開支實(shí)現(xiàn)最小化。

　　記費(fèi)，審計(jì)和報(bào)警

　　為有效的管理VPN系統(tǒng)，網(wǎng)絡(luò)管理人員應(yīng)當(dāng)能夠隨時(shí)跟蹤和掌握以下情況：系統(tǒng)的使用者，連接數(shù)目，異常活動(dòng)，出錯(cuò)情況，以及其它可能預(yù)示出現(xiàn)設(shè)備故障或網(wǎng)絡(luò)受到攻擊的現(xiàn)象。日志記錄和實(shí)時(shí)信息對(duì)記費(fèi)，審計(jì)和報(bào)警或其它錯(cuò)誤提示具有很大幫助。例如，網(wǎng)絡(luò)管理人員為了編制帳單數(shù)據(jù)需要知道何人在使用系統(tǒng)以及使用了多長(zhǎng)時(shí)間。異?；顒?dòng)可能預(yù)示著存在對(duì)系統(tǒng)的不正確使用或系統(tǒng)資源出現(xiàn)不足。對(duì)設(shè)備進(jìn)行實(shí)時(shí)的監(jiān)測(cè)可以在系統(tǒng)出現(xiàn)問題時(shí)及時(shí)向管理員發(fā)出警告。一臺(tái)隧道服務(wù)器應(yīng)當(dāng)能夠提供以上所有信息以及對(duì)數(shù)據(jù)進(jìn)行正確處理所需要的事件日志，報(bào)告和數(shù)據(jù)存儲(chǔ)設(shè)備。

　　NT4.0在RAS中提供了對(duì)記費(fèi)，審計(jì)和報(bào)警的支持。RADIUS協(xié)議對(duì)呼叫-記費(fèi)請(qǐng)求（call-accountingrequest)進(jìn)行了規(guī)定。當(dāng)RAS向RADIUS發(fā)送呼叫-記費(fèi)請(qǐng)求后由后者建立記費(fèi)記錄分別記錄呼叫開始，結(jié)束以及預(yù)定中斷的情況。

　　結(jié)論

　　如本文所述，Windows系統(tǒng)自帶的VPN服務(wù)允許用戶或企業(yè)通過公共或?qū)Ｓ镁W(wǎng)絡(luò)與遠(yuǎn)端服務(wù)器，分支機(jī)構(gòu)，或其他公司建立安全和可靠的連接。雖然上述通訊過程發(fā)生公共互聯(lián)網(wǎng)絡(luò)上，但是用戶端如同使用專用網(wǎng)絡(luò)進(jìn)行通訊一樣建立起安全的連接。使用Windows系統(tǒng)的VPN技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作分布廣泛的情況下，員工需要訪問中央資源，企業(yè)相互之間必須能夠進(jìn)行及時(shí)和有效的通訊的問題。