的虚拟专用网络互操作性

1、Windowss Servver 20003 的虚虚拟专用网络络：互操作性性Microsooft Coorporaation发布时间：20003 年 3 月摘要Microsooft Winddows Servver 20003 操作作系统集成了了 VPN 技术，该技技术帮助实现现了通过 IInternnet 进行行安全、低成成本远程访问问和分支机构构连接。Wiindowss Servver 20003 虚拟拟专用网络的的设计初衷是是与 VPNN 软件和支支持安全远程程访问行业标标准的设备进进行交互操作作。本白皮书书阐述了 MMicrossoft 如如何致力于通通过“基于 Innterneet

2、协议安安全性的第二二层隧道协议议”(L2TPP/IPSeec) 和“点对点隧道道协议”(PPTPP) 等标准准来支持 VVPN 互操操作性。本文档所包含的的信息代表 Microosoft Corpooratioon 对截至至发布日期之之前所讨论问问题的当前观观点。Miccrosofft 必须紧紧跟瞬息万变变的市场形势势，因此不应应将其视为 Microosoft 的承诺，并并且 Miccrosofft 无法保保证发布日期期之后所提供供的任何信息息的准确性。本文档仅用于提提供信息之目目的。MICCROSOFFT 对本文文档中的信息息不做任何明明示或暗示的的担保。遵守所有适用版版权法是用户户的职责。

3、在在不限制版权权权利的情况况下，如未获获得 Miccrosofft Corrporattion 明明确的书面许许可，不得以以任何形式或或通过任何方方法（电子、机机械、影印、记记录或其他方方法）或出于于任何目的将将本文档的任任何部分进行行复制、存入入或引入检索索系统或进行行传送。Microsooft 可能能拥有涉及本本文档中主题题事项的专利利权、专利申申请权、商标标权、版权或或其他知识产产权。除非得得到 Miccrosofft 明确提提供的任何书书面许可协议议，否则提供供本文档并不不表示授予您您对这些专利利、商标、版版权或其他知知识产权的许许可。 2003 Microosoft Corpoora

4、tioon。版权所有，保保留所有权利利。Microsooft、Windoows、Windoows 徽标标和 Winndows NT 是 Micrrosoftt Corpporatiion 在美美国和/或其他国家家或地区的注注册商标或商商标。本文档提及的实实际公司和产产品的名称可可能是其各自自所有者的商商标。目录TOC o 2-3 h z t Heading 1,1 HYPERLINK l _Toc148288663 简介 PAGEREF _Toc148288663 h 1 HYPERLINK l _Toc148288664 VPN 技术概概述 PAGEREF _Toc148288664 h 2

5、 HYPERLINK l _Toc148288665 远程访问 VPPN 要求和和基于 IPPSec 的的实现 PAGEREF _Toc148288665 h 3 HYPERLINK l _Toc148288666 用户身份验证 PAGEREF _Toc148288666 h 3 HYPERLINK l _Toc148288667 地址分配 PAGEREF _Toc148288667 h 4 HYPERLINK l _Toc148288668 PPTP：基于于 IPSeec 的 VVPN 的替替代方案和/或补充 PAGEREF _Toc148288668 h 4 HYPERLINK l _To

6、c148288669 Microsooft VPPN 支持的的未来发展方方向 PAGEREF _Toc148288669 h 5 HYPERLINK l _Toc148288670 客户要完成的工工作 PAGEREF _Toc148288670 h 5 HYPERLINK l _Toc148288671 对 VPN 供供应商的建议议 PAGEREF _Toc148288671 h 5 HYPERLINK l _Toc148288672 相关链接 PAGEREF _Toc148288672 h 6简介基于 Micrrosoftt Winddows Servver 20003 的虚虚拟专用网络络支

7、持行业标标准技术，为为客户提供了了一个开放式式可互操作虚虚拟专用网络络 (VPNN) 解决方方案。Miccrosofft 一直致致力于基于“因特网工程程工作组”(IETFF) 标准的的技术，例如如“Interrnet 协协议安全性”(IPSeec) 和“第二层隧道道协议”(L2TPP) (RFFC 31993)，以及及“点对点隧道道协议”(PPTPP)（即多个个可互操作第第三方产品中中支持的经过过实践证明的的已发布信息息性 RFCC (RFCC 26377)）。Miicrosooft 支持持 L2TPP/IPSeec 和 PPPTP 的的原因如下：PPTP 提供供的 VPNN 安全性简简单易用

8、且成成本较低。与与采用 IPPSec 技技术的 VPPN 不同，PPPTP 与与多数“网络地址转转换器”(NAT) 都兼容，并并且同时支持持多协议环境境和组播环境境。它还将标标准的用户密密码身份验证证与强加密相相结合，避免免了公钥基础础结构 (PPKI) 的的复杂性和支支出。IPSec 为为 VPN 提供了高级级安全性，但但其设计初衷衷并未解决关关键的远程访访问需要，例例如用户身份份验证和地址址分配。此外外，它不支持持多协议或组组播（包括某某些路由协议议）。它仅适适用于 IPP 单播通信信。与 IPSecc 结合的 L2TP (L2TPP/IPSeec) 是唯唯一在利用 IPSecc 进行加密

9、密的同时又解解决这些远程程访问 VPPN 需要的的标准跟踪技技术 (RFFC 31993)。L22TP 目前前所保持的 IETF 标准跟踪状状态与 IPPSec 的的相同。未将 L2TPP 与 IPPSec结合合使用的第三三方“IPSecc-onlyy”（仅 IPSSec）实现现使用的是非非标准专有技技术，这些技技术可使客户户受困于关闭闭的解决方案案。在缺少基于标准准的 IPSSec 解决决方案的情况况下，Miccrosofft 认为 L2TP/IPSecc 可为多供供应商的可互互操作远程访访问 VPNN 场景提供供最佳的基于于标准的解决决方案。V决先些基作支户证帐如 c式现细 /c方操期客虑

10、于P方其Pe方Microsooft 鼓励励 VPN 网关供应商商为远程访问问 VPN 提供 L22TP/IPPSec 支支持，并将其其作为一种选选择来补充适适用于站点对对站点情况（也也称为网关对对网关，其中中，多协议和和组播是起作作用的考虑因因素）的 IIPSec 隧道模式。通通过支持 LL2TP/IIPSec 和/或 PPPTP，WWindowws 客户端端可以直接连连接到供应商商网关和其他他 VPN 解决方案，而而无需客户更更改客户端代代码。VPN 技术概概述鉴于企业收购的的性质、将公公司网络延伸伸到承包商和和合作伙伴的的需要以及公公司网络内设设备的多元性性，虚拟专用用网络具有的的多供应商

11、互互操作性在当当今的网络环环境中必不可可少。为确保保客户拥有开开放式解决方方案，基于 Microosoft Windoows Seerver 2003 的 VPNN 技术根据据行业标准设设计而成。通过支持 IEETF 行业业标准，Miicrosooft 呈献献了一个将与与其他符合标标准的设备或或软件系统协协同工作的 VPN 解解决方案，从从而帮助降低低支持专有解解决方案所附附带的成本和和复杂性。采采用基于标准准的技术的客客户不会受困困于任何特定定供应商的专专有实现。MMicrossoft 支支持 IETTF 对 VVPN 技术术进行标准化化。迄今为止止，以下两个个主要技术符符合 IETTF 标

12、准：第二层隧道协议议 (L2TTP) - PPTP 与 Cissco 的“第二层转发发协议”的组合，通通过 IETTF 标准过过程演化而来来。Interneet 协议安安全性 (IIPSec) - 体系结构构、协议和相相关的“Interrnet 密密钥交换”(IKE) 协议，在在 IETFF RFC 2401-2409 中进行了描描述。RFC 31993（一个 IEETF 提议议标准）中对对这些技术的的组合进行了了描述。除了 IETFF 标准跟踪踪技术之外，Microsoft 还支持由 PPTP 行业论坛（US Robotics 现在的 3Com、3Com/Primary Access、Asc

13、end、Microsoft 和 ECI Telematics）创建的 PPTP。PPTP 是一个已发布的信息性 RFC (RFC 2637)，为许多公司提供了第三方实现。针对高级安全性性的要求，IIPSec 作为一种关关键技术脱颖颖而出。但 IPSecc 隧道模式式自身就支持持传统的身份份验证方法、隧隧道 IP 地址分配和和配置以及多多协议，这些些都是对远程程访问 VPPN 连接的的关键要求。为为提供真正的的可互操作解解决方案，WWindowws Serrver 22003 将将 L2TPP 与 IPPSec 结结合使用来提提供安全的可可互操作 VVPN 解决决方案。L2TP 拥有有广泛的供应

14、应商支持（尤尤其是在最大大的网络访问问设备提供商商之中），并并且已通过一一系列由供应应商主办的测测试活动验证证了互操作性性。通过将 L2TP 作为有效载载荷放入 IIPSec 数据包，通通信不但受益益于 IPSSec 的基基于标准的加加密、完整性性和重放保护护，同时还受受益于基于 PPP 的的隧道的用户户身份验证、隧隧道地址分配配和配置以及及多协议支持持。这种组合合通常被称为为 L2TPP/IPSeec。远程访问 VPPN 要求和和基于 IPPSec 的的实现远程访问 VPPN 解决方方案要求进行行用户身份验验证（不仅仅仅是计算机身身份验证）、授授权和帐户设设置以提供安安全的客户端端对服务器通

15、通信，还要求求进行隧道地地址分配和配配置以实现可可管理性。未未使用 L22TP 的基基于 IPSSec 的实实现将使用非非标准专有方方法来解决这这些关键性远远程访问 VVPN 要求求。用户身份验证许多 IPSeec 隧道模模式实现都不不支持通过证证书来进行基基于用户的身身份验证。如如果单独使用用基于计算机机的身份验证证，则无法通通过确定正在在访问网络的的用户来实施施正确的授权权。鉴于当今今的多用户操操作系统，许许多用户可能能使用的是同同一台计算机机，如果不采采用基于用户户的身份验证证，IPSeec 隧道模模式就无法对对这些用户进进行区分。因因此，不带用用户身份验证证的 IPSSec 隧道道模式

16、并不适适用于远程访访问 VPNN。基于 XAUTTH（一种非非标准跟踪专专有技术）的的第三方 IIPSec 隧道模式实实现试图通过过支持用户身身份验证专有有技术以及预预共享组密钥钥来解决这一一问题。结果果，预共享组组密钥带来了了“man-iin-thee-midddle”（中间人攻攻击）这一安安全漏洞，使使具备预共享享组密钥访问问权限的任何何人都可以担担任“中间人”，从而假冒冒网络上的其其他用户。IPSec 隧隧道模式专用用于站点对站站点的 VPPN 连接，其其中用户身份份验证和隧道道寻址并不算算是问题。由由于站点对站站点的 VPPN 连接通通常是在路由由器之间进行行，因此减少少盒子数量会会简

17、化地址分分配。同时，由由于路由器通通常并不具有有用户级的身身份验证，因因此在许多情情况下计算机机身份验证可可能就足够了了。对于要求求通信为仅 IP 和仅仅单播模式的的站点对站点点配置，Miicrosooft 在 Windoows Seerver 2003 中支持 IIPSec 隧道模式。此此时，用户身身份验证并不不是问题，而而且互操作性性也良好。注意：对于远程程访问，鉴于于 IPSeec 隧道模模式的身份验验证安全漏洞洞和非标准实实现，Miccrosofft 强烈建建议客户仅部部署 L2TTP/IPSSec。Miicrosooft 还建建议对多协议议、组播的站站点对站点配配置使用 LL2TP/

18、IIPSec。尽管许多客户都都对最终部署署智能卡身份份验证颇有兴兴趣，但多数数情况下，都都有必要在过过渡期间保持持对传统身份份验证方法（例例如密码或令令牌卡）的支支持。有些客客户可能还想想支持生物测测定（例如视视网膜扫描、指指纹等等）之之类的高级身身份验证技术术。这就需要要有一种标准准方式来适应应传统的身份份验证以及将将来出现的身身份验证方法法。正如最初规定的的，IPSeec 隧道模模式仅支持通通过用户证书书或预共享密密钥进行用户户身份验证。不不过，多数 IPSecc 隧道模式式实现都仅支支持使用计算算机证书或预预共享密钥。LL2TP 利利用“点对点协议议”(PPP) 来作为协协商用户身份份验

19、证的方法法。因此，LL2TP 可可以通过“密码身份验验证协议”(PAP)、“挑战握手身身份验证协议议”(CHAPP)、“Microosoft 挑战握手身身份验证协议议”(MS-CCHAP) 或 MS-CHAP 版本 2 (MS-CCHAP vv2) 对传传统的基于密密码的系统进进行身份验证证。它还通过过“可扩展身份份验证协议”(EAP) 支持高级级身份验证服服务，该协议议提供了无需需创建其他 PPP 身身份验证协议议即可插入不不同身份验证证服务的方法法。由于 LL2TP 是是在 IPSSec 传输输模式数据包包内部加密，所所以这些身份份验证服务也也将受到有力力保护。最重重要的是，通通过与“远程

20、身份验验证拨号用户户服务”(RADIIUS) 和和基于“轻量目录访访问协议”(LDAPP) 的目录录进行集成，LL2TP 为为业界提供了了一种以可互互操作方式进进行身份验证证同时又支持持多数客户和和供应商已经经拥有的身份份验证服务的的通用途径。尽管有供应商针针对“IPSecc-onlyy”（仅 IPPSec）研研发和提议了了其他身份验验证服务，但但这些替代方方案偏离了 IETF 标准。这些些提议不但不不支持用于可可扩展身份验验证的现有 IETF 标准，还引引入了另一个个带有严重的的已知安全漏漏洞的身份验验证框架。MMicrossoft 认认为，使实现现遵守标准才才能最好地满满足客户需求求。地址

21、分配目前，许多 IIPSec 隧道模式实实现都使用专专有方法进行行地址分配和和配置，而不不支持“动态主机配配置协议”(DHCPP) 之类的的 IETFF 标准。MMicrossoft 与与 Sun Microosysteems、Inntel 和和 RedCCreek 已联手提议议使用 DHHCP 对 IPSecc 隧道进行行寻址和配置置，从而实现现与企业级 IP 地址址管理解决方方案的集成。支支持地址分配配专有方法的的 IPSeec 隧道模模式客户端无无法支持已受受 DHCPP 支持的多多种配置选项项，另外，这这些客户端无无法使用 DDHCP 技技术的改进功功能，例如 DHCP 故障转移、地地

22、址池管理或或 DHCPP 身份验证证。因此，它它们在 IPP 地址管理理方面毫无发发展前景。由于 L2TPP 使用 PPPP，因此它很很容易就可以以与现有的 IP 地址址管理系统相相集成。PPPP 客户端端可以使用“Interrnet 协协议控制协议议”(IPCPP) 进行地地址分配并使使用 DHCCPInfoorm 消息息进行配置，而而 PPP 和 L2TPP 服务器可可以通过 DDHCP 和和 RADIIUS 与 IP 地址址管理和配置置系统相集成成。因此，LL2TP 提提供了基于现现有标准的卓卓越的互操作作性。PPTP：基于于 IPSeec 的 VVPN 的替替代方案和/或补充PPTP

23、是最最早的受到广广泛支持的 VPN 协协议。PPTTP 开发于于 IPSeec 和 PPKI 标准准之前，实现现了自动化配配置并支持传传统的身份验验证方法。由由于 PPTTP 不需要要 PKI，因因此在不需要要最完备的安安全性的情况况下，它更加加节省成本且且更易于部署署。PPTPP 还可能是是 VPN 连接必须遍遍历“网络地址转转换器”(NAT) 时唯一可可行的选择，“网络地址转换器”与任何不支持新开发的“IPSec NAT 遍历”(IPSec NAT-T) 技术（目前采用 IETF 草稿形式）的 IPSec 实现都不兼容。dSr3P隧 c式取的的历o d2以P现对Cv份)增功又他通强以卡书户

24、和这假截强方了此P为2P的 有代充Microsooft VPPN 支持的的未来发展方方向Microsooft 的客客户、出版社社和分析人员员曾告诉 MMicrossoft，他他们更希望 Microosoft 为 Winndows 创建单一的的标准 VPPN 客户端端，因为这会会使部署变得得更加容易、WWindowws 集成更更加有效、可可靠性更高。Microsooft 一直直都将 L22TP/IPPSec 作作为其唯一的的基于 IPPSec 的的自带远程访访问 VPNN 协议来支支持，因为它它保留了解决决实际客户部部署问题的唯唯一现有的可可互操作标准准。另外，对于远程程访问 VPPN 场景和和

25、站点对站点点场景，Miicrosooft 还继继续支持 PPPTP，以以应对通过任任何基于 IIPSec 的解决方案案都无法解决决的特殊要求求情况。客户要完成的工工作计划将基于 IIPSec 的 VPNN 解决方案案用于远程访访问的客户应应认真评估互互操作性问题题。鉴于企业业收购的性质质、使承包商商和合作伙伴伴可以访问公公司网络的需需要以及公司司网络内设备备的多元性等等诸多因素，虚虚拟专用网络络的多供应商商互操作性非非常重要。尽尽管专有解决决方案可能有有效，但重要要的是考虑如如何在接下来来的一两年内内使用虚拟专专用网络以及及您如今的 VPN 解解决方案选择择会如何影响响未来的总体体方向。计划将 VPNN 用于业务务合作或支持持由拥有其自自己设备的签签约雇员进行行远程访问的的客户应确定定 VPN 解决方案的的优先顺序，这这些解决方案案基于可互操操作标准并支支持基于用户户的身份验证证、授权和帐帐户设置。如如果要考虑 IPSecc 隧道模式式的专有实现现，则应仔细细评估基于 L2TP/IPSecc 的解决方方案支持互操操作性的近期期可行性。客客户还应考虑虑如何用基于于 PPTPP 的解决方方案来补充其其 L2TPP/IPSeec 解决方方案。对 VPN 供供应商的建议议Microsooft 鼓励励网关供应商商为远程访问问 VPN 实现 L22TP/IPPSec，以以便支持 LL2TP/