第3章 虚拟专用网络技术

第3章虚拟专用网络技术3.1虚拟专用网络的产生背景3.2虚拟专用网络的基本知识3.3VPN的核心技术——隧道技术3.4常用的VPN实现技术3.5虚拟专用网的实现2023/2/5第3章虚拟专用网络技术12023/2/5第3章虚拟专用网络技术2学习目标与要求了解VPN是利用公共互联网络安全、经济和方便地拓展企业内部网络的新方法；理解VPN的概念，基本理解VPN的工作原理和关键技术（隧道技术）的实现；掌握VPN的三种不同应用：用于连接分支机构的IntranetVPN，用于连接合作伙伴的ExtranetVPN，用于连接远程个人用户的AccessVPN。了解虚拟专用网的实现过程3.1虚拟专用网络的产生背景一个网络连接通常包括三个部分:客户机、传输介质和服务器。建立网络连接的传输介质可以是传统的拨号电信网络线路，可以是电信部门提供的DDN专线或固定虚拟线路(PermanentVirtualCircuit，PVC)，例如帧中继(FrameRelay，FR)、异步传输模式(AsynchronousTransferMode，ATM)等数据网络，也可以是Internet或其他公共互联网络，还可以是虚拟专用网络。不同的网络连接方法，效果明显不同。下面对目前常用的网络接入方法作一介绍。2023/2/5第3章虚拟专用网络技术33.1.1专用通路接入的网络连接1.常用方法(1)个人系统经由Modem通过长途电话拨号，直接接入企业计算中心Modem池，再连入企业内部网络。(2)用户还可以向电信部门租用DDN专线或固定虚拟线路来实现从企业分支机构网络接入中央信息系统。2023/2/5第3章虚拟专用网络技术42、优缺点优点：电话拨号、DDN专线、帧中继、异步传输模式等可以建立从客户机到服务器的固定专用通路，当然比较容易实现良好的安全性、保密性、可靠性等。缺点：运行成本高，可扩展性受到诸多制约，已不能满足瞬息万变的电子商务的需求。2023/2/5第3章虚拟专用网络技术53.1.2通过公共互联网络接入的网络连接1、通过Internet接入的必要性与面临的威胁2.具体连接原理企业利用Internet连接的端到端的数据通路大致由拨入段、外部网络、内部网络三段组成。拨入段:一个到ISP的拨入连接外部网络:公共互联网络Internet内部网络:企业内部网络Intranet2023/2/5第3章虚拟专用网络技术63.1.3通过VPN接入的网络连接当采用专用通路接入实现企业内部网络与外部目标的网络连接时，比较容易控制网络的可靠性和安全性，但是网络的可扩展性受到限制;当通过公共互联网络接入内部网络时，网络具有较好的可扩展性，但是容易受到不同方式的攻击，网络的安全可靠性面临威胁。由此，弥补了上述缺陷的VPN便应运而生。2023/2/5第3章虚拟专用网络技术73.2虚拟专用网络的基本知识3.2.1

VPN的概念虚拟专用网络(VirtualPrivateNetwork，VPN)技术，是一种网络连接新技术。所谓“虚拟”是指用户不需要拥有实际的的数据线路，而是使用Internet公共数据网络的长途数据线路。所谓“专用网络”，是指用户可以制定一个最符合自己需求的网络。虚拟专用网不是真正的专用网络，却能够实现专用网络的功能。2023/2/5第3章虚拟专用网络技术83.2.2

VPN网络的安全技术目前VPN主要采用4项技术来保证安全，这4项技术分别是隧道技术(Tunneling)使用者与设备身份认证技术（Authentication）数据加解密技术（Encryption&Decryption）密钥管理技术(KeyManagement)。2023/2/5第3章虚拟专用网络技术93.3VPN的核心技术——隧道技术3.3.1隧道技术的基本原理3.3.2隧道协议隧道是由隧道协议形成的，目前常用的VPN隧道协议有如下4种。PPTP协议、L2TP协议、IPSec协议和SSTP协议。2023/2/5第3章虚拟专用网络技术101、PPTP协议PPTP(PointtoPointTunnelingProtocol，第二层点到点隧道协议）。提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC，如启动该协议的WindowsXP。PPTP可看作是PPP协议的一种扩展，它允许对IP、IPX或NetBEUI等不同的数据流进行加密，然后封装在IP包头中通过企业IP网络或公用互联网络发送。远端用户能够透过任何支持PPTP的ISP服务访问企业的专用网络。2023/2/5第3章虚拟专用网络技术112、L2TP协议L2TP协议(Layer2TunnelingProtocol，第二层隧道协议),是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似。L2TP协议可以让用户从客户端或访问服务器端发起连接。L2TP是把链路层PPP帧封装在公共网络设施，如IP、ATM、帧中继中进行隧道传输的封装。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备，L2TP扩展了PPP连接。2023/2/5第3章虚拟专用网络技术123、IPSec协议IPSec协议（IPSecurity）是IETF制定的一系列协议，以保证在Internet上传送数据的安全保密性。IPSec协议主要功能是为IP通信提供加密和认证，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性IPSEC，是第三层的协议标准，支持IP网络上的数据的安全传输。2023/2/5第3章虚拟专用网络技术13IPSec有两种工作模式：一种是隧道模式，另一种是传输模式。传输模式只对IP数据包的有效负载进行加密或认证，此时继续使用原始IP头部。传输模式对IP包的路由支持较好。隧道模式对整个IP数据包进行加密或认证。2023/2/5第3章虚拟专用网络技术14IPSec隧道模式有以下局限。（1）只能支持IP数据流（2）工作在IP栈（IPstack

）的底层，因此应用程序和高层协议可以继承IPSEC的行为。（3）由一个安全策略（一整套过滤机制）进行控制。2023/2/5第3章虚拟专用网络技术154、SSTP协议SSTP（SecureSocketTunnelingProtocol）协议是一种新的隧道协议，在TCP端口443上使用HTTPS协议，使通信可以通过可能阻止PPTP通信和L2TP/IPSec通信的防火墙和Web代理。SSTP提供了一种机制，用于封装通过HTTPS协议的安全套接字层（SSL）通道传输的PPP通信。2023/2/5第3章虚拟专用网络技术165、隧道协议的选择在PPTP、L2TP/IPSec和SSTP远程访问VPN解决方案之间进行选择时，需要考虑以下事项。1）PPTP可以用于各种Microsoft客户端，包括Windows2000、WindowsXP、WindowsVista和WindowsServer2008。与L2TP/IPSec不同，PPTP不要求使用公钥结构（PKI）。基于PPTP的VPN连接不提供数据完整性（保证数据在传输中未更改）和数据源身份验证（保证数据由经过授权的用户发送）。2023/2/5第3章虚拟专用网络技术172）L2TP只能用于运行Windows2000、WindowsXP和WindowsVista的客户端计算机。L2TP支持将计算机证书或预共享密钥作为IPSec的身份验证方法。计算机证书身份验证是建议的身份验证方法，要求使用PKI向VPN服务器和所有VPN客户端颁发计算机证书。L2TP/IPSecVPN连接使用IPSec来提供数据保密性、数据完整性和数据身份验证。与PPTP和SSTP不同，L2TP/IPSec启用IPSec层的计算机身份验证和PPP层的用户级身份验证。2023/2/5第3章虚拟专用网络技术183）SSTP只能用于WindowsVistaServicePack1(SP1)、Windows7或WindowsServer2008的客户端计算机。SSTPVPN连接使用SSL来提供数据保密性、数据完整性和数据身份验证。4）3种隧道类型均在网络协议堆栈顶部传送PPP帧。因此，三种隧道类型的PPP常用功能、如身份验证方案、Internet协议第4版（IPV4）协商和Internet协议第6版（IPv）协商以及网络访问保护（NAP），保持相同。2023/2/5第3章虚拟专用网络技术193.4常用的VPN实现技术用户可以根据自己的情况选择VPN实现技术，如：远程访问虚拟网（AccessVPN）、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网（ExtranetVPN）。这3种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网所构成的Extranet相对应。2023/2/5第3章虚拟专用网络技术203.4.1用于连接分支机构的VPN(IntranetVPN)利用Internet线路保证网络互联性，而利用隧道、加密等VPN特性可以保证信息在整个IntranetVPN上安全传输。IntranetVPN通过使用专用连接共享基础设施，连接企业总部、远程办事处和分支机构。企业有与专用网络相同政策，包括安全服务、质量（QualityofService，QoS）、可管理性和可靠性。2023/2/5第3章虚拟专用网络技术21两种实现IntranetVPN的方式:(1)专线入网实现IntranetVPN。采用这种方法其实不需要使用价格昂贵的长距离专线，分支机构和公司总部的路由器可以各自使用本地的专线通过本地的ISP接入Internet。VPN软件使用与本地ISP建立的连接和Internet网络在分支机构和企业总部的路由器之间创建一个虚拟专用网络。(2)拨号入网实现IntranetVPN。不同于传统的使用连接分支机构路由器的拨打长途电话连接企业NAS的方式，分支机构端的路由器可以通过拨号方式连接本地ISP。VPN软件使用与本地ISP建立的连接在分支机构和企业端路由器之间创建一个跨越Internet的虚拟专用网络。2023/2/5第3章虚拟专用网络技术22IntranetVPN技术对用户的吸引力在于如下方面。（1）减少WAN带宽的费用。（2）能使用灵活的拓扑结构，包括全网络连接。（3）新的站点能更快、更容易地被连接。（4）通过设备供应商WAN的连接冗余，可以延长网络的可用时间。2023/2/5第3章虚拟专用网络技术233.4.2用于连接业务伙伴或供应商的VPN(ExtranetVPN)与IntranetVPN不同，ExtranetVPN是两个互不信任的网络的连接。利用VPN技术可以组建安全的Extranet，既可以向客户、合作伙伴提供有效的信息服务，又可以保证自身的内部网络的安全。ExtranetVPN中，实际的数据传送是双方各自通过本地ISP接入Internet，数据从本企业网络经由ISP再通过Internet传到对方网络。2023/2/5第3章虚拟专用网络技术24ExtranetVPN连接时，根据不同的安全策略，客户方不但要向保护制造商内部网络的防火墙(路由器)认证其身份，而且需向连接的服务器认证自己的身份。完成了身份认证后，就可以建立一个安全的通道，双方可以进行加密通信。加密和解密工作在认证设备(如服务器)和被认证设备(客户机)上完成，而不像IntranetVPN那样在防火墙(路由器)上完成。2023/2/5第3章虚拟专用网络技术25总之，ExtranetVPN通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。企业拥有与专用网络的相同政策，包括安全服务、质量、可管理性和可靠性。2023/2/5第3章虚拟专用网络技术263.4.3用于远程访问的VPN(AccessVPN)如果企业的内部人员移动或有远程办公需要，或者商家要提供B2C的安全访问服务，就可以考虑使用AccessVPN。这里所说的移动用户是指出差在外的不固定地址的员工。VPN允许身处异地及海外的企业员工的个人计算机系统使用Internet等公共互联网络的路由基础设施，以安全的方式与位于企业内部网的服务器建立连接，即AccessVPN。2023/2/5第3章虚拟专用网络技术27AccessVPN通过一个拥有与专用网络相同策略的共享基础设施，提供对企业内部网或外部网的远程访问。AccessVPN能使用户随时随地以其所需的方式访问企业资源。AccessVPN包括模拟、拨号、ISDN、数据用户线路（xDSL）、移动IP和电缆技术，能够安全地连接移动用户、远程工作者或分支机构。2023/2/5第3章虚拟专用网络技术28AccessVPN有下列特点:(1)动态特性。(2)访问权限。(3)加密和认证。2023/2/5第3章虚拟专用网络技术29AccessVPN对用户的吸引力在于如下方面（1）减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络。（2）实现本地拨号接入的功能来取代远距离接入或800电话接入，这样能显著降低远距离通信的费用。（3）极大的可扩展性，简便地对加入网络的新用户进行调度。（4）远端验证拨入用户服务基于标准，基于策略功能的安全服务。（5）将工作重心从管理和保留动作拨号网络的工作人员转到公司的核心业务上来。2023/2/5第3章虚拟专用网络技术303.4.4内部网络中的VPN在一个企业内部网络中，可能有一些敏感部门的计算机或局域网络需要实现特殊的保护。例如，企业的财务部门与审计部门之间的通信不能让其他部门介入，并且财务部门与审计部门的网络连接也必定是受限的。这种应用其实没有涉及新的技术，可以把这两个部门的网络连接看作是两个协作企业网络之间的连接，即一个特殊的ExtranetVPN，只是原来所说的两个企业的内部网络现在改为部门的局域网络，连接这两个部门局域网络的是企业的骨干网络。因为同样需要在通信双方之间建立VPN隧道实现保密的通信，所以这时就是在内部网络中实现隧道技术、用户认证、加密通信、密钥管理等。2023/2/5第3章虚拟专用网络技术313.5虚拟专用网的实现VPN可以通过支持VPN功能的路由器或交换机实现，WindowsServer2000或WindowsServer2003或更高版本都提供了VPN功能。本节讨论如何通过安装了WindowsServer2003的主机实现VPN功能。2023/2/5第3章虚拟专用网络技术323.5.1准备工作要实现VPN连接，内部网络中必须有一台基于WindowsServer2003以上或WindowsServer2000的VPN服务器，VPN服务器一方面连接企业内部专用网络，另一方面要连接到Internet，这就要求VPN服务器必须拥有一个公共的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时，先由ISP将所有的数据传送到VPN服务器，然后再由VPN服务器负责将所有的数据传送到目标计算机。在WindowsServer2003中支持两种类型的VPN技术。点对点隧道协议（PPTP）带有IP协议安全（IPSec）的第二隧道协议（L2TP）2023/2/5第3章虚拟专用网络技术333.5.2配置VPN服务器下面以一个远程客户端与一个公司总部VPN服务器之间的连接为例，介绍VPN的安装设置步骤首先，需要公司总部的计算机（以下称为“VPN服务器”）和分公司的计算机（以下称为“VPN客户机”）均应能访问Internet，并且VPN服务器拥有一个Internet上合法的IP地址（即公网IP）。然后，当VPN客户机通过虚拟拨号和VPN服务器连接成功，VPN客户机就成了VPN服务器所在局域网的一部分。在此局域网内，任意一台计算机均可以根据权限访问其他计算机上的软硬件共享资源，操作方法和普通局域网完全一样。2023/2/5第3章虚拟专用网络技术34（1）依次单击【开始】->【程序】->【管理工具】->【路由和远程访问】，打开“路由和远程访问”控制台，如图3-6所示2023/2/5第3章虚拟专用网络技术35图3-6路由和远程访问控制台（2）在左边“路由和远程访问”栏中右击“X3650(本地)”，选择“配置并启用路由和远程访问”，打开“路由和远程访问安装向导”窗口，在“欢迎使用路由和远程访问安装向导”中没有可以设置的选项，直接单击“下一步”按钮，出现“配置”对话框，如图3-7所示。（3）在图3-7中选择“虚拟专用网络（VPN）访问和NAT”，然后单击“下一步按钮。2023/2/5第3章虚拟专用网络技术362023/2/5第3章虚拟专用网络技术37图3-7选择虚拟专用网络（VPN）访问和NAT（4）在“路由和远程访问服务器安装向导”的“VPN连接”中选择与Internet相连的接口，本例为“本地连接”。然后单击“下一步”按钮。5）在出现的对话框“IP地址指定”对话框中需要选择为远程VPN客户端指定IP地址的方法。如果本机配置了DHCP服务器，可以选为“自动”，由本机给客户机分配IP地址；若本机没有配置DHCP服务器，则选为“来自一个指定的地址范围”，本例选择“来自一个指定的地址范围”，如图3-8，然后单击“下一步”按钮。2023/2/5第3章虚拟专用网络技术382023/2/5第3章虚拟专用网络技术39图3-8选择如何给客户端配置IP地址（6）在“地址范围指定”对话框中可以为VPN客户机指定所分配的IP地址范围。例如，打算分配的IP地址范围为“0～9”，则单击“新建”按钮打开“新建地址范围”窗口，输入IP地址范围后单击“确定”按钮，如图3-9所示，然后单击“下一步”按钮。为了确保连接后的VPN网络能同VPN服务器原有局域网正常通信，它们必须同VPN服务器的IP地址处在同一个网段中。2023/2/5第3章虚拟专用网络技术402023/2/5第3章虚拟专用网络技术41图3-9输入IP地址范围图3-10管理多个远程访问服务器（7）在“管理多个远程访问服务器”对话框中设置是否集中管理多个VPN服务器。选择“否，使用路由和远程访问来对连接请求进行身份验证”，如图3-10所示，然后单击“下一步”按钮。（8）出现“正在完成路由和远程访问服务器安装向层”后，单击“完成”按钮结束VPN服务器配置。2023/2/5第3章虚拟专用网络技术423.5.3赋予用户拨入权限在默认状态下，VPN服务器拒绝包括Administrator用户在内的所有用户拨入，因此需要为相应用户赋予拨入权限。（1）右击“我的电脑”，在快捷菜单中选择“管理”，打开“计算机管理”控制台，如图3-11所示。2023/2/5图3-11计算机管理窗口43（2）创建用户，在图3-11中左侧“本地用户和组”中右击“用户”，在快捷菜单中选择“新建用户”，出现“新用户”对话框。（3）在

“用户名”、“全名”、“密码”和“确认密码”文本框内分别输入相应信息，单击“创建”按钮，然后单击“关闭”按钮。（4）依次展开“本地用户和组”|“用户”，在右边窗格中右击“shenyuan”，快捷菜单中选择“属性”，打开“shenyuan属性”对话框，如图3-12所示。2023/2/5第3章虚拟专用网络技术44（5）单击“拨入”标签，在“远程访问权限（拨入或VPN）”下选择“允许访问”，然后单击“确定”按钮，返回“计算机管理”控制台，即结束了赋予“shenyuan”用户拨入权限的工作。2023/2/5第3章虚拟专用网络技术45图3-12用户属性对话框3.5.4配置VPN客户机客户机系统以Windows2003为例，用户可在自己机器上配置VPN客户机（1）右击“网上邻居”，选择“属性”，打开“网络和拨号连接”窗口。（2）双击“网络连接”窗口中“新建连接向导