周小龍

[摘要]現(xiàn)在很多連接都被稱作VPN(Virtual Private Ntwork)，讓很多人分不清楚。那么，一般所說(shuō)的VPN到底是什么呢?顧名思義，虛擬專用網(wǎng)不是真的專用網(wǎng)絡(luò)，但是它卻能夠?qū)崿F(xiàn)專用網(wǎng)絡(luò)的功能，并且具有保密，安全等主要特點(diǎn)。

[關(guān)鍵詞]VPN接入隧道技術(shù)安全技術(shù)

中圖分類號(hào)：TP3文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1671－7597(2009)0210051－01

一、VPN

虛擬專用網(wǎng)指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。

二、VPN的隧道技術(shù)與安全技術(shù)

從總體來(lái)說(shuō)，YPN技術(shù)非常復(fù)雜，它涉及到通信技術(shù)、密碼技術(shù)和現(xiàn)代認(rèn)證技術(shù)，是一項(xiàng)交叉科學(xué)。目前，vPN主要包含隧道技術(shù)與安全技術(shù)。目前VPN隧道協(xié)議有四種：

1、點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP。PPTP(Point to Point Tunneling Protocol)協(xié)議將控制包與數(shù)據(jù)包分開(kāi)?？刂瓢捎肨CP控制，用于嚴(yán)格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE(通用路由協(xié)議封裝)v2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰，不再使用在VPN產(chǎn)品中。

2、第二層隧道協(xié)議L2TP。L2TP(Layer 2 Tunneling Protocol)協(xié)議是國(guó)際標(biāo)準(zhǔn)隧道協(xié)議。它結(jié)合了PPTP協(xié)議以及第二層轉(zhuǎn)發(fā)L2F(Layer 2Forwarding，二層轉(zhuǎn)發(fā)協(xié)議)協(xié)議的優(yōu)點(diǎn)，能以隧道方式使PPP包通過(guò)各種網(wǎng)絡(luò)協(xié)議，包括ATM、SONET和幀中繼。但是，L2TP沒(méi)有任何加密措施，更多的是和IPSec協(xié)議結(jié)合使用，提供隧道驗(yàn)證。

3、IPSec協(xié)議。IPSec(網(wǎng)絡(luò)協(xié)議安全)協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。IPSec規(guī)定了如何在對(duì)等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問(wèn)控制、數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)加密等網(wǎng)絡(luò)安全服務(wù)。

現(xiàn)在一種發(fā)展趨勢(shì)，是將L2TP和IPSec結(jié)合起來(lái)，即用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護(hù)數(shù)據(jù)。目前，市場(chǎng)上大部分VPN都采用這類技術(shù)。它的優(yōu)點(diǎn)是定義了一套用于保護(hù)私有性和完整性的標(biāo)準(zhǔn)協(xié)議，可確保運(yùn)行在TCP/IP協(xié)議上VPN之間的互操作性；不足之處在于，除了包過(guò)濾外，它沒(méi)有指定其他訪問(wèn)控制方法，對(duì)于采用NAT(網(wǎng)絡(luò)地址翻譯)方式訪問(wèn)公共網(wǎng)絡(luò)的情況難以處理，為此最適合于可信LAN到LAN之間VPN的場(chǎng)合應(yīng)用。

4、SOCKS v5協(xié)議。SOCKS v5協(xié)議的優(yōu)勢(shì)在于訪問(wèn)控制，因此適用于安全性較高的VPN。SOCKS v5現(xiàn)在被IETF(互聯(lián)網(wǎng)工程任務(wù)組)，建議作為建立VPN的標(biāo)準(zhǔn)。它的優(yōu)點(diǎn)是能夠非常詳細(xì)地進(jìn)行訪問(wèn)控制，即在網(wǎng)絡(luò)層只能根據(jù)源目的的IP地址允許或拒絕被通過(guò)，在會(huì)話層控制手段更多一些；由于工作在會(huì)話層，能同低層協(xié)議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務(wù)器可隱藏網(wǎng)絡(luò)地址結(jié)構(gòu)；能為認(rèn)證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術(shù)；SOCKS v5可根據(jù)規(guī)則過(guò)濾數(shù)據(jù)流，包括Java Applet~Actives控制。

(1)安全技術(shù)：VPN常常需要在不安全的Internet中通信，通信的內(nèi)容可能涉及企業(yè)的機(jī)密數(shù)據(jù)，YPN中的安全技術(shù)通常由加密、認(rèn)證和密鑰交換與管理技術(shù)組成。

(2)認(rèn)證技術(shù)：認(rèn)證技術(shù)防止數(shù)據(jù)的偽造和被篡改。它采用一種稱為“摘要”的技術(shù)。由于HASH函數(shù)的特性，兩個(gè)不同的報(bào)文具有相同的摘要幾乎不可能。該特性使得摘要技術(shù)在VPN中有驗(yàn)證數(shù)據(jù)的完整性和用戶認(rèn)證兩種用途。

(3)加密技術(shù)：IPSec通過(guò)ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如DES(Data Encryption Stamdard)、3DES等。DES密鑰長(zhǎng)度為56位，容易被破譯，3DES使用三重加密增加了安全性。

(4)密鑰交換與管理：VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過(guò)手工配置；另一種采用密鑰交換協(xié)議動(dòng)態(tài)分發(fā)。目前主要的密鑰交換與管理標(biāo)準(zhǔn)有IKE(互聯(lián)網(wǎng)密鑰交換)、SKIP(互聯(lián)網(wǎng)簡(jiǎn)單密鑰管理)和Oakley。

三、VPN的架設(shè)與接入

連接步驟：

1、啟用xp的遠(yuǎn)程訪問(wèn)組件，該組件默認(rèn)不啟用。打開(kāi)服務(wù)services.msc，找到Routing and Remote Access服務(wù)，設(shè)置啟動(dòng)類型為自動(dòng)，并啟動(dòng)服務(wù)。

2、在“網(wǎng)上鄰居”上點(diǎn)右鍵，點(diǎn)擊“屬性”，會(huì)看到“傳入的連接”。

3、雙擊打開(kāi)屬性，勾選“虛擬專用網(wǎng)”下的復(fù)選框。打開(kāi)“用戶頁(yè)”，選擇允許遠(yuǎn)程撥入的用戶，或者新建用戶。打開(kāi)網(wǎng)絡(luò)頁(yè)，確保計(jì)算機(jī)上已經(jīng)安裝了IPX/SPX協(xié)議。服務(wù)器上設(shè)置完成。

4、打開(kāi)客戶機(jī)，打開(kāi)網(wǎng)上鄰居，單擊創(chuàng)建一個(gè)新的連接。點(diǎn)擊“下一步”，單擊“連接到我的工作場(chǎng)所的網(wǎng)絡(luò)”，單擊“虛擬專用網(wǎng)絡(luò)連接”，輸入公司名，單擊下一步，輸入VPN服務(wù)器的IP地址，單擊完成客戶機(jī)創(chuàng)建連接完畢。

5、打開(kāi)剛剛創(chuàng)建好的連接，輸入允許介入的用戶名和密碼，單擊“連接”，網(wǎng)絡(luò)連接后，客戶機(jī)成功接入XP VPN服務(wù)器。

6、查看客戶機(jī)的屬性，連接時(shí)間，流量。服務(wù)器自動(dòng)生成一個(gè)169.254.0.0/16網(wǎng)段的地址，客戶機(jī)被分配了一個(gè)給網(wǎng)段的地址，可以進(jìn)行正常通信。

7、查看服務(wù)器的屬性。在服務(wù)器上可以看到，現(xiàn)實(shí)一個(gè)客戶已連接。

8、連接完成。

上面的步驟證明了XP完全可以作為VPN服務(wù)器使用，并且在ADSL撥號(hào)網(wǎng)絡(luò)上實(shí)驗(yàn)成功。從整個(gè)過(guò)程和實(shí)驗(yàn)結(jié)果看，XP系統(tǒng)的“傳入的連接”是Windows2003 RRA服務(wù)中VPN功能的精簡(jiǎn)版，比如客戶端IP分配無(wú)法設(shè)置，客戶端不能進(jìn)行時(shí)間等撥入限制，而且同時(shí)只能有一個(gè)用戶接入，看似用處不大，但是作為個(gè)人辦公操作系統(tǒng)來(lái)說(shuō)，加之操作簡(jiǎn)單不需要任何第三方軟件和復(fù)雜的設(shè)置，對(duì)于小型辦公環(huán)境或家庭網(wǎng)絡(luò)~-VPN功能已經(jīng)足夠使用了。

四、總結(jié)

Windows系統(tǒng)自帶的VPN服務(wù)允許用戶或企業(yè)通過(guò)公共或?qū)Ｓ镁W(wǎng)絡(luò)與遠(yuǎn)端服務(wù)器，分支機(jī)構(gòu)，或其他公司建立安全和可靠的連接。雖然上述通訊過(guò)程發(fā)生公共互聯(lián)網(wǎng)絡(luò)上，但是用戶端如同使用專用網(wǎng)絡(luò)進(jìn)行通訊一樣建立起安全的連接。使用Windows系統(tǒng)的VPN技術(shù)可以解決在當(dāng)今遠(yuǎn)程通訊量日益增大，企業(yè)全球運(yùn)作分布廣泛的情況下，員工需要訪問(wèn)中央資源，企業(yè)相互之間必須能夠進(jìn)行及時(shí)和有效的通訊的問(wèn)題。