VPN技术详解

IPSEC
　　IPSEC是一种由IETF设计的端到端的确保基于IP通讯的数据安全性的机制。IPSEC支持对数据加密，同时确保数据的完整性。按照IETF的规定，不采用数据加密时，IPSEC使用验证包头（AH）提供验证来源验证（source authentication)，确保数据的完整性；IPSEC使用封装安全负载（ESP）与加密一道提供来源验证，确保数据完整性。IPSEC协议下，只有发送方和接受方知道秘密密钥。如果验证数据有效，接受方就可以知道数据来自发送方，并且在传输过程中没有受到破坏。
　　可以把IPSEC想象成是位于TCP/IP协议栈的下层协议。该层由每台机器上的安全策略和发送、接受方协商的安全关联（security association)进行控制。安全策略由一套过滤机制和关联的安全行为组成。如果一个数据包的IP地址，协议，和端口号满足一个过滤机制，那么这个数据包将要遵守关联的安全行为。

协商安全关联（NegotiatedSecurityAssociation）
　　上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进行协商。ISAKMP/OAKLEY是这种协商采用的标准协议。在一个ISAKMP/OAKLEY交换过程中，两台机器对验证和数据安全方式达成一致，进行相互验证，然后生成一个用于随后的数据加密的个共享密钥。

验证包头
　　通过一个位于IP包头和传输包头之间的验证包头可以提供IP负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSEC验证包头不提供数据加密；信息将以明文方式发送。

封装安全包头
　　为了保证数据的保密性并防止数据被第3方窃取，封装安全负载（ESP）提供了一种对IP负载进行加密的机制。另外，ESP还可以提供数据验证和数据完整性服务；因此在IPSEC包中可以用ESP包头替代AH包头。

用户管理
　　在选择VPN技术时，一定要考虑到管理上的要求。一些大型网络都需要把每个用户的目录信息存放在一台中央数据存储设备中（目录服务）便于管理人员和应用程序对信息进行添加，修改和查询。每一台接入或隧道服务器都应当能够维护自己的内部数据库，存储每一名用户的信息，包括用户名，口令，以及拨号接入的属性等。但是，这种由多台服务器维护多个用户帐号的作法难以实现及时的更新，给管理带来很大的困难。因此，大多数的管理人员采用在目录服务器，主域控制器或RADIUS服务器上建立一个主帐号数据库的方法，进行有效管理。

RAS支持
　　微软的远程接入服务器（RAS）使用域控制器或RADIUS服务器存储每名用户的信息。因为管理员可以在单独的数据库中管理用户信息中的拨号许可信息，所以使用一台域控制器能够简化系统管理。
　　微软的RAS最初被用作拨号用户的接入服务器。现在，RAS可以作为PPTP和L2TP协议的隧道服务器（NT5将支持L2TP）。这些第2层的VPN方案继承了已有的拨号网络全部的管理基础。

扩展性
　　通过使用循环DNS在同属一个安全地带（securityperimeter）的VPN隧道服务器之间进行请求分配，可以实现容余和负荷平衡。一个安全地带只具有一个对外域名，但拥有多个IP地址，负荷可以在所有的IP地址之间进行任意的分配。所有的服务器可以使用一个共享数据库，如NT域控制器验证访问请求。

RADIUS
　　远程验证用户拨入服务（RADIUS）协议是管理远程用户验证和授权的常用方法。RADIUS是一种基于UDP协议的超轻便（lightweight）协议。RADIUS服务器可以被放置在Internet网络的任何地方为客户NAS提供验证（包括PPP PAP，CHAP，MSCHAP和EAP）。另外，RADIUS服务器可以提供代理服务将验证请求转发到远端的RADIUS服务器。例如，ISP之间相互合作，通过使用RADIUS代理服务实现漫游用户在世界各地使用本地ISP提供的拨号服务连接Internet和VPN。如果ISP发现用户名不是本地注册用户，就会使用RADIUS代理将接入请求转发给用户的注册网络。这样企业在掌握授权权利的前提下，有效的使用ISP的网络基础设施，使企业的网络费用开支实现最小化。

记费，审计和报警
　　为有效的管理VPN系统，网络管理人员应当能够随时跟踪和掌握以下情况：系统的使用者，连接数目，异常活动，出错情况，以及其它可能预示出现设备故障或网络受到攻击的现象。日志记录和实时信息对记费，审计和报警或其它错误提示具有很大帮助。例如，网络管理人员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。对设备进行实时的监测可以在系统出现问题时及时向管理员发出警告。一台隧道服务器应当能够提供以上所有信息以及对数据进行正确处理所需要的事件日志，报告和数据存储设备。
　　NT4.0在RAS中提供了对记费，审计和报警的支持。RADIUS协议对呼叫-记费请求（call-accountingrequest)进行了规定。当RAS向RADIUS发送呼叫-记费请求后由后者建立记费记录分别记录呼叫开始，结束以及预定中断的情况。

结论
　　如本文所述，Windows系统自带的VPN服务允许用户或企业通过公共或专用网络与远端服务器，分支机构，或其他公司建立安全和可靠的连接。虽然上述通讯过程发生公共互联网络上，但是用户端如同使用专用网络进行通讯一样建立起安全的连接。使用Windows系统的VPN技术可以解决在当今远程通讯量日益增大，企业全球运作分布广泛的情况下，员工需要访问中央资源，企业相互之间必须能够进行及时和有效的通讯的问题。

隧道技术如何实现

　　对于象PPTP和L2TP这样的第2层隧道协议，创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数。绝大多数情况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为管理隧道的机制。

　　第3层隧道技术通常假定所有配置问题已经通过手工过程完成。这些协议不对隧道进行维护。与第3层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建，维护和终止。

　　隧道一旦建立，数据就可以通过隧道发送。隧道客户端和服务器使用隧道数据传输协议准备传输数据。例如，当隧道客户端向服务器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的服务器端。隧道服务器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。

隧道协议和基本隧道要求

　　因为第2层隧道协议（PPTP和L2TP）以完善的PPP协议为基础，因此继承了一整套的特性。

1.用户验证
　　第2层隧道协议继承了PPP协议的用户验证方式。许多第3层隧道技术都假定在创建隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外情况是IPSec协议的ISAKMP协商提供了隧道端点之间进行的相互验证。

2.令牌卡（Tokencard）支持
　　通过使用扩展验证协议（EAP），第2层隧道协议能够支持多种验证方法，包括一次性口令（one-timepassword)，加密计算器（cryptographic calculator）和智能卡等。第3层隧道协议也支持使用类似的方法，例如，IPSec协议通过ISAKMP/Oakley协商确定公共密钥证书验证。

3.动态地址分配
　　第2层隧道协议支持在网络控制协议（NCP）协商机制的基础上动态分配客户地址。第3层隧道协议通常假定隧道建立之前已经进行了地址分配。目前IPSec隧道模式下的地址分配方案仍在开发之中。

4.数据压缩
　　第2层隧道协议支持基于PPP的数据压缩方式。例如，微软的PPTP和L2TP方案使用微软点对点加密协议（MPPE）。IETP正在开发应用于第3层隧道协议的类似数据压缩机制。

5.数据加密
　　第2层隧道协议支持基于PPP的数据加密机制。微软的PPTP方案支持在RSA/RC4算法的基础上选择使用MPPE。第3层隧道协议可以使用类似方法，例如，IPSec通过ISAKMP/Oakley协商确定几种可选的数据加密方法。微软的L2TP协议使用IPSec加密保障隧道客户端和服务器之间数据流的安全。

6.密钥管理
　　作为第2层协议的MPPE依靠验证用户时生成的密钥，定期对其更新。IPSec在ISAKMP交换过程中公开协商公用密钥，同样对其进行定期更新。

7.多协议支持
　　第2层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用IP，IPX，或NetBEUI等多种协议企业网络。相反，第3层隧道协议，如IPSec隧道模式只能支持使用IP协议的目标网络。
VPN的基本要求

　　一般来说，企业在选用一种远程网络互联方案时都希望能够对访问企业资源和信息的要求加以控制，所选用的方案应当既能够实现授权用户与企业局域网资源的自由连接，不同分支机构之间的资源共享；又能够确保企业数据在公共互联网络或企业内部网络上传输时安全性不受破坏.因此，最低限度，一个成功的VPN方案应当能够满足以下所有方面的要求：

1.用户验证
　　VPN方案必须能够验证用户身份并严格控制只有授权用户才能访问VPN。另外，方案还必须能够提供审计和记费功能，显示何人在何时访问了何种信息。

2.地址管理
　　VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性。

3.数据加密
　　对通过公共互联网络传递的数据必须经过加密，确保网络其他未授权的用户无法读取该信息。

4.密钥管理
　　VPN方案必须能够生成并更新客户端和服务器的加密密钥。

5.多协议支持
　　VPN方案必须支持公共互联网络上普遍使用的基本协议，包括IP，IPX等。以点对点隧道协议（PPTP）或第2层隧道协议（L2TP）为基础的VPN方案既能够满足以上所有的基本要求，又能够充分利用遍及世界各地的Internet互联网络的优势。其它方案，包括安全IP协议（IPSec)，虽然不能满足上述全部要求，但是仍然适用于在特定的环境。本文以下部分将主要集中讨论有关VPN的概念，协议，和部件（component）。