基于PPTP/IPSec的VPN研究及應(yīng)用

劉濤

摘 要：利用公共網(wǎng)絡(luò)平臺創(chuàng)建虛擬專用網(wǎng)絡(luò)，是當(dāng)前解決外網(wǎng)用戶對內(nèi)部網(wǎng)絡(luò)訪問問題的最有效方法。提出了一種內(nèi)部網(wǎng)絡(luò)實現(xiàn)VPN的方法。該方法以Windows Server 2003路由協(xié)議、遠(yuǎn)程訪問技術(shù)為基礎(chǔ)，并結(jié)合了IPSec加密技術(shù)、PPTP隧道協(xié)議構(gòu)建了IPSec VPN虛擬網(wǎng)絡(luò)。實驗證明該方法安全性較高、運行穩(wěn)定且易于實現(xiàn)。

關(guān)鍵詞：PPTP；虛擬專用網(wǎng)絡(luò)；IPSec；路由和遠(yuǎn)程訪問

中圖分類號：TP39 文獻(xiàn)標(biāo)識碼：B

虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)是解決Internet上信息加密和用戶認(rèn)證等難題的主要方法。利用VPN技術(shù)可以創(chuàng)建屬于自己的專用網(wǎng)絡(luò)，在互聯(lián)網(wǎng)上使用這樣的專用網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸時，能滿足數(shù)據(jù)安全的需求。VPN技術(shù)具有良好的可擴展性，在科研、企業(yè)、教育等領(lǐng)域得到廣泛應(yīng)用，日益成為一種比較成熟的互聯(lián)網(wǎng)安全技術(shù)。

Windows Server2003作為微軟成熟的網(wǎng)絡(luò)操作系統(tǒng)，為用戶提供網(wǎng)絡(luò)多種解決方案的技術(shù)支持。利用Windows Server2003在外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間創(chuàng)建VPN服務(wù)器，可以實現(xiàn)外網(wǎng)、內(nèi)網(wǎng)客戶端與受限資源之間的相互連接。另外通過Internet或其它公共網(wǎng)絡(luò)等基礎(chǔ)設(shè)施創(chuàng)建隧道，可以為用戶提供與專用網(wǎng)絡(luò)相同的安全保證。VPN的創(chuàng)建使得各個不同網(wǎng)段連接起來，外網(wǎng)許可用戶、出差員工，就能夠訪問必須是內(nèi)網(wǎng)IP用戶才能訪問的受限網(wǎng)絡(luò)資源。VPN網(wǎng)絡(luò)環(huán)境如圖1所示。

1 IPSec VPN技術(shù)與PPTP協(xié)議

IPSec VPN 指的是利用加密技術(shù)和通訊技術(shù)在公共網(wǎng)絡(luò)（如Internet）中建立的虛擬專用網(wǎng)絡(luò)。VPN專用網(wǎng)絡(luò)中任意兩個節(jié)點之間，不依賴傳統(tǒng)的專用網(wǎng)絡(luò)的端到端的物理鏈路連接，而是利用某種公共網(wǎng)絡(luò)的資源動態(tài)來實現(xiàn)，這對于客戶端用戶是完全透明的，用戶就好像在使用專線進(jìn)行通信。IPSec VPN是目前使用率非常高的一種VPN技術(shù)，它同時兼具VPN與信息加密兩項技術(shù)。VPN是IPSec的一種應(yīng)用方式，IPSec（IP Security）的目的是為IP提供高安全性特性，VPN則是在實現(xiàn)這種安全特性的方式下產(chǎn)生的解決方法。

隧道技術(shù)是IPSec VPN的具體實現(xiàn)形式。通過隧道技術(shù)，原始數(shù)據(jù)包被封裝在新數(shù)據(jù)包內(nèi)部，該數(shù)據(jù)包提供新的尋址和路由信息，這使的被封裝的原始數(shù)據(jù)能夠在網(wǎng)絡(luò)上傳輸。隧道技術(shù)同時又融合了加密技術(shù)，增強了原始數(shù)據(jù)包數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩浴．?dāng)封裝的數(shù)據(jù)包傳輸?shù)侥康牡貢r，封裝報頭將被丟棄，數(shù)據(jù)包以原始數(shù)據(jù)包報頭為路由，將數(shù)據(jù)包傳送到最終目的地。

因此，利用隧道協(xié)議將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道內(nèi)進(jìn)行傳輸，保證了在公共網(wǎng)絡(luò)上數(shù)據(jù)傳輸?shù)陌踩Ｋ淼纼?nèi)采用隧道協(xié)議進(jìn)行通信，使用隧道協(xié)議即可將一種協(xié)議用另一種協(xié)議或相同協(xié)議進(jìn)行封裝，又可以提供信息加密、安全認(rèn)證等服務(wù)。

VPN服務(wù)器與客戶端必須支持相同的隧道協(xié)議，以便建立VPN連接。常用的隧道協(xié)議有PPTP，L2TP。PPTP（點對點隧道協(xié)議）是一種新的增強型安全協(xié)議，由PPP（點對點協(xié)議）擴展而來，支持密碼身份驗證、加密和壓縮機制。兩個局域網(wǎng)之間若要建立PPTP的VPN，則必須與Internet和VPN服務(wù)器相連接，這里VPN服務(wù)器必須要執(zhí)行TCP/IP通信協(xié)議，兩個局域網(wǎng)的計算機進(jìn)行通信時，可以支持不同通信協(xié)議，這些不同通信協(xié)議的數(shù)據(jù)包會被封裝到PPP的數(shù)據(jù)包內(nèi)，然后經(jīng)過Internet傳送，再由VPN服務(wù)器將其還原成其他通信協(xié)議的數(shù)據(jù)包。

PPTP加密信息的方法是MPPE（點對點加密）加密法。PPTP的VPN服務(wù)器支持內(nèi)置于Windows Server 2003家族的成員。PPTP可以配置5個或128個PPTP端口。

2 VMware

Vmware一種用于仿真實驗的軟件，利用該軟件能夠模擬出多臺虛擬計算機，簡稱虛擬機，各虛擬機配有對應(yīng)的操作系統(tǒng)且能夠獨立運行。需要進(jìn)行網(wǎng)絡(luò)實驗時，可將虛擬機互聯(lián)成虛擬網(wǎng)絡(luò)，這樣真實網(wǎng)絡(luò)實驗的工作就可以在虛擬網(wǎng)絡(luò)中來實現(xiàn)。

Vmware提供多種虛擬網(wǎng)絡(luò)連接方式：橋接網(wǎng)絡(luò)方式連接（Bridging）、私有主機網(wǎng)絡(luò)方式連接（Host-only）和NAT網(wǎng)絡(luò)方式連接（NAT），利用這些聯(lián)網(wǎng)方式可以組建不同類型的虛擬網(wǎng)絡(luò)，以滿足不同的網(wǎng)絡(luò)實驗任務(wù)。

Vmware中虛擬網(wǎng)絡(luò)連接方式不同，組建的虛擬網(wǎng)絡(luò)的類型也不同，所采用的虛擬交換機也不同。Vmware提供8種虛擬交換機，即VMnet0、VMnet1、……VMnet8。其中VMnet0、VMnet1、VMnet8分別適用于Bridging、Host-only和NAT虛擬網(wǎng)絡(luò)聯(lián)網(wǎng)方式。本文的實驗是采用VMnet1、VMnet2虛擬交換機，在Host-only主機網(wǎng)絡(luò)聯(lián)網(wǎng)方式下來實現(xiàn)。

3 VPN虛擬網(wǎng)絡(luò)配置

在內(nèi)外兩個子網(wǎng)X、Y中配置VPN服務(wù)，如圖2所示。子網(wǎng)Y中的客戶機利用VPN服務(wù)器與子網(wǎng)X中的客戶機建立連接，從而使外網(wǎng)客戶機能夠訪問內(nèi)部網(wǎng)絡(luò)資源。

在VMware上對上述網(wǎng)絡(luò)環(huán)境進(jìn)行配置：

1）在主機上利用VMware新建3臺虛擬機，即VPN服務(wù)器、子網(wǎng)X中客戶機A，子網(wǎng)Y中客戶機B。

2）各虛擬機基本配置如下：

a VPN服務(wù)器：Win server 2003系統(tǒng)、虛擬交換機為VMnet1，VMnet2、ip地址為192.168.80.1，218.28.192.1。

b客戶機A：Win server 2003系統(tǒng)、虛擬交換機為VMnet1、ip地址為192.168.80.10，網(wǎng)關(guān)為192.168.80.1。

c客戶機B：Windows server 2003系統(tǒng)、虛擬交換機為VMnet2、ip地址為218.28.192.10，網(wǎng)關(guān)為218.28.192.1。

1）因子網(wǎng)X、子網(wǎng)Y分屬不同網(wǎng)段，所以子網(wǎng)X、子網(wǎng)Y中的虛擬交換機應(yīng)分別設(shè)置為VMnet1、VMnet2，子網(wǎng)X、子網(wǎng)Y都采用Host-Only主機網(wǎng)絡(luò)方式進(jìn)行連接，保證了子網(wǎng)X、子網(wǎng)Y的相互獨立。

2）VPN服務(wù)器用于連接兩個子網(wǎng)，即內(nèi)網(wǎng)和外網(wǎng)。VPN服務(wù)器與Internet連接時，外網(wǎng)客戶端用戶就可以通過撥號連接與VPN服務(wù)器進(jìn)行通信，這時VPN服務(wù)器需要配置1塊用于與外網(wǎng)（子網(wǎng)Y）連接的虛擬網(wǎng)卡VMnet2。同樣地，VPN服務(wù)器和和內(nèi)網(wǎng)相連時，需要配置1塊用于與內(nèi)網(wǎng)（子網(wǎng)Y）連接的虛擬網(wǎng)卡VMnet1。

4 實驗結(jié)論

該實驗選用的計算機設(shè)備的配置為：Intel P4 2.8GHz CPU、1GB DDR400 KingMax 內(nèi)存條，軟件平臺：選用VMware Workstation 5.53 Build-34685虛擬機軟件。VPN服務(wù)器保證了子網(wǎng)X和子網(wǎng)Y兩個網(wǎng)段的客戶機計算機實現(xiàn)通信，子網(wǎng)Y中客戶機B上運行ping命令測試與子網(wǎng)X中客戶機A是否通信暢通，測試結(jié)果如圖3所示。

VPN客戶端連接到VPN服務(wù)器，建立VPN后，PPTP提供一個端口，其狀態(tài)為“活動”。用于實現(xiàn)與VPN服務(wù)器和企業(yè)內(nèi)網(wǎng)客戶機的通信。其PPTP端口，如圖4所示。

參 考 文 獻(xiàn)

[1]劉昊.一種面向IPSec VPN教學(xué)的實驗系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機應(yīng)用與軟件，2006，23（07）：03-04.

[2]金海.基于WINDOWS SERVER 2003的VPN實驗環(huán)境的構(gòu)建[J].臺州學(xué)院學(xué)報，2005，27（06）：17-20.

[3]陳建銳，何增穎.基于虛擬機的VPN實驗環(huán)境構(gòu)建[J].實驗室研究與探索，2010，29（01）：59-61.

[4]蔣東毅.VPN的關(guān)鍵技術(shù)分析[J].計算機工程與應(yīng)用，2003（15）：173-177.

[5]平寒，于靜，等.Windows Server 2003配置管理項目實訓(xùn)教程[M].北京：中國水利水電出版社，2009（11）.