基于PPTP/IPSec的VPN研究及應用

劉濤

摘 要：利用公共網絡平臺創建虛擬專用網絡，是當前解決外網用戶對內部網絡訪問問題的最有效方法。提出了一種內部網絡實現VPN的方法。該方法以Windows Server 2003路由協議、遠程訪問技術為基礎，并結合了IPSec加密技術、PPTP隧道協議構建了IPSec VPN虛擬網絡。實驗證明該方法安全性較高、運行穩定且易于實現。

關鍵詞：PPTP；虛擬專用網絡；IPSec；路由和遠程訪問

中圖分類號：TP39 文獻標識碼：B

虛擬專用網絡（VPN）技術是解決Internet上信息加密和用戶認證等難題的主要方法。利用VPN技術可以創建屬于自己的專用網絡，在互聯網上使用這樣的專用網絡進行數據傳輸時，能滿足數據安全的需求。VPN技術具有良好的可擴展性，在科研、企業、教育等領域得到廣泛應用，日益成為一種比較成熟的互聯網安全技術。

Windows Server2003作為微軟成熟的網絡操作系統，為用戶提供網絡多種解決方案的技術支持。利用Windows Server2003在外部網絡與內部網絡之間創建VPN服務器，可以實現外網、內網客戶端與受限資源之間的相互連接。另外通過Internet或其它公共網絡等基礎設施創建隧道，可以為用戶提供與專用網絡相同的安全保證。VPN的創建使得各個不同網段連接起來，外網許可用戶、出差員工，就能夠訪問必須是內網IP用戶才能訪問的受限網絡資源。VPN網絡環境如圖1所示。

1 IPSec VPN技術與PPTP協議

IPSec VPN 指的是利用加密技術和通訊技術在公共網絡（如Internet）中建立的虛擬專用網絡。VPN專用網絡中任意兩個節點之間，不依賴傳統的專用網絡的端到端的物理鏈路連接，而是利用某種公共網絡的資源動態來實現，這對于客戶端用戶是完全透明的，用戶就好像在使用專線進行通信。IPSec VPN是目前使用率非常高的一種VPN技術，它同時兼具VPN與信息加密兩項技術。VPN是IPSec的一種應用方式，IPSec（IP Security）的目的是為IP提供高安全性特性，VPN則是在實現這種安全特性的方式下產生的解決方法。

隧道技術是IPSec VPN的具體實現形式。通過隧道技術，原始數據包被封裝在新數據包內部，該數據包提供新的尋址和路由信息，這使的被封裝的原始數據能夠在網絡上傳輸。隧道技術同時又融合了加密技術，增強了原始數據包數據在網絡上傳輸的安全性。當封裝的數據包傳輸到目的地時，封裝報頭將被丟棄，數據包以原始數據包報頭為路由，將數據包傳送到最終目的地。

因此，利用隧道協議將企業網的數據封裝在隧道內進行傳輸，保證了在公共網絡上數據傳輸的安全。隧道內采用隧道協議進行通信，使用隧道協議即可將一種協議用另一種協議或相同協議進行封裝，又可以提供信息加密、安全認證等服務。

VPN服務器與客戶端必須支持相同的隧道協議，以便建立VPN連接。常用的隧道協議有PPTP，L2TP。PPTP（點對點隧道協議）是一種新的增強型安全協議，由PPP（點對點協議）擴展而來，支持密碼身份驗證、加密和壓縮機制。兩個局域網之間若要建立PPTP的VPN，則必須與Internet和VPN服務器相連接，這里VPN服務器必須要執行TCP/IP通信協議，兩個局域網的計算機進行通信時，可以支持不同通信協議，這些不同通信協議的數據包會被封裝到PPP的數據包內，然后經過Internet傳送，再由VPN服務器將其還原成其他通信協議的數據包。

PPTP加密信息的方法是MPPE（點對點加密）加密法。PPTP的VPN服務器支持內置于Windows Server 2003家族的成員。PPTP可以配置5個或128個PPTP端口。

2 VMware

Vmware一種用于仿真實驗的軟件，利用該軟件能夠模擬出多臺虛擬計算機，簡稱虛擬機，各虛擬機配有對應的操作系統且能夠獨立運行。需要進行網絡實驗時，可將虛擬機互聯成虛擬網絡，這樣真實網絡實驗的工作就可以在虛擬網絡中來實現。

Vmware提供多種虛擬網絡連接方式：橋接網絡方式連接（Bridging）、私有主機網絡方式連接（Host-only）和NAT網絡方式連接（NAT），利用這些聯網方式可以組建不同類型的虛擬網絡，以滿足不同的網絡實驗任務。

Vmware中虛擬網絡連接方式不同，組建的虛擬網絡的類型也不同，所采用的虛擬交換機也不同。Vmware提供8種虛擬交換機，即VMnet0、VMnet1、……VMnet8。其中VMnet0、VMnet1、VMnet8分別適用于Bridging、Host-only和NAT虛擬網絡聯網方式。本文的實驗是采用VMnet1、VMnet2虛擬交換機，在Host-only主機網絡聯網方式下來實現。

3 VPN虛擬網絡配置

在內外兩個子網X、Y中配置VPN服務，如圖2所示。子網Y中的客戶機利用VPN服務器與子網X中的客戶機建立連接，從而使外網客戶機能夠訪問內部網絡資源。

在VMware上對上述網絡環境進行配置：

1）在主機上利用VMware新建3臺虛擬機，即VPN服務器、子網X中客戶機A，子網Y中客戶機B。

2）各虛擬機基本配置如下：

a VPN服務器：Win server 2003系統、虛擬交換機為VMnet1，VMnet2、ip地址為192.168.80.1，218.28.192.1。

b客戶機A：Win server 2003系統、虛擬交換機為VMnet1、ip地址為192.168.80.10，網關為192.168.80.1。

c客戶機B：Windows server 2003系統、虛擬交換機為VMnet2、ip地址為218.28.192.10，網關為218.28.192.1。

1）因子網X、子網Y分屬不同網段，所以子網X、子網Y中的虛擬交換機應分別設置為VMnet1、VMnet2，子網X、子網Y都采用Host-Only主機網絡方式進行連接，保證了子網X、子網Y的相互獨立。

2）VPN服務器用于連接兩個子網，即內網和外網。VPN服務器與Internet連接時，外網客戶端用戶就可以通過撥號連接與VPN服務器進行通信，這時VPN服務器需要配置1塊用于與外網（子網Y）連接的虛擬網卡VMnet2。同樣地，VPN服務器和和內網相連時，需要配置1塊用于與內網（子網Y）連接的虛擬網卡VMnet1。

4 實驗結論

該實驗選用的計算機設備的配置為：Intel P4 2.8GHz CPU、1GB DDR400 KingMax 內存條，軟件平臺：選用VMware Workstation 5.53 Build-34685虛擬機軟件。VPN服務器保證了子網X和子網Y兩個網段的客戶機計算機實現通信，子網Y中客戶機B上運行ping命令測試與子網X中客戶機A是否通信暢通，測試結果如圖3所示。

VPN客戶端連接到VPN服務器，建立VPN后，PPTP提供一個端口，其狀態為“活動”。用于實現與VPN服務器和企業內網客戶機的通信。其PPTP端口，如圖4所示。

參 考 文 獻

[1]劉昊.一種面向IPSec VPN教學的實驗系統的設計與實現[J].計算機應用與軟件，2006，23（07）：03-04.

[2]金海.基于WINDOWS SERVER 2003的VPN實驗環境的構建[J].臺州學院學報，2005，27（06）：17-20.

[3]陳建銳，何增穎.基于虛擬機的VPN實驗環境構建[J].實驗室研究與探索，2010，29（01）：59-61.

[4]蔣東毅.VPN的關鍵技術分析[J].計算機工程與應用，2003（15）：173-177.

[5]平寒，于靜，等.Windows Server 2003配置管理項目實訓教程[M].北京：中國水利水電出版社，2009（11）.