小型辦公環(huán)境ＶＰＮ的接入

周小龍

[摘要]現(xiàn)在很多連接都被稱作VPN(Virtual Private Ntwork)，讓很多人分不清楚。那么，一般所說的VPN到底是什么呢?顧名思義，虛擬專用網不是真的專用網絡，但是它卻能夠實現(xiàn)專用網絡的功能，并且具有保密，安全等主要特點。

[關鍵詞]VPN接入隧道技術安全技術

中圖分類號：TP3文獻標識碼：A文章編號：1671－7597(2009)0210051－01

一、VPN

虛擬專用網指的是依靠ISP(Internet服務提供商)和其它NSP(網絡服務提供商)，在公用網絡中建立專用的數(shù)據(jù)通信網絡的技術。

二、VPN的隧道技術與安全技術

從總體來說，YPN技術非常復雜，它涉及到通信技術、密碼技術和現(xiàn)代認證技術，是一項交叉科學。目前，vPN主要包含隧道技術與安全技術。目前VPN隧道協(xié)議有四種：

1、點對點隧道協(xié)議PPTP。PPTP(Point to Point Tunneling Protocol)協(xié)議將控制包與數(shù)據(jù)包分開。控制包采用TCP控制，用于嚴格的狀態(tài)查詢及信令信息；數(shù)據(jù)包部分先封裝在PPP協(xié)議中，然后封裝到GRE(通用路由協(xié)議封裝)v2協(xié)議中。目前，PPTP協(xié)議基本已被淘汰，不再使用在VPN產品中。

2、第二層隧道協(xié)議L2TP。L2TP(Layer 2 Tunneling Protocol)協(xié)議是國際標準隧道協(xié)議。它結合了PPTP協(xié)議以及第二層轉發(fā)L2F(Layer 2Forwarding，二層轉發(fā)協(xié)議)協(xié)議的優(yōu)點，能以隧道方式使PPP包通過各種網絡協(xié)議，包括ATM、SONET和幀中繼。但是，L2TP沒有任何加密措施，更多的是和IPSec協(xié)議結合使用，提供隧道驗證。

3、IPSec協(xié)議。IPSec(網絡協(xié)議安全)協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網絡數(shù)據(jù)安全的一整套體系結構。IPSec規(guī)定了如何在對等層之間選擇安全協(xié)議、確定安全算法和密鑰交換，向上提供了訪問控制、數(shù)據(jù)源驗證、數(shù)據(jù)加密等網絡安全服務。

現(xiàn)在一種發(fā)展趨勢，是將L2TP和IPSec結合起來，即用L2TP作為隧道協(xié)議，用IPSec協(xié)議保護數(shù)據(jù)。目前，市場上大部分VPN都采用這類技術。它的優(yōu)點是定義了一套用于保護私有性和完整性的標準協(xié)議，可確保運行在TCP/IP協(xié)議上VPN之間的互操作性；不足之處在于，除了包過濾外，它沒有指定其他訪問控制方法，對于采用NAT(網絡地址翻譯)方式訪問公共網絡的情況難以處理，為此最適合于可信LAN到LAN之間VPN的場合應用。

4、SOCKS v5協(xié)議。SOCKS v5協(xié)議的優(yōu)勢在于訪問控制，因此適用于安全性較高的VPN。SOCKS v5現(xiàn)在被IETF(互聯(lián)網工程任務組)，建議作為建立VPN的標準。它的優(yōu)點是能夠非常詳細地進行訪問控制，即在網絡層只能根據(jù)源目的的IP地址允許或拒絕被通過，在會話層控制手段更多一些；由于工作在會話層，能同低層協(xié)議如IPV4、IPSec、PPTP、L2TP一起使用；用SOCKS v5的代理服務器可隱藏網絡地址結構；能為認證、加密和密鑰管理提供“插件”模塊，讓用戶自由地采用所需要的技術；SOCKS v5可根據(jù)規(guī)則過濾數(shù)據(jù)流，包括Java Applet~Actives控制。

(1)安全技術：VPN常常需要在不安全的Internet中通信，通信的內容可能涉及企業(yè)的機密數(shù)據(jù)，YPN中的安全技術通常由加密、認證和密鑰交換與管理技術組成。

(2)認證技術：認證技術防止數(shù)據(jù)的偽造和被篡改。它采用一種稱為“摘要”的技術。由于HASH函數(shù)的特性，兩個不同的報文具有相同的摘要幾乎不可能。該特性使得摘要技術在VPN中有驗證數(shù)據(jù)的完整性和用戶認證兩種用途。

(3)加密技術：IPSec通過ISAKMP/IKE/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密算法，如DES(Data Encryption Stamdard)、3DES等。DES密鑰長度為56位，容易被破譯，3DES使用三重加密增加了安全性。

(4)密鑰交換與管理：VPN中密鑰的分發(fā)與管理非常重要。密鑰的分發(fā)有兩種方法：一種是通過手工配置；另一種采用密鑰交換協(xié)議動態(tài)分發(fā)。目前主要的密鑰交換與管理標準有IKE(互聯(lián)網密鑰交換)、SKIP(互聯(lián)網簡單密鑰管理)和Oakley。

三、VPN的架設與接入

連接步驟：

1、啟用xp的遠程訪問組件，該組件默認不啟用。打開服務services.msc，找到Routing and Remote Access服務，設置啟動類型為自動，并啟動服務。

2、在“網上鄰居”上點右鍵，點擊“屬性”，會看到“傳入的連接”。

3、雙擊打開屬性，勾選“虛擬專用網”下的復選框。打開“用戶頁”，選擇允許遠程撥入的用戶，或者新建用戶。打開網絡頁，確保計算機上已經安裝了IPX/SPX協(xié)議。服務器上設置完成。

4、打開客戶機，打開網上鄰居，單擊創(chuàng)建一個新的連接。點擊“下一步”，單擊“連接到我的工作場所的網絡”，單擊“虛擬專用網絡連接”，輸入公司名，單擊下一步，輸入VPN服務器的IP地址，單擊完成客戶機創(chuàng)建連接完畢。

5、打開剛剛創(chuàng)建好的連接，輸入允許介入的用戶名和密碼，單擊“連接”，網絡連接后，客戶機成功接入XP VPN服務器。

6、查看客戶機的屬性，連接時間，流量。服務器自動生成一個169.254.0.0/16網段的地址，客戶機被分配了一個給網段的地址，可以進行正常通信。

7、查看服務器的屬性。在服務器上可以看到，現(xiàn)實一個客戶已連接。

8、連接完成。

上面的步驟證明了XP完全可以作為VPN服務器使用，并且在ADSL撥號網絡上實驗成功。從整個過程和實驗結果看，XP系統(tǒng)的“傳入的連接”是Windows2003 RRA服務中VPN功能的精簡版，比如客戶端IP分配無法設置，客戶端不能進行時間等撥入限制，而且同時只能有一個用戶接入，看似用處不大，但是作為個人辦公操作系統(tǒng)來說，加之操作簡單不需要任何第三方軟件和復雜的設置，對于小型辦公環(huán)境或家庭網絡~-VPN功能已經足夠使用了。

四、總結

Windows系統(tǒng)自帶的VPN服務允許用戶或企業(yè)通過公共或專用網絡與遠端服務器，分支機構，或其他公司建立安全和可靠的連接。雖然上述通訊過程發(fā)生公共互聯(lián)網絡上，但是用戶端如同使用專用網絡進行通訊一樣建立起安全的連接。使用Windows系統(tǒng)的VPN技術可以解決在當今遠程通訊量日益增大，企業(yè)全球運作分布廣泛的情況下，員工需要訪問中央資源，企業(yè)相互之間必須能夠進行及時和有效的通訊的問題。