基于Windows的VPN方案.doc

基于Windows的VPN方案 　　在今天，Microsoft的Windows操作系统的霸主地位是事实，而Windows应用的普遍性和Windows产品在技术所覆盖的广泛性是前所未有的，这样的产品，自然不会漏掉重要的网络技术―――VPN。 一.历史　　远程访问支持是Windows网络功能的重要部分, Windows 3.1就已加入了PPP （Point to Point Protocol，点对点协议）支持，主要用来用来通过远程拨号来建立PC间的数据交换。PPTP是在NT 4.0中开始支持的VPN协议，是建立在PPP的基础上，它提高了PPP的安全级别，让PPP可以对PPTP服务器与PPTP客户机之间的数据进行加密传输。PPTP需要使用Microsoft点对点加密 (MPPE)来加密 PPP帧，并使用MS－CHAP或EAP－TLS进行认证。　　从发布Windows 2000开始，VPN作为标准和重要的网络和安全工具在Windows家族内配备，前期版本（98，ME）也得到相应的补充，Windows 2003内得到进一步加强和整合， 可以预计未来Windows将进一步突出VPN作为安全连接工作模式的网络实施基础，完善Windows VPN与应用层的衔接。 二.Windows VPN协议Windows VPN协议包括一系列协议。　1.PPTP和L2TP　　■ PPTP是Point-to-Point Tunneling Protocol，点对点隧道协议，L2TP是第2层隧道协议，Layer 2 Tunneling Protocol。均用来建立隧道。　　■ 1996年，Microsoft和Ascend等在PPP协议的基础上开发了PPTP，它集成于Windows NT Server4.0中，后期的Windows均支持PPTP。1996年，Cisco提出L2F（Layer 2 Forwarding）隧道协议，它也支持多协议，但其主要用于Cisco的路由器和拨号访问服务器。1997年底，Micorosoft和Cisco公司把PPTP协议和L2F协议的优点结合在一起，形成了L2TP协议。　　■ PPTP和L2TP均工作在OSI模式的第2层（传输层），可为多种网络层协议提供连接。它们均建立在PPP的基础上，依靠PPP协议建立网络连接。它们扩展了PPP协议，定义如何控制连接来创建、维护、终止一条隧道，并对PPP帧进行封装。封装前，PPP帧的有效载荷即有效传输数据首先必须经过加密、压缩或是两者的混合处理。它们都依赖于 PPP 连接过程来执行用户身份验证，通常使用用户名、密码以及协议配置来进行验证。 　2.认证协议　　■ 多数情况下一个VPN内有一个服务器，这时的默认认证方法是使用 Windows 身份验证，可用的协议有与PPP对应的扩展身份认证协议EAP（Extensible Authentication Protocol），可以用来对智能卡进行支持；微软询问握手认证协议MS-CHAP v2／MS-CHAP（Microsoft Challenge-Handshake Authentication Protocol）、CHAP ；口令字认证协议PAP（Password Authentication Protocol）。　　■ 当存在多个VPN服务器或VPN与其他接入方式使用同一认证机制时，可使用IAS／RADIUS服务器集中认证，利用 IAS 服务器，可以将多个 Windows 2000 VPN 和拨入远程访问服务器以及第三方网络访问服务器的身份验证、计帐和远程访问策略的管理集中起来。　　■ IPSec可以使用预置共享密钥进行认证。预共享要求通信双方必须在IPSec策略设置中就共享的密钥达成一致，这个密钥不经过网络传播。信息在传输前使用共享密钥加密，接收端使用同样的密钥解密，如果接收方能够解密，即被认为可以通过认证。预共享密钥对于节点数量较多的VPN安全风险高。IPSec同时还支持公钥体系（PKI）数字证书认证，和Kerberos v5认证，这是一般还要求有Windows AD支持。 　3.数据加密协议　　■ PPTP继承PPP有效载荷的加密和压缩。在Windows 2000中，由于PPP帧使用微软点对点加密技术MPPE（Microsoft Point-to-Point Encryption）进行加密，因此认证机制必须采用EAP或MS-CHAP。　　■ 对于L2TP 在Windows VPN内使用传输模式的IPSec提供L2TP隧道数据包的安全加密。 　4.IPSEC　　参见Ipsec方案 　三.Windows 内可以建立三种VPN　　1.PPTP的VPN　　基于PPTP协议，利用点对点协议 (PPP) 用户身份验证和 M