VPN虚拟专用网

VPN基本原理

VPN的组成部分

由客户机、传输介质（采用“隧道”技术）和服务器组成。

企业内部网中必须配置一台VPN服务器，一方连接企业内部专用网络，另一方面连接Internet。

VPN主要采用隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。

实现远程的两个环境之间的安全传输，保证传输过程中的完整性和不可否认性。

点对点隧道协议（PPTP）

PPTP协议

将控制包与数据包分开，控制包采用TCP控制，用于严格的状态查询以及信令信息；数据包部分先封装在PPP协议中，然后封装在GRE协议中，用于在标准IP包中封装任何形式的数据包。

第2层隧道协议（L2TP）

L2TP协议

主要由LAC和LNS构成。LAC支持客户端的L2TP，发起呼叫，接收呼叫和建立隧道；而LNS是所有隧道的终点。

主要服务是“封装”和“加密”。

IP安全协议（IPSec）:数据验证、数据完整和信任

传输模式：不改变原有的IP包头，通常用于主机与主机之间

IP安全协议（IPSec）

隧道模式：增加新的IP头，通常用于私网之间通过公网进行通信。

AH放在IP头和数据前，新加了一个新IP头。既能保护数据又能保护IP头

三种主要VPN隧道协议比较

协议选择

PPTP

L2TP

IPSec

网络模式

C/S

C/S

主机对主机的对等模式

使用方式

通过隧道进行远程操作

通过隧道进行远程操作

Internet、Extranet和通过隧道进行远程操作

OSI层

数据链路层

数据链路层

网络层

上层协议支持

IP、IPX等

IP、IPX等

IP

安全加密

MPPE加密技术

无标准（通常与IPSec一起组建VPN，所采用的加密技术也是由IPSec协议提供的，参考IPSec的加密技术）

DES和3DES

用户认证

采用PPP协议中的CHAP、MS-CHAP、MS-CHAPv2等验证方法

无标准（通常与IPSec一起组建VPN，所采用的加密技术也是由IPSec协议提供的，参考IPSec的加密技术）

AH

包认证

需特殊解决

无标准

ESP

包加密

无标准

无标准

ISAKMP/Oakley，SKIP

密钥管理

无标准

无标准

IKM

隧道服务

单个点对点隧道，不能同时访问公用网

比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。

多点隧道，同时访问VPN和公用网

练习：

以下关于IPSec协议的叙述中，正确的是（）

A. IPSec协议是解决IP协议安全问题的一种方案

B. IPSec协议不能提供完整性

C. IPSec协议不能提供机密性保护

D. IPSec协议不能提供认证功能

答案：A。

以下关天VPN的叙述中，正确的是（）

A. VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路

B. VPN指的是用户通过公用网络建立的临时的、安全的连接

C. VPN不能做到信息验证和身份认证

D. VPN只能提供身份认证，不能提供加密数据的功能

答案：B。

IPSec协议是开放的VPN协议，对它的描述有误的是（）

A. 适应于向IPV6迁移

B. 提供在网络层上的数据加密保护

C. 可以适应设备动太IP地址的情况

D. 支持除TCP/IP外的其它协议

答案：D。

以下关于隧道技术说法不正确的是（）

A. 隧道技术可以用来解决TCP/IP协议的某些安全威胁问题

B. 隧道技术的本质是用一种协议来传输另一种协议

C. IPSec协议中不会使用隧道技术

D. 虚拟专用网中可以采用隧道技术

答案：C。