×××(虚拟专用网,Virtual Private Network)是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商),在公用网络中建立专用的数据通信网络技术。使用IP机制仿真出一个私有的广域网通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。具有高安全保障、高服务质量保证、可扩充性和灵活性及可管理性。
目前×××主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
Windows2008中包含的××× 隧道协议有哪些呢?它主要有点对点隧道协议 (PPTP)、第二层隧道协议 (L2TP) 或安全套接字隧道协议 (SSTP)三种,我们来具体看一下这三种协议的功能。
 
一、PPTP
原理:PPTP 允许对多协议通信进行加密,然后封装在 IP 标头中,以通过 IP 网络或公用 IP 网络(例如 Internet)发送。PPTP 可以用于远程访问连接和站点到站点的 ××× 连接。使用 Internet 作为 ××× 的公用网络时,PPTP 服务器是启用 PPTP 的 ××× 服务器,一个接口在 Internet 上,另一个接口在 Intranet 上。
封装方式:PPTP 将 PPP 帧封装在 IP 数据报中,以便通过网络传输。PPTP 使用 TCP 连接进行隧道管理,使用通用路由封装 (GRE) 封装隧道数据的 PPP 帧。封装的 PPP 帧的有效负载可以加密、压缩或加密并压缩。下图显示包含 IP 数据报的 PPTP 数据包的结构。
Windows2008之×××知多少_PPTP
 加密方式:可使用 MS-CHAP v2 或 EAP-TLS 身份验证进程生成的加密密钥,通过 Microsoft 点对点加密 (MPPE) 对 PPP 帧进行加密。虚拟专用网络客户端只有使用 MS-CHAP v2 或 EAP-TLS 身份验证协议才能对 PPP 帧的有效负载进行加密。PPTP 利用基础 PPP 加密并封装以前加密的 PPP 帧。
 具体应用:PPTP 可以用于各种 Microsoft 客户端。基于 PPTP 的 ××× 连接使用加密来提供数据保密性,不提供数据完整性或数据源身份验证。
 
二、L2TP

原理:L2TP 允许对多协议通信进行加密,然后通过任何支持点对点数据报传输的媒体发送。L2TP 是 PPTP 和第 2 层转发 (L2F) 的组合,是 Cisco 公司开发的一项技术。L2TP 代表了 PPTP 和 L2F 的最佳功能。与 PPTP 不同,Microsoft 实现的 L2TP 不使用 MPPE 对 PPP 数据报进行加密。L2TP 依靠 Internet 协议安全 (IPsec) 传输模式来提供加密服务。L2TP 和 IPsec 的组合称为 L2TP/IPsec。
××× 客户端和 ××× 服务器必须均支持 L2TP 和 IPsec。L2TP 的客户端支持内置在Windows XP或更高版本远程访问客户端中,L2TP 的 ××× 服务器支持内置在Windows Server 2003及以上系列的服务器中。L2TP 随 TCP/IP 协议一起安装。
封装方式:L2TP/IPsec 数据包的封装分为L2TP 封装和IPsec 封装两层。
第一层:L2TP 封装,PPP 帧(IP 数据报)使用 L2TP 标头和 UDP 标头封装。
Windows2008之×××知多少_VPN_02
第二层:IPsec 封装,使用 IPsec 封装安全有效负载 (ESP) 标头和尾端、提供消息完整性和身份验证的 IPsec 身份验证尾部以及最终的 IP 标头来封装生成的 L2TP 消息。IP 标头中是与 ××× 客户端和 ××× 服务器对应的源 IP 地址和目标 IP 地址。
Windows2008之×××知多少_PPTP_03
加密方式:使用 Internet 密钥交换 (IKE) 协商进程生成的加密密钥,通过数据加密标准 (DES) 或三重 DES (3DES) 对 L2TP 消息进行加密。
具体应用:L2TP 只能用于运行 Windows 2000、Windows XP 及以上的客户端计算机。L2TP 支持将计算机证书或预共享密钥作为 IPsec 的身份验证方法。L2TP/IPsec ××× 连接使用 IPsec 来提供数据保密性、数据完整性和数据身份验证。
三、SSTP

原理:安全套接字隧道协议 (SSTP) 是一种新的隧道协议,在 TCP 端口 443 上使用 HTTPS 协议,使通信可以通过可能阻止 PPTP 通信和 L2TP/IPsec 通信的防火墙和 Web 代理。SSTP 提供了一种机制,用于封装通过 HTTPS 协议的安全套接字层 (SSL) 通道传输的 PPP 通信。使用 PPP 可以支持强大的身份验证方法(例如 EAP-TLS)。SSL 提供了增强的密钥协商、加密和完整性检查,从而确保了传输级的安全性。
客户端尝试建立基于 SSTP 的 ××× 连接时,SSTP 首先与 SSTP 服务器建立双向 HTTPS 层。通过此 HTTPS 层,协议数据包作为数据有效负载传输。
封装方式:SSTP 将 PPP 帧封装在 IP 数据报中,以便通过网络传输。SSTP 使用 TCP 连接(在端口 443 上)进行隧道管理,并使用 PPP 数据帧。
 加密方式:SSTP 消息使用 HTTPS 协议的 SSL 通道进行加密。
具体应用:SSTP 只能用于运行 Windows Vista SP1 、Windows7或 Windows Server 2008 的客户端计算机。SSTP ××× 连接使用 SSL 来提供数据保密性、数据完整性和数据身份验证。
 
此文参考于Windwos2008帮助文档及网上搜集的部分资料。
 
Alan Luo 标签: