一、 VPN 简介
一、VPN 概念
虚拟专用网(VPN)可以让企业利用现存的 Internet 来建立自己的内部网,适用
于大型的,在各个分散的地方有分公司的,而且需要将各地的网
络连起来的企业。VPN 为这种连接提供了一种安全廉价的的高性能解决方案,将企
业分散在各地的网络通过现有的公共网络连接起来。VPN 的具体实现是采用所谓隧道
技术(数据包封装、发送和拆封过程称为隧道。隧道将原始数据包隐藏(或称封装)
在新的数据包内部。新的数据包可能包含新的寻址和路由信息,这使新的数据包得以
在网络上传输。当隧道与保密性结合时,在网络上窃听通讯的人将无法获取原始数据
包数据(以及原始的源和目的)。适用于任何类型的网络:专用 Intranet 或 Internet。
封装的数据包到达目的地后,封装报头被删除,原始数据包报头被用来将数据包路由
到最终目的地。),将企业网的数据依靠隧道协议封装在隧道中进行传输,保证数据
在公共网络上流动的安全。隧道协议分为第二层隧道协议 PPTP、L2F、L2TP 和第三层
隧道协议 GRE、IPSEC。它们的区别就是
用户的数据包是被封装在哪种数据包中在隧道中传输的。隧道协议有许多优点,比如
用户通过拨号网络连入 Internet,接受 ISP 分配的动态 IP 地址,接着访问企业内部
网,而企业网一般均采用防火墙等安全措施来保护自己的网络,那么我们通过 ISP 拨
号上网时就不能穿过防火墙访问企业内部网,只能访问企业的 WEB 服务器。而采用隧
道协议后,拨号用户不仅可以得到 ISP 的动态 IP 地址,还可以得到企业内部网的 IP
地址,通过对 PPP 帧进行封装,用户数据包可以穿过防火墙到达企业内部网。用户付
出的仅仅是拨如 ISP 的市话费用,不必直接拨号到企业内部。传统上,如果远程用户
需要访问企业内部网,一般是直接拨号到企业内部的远程访问服务器,建立是费用是
很低廉,但使用时拨号是拨的长途电话,所以费用就很高了。如果用专线,则就更加
昂贵了。如图一。
二、Windows 2000 支持的隧道协议
在 Windows 2000 中,提供了两种隧道协议,可以让我们方便的创建虚拟专用网:
PPTP(点对点隧道协议)和附带 IPSec(网际协议安全)的 L2TP(第二层隧道协
议)。
1、 PPTP:PPTP 是在 NT 4.0 中就有的 VPN 协议,是建立在 PPP(点对点协议)的
基础上的,它提高了 PPP 的安全级别,让 PPP 可以对 PPTP 服务器与 PPTP 客户机之间
的数据进行加密传输(使用 Microsoft 点对点加密 (MPPE)来加密 PPP 帧),并使 PPTP
服务器可以对远程用户的身份进行验证(使用可扩展身份验证协议(EAP))。
Internet 本身只允许使用 TCP/IP 通信,PPTP 解决了在 Internet 上用多种协议进行
通信的问题,PPTP 通过将 IP、IPX 或 NetBEUI 封装在 PPP 数据包里来支持使用这些