vpn技术及网盟论坛中实用连接

看到论坛中不断有人问关于VPN教材和学习资料的基本问题，本人在论坛中搜索了下，现整理如下，希望盟友们能够尽早学会VPN的知识，当然也希望能够在本版中继续交流学习共同进步提高！
以下为连接：
I.Microsoft Windows server 2003 vpn原创教程
http://bbs.itkhl.com/95528
II.Microsoft Windows server 2003 vpn配置教程（L2TP IPSEC身份验证）
http://bbs.itkhl.com/95599
III.穿越ISA2004的VPN配置教程
http://bbs.itkhl.com/95822
IV.VPN书籍 http://bbs.itkhl.com/31004,1
V.vpn教程.ppt http://bbs.itkhl.com/93840
VI.SSL VPN与IPSec VPN之区别 http://bbs.itkhl.com/112158
VII.VPN配置详细解析 http://bbs.itkhl.com/85888
8.VPN采购指南 http://bbs.itkhl.com/54107
9.VPN技术白皮书 http://bbs.itkhl.com/70714
10. 公司VPN组网实例 http://bbs.itkhl.com/80874,1
1I. VPN技术应用 http://bbs.itkhl.com/28196
1II. VPN技术专题讲座 http://bbs.itkhl.com/92260,1
1III.D-Link DI-804HV配置VPN Server(PPTP篇) http://bbs.itkhl.com/107264
1IV.VPN（Virtual Private Network）第一篇 http://bbs.itkhl.com/1250
1V. 网管员进阶：VPN基础知识 http://bbs.itkhl.com/64545,1
1VI.Windows 2003单网卡实现VPN http://bbs.itkhl.com/47873
1VII.小企业经济型VPN方案 http://bbs.itkhl.com/53731
18. WINDOWS2003 配置成VPN 服务器(Server) http://bbs.itkhl.com/111736
19.实例讲解VPN网络的搭建和(路由器的缩写)设置 http://bbs.itkhl.com/92907
20.企业完美解决方案VPN专题 http://www.itkhl.com/network/20060608/2742VI.html
2I.VPN迷您手册（不错的基础教程） http://bbs.itkhl.com/31224
2II.在linux下构建l2tp vpn 的方法 http://bbs.itkhl.com/20871

附件摘自VPN-全千交换机提供的附件
VPN技术摘自guqunxian的附件


VPN的实现原理
众所周知，由于公共IP的短缺，我们在组建局域网时，通常使用保留地址作为内部IP，这些保留地址Internet上是根本没有办法被(路由器的缩写)的，所以在正常情况下我们根本没有办法直接或者间接通过Internet访问到在局域网内的主机.为了实现这一目的，我们需要使用VPN隧道技术.

- 通常情况下，VPN网关采用双网卡结构，外网卡使用公共IP接入Internet；

- 如果网络一的终端A需要访问网络二的终端B，其发出的访问数据(Data)包的目标地址为终端B的IP （内部IP）；

- 网络一的VPN网关在接收到终端A发出的访问数据(Data)包时对其目标地址进行认真仔细的检查，如果目标地址属于网络二的地址，则将该数据(Data)包进行封装，封装的方式根据所采用的VPN技术不同而不能是不同，同时VPN网关会构造一个新的数据(Data)包（VPN数据(Data)包），并将封装后的原数据(Data)包作为VPN数据(Data)包的负载，VPN数据(Data)包的目标地址为网络二的VPN网关的外部地址；

- 网络一的VPN网关将VPN数据(Data)包发送到Internet，由于VPN数据(Data)包的目标地址是网络二的VPN网关的外部地址，所以该数据(Data)包将被Internet中的(路由器的缩写)正确地发送到网络二的VPN网关；

- 网络二的VPN网关对接收到的数据(Data)包进行认真仔细的检查，如果发现该数据(Data)包是从网络一的VPN网关发出的，就可以了判定该数据(Data)包为VPN数据(Data)包，并对该数据(Data)包进行解包处理.解包的过程主要是先将VPN数据(Data)包的包头剥离，在将负载通VPN技术反向处理还原成原始的数据(Data)包；

- 网络二的VPN网关将还原后的原始数据(Data)包发送至目标终端，由于原始数据(Data)包的目标地址是终端B的IP，所以该数据(Data)包能够被正确地发送到终端B.在终端B看来，他收到的数据(Data)包就从终端A直接或者间接发过来的一样；

- 从终端B返回终端A的数据(Data)包处理过程与上述过程一样，这样两个网络内的终端就可以相互通讯了.

通过上述说明我们可以发现，在VPN网关对数据(Data)包进行处理时，有两个参数对于VPN隧道通讯十分重要：原始数据(Data)包的目标地址（VPN目标地址）和远程VPN网关地址.根据VPN目标地址，VPN网关能够判断对哪些数据(Data)包需要进行VPN处理，对于不需要处理的数据(Data)包通常情况下可直接或者间接转发到上级(路由器的缩写)；远程VPN网关地址则指定了处理后的VPN数据(Data)包发送的目标地址，即VPN隧道的另一端VPN网关地址.由于网络通讯是双向的，在进行VPN通讯时，隧道两端的VPN网关都必须知道VPN目标地址和与此对应的的远端VPN网关地址.
VPN中的隧道技术详细解析
一 VPN概述

为了使得远程的企业员工可以与总部实时的交换数据(Data)信息.企业得向ISP租用网络提供服务.但公用网容易遭受各种各样安全攻击（譬如拒绝服务攻击来堵塞正常的网络服务，或者是窃取重要的企业内部信息）

VPN这一个概念的引进就是用来解决这一个问题.他是利用公用网络来连接到企业私有网络.但在VPN中，用安全机制来保障保密型，真实可靠行，完整性严格的访问控制.这样就建立了一个逻辑上虚拟的私有网络.虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息.

二 VPN特性

一般VPN所具备的优点有以下几点：

a) 最小成本：无须购买网络设备和专用线路覆盖所有远程用户

b) 责任共享(Sharing)：通过购买公用网的资源，部分维护责任迁移至provider（更专业，有经验，是操作，维护成本降低）.

c) 系统的安全性：

d) 保障Qos

e) 可靠性：如果一个VPN节点坏了，可以一个替换VPN建立起来绕过他，这种恢复工作(Work)是得VPN操作可以尽可能的延续

f) 可扩展性：可以通过从公用网申请更多得资源达到非常容易的扩展VPN,或者是协商重构VPN

当中系统的安全性是vpn最重要的一个特性,也是各类vpn产品所必须具备和支持的要素.

三 VPN的安全技术

目前VPN主要采用四项技术来保证安全，这四项技术分别是隧道技术（Tunneling）,加解密技术（Encryption & Decryption）,密钥管理技术（Key Management）,使用者与设备身份认证技术（Authentication）.

加解密技术是数据(Data)通信中一项较成熟的技术，VPN可直接或者间接利用现有技术.

密钥管理技术的主要任务是如何在公用数据(Data)网上安全地传递密钥而不能是不被窃取.现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种.SKIP主要是利用Diffie-Hellman的演算法则，在网络上传输密钥；在ISAKMP中，双方都有两把密钥，分别用于公用,私用.

身份认证技术最常用的是使用者名称与密码或者是卡片式认证等方式.

隧道指的是利用一种网络协议来传输另一种网络协议，他主要利用网络隧道协议来实现这种功能.网络隧道技术涉及了三种网络协议，即网络隧道协议,隧道协议下面的承载协议和隧道协议所承载的被承载协议.网络隧道技术是个关键技术,这项vpn的基本技术也是本文要详细和阐述的.

四 网络隧道协议

网络隧道是指在公用网建立一条数据(Data)通道（隧道），让数据(Data)包通过这条隧道传输.现有两种类型的网络隧道协议，一种是二层隧道协议，用于传输二层网络协议，他主要应用于构建远程访问虚拟专网（AccessVPN）；另一种是三层隧道协议，用于传输三层网络协议，他主要应用于构建企业内部虚拟专网（IntranetVPN）和扩展的企业内部虚拟专网（Extranet VPN）.

二层隧道协议

第二层隧道协议是先把各种各样网络协议封装到PPP中，再把整个数据(Data)包装入隧道协议中.这种双层封装方法形成的数据(Data)包靠第二层协议进行传输.第二层隧道协议主要有以下三种：第一种是由微软,Ascend,3COM 等公司支持的 PPTP（Point to Point Tunneling Protocol，点对点隧道协议），在WindowsNTIV.0以上版本中即有支持.

第二种是Cisco,北方电信等公司支持的L2F（Layer2Forwarding，二层转发协议），在 Cisco (路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)中有支持.

第三种由 IETF 起草，微软 Ascend ,Cisco, 3COM 等公司参与的 L2TP（Layer 2TunnelingProtocol，二层隧道协议）结合了上述两个协议的优点，L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而不能是形成.这里就主要介绍一下 L2TP 网络协议.

当中，LAC 表示 L2TP 访问集中器（L2TPAccessConcentrator），是附属在交换网络上的具有 PPP 端操作操作系统和 L2TP 协议处理能力的设备，LAC 一般就是一个网络接入服务器(Server) NAS（Network Access Server）他用于为用户通过 PSTN/ISDN 提供网络接入服务；LNS 表示 L2TP 网络服务器(Server)（L2TP Network Server），是 PPP 端操作操作系统上用于处理 L2TP 协议服务器(Server)端部分的软件(soft).

在一个LNS和LAC对之间存在着两种类型的连接，一种是隧道（tunnel）连接，他定义了一个LNS和LAC对；另一种是会话（session）连接，他复用在隧道连接之上，用于表示承载在隧道连接中的每个 PPP 会话过程.

L2TP连接的维护以及PPP数据(Data)的传送绝大部分的都是通过L2TP消息的交换来完成的，这些消息再通过 UDP的1701端口(Port)承载于TCP/IP之上.L2TP消息可以分为两种类型，一种是控制消息，另一种是数据(Data)消息.控制消息用于隧道连接和会话连接的建立与维护.数据(Data)消息用于承载用户的 PPP 会话数据(Data)包. L2TP 连接的维护以及 PPP 数据(Data)的传送绝大部分的都是通过 L2TP 消息的交换来完成的，这些消息再通过UDP的1701端口(Port)承载于 TCP/IP 之上.

控制消息中的参数用AVP值对（AttributeValuePair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程当中还应用了消息丢失重传和定时检测通道连通性等机制来保证了 L2TP 层传输的可靠性.数据(Data)消息用于承载用户的 PPP 会话数据(Data)包.L2TP 数据(Data)消息的传输不采用重传机制，所以他根本没有办法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证；数据(Data)消息的传输可以根据应用的需要灵活地采用流控或者是不流控机制，还超级有可能可以在传输过程当中动态地使用消息序列号从而不能是动态地激活消息顺序检测和流量控制功能；在采用流量控制的过程当中，对于失序消息的处理采用了缓存重排序的方法来提高数据(Data)传输的有效性.

L2TP 还具有适用于VPN 服务的以下几个特性：

· 灵活的身份验证机制以及高度的系统的安全性

L2TP 可以选择(Choose)很多种的身份验证机制（CHAP,PAP等），继承了PPP的所有安全特性，L2TP 还可以对隧道端点进行验证，这使得通过L2TP所传输的数据(Data)更加难以被攻击.而不能是且根据特定的网络安全要求还可以方便地在L2TP之上采用隧道加密,端对端数据(Data)加密或者是应用层数据(Data)加密等方案来提高数据(Data)的系统的安全性.

· 内部地址分配支持

LNS可以放置于企业网的防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)之后，他可以对于远端用户的地址进行动态的分配和管理，可以支持DHCP和私有地址应用（RFC1918）等方案.远端用户所分配的地址不是Internet地址而不能是是企业内部的私有地址，这样方便了地址的管理并可以增加系统的安全性.

· 网络计费的灵活性

可以在LAC和LNS两处同时计费，即ISP处（用于产生帐单）及企业处（用于付费及审记）.L2TP能够提供数据(Data)传输的出入包数，字节数及连接的起始,结束时间等计费数据(Data)，可以根据这些数据(Data)方便地进行网络计费.

· 可靠性

L2TP 协议可以支持备份 LNS，当一个主 LNS 不可达之后，LAC（接入服务器(Server)）可以重新与备份 LNS 建立连接，这样增加了 VPN 服务的可靠性和容错性.

· 统一的网络管理

L2TP协议将很快地成为标准的RFC协议，有关L2TP的标准MIB也将很快地得到制定，这样可以统一地采用 SNMP 网络管理方案进行方便的网络维护与管理.

三层隧道协议

第三层隧道协议是把各种各样网络协议直接或者间接装入隧道协议中，形成的数据(Data)包依靠第三层协议进行传输.三层隧道协议并非是一种很新的技术，早已出现的 RFC 1701 Generic Routing Encapsulation（GRE）协议就是个三层隧道协议.新出来的 IETF 的 IP 层加密标准协议 IPSec 协议也是个三层隧道协议.

IPSec（IPSecurity）是由一组RFC文档组成，定义了一个操作操作系统来提供安全协议选择(Choose),安全算法，确定服务所使用密钥等服务，从而不能是在IP层提供安全保障. 他不是一个单独的协议，他给出了应用于IP层上网络数据(Data)安全的一整套体系结构，他包括网络安全协议 Authentication Header（AH）协议和 Encapsulating Security Payload（ESP）协议,密钥管理协议Internet Key Exchange （IKE）协议和用于网络验证及加密的一些算法等.下面就IPSec的认证与加密机制和协议分别做一些详细说明.

1． IPSec认证包头（AH）：

他是一个用于提供IP数据(Data)报完整性和认证的机制.其完整性是保证数据(Data)报不被无意的或者是恶意的方式改变，而不能是认证则验证数据(Data)的来源（识别主机,用户,网络等）.AH本身当然并不支持任何形式的加密，他不能保证通过Internet发送的数据(Data)的可信程度.AH只是在加密的出口,进口或者是使用受到当地政府限制的情况下可以提高全球Intenret的系统的安全性.当全部功能实现后，他将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务.AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧（如TCP,UDP,ICMP等）之间.

AH协议通过在整个IP数据(Data)报中实施一个消息文摘计算来提供完整性和认证服务.一个消息文摘就是一个特定的单向数据(Data)函数，他能够创建数据(Data)报的唯一的数字指纹.消息文摘算法的输出结果放到AH包头的认证数据(Data)（Authentication_Data）区.消息文摘5算法（MD5）是一个单向数学函数.当应用到分组数据(Data)中时，他将整个数据(Data)分割成若干个128比特的信息分组.每个128比特为一组的信息是大分组数据(Data)的压缩或者是摘要的表示.当以这种方式使用的时候，MD5只提供数字的完整性服务.一个消息文摘在被发送之前和数据(Data)被接收到以后都可以根据一组数据(Data)计算出来.如果两次计算出来的文摘值是一样的，那么分组数据(Data)在传输过程当中就没有被改变.这样就防止了无意或者是恶意的窜改.在使用HMAC－MD5认证过的数据(Data)交换中，发送者使用以前交换过的密钥来首次计算数据(Data)报的64比特分组的MD5文摘.从一系列的16比特中计算出来的文摘值被累加成一个值，然后放到AH包头的认证数据(Data)区，随后数据(Data)报被发送给接收者.接收者也必须知道密钥值，以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配.如果计算出的和接收到的文摘值相等，那么数据(Data)报在发送过程当中就没有被改变，而不能是且可以相信是由只知道秘密密钥的另一方发送的.

2． 封包安全协议（ESP）包头：

他提供IP数据(Data)报的完整性和可信性服务ESP协议是设计以两种模式工作(Work)的：隧道（Tunneling）模式和传输（Transport）模式.两者的区别在于IP数据(Data)报的ESP负载部分的内容不同.在隧道模式中，整个IP数据(Data)报都在ESP负载中进行封装和加密.当这完成以后，真正的IP源地址和目的地址都可以被隐藏(Hide)为Internet发送的普通数据(Data).这种模式的一种典型用法就是在防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)－防火墙(本站在极力推荐使用瑞星防火墙,如何使用在本站的反毒杀毒里有详细的介绍)之间通过虚拟专用网的连接时进行的主机或者是拓扑隐藏(Hide).在传输模式中，只有更高层协议帧（TCP,UDP,ICMP等）被放到加密后的IP数据(Data)报的ESP负载部分.在这种模式中，源和目的IP地址以及所有的IP包头域绝大部分的都是不加密发送的.

IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES－CBC算法.美国数据(Data)加密标准（DES）是一个现在使用得非常普遍的加密算法.他最早是在由美国政府公布的，最初是用于商业应用.到现在所有DES专利的保护期都已经到期了，所以我们可以得出结论全球都有他的免费实现.IPSecESP标准要求所有的ESP实现支持密码分组链方式（CBC）的DES作为缺省的算法.DES－CBC通过对组成一个完整的IP数据(Data)包（隧道模式）或者是下一个更高的层协议帧（传输模式）的8比特数据(Data)分组中加入一个数据(Data)函数来工作(Work).DES－CBC用8比特一组的加密数据(Data)（密文）来代替8比特一组的未加密数据(Data)（明文）.一个随机的,8比特的初始化向量（IV）被用来加密第一个明文分组，以保证即使在明文信息开头相同时也能保证加密信息的随机性.DES－CBC主要是使用一个由通信各方共享(Sharing)的相同的密钥.正因为如此，他被认为是一个对称的密码算法.接收方只有使用由发送者用来加密数据(Data)的密钥才能对加密数据(Data)进行解密.所以我们可以得出结论，DES－CBC算法的有效性依赖于秘密密钥的安全，ESP使用的DES－CBC的密钥长度是56比特.

3． Internet 密钥交换协议（IKE）：

用于在两个通信实体协商和建立安全相关，交换密钥.安全相关（SecurityAssociation）是IPSec中的一个重要概念.一个安全相关表示两个或者是多个通信实体之间经过了身份认证，且这些通信实体都能支持相同的加密算法，成功地交换了会话密钥，可以开始利用 IPSec 进行安全通信.IPSec协议本身没有提供在通信实体间建立安全相关的方法，利用 IKE建立安全相关.IKE定义了通信实体间进行身份认证,协商加密算法以及生成共享(Sharing)的会话密钥的方法.IKE中身份认证采用共享(Sharing)密钥和数字签名两种方式，密钥交换采用 Diffie Hellman 协议.安全相关也可以通过手工方式建立，但是当 VPN 中结点增多时，手工配置将非常困难.

由此，IPSec 提供了以下几种网络安全服务：

· 私有性 － IPsec 在传输数据(Data)包之前将其加密，以保证数据(Data)的私有性

· 完整性 － IPsec在目的地要验证数据(Data)包，以保证该数据(Data)包在传输过程当中没有被替换

· 真实性 － IPsec 端要验证所有受 IPsec 保护的数据(Data)包

· 反重复 －IPsec防止了数据(Data)包被扑捉并重新投放到网上，即目的地会拒绝老的或者是重复的数据(Data)包；他通过与 AH 或者是 ESP 一起工作(Work)的序列号实现

五 小结

VPN综合了专用和公用网络的优点，允许有多个站点的公司拥有一个假想的完全专有的网络，而不能是使用公用网络作为其站点之间交流的线路,他通过可靠的加密技术方法保证其系统的安全性.I P s e c是VPN隧道协议中一个相当新的标准，是实现I n t e r n e t的I P协议级安全可靠的一种方法，必将成为各个VPN产品所支持的业界标准.

附件:本帖最近评分记录电脑显卡驱动出问题了，前几次绝大部分的都是发表没有完成蓝屏了，提示NV4-DISP错误，这次终于完成了，能学好VPN知识是我们共同的心愿先致谢，再下载
谢了
thanks

谢您
gajh
var tagarray =['软件(soft)','网络','工具','操作操作系统','网吧','电脑','破解','服务器(Server)','VPN','(路由器的缩写)器(局域网中常用的一种设备,可以很好的防止Arp病毒)'];var tagencarray =['%C8%ED%BC%FE','%CD%F8%C2%E7','%B9%A4%BE%DF','%CF%B5%CD%B3','%CD%F8%B0%C9','%B5%E7%C4%D4','%C6%C6%BD%E2','%B7%FE%CE%F1%C6%F7','VPN','%C2%B7%D3%C9%C6%F7'];parsetag(852485);