基于PPTP的VPN技术研究.doc

1、*收 稿 日 期 :2010-11 -25 作者简介:谢 大 吉 （ 1967） ， 男 ， 四 川 巴 中 人 .工 程 师 ， 硕 士 ， 主 要 从 事 计 算 机 网 络 管 理 及 安 全 研 究 . 第 2】卷 2 期 四川文理学院学报 2011 年 03 月 Vol. 21 No. 2 Sichuan University of Arts and Science Journal Mar. 2011 基 于 PPTP 的 VPN 技 术 研 究 谢 大 吉 (四 川 文 理 学 院 网 络 中 心 ， 四 川 达 州 635000) 摘要： 阐 述 了 基 于 PPTP 的 VPN

2、 (Virtual Private Network)的 相 关 概 念 、 工 作 原 理 以 及 在 阿 姆 瑞 特 防 火 墙 上 的 具 体 实 现 . 关键词 :PPTP; VPN 技 术 ； 隧 道 技 术 中图分类号:TP393 文献标志码: A o 引言 在高校，很多工作依托网络进行，出于保密和许可需 要, 很多信息资源外部是无法访问的，如科研信息、图书馆 藏资 源等，而越来越多的员工由于居住在外，或出差在外 需要远 程访问校内资源.如果采用专线接人，则要花费相 对高额的费 用，而且利用率也不高;如果采用公网传输，则 网络的安全 性得不到很好的保证. 具有安全、可用性及 多协议支

3、持的虚 拟专用网 VPN ( Virtual Private Network) 于是应运而生 PPTP (Point to Point Tunneling Protocol)协 议是在 Internet 上通用的安全协议，在各种网络安全的解 决方案中， 它以一定的安全性、极广的包容性、简单易用 成为现今 VPN 中使用广泛的一种协议. 1 VPN 简介及 PPTP 协议内容 VPN 虚拟专用网是通过公用网络建立的一个临时的、 安全的连接，是一条穿越公用网络的安全、稳定的隧道. 是 企业网在 Internet 等公共网络上的延伸，即利用隧道技 术在 公网中建立一个私有的通道，将用户的数据封装在隧

4、 道中进 行传输，使得企业以较低的成本在公用网络上建立 属于自己 的私有数据网络. 3因而，VPN 从本质上来说是 一个逻辑上 的网络,是利用封装、加密、认证等技术在公用 网络上建立二 条安全、稳定的通道,用户像使用专用网络 一样使用公用网 络. 常用的 VPN 协议有：1 ) IPSec(IP Security)：是保护 IP 协议安全通信的标准,它主要对 IP 协议分组进行加密和 认 证;2)PPTP(Point to Point Tunneling Protocol ):点到点險 道协议,通过该协议，在绝大多数操作系统或移动设备下 文章编号= 1674 -5248 (2011)02-00

5、58 -03 无需另外安装客户端即可安全访问总部网络，它是 VPN 的 一种,也是最方便的 VPN 方式.3) L2TP(Layer 2 Tunne- ling Protocol):第二层隧道协议. 4)GRE: VPN 的第三层隧 道协议.5) OpenVPN:使用 OpenSSL 库加密数据与控制信 息:它使用了 OpenSSL 的加密以及验证功能,能够使用任 何 OpenSSL 支持的算法. 按照用户需求的不同，VPN 分为三类 :远程访问虚拟 网（Access VPN)、内部虚拟网（Intranet VPN)和扩展虚 拟 网（Extamet VPN). Access VPN 又称拨号方

6、式的 VPN，即 通过 PSTN 或 ISDN 线路远程拨号接人单位内网； Intranet VPN 是单位总部与分部之间通过公网构筑的虚拟 网；Ex- trane t VPN 是不同单位间通过公网来构筑的虚拟 网. PPTP 是将 PPP 协议帧封装入 IP 数据包中 ,并通过互 联网或企业专用 Intranet 等发送.封装前， PPP 侦的传输数 据必须经过加密、压缩或按两者的混合进行处理. PPTP 协议应用的前提是使用 PPTP 协议的 VPN 客户 端必须与使用 PPTP 协议的 VPN 服务端已连通且为可用 的 IP 网络. 因此如果 VPN 客户端还未连入网络，譬如在需 要 A

7、DSL 拨号的用户必须首先建立宽带连接，连接后 PPTP 客户端成为 IP 网络的一部分后, 方可通过该 IP 网络 与 PPTP VPN 服务器建立连接. 基于 PPTP 的 VPN 建立过程中使用的认证机制主要 包括. 微软询问握手认证协议 MS - CHAP、扩展身份认证 协议 EAP、CHAP、ShWa 口令宇认证协议 SPAP 及口令 字 认证协议 PAP. PPTP VPN 的控制连接建立在客户机和服务器的 IP 地 址之间，包括 PPTP 呼叫控制和管理信息，维护 PPTP 隧 道正常进行，如周期性地发送回送请求和回送应答消息， 检测客户端与服务器之间可能出现的任何连接终止.服务

8、 器使 用默认的 TCP 端口号 1 723,客户机 TCP 端口号动态 分配. PFJP 控制连接数据包含一个 IP 报头，一个 TCP 报 头及 PPTP 控制信息 . PPTP 数据采用了多层封装的方法，1) PPP 帧的封装， 初始 PPP 传输数据经过加密后，通过添加 PPP 报头，封装 形 成 PPP 帧 ,再进一步添加 GRE 报头，形成第二层封装后 的 GRE 报文.2)GRE 报文的封装是在 GRE 报文外通过添 加含源 及目的地址的 IP 报头形成第三层封装.3)数据链 路层封装,按 照不同的物理网络添加相应的数据链路层上 的报头和报尾，如 以太网上，系统对 IP 数据报就

9、采用以太 网报头和报尾进行封 装处理. PPTP VPN 客户端和服务端在收到 PPTP 数据包后， 第 一步，去掉被据链路层报头和报尾，其次去除 1P 报头， 然后 去除 GRE 和 PPP 报头（如果必要，应对 PPP 传输数据 进行 解密或解压缩），最后，接受或转发数据. 2 PPTP VPN 在防火墙上设计实现 我院校园网建立于 2001 年，校园网为星型拓扑结构， 有三个出口，通过一条 2 兆 DDN 专线连接中国教育与科 研计 算机网西南节点，是 CERNET 接人单位,另一条 200M 光纤线 路接人 CH1NANET，还有一条 100M 光纤线路接入 中国联 通.为解决居住校外

10、的老师或出差在外的老师访问 学院馆藏资 源的需要，在防火墙上设计了基于 PPTP 的 VPN.我院防火墙 采用阿姆瑞特 F600 +，支持 PPTP 客户 端和服务器，并且 可以结合本地用户数据库认证或 radius 认证 ，对 VPN 用户 的身份进行合法性核实.因此用户 可以使用 Microsoft 自带的 VPN 客户端与防火墙之间建立 VPN 隧道,使用户网络更加安 全. 图 1 VPN 拓 扑 结 构 图 2. 1 防火墙 VPN 服务器配置 运行防火墙管理器，在“安全编辑器”中选择需要控 制的 防火墙，确保与防火墙连接正常. 3.2.1 建立网络对象，配置置接口地址和所连接网络的

11、广播地 址、速度和双工模式在“局部对象 主机和网络” 中,定义学院 网络拓扑中出现的所有对象，在“网络接口 以太网”里确定 IP 地址和广播地址的绑定，确保内部用户 能够正常访问网络. 3.2.2 建立用户认证数据库每个 PPTP 客户端用户，在 远 程接入都需要输入自己的用户名和口令，以确认自己身 份的合 法性，同时可把不同的用户加人到不同的组中. 3. 2. 3 指定 PPTP 服务器自身在内部和外部 IP 地址，使 用的 通道协议及外部接口过滤器 3.2.4 设置相应 PPP 参数每一个客户端接入后，服务端 应分 配一个合法的 IP 地址，因而应指定 IP 起始地址和终 止地址， 确定

12、PPTP 用户的地址范围、选择点到点加密方 式 ， 主 从 DNS 地址，同时选定使用用户认证规则. 3.2.5 添加用户认证规则，并设置规则属性，见图 2 图 2 VPN 设 置 选 项 图 3.2.6 指定相应的路由及过滤规则在 “路由设置 主路 规则，规则的设计是根据客户的需求来定义的，并限制远 由表” 里添 加和设置路由，在“ 过滤规则“里设置访问控制 程用户可以使用的服务类型. 通过以上步骤，在防火墙上就建立起了基于 PPr 丨彡 协 议的 VPN 服务器，远端用户设置好自身的 PFrp 客户端 后，即可与防火墙之间建立 VPN 通道 ,进而访问校园内资 源. 2.2 VPN 客户端

13、建立及使用 具体拓扑结构如图 1 所示: VPN 客户端软件有操作系统自带的，也有个别公司如 Cisco 独立开发的，使用上大同小异.值得注意的是在 win- dows98 平台上，必须安装“microsoft 虚拟专用网络适配器” 或其他 VPN 客户端软件，在 WinXP, Win2003 系统可以直 接配置，这里以 WinXP 为例介绍 PPTP 客 户 端 的 配 置 过 程. 首先单击“开始”按钮，然后单击“控制面板”，找到 “网络连接”并 双 击 ， 选 择 “创建一个新的连接”或 “新 建 连 按”， 在 “新建连接向导”窗口中，单击下一步，选择“连接 到我的 工作场所的网络”，

14、单击下一步，再单击“虚拟专用 网络连 接”，进人下一步，键人 VPN 连接名称，如 “学院 VPN 连 接”，输人后单击下一步，如果计算机已经连接到 网络,则选 择“不拨初始连接”，否则选择“自动拨此初始 连接”，并在 列表中选择相应的连接，如 AUSL 用户.最后 键人 VPN 服 务器地址（我院 220. 166. 172. 5),单击下一 步，如果任 何人都可以使用此连接，则单击“任何人使 用”，否则选择 “只是我使用”，单击下一步,并在“在桌面 上添加一快捷方 式”前打勾，这样客户端就设置完成了. 使用时,双击桌面上“学院 VPN 连接”，在登录窗口中 输人用户名和密码，点击连接按钮.

15、 此时, 就在 internet 上 建 立了一条与校园网相连接的隧道,使用上与校内用户一 样， 可以访问和使用校内的一切资源. 3 结束语 VPN 是一项综合性的网络新技术， PPTP 协议一定程 度上加强 Internet 上信息传输的安全性 ,尽管也存在被攻 击 者获取口令，破坏加密数据，读取机密信息的可能,但是 这 并不能抹杀其优点:节省传输数据费用 降低硬件消耗, 减少管 理费用等，对于要求不是特别高的任务是完全可 以胜任的.我 院 PWP VPN 服务建立后经部分老师试用， 性能良好, 传输 稳定，完全可以满足其教学科研管理需要， 不仅较好地解决 了远程移动访问，也提高了校园网资源

16、的 利用率. 参考文献： 1 Wang L N, Yu G. Design of virtual private network for a virtual entetprise information integrating system J . Proc of Web Age In- formation Management,2000(6) ： 165 - 177. 2 吴 娟 ， 王 书 伟 ， 张 茜 萍 .Access VPN 浅 析 及 其 PPTP 实 现 J.电 信 传 输 ， 2006(9) : 47 -47. 3 魏 广 科 .VPN 技 术 及 其 应 用 的 研 究 J

17、.计 算 机 工 程 与 设 计 ， 2005(3 ):714 -715. 4 阿 姆 瑞 特 （ 亚 洲 ） 网 络 有 限 公 司 .阿 姆 瑞 特 防 火 墙 技 术 白 皮 书 EB/0L. http:/www. amarantenasia. com/index, php. 5 刘 云 玲 ， 杨 璐 .VPN 及 其 安 全 技 术 研 究 J.计 算 机 工 程 与 设 计 ， 2003(i2):82 -85. 责 任 编 辑 唐 华 生 Researches on VPN Technology Based on PPTP XIE Da-ji (Network Management Center of Sichuan University of Arts and Science, Dazhou Sichuan 635000, China) Abstract；This paper describes the relevant concepts，working principles of PPTP - based VPN ( Virtua Private Network) and its implementation on the AMARANTEN Firewall. Key tvords： PPTP ； VPN Technology ； Tunneling