1、*收 稿 日 期 :2010-11 -25 作者简介:谢 大 吉 ( 1967) , 男 , 四 川 巴 中 人 .工 程 师 , 硕 士 , 主 要 从 事 计 算 机 网 络 管 理 及 安 全 研 究 . 第 2】卷 2 期 四川文理学院学报 2011 年 03 月 Vol. 21 No. 2 Sichuan University of Arts and Science Journal Mar. 2011 基 于 PPTP 的 VPN 技 术 研 究 谢 大 吉 (四 川 文 理 学 院 网 络 中 心 , 四 川 达 州 635000) 摘要: 阐 述 了 基 于 PPTP 的 VPN
2、 (Virtual Private Network)的 相 关 概 念 、 工 作 原 理 以 及 在 阿 姆 瑞 特 防 火 墙 上 的 具 体 实 现 . 关键词 :PPTP; VPN 技 术 ; 隧 道 技 术 中图分类号:TP393 文献标志码: A o 引言 在高校,很多工作依托网络进行,出于保密和许可需 要, 很多信息资源外部是无法访问的,如科研信息、图书馆 藏资 源等,而越来越多的员工由于居住在外,或出差在外 需要远 程访问校内资源.如果采用专线接人,则要花费相 对高额的费 用,而且利用率也不高;如果采用公网传输,则 网络的安全 性得不到很好的保证. 具有安全、可用性及 多协议支
3、持的虚 拟专用网 VPN ( Virtual Private Network) 于是应运而生 PPTP (Point to Point Tunneling Protocol)协 议是在 Internet 上通用的安全协议,在各种网络安全的解 决方案中, 它以一定的安全性、极广的包容性、简单易用 成为现今 VPN 中使用广泛的一种协议. 1 VPN 简介及 PPTP 协议内容 VPN 虚拟专用网是通过公用网络建立的一个临时的、 安全的连接,是一条穿越公用网络的安全、稳定的隧道. 是 企业网在 Internet 等公共网络上的延伸,即利用隧道技 术在 公网中建立一个私有的通道,将用户的数据封装在隧
4、 道中进 行传输,使得企业以较低的成本在公用网络上建立 属于自己 的私有数据网络. 3因而,VPN 从本质上来说是 一个逻辑上 的网络,是利用封装、加密、认证等技术在公用 网络上建立二 条安全、稳定的通道,用户像使用专用网络 一样使用公用网 络. 常用的 VPN 协议有:1 ) IPSec(IP Security):是保护 IP 协议安全通信的标准,它主要对 IP 协议分组进行加密和 认 证;2)PPTP(Point to Point Tunneling Protocol ):点到点險 道协议,通过该协议,在绝大多数操作系统或移动设备下 文章编号= 1674 -5248 (2011)02-00
5、58 -03 无需另外安装客户端即可安全访问总部网络,它是 VPN 的 一种,也是最方便的 VPN 方式.3) L2TP(Layer 2 Tunne- ling Protocol):第二层隧道协议. 4)GRE: VPN 的第三层隧 道协议.5) OpenVPN:使用 OpenSSL 库加密数据与控制信 息:它使用了 OpenSSL 的加密以及验证功能,能够使用任 何 OpenSSL 支持的算法. 按照用户需求的不同,VPN 分为三类 :远程访问虚拟 网(Access VPN)、内部虚拟网(Intranet VPN)和扩展虚 拟 网(Extamet VPN). Access VPN 又称拨号方
6、式的 VPN,即 通过 PSTN 或 ISDN 线路远程拨号接人单位内网; Intranet VPN 是单位总部与分部之间通过公网构筑的虚拟 网;Ex- trane t VPN 是不同单位间通过公网来构筑的虚拟 网. PPTP 是将 PPP 协议帧封装入 IP 数据包中 ,并通过互 联网或企业专用 Intranet 等发送.封装前, PPP 侦的传输数 据必须经过加密、压缩或按两者的混合进行处理. PPTP 协议应用的前提是使用 PPTP 协议的 VPN 客户 端必须与使用 PPTP 协议的 VPN 服务端已连通且为可用 的 IP 网络. 因此如果 VPN 客户端还未连入网络,譬如在需 要 A
7、DSL 拨号的用户必须首先建立宽带连接,连接后 PPTP 客户端成为 IP 网络的一部分后, 方可通过该 IP 网络 与 PPTP VPN 服务器建立连接. 基于 PPTP 的 VPN 建立过程中使用的认证机制主要 包括. 微软询问握手认证协议 MS - CHAP、扩展身份认证 协议 EAP、CHAP、ShWa 口令宇认证协议 SPAP 及口令 字 认证协议 PAP. PPTP VPN 的控制连接建立在客户机和服务器的 IP 地 址之间,包括 PPTP 呼叫控制和管理信息,维护 PPTP 隧 道正常进行,如周期性地发送回送请求和回送应答消息, 检测客户端与服务器之间可能出现的任何连接终止.服务
8、 器使 用默认的 TCP 端口号 1 723,客户机 TCP 端口号动态 分配. PFJP 控制连接数据包含一个 IP 报头,一个 TCP 报 头及 PPTP 控制信息 . PPTP 数据采用了多层封装的方法,1) PPP 帧的封装, 初始 PPP 传输数据经过加密后,通过添加 PPP 报头,封装 形 成 PPP 帧 ,再进一步添加 GRE 报头,形成第二层封装后 的 GRE 报文.2)GRE 报文的封装是在 GRE 报文外通过添 加含源 及目的地址的 IP 报头形成第三层封装.3)数据链 路层封装,按 照不同的物理网络添加相应的数据链路层上 的报头和报尾,如 以太网上,系统对 IP 数据报就
9、采用以太 网报头和报尾进行封 装处理. PPTP VPN 客户端和服务端在收到 PPTP 数据包后, 第 一步,去掉被据链路层报头和报尾,其次去除 1P 报头, 然后 去除 GRE 和 PPP 报头(如果必要,应对 PPP 传输数据 进行 解密或解压缩),最后,接受或转发数据. 2 PPTP VPN 在防火墙上设计实现 我院校园网建立于 2001 年,校园网为星型拓扑结构, 有三个出口,通过一条 2 兆 DDN 专线连接中国教育与科 研计 算机网西南节点,是 CERNET 接人单位,另一条 200M 光纤线 路接人 CH1NANET,还有一条 100M 光纤线路接入 中国联 通.为解决居住校外
10、的老师或出差在外的老师访问 学院馆藏资 源的需要,在防火墙上设计了基于 PPTP 的 VPN.我院防火墙 采用阿姆瑞特 F600 +,支持 PPTP 客户 端和服务器,并且 可以结合本地用户数据库认证或 radius 认证 ,对 VPN 用户 的身份进行合法性核实.因此用户 可以使用 Microsoft 自带的 VPN 客户端与防火墙之间建立 VPN 隧道,使用户网络更加安 全. 图 1 VPN 拓 扑 结 构 图 2. 1 防火墙 VPN 服务器配置 运行防火墙管理器,在“安全编辑器”中选择需要控 制的 防火墙,确保与防火墙连接正常. 3.2.1 建立网络对象,配置置接口地址和所连接网络的
11、广播地 址、速度和双工模式在“局部对象 主机和网络” 中,定义学院 网络拓扑中出现的所有对象,在“网络接口 以太网”里确定 IP 地址和广播地址的绑定,确保内部用户 能够正常访问网络. 3.2.2 建立用户认证数据库每个 PPTP 客户端用户,在 远 程接入都需要输入自己的用户名和口令,以确认自己身 份的合 法性,同时可把不同的用户加人到不同的组中. 3. 2. 3 指定 PPTP 服务器自身在内部和外部 IP 地址,使 用的 通道协议及外部接口过滤器 3.2.4 设置相应 PPP 参数每一个客户端接入后,服务端 应分 配一个合法的 IP 地址,因而应指定 IP 起始地址和终 止地址, 确定
12、PPTP 用户的地址范围、选择点到点加密方 式 , 主 从 DNS 地址,同时选定使用用户认证规则. 3.2.5 添加用户认证规则,并设置规则属性,见图 2 图 2 VPN 设 置 选 项 图 3.2.6 指定相应的路由及过滤规则在 “路由设置 主路 规则,规则的设计是根据客户的需求来定义的,并限制远 由表” 里添 加和设置路由,在“ 过滤规则“里设置访问控制 程用户可以使用的服务类型. 通过以上步骤,在防火墙上就建立起了基于 PPr 丨彡 协 议的 VPN 服务器,远端用户设置好自身的 PFrp 客户端 后,即可与防火墙之间建立 VPN 通道 ,进而访问校园内资 源. 2.2 VPN 客户端
13、建立及使用 具体拓扑结构如图 1 所示: VPN 客户端软件有操作系统自带的,也有个别公司如 Cisco 独立开发的,使用上大同小异.值得注意的是在 win- dows98 平台上,必须安装“microsoft 虚拟专用网络适配器” 或其他 VPN 客户端软件,在 WinXP, Win2003 系统可以直 接配置,这里以 WinXP 为例介绍 PPTP 客 户 端 的 配 置 过 程. 首先单击“开始”按钮,然后单击“控制面板”,找到 “网络连接”并 双 击 , 选 择 “创建一个新的连接”或 “新 建 连 按”, 在 “新建连接向导”窗口中,单击下一步,选择“连接 到我的 工作场所的网络”,
14、单击下一步,再单击“虚拟专用 网络连 接”,进人下一步,键人 VPN 连接名称,如 “学院 VPN 连 接”,输人后单击下一步,如果计算机已经连接到 网络,则选 择“不拨初始连接”,否则选择“自动拨此初始 连接”,并在 列表中选择相应的连接,如 AUSL 用户.最后 键人 VPN 服 务器地址(我院 220. 166. 172. 5),单击下一 步,如果任 何人都可以使用此连接,则单击“任何人使 用”,否则选择 “只是我使用”,单击下一步,并在“在桌面 上添加一快捷方 式”前打勾,这样客户端就设置完成了. 使用时,双击桌面上“学院 VPN 连接”,在登录窗口中 输人用户名和密码,点击连接按钮.
15、 此时, 就在 internet 上 建 立了一条与校园网相连接的隧道,使用上与校内用户一 样, 可以访问和使用校内的一切资源. 3 结束语 VPN 是一项综合性的网络新技术, PPTP 协议一定程 度上加强 Internet 上信息传输的安全性 ,尽管也存在被攻 击 者获取口令,破坏加密数据,读取机密信息的可能,但是 这 并不能抹杀其优点:节省传输数据费用 降低硬件消耗, 减少管 理费用等,对于要求不是特别高的任务是完全可 以胜任的.我 院 PWP VPN 服务建立后经部分老师试用, 性能良好, 传输 稳定,完全可以满足其教学科研管理需要, 不仅较好地解决 了远程移动访问,也提高了校园网资源
16、的 利用率. 参考文献: 1 Wang L N, Yu G. Design of virtual private network for a virtual entetprise information integrating system J . Proc of Web Age In- formation Management,2000(6) : 165 - 177. 2 吴 娟 , 王 书 伟 , 张 茜 萍 .Access VPN 浅 析 及 其 PPTP 实 现 J.电 信 传 输 , 2006(9) : 47 -47. 3 魏 广 科 .VPN 技 术 及 其 应 用 的 研 究 J
17、.计 算 机 工 程 与 设 计 , 2005(3 ):714 -715. 4 阿 姆 瑞 特 ( 亚 洲 ) 网 络 有 限 公 司 .阿 姆 瑞 特 防 火 墙 技 术 白 皮 书 EB/0L. http:/www. amarantenasia. com/index, php. 5 刘 云 玲 , 杨 璐 .VPN 及 其 安 全 技 术 研 究 J.计 算 机 工 程 与 设 计 , 2003(i2):82 -85. 责 任 编 辑 唐 华 生 Researches on VPN Technology Based on PPTP XIE Da-ji (Network Management Center of Sichuan University of Arts and Science, Dazhou Sichuan 635000, China) Abstract;This paper describes the relevant concepts,working principles of PPTP - based VPN ( Virtua Private Network) and its implementation on the AMARANTEN Firewall. Key tvords: PPTP ; VPN Technology ; Tunneling