1、*收 稿 日 期 :2010-11 -25作者简介:谢 大 吉 ( 1967) , 男 , 四 川 巴 中 人 .工 程 师 , 硕 士 , 主 要 从 事 计 算 机 网 络 管 理 及 安 全 研究 .第 2】卷 2 期 四川文理学院学报 2011 年 03 月Vol. 21 No. 2 Sichuan University of Arts and Science Journal Mar. 2011基 于 PPTP 的 VPN 技 术 研 究谢 大 吉(四 川 文 理 学 院 网 络 中 心 , 四 川 达 州 635000)摘要: 阐 述 了 基 于 PPTP 的 VPN (Virtua
2、l Private Network)的 相 关 概 念 、 工 作 原 理 以 及 在 阿 姆 瑞 特 防 火 墙上 的 具 体 实 现 . 关键词 :PPTP; VPN 技 术 ; 隧 道 技 术中图分类号:TP393 文献标志码: Ao 引言在高校,很多工作依托网络进行,出于保密和许可需 要,很多信息资源外部是无法访问的,如科研信息、图书馆 藏资源等,而越来越多的员工由于居住在外,或出差在外 需要远程访问校内资源.如果采用专线接人,则要花费相 对高额的费用,而且利用率也不高;如果采用公网传输,则 网络的安全性得不到很好的保证. 具有安全、可用性及 多协议支持的虚拟专用网 VPN ( Vir
3、tual Private Network) 于是应运而生 PPTP (Point to Point Tunneling Protocol)协 议是在Internet 上通用的安全协议,在各种网络安全的解 决方案中,它以一定的安全性、极广的包容性、简单易用 成为现今VPN 中使用广泛的一种协议.1 VPN 简介及 PPTP 协议内容VPN 虚拟专用网是通过公用网络建立的一个临时的、 安全的连接,是一条穿越公用网络的安全、稳定的隧道. 是企业网在 Internet 等公共网络上的延伸,即利用隧道技 术在公网中建立一个私有的通道,将用户的数据封装在隧 道中进行传输,使得企业以较低的成本在公用网络上建
4、立 属于自己的私有数据网络. 3因而,VPN 从本质上来说是 一个逻辑上的网络,是利用封装、加密、认证等技术在公用 网络上建立二条安全、稳定的通道,用户像使用专用网络 一样使用公用网络.常用的 VPN 协议有:1 ) IPSec(IP Security):是保护IP 协议安全通信的标准,它主要对 IP 协议分组进行加密和 认证;2)PPTP(Point to Point Tunneling Protocol ):点到点險 道协议,通过该协议,在绝大多数操作系统或移动设备下文章编号= 1674 -5248 (2011)02-0058 -03无需另外安装客户端即可安全访问总部网络,它是 VPN 的
5、一种,也是最方便的 VPN 方式.3) L2TP(Layer 2 Tunne-ling Protocol):第二层隧道协议. 4)GRE: VPN 的第三层隧 道协议.5) OpenVPN:使用 OpenSSL 库加密数据与控制信 息:它使用了 OpenSSL 的加密以及验证功能,能够使用任 何 OpenSSL 支持的算法.按照用户需求的不同,VPN 分为三类 :远程访问虚拟 网(Access VPN)、内部虚拟网(Intranet VPN)和扩展虚拟 网(Extamet VPN). Access VPN 又称拨号方式的VPN,即 通过 PSTN 或 ISDN 线路远程拨号接人单位内网;Int
6、ranet VPN 是单位总部与分部之间通过公网构筑的虚拟网;Ex- trane t VPN 是不同单位间通过公网来构筑的虚拟网.PPTP 是将 PPP 协议帧封装入 IP 数据包中 ,并通过互 联网或企业专用 Intranet 等发送.封装前, PPP 侦的传输数 据必须经过加密、压缩或按两者的混合进行处理.PPTP 协议应用的前提是使用 PPTP 协议的 VPN 客户 端必须与使用 PPTP 协议的 VPN 服务端已连通且为可用 的 IP 网络. 因此如果 VPN 客户端还未连入网络,譬如在需 要 ADSL 拨号的用户必须首先建立宽带连接,连接后 PPTP 客户端成为 IP 网络的一部分后
7、, 方可通过该 IP 网络 与 PPTP VPN 服务器建立连接.基于 PPTP 的 VPN 建立过程中使用的认证机制主要 包括. 微软询问握手认证协议 MS - CHAP、扩展身份认证 协议 EAP、CHAP、ShWa 口令宇认证协议 SPAP 及口令字 认证协议 PAP.PPTP VPN 的控制连接建立在客户机和服务器的 IP 地址之间,包括 PPTP 呼叫控制和管理信息,维护 PPTP 隧 道正常进行,如周期性地发送回送请求和回送应答消息,检测客户端与服务器之间可能出现的任何连接终止.服务 器使用默认的 TCP 端口号 1 723,客户机 TCP 端口号动态 分配.PFJP 控制连接数据
8、包含一个 IP 报头,一个 TCP 报 头及PPTP 控制信息 .PPTP 数据采用了多层封装的方法,1) PPP 帧的封装, 初始 PPP 传输数据经过加密后,通过添加 PPP 报头,封装 形成 PPP 帧 ,再进一步添加 GRE 报头,形成第二层封装后 的GRE 报文.2)GRE 报文的封装是在 GRE 报文外通过添 加含源及目的地址的 IP 报头形成第三层封装.3)数据链 路层封装,按照不同的物理网络添加相应的数据链路层上 的报头和报尾,如以太网上,系统对 IP 数据报就采用以太 网报头和报尾进行封装处理.PPTP VPN 客户端和服务端在收到 PPTP 数据包后, 第一步,去掉被据链路
9、层报头和报尾,其次去除 1P 报头, 然后去除 GRE 和 PPP 报头(如果必要,应对 PPP 传输数据 进行解密或解压缩),最后,接受或转发数据.2 PPTP VPN 在防火墙上设计实现我院校园网建立于 2001 年,校园网为星型拓扑结构, 有三个出口,通过一条 2 兆 DDN 专线连接中国教育与科 研计算机网西南节点,是 CERNET 接人单位,另一条 200M 光纤线路接人 CH1NANET,还有一条 100M 光纤线路接入 中国联通.为解决居住校外的老师或出差在外的老师访问 学院馆藏资源的需要,在防火墙上设计了基于 PPTP 的 VPN.我院防火墙采用阿姆瑞特 F600 +,支持 P
10、PTP 客户 端和服务器,并且可以结合本地用户数据库认证或 radius 认证 ,对 VPN 用户的身份进行合法性核实.因此用户 可以使用 Microsoft 自带的VPN 客户端与防火墙之间建立 VPN 隧道,使用户网络更加安全.图 1 VPN 拓 扑 结 构 图 2. 1 防火墙 VPN 服务器配置运行防火墙管理器,在“安全编辑器”中选择需要控 制的防火墙,确保与防火墙连接正常.3.2.1 建立网络对象,配置置接口地址和所连接网络的 广播地址、速度和双工模式在“局部对象 主机和网络” 中,定义学院网络拓扑中出现的所有对象,在“网络接口 以太网”里确定IP 地址和广播地址的绑定,确保内部用户
11、 能够正常访问网络.3.2.2 建立用户认证数据库每个 PPTP 客户端用户,在 远程接入都需要输入自己的用户名和口令,以确认自己身 份的合法性,同时可把不同的用户加人到不同的组中.3. 2. 3 指定 PPTP 服务器自身在内部和外部 IP 地址,使 用的通道协议及外部接口过滤器3.2.4 设置相应 PPP 参数每一个客户端接入后,服务端 应分配一个合法的 IP 地址,因而应指定 IP 起始地址和终 止地址,确定 PPTP 用户的地址范围、选择点到点加密方 式 , 主 从DNS 地址,同时选定使用用户认证规则.3.2.5 添加用户认证规则,并设置规则属性,见图 2图 2 VPN 设 置 选
12、项 图3.2.6 指定相应的路由及过滤规则在 “路由设置 主路 规则,规则的设计是根据客户的需求来定义的,并限制远 由表” 里添加和设置路由,在“ 过滤规则“里设置访问控制 程用户可以使用的服务类型.通过以上步骤,在防火墙上就建立起了基于 PPr 丨彡协 议的 VPN 服务器,远端用户设置好自身的 PFrp 客户端 后,即可与防火墙之间建立 VPN 通道 ,进而访问校园内资 源.2.2 VPN 客户端建立及使用具体拓扑结构如图 1 所示:VPN 客户端软件有操作系统自带的,也有个别公司如 Cisco 独立开发的,使用上大同小异.值得注意的是在 win- dows98 平台上,必须安装“micr
13、osoft 虚拟专用网络适配器” 或其他 VPN 客户端软件,在 WinXP, Win2003 系统可以直 接配置,这里以 WinXP 为例介绍 PPTP 客 户 端 的 配 置 过 程.首先单击“开始”按钮,然后单击“控制面板”,找到 “网络连接”并 双 击 , 选 择 “创建一个新的连接”或 “新 建 连 按”,在 “新建连接向导”窗口中,单击下一步,选择“连接 到我的工作场所的网络”,单击下一步,再单击“虚拟专用 网络连接”,进人下一步,键人 VPN 连接名称,如 “学院 VPN 连接”,输人后单击下一步,如果计算机已经连接到 网络,则选择“不拨初始连接”,否则选择“自动拨此初始 连接”
14、,并在列表中选择相应的连接,如 AUSL 用户.最后 键人 VPN 服务器地址(我院 220. 166. 172. 5),单击下一 步,如果任何人都可以使用此连接,则单击“任何人使 用”,否则选择“只是我使用”,单击下一步,并在“在桌面 上添加一快捷方式”前打勾,这样客户端就设置完成了.使用时,双击桌面上“学院 VPN 连接”,在登录窗口中 输人用户名和密码,点击连接按钮. 此时, 就在 internet 上 建立了一条与校园网相连接的隧道,使用上与校内用户一 样,可以访问和使用校内的一切资源.3 结束语VPN 是一项综合性的网络新技术, PPTP 协议一定程 度上加强 Internet 上信
15、息传输的安全性 ,尽管也存在被攻 击者获取口令,破坏加密数据,读取机密信息的可能,但是 这并不能抹杀其优点:节省传输数据费用 降低硬件消耗, 减少管理费用等,对于要求不是特别高的任务是完全可 以胜任的.我院 PWP VPN 服务建立后经部分老师试用, 性能良好, 传输稳定,完全可以满足其教学科研管理需要, 不仅较好地解决了远程移动访问,也提高了校园网资源的 利用率.参考文献:1 Wang L N, Yu G. Design of virtual private network for a virtual entetprise information integrating system J .
16、 Proc of Web Age In-formation Management,2000(6) : 165 - 177.2 吴 娟 , 王 书 伟 , 张 茜 萍 .Access VPN 浅 析 及 其 PPTP 实 现 J.电 信 传 输 , 2006(9) : 47 -47.3 魏 广 科 .VPN 技 术 及 其 应 用 的 研 究 J.计 算 机 工 程 与 设 计 ,2005(3 ):714 -715.4 阿 姆 瑞 特 ( 亚 洲 ) 网 络 有 限 公 司 .阿 姆 瑞 特 防 火 墙 技术 白 皮 书 EB/0L. http:/www. amarantenasia. com/
17、index, php.5 刘 云 玲 , 杨 璐 .VPN 及 其 安 全 技 术 研 究 J.计算 机 工 程 与 设 计 , 2003(i2):82 -85.责 任 编 辑 唐 华 生 Researches on VPN Technology Based on PPTPXIE Da-ji(Network Management Center of Sichuan University of Arts and Science, Dazhou Sichuan 635000, China)Abstract;This paper describes the relevant concepts,working principles of PPTP - based VPN ( Virtua Private Network) and its implementation on the AMARANTEN Firewall.Key tvords: PPTP ; VPN Technology ; Tunneling
