基于PPTP的VPN技术研究.doc

第2】卷2期 四川文理学院学报 2011年03月 Vol. 21 No. 2 Sichuan University of Arts and Science Journal Mar. 2011 基于PPTP的VPN技术研究 谢大吉 (四川文理学院网络中心，四川达州635000) 摘要：阐述了基于PPTP的VPN (Virtual Private Network)的相关概念、工作原理以及在阿姆瑞特防火墙 *收稿日期:2010-11 -25 作者简介:谢大吉（1967—），男，四川巴中人.工程师，硕士，主要从事计算机网络管理及安全研究. 上的具体实现. ' 关键词:PPTP; VPN技术；隧道技术 中图分类号:TP393 文献标志码:A o引言 在高校，很多工作依托网络进行，出于保密和许可需 要,很多信息资源外部是无法访问的，如科研信息、图书馆 藏资源等，而越来越多的员工由于居住在外，或出差在外 需要远程访问校内资源.如果采用专线接人，则要花费相 对高额的费用，而且利用率也不高;如果采用公网传输，则 网络的安全性得不到很好的保证.⑴具有安全、可用性及 多协议支持的虚拟专用网VPN ( Virtual Private Network) 于是应运而生• PPTP (Point to Point Tunneling Protocol)协 议是在Internet上通用的安全协议，在各种网络安全的解 决方案中，它以一定的安全性、极广的包容性、简单易用 成为现今VPN中使用广泛的一种协议. 1 VPN简介及PPTP协议内容 VPN虚拟专用网是通过公用网络建立的一个临时的、 安全的连接，⑺是一条穿越公用网络的安全、稳定的隧道. 是企业网在Internet等公共网络上的延伸，即利用隧道技 术在公网中建立一个私有的通道，将用户的数据封装在隧 道中进行传输，使得企业以较低的成本在公用网络上建立 属于自己的私有数据网络.[3]因而，VPN从本质上来说是 一个逻辑上的网络,是利用封装、加密、认证等技术在公用 网络上建立二条安全、稳定的通道,用户像使用专用网络 一样使用公用网络. 常用的VPN协议有：1) IPSec(IP Security)：是保护IP 协议安全通信的标准,它主要对IP协议分组进行加密和 认证;2)PPTP(Point to Point Tunneling Protocol ):点到点險 道协议,通过该协议，在绝大多数操作系统或移动设备下 文章编号= 1674 -5248 (2011)02-0058 -03 无需另外安装客户端即可安全访问总部网络，它是VPN 的一种,也是最方便的VPN方式.3) L2TP(Layer 2 Tunneling Protocol):第二层隧道协议.4)GRE: VPN的第三层隧 道协议.5) OpenVPN:使用OpenSSL库加密数据与控制信 息:它使用了 OpenSSL的加密以及验证功能,能够使用任 何OpenSSL支持的算法. 按照用户需求的不同，VPN分为三类:远程访问虚拟 网（Access VPN)、内部虚拟网（Intranet VPN)和扩展虚拟 网（Extamet VPN). Access VPN又称拨号方式的VPN，即 通过PSTN或ISDN线路远程拨号接人单位内网；Intranet VPN是单位总部与分部之间通过公网构筑的虚拟网；Ex- trane t VPN是不同单位间通过公网来构筑的虚拟网. PPTP是将PPP协议帧封装入IP数据包中,并通过互 联网或企业专用Intranet等发送.封装前，PPP侦的传输数 据必须经过加密、压缩或按两者的混合进行处理. PPTP协议应用的前提是使用PPTP协议的VPN客户 端必须与使用PPTP协议的VPN服务端已连通且为可用 的IP网络.因此如果VPN客户端还未连入网络，譬如在需 要ADSL拨号的用户必须首先建立宽带连接，连接后 PPTP客户端成为IP网络的一部分后,方可通过该IP网络 与PPTP VPN服务器建立连接. 基于PPTP的VPN建立过程中使用的认证机制主要 包括.•微软询问握手认证协议MS - CHAP、扩展身份认证 协议EAP、CHAP、ShWa 口令宇认证协议SPAP及口令字 认证协议PAP. PPTP VPN的控制连接建立在客户机和服务器的IP 地址之间，包括PPTP呼叫控制和管理信息，维护PPTP隧 道正常进行，如周期性地发送回送请求和回送应答消息， 检测客户端与服务器之间可能出现的任何连接终止.服务 器使用默认的TCP端口号1 723,客户机TCP端口号动态 分配.PFJ'P控制连接数据包含一个IP报头，一个TCP报 头及PPTP控制信息. PPTP数据采用了多层封装的方法，1) PPP帧的封装， 初始PPP传输数据经过加密后，通过添加PPP报头，封装 形成PPP帧,再进一步添加GRE报头，形成第二层封装后 的GRE报文.2)GRE报文的封装是在GRE报文外通过添 加含源及目的地址的IP报头形成第三层封装.3)数据链 路层封装,按照不同的物理网络添加相应的数据链路层上 的报头和报尾，如以太网上，系统对IP数据报就采用以太 网报头和报尾进行封装处理. PPTP VPN客户端和服务端在收到PPTP数据包后， 第一步，去掉被据链路层报头和报尾，其次去除1P报头， 然后去除GRE和PPP报头（如果必要，应对PPP传输数据 进行解密或解压缩），最后，接受或转发数据. 2 PPTP VPN在防火墙上设计实现 我院校园网建立于2001年，校园网为星型拓扑结构， 有三个出口，通过一条2兆DDN专线连接中国教育与科 研计算机网西南节点，是CERNET接人单位,另一条200M 光纤线路接人CH1NANET，还有一条100M光纤线路接入 中国联通.为解决居住校外的老师或出差在外的老师访问 学院馆藏资源的需要，在防火墙上设计了基于PPTP的 VPN.我院防火墙采用阿姆瑞特F600 +，支持PPTP客户 端和服务器，并且可以结合本地用户数据库认证或radius 认证 ，对 VPN用户的身份进行合法性核实.因此用户 可以使用Microsoft自带的VPN客户端与防火墙之间建立 VPN隧道,使用户网络更加安全. 具体拓扑结构如图1所示: 图1 VPN拓扑结构图 2. 1防火墙VPN服务器配置⑷ 运行防火墙管理器，在“安全编辑器”中选择需要控 制的防火墙，确保与防火墙连接正常. 3.2.1建立网络对象，配置置接口地址和所连接网络的 广播地址、速度和双工模式在“局部对象 > 主机和网络” 中,定义学院网络拓扑中出现的所有对象，在“网络接口 > 以太网”里确定IP地址和广播地址的绑定，确保内部用户 能够正常访问网络. 3.2.2 建立用户认证数据库每个PPTP客户端用户，在 远程接入都需要输入自己的用户名和口令，以确认自己身 份的合法性，同时可把不同的用户加人到不同的组中. 3. 2. 3指定PPTP服务器自身在内部和外部IP地址，使 用的通道协议及外部接口过滤器 3.2.4设置相应PPP参数每一个客户端接入后，服务端 应分配一个合法的IP地址，因而应指定IP起始地址和终 止地址，确定PPTP用户的地址范围、选择点到点加密方 式，主从DNS地址，同时选定使用用户认证规则. 3.2.5添加用户认证规则，并设置规则属性，见图2 图2 VPN设置选项图 3.2.6指定相应的路由及过滤规则在“路由设置 > 主路 规则，规则的设计是根据客户的需求来定义的，并限制远 由表”里添加和设置路由，在“过滤规则"里设置访问控制 程用户可以使用的服务类型. 通过以上步骤，在防火墙上就建立起了基于PPr丨彡协 议的VPN服务器，远端用户设置好自身的PFrp客户端 后，即可与防火墙之间建立VPN通道,进而访问校园内资 源. 2.2 VPN客户端建立及使用 VPN客户端软件有操作系统自带的，也有个别公司如 Cisco独立开发的，使用上大同小异.值得注意的是在win- dows98平台上，必须安装“microsoft虚拟专用网络适配器” 或其他VPN客户端软件，在WinXP, Win2003系统可以直 接配置，这里以WinXP为例介绍PPTP客户端的配置过 程. 首先单击“开始”按钮，然后单击“控制面板”，找到 “网络连接”并双击，选择“创建一个新的连接”或“新建连 按”，在“新建连接向导”窗口中，单击下一步，选择“连接 到我的工作场所的网络”，单击下一步，再单击“虚拟专用 网络连接”，进人下一步，键人VPN连接名称，如“学院 VPN连接”，输人后单击下一步，如果计算机已经连接到 网络,则选择“不拨初始连接”，否则选择“自动拨此初始 连接”，并在列表中选择相应的连接，如AUSL用户.最后 键人VPN服务器地址（我院220. 166. 172. 5),单击下一 步，如果任何人都可以使用此连接，则单击“任何人使 用”，否则选择“只是我使用”，单击下一步,并在“在桌面 上添加一快捷方式”前打勾，这样客户端就设置完成了. 使用时,双击桌面上“学院VPN连接”，在登录窗口中 输人用户名和密码，点击连接按钮.此时,就在internet上 建立了一条与校园网相连接的隧道,使用上与校内用户一 样，可以访问和使用校内的一切资源. 3结束语 VPN是一项综合性的网络新技术，PPTP协议一定程 度上加强Internet上信息传输的安全性,尽管也存在被攻 击者获取口令，破坏加密数据，读取机密信息的可能,但是 这并不能抹杀其优点:节省传输数据费用’降低硬件消耗, 减少管理费用等，⑸对于要求不是特别高的任务是完全可 以胜任的.我院PW'P VPN服务建立后经部分老师试用， 性能良好,传输稳定，完全可以满足其教学科研管理需要， 不仅较好地解决了远程移动访问，也提高了校园网资源的 利用率. 参考文献： [1 ] Wang L N, Yu G. Design of virtual private network for a virtual entetprise information integrating system[ J ]. Proc of Web — Age Information Management,2000(6) ： 165 - 177. [2] 吴娟，王书伟，张茜萍.Access VPN浅析及其PPTP实现[J].电信传输，2006(9) : 47 -47. [3] 魏广科.VPN技术及其应用的研究[J].计算机工程与设计，2005(3 ):714 -715. [4] 阿姆瑞特（亚洲）网络有限公司.阿姆瑞特防火墙技术白皮书[EB/0L]. http://www. amarantenasia. com/index, php. [5] 刘云玲，杨璐.VPN及其安全技术研究[J].计算机工程与设计，2003(i2):82 -85. [责任编辑唐华生] Researches on VPN Technology Based on PPTP XIE Da-ji (Network Management Center of Sichuan University of Arts and Science, Dazhou Sichuan 635000, China) Abstract；This paper describes the relevant concepts，working principles of PPTP - based VPN ( Virtua Private Network) and its implementation on the AMARANTEN Firewall. Key tvords： PPTP ； VPN Technology ； Tunneling