第17章网络安全本章学习目标17.1虚拟专用网VPN技术基于建立的对象，VPN可分为企业内部VPN和企业外部VPN：（1）内部VPN：在敏感部门的网络和企业主网络之间建立的VPN连接，这种VPN在通过验证机制提供安全性的同时，还保证了连通性。该验证机制是在管理网络连接的VPN服务器上实现的。（2）企业外部VPN：企业外部VPN连接的是公司网络和商业伙伴，供应商或者客户所属的外部网络。基于建立通信的方法，VPN又可分为路由器到路由器VPN和远程访问VPN：（1）路由器到路由器VPN：客户端与一个路由器相连，而路由器再和VPN服务器相连。这种连接只有在客户端和服务器互相验证时才能建立。（2）远程访问VPN：VPN客户端不需要使用路由器就可以和远程访问VPN服务器直接建立一个连接，远程访问VPN服务器验证该客户端。客户端被验证后，才被允许访问网络以及远程访问服务器管理的资源。17.2隧道技术17.2.1隧道类型17.2.2隧道协议1.点对点协议（PPP）PPP为基于点对点连接的，多协议自寻址数据包的传输提供了一个标准方法。PPP最初设计是为两个对等结构之间的IP流量的传输提供一种封装协议。在TCP/IP协议栈中它是一种关于同步调制连接的数据链路层（OSI模式中的第2层）协议。PPP主要由以下几部分组成：（1）封装：PPP封装提供了不同网络层协议同时通过统一链路的多路技术，可以封装多协议数据报。（2）链路控制协议（LCP）：PPP提供的链路控制协议LCP用于就封装格式选项自动的达成一致，处理数据包大小的变化，探测looped-back链路和其他普通的配置错误，以及终止链路。（3）网络控制协议（NCP）：一种扩展链路控制协议，用于建立、配置、测试和管理数据链路连接。17.2.2隧道协议2.点对点隧道协议（PointtoPointTunnelingProtocol，PPTP）PPTP是一种支持多协议虚拟专用网络的网络技术。通过该协议，远程用户能够通过装有点对点协议的系统，安全访问公司网络，并能拨号连入本地ISP，通过Internet安全链接到公司网络。PPTP协议将控制包与数据包分开。控制包采用TCP控制，用于严格的状态查询及信令信息；数据包部分先封装在PPP协议中，然后封装到GRE（通用路由协议封装）V2协议中。PPTP是点对点协议（PPP）的扩展，增强了PPP的身份验证、压缩和加密机制。PPTP协议允许对IP或IPX数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。PPTP与路由和远程访问服务程序一起安装，通过使用路由和远程访问向导，可以为远程访问和请求拨号路由连接启用PPTP端口。PPTP提供了对专用数据封装和加密的VPN服务：（1）封装：使用通用路由封装头文件和IP头数据包装PPP帧。在IP头文件中是与VPN客户机和VPN服务器对应的源和目标IP地址。下图显示了PPP帧的PPTP封装：（2）加密：通过使用从MS-CHAP或EAP-TLS身份验证过程中生成的密匙，PPTP帧以MPPE方式进行加密。17.2.2隧道协议CallManagement：可能值包括导出-呼叫-请求（Outgoing-Call-Request），导出-呼叫-答复（Outgoing-Call-Reply），导入-呼叫-请求（Incoming-Call-Request），导入-呼叫-答复（Incoming-Call-Reply），导入-呼叫-链接（Incoming-Call-Connected），呼叫-清除-请求（Call-Clear-Request），呼叫-断开链接-通告（Call-Disconnect-Notify），广域网-错误-通告（WAN-Error-Notify）。PPPSessionControl：设置-链路-信息（Set-Link-Info）。Reserved0&1：必须设置为0ProtocolVersion：PPTP版本号FramingCapabilities：指出帧类型，该信息发送方可以提供：异步帧支持（AsynchronousFramingSupported）；同步帧支持（SynchronousFramingSupported）。BearerCapabilities：指出承载性能，该信息发送方可以提供：模拟访问支持（AnalogAccessSupported）；数字访问支持（Digitalaccesssupported）。MaximumChannels：该PAC可以支持的个人PPP会话总数。FirmwareRevision：若由PAC出发，则包括发出PAC时的固件修订本编号；若由PNS出发，则包括PNSPPTP驱动版本。HostName：包括发行