2006年06月30日

一. VPN概述。

在架设此VPN服务器之前,我们有必要先了解一些相关知识,因为要使用VPN服务是需要一定的网

络基础的。VPN(Virtual Private Network)即虚拟专用网络,就是两个具有VPN发起连接能力的设备(计算机或防火墙)通过Internet形成的一条安全的隧道。在隧道的发起端(即服务端),用户的私有数据通过封装和加密之后在Internet上传输,到了隧道的接收端(即客户端),接收到的数据经过拆封和解密之后安全地到达用户端。不言而喻,此种方式能在非安全的互联网上安全地传送私有数据来实现基于internet的联网操作。VPN技术的效果类似于传统的DDN专线联网方式,网络拓扑如下图所示。

 
 

注:在Win2K操作系统中内置有VPN服务,本文也是基于系统自带VPN服务的配置为主。

二、windows 2003 VPN服务端安装配置。

在windows2003中VPN服务称之为“路由和远程访问”,默认状态已经安装。只需对此服务进行必要的配置使其生效即可。

第一步:依次选择“开始”-“管理工具”-“路由和远程访问”,打开“路由和远程访问”服务窗口;再在窗口右边右击本地计算机名,选择“配置并启用路由和远程访问”,如下图所示:

 

第二步:在出现的配置向导窗口点下一步,进入服务选择窗口,如下图所示。如果你的服务器如某此资料所说的那样只有一块网卡,那只能选择“自定义配置”;而标准VPN配置是需要两块网卡的,如果你服务器有两块网卡,则可有针对性的选择第一项或第三项。然后一路点击下一步,完成开启配置后即可开始VPN服务了。

 
 

第三步:到这里还没完,以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡(如下图所示)。这里要说的是:如果你的internet拉入方式为宽带路由接入即DHCP方式,那就不需要改,不过根据笔者的经验,采用DHCP动态IP的网络速度相对较慢;而使用静态IP可减少IP地址解析时间,提升网络速度,其起始IP地址和结束IP地址的设置可以依据你所在地区的IP地址段,也可自行定义,比如常见的局域网段“192.168.0.X”。

 

第四步:我们把动态域名放在这里来说。因为一般企业接入互联网应该有固定IP,这样客户机便可随时随地对服务端进行访问;而如果你是家庭用户采用的 ADSL宽带接入的话,那一般都是每次上网地址都不一样的动态IP,所以需在VPN服务器上安装动态域名解析软件,才能让客户端在网络中找到服务端并随时可以拨入。笔者常用的动态域名解析软件为:花生壳,可以在www.oray.net下载,其安装及注意事项请参阅相关资料,这里不再详述第三步:到这里还没完,以上两步只是开启了VPN服务,还要经过必要的设置才能符合我们的实际使用环境。设置一为关于IP地址的问题,右击右边树形目录里的本地服务器名,选择“属性”并切换到IP选项卡(如下图所示)。这里要说的是:如果你的internet拉入方式为宽带路由接入即DHCP方式,那就不需要改,不过根据笔者的经验,采用DHCP动态IP的网络速度相对较慢;而使用静态IP可减少IP地址解析时间,提升网络速度,其起始IP地址和结束IP 地址的设置可以依据你所在地区的IP地址段,也可自行定义,比如常见的局域网段“192.168.0.X”。

 

三、VPN客户端配置。

这一端配置相对简单得多,只需建立一个到VPN服务端的专用连接即可。首先肯定客户端也要接入internet网络,接着笔者同样以windows 2003客户端为例说明,其它的win2K操作系统设置都大同小异:

第一步:在桌面“网上邻居”图标点右键选属性,之后双击“新建连接向导”打开向导窗口后点下一步;接着在“网络连接类型”窗口里点选第二项“连接到我的工作场所的网络”,继续下一步,在如下图所示网络连接方式窗口里选择第二项“虚拟专用网络连接”;接着为此连接命名后点下一步。

 

第二步:在“VPN服务器选择”窗口里,等待我们输入的是VPN服务端的固定内容,可以是固定IP,也可以是由花生壳软件解析出来的动态域名(此域名需要在提供花生壳软件的www.oray.net网站下载);接着出现的“可用连接”窗口保持“只是我使用”的默认选项;最后,为方便操作,可以勾选“在桌面上建立快捷方式”选项,单击完成即会先出现如下图所示的VPN连接窗口。输入访问VPN服务端合法帐户后的操作就跟XP下“远程桌面”功能一样了。连接成功后在右下角状态栏会有图标显示。 

 

四、连接后的共享操作。

只要有过一些局域网使用经验的朋友应该知道怎么做了吧?一种办法是通过“网上邻居”查找VPN服务端共享目录;另一种办法是在浏览器里输入VPN服务端固定IP地址或动态域名也可打开共享目录资源。这其实已经跟在同一个局域网内的操作没什么区别了,自然也就可以直接点击某个视频节目播放,省去下载文件这一步所花时间了。

虚拟专用网络 (VPN) 允许您通过一个网络(如 Internet)将组件连接到另一个网络。您可以将基于 Windows 2000 Server 的计算机作为一个远程访问服务器,这样其他用户就可以用 VPN 连接到它,然后访问您本地驱动器或网络上的共享文件。虚拟专用网络是通过在 Internet 或另外的公用网络上"建立隧道"来实现的,可提供与专用网络相同的安全性和功能。有了 VPN,通过公用网络的连接可以使用 Internet 的路由架构传输数据,而对用户来说,数据好像是通过一个专门的专用链路传送的。

本文介绍如何安装虚拟专用网络 (VPN) 以及如何在 Windows 2000 中新建 VPN 连接。

VPN 概述

      虚拟专用网络 (VPN) 是一种通过公用网络(如 Internet)连接专用网络(如您的办公室网络)的方法。它将到拨号服务器的拨号连接的优点与 Internet 连接的方便与灵活性结合了起来。通过使用 Internet 连接,您可以周游世界,而同时在大多数地方仍可以通过当地最近的 Internet 访问电话号码连接到您的办公室。如果您的计算机(和办公室)有高速 Internet 连接(如电缆或 DSL),您就可以用最高的 Internet 速度与办公室通讯,比使用任何模拟调制解调器的拨号连接速度都要快得多。
      VPN 使用需身份验证的链路以确保只有授权用户可以连接到您的网络,而且他们使用加密来确保通过 Internet 传送的数据不会被其他人侦听和利用。Windows 使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP) 实现此安全性。
      VPN 技术使得公司可以通过公用网络(如 Internet)连接到其分支办事处或其他公司,同时又可以保持通信的安全性。通过 Internet 的 VPN 连接从逻辑上讲相当于一个专用的广域网 (WAN) 链路。

 

VPN 的组件

Windows 2000 中的 VPN 组件包括一个 VPN 服务器、一个 VPN 客户机、一个 VPN 连接(连接中数据被加密的部分),以及隧道(连接中数据被封装的部分)。建立隧道是通过 Windows 2000 中包括的两个隧道协议完成的,这两个协议都是随"路由和远程访问"安装的。Windows 2000 包括的两个协议是:
· 点对点隧道协议 (PPTP):使用"Microsoft 点对点加密"提供数据加密。
· 第二层隧道协议 (L2TP):使用 IPSec 提供数据加密、身份验证和完整性。
到 Internet 的连接应使用专用的线路,如 T1、Fractional T1 或 Frame Relay。WAN 适配器必须配置指派给您的域或由 Internet 服务提供商 (ISP) 提供的 IP 地址和子网掩码,以及 ISP 路由器的默认网关。
备注:要启用 VPN,您必须使用具有管理权限的帐户登录。

如何安装和启用 VPN

若要安装和启用 VPN 服务器,请按照下列步骤操作:
1. 在 Microsoft Windows 2000 VPN 计算机上,确保正确配置了到 Internet 的连接和到您的局域网 (LAN) 的连接。
2. 单击开始,指向管理工具,然后单击"路由和远程访问"。
3. 单击树中的服务器名称,然后单击操作菜单上的"配置并启用路由和远程访问",然后单击下一步。
4. 在通用配置对话框中,单击"虚拟专用网络(VPN 服务器)",然后单击下一步。
5. 在远程客户机协议对话框中,确认列表中包括了 TCP/IP,单击"是,所有可用的协议都在列表中",然后单击下一步。
6. 在 Internet 连接对话框中,选择将连接到 Internet 的 Internet 连接,然后单击下一步。
7. 在"IP 地址分配"对话框中,选择自动以便使用您子网上的 DHCP 服务器为拨号客户机和服务器分配 IP 地址。
8. 在管理多个远程访问服务器对话框中,确认已选中"不,我现在不想设置此服务器使用 RADIUS"复选框。
9. 单击下一步,然后单击完成。
10. 右键单击端口节点,然后单击属性。
11. 在端口属性对话框中,单击 WAN Miniport (PPTP) 设备,然后单击配置。
12. 在"配置设备 – WAN Miniport (PPTP) "对话框中,执行下列操作之一:
· 如果不想支持到服务器上安装的调制解调器的直接用户拨号 VPN,则请单击以清除请求拨号路由选择连接(入站和出站)复选框。
· 如果想支持到服务器上安装的调制解调器的直接用户拨号 VPN,则请单击以选中请求拨号路由选择连接(入站和出站)复选框。
13. 在最多端口数文本框中,键入您希望同时存在的 PPTP 连接的最大数目。(这可能取决于可用 IP 地址的数目)。
14. 对 L2TP 设备重复步骤 11 至 13,然后单击确定。 

如何配置 VPN 服务器

要进一步根据需要配置 VPN 服务器,请按照下列步骤操作。

将远程访问服务器配置为路由器

为了让远程访问服务器能在您的网络中正确地转发通信量,必须用静态路由或路由协议将其配置为一个路由器,这样才能从远程访问服务器访问 Intranet 中的所有位置。
若要将服务器配置为路由器,请执行下列操作步骤:
1. 单击开始,指向管理工具,然后单击"路由和远程访问"。
2. 右键单击服务器名,然后单击属性。
3. 在常规选项卡上,单击以选择启用此计算机作为路由器。
4. 选择"仅用于局域网 (LAN) 路由选择"或"用于局域网和请求拨号路由选择",然后单击确定,关闭属性对话框。 

如何配置 PPTP 端口

确认您需要的 PPTP 端口数量。若要检查端口数或添加端口,请按照下列步骤操作:
1. 单击开始,指向管理工具,然后单击"路由和远程访问"。
2. 在控制台树中,展开"路由和远程访问",展开服务器名,然后单击端口。
3. 右键单击端口,然后单击属性。
4. 在端口属性对话框中,单击 WAN Miniport (PPTP),然后单击配置。
5. 在配置设备对话框中,选择设备的最大端口数目,然后选择选项以指定该设备是仅接受传入连接还是接受传入和传出两种连接。 

如何管理地址和名称服务器

VPN 服务器必须有可供使用的 IP 地址,以便在连接进程的 IP 控制协议 (IPCP) 协商阶段将它们分配给 VPN 服务器的虚拟接口和 VPN 客户机。分配给 VPN 客户机的 IP 地址实际分配给了 VPN 客户机的虚拟接口。
对于基于 Windows 2000 的 VPN 服务器,分配给 VPN 客户机的 IP 地址默认通过 DHCP 获取。您也可以配置静态 IP 地址池。VPN 服务器还必须配置名称解析服务器(通常是 DNS 和 WINS 服务器)地址,以在 IPCP 协商期间分配给 VPN 客户机。

如何管理访问

在用户帐户上配置拨入属性并配置远程访问策略,以管理对拨号网络和 VPN 连接的访问。
备注:默认情况下拒绝用户对拨号的访问。

按用户帐户访问

如果您在按用户管理远程访问,则对于允许创建 VPN 连接的用户帐户,可在用户的属性对话框中的拨入选项卡上单击允许访问。如果 VPN 服务器只允许 VPN 连接,则请删除称为"如果启用拨入许可,就允许访问"的默认远程访问策略。然后新建一个远程访问策略,给它取一个描述性名称,如"按用户帐户允许 VPN 访问"。有关详细信息,请参见 Windows 2000 帮助。
注意事项:删除默认策略后,则与您的策略配置一个也不匹配的拨号客户机将被拒绝访问。
如果 VPN 服务器也提供拨号远程访问服务,则不要删除默认策略,但要移动其位置,使它成为最后一个要评估的策略。

按组成员访问

如果您按组管理远程访问,则请使用"管理工具"或 MMC 管理单元中的"Active Directory 用户和计算机控制台",对所有用户帐户单击"通过远程访问策略控制访问"单选按钮。创建其成员可以创建 VPN 连接的 Windows 2000 组。如果 VPN 服务器只允许 VPN 连接,则请删除名称为"如果启用拨入许可,就允许访问"的默认远程访问策略。下一步,新建一个远程访问策略,给它取一个描述性的名称,例如"如果是允许创建 VPN 的 组的成员,则允许访问 VPN",然后将 Windows 2000 组指派到此策略。
如果 VPN 服务器也允许使用拨号网络远程访问服务,则不要删除默认策略,而是移动其位置,使它成为最后一个要评估的策略。

如何配置来自客户机的 VPN 连接

若要设置到 VPN 的连接,请按照下列步骤操作:
1. 在客户计算机上,确认到 Internet 的连接配置正确。
2. 单击开始,指向设置,然后单击网络和拨号连接。
3. 双击建立新连接。
4. 单击下一步,然后单击通过 Internet 连接到专用网络,然后单击下一步。
5. 执行下列操作之一:
    1. 如果您使用拨号连接连接到 Internet,则请单击自动拨此初始连接然后从列表中选择您的拨号 Internet 连接。
   2. 如果您使用的是全时连接(如电缆调制解调器),则请单击不拨初始连接。
6. 单击下一步。
7. 键入您想连接到的计算机的主机名(例如 Microsoft.com)或 IP 地址(如 123.123.123.123),然后单击下一步。
8. 如果想让登录到此计算机的任何人都可以使用此连接,请单击以选择供所有用户使用,如果想让此连接只有在您登录到计算机时可用,则请单击以选择仅供自己使用,然后单击下一步。
9. 为此连接键入一个描述性的名称,然后单击完成。
备注:此选项只有在您作为 Administrators 组的成员登录时才可用。
10. 单击开始,指向设置,然后单击网络和拨号连接。
11. 双击新建的连接。
12. 单击属性以进一步配置该连接的选项:
· 如果您要连接到域,则单击选项选项卡,然后单击选中"包含 Windows 登录域"复选框,指定在尝试连接前是否要求提供 Windows 2000 登录域信息。
· 如果想在该连接断线后重新拨号创建该连接,则请单击选项选项卡,然后单击以选择"断线重拨"复选框。
若要使用连接,请按下列步骤操作:
1. 单击开始,指向设置,然后单击网络和拨号连接。
2. 双击新建的连接。
3. 如果目前没有到 Internet 的连接,Windows 可让您连接到 Internet。
4. 建立到 Internet 的连接后,VPN 服务器会提示您输入用户名和密码。输入您的用户名和密码,单击连接,然后就可以使用您的网络资源了,方式与您直接连接到网络上时一样。
备注:如要从 VPN 断开,可右键单击连接图标,然后单击断开连接。 

疑难解答

远程访问 VPN 疑难解答

"无法建立远程访问 VPN 连接"

· 原因:客户计算机的名称与网络上另一计算机的名称相同。
解决方案:检查确认网络上所有计算机的名称和到网络的连接是否都使用了唯一的计算机名。

· 原因:VPN 服务器上的路由和远程访问服务未启动。
解决方案:检查确认 VPN 服务器上路由和远程访问服务的状态。
有关如何监视、启动和停止"路由和远程访问"服务的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器上未启用远程访问。
解决方案:在 VPN 服务器上启用远程访问。
有关如何启用远程访问服务器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:未为入站远程访问请求启用 PPTP 或 L2TP 端口。
解决方案:为入站远程访问请求启用 PPTP 或 L2TP 端口,或两个端口都启用。
有关如何配置远程访问端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:在 VPN 服务器上未启用 VPN 客户机使用的 LAN 协议来支持远程访问。
解决方案:在 VPN 服务器上启用 VPN 客户机使用的 LAN 协议以支持远程访问。
有关如何查看远程访问服务器属性的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器上的所有 PPTP 或 L2TP 端口已被当前连接的远程访问客户机或请求拨号路由器使用。
解决方案:在"路由和远程访问"中单击端口,检查 VPN 服务器上所有的 PPTP 或 L2TP 端口是否尚未被使用。如有必要,更改 PPTP 或 L2TP 端口号以允许存在更多的并发连接。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器不支持 VPN 客户机的隧道协议。
默认情况下,Windows 2000 远程访问 VPN 客户机使用自动服务器类型选项,这意味着它们将首先尝试建立基于 IPSec 之上的 L2TP 的 VPN 连接,然后才尝试建立基于 PPTP 的 VPN 连接。如果 VPN 客户机使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP)服务器类型选项,则请检查选定的隧道协议是否受 VPN 服务器支持。
默认情况下,运行 Windows 2000 Server 和"路由和远程访问"服务的计算机就是具有五个 PPTP 端口和五个 L2TP 端口的 L2TP 和 PPTP 服务器。如要创建一个仅支持 PPTP 的服务器,则请将 L2TP 端口的数目设置为零。如要创建一个仅支持 L2TP 的服务器,则请将 PPTP 端口的数目设置为零。
解决方案:检查是否配置了相应数目的 PPTP 或 L2TP 端口。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 客户机和 VPN 服务器以及远程访问策略未配置为至少使用一种通用身份验证方法。
解决方案:将 VPN 客户机和 VPN 服务器以及远程访问策略配置为至少使用一种通用身份验证方法。
有关如何配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 客户机和 VPN 服务器以及远程访问策略未配置为至少使用一种通用加密方法。
解决方案:将 VPN 客户机和 VPN 服务器以及远程访问策略配置为至少使用一种通用加密方法。
有关如何配置加密的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案:检查 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。为了建立连接,连接尝试的设置必须:
· 至少满足一种远程访问策略的所有条件。
· 被授予通过用户帐户(设置为"允许访问"或"通过远程访问策略控制访问")进行远程访问的权限,以及相应远程访问策略的远程访问权限(设置为"授予远程访问权限")。
· 与该配置文件的所有设置匹配。
· 与该用户帐户的拨入属性的所有设置匹配。
有关远程访问策略的简介,以及如何接受连接尝试的更多信息,请参见 Windows 2000 联机帮助。

· 原因:远程访问策略配置文件的设置与 VPN 服务器的属性冲突。
远程访问策略配置文件的属性和 VPN 服务器的属性都包含下列设置:
· 多重链接
· 带宽分配协议
· 身份验证协议
如果与远程访问策略匹配的配置文件的设置与 VPN 服务器的设置冲突,则连接尝试将被拒绝。例如,如果相应的远程访问策略配置文件指定必须使用 EAP-TLS 身份验证协议,而 VPN 服务器上没有启用 EAP,则连接尝试将被拒绝。
解决方案:检查远程访问策略配置文件的设置是否不与 VPN 服务器的属性冲突。
有关如何启用身份验证协议和配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器无法验证呼叫路由器的凭据(用户名、密码和域名)。
解决方案:检查 VPN 客户机的凭据(用户名、密码和域名)是否正确以及是否可由 VPN 服务器验证。

· 原因:在静态 IP 地址池中没有足够的地址。
解决方案:如果 VPN 服务器配置了静态 IP 地址池,请检查池中是否有足够的地址。如果静态池中的所有地址都已分配给连接中的 VPN 客户端,则 VPN 服务器就不能够分配 IP 地址,而且连接尝试将被拒绝。根据需要修改静态 IP 地址池。
有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 客户机配置为可请求其自己的 IPX 节点编号,而 VPN 服务器配置为不允许 IPX 客户机请求其自己的 IPX 节点编号。
解决方案:配置 VPN 服务器使之允许 IPX 客户机请求它们自己的节点编号。
有关 IPX 和远程访问的更多信息,请参见 Windows 2000 联机帮助。

· 原因:给 VPN 服务器配置了一段 IPX 网络上其他地方正在使用的 IPX 网络编号范围。
解决方案:给 VPN 服务器配置一个在 IPX 网络上是唯一的 IPX 网络编号范围。
有关 IPX 和远程访问的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器的身份验证提供程序配置不正确。
解决方案:检查身份验证提供程序的配置。您可以将 VPN 服务器配置为使用 Windows 2000 或 RADIUS 来验证 VPN 客户机的凭据。
有关身份验证和计帐提供程序的更多信息,以及如何使用 RADIUS 身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器无法访问 Active Directory。
解决方案:如果 VPN 服务器是混合模式或本机模式 Windows 2000 域的一个成员服务器而且配置为使用 Windows 2000 身份验证,则请检查:
· 是否存在"RAS 和 IAS 服务器"安全组。如果不存在,请创建该组并将组类型设置为"安全"并将组作用域设置为"本地域"。
· "RAS 和 IAS 服务器"安全组对"RAS 和 IAS 服务器访问检查"对象有读权限。
· VPN 服务器计算机的计算机帐户是"RAS 和 IAS 服务器"安全组中的一个成员。可以使用"netsh ras show registeredserver"命令查看当前注册。可以使用"netsh ras add registeredserver"命令在指定的域中注册服务器。
如果您向 RAS 和 IAS 服务器安全组添加或从中删除 VPN 服务器计算机,则此更改不会立即生效(这是由 Windows 2000 缓存 Active Directory 信息的方式决定的)。如想让此更改立即生效,需要重启 VPN 服务器计算机。
· 对于本机模式的域,VPN 服务器已加入到了域中。
有关如何添加组、如何验证 RAS 和 IAS 安全组的权限以及远程访问的 NetShell 命令的更多信息,请参见 Windows 2000 联机帮助。

· 原因:Windows NT 4.0 VPN 服务器无法验证连接请求。
解决方案:如果 VPN 客户机正在拨入到运行着 Windows NT 4.0 的 VPN 服务器,而此服务器是 Windows 2000 混合模式域的成员,则请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中:
"net localgroup "Pre-Windows 2000 Compatible Access""

如果没有,则请在域控制器计算机上的命令提示符下键入下列命令,然后重启域控制器计算机:
net localgroup "Pre-Windows 2000 Compatible Access" everyone /add

有关 Windows 2000 域中 Windows NT 4.0 远程访问服务器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 服务器无法与配置的 RADIUS 服务器通讯。
解决方案:如果 RADIUS 服务器只可以通过 Internet 接口访问到,则请给下列端口的 Internet 接口添加一个输入筛选器和一个输出筛选器:UDP 端口 1812(基于 RFC 2138"远程身份验证拨入用户服务 (RADIUS)")、用于 RADIUS 身份验证的 UDP 端口 1645(针对较早的 RADIUS 服务器)、UDP 端口 1813(基于 RFC 2139"RADIUS 计帐"),或用于 RADIUS 计帐的 UDP 端口 1646(针对较早的 RADIUS 服务器)。
有关如何添加数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:无法使用 Ping.exe 实用程序通过 Internet 连接到 VPN 服务器。
解决方案:由于在 VPN 服务器的 Internet 接口上配置了基于 IPSec 的 PPTP 和 L2TP 数据包筛选,ping 命令使用的网际消息控制协议 (ICMP) 数据包被筛选掉了。为使 VPN 服务器能够响应 ICMP (ping) 数据包,需要添加允许 IP 协议 1 通信量(ICMP 通信量)的一个输入筛选器和一个输出筛选器。
有关如何添加数据包过滤器的更多信息,请参见 Windows 2000 联机帮助。 

路由器到路由器 VPN 疑难解答

"无法建立路由器到路由器 VPN 连接"

· 原因:VPN 客户机(呼叫路由器)和 VPN 服务器(应答路由器)上未启动"路由和远程访问"服务。
解决方案:检查 VPN 客户机和 VPN 服务器上路由和远程访问服务的状态。
有关如何监视、启动和停止"路由和远程访问"服务的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫路由器和应答路由器上未启用 LAN 和 WAN 路由。
解决方案:在呼叫和应答路由器上启用"本地和远程路由(LAN 和 WAN 路由器)"。
有关如何启用 LAN 和WAN 路由的更多信息,请参见 Windows 2000 联机帮助。

· 原因:没有为入站和出站请求拨号路由连接启用 PPTP 或 L2TP 端口。
解决方案:为入站和出站请求拨号路由连接启用 PPTP 或 L2TP 端口,或二者都启用。
有关如何在端口上启用路由的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫或应答路由器上的所有 PPTP 或 L2TP 端口当前正由处于连接状态的远程访问客户机或请求拨号路由器使用着。
解决方案:在"路由和远程访问"中单击端口,检查确认 VPN 服务器上所有的 PPTP 或 L2TP 端口是否尚未被使用。如有必要,更改 PPTP 或 L2TP 端口号以允许存在更多的并发连接。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器不支持呼叫路由器使用的隧道协议。
默认情况下,Windows 2000 请求拨号接口使用自动服务器类型选项,这意味着它们将首先尝试建立基于 IPSec 之上的 L2TP 的 VPN 连接,然后才尝试建立基于 PPTP 的 VPN 连接。如果呼叫路由器使用点对点隧道协议 (PPTP) 或第二层隧道协议 (L2TP)服务器类型选项,则请检查确认选定的隧道协议是否受应答路由器的支持。
默认情况下,一台运行 Windows 2000 Server 和"路由和远程访问"服务的计算机就是支持 PPTP 和 L2TP 的请求拨号路由器,有五个 L2TP 端口和五个 PPTP 端口。如要创建一个仅支持 PPTP 的路由器,请将 L2TP 端口的数目设置为零。如要创建一个仅支持 L2TP 的路由器,则请将 PPTP 端口的数目设置为零。
解决方案:验证在呼叫和应答路由器上是否配置了相应数目的 PPTP 或 L2TP 端口。
有关如何添加 PPTP 或 L2TP 端口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:未将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用身份验证方法。
解决方案:将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用身份验证方法。
有关如何配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:未将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用加密方法。
解决方案:将呼叫路由器和应答路由器以及远程访问策略配置为至少使用一种通用加密方法。
有关如何配置加密的更多信息,请参见 Windows 2000 联机帮助。

· 原因:VPN 连接在用户帐户拨入属性以及在远程访问策略中没有适当的权限。
解决方案:检查确认 VPN 连接在用户帐户拨入属性以及在远程访问策略中是否有适当的权限。为了建立连接,连接尝试的设置必须:
· 至少满足一种远程访问策略的所有条件。
· 被授予通过用户帐户(设置为"允许访问"或"通过远程访问策略控制访问")进行远程访问的权限,以及相应远程访问策略的远程访问权限(设置为"授予远程访问权限")。
· 与该配置文件的所有设置匹配。
· 与该用户帐户的拨入属性的所有设置匹配。
有关远程访问策略的简介,以及如何接受连接尝试的更多信息,请参见 Windows 2000 联机帮助。

· 原因:远程访问策略配置文件的设置与应答路由器的属性冲突。远程访问策略配置文件的属性和应答路由器的属性都包含下列设置:
· 多重链接
· 带宽分配协议
· 身份验证协议
如果与远程访问策略相匹配的配置文件的设置与应答路由器的设置冲突,则连接尝试将被拒绝。例如,如果相应的远程访问策略配置文件指定必须使用 EAP-TLS 身份验证协议,而应答路由器上没有启用 EAP,则连接尝试将被拒绝。
解决方案:检查以确保远程访问策略配置文件的设置不与远程访问路由器的属性冲突。
有关如何启用身份验证协议和配置身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫路由器的凭据(用户名、密码和域名)不正确而且不能由应答路由器验证。
解决方案:检查以确保呼叫路由器的凭据(用户名、密码和域名)正确而且能够由应答路由器验证。

· 原因:在静态 IP 地址池中没有足够的地址。
解决方案:如果应答路由器配置了静态 IP 地址池,请检查确认池中是否有足够的地址。如果静态池中的所有地址都已分配给连接中的远程访问客户机或拨号路由器,则应答路由器就不能够分配 IP 地址,而且连接尝试将被拒绝。根据需要修改静态 IP 地址池。
有关 TCP/IP 和远程访问以及如何创建静态 IP 地址池的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器配置了一个网络编号范围,而此编号范围正在 IPX 网络上的其他地方使用着。
解决方案:给应答路由器配置一个在 IPX 网络上是唯一的 IPX 网络编号范围。
有关 IPX 和远程访问的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器的身份验证提供程序配置不正确。
解决方案:检查身份验证提供程序的配置。您可以将应答路由器配置为使用 Windows 2000 或 RADIUS 来验证 VPN 客户机的凭据。
有关身份验证和计帐提供程序的更多信息,以及如何使用 RADIUS 身份验证的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器无法访问 Active Directory。
解决方案:如果应答路由器是混合模式或本机模式 Windows 2000 域的一个成员服务器而且配置为使用 Windows 2000 身份验证,则请检查确认:
· 是否存在"RAS 和 IAS 服务器"安全组。如果不存在,请创建该组并将组类型设置为安全并将组作用域设置为"本地域"。
· "RAS 和 IAS 服务器"安全组对"RAS IAS 服务器访问检查"对象有读取权限。
· 应答路由器计算机的计算机帐户是"RAS 和 IAS 服务器"安全组中的一个成员。您可以使用下列命令查看当前的注册:
"netsh ras show registeredserver"

您可以使用下列命令在特定的域中注册服务器:
"netsh ras add registeredserver"

如果您向"RAS 和 IAS 服务器"安全组添加或从中删除应答路由器计算机,则此更改不会立即生效(这是由 Windows 2000 缓存 Active Directory 信息的方式决定的)。如想让更改立即生效,必须重启应答路由器计算机。
· 对于本机模式的域,应答路由器已加入到了域中。
有关如何添加组、如何验证 RAS 和 IAS 安全组的权限,以及远程访问的 NetShell 命令的更多信息,请参见 Windows 2000 联机帮助。

· 原因:运行 Windows NT 4.0 及路由和远程访问服务 (RRAS) 的应答路由器不能验证连接请求。
解决方案:如果呼叫路由器正在拨入到运行带有 RRAS 的 Windows NT 4.0 的应答路由器,而此应答路由器是 Windows 2000 混合模式域的成员,请使用下列命令验证 Everyone 组是否已添加到 Pre-Windows 2000 Compatible Access 组中:
"net localgroup "Pre-Windows 2000 Compatible Access""

如果没有,则请在域控制器计算机上的命令提示符下键入下列命令,然后重启域控制器计算机:
"net localgroup "Pre-Windows 2000 Compatible Access" everyone /add"

有关 Windows 2000 域中 Windows NT 4.0 远程访问服务器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:应答路由器无法与配置的 RADIUS 服务器通讯。
解决方案:如果只能通过 Internet 接口访问 RADIUS 服务器,则给下列端口的 Internet 接口添加一个输入筛选器和一个输出筛选器:UDP 端口 1812(基于 RFC 2138"远程身份验证拨入用户服务 (RADIUS)")、用于 RADIUS 身份验证的 UDP 端口 1645(针对较早的 RADIUS 服务器)、UDP 端口 1813(基于 RFC 2139"RADIUS 计帐"),或用于 RADIUS 计帐的 UDP 端口 1646(针对较早的 RADIUS 服务器)。
有关如何添加数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:无法使用 Ping.exe 实用程序通过 Internet 连接到应答路由器。
解决方案:由于在应答路由器的 Internet 接口上配置了基于 IPSec 数据包筛选的 PPTP 和 L2TP,Ping 命令使用的网际消息控制协议 (ICMP) 数据包被过滤掉了。为使应答路由器能够响应 ICMP 数据包,必须添加允许 IP 协议 1 通信量(ICMP 通信量)的一个输入筛选器和一个输出筛选器。
有关如何添加数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

 

"无法发送和接收数据"

· 原因:未给被路由的协议添加适当的请求拨号接口。
解决方案:给被路由的协议添加适当的请求拨号接口。
有关如何添加路由器接口的更多信息,请参见 Windows 2000 联机帮助。

· 原因:路由器到路由器 VPN 连接的两端都没有支持双向通信量交换的路由。
解决方案:与远程访问 VPN 连接不同,路由器到路由器 VPN 连接不会自动创建默认路由。您需要在路由器到路由器 VPN 连接的两端都创建路由,以便路由器到路由器 VPN 连接的两端的通信量都可以路由到对方。
您可以手动向路由表中添加静态路由,也可以通过路由协议添加静态路由。对于持续性 VPN 连接,您可以在 VPN 连接上启用"开放式最短路径优先 (OSPF)"或"路由信息协议 (RIP)"。对于请求 VPN 连接,可以通过自动静态 RIP 更新来自动更新路由。
有关如何添加 IP 路由协议、如何添加静态路由以及如何执行自动静态更新的更多信息,请参见 Windows 2000 联机帮助。

· 原因:双向初始化的应答路由器作为远程访问连接,正在解释路由器到路由器的 VPN 连接。
解决方案:如果呼叫路由器的凭据中的用户名出现在路由和远程访问中的拨入客户机下,则应答路由器将把呼叫路由器解释为远程访问客户机。请检查确认呼叫路由器的凭据中的用户名是否与应答路由器上请求拨号接口的名称匹配。如果传入呼叫者是一个路由器,则接收呼叫的端口将显示为活动状态,而且相应的请求拨号接口处于连接中状态。
有关如何检查应答路由器的端口状态以及如何检查请求拨号接口状态的更多信息,请参见 Windows 2000 联机帮助。

· 原因:呼叫路由器和应答路由器的请求拨号接口上的数据包筛选器使通信量不能传输。
解决方案:检查以确保呼叫路由器和应答路由器的请求拨号接口上不存在阻止通信量传输的数据包筛选器。可以给各请求拨号接口配置 IP 和 IPX 输入和输出筛选器,以精确控制允许进出该请求拨号接口的 TCP/IP 和 IPX 通信量的性质。
有关如何管理数据包筛选器的更多信息,请参见 Windows 2000 联机帮助。

· 原因:远程访问策略配置文件中的数据包筛选器阻止了 IP 通信量的传输。
解决方案:检查确认 VPN 服务器(如果使用了 Internet 身份验证服务则是 RADIUS 服务器)上的远程访问策略的配置文件属性上是否未配置阻止 TCP/IP 通信量接发的 TCP/IP 数据包筛选器。您可以使用远程访问策略来配置 TCP/IP 输入和输出数据包筛选器,以精确控制 VPN 连接上允许的 TCP/IP 通信量的性质。检查配置文件 TCP/IP 数据包筛选器是否未在阻止需要的通信量。
有关如何配置 IP 选项的更多信息,请参见 Windows 2000 联机帮助。

其实架设VPN服务器已经不是什么新鲜事物了,狂人只是想把自己亲身架设VPN服务器的经历写下来,对于未架设过VPN的网络管理员来说,应该有一定的参考价值。
  狂人所在的工作单位是一家市级的医院,运行有一套医院信息管理系统(HIS)和只供内部访问的网站。由于在医院外有几个门诊分部,领导要求这些门诊分部也能使用HIS。狂人立即想到了使用VPN来进行远程接入。
一、网络概况
  在内部网中,由两台服务器(主/辅)共同组成一个群集,也是Active Directory 域服务器,安装并运行了HIS运行在主服务器上,辅服务器用于在主服务器出现故障时能立即接管,保证系统正常运转。而要使用HIS,必须要使用域用户身份登录。内部的WEB服务器是一***立的服务器,登录不需要进行身份验证。

二、安装并配置IAS 服务器
  在安装和配置VPN拨入服务器前首先要安装并配置IAS服务器。由于VPN拨入用户必须是域用户,其身份验证过程需要在IAS服务器上进行,而VPN服务器不是群集成员,所以狂人打算在安装辅域服务器上安装安装 IAS。辅域服务器安装的是WIN2000AD版操作系统。由于安装时默认是不会安装IAS服务的,因此首先要在控制面板中的添加删除程序中进行安装,安装的步骤如下(引述WIN2000帮助文件):
打开控制面板中的“添加或删除程序”。
单击“添加/删除 Windows 组件”。
在“Windows 组件向导”对话框中,单击“网络服务”,然后单击“详细信息”。
在“网络服务”对话框中,选择“Internet 验证服务”,单击“确定”,然后单击“下一步”。
如果出现提示,请插入 Windows 2000 光盘。
安装 IAS 之后,单击“完成”,然后单击“关闭”。
  安装成功后,在“管理工具”中就可以找到“Internet 验证服务”项了,然后双击打开,右键点击“Internet验证服务”,选择并点击“在Active Directory中注册服务”(图1)。

(图1)

接着会出现两个对话框(图2、3)

(图2)

(图3)

  启用授权后,还要将VPN拨入服务器加入至客户端列表中,操作步骤如图4、5、6。

(图4)

(图5)

(图6)

客户端的IP地址填写VPN服务器的内网地址,由于VPN服务器使用的是WINDOWS操作系统,因此“客户端-供应商”应该选择“Microsoft”。点击完成后会看到如下显示(图7)

(图7)

  到此,IAS服务器设置就基本完成了。

三、安装和配置VPN拨入服务器
  VPN拨入服务器的安装比较简单,只要确定服务器安装有“路由和远程访问”服务组件即可。接入来就是要配置VPN了。首先打开“路由和远程访问”,右键点击左边列表中的本地服务器名称,然后点“配置并启用路由和远程访问”(如图8),接着按提示操作。

(图8)

(图9)

(图10)

(图11)

因需要指定拨入端的IP地址,因此这里选择的是第2个选项(图12)

输入IP地址段,拨入的客户端分配得到的IP就是该地址段中的一个。(图13)

由于拨入的用户和密码需要在域服务器上验证,因此要选择第2项。(图14)

输入RADIUS服务器地址,就是之前配置“Internet验证服务”的那台服务器。(图15)

由于之前选择的是指定IP地址段,因此在启用路由器服务时会有此提示。(图16)

(图17)

  至此,整个VPN服务的架设就基本完成了,不过要想更好地应用VPN服务,还需要做好端口设置、拨入帐号设置、以及安全策略等工作。在此提一下端口设置,一般当VPN服务器开始时,默认会打开PPTP端口和L2TP端口各128个进行监听,但端口的数量是可以自行设定的,具体设置在“路由和远程访问”下有个“端口”的子树,点击展开后会看到端口列表,右键打开快捷菜单选择“属性”,即可分别对PPTP及L2TP端口数进行设置。

对称加密,或专用密钥(也称做常规加密)由通信双方共享一个秘密密钥。发送方在进行数学运算时使用密钥将明文加密成密文。接受方使用相同的密钥将密文还原成明文。RSA RC4算法,数据加密标准(DES),国际数据加密算法(IDEA)以及Skipjack加密技术都属于对称加密方式。

非对称加密,或公用密钥,通讯各方使用两个不同的密钥,一个是只有发送方知道的专用密钥,另一个则是对应的公用密钥,任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联,一个用于数据加密,另一个用于数据解密。

公用密钥加密技术允许对信息进行数字签名。数字签名使用发送发送一方的专用密钥对所发送信息的某一部分进行加密。接受方收到该信息后,使用发送方的公用密钥解密数字签名,验证发送方身份。

用户方证书可以被存放在拨号客户PC中,或存放在外部智能卡。无论那种方式,如果用户不能提供没有一定形式的用户识别信息(PIN号或用户名和口令),就无法访问证书。

PPTPL2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似,但是仍存在以下几方面的不同:

1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),桢中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。

2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。

3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。

4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TPPPTPIPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道。

PPTP是一个第2层的协议,将PPP数据桢封装在IP数据报内通过IP网络,如Internet传送。PPTP还可用于专用局域网络之间的连接。RFC草案"点对点隧道协议"PPTP协议进行了说明和介绍。该草案由PPTP论坛的成员公司,包括微软,Ascend3Com,和ECI等公司在19966月提交至IETF。可在如下站 http://www.ietf.org http://www.ietf.org参看草案的在线拷贝.PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密或压缩。图7所示为如何在数据传递之前组装一个PPTP数据包。

2层转发(L2F

L2FCisco公司提出隧道技术,作为一种传输协议L2F支持拨号接入服务器将拨号数据流封装在PPP桢内通过广域网链路传送到L2F服务器(路由器)。L2F服务器把数据包解包之重新注入(inject)网络。与PPTPL2TP不同,L2F没有确定的客户方。应当注意L2F只在强制隧道中有效。(自愿和强制隧道的介绍参看"隧道类型")。

2层隧道协议(L2TP

L2TP结合了PPTPL2F协议。设计者希望L2TP能够综合PPTPL2F的优势。

L2TP是一种网络层协议,支持封装的PPP桢在IPX.25,桢中继或ATM等的网络上进行传送。当使用IP作为L2TP的数据报传输协议时,可以使用L2TP作为Internet网络上的隧道协议。L2TP还可以直接在各种WAN媒介上使用而不需要使用IP传输层。草案RFC"2层隧道协议"L2TP进行了说明和介绍。该文档于19981月被提交至IETF。可以在以下网 http://www.ietf.org http://www.ietf.org获得草案拷贝。

IP网上的L2TP使用UDP和一系列的L2TP消息对隧道进行维护。L2TP同样使用UDPL2TP协议封装的PPP桢通过隧道发送。可以对封装PPP桢中的负载数据进行加密或压缩。图8所示为如何在传输之前组装一个L2TP数据包。

因为第2层隧道协议在很大程度上依靠PPP协议的各种特性,因此有必要对PPP协议进行深入的探讨。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IPIPXNETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS PPP拨号会话过程可以分成4个不同的阶段。分别如下:

阶段1:创建PPP链路

PPP使用链路控制协议(LCP)创建,维护或终止一次物理连接。在LCP阶段的初期,将对基本的通讯方式进行选择。应当注意在链路创建阶段,只是对验证协议进行选择,用户验证将在第2阶段实现。同样,在LCP阶段还将确定链路对等双方是否要对使用数据压缩或加密进行协商。实际对数据压缩/加密算法和其它细节的选择将在第4阶段实现。

阶段2:用户验证

在第2阶段,客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。大多数的PPP方案只提供了有限的验证方式,包括口令验证协议(PAP),挑战握手验证协议(CHAP)和微软挑战握手验证协议(MSCHAP)。

1.口令验证协议(PAP

PAP是一种简单的明文验证方式。NAS要求用户提供用户名和口令,PAP以明文方式返回用户信息。很明显,这种验证方式的安全性较差,第三方可以很容易的获取被传送的用户名和口令,并利用这些信息与NAS建立连接获取NAS提供的所有资源。所以,一旦用户密码被第三方窃取,PAP无法提供避免受到第三方攻击的保障措施。

2.挑战-握手验证协议(CHAP

CHAP是一种加密的验证方式,能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令(challenge),其中包括会话ID和一个任意生成的挑战字串(arbitrary challengestring)。远程客户必须使用MD5单向哈希算法(one-wayhashingalgorithm)返回用户名和加密的挑战口令,会话ID以及用户口令,其中用户名以非哈希方式发送。

CHAPPAP进行了改进,不再直接通过链路发送明文口令,而是使用挑战口令以哈希算法对口令进行加密。因为务器端存有客户的明文口令,所以服务器可以重复客户端进行的操作,并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击(replay attack).在整个连接过程中,CHAP将不定时的向客户端重复发送挑战口令,从而避免第3方冒充远程客户(remoteclient impersonation)进行攻击。

3.微软挑战-握手验证协议(MS-CHAP

CHAP相类似,MS-CHAP也是一种加密验证机制。同CHAP一样,使用MS-CHAP时,NAS会向远程客户发送一个含有会话ID和任意生成的挑战字串的挑战口令。远程客户必须返回用户名以及经过MD4哈希算法加密的挑战字串,会话ID和用户口令的MD4哈希值。采用这种方式服务器端将只存储经过哈希算法加密的用户口令而不是明文口令,这样就能够提供进一步的安全保障。此外,MS-CHAP同样支持附加的错误编码,包括口令过期编码以及允许用户自己修改口令的加密的客户-服务器(client-server)附加信息。使用MS-CHAP,客户端和NAS双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP使用基于MPPE的数据加密,这一点非常重要,可以解释为什么启用基于MPPE的数据加密时必须进行MS-CHAP验证。

在第2阶段PPP链路配置阶段,NAS收集验证数据然后对照自己的数据库或中央验证数据库服务器(位于NT主域控制器或远程验证用户拨入服务器)验证数据的有效性。

阶段3PPP回叫控制(callbackcontrol)

微软设计的PPP包括一个可选的回叫控制阶段。该阶段在完成验证之后使用回叫控制协议(CBCP)如果配置使用回叫,那么在验证之后远程客户和NAS之间的连接将会被断开。然后由NAS使用特定的电话号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS只支持对位于特定电话号码处的远程客户进行回叫。

阶段4:调用网络层协议

在以上各阶段完成之后,PPP将调用在链路创建阶段(阶段1)选定的各种网络控制协议(NCP).例如,在该阶段IP控制协议(IPCP)可以向拨入用户分配动态地址。在微软的PPP方案中,考虑到数据压缩和数据加密实现过程相同,所以共同使用压缩控制协议协商数据压缩(使用MPPC)和数据加密(使用MPPE)。

数据传输阶段

一旦完成上述4阶段的协商,PPP就开始在连接对等双方之间转发数据。每个被传送的数据报都被封装在PPP包头内,该包头将会在到达接收方之后被去除。如果在阶段1选择使用数据压缩并且在阶段4完成了协商,数据将会在被传送之间进行压缩。类似的,如果如果已经选择使用数据加密并完成了协商,数据(或被压缩数据)将会在传送之前进行加密。

近几年不断出现了一些新的隧道技术,本文将主要介绍这些新技术。具体包括:

1.点对点隧道协议(PPTP

PPTP协议允许对IPIPXNetBEUI数据流进行加密,然后封装在IP包头中通过企业IP网络或公共互联网络发送。

2.2层隧道协议(L2TP

L2TP协议允许对IPIPXNetBEUI数据流进行加密,然后通过支持点对点数据报传递的任意网络发送,如IPX.25,桢中继或ATM

3.安全IPIPSec)隧道模式

IPSec隧道模式允许对IP负载数据进行加密,然后封装在IP包头中通过企业IP网络或公共IP互联网络如Internet发送。