的虚拟专用网络互操作性

WindowsServer2003的虚拟专用网络：互操作性MicrosoftCorporation发布时间：2003年3月摘要Microsoft®Windows®Server2003操作系统集成了VPN技术，该技术帮助实现了通过Internet进行安全、低成本远程访问和分支机构连接。WindowsServer2003虚拟专用网络的设计初衷是与VPN软件和支持安全远程访问行业标准的设备进行交互操作。本白皮书阐述了Microsoft如何致力于通过“基于Internet协议安全性的第二层隧道协议”(L2TP/IPSec)和“点对点隧道协议”(PPTP)等标准来支持VPN互操作性。Microsoft®Windows®Server2003白皮书本文档所包含的信息代表MicrosoftCorporation对截至发布日期之前所讨论问题的当前观点。Microsoft必须紧跟瞬息万变的市场形势，因此不应将其视为Microsoft的承诺，并且Microsoft无法保证发布日期之后所提供的任何信息的准确性。本文档仅用于提供信息之目的。MICROSOFT对本文档中的信息不做任何明示或暗示的担保。遵守所有适用版权法是用户的职责。在不限制版权权利的情况下，如未获得MicrosoftCorporation明确的书面许可，不得以任何形式或通过任何方法（电子、机械、影印、记录或其他方法）或出于任何目的将本文档的任何部分进行复制、存入或引入检索系统或进行传送。Microsoft可能拥有涉及本文档中主题事项的专利权、专利申请权、商标权、版权或其他知识产权。除非得到Microsoft明确提供的任何书面许可协议，否则提供本文档并不表示授予您对这些专利、商标、版权或其他知识产权的许可。©2003MicrosoftCorporation。版权所有，保留所有权利。Microsoft、Windows、Windows徽标和WindowsNT是MicrosoftCorporation在美国和/或其他国家或地区的注册商标或商标。本文档提及的实际公司和产品的名称可能是其各自所有者的商标。Microsoft®Windows®Server2003白皮书目录简介..................................................................................................................................................1VPN技术概述..................................................................................................................................2远程访问VPN要求和基于IPSec的实现........................................................................................3用户身份验证................................................................................................................................3地址分配.......................................................................................................................................4PPTP：基于IPSec的VPN的替代方案和/或补充.......................................................................4MicrosoftVPN支持的未来发展方向..............................................................................................5客户要完成的工作........................................................................................................................5对VPN供应商的建议..................................................................................................................5相关链接..........................................................................................................................................6Microsoft®Windows®Server2003白皮书WindowsServer2003白皮书1简介基于Microsoft®Windows®Server2003的虚拟专用网络支持行业标准技术，为客户提供了一个开放式可互操作虚拟专用网络(VPN)解决方案。Microsoft一直致力于基于“因特网工程工作组”(IETF)标准的技术，例如“Internet协议安全性”(IPSec)和“第二层隧道协议”(L2TP)(RFC3193)，以及“点对点隧道协议”(PPTP)（即多个可互操作第三方产品中支持的经过实践证明的已发布信息性RFC(RFC2637)）。Microsoft支持L2TP/IPSec和PPTP的原因如下：PPTP提供的VPN安全性简单易用且成本较低。与采用IPSec技术的VPN不同，PPTP与多数“网络地址转换器”(NAT)都兼容，并且同时支持多协议环境和组播环境。它还将标准的用户密码身份验证与强加密相结合，避免了公钥基础结构(PKI)的复杂性和支出。IPSec为VPN提供了高级安全性，但其设计初衷并未解决关键的远程访问需要，例如用户身份验证和地址分配。此外，它不支持多协议或组播（包括某些路由协议）。它仅适用于IP单播通信。与IPSec结合的L2TP(L2TP/IPSec)是唯一在利用IPSec进行加密的同时又解决这些远程访问VPN需要的标准跟踪技术(RFC3193)。L2TP目前所保持的IETF标准跟踪状态与IPSec的相同。未将L2TP与IPSec结合使用的第三方“IPSec-only”（仅IPSec）实现使用的是非标准专有技术，这些技术可使客户受困于关闭的解决方案。在缺少基于标准的IPSec解决方案的情况下，Microsoft认为L2TP/IPSec可为多供应商的可互操作远程访问VPN场景提供最佳的基于标准的解决方案。客户应确定VPN解决方案的优先顺序，这些解决方案基于可互操作标准，并支持基于用户的身份验证、授权和帐户设置。如果要考虑IPSec隧道模式的专有实现，则应仔细评估基于L2TP/IPSec的解决方案支持互操作性的近期可行性。客户还应考虑如何用基于PPTP的解决方案来补充其L2TP/IPSec解决方案。Microsoft鼓励VPN网关供应商为远程访问VPN提供L2TP/IPSec支持，并将其作为一种选择来补充适用于站点对站点情况（也称为网关对网关，其中，多协议和组播是起作用的考虑因素）的IPSec隧道模式。通过支持L2TP/IPSec和/或PPTP，Windows客户端可以直接连接到供应商网关和其他VPN解决方案，而无需客户更改客户端代码。Microsoft®Windows®Server2003白皮书WindowsServer2003白皮书2VPN技术概述鉴于企业收购的性质、将公司网络延伸到承包商和合作伙伴的需要以及公司网络内设备的多元性，虚拟专用网络具有的多供应商互操作性在当今的网络环境中必不可少。为确保客户拥有开放式解决方案，基于MicrosoftWindowsServer2003的VPN技术根据行业标准设计而成。通过支持IETF行业标准，Microsoft呈献了一个将与其他符合标准的设备或软件系统协同工作的VPN解决方案，从而帮助降低支持专有解决方案所附带的成本和复杂性。采用基于标准的技术的客户不会受困于任何特定供应商的专有实现。Microsoft支持IETF对VPN技术进行标准化。迄今为止，以下两个主要技术符合IETF标准：第二层隧道协议(L2TP)-PPTP与Cisco的“第二层转发协议”的组合，通过IETF标准过程演化而来。Internet协议安全性(IPSec)-体系结构、协议和相关的“Internet密钥交换”(IKE)协议，在IETFRFC2401-2409中进行了描述。RFC3193（一个IETF提议标准）中对这些技术的组合进行了描述。除了IETF标准跟踪技术之外，Microsoft还支持由PPTP行业论坛（USRobotics[现在的3Com]、3Com/PrimaryAccess、Ascend、Microsoft和ECITelematics）创建的PPTP。PPTP是一个已发布的信息性RFC(RFC2637)，为许多公司提供了第三方实现。针对高级安全性的要求，IPSec作为一种关键技术脱颖而出。但IPSec隧道模式自身就支持传统的身份验证方法、隧道IP地址分配和配置以及多协议，这些都是对远程访问VPN连接的关键要求。为提供真正的可互操作解决方案，WindowsServer2003将L2TP与IPSec结合使用来提供安全的可互操作VPN解决方案。L2TP拥有广泛的供应商支持（尤其是在最大的网络访问设备提供商之中），并且已通过一系列由供应商主办的测试活动验证了互操作性。通过将L2TP作为有效载荷放入IPSec数据包，通信不但受益于IPSec的基于标准的加密、完整性和重放保护，同时还受益于基于PPP的隧道的用户身份验证、隧道地址分配和配置以及多协议支持。这种组合通常被称为L2TP/IPSec。Microsoft®Windows®Server2003白皮书WindowsServer2003白皮书3远程访问VPN要求和基于IPSec的实现远程访问VPN解决方案要求进行用户身份验证（不仅仅是计算机身份验证）、授权和帐户设置以提供安全的客户端对服务器通信，还要求进行隧道地址分配和配置以实现可管理性。未使用L2TP的基于IPSec的实现将使用非标准专有方法来解决这些关键性远程访问VPN要求。用户身份验证许多IPSec隧道模式实现都不支持通过证书来进行基于用户的身份验证。如果单独使用基于计算机的身份验证，则无法通过确定正在访问网络的用户来实施正确的授权。鉴于当今的多用户操作系统，许多用户可能使用的是同一台计算机，如果不采用基于用户的身份验证，IPSec隧道模式就无法对这些用户进行区分。因此，不带用户身份验证的IPSec隧道模式并不适用于远程访问VPN。基于XAUTH（一种非标准跟踪专有技术）的第三方IPSec隧道模式实现试图通过支持用户身份验证专有技术以及预共享组密钥来解决这一问题。结果，预共享组密钥带来了“man-in-the-middle”（中间人攻击）这一安全漏洞，使具备预共享组密钥访问权限的任何人都可以担任“中间人”，从而假冒网络上的其他用户。IPSec隧道模式专用于站点对站点的VPN连接，其中用户身份验证和隧道寻址并不算是问题。由于站点对站点的VPN连接通常是在路由器之间进行，因此减少盒子数量会简化地址分配。同时，由于路由器通常并不具有用户级的身份验证，因此在许多情况下计算机身份验证可能就足够了。对于要求通信为仅IP和仅单播模式的站点对站点配置，Mi