【25软考网工】第六章（4）VPN虚拟专用网 L2TP、PPTP、PPP认证方式；IPSec、GRE

一、虚拟专用网

1. 虚拟专用网基础

1）VPN概念与关键技术

定义：虚拟专用网(Virtual Private Network，VPN)是一种建立在公网上的，由某一组织或某一群用户专用的通信网络，类似于城市中的公交车专用通道。

类比理解：如同在传统马路上用黄线划出公交专用道， VPN在传统互联网上通过技术手段划出专用通道。

关键技术：

• 隧道技术（Tunrling)：实现远程设备与内网设备"同局域网"效果。例如出差员工PC(北京)通过隧道获得内网IP(如192.168.1.2)，与上海文件服务器(192.168.1.1)直接通信。
• 加解密技术(Emcryption&Decryption)：防止数据在公网传输时被截获。
• 密钥管理(Key Management)：定期更换通信密钥(如3-5小时更换一次)。
• 身份认证(Authentication)：通过用户名/密码、UK、指纹等多因素认证确保接入安全。

2.VPN分类

1) 根据应用场景分类：

Client-to-Site VPN：

• 客户机与企业内网之间通过VPN隧道建立连接，客户机可以是一台防火墙、路由器，也可以是个人计算机。
• 场景：个人PC/移动设备访问企业内网(如出差员工)
• 别名：Remote VPN/Easy VPN
• 实现技术：SSL(最常用)、IPSec、L2TP、L2TP over IPSec
• 特点：L2TP本身不加密，需结合IPSec实现安全(L2TP over IPSec)

Site-to-Site VPN：

• 两个局域网之间通过VPN隧道建立连接，部署的设备通过为路由器挥着防火墙。
• 场景：总分机构互联(如学校本部与分校)
• 部署设备：路由器/防火墙
• 实现技术：
  • IPSec：支持加密但不支持组播(影响OSPF/视频会议)
  • GRE over IPSec：最常用组合，GRE支持组播+IPSec提供加密
  • 注意：实际不用IPSec over GRE(仍不支持组播)
    • L2TP（不加密、不支持组播）、L2TP over IPSec

2) 根据VPN实现层次分类

第二层——数据链路层：

• 主要技术：PPTP、L2TP(常考)
• 特点：L2TP需结合IPSec实现加密(L2TP over IPSec)

第三层——网络层：

• 核心技术：
  • GRE(通用路由封装)：支持组播但不加密
  • IPSec：支持加密但不支持组播
• 最佳实践：GRE over IPSec组合使用

第四层——传输层：

• 技术：SSL/TLS VPN
• 关系：TLS基于SSL制定的标准，二者为"同门师兄弟"
• 应用：主要用于保护HTTP等应用层协议

二、 二层隧道协议——PPTP和L2TP、PPP认证方式

1.PPTP和L2TP

PPTP（Point-to-Point Tunneling Protocol,点对点隧道协议）

L2TP（Layer 2 Tunneling Protocol,第二层隧道协议）

底层协议: PPTP和L2TP都基于PPP协议，这是选择题高频考点

协议差异:

• 适用范围:
  • PPTP仅支持TCP/IP体系（网络层必须是IP协议）
  • L2TP可运行在IP（使用UDP）、X.25、帧中继或ATM网络上
• 隧道数量:
  • PPTP只能在两端点建立单一隧道
  • L2TP支持建立多个隧道
• 包头压缩:
  • L2TP支持压缩（开销4字节）
  • PPTP不支持（开销6字节）
• 安全特性:
  • L2TP提供隧道验证但不加密
  • PPTP不支持隧道验证但支持加密

PPP（Point-to-Point Protocol）组成 : 包含链路控制协议LCP（对接物理层）和网络控制协议NCP（对接网络层）

PPP（Point-to-Point Protocol，是一种数据链路层协议）由三个主要部分组成：

• 链路控制协议（LCP）：用于建立、配置和测试数据链路连接。
• 网络控制协议（NCP）：用于协商网络层协议的具体参数。
• 身份验证协议：如PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol），用于验证连接双方的身份

2. PPP认证方式

1）PAP(Password Authentication Protocol)

• 握手次数: 两次握手验证协议
• 传输方式: 口令以明文传送
• 认证流程: 被认证方主动发起请求，发送用户名+密码给主认证方进行验证
• 安全性: 较低，因为采用明文传输密码

2）CHAP(Challenge Handshake Authentication Protocol)

• 握手次数: 三次握手验证协议
• 传输内容: 不传送明文口令，传送HMAC散列值（基于哈希H的消息认证码MAC）
• 认证流程:
  • 主认证方发起质询（包含用户名和随机报文）
  • 被认证方用密码+随机数生成哈希值返回
  • 主认证方验证哈希值是否匹配
• 通过挑战-响应机制来验证用户身份：服务器向客户端发送一个随机生成的挑战值，客户端使用预共享的密码和挑战值生成一个哈希值，并将其发送回服务器。服务器使用相同的密码和挑战值生成哈希值，并与客户端发送的哈希值进行比较。如果匹配，则验证成功。
• 安全性: 更高，采用哈希值代替明文传输
• 关联知识: 该过程与哈希应用场景中的认证过程原理一致

3. 应用 案例

1）例题:CHAP协议定义

• 握手方式: CHAP采用三次握手周期验证身份（B选项正确）
• 挑战响应机制: 服务器发送挑战报文后，终端计算该报文的HASH值（D选项正确）
• HASH生成原理: 基于用户密码+服务器随机数生成HMAC（哈希消息认证码）
• 典型错误: 注意CHAP值（C选项）是干扰项，实际应返回哈希值
• 答案：（19）B （20）D

2）例题:PPP协议定义

• 错误描述识别: "只能采用IP作为网络层协议"（C选项）是错误的
• 协议特性对比:
  • PPP: 支持多协议（IP/IPX等）、具有地址协商功能、支持错误检测
  • HDLC: 仅支持IP、无地址协商、支持错误检测
• 功能验证:
  • A选项（链路控制）正确，通过LCP实现
  • B选项（IP地址管理）属于PPP扩展功能
• 考试提示: 该考点近年较少出现，但需掌握基础对比表格
• 答案：C

3）例题:二层隧道协议

• 协议层级判断:
  • 二层隧道：PPTP和L2TP（A选项正确）
  • 排除依据：IPSec属三层，GRE属三层
• TCP/IP依赖要求:
  • PPTP必须依赖TCP/IP（B选项正确）
  • L2TP无此限制
• 安全特性补充:
  • PPTP支持加密
  • L2TP不提供原生加密（需结合IPSec）
• 解题技巧: 需同时掌握协议层级和特性差异才能准确排除干扰项
• 答案：(14)A (15)B

4.知识小结

三、第三层隧道协议--IPSec基础、GRE

• 概念：IPSec(IP Security)是IETF定义一组协议，用于增强网络的安全性。
• 工作层：第三层网络层/网际层
• 作用：IPv4增加安全性，向IPv6过渡。
• 提供以下安全服务：
  • 数据完整性（Data Integrity)
  • 认证(Authentication)
  • 保密性(Confidentiality)
  • 应用透明安全性(Application-transparent Security)

1. IPSec原理

1）认证头AH

• 功能: IP包的数据完整性、数据来源认证和抗重放攻击服务，但不提供数据保密服务。
• 实现算法: MD5、SHA。

2）封装安全负荷 ESP

• 功能:除了提供IP包的数据完整性、数据来源认证和抗重放攻击服务，提供数据加密功能。
• 加密算法: DES、3DES、AES等。

3）Internet密钥交换协议IKE

• 功能: 用于生成和分发在ESP和AH中使用的密钥。
• 算法: 常用DH算法进行密钥交换。

2. IPSec两种封装模式

1）原始报文

• 描述: 原始报文结构包括IP头、TCP头和数据。

2）传输模式与隧道模式

• 传输模式:
  • 特点: 效率高，不封装新的IP头，而是在原始报文中间插入AH头。
  • 安全性: 相对较低，因为原始IP头未加密。
• 隧道模式:
  • 特点: 安全性更高，封装新的IP头，将加入AH头后的整个原始报文作为数据加密后封装在新IP头内。
  • 开销: 较大，因为需要封装新的IP头。
  • 效率: 相对较低。
• 记忆技巧: 隧道模式类似于盾构机挖隧道，有一个新的“头”（盾构机的前端），因此隧道模式有新的IP头。

3. GRE虚拟专网

• GRE(Generic Routing Encapsulation，通用路由封装):
  • 定义: 网络层隧道协议，对组播等技术支持很好。
  • 缺点: 本身不加密。
• IPSec与GRE结合:
  • 原因: GRE对组播支持好，但不加密；IPSec加密但对组播支持不佳。
  • 方式: 先用GRE封装，再用IPSec加密，即GRE over IPSec。
• 协议号与端口:
  • GRE协议号: 47。
  • IPSec IKE端口: UDP 500（日常用）和4500（涉及NAT穿越时用）。

4.IPSec协议专题

1) 例题：IPSec协议描述

• AH功能：认证头(AH)仅提供数据完整性和源认证服务，不提供数据加密（A选项正确）
• ESP功能：封装安全负荷(ESP)主要用于数据加密，但也可用于完整性认证（B选项部分正确）
• 模式区别：传输模式不添加新IP头，隧道模式会封装新IP头（C选项错误）
• 协议层级：IPSec是网络层协议，与应用层Web服务器无关（D选项错误）
• 易错点：注意ESP的双重功能，若题目无A选项时B也可选
• 答案：A

2)例题：IPSec安全性

• 完整性保护：通过AH中的哈希算法（如MD5）实现（A正确）
• 身份认证：AH可提供用户身份认证服务（B正确）
• 封装位置：AH添加在TCP头部之前，不在TCP内部（C错误）
• 加密传输：通过ESP子协议实现数据加密（D正确）
• 记忆技巧：AH像"身份证"（认证），ESP像"保险箱"（加密）
• 答案：C

3)例题：IP数据报文加密

• 协议对比：
  • PP2P/L2TP：二层隧道协议
  • HTTPS/TLS：应用层/传输层安全协议
  • IPSec：唯一直接加密IP报文的网络层协议
• 经典结论：IP层加密首选IPSec（A选项）
• 答案：A

4)例题：IPSec封装方式

• 传输模式：原IP头|AH|TCP|数据（对应②）
• 隧道模式：新IP头|AH|原IP头|TCP|数据（对应③）
• 错误识别：
  • ①是原始报文（无AH）
  • ②是传输模式非隧道模式
  • ③是唯一正确的隧道模式描述
• 答案：C

5)例题：数据加密协议

• 对称算法：IDEA、AES、RC4均用于数据加密
• 非对称算法：Diffie-Hellman(DH)用于密钥交换
• 关键区别：加密算法（处理数据）vs 密钥交换算法（建立安全通道）
• 答案：B

6) 例题：IPSec说法

• 核心错误：AH不提供数据机密性服务,ESP提供加密服务（B选项错误）
• 模式特征：
  • 传输模式：仅处理数据部分（C正确）
  • 隧道模式：封装原IP头在内的所有字段（D正确）
• 高频考点：AH与ESP的功能差异每年必考
• 答案：B

7)例题：增强网际层安全协议

• 协议层级：
  • L2TP/PPTP：二层协议
  • TLS：传输层协议
  • IPSec：唯一网络层安全协议
• 组合应用：L2TP常与IPSec结合使用（L2TP over IPSec）
• 答案：A

8)例题：IPSec说法

• 重复考点：与1.6题完全相同，再次验证AH无加密功能
• 应试技巧：同类题目可能在不同年份重复出现
• 答案：B

9)例题：加密功能隧道技术

• 加密能力：
  • GRE/L2TP/MPLS-VPN：均无原生加密
  • IPSec：唯一自带加密的隧道技术
• 典型组合：GRE over IPSEC是常见解决方案
• 答案 ：D

10) 例题：AH协议功能

• 功能清单：
  • 抵抗重放攻击
  • 数据源认证
  • 数据完整认证
• 排除项：数据保密性属于ESP功能（A选项）
• 答案：A

11)例题：安全联盟三元组内容

​​​​​​​

• 三元组构成：
  • 安全参数索引(SPI)
  • 目的IP地址
  • 安全协议标识符(AH/ESP)
• 答案：C

5.知识小结