Компоненты VPN-подключения удаленного доступа
VPN-подключение удаленного доступа, изображенное на Рисунке 3, состоит из клиента удаленного доступа, сервера удаленного доступа и сети Интернет.
Рисунок 3 – Компоненты VPN-подключения удаленного доступа
VPN-клиент удаленного доступа
VPN-клиентами являются либо отдельные пользователи, устанавливающие подключения удаленного доступа, либо маршрутизаторы, устанавливающие VPN-подключения "маршрутизатор-маршрутизатор". VPN-клиенты под управлением операционных систем Windows XP, Windows 2000, Windows NT 4.0, Windows Millennium Edition и Windows 98 могут создавать VPN-подключения удаленного доступа к серверу удаленного доступа под управлением Windows 2000, выступающему в роли VPN-сервера, а также к большинству других VPN-серверов. VPN-клиентом может также являться любой клиент на основе протокола PPTP (Point-to-Point Tunneling Protocol) или L2TP (Layer Two Tunneling Protocol), использующий IP-безопасность (IPSec). Компьютеры под управлением ОС Windows 2000 Server или Windows NT Server 4.0 (с установленной службой маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS) для Windows NT 4.0 Server) могут создавать VPN-подключения "маршрутизатор-маршрутизатор".
VPN-сервер удаленного доступа
Сервер удаленного доступа под управлением Windows 2000 принимает VPN-подключения на основе протоколов PPTP и L2TP/IPSec и пересылает пакеты между клиентами удаленного доступа и сетью, к которой он подключен.
VPN-протоколы
Сервер удаленного доступа под управлением Windows 2000, а также клиенты удаленного доступа поддерживают два протокола для VPN-подключений удаленного доступа:
- Протокол PPTP (Point-to-Point Tunneling Protocol – туннельный протокол "точка-точка")
- Протокол L2TP (Layer Two Tunneling Protocol – протокол туннелирования второго уровня)
Протокол PPTP (Point-to-Point Tunneling Protocol)
Туннельный протокол PPTP, поддержка которого впервые была реализована в операционной системе Windows NT 4.0, является расширением протокола PPP (Point-to-Point Protocol) и имеет улучшенные механизмы проверки подлинности, сжатия и шифрования. Протокол PPTP устанавливается автоматически вместе с протоколом TCP/IP. Главными функциями протокола PPTP и метода MPPE (Microsoft Point-to-Point Encryption) при работе с VPN являются инкапсуляция и шифрование личных данных.
Кадр PPP (IP- или IPX-датаграмма) заключается в оболочку с заголовком GRE (Generic Routing Encapsulation) и заголовком IP. IP-заголовок содержит IP-адреса источника и приемника, которые соответствуют VPN-клиенту и VPN-серверу.
Кадр PPP зашифрован по методу MPPE с использованием ключей шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP, MS-CHAP v2 или EAP-TLS. Клиенты виртуальных частных сетей должны использовать для шифрования полезных данных PPP протокол проверки подлинности MS-CHAP, MS-CHAP v2 или EAP-TLS. PPTP не предоставляет средств шифрования, а использует средства, предоставляемые протоколом PPP, и инкапсулирует предварительно зашифрованный кадр PPP.
На Рисунке 4 показано шифрование кадра PPP и его инкапсуляция протоколом PPTP.
Рисунок 4 – Шифрование и инкапсуляция кадра PPP протоколом PPTP