【IT168学院】VPN是虚拟专用网（Virtual Private Network）的缩写，VPN就是利用开放的公众网络建立专用数据传输通到，将企业的分支机构、商业伙伴、移动办公等连接起来，并且提供安全的端到端的数据通信的一种广域网技术。目前，VPN的应用越来越广泛，而且大多数的VPN都是用路由器或防火墙等硬件加软件实现的。实现虚拟专用网技术（VPN）的协议虽然很多，但其具体实现都是采用隧道技术,将企业网的数据封装在隧道中进行传输。隧道协议可分第二层和第三层隧道协议。第二层隧道协议包括：点对点隧道协议PPTP（Point-to-Point Tunneling Protocol）、第二层转发协议L2F(Layer 2 Forwarding)、第二层隧道协议L2TP(Layer 2 Tunneling Protocol)；第三层隧道协议包括：通用路由封装GRE(Generic Routing Encapsulation)、IPSec(IP Security )。

　　微软在Windows 2000中全面实现了PPTP 、L2TP、 IPSec协议，在以前的Windows NT4中只实现了PPTP，本文介绍如何在Windows 2000中配置建立基于IPSec的VPN应用。

2. IPSec 简介

　　IPSec实际上是一套协议包而不是单个的协议，IPSec是在IP网络上保证安全通信的开放标准框架，它在IP层提供数据源验证、数据完整性和数据保密性。其中比较重要的有RFC2409 IKE（Internet Key Exchange）互连网密钥交换、RFC2401 IPSec协议、RFC2402 AH（Authentication Header）验证包头、RFC2406 ESP (Encapsulating Security Payload)加密数据等协议。IPSec独立于密码学算法，这使得不同的用户群可以选择不同一套安全算法。

　　IPSec主要由AH（认证头）协议，ESP（封装安全载荷）协议以及负责密钥管理的IKE（因特网密钥交换）协议组成。AH为IP数据包提供无连接的数据完整性和数据源身份认证。数据完整性通过消息认证码（如MD5、SHA1）产生的校验值来保证，数据源身份认证通过在待认证的数据中加入一个共享密钥来实现。ESP为IP数据包提供数据的保密性（通过加密机制）、无连接的数据完整性、数据源身份认证以及防重防攻击保护。AH和ESP可以单独使用，也可以配合使用，通过组合可以配置多种灵活的安全机制。密钥管理包括IKE协议和安全联盟SA（Security Association）等部分。IKE在通信双方之间建立安全联盟，提供密钥确定、密钥管理机制，是一个产生和交换密钥材料并协商IPSec参数的框架。IKE将密钥协商的结果保留在SA中，供AH和ESP通信时使用。

　　IPSec工作模式支持传输模式和隧道模式，在公共IP网上建立私有IP地址的VPN就只能使用隧道模式。