【25软考网工】第六章（4）VPN虚拟专用网 L2TP、PPTP、PPP认证方式；IPSec、GRE

隧道技术（Tunrling) ：实现远程设备与内网设备"同局域网"效果。例如出差员工PC(北京)通过隧道获得内网IP(如192.168.1.2)，与上海文件服务器(192.168.1.1)直接通信。
加解密技术(Emcryption&Decryption) ：防止数据在公网传输时被截获。
密钥管理(Key Management)：定期更换通信密钥(如3-5小时更换一次)。
身份认证(Authentication)：通过用户名/密码、UK、指纹等多因素认证确保接入安全。

2.VPN分类

1) 根据应用场景分类：

Client-to-Site VPN：

客户机与企业内网之间 通过VPN隧道建立连接，客户机可以是一台防火墙、路由器，也可以是个人计算机。
场景：个人PC/移动设备访问企业内网(如出差员工)
别名：Remote VPN/Easy VPN
实现技术：SSL(最常用) 、IPSec、L2TP、L2TP over IPSec
**特点：**L2TP本身不加密，需结合IPSec实现安全(L2TP over IPSec)

Site-to-Site VPN：

两个局域网之间 通过VPN隧道建立连接，部署的设备通过为路由器挥着防火墙。
场景：总分机构互联(如学校本部与分校)
部署设备：路由器/防火墙
实现技术：
- IPSec ：支持加密但不支持组播(影响OSPF/视频会议)
- GRE over IPSec：最常用组合，GRE支持组播+IPSec提供加密
- 注意：实际不用IPSec over GRE(仍不支持组播)
  - L2TP（不加密、不支持组播）、L2TP over IPSec

2) 根据VPN实现层次分类

第二层------数据链路层 ：

主要技术 ：PPTP、L2TP(常考)
特点：L2TP需结合IPSec实现加密(L2TP over IPSec)

第三层------网络层：

核心技术：
- **GRE(**通用路由封装)：支持组播但不加密
- IPSec：支持加密但不支持组播
最佳实践 ：GRE over IPSec组合使用

第四层------传输层：

技术：SSL/TLS VPN
关系：TLS基于SSL制定的标准，二者为"同门师兄弟"
应用：主要用于保护HTTP等应用层协议

二、二层隧道协议------PPTP和L2TP、PPP认证方式

1.PPTP和L2TP

PPTP（Point-to-Point Tunneling Protocol,点对点隧道协议）

L2TP（Layer 2 Tunneling Protocol,第二层隧道协议）

底层协议: PPTP和L2TP都基于PPP协议，这是选择题高频考点

协议差异:

适用范围:
- PPTP仅支持TCP/IP体系（网络层必须是IP协议）
- L2TP可运行在IP（使用UDP）、X.25、帧中继或ATM网络上
隧道数量:
- PPTP只能在两端点建立单一隧道
- L2TP支持建立多个隧道
包头压缩:
- L2TP支持压缩（开销4字节）
- PPTP不支持（开销6字节）
安全特性:
- L2TP提供隧道验证但不加密
- PPTP不支持隧道验证但支持加密

PPP（Point-to-Point Protocol）组成: 包含链路控制协议LCP（对接物理层）和网络控制协议NCP（对接网络层）

PPP（Point-to-Point Protocol，是一种数据链路层协议）由三个主要部分组成：

链路控制协议（LCP）：用于建立、配置和测试数据链路连接。
网络控制协议（NCP）：用于协商网络层协议的具体参数。
身份验证协议：如PAP（Password Authentication Protocol）和CHAP（Challenge Handshake Authentication Protocol），用于验证连接双方的身份

2. PPP认证方式

1）PAP(Password Authentication Protocol)

握手次数: 两次握手验证协议
传输方式 : 口令以明文传送
认证流程: 被认证方主动发起请求，发送用户名+密码给主认证方进行验证
安全性: 较低，因为采用明文传输密码

2）CHAP(Challenge Handshake Authentication Protocol)

握手次数: 三次握手验证协议
传输内容: 不传送明文口令，传送HMAC散列值 （基于哈希H的消息认证码MAC）
认证流程:
- 主认证方发起质询（包含用户名和随机报文）
- 被认证方用密码+随机数生成哈希值返回
- 主认证方验证哈希值是否匹配
通过挑战-响应机制来验证用户身份 ：服务器向客户端发送一个随机生成的挑战值，客户端使用预共享的密码和挑战值生成一个哈希值，并将其发送回服务器。服务器使用相同的密码和挑战值生成哈希值，并与客户端发送的哈希值进行比较。如果匹配，则验证成功。
安全性: 更高，采用哈希值代替明文传输
关联知识: 该过程与哈希应用场景中的认证过程原理一致

3. 应用案例

1）例题:CHAP协议定义

握手方式: CHAP采用三次握手周期验证身份（B选项正确）
挑战响应机制: 服务器发送挑战报文后，终端计算该报文的HASH值（D选项正确）
HASH生成原理: 基于用户密码+服务器随机数生成HMAC（哈希消息认证码）
典型错误: 注意CHAP值（C选项）是干扰项，实际应返回哈希值
答案：（19）B （20）D

2）例题:PPP协议定义

错误描述识别: "只能采用IP作为网络层协议"（C选项）是错误的
协议特性对比:
- PPP: 支持多协议（IP/IPX等）、具有地址协商功能、支持错误检测
- HDLC: 仅支持IP、无地址协商、支持错误检测
功能验证:
- A选项（链路控制）正确，通过LCP实现
- B选项（IP地址管理）属于PPP扩展功能
考试提示: 该考点近年较少出现，但需掌握基础对比表格
答案：C

3）例题:二层隧道协议

协议层级判断:
- 二层隧道：PPTP和L2TP（A选项正确）
- 排除依据：IPSec属三层，GRE属三层
TCP/IP依赖要求:
- PPTP必须依赖TCP/IP（B选项正确）
- L2TP无此限制
安全特性补充:
- PPTP支持加密
- L2TP不提供原生加密（需结合IPSec）
解题技巧: 需同时掌握协议层级和特性差异才能准确排除干扰项
答案：(14)A (15)B

4.知识小结

|------------------|--------------------------------------------------------------------------------------------------|---------------------------------------------------------------|-------|
| 知识点 | 核心内容 | 考试重点/易混淆点 | 难度系数 |
| 虚拟专用网(VPN)概念 | 建立在公网上的专用通信网络，类似公交车专用道 | 英文全称Virtual Private Network缩写VPN | ★★☆☆☆ |
| VPN关键技术 | 1. 隧道技术 2. 加解密技术 3. 密钥管理技术 4. 身份认证技术 | 四大技术常考选择题隧道技术实现远程PC与内网同网段效果 | ★★★☆☆ |
| VPN分类(按场景) | 1. Client to Site(远程接入VPN) 2. Site to Site(站点间VPN) | Client to Site常用SSL/IPSec Site to Site最常用IPSec/GRE over IPSec | ★★★☆☆ |
| VPN实现层次 | 二层：PPTP/L2TP 三层：GRE/IPSec(重点) 传输层：SSL/TLS | GRE支持组播但不加密，IPSec加密但不支持组播实际常用GRE over IPSec | ★★★★☆ |
| PPTP与L2TP对比 | 1. PPTP仅支持TCP/IP，L2TP支持多协议 2. PPTP单隧道，L2TP多隧道 3. L2TP支持头压缩(4字节) vs PPTP(6字节) 4. L2TP不加密，PPTP支持加密 | 选择题高频考点两者都基于PPP协议 | ★★★★☆ |
| PPP认证协议 | 1. PAP(两次握手明文传输) 2. CHAP(三次握手哈希认证) | CHAP认证过程： 1. 服务器发随机数 2. 客户端计算哈希(密码+随机数) 3. 验证哈希值 | ★★★★☆ |
| GRE over IPSec优势 | 1. 支持组播(路由协议/视频会议) 2. 支持加密 3. 实际部署首选方案 | 案例分析高频考点与IPSec over GRE的区别 | ★★★★☆ |

三、第三层隧道协议--IPSec基础、GRE

概念：IPSec(IP Security)是IETF定义一组协议，用于增强网络的安全性。
工作层 ：第三层网络层/网际层
作用：IPv4增加安全性，向IPv6过渡。
提供以下安全服务：
- 数据完整性（Data Integrity)
- 认证(Authentication)
- 保密性(Confidentiality)
- 应用透明安全性(Application-transparent Security)

1. IPSec原理

1）认证头AH

功能: IP包的数据完整性 、数据来源认证 和抗重放 攻击服务，但不提供数据保密服务。
实现算法: MD5、SHA。

2）封装安全负荷 ESP

功能:除了提供IP包的数据完整性 、数据来源认证 和抗重放攻击服务， 提供数据加密功能。
加密算法: DES、3DES、AES等。

3）Internet密钥交换协议IKE

功能: 用于生成和分发在ESP和AH中使用的密钥。
算法: 常用DH算法进行密钥交换。

2. IPSec两种封装模式

1）原始报文

描述: 原始报文结构包括IP头、TCP头和数据。

2）传输模式与隧道模式

传输模式:
- 特点: 效率高，不封装新的IP头，而是在原始报文中间插入AH头。
- 安全性: 相对较低，因为原始IP头未加密。
隧道模式 :
- 特点: 安全性更高，封装新的IP头，将加入AH头后的整个原始报文作为数据加密后封装在新IP头内。
- 开销: 较大，因为需要封装新的IP头。
- 效率: 相对较低。
记忆技巧: 隧道模式类似于盾构机挖隧道，有一个新的"头"（盾构机的前端），因此隧道模式有新的IP头。

3. GRE虚拟专网

GRE(Generic Routing Encapsulation，通用路由封装 ):
- 定义 : 网络层隧道协议，对组播等技术支持很好。
- 缺点: 本身不加密。
IPSec与GRE结合:
- 原因: GRE对组播支持好，但不加密；IPSec加密但对组播支持不佳 。
- 方式 : 先用GRE封装，再用IPSec加密，即GRE over IPSec。
协议号与端口:
- GRE协议号: 47。
- IPSec IKE端口: UDP 500（日常用）和4500（涉及NAT穿越时用）。

4.IPSec协议专题

1) 例题：IPSec协议描述

AH功能：认证头(AH)仅提供数据完整性和源认证服务，不提供数据加密（A选项正确）
ESP功能：封装安全负荷(ESP)主要用于数据加密，但也可用于完整性认证（B选项部分正确）
模式区别：传输模式不添加新IP头，隧道模式会封装新IP头（C选项错误）
协议层级：IPSec是网络层协议，与应用层Web服务器无关（D选项错误）
易错点：注意ESP的双重功能，若题目无A选项时B也可选
答案：A

2)例题：IPSec安全性

完整性保护：通过AH中的哈希算法（如MD5）实现（A正确）
身份认证：AH可提供用户身份认证服务（B正确）
封装位置：AH添加在TCP头部之前，不在TCP内部（C错误）
加密传输：通过ESP子协议实现数据加密（D正确）
记忆技巧：AH像"身份证"（认证），ESP像"保险箱"（加密）
答案：C

3)例题：IP数据报文加密

协议对比：
- PP2P/L2TP：二层隧道协议
- HTTPS/TLS：应用层/传输层安全协议
- IPSec：唯一直接加密IP报文的网络层协议
经典结论：IP层加密首选IPSec（A选项）
答案：A

4)例题：IPSec封装方式

传输模式：原IP头|AH|TCP|数据（对应②）
隧道模式：新IP头|AH|原IP头|TCP|数据（对应③）
错误识别：
- ①是原始报文（无AH）
- ②是传输模式非隧道模式
- ③是唯一正确的隧道模式描述
答案：C

5)例题：数据加密协议

对称算法：IDEA、AES、RC4均用于数据加密
非对称算法：Diffie-Hellman(DH)用于密钥交换
关键区别：加密算法（处理数据）vs 密钥交换算法（建立安全通道）
答案：B

6) 例题：IPSec说法

核心错误：AH不提供数据机密性服务,ESP提供加密服务（B选项错误）
模式特征：
- 传输模式：仅处理数据部分（C正确）
- 隧道模式：封装原IP头在内的所有字段（D正确）
高频考点：AH与ESP的功能差异每年必考
答案：B

7)例题：增强网际层安全协议

协议层级：
- L2TP/PPTP：二层协议
- TLS：传输层协议
- IPSec：唯一网络层安全协议
组合应用：L2TP常与IPSec结合使用（L2TP over IPSec）
答案：A

8)例题：IPSec说法

重复考点：与1.6题完全相同，再次验证AH无加密功能
应试技巧：同类题目可能在不同年份重复出现
答案：B

9)例题：加密功能隧道技术

加密能力：
- GRE/L2TP/MPLS-VPN：均无原生加密
- IPSec：唯一自带加密的隧道技术
典型组合：GRE over IPSEC是常见解决方案
答案：D

10) 例题：AH协议功能

功能清单：
- 抵抗重放攻击
- 数据源认证
- 数据完整认证
排除项：数据保密性属于ESP功能（A选项）
答案：A

11)例题：安全联盟三元组内容

三元组构成：
- 安全参数索引(SPI)
- 目的IP地址
- 安全协议标识符(AH/ESP)
答案：C

5.知识小结

|----------------|--------------------------------------------------------------|----------------------------|--------|
| 知识点 | 核心内容 | 考试重点/易混淆点 | 难度系数 |
| ipsec基础 | ipsec（IP Security）是IETF定义的一组协议，包含多个子协议，用于增强IP网络的安全性 | ipsec是一组协议，不是单个协议；网络层=网际层 | 🌟 |
| ipsec的目的 | 主要用来增强IP网络的安全性，保护IP网络 | ipsec的工作层次是网络层（网际层） | 🌟 |
| ipv4与ipsec | ipv4网络没有安全机制，ipsec作为补丁来增强安全性 | ipv4与ipsec的关系，ipsec作为安全补丁 | 🌟🌟 |
| ipv6与ipsec | ipv6通过扩展头（AH和esp）天然集成ipsec | ipv6的扩展头与ipsec的集成 | 🌟🌟 |
| ipsec的安全服务 | 提供数据完整性校验、认证、保密性（数据加密） | ipsec提供的具体安全服务 | 🌟 |
| ipsec的子协议功能 | - AH：提供数据完整性和数据原认证，不提供数据加密; - esp：提供数据加密功能; - ike：用于生成和分发密钥 | AH不提供数据加密；esp提供数据加密；ike的功能 | 🌟🌟🌟 |
| ipsec的封装模式 | - 传输模式：在原有报文中间插入AH/esp头; - 隧道模式：添加新的IP头，封装原有报文 | 传输模式与隧道模式的区别 | 🌟🌟🌟 |
| GRE与ipsec的结合 | GRE用于封装，但不加密； ipsec用于加密；常结合使用（GRE over ipsec） | GRE与ipsec的结合方式及原因 | 🌟🌟 |
| ipsec的协议号与端口 | - 协议号：47; - ike常用端口：udp 500； NAT穿越时使用udp 4500 | ipsec的协议号与ike的端口号 | 🌟 |
| 易混淆点：隧道模式与传输模式 | 隧道模式添加新IP头，开销大，安全性高；传输模式效率高，安全性不如隧道模式 | 隧道模式与传输模式的优缺点及区分 | 🌟🌟🌟 |
| 安全联盟SA | SA是ipsec技术实现的基础，由三元组唯一标识：安全参数索引SPI、目的IP地址、安全协议（AH/esp） | SA的三元组组成 | 🌟🌟 |