阅读以下说明，回答问题1～4，将解答填入对应栏内。虚拟专用网是虚拟私有网络(Virtual Private Network，VPN)的简称，它是一种利用公共网络来构建的私有专用网络。对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。主要有两种类型的隧道协议：一种二层隧道协议，如PPTP、L2TP；另一种是三层隧道协议，GRE、IPsec。另外，还有第四层隧道协议，如SSL VPN。图3-1所示的是某公司的总部与其分支机构连接的示意图。

问答题针对不同的用户要求，VPN有三种解决方案：(1)、(2)和(3)。根据这三种解决方案的特点，该方案应该采用(2)。

【正确答案】正确答案：(1)远程访问虚拟网(Access VPN) (2)企业内部虚拟网(Intranet VPN) (3)企业扩展虚拟网(ExtranetVPN)

【答案解析】解析：Access VPN是通过公用网络与企业的Intranet和Extranet建立私有的网络连接，为出差流动员工、远程办公人员和远程小办公室提供VPN服务的，通常使用二层网络隧道技术。Intranet VPN是通过公用网络进行企业各个分布点互联，是传统的专线网或其他企业网的扩展或替代形式。利用IP网络构建VPN的实质是通过公用网在各个路由器之间建立VPN安全隧道来传输用户的私有网络数据，用于构建这种VPN连接的隧道技术有IPsec、GRE等。结合服务商提供的QoS机制，可以有效而且可靠地使用网络资源，保证了网络质量。Extranet VPN是通过一个使用专用连接的共享基础设施，将客户、供应商、合作伙伴或兴趣群体连接到企业内部网。由此可见，本题中使用的是Intranet VPN。

问答题如果按照图3-1所示的网络结构配置IPSecVPN，它有隧道和传输两种工作方式。若IPSec工作在隧道模式，采用安全机制选择的是AH。在下列三个选项中选择正确选项填写到图3-2中相应空缺处。 (a)AH头 (b)封装后的IP包头 (c)封装前的IP头

【正确答案】正确答案：(4)b (5)a (6)c

【答案解析】解析：传输模式下，VPN服务器只对IP数据报中TCP/UDP报文段部分进行加密和验证，而IP报头仍采用原始明文IP报头，只是做适当的修改；但在隧道模式下，VPN服务器会对整个IP数据报进行加密和验证，即将原IP数据报看做一个整体进行加密和验证，为了能在Internet正确传送，VPN服务器还需要重新生成IP报头。由此可见，空(1)处，应是重新生成IP报头，空(2)处是用于验证的AH报头，空(3)处是原IP数据报的报头。

问答题 VPN服务器既可以接收来自VPN传输的数据，也可接收来自Internet的数据。对于来自VPN传输的数据(7)，来自Internet的数据(8)。VPN服务器是通过(9)来区分这两种IP数据包的。

【正确答案】正确答案：(7)进行解密和验证，并重新封装 (8)直接转发 (9)IP报头中的IP协议号

【答案解析】解析：VPN服务器既可以接到来处VPN传输来数据，也可接收来自Internet的数据。对于来自VPN传输来数据需要进行解密和验证，并重新封装，而来自Internet的数据则直接转发。对于IPSec数据包，VPN服务器是通过IP报头中的IP协议号来标识的。若使用AH协议，则IP协议号为51，若使用ESP协议，则IP协议号为50。

问答题如果按照图3-1所示的网络结构配置L2TP，则数据是通过二层协议(10)来封装，身份认证方法是(11)。

【正确答案】正确答案：(10)PPP (11)PPP CHAP

【答案解析】解析：二层隧道协议主要有三种：PPTP(Point to Point Tunneling Protocol，点对点隧道协议)、L2F(Layer2 Forwarding，二层转发协议)和L2TP(Layer 2 Tunneling Protocol，二层隧道协议)。其中L2TP结合了前两个协议的优点，具有更优越的特性，它是通过PPP协议来封装VPN数据的。与PPP类似，L2TP可以对隧道端点进行验证。不同的是，PPP可以选择采用PAP方式以明文传输用户名及密码，而L2TP规定必须使用类似PPP CHAP的验证方式。