VPN技术详解(下).docx

《VPN技术详解(下).docx》由会员分享，可在线阅读，更多相关《VPN技术详解(下).docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、VPN 技术详解下六、隧道技术如何实现对于象PPTP 和 L2TP 这样的第 2 层隧道协议，创立隧道的过程类似于在双方之间建立会话；隧道的两个端点必需同意创立隧道并协商隧道各种配置变量，如地址安排，加密或压缩等参数。绝大多数状况下，通过隧道传输的数据都使用基于数据报的协议发送。隧道维护协议被用来作为治理隧道的机制。第 3 层隧道技术通常假定全部配置问题已经通过手工过程完成。这些协议不对隧道进展维护。与第 3 层隧道协议不同，第 2 层隧道协议PPTP 和 L2TP必需包括对隧道的创立， 维护和终止。隧道一旦建立，数据就可以通过隧道发送。隧道客户端和效劳器使用隧道数据传输协议预备传输数据。例如

2、，当隧道客户端向效劳器端发送数据时，客户端首先给负载数据加上一个隧道数据传送协议包头，然后把封装的数据通过互联网络发送，并由互联网络将数据路由到隧道的效劳器端。隧道效劳器端收到数据包之后，去除隧道数据传输协议包头，然后将负载数据转发到目标网络。七、隧道协议和根本隧道要求由于第 2 层隧道协议PPTP 和 L2TP以完善的PPP 协议为根底，因此继承了一整套的特性。1. 用户验证第 2 层隧道协议继承了PPP 协议的用户验证方式。很多第 3 层隧道技术都假定在创立隧道之前，隧道的两个端点相互之间已经了解或已经经过验证。一个例外状况是IPSec 协议的ISAKMP 协商供给了隧道端点之间进展的相互

3、验证。2. 令牌卡Tokencard支持通过使用扩展验证协议EAP，第 2 层隧道协议能够支持多种验证方法，包括一次性口令one-timepassword)，加密计算器cryptographic calculator和智能卡等。第 3 层隧道协议也支持使用类似的方法，例如，IPSec 协议通过ISAKMP/Oakley协商确定公共密钥证书验证。3. 动态地址安排第 2 层隧道协议支持在网络掌握协议NCP协商机制的根底上动态安排客户地址。第 3 层隧道协议通常假定隧道建立之前已经进展了地址安排。目前IPSec 隧道模式下的地址安排方案仍在开发之中。4. 数据压缩第 2 层隧道协议支持基于PPP

4、的数据压缩方式。例如，微软的 PPTP 和 L2TP 方案使用微软点对点加密协议MPPE。IETP 正在开发应用于第 3 层隧道协议的类似数据压缩机制。5. 数据加密第2 层隧道协议支持基于PPP 的数据加密机制。微软的PPTP 方案支持在RSA/RC4 算法的根底上选择使用MPPE。第 3 层隧道协议可以使用类似方法，例如，IPSec 通过 ISAKMP/Oakley 协商确定几种可选的数据加密方法。微软的L2TP 协议使用IPSec 加密保障隧道客户端和效劳器之间数据流的安全。6. 密钥治理作为第 2 层协议的MPPE 依靠验证用户时生成的密钥，定期对其更。IPSec 在ISAKMP 交换

5、过程中公开协商公用密钥，同样对其进展定期更。7. 多协议支持第 2 层隧道协议支持多种负载数据协议，从而使隧道客户能够访问使用IP，IPX， 或 NetBEUI 等多种协议企业网络。相反，第 3 层隧道协议，如 IPSec 隧道模式只能支持使用IP 协议的目标网络。八、点对点协议由于第 2 层隧道协议在很大程度上依靠PPP 协议的各种特性，因此有必要对PPP 协议进展深入的探讨。PPP 协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP 协议将IP，IPX 和NETBEUI 包封装在PP 桢内通过点对点的链路发送。PPP 协议主要应用于连接拨号用户和NAS。 PPP 拨号会话过

6、程可以分成 4 个不同的阶段。分别如下：阶段 1：创立 PPP 链路PPP 使用链路掌握协议LCP创立，维护或终止一次物理连接。在LCP 阶段的初期，将对根本的通讯方式进展选择。应当留意在链路创立阶段，只是对验证协议进展选择，用户验证将在第 2 阶段实现。同样，在LCP 阶段还将确定链路对等双方是否要对使用数据压缩或加密进展协商。实际对数据压缩/加密算法和其它细节的选择将在第4 阶段实现。阶段 2：用户验证在第 2 阶段，客户会 PC 将用户的身份明发给远端的接入效劳器。该阶段使用一种安全验证方式避开第三方窃取数据或冒充远程客户接收与客户端的连接。大多数的PPP 方案只供给了有限的验证方式，包

7、括口令验证协议PAP，挑战握手验证协议CHAP和微软挑战 握手验证协议MSCHAP。1. 口令验证协议PAPPAP 是一种简洁的明文验证方式。NAS 要求用户供给用户名和口令，PAP 以明文方式返回用户信息。很明显，这种验证方式的安全性较差，第三方可以很简洁的猎取被传送的用户名和口令，并利用这些信息与NAS 建立连接猎取NAS 供给的全部资源。所以，一旦用户密码被第三方窃取，PAP 无法供给避开受到第三方攻击的保障措施。2. 挑战-握手验证协议CHAPCHAP 是一种加密的验证方式，能够避开建立连接时传送用户的真实密码。NAS 向远程用户发送一个挑战口令challenge，其中包括会话ID 和

8、一个任意生成的挑战字串arbitrary challengestring。远程客户必需使用 MD5 单向哈希算法one-wayhashingalgorithm返回用户名和加密的挑战口令，会话ID 以及用户口令，其中用户名以非哈希方式发送。CHAP 对 PAP 进展了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进展加密。由于效劳器端存有客户的明文口令，所以效劳器可以重复客户端进展的操作，并将结果与用户返回的口令进展比照。CHAP 为每一次验证任意生成一个挑战字串来防止受到再现攻击replay attack).在整个连接过程中， CHAP 将不定时的向客户端重复发送挑战口令

9、，从而避开第3 方冒充远程客户remoteclient impersonation)进展攻击。3. 微软挑战-握手验证协议MS-CHAP与CHAP相类似，MS-CHAP 也是一种加密验证机制。同CHAP 一样，使用MS-CHAP时，NAS 会向远程客户发送一个含有会话ID 和任意生成的挑战字串的挑战口令。远程客户必需返回用户名以及经过MD4 哈希算法加密的挑战字串，会话ID 和用户口令的MD4 哈希值。承受这种方式效劳器端将只存储经过哈希算法加密的用户口令而不是明文口令，这样就能够供给进一步的安全保障。此外，MS-CHAP 同样支持附加的错误编码，包括口令过期编码以及允许用户自己修改口令的加密

10、的客户-效劳器client-server)附加信息。使用MS-CHAP，客户端和NAS 双方各自生成一个用于随后数据加密的起始密钥。MS-CHAP 使用基于MPPE 的数据加密，这一点格外重要，可以解释为什么启用基于MPPE 的数据加密时必需进展MS-CHAP 验证。在第 2 阶段PPP 链路配置阶段，NAS 收集验证数据然后比照自己的数据库或中心验证数据库效劳器位于NT 主域掌握器或远程验证用户拨入效劳器验证数据的有效性。阶段 3：PPP 回叫掌握callbackcontrol)微软设计的PPP 包括一个可选的回叫掌握阶段。该阶段在完成验证之后使用回叫掌握协议CBCP假设配置使用回叫，那么在

11、验证之后远程客户和NAS 之间的连接将会被断开。然后由NAS 使用特定的 号码回叫远程客户。这样可以进一步保证拨号网络的安全性。NAS 只支持对位于特定 号码处的远程客户进展回叫。阶段 4：调用网络层协议在以上各阶段完成之后，PPP 将调用在链路创立阶段阶段 1选定的各种网络掌握协议NCP).例如，在该阶段 IP 掌握协议IPCP可以向拨入用户安排动态地址。在微软的 PPP方案中，考虑到数据压缩和数据加密实现过程一样，所以共同使用压缩掌握协议协商数据压缩使用MPPC和数据加密使用MPPE。九、数据传输阶段一旦完成上述 4 阶段的协商，PPP 就开头在连接对等双方之间转发数据。每个被传送的数据报

12、都被封装在PPP 包头内，该包头将会在到达接收方之后被去除。假设在阶段1 选择使 用数据压缩并且在阶段 4 完成了协商，数据将会在被传送之间进展压缩。类似的，假设假设已经选择使用数据加密并完成了协商，数据或被压缩数据将会在传送之前进展加密。点对点隧道协议PPTPPPTP 是一个第 2 层的协议，将PPP 数据桢封装在IP 数据报内通过IP 网络，如Internet 传送。PPTP 还可用于专用局域网络之间的连接。RFC 草案“点对点隧道协议”对 PPTP 协议 进展了说明和介绍。该草案由PPTP 论坛的成员公司，包括微软，Ascend，3Com，和ECI 等公司在 1996 年 6 月提交至I

13、ETF。可在如下站点 :/ ietf.org :/ ietf.org 参看草案的在线拷贝.PPTP 使用一个TCP 连接对隧道进展维护，使用通用路由封装GRE 技术把数据封装成PPP 数据桢通过隧道传送。可以对封装 PPP 桢中的负载数据进展加密或压缩。图 7 所示为如何在数据传递之前组装一个PPTP 数据包。第 2 层转发L2FL2F 是Cisco 公司提出隧道技术，作为一种传输协议L2F 支持拨号接入效劳器将拨号数据流封装在PPP 桢内通过广域网链路传送到L2F 效劳器路由器。L2F 效劳器把数据包解包之重注入inject)网络。与 PPTP 和 L2TP 不同，L2F 没有确定的客户方。

14、应当留意 L2F 只在强制隧道中有效。自愿和强制隧道的介绍参看“隧道类型”。第 2 层隧道协议L2TPL2TP 结合了PPTP 和 L2F 协议。设计者期望L2TP 能够综合PPTP 和 L2F 的优势。 L2TP 是一种网络层协议，支持封装的 PPP 桢在IP，X.25，桢中继或 ATM 等的网络上进展传送。当使用IP 作为L2TP 的数据报传输协议时，可以使用L2TP 作为 Internet 网络上的隧道协议。L2TP 还可以直接在各种WAN 媒介上使用而不需要使用IP 传输层。草案 RFC“第2 层隧道协议”对L2TP 进展了说明和介绍。该文档于 1998 年 1 月被提交至IETF。可

15、以在以下网站 :/ ietf.org :/ ietf.org 获得草案拷贝。IP 网上的L2TP 使用UDP 和一系列的L2TP 消息对隧道进展维护。L2TP 同样使用UDP 将L2TP 协议封装的PPP 桢通过隧道发送。可以对封装 PPP 桢中的负载数据进展加密或压缩。图 8 所示为如何在传输之前组装一个L2TP 数据包。PPTP 与 L2TPPPTP 和L2TP 都使用PPP 协议对数据进展封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议格外相像，但是仍存在以下几方面的不同：1. PPTP 要求互联网络为IP 网络。L2TP 只要求隧道媒介供给面对数据包的点对点的连接。L2T

16、P 可以在IP使用UDP，桢中继永久虚拟电路PVCs),X.25 虚拟电路VCs或ATM VCs 网络上使用。2. PPTP 只能在两端点间建立单一隧道。L2TP 支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的效劳质量创立不同的隧道。3. L2TP 可以供给包头压缩。当压缩包头时，系统开销overhead占用 4 个字节， 而 PPTP 协议下要占用 6 个字节。4. L2TP 可以供给隧道验证，而PPTP 则不支持隧道验证。但是当L2TP 或PPTP 与IPSEC 共同使用时，可以由IPSEC 供给隧道验证，不需要在第 2 层协议上验证隧道。十、IPSec 隧道模式IPSEC 是

17、第 3 层的协议标准，支持IP 网络上数据的安全传输。本文将在“高级安全”一局部中对 IPSEC 进展具体的总体介绍，此处仅结合隧道协议争论 IPSEC 协议的一个方面。除了对IP数据流的加密机制进展了规定之外，IPSEC 还制定了IPoverIP隧道模式的数据包格式，一般被称作IPSEC 隧道模式。一个 IPSEC 隧道由一个隧道客户和隧道效劳器组成，两端都配置使用IPSEC 隧道技术，承受协商加密机制。为实现在专用或公共IP 网络上的安全传输，IPSEC 隧道模式使用的安全方式封装和加密整个 IP 包。然后对加密的负载再次封装在明文IP 包头内通过网络发送到隧道效劳器端。隧道效劳器对收到的

18、数据报进展处理，在去除明文IP 包头，对内容进展解密之后，获的最初的负载 IP 包。负载IP 包在经过正常处理之后被路由到位于目标网络的目的地。IPSEC 隧道模式具有以下功能和局限：1. 只能支持IP 数据流2. 工作在IP 栈IPstack的底层，因此，应用程序和高层协议可以继承IPSEC 的行为。3. 由一个安全策略一整套过滤机制进展掌握。安全策略依据优先级的先后挨次创立可供使用的加密和隧道机制以及验证方式。当需要建立通讯时，双方机器执行相互验证，然后协商使用何种加密方式。此后的全部数据流都将使用双方协商的加密机制进展加密，然后封装在隧道包头内。关于 IPSEC 的具体介绍参看本文稍后的

19、“高级安全”局部。十一、隧道类型1. 自愿隧道Voluntarytunnel)用户或客户端计算机可以通过发送VPN 恳求配置和创立一条自愿隧道。此时，用户端计算机作为隧道客户方成为隧道的一个端点。2. 强制隧道Compulsorytunnel由支持VPN 的拨号接入效劳器配置和创立一条强制隧道。此时，用户端的计算机不作为隧道端点，而是由位于客户计算机和隧道效劳器之间的远程接入效劳器作为隧道客户端，成为 隧道的一个端点。目前，自愿隧道是最普遍使用的隧道类型。以下，将对上述两种隧道类型进展具体介绍。自愿隧道当一台工作站或路由器使用隧道客户软件创立到目标隧道效劳器的虚拟连接时建立自愿隧 道。为实现这

20、一目的，客户端计算机必需安装适当的隧道协议。自愿隧道需要有一条IP 连接通过局域网或拨号线路。使用拨号方式时，客户端必需在建立隧道之前创立与公共互联网络的拨号连接。一个最典型的例子是 Internet 拨号用户必需在创立Internet 隧道之前拨通本地ISP 取得与Internet 的连接。对企业内部网络来说，客户机已经具有同企业网络的连接，由企业网络为封装负载数据供给到目标隧道效劳器路由。大多数人误认为VPN 只能使用拨号连接。其实，VPN 只要求支持IP 的互联网络。一些客户机如家用 PC可以通过使用拨号方式连接 Internet 建立IP 传输。这只是为创立隧道所做的初步预备，并不属于

21、隧道协议。强制隧道目前，一些商家供给能够代替拨号客户创立隧道的拨号接入效劳器。这些能够为客户端计算机供给隧道的计算机或网络设备包括支持PPTP 协议的前端处理器FEP，支持 L2TP 协议的 L2TP 接入集线器LAC或支持IPSec 的安全IP 网关。本文将主要以FEP 为例进展说明。为正常的发挥功能，FEP 必需安装适当的隧道协议，同时必需能够当客户计算机建立起连接时创立隧道。以 Internet 为例，客户机向位于本地 ISP 的能够供给隧道技术的NAS 发出拨号呼叫。例如， 企业可以与某个ISP 签定协议，由 ISP 为企业在全国范围内设置一套FEP。这些 FEP 可以通过 Inter

22、net 互联网络创立一条到隧道效劳器的隧道，隧道效劳器与企业的专用网络相连。这样，就可以将不同地方合并成企业网络端的一条单一的Internet 连接。由于客户只能使用由FEP 创立的隧道，所以称为强制隧道。一旦最初的连接成功，全部客户端的数据流将自动的通过隧道发送。使用强制隧道，客户端计算机建立单一的 PPP 连接， 当客户拨入NAS 时，一条隧道将被创立，全部的数据流自动通过该隧道路由。可以配置 FEP 为全部的拨号客户创立到指定隧道效劳器的隧道，也可以配置FEP 基于不同的用户名或目的地创立不同的隧道。自愿隧道技术为每个客户创立独立的隧道。FEP 和隧道效劳器之间建立的隧道可以被多个拨号客

23、户共享，而不必为每个客户建立一条的隧道。因此，一条隧道中可能会传递多个客户的数据信息，只有在最终一个隧道用户断开连接之后才终止整条隧道。十二、高级安全功能虽然 Internet 为创立VPN 供给了极大的便利，但是需要建立强大的安全功能以确保企业内部网络不受到外来攻击，确保通过公共网络传送的企业数据的安全。对称加密与非对称加密专用密钥与公用密钥对称加密，或专用密钥也称做常规加密由通信双方共享一个隐秘密钥。发送方在进展数学运算时使用密钥将明文加密成密文。承受方使用一样的密钥将密文复原成明文。RSA RC4 算法，数据加密标准DES，国际数据加密算法IDEA以及 Skipjack 加密技术都属于对

24、称加密方式。非对称加密，或公用密钥，通讯各方使用两个不同的密钥，一个是只有发送方知道的专用密钥，另一个则是对应的公用密钥，任何人都可以获得公用密钥。专用密钥和公用密钥在加密算法上相互关联，一个用于数据加密，另一个用于数据解密。公用密钥加密技术允许对信息进展数字签名。数字签名使用发送发送一方的专用密钥对所发 送信息的某一局部进展加密。承受方收到该信息后，使用发送方的公用密钥解密数字签名， 验证发送方身份。十三、证书使用对称加密时，发送和接收方都使用共享的加密密钥。必需在进展加密通讯之前，完成密钥的分布。使用非对称加密时，发送方使用一个专用密钥加密信息或数字签名，接收方使用公用密钥解密信息。公用密

25、钥可以自由分布给任何需要接收加密信息或数字签名信息的一 方，发送方只要保证专用密钥的安全性即可。为保证公用密钥的完整性，公用密钥随证书一同公布。证书或公用密钥证书是一种经过证书签发机构CA数字签名的数据构造。CA 使用自己的专用密钥对证书进展数字签名。假设承受方知道CA 的公用密钥，就可以证明证书是由CA 签发，因此包含牢靠的信息和有效的公用密钥。总之，公用密钥证书为验证发送方的身份供给了一种便利，牢靠的方法。IPSec 可以选择使用该方式进展端到端的验证。RAS 可以使用公用密钥证书验证用户身份。十四、扩展验证协议EAP如前文所述，PPP 只能供给有限的验证方式。EAP 是由 IETF 提出

26、的PPP 协议的扩展，允许连接使用任意方式对一条PPP 连接的有效性进展验证。EAP 支持在一条连接的客户和效劳器两端动态参加验证插件模块。十五、交易层安全协议EAP-TLSEAP-TLS 已经作为提议草案提交给IETF，用于建立基于公用密钥证书的强大的验证方式。使用EAP-TLS，客户向拨入效劳器发送一份用户方证书，同时，效劳器把效劳器证书发送给客户。用户证书向效劳器供给了强大的用户识别信息；效劳器证书保证用户已经连接到预期的效劳器。用户方证书可以被存放在拨号客户PC 中，或存放在外部智能卡。无论那种方式，假设用户不能供给没有肯定形式的用户识别信息PIN 号或用户名和口令，就无法访问证书。十

27、六、IPSECIPSEC 是一种由IETF 设计的端到端确实保基于IP 通讯的数据安全性的机制。IPSEC 支持对数据加密，同时确保数据的完整性。依据IETF 的规定，不承受数据加密时，IPSEC 使用验证包头AH供给验证来源验证source authentication)，确保数据的完整性；IPSEC 使用封装安全负载ESP与加密一道供给来源验证，确保数据完整性。IPSEC 协议下， 只有发送方和承受方知道隐秘密钥。假设验证数据有效，承受方就可以知道数据来自发送方， 并且在传输过程中没有受到破坏。可以把IPSEC 想象成是位于TCP/IP 协议栈的下层协议。该层由每台机器上的安全策略和发送、

28、承受方协商的安全关联security association)进展掌握。安全策略由一套过滤机制和关联的安全行为组成。假设一个数据包的IP 地址，协议，和端口号满足一个过滤机制， 那么这个数据包将要遵守关联的安全行为。十七、协商安全关联NegotiatedSecurityAssociation上述第一个满足过滤机制的数据包将会引发发送和接收方对安全关联进展协商。ISAKMP/OAKLEY 是这种协商承受的标准协议。在一个 ISAKMP/OAKLEY 交换过程中，两台机器对验证和数据安全方式达成全都，进展相互验证，然后生成一个用于随后的数据加密的个共享密钥。十八、验证包头通过一个位于IP 包头和传

29、输包头之间的验证包头可以供给IP 负载数据的完整性和数据验证。验证包头包括验证数据和一个序列号，共同用来验证发送方身份，确保数据在传输过程中没有被改动，防止受到第三方的攻击。IPSEC 验证包头不供给数据加密；信息将以明文方式发送。十九、封装安全包头为了保证数据的保密性并防止数据被第3 方窃取，封装安全负载ESP供给了一种对 IP 负载进展加密的机制。另外，ESP 还可以供给数据验证和数据完整性效劳；因此在IPSEC 包中可以用ESP 包头替代AH 包头。二十、用户治理在选择VPN 技术时，肯定要考虑到治理上的要求。一些大型网络都需要把每个用户的名目信息存放在一台中心数据存储设备中名目效劳便于

30、治理人员和应用程序对信息进展添加， 修改和查询。每一台接入或隧道效劳器都应当能够维护自己的内部数据库，存储每一名用户 的信息，包括用户名，口令，以及拨号接入的属性等。但是，这种由多台效劳器维护多个用户帐号的作法难以实现准时的更，给治理带来很大的困难。因此，大多数的治理人员承受在名目效劳器，主域掌握器或RADIUS 效劳器上建立一个主帐号数据库的方法，进展有效治理。二十一、RAS 支持微软的远程接入效劳器RAS使用域掌握器或RADIUS 效劳器存储每名用户的信息。由于治理员可以在单独的数据库中治理用户信息中的拨号许可信息，所以使用一台域掌握器能够简化系统治理。微软的RAS 最初被用作拨号用户的接

31、入效劳器。现在，RAS 可以作为PPTP 和 L2TP 协议的隧道效劳器NT5 将支持L2TP。这些第 2 层的VPN 方案继承了已有的拨号网络全部的治理根底。二十二、扩展性通过使用循环DNS 在同属一个安全地带securityperimeter的 VPN 隧道效劳器之间进展恳求安排，可以实现容余和负荷平衡。一个安全地带只具有一个对外域名，但拥有多个IP 地址，负荷可以在全部的IP 地址之间进展任意的安排。全部的效劳器可以使用一个共享数据库，如NT 域掌握器验证访问恳求。二十三、RADIUS远程验证用户拨入效劳RADIUS协议是治理远程用户验证和授权的常用方法。RADIUS 是一种基于UDP

32、协议的超轻松lightweight协议。RADIUS 效劳器可以被放置在Internet 网络的任何地方为客户NAS 供给验证包括PPP PAP，CHAP，MSCHAP 和 EAP。另外，RADIUS 效劳器可以供给代理效劳将验证恳求转发到远端的RADIUS 效劳器。例如， ISP 之间相互合作，通过使用RADIUS 代理效劳实现漫游用户在世界各地使用本地ISP 供给的拨号效劳连接Internet 和 VPN。假设ISP 觉察用户名不是本地注册用户，就会使用RADIUS 代理将接入恳求转发给用户的注册网络。这样企业在把握授权权利的前提下，有效的使用ISP 的网络根底设施，使企业的网络费用开支实

33、现最小化。二十四、记费，审计和报警为有效的治理VPN 系统，网络治理人员应当能够随时跟踪和把握以下状况：系统的使用者， 连接数目，特别活动，出错状况，以及其它可能预示消灭设备故障或网络受到攻击的现象。日志记录和实时信息对记费，审计和报警或其它错误提示具有很大帮助。例如，网络治理人 员为了编制帐单数据需要知道何人在使用系统以及使用了多长时间。特别活动可能预示着存 在对系统的不正确使用或系统资源消灭缺乏。对设备进展实时的监测可以在系统消灭问题时 准时向治理员发出警告。一台隧道效劳器应当能够供给以上全部信息以及对数据进展正确处 理所需要的大事日志，报告和数据存储设备。NT4.0 在RAS 中供给了对

34、记费，审计和报警的支持。RADIUS 协议对呼叫-记费恳求call-accountingrequest)进展了规定。当RAS 向RADIUS 发送呼叫-记费恳求后由后者建立记费记录分别记录呼叫开头，完毕以及预定中断的状况。二十五、结论如本文所述，Windows 系统自带的VPN 效劳允许用户或企业通过公共或专用网络与远端效劳器，分支机构，或其他公司建立安全和牢靠的连接。虽然上述通讯过程发生公共互联网络上，但是用户端如同使用专用网络进展通讯一样建立起安全的连接。使用Windows 系统的VPN 技术可以解决在当今远程通讯量日益增大，企业全球运作分布广泛的状况下，员工需要访问中心资源，企业相互之间必需能够进展准时和有效的通讯的问题。