VPN安全与应用两方便之（二）

　　1、 利用内部地址进行访问

　　在通信的过程之中，能否让通过VPN访问企业内部网络的用户采用自己公司的内部地址呢？如此的话，对于VPN服务器管理人员来说，更加的方便，可以向管理内部用户一样，管理通过VPN技术连接到企业内部网络的人员。同时，还可以通过这个IP地址追踪到到底是什么人在进行访问，是否有授权等等。

　　L2TP（二层隧道协议）中的LNS技术，他可以对于远端的VPN用户的地址进行动态的分派与管理。具体的来说，可以支持DHCP方案、私有地址应用等多种解决方案。也就是说，VPN另外一端的用户，在连接上企业的VPN服务器的话，所用的不是公网的地址，而是VPN服务器分配给他的企业内部的私有地址。如此处理的话，就方便了VPN管理员，对于地址进行同一的管理，通过对地址的统一分配与监测，提高了通讯的安全性。

　　在实际应用中，要给VPN访问设置一个专门的IP地址段，一方面可以防止跟其他地址之间的冲突，另外一个方面，也可以根据地址来限制对用户的访问。在地址的分配上，可以按一个地址范围自动分配IP地址。也就是说，当VPN远端用户连上VPN服务器后，DHCP服务器从可用的IP地址范围内，挑选一个可用的IP地址分配给远端用户，让其利用这个地址进行访问。也可以采用跟静态的分配。当用户连上VPN服务器后，VPN管理人员核对身份之后，再把手工的把地址分配给用户。这个静态的分配方法，维护起来比较麻烦，但是，安全性会高许多。

　　2、 灵活的身份验证机制

　　L2TP协议可以选择多种身份验证机制，他继承了端对端传输的所有安全特性，保障了远端用户访问的安全性与合法性。

　　CHAP（质询握手协议）身份验证方法，是安全性级别比较高的身份验证方法。质询握手协议身份验证方法，不在通信线路上发送明文密码，而是发送经过摘要算法加工过的随机序列，有的好事者把他称呼为“挑战字符串”，从这个字面意思上，就可以看出其安全性高人一筹。同时，质询握手协议身份验证方法，他让身份验证可以随时进行，包括双方在正常的通信过程之中。因此，非法用户就算截获了一断密码，等到其破结出来后，这个密码可能已经失效了。他做的将是竹篮子打水，一场空。

　　不过，天上是不会掉馅饼的。质询握手协议对于系统要求比较高，因为在利用质询握手协议进行身份验证的过程之中，需要多次进行身份核对、响应。这会耗费比较多的CPU资源。所以，这个一般用在安全要求比较高的场合。