摘 要：隧道技術(shù)是將一個(gè)數(shù)據(jù)包封裝在另一個(gè)數(shù)據(jù)包中進(jìn)行傳輸，從而達(dá)到在公共網(wǎng)絡(luò)兩個(gè)節(jié)點(diǎn)之間傳遞私有數(shù)據(jù)的目的。文章簡(jiǎn)要介紹了VPN的相關(guān)知識(shí)，探討了利用L2TP和IPSec隧道協(xié)議構(gòu)筑安全的遠(yuǎn)程訪問(wèn)型VPN的原理和方案，并在實(shí)驗(yàn)室環(huán)境下模擬實(shí)現(xiàn)了基于L2TP和IPSec的遠(yuǎn)程訪問(wèn)。

關(guān)鍵詞：VPN；L2TP；IPSec；隧道；遠(yuǎn)程訪問(wèn)

引言

針對(duì)目前很多企業(yè)分支機(jī)構(gòu)地域分散、遠(yuǎn)程辦公需求多和與商業(yè)伙伴間業(yè)務(wù)頻繁的特點(diǎn)，如何在現(xiàn)有的Internet基礎(chǔ)上建立一個(gè)安全、快速、專用的遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)已成為時(shí)代所需。出于低成本、高安全度、高靈活性的考慮，目前主要采取VPN方式。

1 VPN簡(jiǎn)介

VPN是通過(guò)在主機(jī)與主機(jī)、主機(jī)與網(wǎng)關(guān)或兩臺(tái)路由器之間建立一條專用連接從而達(dá)到在共享或公共網(wǎng)絡(luò)上傳輸私有數(shù)據(jù)的目的，可以理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。

VPN的實(shí)現(xiàn)關(guān)鍵是隧道協(xié)議?，F(xiàn)有的隧道協(xié)議中PPTP、L2F、L2TP屬于第二層隧道協(xié)議，對(duì)應(yīng)OSI模型的數(shù)據(jù)鏈路層，是將用戶數(shù)據(jù)封裝在PPP幀中通過(guò)互聯(lián)網(wǎng)發(fā)送。GRE和IPSec屬于第三層隧道協(xié)議，對(duì)應(yīng)于OSI模型的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。

文章提出了一種將L2TP和IPSec兩種協(xié)議結(jié)合起來(lái)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)VPN的技術(shù)方案。

2 L2TP+IPSec方案的應(yīng)用分析

2.1 IPSec+L2TP方案的原理

L2TP協(xié)議允許遠(yuǎn)程用戶通過(guò)Internet安全地訪問(wèn)企業(yè)網(wǎng)絡(luò)，特別適合組建遠(yuǎn)程接入VPN。但是，在L2TP協(xié)議中，僅提供LAC與LNS間的身份認(rèn)證，而不保護(hù)在隧道中傳輸?shù)拿總€(gè)數(shù)據(jù)包和控制包，這就導(dǎo)致了L2TP隧道極易受到攻擊?；诎踩缘目紤]，可以在L2TP的實(shí)現(xiàn)過(guò)程中加入一組IP安全協(xié)議IPSec，在隧道外再封裝。

IPSec協(xié)議通過(guò)使用加密的安全服務(wù)來(lái)確保在IP網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊。但I(xiàn)PSec不支持TCP/IP以外的其他網(wǎng)絡(luò)協(xié)議，且僅提供包過(guò)濾的訪問(wèn)控制方法。

L2TP和IPSec結(jié)合來(lái)實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)型VPN（簡(jiǎn)稱LI）時(shí)，IPSec可以在L2TP LNS端利用RADIUS的集中統(tǒng)一的鑒別和授權(quán)機(jī)制，而L2TP可以通過(guò)IPSec強(qiáng)的安全功能彌補(bǔ)自身安全方面的欠缺。

2.2 L2TP+IPSec方案的包格式

LI的網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。用戶傳輸數(shù)據(jù)的封裝過(guò)程如下：（1）IPSec封裝：IP分組通過(guò)添加ESP報(bào)頭、報(bào)尾和IPSec認(rèn)證報(bào)尾（Authtrailer），進(jìn)行IPSec加密封裝。（2）PPP封裝：IPSec分組由PPP協(xié)議封裝處理成PPP分組。（3）L2TP封裝和IP封裝：對(duì)PPP分組進(jìn)行L2TP封裝，形成L2TP數(shù)據(jù)報(bào)，再添加UDP頭形成UDP報(bào)文，然后形成IP分組在IP網(wǎng)上發(fā)送。經(jīng)過(guò)IPSec封裝的L2TP數(shù)據(jù)包格式如表1所示。其中IP1為外網(wǎng)IP，IP2為內(nèi)網(wǎng)IP。

3 L2TP+IPSec方案的模擬實(shí)現(xiàn)

在實(shí)驗(yàn)室中使用Cisco Packet Tracer來(lái)模擬實(shí)現(xiàn)LI方案，其拓?fù)鋱D如圖2所示。其中RO、R1分別模擬訪問(wèn)端的LAC和服務(wù)端的LNS，R2模擬Internet，Remote PC和Local PC分別表示移動(dòng)端PC和本地PC。

對(duì)R0的配置：利用vpdn enable命令啟動(dòng)L2TP撥號(hào)；指定vpn另一端路由即R1的IP地址；啟動(dòng)并建立IKE；配置des加密方式、指定密鑰位數(shù)并指定Hash算法為MD5。對(duì)R1的配置與R0類似。對(duì)R2只需要進(jìn)行基礎(chǔ)配置，使其能與R0和R1進(jìn)行通信即可。

配置好路由器后，需要在本地PC上進(jìn)行撥號(hào)連接。首先，修改注冊(cè)表，向Windows添加ProhibitIpSec注冊(cè)表值1。最后新建L2TP撥號(hào)連接，在VPN服務(wù)器端輸入要撥號(hào)的遠(yuǎn)程企業(yè)內(nèi)部PC地址即可。

L2TP隧道建立以后，需要在其基礎(chǔ)上在R0和R1之間建立一個(gè)IPSec隧道。

對(duì)R0的IPSec配置：配置安全提議并采用ESP協(xié)議；配置報(bào)文封裝形式采用隧道模式；選擇des加密方式和MD5的Hash算法；引用訪問(wèn)控制列表和安全提議；配置R0和R1的IP地址；配置串口Fa0/1的IP地址，并在其上應(yīng)用安全策略組。對(duì)R1的配置與R0相似，對(duì)R2也只進(jìn)行基礎(chǔ)配置。到此，一條基于L2TP和IPSec隧道遠(yuǎn)程安全訪問(wèn)通道建立完成。

4 結(jié)束語(yǔ)

利用L2TP隧道協(xié)議來(lái)構(gòu)建一個(gè)虛擬的私有網(wǎng)絡(luò)再結(jié)合IPSec協(xié)議來(lái)實(shí)現(xiàn)通信數(shù)據(jù)在網(wǎng)絡(luò)層的安全傳輸，不僅會(huì)節(jié)省網(wǎng)絡(luò)的建設(shè)和運(yùn)行費(fèi)用，而且增強(qiáng)了網(wǎng)絡(luò)的可靠性和安全性，是一種有效的VPN方案。

參考文獻(xiàn)

[1]汪冬梅.對(duì)持V支PN的隧道技術(shù)的若干思考與探究[J].China Computer&Communication，2012（2）：100-102.

[2]房寧.基于VPN技術(shù)及其應(yīng)用的研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012，12：32-33.

[3]劉學(xué)普，周陽(yáng).基于L2TP/IPSec的企業(yè)遠(yuǎn)程移動(dòng)辦公網(wǎng)的構(gòu)建[J].寧波職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013（5）：105-107.

作者簡(jiǎn)介：劉蒙（1989，12-），男，陜西咸陽(yáng)，西安石油大學(xué)，碩士，計(jì)算機(jī)學(xué)院，通信與信息系統(tǒng)，工作流管理系統(tǒng)。