基于L2TP和IPSec的远程访问型VPN技术方案
2014-12-24刘蒙
摘 要:隧道技术是将一个数据包封装在另一个数据包中进行传输,从而达到在公共网络两个节点之间传递私有数据的目的。文章简要介绍了VPN的相关知识,探讨了利用L2TP和IPSec隧道协议构筑安全的远程访问型VPN的原理和方案,并在实验室环境下模拟实现了基于L2TP和IPSec的远程访问。
关键词:VPN;L2TP;IPSec;隧道;远程访问
引言
针对目前很多企业分支机构地域分散、远程办公需求多和与商业伙伴间业务频繁的特点,如何在现有的Internet基础上建立一个安全、快速、专用的远程访问企业网已成为时代所需。出于低成本、高安全度、高灵活性的考虑,目前主要采取VPN方式。
1 VPN简介
VPN是通过在主机与主机、主机与网关或两台路由器之间建立一条专用连接从而达到在共享或公共网络上传输私有数据的目的,可以理解成是虚拟出来的企业内部专线。
VPN的实现关键是隧道协议。现有的隧道协议中PPTP、L2F、L2TP属于第二层隧道协议,对应OSI模型的数据链路层,是将用户数据封装在PPP帧中通过互联网发送。GRE和IPSec属于第三层隧道协议,对应于OSI模型的网络层,使用包作为数据交换单位。
文章提出了一种将L2TP和IPSec两种协议结合起来实现远程访问VPN的技术方案。
2 L2TP+IPSec方案的应用分析
2.1 IPSec+L2TP方案的原理
L2TP协议允许远程用户通过Internet安全地访问企业网络,特别适合组建远程接入VPN。但是,在L2TP协议中,仅提供LAC与LNS间的身份认证,而不保护在隧道中传输的每个数据包和控制包,这就导致了L2TP隧道极易受到攻击。基于安全性的考虑,可以在L2TP的实现过程中加入一组IP安全协议IPSec,在隧道外再封装。
IPSec协议通过使用加密的安全服务来确保在IP网络上进行保密而安全的通讯。但IPSec不支持TCP/IP以外的其他网络协议,且仅提供包过滤的访问控制方法。
L2TP和IPSec结合来实现远程访问型VPN(简称LI)时,IPSec可以在L2TP LNS端利用RADIUS的集中统一的鉴别和授权机制,而L2TP可以通过IPSec强的安全功能弥补自身安全方面的欠缺。
2.2 L2TP+IPSec方案的包格式
LI的网络拓扑图如图1所示。用户传输数据的封装过程如下:(1)IPSec封装:IP分组通过添加ESP报头、报尾和IPSec认证报尾(Authtrailer),进行IPSec加密封装。(2)PPP封装:IPSec分组由PPP协议封装处理成PPP分组。(3)L2TP封装和IP封装:对PPP分组进行L2TP封装,形成L2TP数据报,再添加UDP头形成UDP报文,然后形成IP分组在IP网上发送。经过IPSec封装的L2TP数据包格式如表1所示。其中IP1为外网IP,IP2为内网IP。
3 L2TP+IPSec方案的模拟实现
在实验室中使用Cisco Packet Tracer来模拟实现LI方案,其拓扑图如图2所示。其中RO、R1分别模拟访问端的LAC和服务端的LNS,R2模拟Internet,Remote PC和Local PC分别表示移动端PC和本地PC。
对R0的配置:利用vpdn enable命令启动L2TP拨号;指定vpn另一端路由即R1的IP地址;启动并建立IKE;配置des加密方式、指定密钥位数并指定Hash算法为MD5。对R1的配置与R0类似。对R2只需要进行基础配置,使其能与R0和R1进行通信即可。
配置好路由器后,需要在本地PC上进行拨号连接。首先,修改注册表,向Windows添加ProhibitIpSec注册表值1。最后新建L2TP拨号连接,在VPN服务器端输入要拨号的远程企业内部PC地址即可。
L2TP隧道建立以后,需要在其基础上在R0和R1之间建立一个IPSec隧道。
对R0的IPSec配置:配置安全提议并采用ESP协议;配置报文封装形式采用隧道模式;选择des加密方式和MD5的Hash算法;引用访问控制列表和安全提议;配置R0和R1的IP地址;配置串口Fa0/1的IP地址,并在其上应用安全策略组。对R1的配置与R0相似,对R2也只进行基础配置。到此,一条基于L2TP和IPSec隧道远程安全访问通道建立完成。
4 结束语
利用L2TP隧道协议来构建一个虚拟的私有网络再结合IPSec协议来实现通信数据在网络层的安全传输,不仅会节省网络的建设和运行费用,而且增强了网络的可靠性和安全性,是一种有效的VPN方案。
参考文献
[1]汪冬梅.对持V支PN的隧道技术的若干思考与探究[J].China Computer&Communication,2012(2):100-102.
[2]房宁.基于VPN技术及其应用的研究[J].计算机光盘软件与应用,2012,12:32-33.
[3]刘学普,周阳.基于L2TP/IPSec的企业远程移动办公网的构建[J].宁波职业技术学院学报,2013(5):105-107.
作者简介:刘蒙(1989,12-),男,陕西咸阳,西安石油大学,硕士,计算机学院,通信与信息系统,工作流管理系统。