戴紅芳，朱 峰

（常熟理工學院 信息化辦公室，江蘇 常熟 215500）

隨著計算機網(wǎng)絡與信息技術的不斷發(fā)展，現(xiàn)代企業(yè)對網(wǎng)絡的依賴程度越來越高，從信息獲取的及時性可以反映出企業(yè)的信息化水平.目前，很多企業(yè)都在異地設立了分支機構，在信息互通方面，這些分支機構利用計算機網(wǎng)絡技術基本上實現(xiàn)了與總部的對接.同時，企業(yè)員工希望能在企業(yè)外部同樣享受網(wǎng)絡接入服務，如在家中或出差情況下也能實現(xiàn)網(wǎng)上辦公等.為滿足少數(shù)用戶在家中訪問企業(yè)內部網(wǎng)的需求，并以最小的硬件成本投入和保障數(shù)據(jù)安全要求下，使用L2TP技術構建VPN虛擬網(wǎng)具有明顯的優(yōu)勢.

1 VPN相關概念

虛擬私有網(wǎng)絡VPN（Virtual Private Network）是指用戶不再需要擁有實際的專用數(shù)據(jù)線路，而是建立經由公用網(wǎng)的兩個遠程站點之間的動態(tài)連接.所謂私有即此網(wǎng)絡僅限于特定的人或組織使用.IETF（Internet Engineering Task Force）草案為基于IP的VPN是這樣定義的：使用IP機制仿真出一個私有的廣域網(wǎng)[1]，即在公共數(shù)據(jù)網(wǎng)絡上通過私有隧道技術虛擬出一條點到點的專線的技術.

根據(jù)所要部署的基礎結構以及將要解決的特定問題可以將VPN劃分為三種類型：遠程訪問VPN、內聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN.遠程訪問VPN類型是遠程用戶首先連上Internet，然后通過Internet撥入公司網(wǎng)絡，建立用戶與公司網(wǎng)絡之間的VPN連接.典型的應用例如教師在家中訪問校園網(wǎng)絡.內聯(lián)網(wǎng)VPN類型通過在Internet上為某個組織的遠程站點提供站到站的連接，前提也是兩個組織之間首先能夠實現(xiàn)基于Internet的互訪.外聯(lián)網(wǎng)VPN與內聯(lián)網(wǎng)VPN基本相同，只是封裝節(jié)點通常是企業(yè)合伙人，而不是同一組織機構.

2 VPN的安全要素與常用VPN技術

網(wǎng)絡安全通常包括四個要素：機密性，完整性，數(shù)據(jù)源認證，反重演.VPN正是利用了這四個要素，從而在不安全的網(wǎng)絡上進行安全的數(shù)據(jù)傳輸.本文中出現(xiàn)的相關的網(wǎng)絡安全術語有：數(shù)據(jù)加密技術-DES（3DES）、AES，數(shù)據(jù)鑒別技術-RSA、CA，數(shù)據(jù)完整性技術-MD5、SHA，Diffie-Hellman密鑰和約協(xié)議，ISAKMP，SA[2].

經常會被使用到的VPN技術有GRE，IPSEC，PPTP，L2F，L2TP等.它們之間通常都具有很大的相似性.GRE最早在異類網(wǎng)絡中使用了隧道封裝，作為VPN的雛形影響了后繼技術的發(fā)展，但其同時還不具備安全特質.IPSEC繼承了GRE的隧道技術，同時通過一系列的協(xié)議支持對數(shù)據(jù)進行可定義的加密鑒別，作為迄今為止最完整的一套VPN標準，不僅部署在關鍵節(jié)點，同時在桌面應用中也具有很大的發(fā)展?jié)摿?在中小企業(yè)的電子商務應用中，GRE一般不作為單一的VPN應用存在，通常結合于IPSEC，這兩種技術也更適合于站點與站點之間的網(wǎng)絡連接，例如企業(yè)總部與分公司之間的通訊.PPTP主要應用于遠程接入的需要，類似于傳統(tǒng)的DDR撥號，所建立的網(wǎng)絡是虛擬的.L2TP（Layer Two Tunneling Protocol）是IETF起草的國際標準隧道協(xié)議，它把PPTP和L2F二層隧道協(xié)議的優(yōu)點結合在一起.L2TP提供更加靈活的遠程網(wǎng)絡接入服務，適用于點到點的遠程辦公或者家庭辦公.

3 L2TP技術原理

在IETF擬定L2TP協(xié)議基礎上，IT界的大公司如微軟、3COM、Cisco、Ascend等紛紛參與了二層隧道協(xié)議的制定.為少量用戶提供接入企業(yè)內部網(wǎng)服務，L2TP技術非常適合構建VPN虛擬網(wǎng)，這種點對點的連接特性由PPP承載協(xié)議約定.L2TP支持為接入用戶進行內部網(wǎng)動態(tài)地址分配，在數(shù)據(jù)傳輸過程中，L2TP會對私有網(wǎng)的數(shù)據(jù)包進行封裝，在公共數(shù)據(jù)網(wǎng)絡上數(shù)據(jù)包的網(wǎng)絡地址是透明的.在PPP鏈路中進行AAA認證可以提高網(wǎng)絡接入的安全性，只允許通過認證的PPP客戶才能連接到企業(yè)內部網(wǎng)中.可采用IPSEC協(xié)議保障數(shù)據(jù)報文的安全性，在用戶把數(shù)據(jù)發(fā)往公共數(shù)據(jù)網(wǎng)之前IPSEC協(xié)議對數(shù)據(jù)進行加密，也可采用用戶控制方式或ISP服務商控制方式對數(shù)據(jù)進行加密.撥號用戶只要通過安裝、配置專用的VPN撥號軟件，就可以方便地創(chuàng)建與企業(yè)內部網(wǎng)相連接的虛擬網(wǎng)，從而實現(xiàn)共享企業(yè)內部信息的目的.

LNS和LAC是組建L2TP網(wǎng)絡必不可少的要素.LAC（L2TP Access Concentrator）是互聯(lián)網(wǎng)服務提供商提供的VPN接入設備，為用戶提供AAA服務（Authentication、Authorization、Accounting），LAC負責向LNS（L2TP Network Server）發(fā)起 L2TP 隧道和會話協(xié)商.專用的VPN服務器、配置L2TP的路由器或接入服務器都可以用做LAC物理設備.作為L2TP企業(yè)端的VPN服務器，LNS接收來自LAC的連接請求，驗證用戶名和口令，并進行地址分配，從而建立L2TP隧道.L2TP協(xié)議如圖1所示.

LAC用戶端的數(shù)據(jù)鏈路層將數(shù)據(jù)報文與PPP封裝在一起形成PPP報文后傳遞給L2TP，L2TP再把PPP報文封裝成UDP報文，UDP報文又被封裝成可以在公共數(shù)據(jù)網(wǎng)絡上傳輸?shù)腎P報文后就完成了VPN的私有數(shù)據(jù)的封裝.值得注意的是此時的IP報文包含了另一個IP報文，在PPP上層的IP報文中的IP地址是私有地址，而最后封裝完成的IP報文中的IP地址是公有地址.LNS服務器端收到L2TP協(xié)議的IP報文后，依次去掉IP、UDP、L2TP、PPP報文頭就可以得到用戶IP數(shù)據(jù)報文，就實現(xiàn)了用戶IP數(shù)據(jù)的透明隧道傳輸.在報文傳輸過程中，PPP報頭和報文是保持不變的，這也說明了L2TP是一個二層VPN隧道協(xié)議.

圖1 L2TP協(xié)議

4 L2TP技術虛擬網(wǎng)的實現(xiàn)

VPN本身對于ISP是透明的，即ISP不參與VPN的建立，它只負責Internet的連通性.在L2TP中ISP不再只是簡單的傳輸通道，同時它也參與了VPN隧道的建立過程.L2TP隧道是在ISP以及相關機構的路由器之間建立，而不像在PPTP隧道中那樣建立于客戶端與機構路由器之間.

L2TP會話的建立過程可以分解為三個階段：首先客戶機通過標準的調制解調器或者ISDN客戶端發(fā)起與ISP的LAC（L2TP訪問集中器）之間的PPP連接；LAC根據(jù)用戶提供的帳號發(fā)起與特定LNS（L2TP網(wǎng)絡服務器，即客戶所要訪問機構的路由器）之間的L2TP隧道，并協(xié)商參數(shù)；最后，L2TP隧道建立，客戶機與機構網(wǎng)絡之間可以通過Internet傳輸數(shù)據(jù)[3].

假設教師希望在家中登陸校園網(wǎng)絡的文件服務器A，上傳教學課件以供學生下載.此時除了需要在A校區(qū)的路由器A上配置LAC接受撥入以外，同時也需要在ISP的路由器上配置LNS請求撥入.L2TP拓撲圖如圖2所示.

（1）ISP（LAC）上請求撥入的配置

圖2 L2TP拓撲圖

建立編號為1的VPDN組，并允許通過此網(wǎng)絡設備進行L2TP的撥入請求，以域名Domain njue.edu來映射遠程用戶撥入的LNS，并通過名稱與口令對LNS進行身份鑒別：

Initiate-to ip 202.1.1.1 limit 100 //指定LNS（即路由器A）的IP地址以及允許進行的VPN會話數(shù)量（此處為最高100個會話）

（2）路由器A（LNS）上接受撥入的配置

建立編號為1的VPDN組，并允許此網(wǎng)絡設備接受LAC的L2TP撥入請求.并通過名稱與口令對LAC進行身份鑒別：

5 結 論

VPN是隧道技術與加密技術的結合，通過隧道技術在公用網(wǎng)絡上模擬出私有專線，用加密技術保護敏感數(shù)據(jù)流的傳輸.根據(jù)不同企業(yè)的VPN接入要求，需提供不同的VPN接入方案.L2TP的優(yōu)點在于可以在很多的連接媒介上執(zhí)行，只要能提供面向數(shù)據(jù)包的點對點的連接媒介就可以，大大降低了硬件成本投入；L2TP支持包頭壓縮，當包頭壓縮后，只占用4個字節(jié)，減少了系統(tǒng)開銷；L2TP還支持隧道身份驗證.因此，L2TP VPN技術適合于遠程辦公以及家庭辦公.

[1]Jeff Doyle.TCP/IP路由技術[M].北京：人民郵電出版社，2005：43.

[2]Vijay Bollapragada，Mohamed Khalid，Scott Wainner.IPSec VPN Design[M].Indianapolis：Cisco Press，2005：210.

[3]Adam Quiggle.實現(xiàn)Cisco VPN實踐指南[M].北京：機械工業(yè)出版社，2003：89.