王榮 賴彩明 萬賢平 中國聯(lián)通江西分公司 南昌市 330000

0 概述

隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展，企業(yè)客戶分布日益廣泛，合作伙伴日益增多，傳統(tǒng)企業(yè)網(wǎng)基于固定物理地點的專線連接方式已難以現(xiàn)代企業(yè)的需求。于是企業(yè)對自身的網(wǎng)絡(luò)建設(shè)提出了更高的需求，主要體現(xiàn)在網(wǎng)絡(luò)的靈活性，安全性，經(jīng)濟(jì)性，擴(kuò)展性等方面。在這樣的背景下，虛擬專用網(wǎng)絡(luò)（VPN，Virtual Private Network）正在被廣泛應(yīng)用以滿足日益增長的大型集團(tuán)客戶的安全通信需要。其中,VPDN（Virtual Private Dial Network）虛擬撥號專網(wǎng)技術(shù)采用專用的網(wǎng)絡(luò)加密和通信協(xié)議，可以使企業(yè)在公共網(wǎng)絡(luò)上建立安全的虛擬專網(wǎng)。企業(yè)外出人員可以從遠(yuǎn)程經(jīng)過公共網(wǎng)絡(luò)，通過虛擬的加密通道與企業(yè)內(nèi)部的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上的用戶則無法穿過虛擬通道訪問該企業(yè)的內(nèi)部網(wǎng)絡(luò)。VPDN的主要目的就是利用公共網(wǎng)絡(luò)的撥號及接入網(wǎng)，實現(xiàn)虛擬專用網(wǎng)，為企業(yè)、小型ISP、移動辦公人員提供接入服務(wù)。

1 VPDN實現(xiàn)技術(shù)

VPDN全稱是Virtual Private Dial-up Network，又稱為虛擬專用（或?qū)Ｓ茫芴柧W(wǎng)，是VPN業(yè)務(wù)的一種，是基于撥號用戶的虛擬專用撥號網(wǎng)（VPN）業(yè)務(wù)。亦即以撥號接入方式上網(wǎng)，在利用互聯(lián)網(wǎng)上傳輸數(shù)據(jù)時，對網(wǎng)絡(luò)數(shù)據(jù)的封包和加密，可以傳輸專用數(shù)據(jù)，達(dá)到專用網(wǎng)絡(luò)的安全級別。它是利用IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來的安全的虛擬專用網(wǎng)（VPN），是近年來隨著Internet的發(fā)展而迅速發(fā)展起來的一種技術(shù)。

對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道(Tunneling)技術(shù)是個關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來實現(xiàn)這種功能。使用隧道傳遞的數(shù)據(jù)(或負(fù)載)可以是不同協(xié)議的數(shù)據(jù)幀或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)幀或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。

被封裝的數(shù)據(jù)包在隧道的兩個端點之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時所經(jīng)過的邏輯路徑稱為隧道。一旦到達(dá)網(wǎng)絡(luò)終點，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。

1.1 L2TP隧道協(xié)議

VPDN的具體實現(xiàn)是采用隧道技術(shù)，即將企業(yè)網(wǎng)的數(shù)據(jù)封裝在隧道中進(jìn)行傳輸。隧道技術(shù)的基本過程是在源局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)（是OSI七層模型中的網(wǎng)絡(luò)層數(shù)據(jù)）作為負(fù)載封裝在一種可以在公網(wǎng)上傳輸?shù)臄?shù)據(jù)格式中，在目的局域網(wǎng)與公網(wǎng)的接口處將數(shù)據(jù)解封裝，取出負(fù)載。被封裝的數(shù)據(jù)包在互聯(lián)網(wǎng)上傳遞時所經(jīng)過的邏輯路徑被稱為“隧道”。要使數(shù)據(jù)順利地被封裝、傳送及解封裝，通信協(xié)議是保證的核心。目前VPN隧道協(xié)議可分為第三層隧道協(xié)議和第二層隧道協(xié)議。第二層隧道協(xié)議有點對點隧道協(xié)議（PPTP）、第二層轉(zhuǎn)發(fā)（L2F）、第二層隧道協(xié)議（L2TP）三種。

其中L2TP（第二層隧道協(xié)議）結(jié)合了L2F和PPTP的優(yōu)點，是一個工業(yè)標(biāo)準(zhǔn)的Internet隧道協(xié)議，它和PPTP的功能大致相同。L2TP也會壓縮PPP的幀，從而壓縮IP、IPX或NetBEUI協(xié)議，同樣允許用戶遠(yuǎn)程運行依賴特定網(wǎng)絡(luò)協(xié)議的應(yīng)用程序。其中，LAC表示L2TP訪問集中器(L2TP Access Concentrator)，是附屬在交換網(wǎng)絡(luò)上的具有接入功能和L2TP協(xié)議處理能力的設(shè)備；LNS表示L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server)，是PPP端系統(tǒng)上用于處理L2TP協(xié)議服務(wù)器端部分的設(shè)備。它作為L2TP隧道的另一側(cè)端點，是LAC的對端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會話的邏輯終止端點。

在一個LNS和LAC對之間存在兩種類型的連接，一種是隧道(tunnel)連接，它定義了一個LNS和LAC對；另一種是會話(session)連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。在一個隧道連接上可以承載多個會話連接。L2TP連接的維護(hù)以及PPP數(shù)據(jù)的傳送都是通過L2TP消息的交換來完成的，這些消息再通過UDP的1701端口承載于TCP/IP之上。L2TP消息可以分為控制消息和數(shù)據(jù)消息兩種類型?？刂葡⒂糜谒淼肋B接和會話連接的建立與維護(hù);數(shù)據(jù)消息則用于承載用戶的PPP會話數(shù)據(jù)包。

控制消息中的參數(shù)用AVP值對(Attribute Value Pair)來表示，使得協(xié)議具有很好的擴(kuò)展性;在控制消息的傳輸過程中還應(yīng)用了消息丟失重傳和定時檢測通道連通性等機(jī)制來保證了L2TP層傳輸?shù)目煽啃?。L2TP數(shù)據(jù)消息的傳輸不采用重傳機(jī)制，所以無法保證傳輸?shù)目煽啃?，但這一點可以通過上層協(xié)議如TCP等得到保證；數(shù)據(jù)消息的傳輸可以根據(jù)應(yīng)用的需要靈活地采用流控或非流控機(jī)制，甚至可以在傳輸過程中動態(tài)地使用消息序列號從而動態(tài)地激活消息順序檢測和流控功能；在采用流控的過程中，對于失序消息的處理采用了緩存重新排序的方法來提高數(shù)據(jù)傳輸?shù)挠行浴?/p>

L2TP還具有以下幾個特性：

1）安全的身份驗證機(jī)制: 與PPP類似，L2TP可以對隧道端點進(jìn)行驗證。L2TP規(guī)定必須使用類似PPP CHAP的驗證方式；

2）內(nèi)部地址分配支持: LNS可以對遠(yuǎn)端用戶的地址進(jìn)行動態(tài)分配和管理,遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的專用地址，方便了地址管理并可以增加安全性；

3）網(wǎng)絡(luò)計費的靈活性: 可以在LAC（一般為ISP）和LNS（一般為企業(yè)）兩處同時計費，前者用于產(chǎn)生帳單，而后者用于付費及審記。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)、字節(jié)數(shù)及連接的起始、結(jié)束時間等計費數(shù)據(jù)；

4）可靠性: L2TP協(xié)議可以支持備份LNS當(dāng)一個主LNS不可達(dá)之后，LAC可以重新與備份LNS建立連接，以增加VPN服務(wù)的可靠性和容錯性。

本文采用的隧道協(xié)議為L2TP。

1.2 VPDN的安全性

VPDN認(rèn)證是基于PPP（Point to Point Protocol）協(xié)議的。PPP協(xié)議主要是設(shè)計用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)。PPP協(xié)議將IP，IPX和NETBEUI包封裝在PP楨內(nèi)通過點對點的鏈路發(fā)送。PPP協(xié)議主要應(yīng)用于連接撥號用戶和NAS。 PPP撥號會話過程可以分成3個不同的階段。

1）創(chuàng)建PPP鏈路

PPP使用鏈路控制協(xié)議（LCP）創(chuàng)建，維護(hù)或終止一次物理連接。在LCP階段的初期，將對基本的通訊方式進(jìn)行選擇。

2）用戶驗證

客戶會PC將用戶的身份明發(fā)給遠(yuǎn)端的接入服務(wù)器。該階段使用一種安全驗證方式避免第三方竊取數(shù)據(jù)或冒充遠(yuǎn)程客戶接管與客戶端的連接。PPP提供了兩種可選的身份認(rèn)證方法：口令驗證協(xié)議PAP（Password Authentication Protocol，PAP）和質(zhì)詢握手協(xié)議（Challenge Handshake Authentication Protocol，CHAP）。

CHAP是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。NAS向遠(yuǎn)程用戶發(fā)送一個挑戰(zhàn)口令（challenge），其中包括會話ID和一個任意生成的挑戰(zhàn)字串（arbitrarychallengestring）。遠(yuǎn)程客戶必須使用MD5單向哈希算法（one-way hashing algorithm）返回用戶名和加密的挑戰(zhàn)口令。

CHAP對PAP進(jìn)行了改進(jìn)，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對口令進(jìn)行加密。因為服務(wù)器端存有客戶的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對照。CHAP為每一次驗證任意生成一個挑戰(zhàn)字串來防止受到再現(xiàn)攻擊（replay attack).在整個連接過程中，CHAP將不定時的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒充遠(yuǎn)程客戶（remote client impersonation)進(jìn)行攻擊。

如圖示：

3）調(diào)用網(wǎng)絡(luò)層協(xié)議

在以上各階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段（階段1）選定的各種

網(wǎng)絡(luò)控制協(xié)議（NCP).例如，在該階段IP控制協(xié)議（IPCP）可以向撥入用戶分配動態(tài)地址。

2 L2TP VPDN技術(shù)實現(xiàn)移動辦公

某公司網(wǎng)管系統(tǒng)是一張封閉的企業(yè)網(wǎng)，網(wǎng)絡(luò)管理員必須在固定的辦公地點訪問和使用網(wǎng)管，無法從互聯(lián)網(wǎng)直接訪問該系統(tǒng)。但是這種訪問限制在提高了網(wǎng)絡(luò)安全性的同時也給網(wǎng)管工作帶來了不便。比如，網(wǎng)絡(luò)管理員出差在外的時候就無法使用網(wǎng)管。因此，我們需要有一種靈活簡便的接入方式來同時滿足網(wǎng)絡(luò)安全性和便利性。

2.1 解決方案

通過新增1臺LNS和1條互聯(lián)網(wǎng)出口，利用L2TP VPDN訪問網(wǎng)管系統(tǒng)，無需

對網(wǎng)管網(wǎng)絡(luò)架構(gòu)與IP地址規(guī)劃做任何改動，具有很好的擴(kuò)展性。遠(yuǎn)端用戶可以通過任意互聯(lián)網(wǎng)線路通過電腦（電腦作為LAC）進(jìn)行L2TP撥號，從LNS獲取內(nèi)網(wǎng)地址以訪問網(wǎng)管系統(tǒng)。

2.1.1 硬件需求

1）新增1臺華為AR46作為LNS(利舊閑置設(shè)備)和1臺AAA服務(wù)器(利舊在網(wǎng)設(shè)備)；

2）新增1條互聯(lián)網(wǎng)出口；

2.1.2 網(wǎng)絡(luò)TOP圖

如圖示：

2.1.3 IP地址規(guī)劃

1）A R46_G i g a b i t E t h e r n e t0/0/1 (互聯(lián)網(wǎng)側(cè)):118.212.240.2/30；

2）AR46_GigabitEthernet0/0/2(網(wǎng)管防火墻側(cè)):172.168.0.2/30；

3）PC撥號地址池: 192.168.100.0/24;

4）網(wǎng)管系統(tǒng)地址段: 10.0.0.0/8。

2.1.4 LNS相關(guān)配置腳本

interface GigabitEthernet0/0/1

description TO_internet

ip address 118.212.240.2 255.255.255.252

interface GigabitEthernet0/0/2

description TO_managerment

ip address 172.168.0.2 255.255.255.252

l2tp-group 1 -----l2tp組

allow l2tp virtual-template 18

tunnel name pcanywhere

interface Virtual-Template18 -----虛模板

ppp authentication-mode pap domain test

ppp ipcp dns 10.0.0.200

ip address 192.168.100.1 255.255.255.0

remote address pool 1

radius scheme manager ------ radius

primary authentication ******

primary accounting ******

key authentication ******

key accounting ******

user-name-format without-domain

nas-ip 118.212.240.2

domain test -----PPP認(rèn)證域和地址池

scheme radius-scheme manager

accounting optional

ip pool 1 192.168.100.2 192.168.100.254

ip route-static 0.0.0.0 0.0.0.0 118.212.240.1 preference 60 -----路由

ip route-static 10.0.0.0 255.0.0.0 172.168.0.1 preference 60

2.1.5 具體實現(xiàn)

1）電腦設(shè)置L2TP撥號連接

2）通過AAA認(rèn)證獲取內(nèi)網(wǎng)IP地址

3）訪問內(nèi)部網(wǎng)管系統(tǒng)

3 總結(jié)

VPDN利用公共網(wǎng)絡(luò)的撥號及接入網(wǎng)，實現(xiàn)虛擬專用網(wǎng)，為企業(yè)，小型ISP，移動辦公人員提供接入服務(wù)，適用于地點分散，人員分散，對線路的保密和可用性有一定要求的用戶。本文通過很小的投資（僅新增1臺路由器作為LNS），且在不改變內(nèi)網(wǎng)架構(gòu)的條件下，對網(wǎng)絡(luò)進(jìn)行了改造，較好地解決了企業(yè)移動辦公的問題。