文/黃德奇

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet的普及，越來越多的人的工作及生活同網(wǎng)絡(luò)產(chǎn)生了密切的聯(lián)系。用戶在使用網(wǎng)絡(luò)的同時(shí)，也面臨著網(wǎng)絡(luò)受到監(jiān)聽、信息受到竊取等問題的困擾，網(wǎng)絡(luò)的安全性也成為用戶需要考慮的問題。構(gòu)建安全性更高的網(wǎng)絡(luò)，VPN是一條解決的途徑。

1 VPN的現(xiàn)狀及技術(shù)分析

構(gòu)建安全性更高的網(wǎng)絡(luò)，虛擬專用網(wǎng)絡(luò)是一條解決的途徑。正因如此，VPN在Internet上得到了應(yīng)用?；贗nternet的企業(yè)VPN與實(shí)際的專用網(wǎng)絡(luò)相比，成本可以大幅度地降低。VPN還可用于移動用戶的Internet接入，商業(yè)伙伴之間的安全連接等。現(xiàn)在的Internet虛擬專用網(wǎng)絡(luò)可以利用廉價(jià)的電話網(wǎng)、校園網(wǎng)等，再加上Internet本身的開放性和潛在的安全威脅，Internet上的VPN則成為下一代Internet發(fā)展的關(guān)鍵技術(shù)。

VPN的優(yōu)點(diǎn)在于：一是節(jié)省成本：通過使用寬帶，VPN降低了連接成本，同時(shí)增加了遠(yuǎn)程連接的帶寬；二是安全性：使用先進(jìn)的加密和身份驗(yàn)證協(xié)議防止數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問；三是可擴(kuò)展性：VPN使用ISP和運(yùn)營商的Internet基礎(chǔ)設(shè)施，組織可以輕松地添加新用戶。組織無論大小，無需大規(guī)模添置基礎(chǔ)設(shè)施即可大幅度擴(kuò)充容量。

2 典型隧道協(xié)議

實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)主要有4項(xiàng)：隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。其中隧道技術(shù)是VPN技術(shù)的基礎(chǔ)。

2.1 點(diǎn)對點(diǎn)隧道協(xié)議（PPTP）

PPTP協(xié)議位于ISO網(wǎng)絡(luò)OSI分層模式中的第二層。它提供專用的“隧道”來使PPTP客戶機(jī)與PPTP服務(wù)器通過公共網(wǎng)絡(luò)Internet進(jìn)行加密通信。通信內(nèi)容可以包括IP、IPX或NetBEUI數(shù)據(jù)流，它將這些類型的數(shù)據(jù)進(jìn)行加密后封裝在IP包頭中，再通過企業(yè)的IP網(wǎng)絡(luò)或Internet發(fā)送。

2.2 第二層隧道協(xié)議（L2TP）

L2TP位于ISO網(wǎng)絡(luò)OSI分層模式中的第二層。L2TP協(xié)議允許對IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對點(diǎn)的數(shù)據(jù)報(bào)傳遞到任意網(wǎng)絡(luò)。它綜合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)，并且支持多路隧道，這樣可以使用戶能夠同時(shí)訪問Internet和企業(yè)網(wǎng)。

2.3 IPSec安全協(xié)議

IPSec也稱安全I(xiàn)P隧道模式，它是一個(gè)保護(hù)IP通信的協(xié)議簇，提供了加密、完整性和身份驗(yàn)證功能。IPSec隧道模式位于ISO網(wǎng)絡(luò)OSI分層中的第三層，為VPN提供了最高級別的安全協(xié)議，可以對網(wǎng)絡(luò)層的每一項(xiàng)內(nèi)容進(jìn)行加密，然后封裝在IP包頭中，再通過Internet發(fā)送，以確保網(wǎng)絡(luò)層的安全通信。

3 第二層隧道協(xié)議L2TP技術(shù)

3.1 L2TP協(xié)議概述

L2TP協(xié)議主要由LAC 和LNS 構(gòu)成，LAC支持客戶端的L2TP，用于發(fā)起呼叫、接收呼叫和建立隧道；LNS是所有隧道的終點(diǎn)，LNS終止所有的PPP流。在傳統(tǒng)的PPP連接中，用戶撥號連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。

3.2 L2TP組件

（1）網(wǎng)絡(luò)接入服務(wù)器（NAS）—— 當(dāng)用戶需要時(shí)隨時(shí)為其提供本地網(wǎng)絡(luò)接入的一臺設(shè)備。它是由最終用戶通常使用PSTN或ISDN線路創(chuàng)建的第2層點(diǎn)到點(diǎn)鏈路的終止點(diǎn)；

（2）L2TP接入集中器（LAC）—— 一個(gè)節(jié)點(diǎn)，它通常充當(dāng)至L2TP網(wǎng)絡(luò)服務(wù)器（LNS）的L2TP隧道的啟動器。LAC轉(zhuǎn)發(fā)最終用戶和LNS之間的數(shù)據(jù)包。

（3）L2TP網(wǎng)絡(luò)服務(wù)器（LNS）—— 充當(dāng)PPP會話終止點(diǎn)的一個(gè)節(jié)點(diǎn)，該P(yáng)PP會話通過由LAC啟動的L2TP隧道。

3.3 L2TP實(shí)現(xiàn)拓?fù)?/h3>

L2TP可以用兩種截然不同的拓?fù)鋪韺?shí)現(xiàn)：一是強(qiáng)制隧道或客戶端透明隧道； 二是自愿隧道或客戶意識到的隧道。這兩種拓?fù)渲g的區(qū)別在于，利用L2TP接入遠(yuǎn)程網(wǎng)絡(luò)的客戶機(jī)是否意識到穿過了隧道。

4 L2TP構(gòu)建VPN

4.1 組網(wǎng)需求分析

LNS局域網(wǎng)網(wǎng)關(guān)為192.168.100.254/24，LNS外網(wǎng)口地址為10.0.0.1/8。LAC/PC為Windows XP的主機(jī)，撥號連接，IP地址不固定；所建立的L2TP隧道在172.16.0.0/16網(wǎng)段。

4.2 網(wǎng)絡(luò)規(guī)劃

4.2.1 L2TP連接方式選擇

L2TP VPN適用于移動辦公用戶的VPN接入，可以提供嚴(yán)格的用戶驗(yàn)證功能，確保VPN接入用戶的合法性。L2TP VPN的連接方式分為兩種：PC直接發(fā)起連接和LAC設(shè)備發(fā)起連接。兩種方式適用于不同企業(yè)對于VPN接入控制和管理的不同要求。

4.2.2 L2TP安全性考慮

L2TP VPN本身雖然提供較為嚴(yán)格的接入用戶的認(rèn)證功能 ，但不提供VPN數(shù)據(jù)的加密功能，如果需要對數(shù)據(jù)進(jìn)行安全加密可以同IPSec協(xié)議進(jìn)行配合。

5 結(jié)語

對于構(gòu)建VPN來說，網(wǎng)絡(luò)隧道技術(shù)是個(gè)關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來傳輸另一種網(wǎng)絡(luò)協(xié)議，也就是將現(xiàn)有的透明網(wǎng)絡(luò)信息進(jìn)行再次封裝，從而保證網(wǎng)絡(luò)信息傳輸?shù)陌踩?。它主要利用網(wǎng)絡(luò)隧道協(xié)議來實(shí)現(xiàn)這種功能，具體包括二層隧道協(xié)議和三層隧道協(xié)議。隨著L2TP的不斷完善，VPN技術(shù)得到了廣泛的應(yīng)用。本文對用L2TP創(chuàng)建VPN進(jìn)行了探索，并對遠(yuǎn)程訪問VPN進(jìn)行了網(wǎng)絡(luò)設(shè)計(jì)，積累了建立VPN的經(jīng)驗(yàn)，為其他VPN的建立打下了基礎(chǔ)?；贚2TP 的虛擬專用網(wǎng)絡(luò)技術(shù)的前景十分光明。

參考文獻(xiàn)

[1]于秀蓮.David Leon Clark.虛擬專用網(wǎng)[M].北京:人民郵電出版社,2000.

[2]郭軍.網(wǎng)絡(luò)管理（第三版）[M].北京:北京郵電大學(xué)出版社,2001.

[3]李莉,童小林.[美]Cisco Systems公司.網(wǎng)絡(luò)互連技術(shù)手冊（第四版)[M].北京：人民郵電出版社,2004:174-175.

[4]陳鳴.網(wǎng)絡(luò)工程設(shè)計(jì)教程系統(tǒng)集成方法[M].北京:希望電子出版社,2002.