李獻(xiàn)軍 張少芳 李巖

摘要：企業(yè)員工出差在外時(shí)，經(jīng)常需要通過(guò)公共網(wǎng)絡(luò)連接回公司網(wǎng)絡(luò)進(jìn)行工作，這種情況下就需要保障數(shù)據(jù)在公共網(wǎng)絡(luò)上傳遞的安全性。L2TP VPN通過(guò)為遠(yuǎn)程用戶分配企業(yè)內(nèi)部IP地址，并對(duì)數(shù)據(jù)報(bào)文進(jìn)行封裝，使其在邏輯上依然處于企業(yè)內(nèi)部網(wǎng)絡(luò)之中，從而為其通過(guò)公網(wǎng)與企業(yè)內(nèi)部網(wǎng)絡(luò)之間的通信提供安全保護(hù)。

關(guān)鍵詞：網(wǎng)絡(luò);虛擬專用網(wǎng);二層隧道協(xié)議;安全;隧道

中圖分類號(hào)：TP393.2? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2019）22-0050-03

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

Implementation of Remote Access VPN Based on L2TP

LI Xian-jun， ZHANG Shao-fang， LI Yan

（Shijiazhuang Vocational Technical College of Posts & Telecommunications， Shijiazhuang 050021， China）

Abstract： When employees travel， they often need to connect to the company network through the public network to work. In this case， they need to ensure the security of data transmission on the public network. L2TP VPN provides security protection for communication between public and internal networks by assigning internal IP addresses to remote users and encapsulating data packets so that they are logically still in the internal network of the enterprise.

Key words：? network; VPN; L2TP; security; tunnel

1 引言

面對(duì)網(wǎng)絡(luò)中的各種威脅以及惡意的攻擊，數(shù)據(jù)使用明文在公共網(wǎng)絡(luò)上進(jìn)行傳輸就非常容易遭到攻擊者的竊聽(tīng)甚至是惡意的篡改。為了保障通信數(shù)據(jù)能夠在公共網(wǎng)絡(luò)上安全的傳遞性，產(chǎn)生了虛擬專用網(wǎng)（Virtual Private Network，VPN）技術(shù)。VPN通過(guò)使用加密、認(rèn)證等安全相關(guān)技術(shù)，能夠?yàn)橛脩粼谶壿嬌咸峁┫駥Ｓ镁W(wǎng)絡(luò)一樣的通信安全保障。其中遠(yuǎn)程訪問(wèn)VPN用于對(duì)遠(yuǎn)端用戶（例如出差在外的員工）通過(guò)公網(wǎng)連接到企業(yè)網(wǎng)絡(luò)提供安全保護(hù)，應(yīng)用最為廣泛的遠(yuǎn)程訪問(wèn)VPN技術(shù)即為L(zhǎng)2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議） VPN技術(shù)。

2 L2TP的基本原理

二層隧道協(xié)議（Layer 2 Tunneling Protocol，L2TP）由IETF起草，結(jié)合了CISCO公司的二層轉(zhuǎn)發(fā)（Layer 2 Forwarding，L2F）協(xié)議和Microsoft公司的點(diǎn)到點(diǎn)隧道協(xié)議（Point-to-Point Tunneling Protocol，PPTP）的優(yōu)點(diǎn)，為所傳輸?shù)臄?shù)據(jù)提供二層的隧道封裝。L2TP通過(guò)為遠(yuǎn)程用戶分配企業(yè)內(nèi)部網(wǎng)絡(luò)的IP地址從而實(shí)現(xiàn)為企業(yè)的出差人員提供經(jīng)由公共網(wǎng)絡(luò)安全的訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)的虛擬專用網(wǎng)。

2.1 L2TP網(wǎng)絡(luò)結(jié)構(gòu)

L2TP協(xié)議基于廣域網(wǎng)鏈路上的點(diǎn)到點(diǎn)協(xié)議（Point-to-Point Protocol，PPP）實(shí)現(xiàn)。L2TP通過(guò)對(duì)PPP的網(wǎng)絡(luò)模型進(jìn)行擴(kuò)展，使PPP會(huì)話的端點(diǎn)可以跨越互聯(lián)網(wǎng)，為遠(yuǎn)程接入用戶和企業(yè)網(wǎng)絡(luò)的邊界路由器之間提供PPP的會(huì)話。典型的L2TP組網(wǎng)應(yīng)用如圖1所示。

從上圖中可以看出，L2TP組建的VPN中，網(wǎng)絡(luò)組件主要由三部分構(gòu)成：

（1）遠(yuǎn)端系統(tǒng)

遠(yuǎn)端系統(tǒng)是需要通過(guò)VPN與企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行通信的系統(tǒng)，通常是通過(guò)寬帶上網(wǎng)的主機(jī)或某私有網(wǎng)絡(luò)的邊界路由器。

（2）L2TP訪問(wèn)集中器

L2TP訪問(wèn)集中器（L2TP Access Concentrator，LAC）用來(lái)為PPP的用戶提供網(wǎng)絡(luò)接入的服務(wù)，一般是由服務(wù)提供商提供的網(wǎng)絡(luò)接入服務(wù)器（Network Access Server，NAS），LAC需要具有PPP的端系統(tǒng)以及L2TP協(xié)議的處理能力。

LAC與遠(yuǎn)端系統(tǒng)之間采用PPP的方式進(jìn)行連接。

（3）L2TP網(wǎng)絡(luò)服務(wù)器

L2TP網(wǎng)絡(luò)服務(wù)器（L2TP Network Server，LNS）通常是一個(gè)企業(yè)網(wǎng)絡(luò)的邊界路由器，它既是PPP端系統(tǒng)，又是L2TP協(xié)議的服務(wù)器端。LNS是LAC的對(duì)端設(shè)備，是LAC進(jìn)行L2TP隧道傳輸?shù)倪壿嫿K止端點(diǎn)。通過(guò)在公共網(wǎng)絡(luò)中建立L2TP隧道，可以將遠(yuǎn)端系統(tǒng)的PPP連接在邏輯上延伸到LNS，從而實(shí)現(xiàn)PPP模型的擴(kuò)展，使PPP會(huì)話可以跨越Internet網(wǎng)絡(luò)。

2.2 L2TP報(bào)文結(jié)構(gòu)

L2TP協(xié)議的報(bào)文封裝結(jié)構(gòu)如圖2所示。

在L2TP協(xié)議中，LNS端會(huì)為遠(yuǎn)程用戶分配企業(yè)網(wǎng)絡(luò)內(nèi)部使用的私有IP地址，這樣遠(yuǎn)程用戶就可以使用私有IP地址訪問(wèn)企業(yè)網(wǎng)絡(luò)（相當(dāng)于遠(yuǎn)程用戶在邏輯上依然處于企業(yè)網(wǎng)絡(luò)的內(nèi)部），因此原始IP數(shù)據(jù)報(bào)文中封裝的是私有IP地址。原始IP數(shù)據(jù)報(bào)文從內(nèi)向外依次被PPP協(xié)議、L2TP協(xié)議和UDP協(xié)議進(jìn)行封裝，然后在最外層封裝上新的IP報(bào)頭，新IP報(bào)頭中的源IP地址和目的IP地址分別為遠(yuǎn)程用戶使用的公網(wǎng)IP地址和企業(yè)邊界路由器連接外部網(wǎng)絡(luò)的接口IP地址（或PPP Server地址）。L2TP協(xié)議的數(shù)據(jù)報(bào)文封裝如圖3所示。

L2TP存在兩種不同類型的連接：隧道（Tunnel）連接和會(huì)話（Session）連接。一個(gè)隧道連接對(duì)應(yīng)了一個(gè)LAC和LNS對(duì);而會(huì)話連接在隧道連接之上進(jìn)行復(fù)用，用于表示隧道連接中承載的每個(gè)PPP會(huì)話過(guò)程。

在L2TP中存在兩種消息類型：控制消息和數(shù)據(jù)消息?？刂葡⒂糜趯?duì)隧道連接以及會(huì)話連接的建立、維護(hù)以及傳輸過(guò)程進(jìn)行控制，控制消息是可靠的傳輸，它支持流量控制和擁塞控制的功能;數(shù)據(jù)消息用于封裝具體的PPP數(shù)據(jù)幀使其在隧道上進(jìn)行傳輸，數(shù)據(jù)消息是不可靠的傳輸。當(dāng)然，無(wú)論是控制消息還是數(shù)據(jù)消息其L2TP協(xié)議報(bào)頭都是相同的，在L2TP報(bào)頭中封裝有隧道標(biāo)識(shí)符（Tunnel ID）和會(huì)話標(biāo)識(shí)符（Session ID）信息，用來(lái)標(biāo)識(shí)不同的隧道和會(huì)話。

2.3 L2TP隧道模式

L2TP隧道的建立包括兩種不同的模式，分別是NAS發(fā)起的模式和客戶端的發(fā)起模式。

（1）NAS發(fā)起模式。

在NAS發(fā)起的模式（NAS-Initiated）中，由LAC端發(fā)起L2TP隧道連接。如圖4所示。

遠(yuǎn)程用戶撥入LAC，由LAC通過(guò)互聯(lián)網(wǎng)向LNS發(fā)起隧道連接的建立請(qǐng)求，并最終在LAC和LNS之間建立L2TP的隧道。其中，對(duì)遠(yuǎn)程用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)等工作可以由LAC側(cè)的代理執(zhí)行，也可以由LNS執(zhí)行。

（2）客戶端發(fā)起模式。

在客戶端發(fā)起的模式（Client-Initiated）中，由支持L2TP協(xié)議的遠(yuǎn)程用戶直接發(fā)起L2TP隧道連接。如圖5所示。

遠(yuǎn)程用戶在獲得了訪問(wèn)互聯(lián)網(wǎng)的權(quán)限后，直接向LNS發(fā)起進(jìn)行隧道連接建立的請(qǐng)求，在遠(yuǎn)程用戶和LNS之間最終建立起L2TP隧道，無(wú)須經(jīng)過(guò)一個(gè)單獨(dú)的LAC設(shè)備來(lái)建立隧道。當(dāng)然，客戶端直接發(fā)起的模式要求遠(yuǎn)程用戶系統(tǒng)必須能夠支持L2TP協(xié)議，并且遠(yuǎn)程用戶需要具有公網(wǎng)的IP地址，能夠直接通過(guò)互聯(lián)網(wǎng)與LNS通信。

3? L2TP的配置

假設(shè)網(wǎng)絡(luò)結(jié)構(gòu)如圖6所示，要求進(jìn)行L2TP協(xié)議的配置，使遠(yuǎn)程用戶PC1可以通過(guò)L2TP隧道訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)。其中PPP采用CHAP的認(rèn)證方式，用戶名和密碼分別是l2tp和l2tpcs;為遠(yuǎn)程用戶分配的IP地址段為10.1.2.0/24。

從上圖中可以看出，這是一個(gè)典型的由客戶端直接發(fā)起的L2TP網(wǎng)絡(luò)。為簡(jiǎn)單起見(jiàn)，將遠(yuǎn)程主機(jī)直接連接到了LNS上，省略掉了LAC設(shè)備和中間的網(wǎng)絡(luò)。

路由器RTA的具體配置如下：

RTA（config）#ip local pool pool-rvpn 10.1.2.2 10.1.2.254

RTA（config）#aaa new-model

RTA（config）#aaa authentication login authen-vpn local

RTA（config）#aaa authorization network author-vpn local

RTA（config）#username l2tp password l2tpcs

RTA（config）#crypto isakmp policy 10

RTA（config-isakmp）#authentication pre-share

RTA（config-isakmp）#encryption 3des

RTA（config-isakmp）#group 2

RTA（config-isakmp）#hash md5

RTA（config-isakmp）#exit

RTA（config）#crypto isakmp client configuration group grp-vpn

RTA（config-isakmp-group）#key 123

RTA（config-isakmp-group）#pool pool-rvpn

RTA（config-isakmp-group）#netmask 255.255.255.0

RTA（config-isakmp-group）#exit

RTA（config）#crypto ipsec transform-set ts-vpn esp-3des esp-md5-hmac

RTA（cfg-crypto-trans）#exit

RTA（config）#crypto dynamic-map dmap-vpn 10

RTA（config-crypto-map）#set transform-set ts-vpn

RTA（config-crypto-map）#reverse-route

RTA（config-crypto-map）#exit

RTA（config）#crypto map map-vpn client configuration address respond

RTA（config）#crypto map map-vpn client authentication list authen-vpn

RTA（config）#crypto map map-vpn isakmp authorization list author-vpn

RTA（config）#crypto map map-vpn 10 ipsec-isakmp dynamic dmap-vpn

RTA（config）#interface FastEthernet 0/0

RTA（config-if）#crypto map map-vpn

配置完成后，在PC1上安裝并配置L2TP VPN客戶端軟件，連接成功后在PC1的命令行界面下執(zhí)行ipconfig命令可以看到其獲得了企業(yè)內(nèi)部地址10.1.2.2。

4 結(jié)束語(yǔ)

通過(guò)L2TP VPN，LNS為遠(yuǎn)程用戶分配企業(yè)網(wǎng)絡(luò)內(nèi)部的IP地址，使其在邏輯上依然處于企業(yè)內(nèi)部網(wǎng)絡(luò)之中，從而為其通過(guò)公網(wǎng)與企業(yè)內(nèi)部網(wǎng)絡(luò)之間的通信提供安全保護(hù)。

參考文獻(xiàn)：

[1] Cisco Networking Academy.CCNA安全[M].北京：人民郵電出版社，2015：219-220.

[2] 楊菲菲，孫婧，王彬.L2TP over IPSec技術(shù)在私有桌面云中的應(yīng)用[J].計(jì)算機(jī)技術(shù)與發(fā)展，2015，10：160-165.

[3] 陳翰馳，鐘佩珊.EPC核心網(wǎng)中L2TP VPN隧道的構(gòu)建[J].電信網(wǎng)技術(shù)，2016，1：62-64.

[4] 李凌.4G VPN業(yè)務(wù)L2TP鑒權(quán)認(rèn)證的實(shí)現(xiàn)研究[J].無(wú)線互聯(lián)科技，2018，8：18-19.

【通聯(lián)編輯：代影】