關(guān)鍵詞：下一代防火墻；L2TP VPN；遠程接入服務(wù)

0 引言

傳統(tǒng)的撥號接入方式中，遠程辦公用戶通過直接呼叫網(wǎng)絡(luò)訪問服務(wù)器（NAS） 建立點對點鏈路。用戶端設(shè)備與NAS 之間通常使用 PPP 協(xié)議（Point to PointProtocol） ，以實現(xiàn)身份驗證并支持多種網(wǎng)絡(luò)層相關(guān)協(xié)議。但這種方式存在著長途通信費用高昂、NAS端口資源占用多等問題。此外，因為數(shù)據(jù)在互聯(lián)網(wǎng)上傳輸時缺乏有效的安全保障，這種方式還存在著嚴重的安全隱患。為了解決上述問題，VPN技術(shù)應(yīng)運而生。

VPN是一種構(gòu)建在公共網(wǎng)絡(luò)之上的虛擬專用網(wǎng)絡(luò)，用于構(gòu)建VPN的公共網(wǎng)絡(luò)可以是 Internet，也可以是網(wǎng)際網(wǎng)絡(luò)服務(wù)供貨商（Internet Service Provider，ISP） 的 IP主干網(wǎng)絡(luò)，甚至可以是企事業(yè)單位私有的 IP主干網(wǎng)絡(luò)。

VPN的核心是隧道技術(shù)，它可以通過一種協(xié)議封裝和傳輸另一種協(xié)議的數(shù)據(jù)，較好地保障企業(yè)內(nèi)部數(shù)據(jù)在公共網(wǎng)絡(luò)上的安全傳輸。本文將重點介紹基于下一代防火墻的L2TP VPN遠程用戶接入服務(wù)的配置方法。

1 L2TP VPN 的基本架構(gòu)與網(wǎng)絡(luò)協(xié)議

L2TP VPN是一種二層VPN技術(shù)，它允許在IP隧道內(nèi)封裝數(shù)據(jù)鏈路幀，例如PPP幀和以太幀。L2TP協(xié)議由IETF起草，結(jié)合了PPTP和L2F協(xié)議的優(yōu)點，已被廣泛應(yīng)用并成為標準RFC [1]。L2TP協(xié)議最初定義于RFC 2661，最新版本V3定義于RFC 3931 [2]。

L2TP協(xié)議本身不具備數(shù)據(jù)加密和完整性校驗功能，但可以與IPsec等安全協(xié)議結(jié)合使用，以增強數(shù)據(jù)傳輸?shù)陌踩浴Psec協(xié)議套件通過身份驗證、數(shù)據(jù)加密和完整性校驗等機制，保障數(shù)據(jù)傳輸?shù)陌踩?/p>

L2TP協(xié)議支持多種網(wǎng)絡(luò)環(huán)境，在IP網(wǎng)絡(luò)中使用UDP1701端口。雖然L2TP屬于數(shù)據(jù)鏈路層協(xié)議，但在IP 網(wǎng)絡(luò)中也表現(xiàn)出會話層協(xié)議的特性。

L2TP VPN遠程用戶訪問公司總部過程如圖1所示，遠程主機首先通過Internet向LNS發(fā)起L2TP隧道連接請求；然后在LNS接受請求以后，與遠程主機建立L2TP隧道；最后，遠程主機通過該隧道與公司內(nèi)網(wǎng)進行通信[3]。

2 在下一代防火墻上實現(xiàn)L2TP VPN 時遇到的主要挑戰(zhàn)和解決策略

與傳統(tǒng)防火墻相比，下一代防火墻（NGFW） 在功能、性能和安全性方面均有顯著提升。在選擇和部署NGFW時，需要考慮其性能、可擴展性以及與現(xiàn)有安全設(shè)備的兼容性等因素。以下列舉了NGFW與傳統(tǒng)防火墻之間的一些關(guān)鍵區(qū)別。

1） 數(shù)據(jù)包檢查：傳統(tǒng)防火墻主要檢查數(shù)據(jù)包頭部信息，例如端口號、源地址和目標地址等；而NGFW能夠深入檢查數(shù)據(jù)包內(nèi)容，識別并攔截潛在的惡意流量。

2） 應(yīng)用識別與控制：傳統(tǒng)防火墻通?；诙丝谔柡蛥f(xié)議類型進行訪問控制，難以識別特定應(yīng)用程序及其功能；而NGFW能夠通過應(yīng)用程序簽名、行為和上下文分析等技術(shù)，實現(xiàn)對各種應(yīng)用的精確識別和控制，從而制定更精細的安全策略。

3） 集成安全功能：傳統(tǒng)防火墻通常只提供狀態(tài)檢測、NAT等基本安全功能；而NGFW集成了入侵防御系統(tǒng)（IDS） 、防病毒、防垃圾郵件等高級安全功能，能夠提供更全面的網(wǎng)絡(luò)安全防護。

4） SSL/TLS解密與檢查：傳統(tǒng)防火墻無法解密和檢查SSL/TLS加密流量；而NGFW具備此功能，可以更好地保障網(wǎng)絡(luò)安全。

5） 集成式管理與報告：傳統(tǒng)防火墻通常缺乏集中化的管理界面和詳細的報告功能；而NGFW提供集中化的管理界面，方便管理員配置策略、查看報告和監(jiān)控網(wǎng)絡(luò)狀況[4]。

下一代防火墻代表了網(wǎng)絡(luò)安全技術(shù)的進步，它在傳統(tǒng)防火墻的基礎(chǔ)上增加了許多高級功能，提供了更全面的網(wǎng)絡(luò)安全解決方案。然而，在下一代防火墻上實現(xiàn)L2TP VPN時，用戶仍可能面臨一些挑戰(zhàn)。以下為一些常見問題及相應(yīng)的解決策略。

1） VPN撥入后無法訪問內(nèi)網(wǎng)資源：可能原因包括VPN連接失敗、資源網(wǎng)段沖突、防火墻安全策略配置錯誤、路由配置錯誤等。建議優(yōu)先排查這些問題，并查看設(shè)備日志、使用ping、tracert等網(wǎng)絡(luò)診斷工具進行測試。

2） L2TP連接問題：可能原因包括配置錯誤、缺少證書或預(yù)共享密鑰等。建議檢查L2TP服務(wù)器和客戶端的配置，包括IP地址、認證方式、加密設(shè)置等；檢查證書或預(yù)共享密鑰是否正確配置；如有必要，向網(wǎng)絡(luò)管理員提供isakmp日志進行排查。

3） NAT問題：NAT環(huán)境下，VPN連接可能會出現(xiàn)問題。建議在配置VPN時考慮到NAT的存在，并進行相應(yīng)的配置調(diào)整以避免沖突；確保VPN服務(wù)器和客戶端之間的NAT設(shè)置正確。

總之，在下一代防火墻上實現(xiàn)L2TP VPN時，需要關(guān)注訪問控制、網(wǎng)絡(luò)連接、NAT等問題。解決這些問題需要仔細檢查和調(diào)整網(wǎng)絡(luò)和安全設(shè)置，并進行必要的調(diào)試和故障排查，以確保VPN服務(wù)的正常運行和遠程訪問的安全性。

3 基于Web 界面的Client-Initiated L2TP VPN配置

3.1 配置 LNS 側(cè)

LNS位于公司總部網(wǎng)絡(luò)的邊緣，承擔(dān)著網(wǎng)關(guān)的重要角色，可按如下配置步驟LNS的L2TP參數(shù)。

1） 配置 LNS 外部接口的IP 地址和路由，確保LNS與用戶側(cè)的遠程主機之間路由通暢。

2） 配置 LNS 的內(nèi)部接口 IP 地址、子網(wǎng)掩碼和所屬安全域，并將內(nèi)部接口加入相應(yīng)的安全區(qū)域。

3） 配置安全策略，允許來自外部接口的 L2TP 流量（UDP 端口 1701） 進入 LNS，并允許來自內(nèi)部接口的流量訪問外部網(wǎng)絡(luò)。

4） 登錄 LNS 的 Web 管理界面。

5） 導(dǎo)航至“ 用戶管理” >“ 本地用戶” 頁面。

6） 點擊“ 新建用戶” 按鈕， 如圖2 所示。

7） 在對話框中，設(shè)置用戶名為“ vpdnuser”，密碼為“ Hello”，授權(quán)用戶組為“system”，并選擇用戶服務(wù)類型為“ PPP”。

8） 點擊“ 確定” 按鈕完成用戶創(chuàng)建。

9） 導(dǎo)航至“啟用 L2TP” 選項。

10） 點擊“ 新建” 按鈕創(chuàng)建 L2TP VPN 實例。

11） 在彈出的“ 編輯 L2TP” 對話框中，如圖3 所示，進行如下配置：① L2TP 組號：1② 本端隧道名稱：LNS③ PPP 認證方式：CHAP④ PPP 服務(wù)器地址：192.168.0.1⑤ 子網(wǎng)掩碼：255.255.255.0⑥ 用戶地址池：192.168.0.212） 點擊“ 確定” 按鈕完成 L2TP VPN 實例的創(chuàng)建。

3.2 配置用戶側(cè)

1） 配置用戶側(cè)主機的 IP 地址為 2.1.1.1，子網(wǎng)掩碼為 255.255.255.0，默認網(wǎng)關(guān)為用戶側(cè)網(wǎng)絡(luò)的出口網(wǎng)關(guān)地址。

2） 配置路由，使得 Remote host 與 LNS（IP 地址為1.1.2.2） 之間路由可達。

3） 設(shè)置用戶名為“vpdnuser”，密碼為“Hello”。

4） 將LNS 的 IP 地址設(shè)為網(wǎng)關(guān)的互聯(lián)網(wǎng)接口地址1.1.2.2。

5） 修改隧道連接屬性，設(shè)置隧道協(xié)議為 L2TP，設(shè)置加密屬性為自定義，設(shè)置驗證方式為 CHAP。

4 基于命令行的Client-Initiated L2TP VPN配置

4.1 配置 LNS 側(cè)

基于命令行配置Client-Initiated L2TP VPN 的LNS側(cè)的基本步驟和基于Web界面的配置內(nèi)容基本相同。首先，配置 LNS 外部接口的IP 地址和路由，確保 LNS與用戶側(cè)的遠程主機之間路由通暢。然后配置各接口的 IP 地址、所屬安全域和各區(qū)域間的安全策略。然后通過以下命令行創(chuàng)建和配置本地PPP 用戶、開啟L2TP 功能、創(chuàng)建和配置虛擬模板、創(chuàng)建L2TP 組 1，配置隧道本端以接受L2TP隧道建立請求。

在完成LNS側(cè)的配置后，管理員可根據(jù)網(wǎng)絡(luò)安全的實際需求，選擇是否設(shè)置隧道驗證以控制隧道連接過程。在兩端都啟用了隧道驗證的情況下，需兩端密鑰檢驗一致，才能建立隧道連接。否則，隧道連接不能建立。但如果兩端均未選擇隧道驗證，那么隧道連接就不經(jīng)過隧道驗證，也不受其影響。通常為了保證隧道建立的安全，建議不要禁用隧道驗證功能。通過如下配置命令，可在LNS側(cè)增加隧道認證設(shè)置，修改隧道認證密鑰，用戶側(cè)也可同樣操作。

4.2 配置用戶側(cè)

基于命令行的Client-Initiated L2TP VPN用戶側(cè)的配置步驟和基于Web界面的配置步驟完全相同，此處從略。

5 L2TP VPN 配置驗證

6 結(jié)束語

L2TP VPN是一種經(jīng)濟高效的二層VPN技術(shù)，適用于單個或少量遠程用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)的場景。但需要注意的是，L2TP VPN本身不提供數(shù)據(jù)加密功能，建議與IPSec等加密技術(shù)結(jié)合使用，以增強數(shù)據(jù)傳輸?shù)陌踩訹5]。在實際部署 L2TP VPN 時，需要根據(jù)具體的網(wǎng)絡(luò)環(huán)境和設(shè)備型號選擇合適的配置參數(shù)，并進行必要的測試和驗證。