网站首页  词典首页

请输入您要查询的论文:

 

标题 基于L2TP的远程访问VPN的实现
范文

    李献军 张少芳 李岩

    

    

    

    摘要:企业员工出差在外时,经常需要通过公共网络连接回公司网络进行工作,这种情况下就需要保障数据在公共网络上传递的安全性。L2TP VPN通过为远程用户分配企业内部IP地址,并对数据报文进行封装,使其在逻辑上依然处于企业内部网络之中,从而为其通过公网与企业内部网络之间的通信提供安全保护。

    关键词:网络;虚拟专用网;二层隧道协议;安全;隧道

    中图分类号:TP393.2? ? ? ? 文献标识码:A

    文章编号:1009-3044(2019)22-0050-03

    开放科学(资源服务)标识码(OSID):

    Implementation of Remote Access VPN Based on L2TP

    LI Xian-jun, ZHANG Shao-fang, LI Yan

    (Shijiazhuang Vocational Technical College of Posts & Telecommunications, Shijiazhuang 050021, China)

    Abstract: When employees travel, they often need to connect to the company network through the public network to work. In this case, they need to ensure the security of data transmission on the public network. L2TP VPN provides security protection for communication between public and internal networks by assigning internal IP addresses to remote users and encapsulating data packets so that they are logically still in the internal network of the enterprise.

    Key words:? network; VPN; L2TP; security; tunnel

    1 引言

    面对网络中的各种威胁以及恶意的攻击,数据使用明文在公共网络上进行传输就非常容易遭到攻击者的窃听甚至是恶意的篡改。为了保障通信数据能够在公共网络上安全的传递性,产生了虚拟专用网(Virtual Private Network,VPN)技术。VPN通过使用加密、认证等安全相关技术,能够为用户在逻辑上提供像专用网络一样的通信安全保障。其中远程访问VPN用于对远端用户(例如出差在外的员工)通过公网连接到企业网络提供安全保护,应用最为广泛的远程访问VPN技术即为L2TP(Layer 2 Tunneling Protocol,二层隧道协议) VPN技术。

    2 L2TP的基本原理

    二层隧道协议(Layer 2 Tunneling Protocol,L2TP)由IETF起草,结合了CISCO公司的二层转发(Layer 2 Forwarding,L2F)协议和Microsoft公司的点到点隧道协议(Point-to-Point Tunneling Protocol,PPTP)的优点,为所传输的数据提供二层的隧道封装。L2TP通过为远程用户分配企业内部网络的IP地址从而实现为企业的出差人员提供经由公共网络安全的访问公司内部网络的虚拟专用网。

    2.1 L2TP网络结构

    L2TP协议基于广域网链路上的点到点协议(Point-to-Point Protocol,PPP)实现。L2TP通过对PPP的网络模型进行扩展,使PPP会话的端点可以跨越互联网,为远程接入用户和企业网络的边界路由器之间提供PPP的会话。典型的L2TP组网应用如图1所示。

    从上图中可以看出,L2TP组建的VPN中,网络组件主要由三部分构成:

    (1)远端系统

    远端系统是需要通过VPN与企业内部网络进行通信的系统,通常是通过宽带上网的主机或某私有网络的边界路由器。

    (2)L2TP访问集中器

    L2TP访问集中器(L2TP Access Concentrator,LAC)用来为PPP的用户提供网络接入的服务,一般是由服务提供商提供的网络接入服务器(Network Access Server,NAS),LAC需要具有PPP的端系统以及L2TP协议的处理能力。

    LAC与远端系统之间采用PPP的方式进行连接。

    (3)L2TP网络服务器

    L2TP网络服务器(L2TP Network Server,LNS)通常是一个企业网络的边界路由器,它既是PPP端系统,又是L2TP协议的服务器端。LNS是LAC的对端设备,是LAC进行L2TP隧道传输的逻辑终止端点。通过在公共網络中建立L2TP隧道,可以将远端系统的PPP连接在逻辑上延伸到LNS,从而实现PPP模型的扩展,使PPP会话可以跨越Internet网络。

    2.2 L2TP报文结构

    L2TP协议的报文封装结构如图2所示。

    在L2TP协议中,LNS端会为远程用户分配企业网络内部使用的私有IP地址,这样远程用户就可以使用私有IP地址访问企业网络(相当于远程用户在逻辑上依然处于企业网络的内部),因此原始IP数据报文中封装的是私有IP地址。原始IP数据报文从内向外依次被PPP协议、L2TP协议和UDP协议进行封装,然后在最外层封装上新的IP报头,新IP报头中的源IP地址和目的IP地址分别为远程用户使用的公网IP地址和企业边界路由器连接外部网络的接口IP地址(或PPP Server地址)。L2TP协议的数据报文封装如图3所示。

    L2TP存在两种不同类型的连接:隧道(Tunnel)连接和会话(Session)连接。一个隧道连接对应了一个LAC和LNS对;而会话连接在隧道连接之上进行复用,用于表示隧道连接中承载的每个PPP会话过程。

    在L2TP中存在两种消息类型:控制消息和数据消息。控制消息用于对隧道连接以及会话连接的建立、维护以及传输过程进行控制,控制消息是可靠的传输,它支持流量控制和拥塞控制的功能;数据消息用于封装具体的PPP数据帧使其在隧道上进行传输,数据消息是不可靠的传输。当然,无论是控制消息还是数据消息其L2TP协议报头都是相同的,在L2TP报头中封装有隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。

    2.3 L2TP隧道模式

    L2TP隧道的建立包括两种不同的模式,分别是NAS发起的模式和客户端的发起模式。

    (1)NAS发起模式。

    在NAS发起的模式(NAS-Initiated)中,由LAC端发起L2TP隧道连接。如图4所示。

    远程用户拨入LAC,由LAC通过互联网向LNS发起隧道连接的建立请求,并最终在LAC和LNS之间建立L2TP的隧道。其中,对远程用户的认证、授权和计费等工作可以由LAC侧的代理执行,也可以由LNS执行。

    (2)客户端发起模式。

    在客户端发起的模式(Client-Initiated)中,由支持L2TP协议的远程用户直接发起L2TP隧道连接。如图5所示。

    远程用户在获得了访问互联网的权限后,直接向LNS发起进行隧道连接建立的请求,在远程用户和LNS之间最终建立起L2TP隧道,无须经过一个单独的LAC设备来建立隧道。当然,客户端直接发起的模式要求远程用户系统必须能够支持L2TP协议,并且远程用户需要具有公网的IP地址,能够直接通过互联网与LNS通信。

    3? L2TP的配置

    假设网络结构如图6所示,要求进行L2TP协议的配置,使远程用户PC1可以通过L2TP隧道访问企业内部网络。其中PPP采用CHAP的认证方式,用户名和密码分别是l2tp和l2tpcs;为远程用户分配的IP地址段为10.1.2.0/24。

    从上图中可以看出,这是一个典型的由客户端直接发起的L2TP网络。为简单起见,将远程主机直接连接到了LNS上,省略掉了LAC设备和中间的网络。

    路由器RTA的具体配置如下:

    RTA(config)#ip local pool pool-rvpn 10.1.2.2 10.1.2.254

    RTA(config)#aaa new-model

    RTA(config)#aaa authentication login authen-vpn local

    RTA(config)#aaa authorization network author-vpn local

    RTA(config)#username l2tp password l2tpcs

    RTA(config)#crypto isakmp policy 10

    RTA(config-isakmp)#authentication pre-share

    RTA(config-isakmp)#encryption 3des

    RTA(config-isakmp)#group 2

    RTA(config-isakmp)#hash md5

    RTA(config-isakmp)#exit

    RTA(config)#crypto isakmp client configuration group grp-vpn

    RTA(config-isakmp-group)#key 123

    RTA(config-isakmp-group)#pool pool-rvpn

    RTA(config-isakmp-group)#netmask 255.255.255.0

    RTA(config-isakmp-group)#exit

    RTA(config)#crypto ipsec transform-set ts-vpn esp-3des esp-md5-hmac

    RTA(cfg-crypto-trans)#exit

    RTA(config)#crypto dynamic-map dmap-vpn 10

    RTA(config-crypto-map)#set transform-set ts-vpn

    RTA(config-crypto-map)#reverse-route

    RTA(config-crypto-map)#exit

    RTA(config)#crypto map map-vpn client configuration address respond

    RTA(config)#crypto map map-vpn client authentication list authen-vpn

    RTA(config)#crypto map map-vpn isakmp authorization list author-vpn

    RTA(config)#crypto map map-vpn 10 ipsec-isakmp dynamic dmap-vpn

    RTA(config)#interface FastEthernet 0/0

    RTA(config-if)#crypto map map-vpn

    配置完成后,在PC1上安装并配置L2TP VPN客户端软件,连接成功后在PC1的命令行界面下执行ipconfig命令可以看到其獲得了企业内部地址10.1.2.2。

    4 结束语

    通过L2TP VPN,LNS为远程用户分配企业网络内部的IP地址,使其在逻辑上依然处于企业内部网络之中,从而为其通过公网与企业内部网络之间的通信提供安全保护。

    参考文献:

    [1] Cisco Networking Academy.CCNA安全[M].北京:人民邮电出版社,2015:219-220.

    [2] 杨菲菲,孙婧,王彬.L2TP over IPSec技术在私有桌面云中的应用[J].计算机技术与发展,2015,10:160-165.

    [3] 陈翰驰,钟佩珊.EPC核心网中L2TP VPN隧道的构建[J].电信网技术,2016,1:62-64.

    [4] 李凌.4G VPN业务L2TP鉴权认证的实现研究[J].无线互联科技,2018,8:18-19.

    【通联编辑:代影】
随便看

 

科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。

 

Copyright © 2004-2023 puapp.net All Rights Reserved
更新时间:2024/12/22 22:06:29