基于L2TP協(xié)議的虛擬專用網(wǎng)絡(luò)設(shè)計(jì)

文/黃德奇

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展和Internet的普及，越來(lái)越多的人的工作及生活同網(wǎng)絡(luò)產(chǎn)生了密切的聯(lián)系。用戶在使用網(wǎng)絡(luò)的同時(shí)，也面臨著網(wǎng)絡(luò)受到監(jiān)聽(tīng)、信息受到竊取等問(wèn)題的困擾，網(wǎng)絡(luò)的安全性也成為用戶需要考慮的問(wèn)題。構(gòu)建安全性更高的網(wǎng)絡(luò)，VPN是一條解決的途徑。

1 VPN的現(xiàn)狀及技術(shù)分析

構(gòu)建安全性更高的網(wǎng)絡(luò)，虛擬專用網(wǎng)絡(luò)是一條解決的途徑。正因如此，VPN在Internet上得到了應(yīng)用。基于Internet的企業(yè)VPN與實(shí)際的專用網(wǎng)絡(luò)相比，成本可以大幅度地降低。VPN還可用于移動(dòng)用戶的Internet接入，商業(yè)伙伴之間的安全連接等。現(xiàn)在的Internet虛擬專用網(wǎng)絡(luò)可以利用廉價(jià)的電話網(wǎng)、校園網(wǎng)等，再加上Internet本身的開(kāi)放性和潛在的安全威脅，Internet上的VPN則成為下一代Internet發(fā)展的關(guān)鍵技術(shù)。

VPN的優(yōu)點(diǎn)在于：一是節(jié)省成本：通過(guò)使用寬帶，VPN降低了連接成本，同時(shí)增加了遠(yuǎn)程連接的帶寬；二是安全性：使用先進(jìn)的加密和身份驗(yàn)證協(xié)議防止數(shù)據(jù)遭到未經(jīng)授權(quán)的訪問(wèn)；三是可擴(kuò)展性：VPN使用ISP和運(yùn)營(yíng)商的Internet基礎(chǔ)設(shè)施，組織可以輕松地添加新用戶。組織無(wú)論大小，無(wú)需大規(guī)模添置基礎(chǔ)設(shè)施即可大幅度擴(kuò)充容量。

2 典型隧道協(xié)議

實(shí)現(xiàn)VPN的關(guān)鍵技術(shù)主要有4項(xiàng)：隧道技術(shù)、加密解密技術(shù)、密鑰管理技術(shù)和使用者與設(shè)備身份認(rèn)證技術(shù)。其中隧道技術(shù)是VPN技術(shù)的基礎(chǔ)。

2.1 點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）

PPTP協(xié)議位于ISO網(wǎng)絡(luò)OSI分層模式中的第二層。它提供專用的“隧道”來(lái)使PPTP客戶機(jī)與PPTP服務(wù)器通過(guò)公共網(wǎng)絡(luò)Internet進(jìn)行加密通信。通信內(nèi)容可以包括IP、IPX或NetBEUI數(shù)據(jù)流，它將這些類(lèi)型的數(shù)據(jù)進(jìn)行加密后封裝在IP包頭中，再通過(guò)企業(yè)的IP網(wǎng)絡(luò)或Internet發(fā)送。

2.2 第二層隧道協(xié)議（L2TP）

L2TP位于ISO網(wǎng)絡(luò)OSI分層模式中的第二層。L2TP協(xié)議允許對(duì)IP、IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過(guò)支持點(diǎn)對(duì)點(diǎn)的數(shù)據(jù)報(bào)傳遞到任意網(wǎng)絡(luò)。它綜合了PPTP協(xié)議和L2F協(xié)議的優(yōu)點(diǎn)，并且支持多路隧道，這樣可以使用戶能夠同時(shí)訪問(wèn)Internet和企業(yè)網(wǎng)。

2.3 IPSec安全協(xié)議

IPSec也稱安全I(xiàn)P隧道模式，它是一個(gè)保護(hù)IP通信的協(xié)議簇，提供了加密、完整性和身份驗(yàn)證功能。IPSec隧道模式位于ISO網(wǎng)絡(luò)OSI分層中的第三層，為VPN提供了最高級(jí)別的安全協(xié)議，可以對(duì)網(wǎng)絡(luò)層的每一項(xiàng)內(nèi)容進(jìn)行加密，然后封裝在IP包頭中，再通過(guò)Internet發(fā)送，以確保網(wǎng)絡(luò)層的安全通信。

3 第二層隧道協(xié)議L2TP技術(shù)

3.1 L2TP協(xié)議概述

L2TP協(xié)議主要由LAC 和LNS 構(gòu)成，LAC支持客戶端的L2TP，用于發(fā)起呼叫、接收呼叫和建立隧道；LNS是所有隧道的終點(diǎn)，LNS終止所有的PPP流。在傳統(tǒng)的PPP連接中，用戶撥號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。

3.2 L2TP組件

（1）網(wǎng)絡(luò)接入服務(wù)器（NAS）—— 當(dāng)用戶需要時(shí)隨時(shí)為其提供本地網(wǎng)絡(luò)接入的一臺(tái)設(shè)備。它是由最終用戶通常使用PSTN或ISDN線路創(chuàng)建的第2層點(diǎn)到點(diǎn)鏈路的終止點(diǎn)；

（2）L2TP接入集中器（LAC）—— 一個(gè)節(jié)點(diǎn)，它通常充當(dāng)至L2TP網(wǎng)絡(luò)服務(wù)器（LNS）的L2TP隧道的啟動(dòng)器。LAC轉(zhuǎn)發(fā)最終用戶和LNS之間的數(shù)據(jù)包。

（3）L2TP網(wǎng)絡(luò)服務(wù)器（LNS）—— 充當(dāng)PPP會(huì)話終止點(diǎn)的一個(gè)節(jié)點(diǎn)，該P(yáng)PP會(huì)話通過(guò)由LAC啟動(dòng)的L2TP隧道。

3.3 L2TP實(shí)現(xiàn)拓?fù)?/h3>

L2TP可以用兩種截然不同的拓?fù)鋪?lái)實(shí)現(xiàn)：一是強(qiáng)制隧道或客戶端透明隧道； 二是自愿隧道或客戶意識(shí)到的隧道。這兩種拓?fù)渲g的區(qū)別在于，利用L2TP接入遠(yuǎn)程網(wǎng)絡(luò)的客戶機(jī)是否意識(shí)到穿過(guò)了隧道。

4 L2TP構(gòu)建VPN

4.1 組網(wǎng)需求分析

LNS局域網(wǎng)網(wǎng)關(guān)為192.168.100.254/24，LNS外網(wǎng)口地址為10.0.0.1/8。LAC/PC為Windows XP的主機(jī)，撥號(hào)連接，IP地址不固定；所建立的L2TP隧道在172.16.0.0/16網(wǎng)段。

4.2 網(wǎng)絡(luò)規(guī)劃

4.2.1 L2TP連接方式選擇

L2TP VPN適用于移動(dòng)辦公用戶的VPN接入，可以提供嚴(yán)格的用戶驗(yàn)證功能，確保VPN接入用戶的合法性。L2TP VPN的連接方式分為兩種：PC直接發(fā)起連接和LAC設(shè)備發(fā)起連接。兩種方式適用于不同企業(yè)對(duì)于VPN接入控制和管理的不同要求。

4.2.2 L2TP安全性考慮

L2TP VPN本身雖然提供較為嚴(yán)格的接入用戶的認(rèn)證功能 ，但不提供VPN數(shù)據(jù)的加密功能，如果需要對(duì)數(shù)據(jù)進(jìn)行安全加密可以同IPSec協(xié)議進(jìn)行配合。

5 結(jié)語(yǔ)

對(duì)于構(gòu)建VPN來(lái)說(shuō)，網(wǎng)絡(luò)隧道技術(shù)是個(gè)關(guān)鍵技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)協(xié)議，也就是將現(xiàn)有的透明網(wǎng)絡(luò)信息進(jìn)行再次封裝，從而保證網(wǎng)絡(luò)信息傳輸?shù)陌踩浴Ｋ饕镁W(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)這種功能，具體包括二層隧道協(xié)議和三層隧道協(xié)議。隨著L2TP的不斷完善，VPN技術(shù)得到了廣泛的應(yīng)用。本文對(duì)用L2TP創(chuàng)建VPN進(jìn)行了探索，并對(duì)遠(yuǎn)程訪問(wèn)VPN進(jìn)行了網(wǎng)絡(luò)設(shè)計(jì)，積累了建立VPN的經(jīng)驗(yàn)，為其他VPN的建立打下了基礎(chǔ)。基于L2TP 的虛擬專用網(wǎng)絡(luò)技術(shù)的前景十分光明。

參考文獻(xiàn)

[1]于秀蓮.David Leon Clark.虛擬專用網(wǎng)[M].北京:人民郵電出版社,2000.

[2]郭軍.網(wǎng)絡(luò)管理（第三版）[M].北京:北京郵電大學(xué)出版社,2001.

[3]李莉,童小林.[美]Cisco Systems公司.網(wǎng)絡(luò)互連技術(shù)手冊(cè)（第四版)[M].北京：人民郵電出版社,2004:174-175.

[4]陳鳴.網(wǎng)絡(luò)工程設(shè)計(jì)教程系統(tǒng)集成方法[M].北京:希望電子出版社,2002.