戴紅芳，朱 峰

（常熟理工學(xué)院 信息化辦公室，江蘇 常熟 215500）

隨著計(jì)算機(jī)網(wǎng)絡(luò)與信息技術(shù)的不斷發(fā)展，現(xiàn)代企業(yè)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越高，從信息獲取的及時(shí)性可以反映出企業(yè)的信息化水平.目前，很多企業(yè)都在異地設(shè)立了分支機(jī)構(gòu)，在信息互通方面，這些分支機(jī)構(gòu)利用計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)基本上實(shí)現(xiàn)了與總部的對(duì)接.同時(shí)，企業(yè)員工希望能在企業(yè)外部同樣享受網(wǎng)絡(luò)接入服務(wù)，如在家中或出差情況下也能實(shí)現(xiàn)網(wǎng)上辦公等.為滿足少數(shù)用戶在家中訪問(wèn)企業(yè)內(nèi)部網(wǎng)的需求，并以最小的硬件成本投入和保障數(shù)據(jù)安全要求下，使用L2TP技術(shù)構(gòu)建VPN虛擬網(wǎng)具有明顯的優(yōu)勢(shì).

1 VPN相關(guān)概念

虛擬私有網(wǎng)絡(luò)VPN（Virtual Private Network）是指用戶不再需要擁有實(shí)際的專用數(shù)據(jù)線路，而是建立經(jīng)由公用網(wǎng)的兩個(gè)遠(yuǎn)程站點(diǎn)之間的動(dòng)態(tài)連接.所謂私有即此網(wǎng)絡(luò)僅限于特定的人或組織使用.IETF（Internet Engineering Task Force）草案為基于IP的VPN是這樣定義的：使用IP機(jī)制仿真出一個(gè)私有的廣域網(wǎng)[1]，即在公共數(shù)據(jù)網(wǎng)絡(luò)上通過(guò)私有隧道技術(shù)虛擬出一條點(diǎn)到點(diǎn)的專線的技術(shù).

根據(jù)所要部署的基礎(chǔ)結(jié)構(gòu)以及將要解決的特定問(wèn)題可以將VPN劃分為三種類型：遠(yuǎn)程訪問(wèn)VPN、內(nèi)聯(lián)網(wǎng)VPN、外聯(lián)網(wǎng)VPN.遠(yuǎn)程訪問(wèn)VPN類型是遠(yuǎn)程用戶首先連上Internet，然后通過(guò)Internet撥入公司網(wǎng)絡(luò)，建立用戶與公司網(wǎng)絡(luò)之間的VPN連接.典型的應(yīng)用例如教師在家中訪問(wèn)校園網(wǎng)絡(luò).內(nèi)聯(lián)網(wǎng)VPN類型通過(guò)在Internet上為某個(gè)組織的遠(yuǎn)程站點(diǎn)提供站到站的連接，前提也是兩個(gè)組織之間首先能夠?qū)崿F(xiàn)基于Internet的互訪.外聯(lián)網(wǎng)VPN與內(nèi)聯(lián)網(wǎng)VPN基本相同，只是封裝節(jié)點(diǎn)通常是企業(yè)合伙人，而不是同一組織機(jī)構(gòu).

2 VPN的安全要素與常用VPN技術(shù)

網(wǎng)絡(luò)安全通常包括四個(gè)要素：機(jī)密性，完整性，數(shù)據(jù)源認(rèn)證，反重演.VPN正是利用了這四個(gè)要素，從而在不安全的網(wǎng)絡(luò)上進(jìn)行安全的數(shù)據(jù)傳輸.本文中出現(xiàn)的相關(guān)的網(wǎng)絡(luò)安全術(shù)語(yǔ)有：數(shù)據(jù)加密技術(shù)-DES（3DES）、AES，數(shù)據(jù)鑒別技術(shù)-RSA、CA，數(shù)據(jù)完整性技術(shù)-MD5、SHA，Diffie-Hellman密鑰和約協(xié)議，ISAKMP，SA[2].

經(jīng)常會(huì)被使用到的VPN技術(shù)有GRE，IPSEC，PPTP，L2F，L2TP等.它們之間通常都具有很大的相似性.GRE最早在異類網(wǎng)絡(luò)中使用了隧道封裝，作為VPN的雛形影響了后繼技術(shù)的發(fā)展，但其同時(shí)還不具備安全特質(zhì).IPSEC繼承了GRE的隧道技術(shù)，同時(shí)通過(guò)一系列的協(xié)議支持對(duì)數(shù)據(jù)進(jìn)行可定義的加密鑒別，作為迄今為止最完整的一套VPN標(biāo)準(zhǔn)，不僅部署在關(guān)鍵節(jié)點(diǎn)，同時(shí)在桌面應(yīng)用中也具有很大的發(fā)展?jié)摿?在中小企業(yè)的電子商務(wù)應(yīng)用中，GRE一般不作為單一的VPN應(yīng)用存在，通常結(jié)合于IPSEC，這兩種技術(shù)也更適合于站點(diǎn)與站點(diǎn)之間的網(wǎng)絡(luò)連接，例如企業(yè)總部與分公司之間的通訊.PPTP主要應(yīng)用于遠(yuǎn)程接入的需要，類似于傳統(tǒng)的DDR撥號(hào)，所建立的網(wǎng)絡(luò)是虛擬的.L2TP（Layer Two Tunneling Protocol）是IETF起草的國(guó)際標(biāo)準(zhǔn)隧道協(xié)議，它把PPTP和L2F二層隧道協(xié)議的優(yōu)點(diǎn)結(jié)合在一起.L2TP提供更加靈活的遠(yuǎn)程網(wǎng)絡(luò)接入服務(wù)，適用于點(diǎn)到點(diǎn)的遠(yuǎn)程辦公或者家庭辦公.

3 L2TP技術(shù)原理

在IETF擬定L2TP協(xié)議基礎(chǔ)上，IT界的大公司如微軟、3COM、Cisco、Ascend等紛紛參與了二層隧道協(xié)議的制定.為少量用戶提供接入企業(yè)內(nèi)部網(wǎng)服務(wù)，L2TP技術(shù)非常適合構(gòu)建VPN虛擬網(wǎng)，這種點(diǎn)對(duì)點(diǎn)的連接特性由PPP承載協(xié)議約定.L2TP支持為接入用戶進(jìn)行內(nèi)部網(wǎng)動(dòng)態(tài)地址分配，在數(shù)據(jù)傳輸過(guò)程中，L2TP會(huì)對(duì)私有網(wǎng)的數(shù)據(jù)包進(jìn)行封裝，在公共數(shù)據(jù)網(wǎng)絡(luò)上數(shù)據(jù)包的網(wǎng)絡(luò)地址是透明的.在PPP鏈路中進(jìn)行AAA認(rèn)證可以提高網(wǎng)絡(luò)接入的安全性，只允許通過(guò)認(rèn)證的PPP客戶才能連接到企業(yè)內(nèi)部網(wǎng)中.可采用IPSEC協(xié)議保障數(shù)據(jù)報(bào)文的安全性，在用戶把數(shù)據(jù)發(fā)往公共數(shù)據(jù)網(wǎng)之前IPSEC協(xié)議對(duì)數(shù)據(jù)進(jìn)行加密，也可采用用戶控制方式或ISP服務(wù)商控制方式對(duì)數(shù)據(jù)進(jìn)行加密.撥號(hào)用戶只要通過(guò)安裝、配置專用的VPN撥號(hào)軟件，就可以方便地創(chuàng)建與企業(yè)內(nèi)部網(wǎng)相連接的虛擬網(wǎng)，從而實(shí)現(xiàn)共享企業(yè)內(nèi)部信息的目的.

LNS和LAC是組建L2TP網(wǎng)絡(luò)必不可少的要素.LAC（L2TP Access Concentrator）是互聯(lián)網(wǎng)服務(wù)提供商提供的VPN接入設(shè)備，為用戶提供AAA服務(wù)（Authentication、Authorization、Accounting），LAC負(fù)責(zé)向LNS（L2TP Network Server）發(fā)起 L2TP 隧道和會(huì)話協(xié)商.專用的VPN服務(wù)器、配置L2TP的路由器或接入服務(wù)器都可以用做LAC物理設(shè)備.作為L(zhǎng)2TP企業(yè)端的VPN服務(wù)器，LNS接收來(lái)自LAC的連接請(qǐng)求，驗(yàn)證用戶名和口令，并進(jìn)行地址分配，從而建立L2TP隧道.L2TP協(xié)議如圖1所示.

LAC用戶端的數(shù)據(jù)鏈路層將數(shù)據(jù)報(bào)文與PPP封裝在一起形成PPP報(bào)文后傳遞給L2TP，L2TP再把PPP報(bào)文封裝成UDP報(bào)文，UDP報(bào)文又被封裝成可以在公共數(shù)據(jù)網(wǎng)絡(luò)上傳輸?shù)腎P報(bào)文后就完成了VPN的私有數(shù)據(jù)的封裝.值得注意的是此時(shí)的IP報(bào)文包含了另一個(gè)IP報(bào)文，在PPP上層的IP報(bào)文中的IP地址是私有地址，而最后封裝完成的IP報(bào)文中的IP地址是公有地址.LNS服務(wù)器端收到L2TP協(xié)議的IP報(bào)文后，依次去掉IP、UDP、L2TP、PPP報(bào)文頭就可以得到用戶IP數(shù)據(jù)報(bào)文，就實(shí)現(xiàn)了用戶IP數(shù)據(jù)的透明隧道傳輸.在報(bào)文傳輸過(guò)程中，PPP報(bào)頭和報(bào)文是保持不變的，這也說(shuō)明了L2TP是一個(gè)二層VPN隧道協(xié)議.

圖1 L2TP協(xié)議

4 L2TP技術(shù)虛擬網(wǎng)的實(shí)現(xiàn)

VPN本身對(duì)于ISP是透明的，即ISP不參與VPN的建立，它只負(fù)責(zé)Internet的連通性.在L2TP中ISP不再只是簡(jiǎn)單的傳輸通道，同時(shí)它也參與了VPN隧道的建立過(guò)程.L2TP隧道是在ISP以及相關(guān)機(jī)構(gòu)的路由器之間建立，而不像在PPTP隧道中那樣建立于客戶端與機(jī)構(gòu)路由器之間.

L2TP會(huì)話的建立過(guò)程可以分解為三個(gè)階段：首先客戶機(jī)通過(guò)標(biāo)準(zhǔn)的調(diào)制解調(diào)器或者ISDN客戶端發(fā)起與ISP的LAC（L2TP訪問(wèn)集中器）之間的PPP連接；LAC根據(jù)用戶提供的帳號(hào)發(fā)起與特定LNS（L2TP網(wǎng)絡(luò)服務(wù)器，即客戶所要訪問(wèn)機(jī)構(gòu)的路由器）之間的L2TP隧道，并協(xié)商參數(shù)；最后，L2TP隧道建立，客戶機(jī)與機(jī)構(gòu)網(wǎng)絡(luò)之間可以通過(guò)Internet傳輸數(shù)據(jù)[3].

假設(shè)教師希望在家中登陸校園網(wǎng)絡(luò)的文件服務(wù)器A，上傳教學(xué)課件以供學(xué)生下載.此時(shí)除了需要在A校區(qū)的路由器A上配置LAC接受撥入以外，同時(shí)也需要在ISP的路由器上配置LNS請(qǐng)求撥入.L2TP拓?fù)鋱D如圖2所示.

（1）ISP（LAC）上請(qǐng)求撥入的配置

圖2 L2TP拓?fù)鋱D

建立編號(hào)為1的VPDN組，并允許通過(guò)此網(wǎng)絡(luò)設(shè)備進(jìn)行L2TP的撥入請(qǐng)求，以域名Domain njue.edu來(lái)映射遠(yuǎn)程用戶撥入的LNS，并通過(guò)名稱與口令對(duì)LNS進(jìn)行身份鑒別：

Initiate-to ip 202.1.1.1 limit 100 //指定LNS（即路由器A）的IP地址以及允許進(jìn)行的VPN會(huì)話數(shù)量（此處為最高100個(gè)會(huì)話）

（2）路由器A（LNS）上接受撥入的配置

建立編號(hào)為1的VPDN組，并允許此網(wǎng)絡(luò)設(shè)備接受LAC的L2TP撥入請(qǐng)求.并通過(guò)名稱與口令對(duì)LAC進(jìn)行身份鑒別：

5 結(jié) 論

VPN是隧道技術(shù)與加密技術(shù)的結(jié)合，通過(guò)隧道技術(shù)在公用網(wǎng)絡(luò)上模擬出私有專線，用加密技術(shù)保護(hù)敏感數(shù)據(jù)流的傳輸.根據(jù)不同企業(yè)的VPN接入要求，需提供不同的VPN接入方案.L2TP的優(yōu)點(diǎn)在于可以在很多的連接媒介上執(zhí)行，只要能提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接媒介就可以，大大降低了硬件成本投入；L2TP支持包頭壓縮，當(dāng)包頭壓縮后，只占用4個(gè)字節(jié)，減少了系統(tǒng)開銷；L2TP還支持隧道身份驗(yàn)證.因此，L2TP VPN技術(shù)適合于遠(yuǎn)程辦公以及家庭辦公.

[1]Jeff Doyle.TCP/IP路由技術(shù)[M].北京：人民郵電出版社，2005：43.

[2]Vijay Bollapragada，Mohamed Khalid，Scott Wainner.IPSec VPN Design[M].Indianapolis：Cisco Press，2005：210.

[3]Adam Quiggle.實(shí)現(xiàn)Cisco VPN實(shí)踐指南[M].北京：機(jī)械工業(yè)出版社，2003：89.