吳響 臧浩 俞嘯 趙強(qiáng)

摘要： 采用GNS3網(wǎng)絡(luò)模擬器結(jié)合Vmware虛擬機(jī)實(shí)現(xiàn)對(duì)L2TPv3 over IPSec的仿真配置，解決跨地理位置的多個(gè)站點(diǎn)間的安全訪問(wèn)，分析L2TPv3 over IPSec相比于其他VPN的優(yōu)勢(shì)，通過(guò)設(shè)計(jì)和配置實(shí)驗(yàn)可以更好的掌握理論知識(shí)、提升實(shí)踐能力，進(jìn)而說(shuō)明GNS3結(jié)合Vmware的應(yīng)用價(jià)值。

關(guān)鍵詞： GNS3；Vmware；L2TPv3 over IPSec

中圖分類(lèi)號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1672-3791（2015）03（b）-0000-00

引 言

隨著網(wǎng)絡(luò)當(dāng)中服務(wù)類(lèi)型和需求越來(lái)越多，大型公司、醫(yī)院、科研機(jī)構(gòu)都在不斷的拓展自己的業(yè)務(wù)，并購(gòu)競(jìng)爭(zhēng)對(duì)手或者并購(gòu)不同業(yè)務(wù)的公司。為了使得公司的員工能夠快捷、方便、安全的獲取不同分部機(jī)構(gòu)網(wǎng)絡(luò)的資源，需要租賃服務(wù)提供商的專(zhuān)線業(yè)務(wù)，如果使用服務(wù)提供商的專(zhuān)線業(yè)務(wù)，將會(huì)面臨巨大的資金投入。

VPN的出現(xiàn)徹底解決了這樣的問(wèn)題，它是一種使用價(jià)格低廉的網(wǎng)絡(luò)建立網(wǎng)絡(luò)隧道以解決上述問(wèn)題的技術(shù)[1-2]?；谒淼腊l(fā)展出來(lái)的VPN技術(shù)有很多，不同的網(wǎng)絡(luò)類(lèi)型和網(wǎng)絡(luò)需求我們需要使用不同的VPN技術(shù)，以保證網(wǎng)絡(luò)的連續(xù)性和高效性[3]。

1實(shí)施背景分析及VPN技術(shù)的選定

1.1 實(shí)施背景分析

現(xiàn)有一個(gè)機(jī)構(gòu)總部和一個(gè)分支機(jī)構(gòu)，選定的技術(shù)既能夠滿足總部和分支信息資源的專(zhuān)用性，又能夠確保數(shù)據(jù)在公網(wǎng)傳輸過(guò)程時(shí)不被劫持和破壞。因此VPN方案應(yīng)當(dāng)滿足數(shù)據(jù)源認(rèn)證、數(shù)據(jù)完整性、數(shù)據(jù)私密性、防止中間人攻擊、防止數(shù)據(jù)重放以及地址重疊等方面的問(wèn)題[4-5]。

1.2 VPN技術(shù)的選定

目前市面上的VPN技術(shù)有很多，大概分為兩類(lèi)：三層VPN技術(shù)和二層VPN技術(shù)。主流三層VPN技術(shù)有L2L VPN、GRE、EZVPN、SSL VPN、GETVPN。主流二層VPN技術(shù)有PPPoE

、PPTP、L2TPv2、L2TPv3。在保障VPN流量正常工作的同時(shí)，仍然希望其他業(yè)務(wù)流量不受影響，或者說(shuō)盡量少的占用設(shè)備資源，推薦使用的是二層VPN[6-7]。在二層VPN技術(shù)里面能夠保證兩個(gè)網(wǎng)絡(luò)完美對(duì)接同時(shí)又能解決地址重疊問(wèn)題的技術(shù)只有L2TPv3。

在網(wǎng)絡(luò)中有一個(gè)IPSec組件，這個(gè)組件定義的是高度解決網(wǎng)絡(luò)之間通信的安全性。IPSec組件可以和多數(shù)的VPN技術(shù)結(jié)合使用，所以最終選定L2TPv3 over IPSec來(lái)解決上述問(wèn)題的特殊需求[8-9]。

2 L2TPv3 VPN系統(tǒng)組成

一個(gè)基本的L2TPv3 over IPSec組網(wǎng)架構(gòu)如圖2.1所示，系統(tǒng)由VPDN、遠(yuǎn)端系統(tǒng)、LAC和LNS組成。其中VPDN采用隧道協(xié)議在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專(zhuān)網(wǎng)。分部機(jī)構(gòu)可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過(guò)虛擬隧道實(shí)現(xiàn)和總部之間的網(wǎng)絡(luò)連接。遠(yuǎn)端系統(tǒng)是要接入VPDN網(wǎng)絡(luò)的分部機(jī)構(gòu)，一般是私有網(wǎng)絡(luò)的一臺(tái)路由設(shè)備。LAC是具有PPP和L2TP協(xié)議處理能力的設(shè)備，一般是一個(gè)ISP的網(wǎng)絡(luò)接入服務(wù)器，主要用于為PPP類(lèi)型的用戶提供接入服務(wù)，在這樣一個(gè)網(wǎng)絡(luò)里面，對(duì)應(yīng)的LAC設(shè)備我們要做設(shè)備等級(jí)的下放，讓私有的設(shè)備充當(dāng)LAC。LNS既是PPP端系統(tǒng)，又是L2TP的服務(wù)器端。LNS是LAC的對(duì)端設(shè)備，是LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話的邏輯終止端點(diǎn)。通過(guò)在公網(wǎng)中建立L2TP隧道，將遠(yuǎn)端系統(tǒng)的連接由原來(lái)的LAC在邏輯上傳輸?shù)狡髽I(yè)網(wǎng)內(nèi)部的LNS。

3 仿真環(huán)境搭建

3.1 實(shí)驗(yàn)環(huán)境簡(jiǎn)介

實(shí)驗(yàn)中使用的仿真軟件包括GNS3 0.7.3[10]、SecureCRT 5.1、VMware Workstation 10、Windows 7-64bit、Windows Server 2003 Enterprise Edition。GNS3中使用的Cisco IOS是c3640-jk9s-mz.124-16.BIN。

3.2 仿真實(shí)驗(yàn)拓?fù)浣Y(jié)構(gòu)

遠(yuǎn)程網(wǎng)絡(luò)處于172.16.1.0/24、172.16.2.0/24和172.16.3.0/24中，remot network A site ip地址為172.16.3.200/24，網(wǎng)關(guān)地址為172.16.3.254/24，remot network A通過(guò)R2的IP地址為202.100.1.1/24的端口與Internet相連。Remot network B site ip地址為172.16.2.200，網(wǎng)關(guān)地址為172.16.3.254/24，該網(wǎng)絡(luò)通過(guò)ip地址64.102.51.2連接Internet。

3.3 仿真環(huán)境搭建

步驟1：使用VMware虛擬出一臺(tái)Windows server 2003作為remote network B site。

步驟2：在GNS3上使用cisco c3600系列三層交換模擬內(nèi)網(wǎng)的LAC和LNS。

步驟3：使用GNS3使用兩個(gè)cloud分別連接到VMnet 8和本地?zé)o線網(wǎng)卡。

步驟4：使用VMware把VMnet 8和Windows server 2003橋接在一起，模式為host-only。

3.4 主要配置命令

在R2和R4上配置L2TPv3 over IPSec VPN主要配置如下：

1） 創(chuàng)建L2TPv3控制面板

l2tp-class remot.network.A

hidden

authentication

hello 180

hostname remote-A

password 7 0822455D0A16

retransmit retries 16

timeout setup 60

cookie size 4

2） 創(chuàng)建L2TP的pseudowire-class模板

pseudowire-class remote.network.A

encapsulation l2tpv3

sequencing both

protocol none

ip local interface Loopback0

ip dfbit set

ip tos reflect

3） 抓取興趣流

ip access-list extended l2tp-over-ipsec

permit 115 host 1.1.1.1 host 2.2.2.2

4） 創(chuàng)建IPSec組件

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 64.102.51.2

crypto ipsec transform-set cisco esp-des esp-md5-hmac

crypto map cisco 10 ipsec-isakmp

set peer 64.102.51.2

set transform-set cisco

match address l2tp-over-ipsec

5） 接口綁定XCONNECT服務(wù)

interface FastEthernet0/0

xconnect 2.2.2.2 888888 encapsulation l2tpv3 manual pw-class remote.network.A

l2tp id 1111 2222

l2tp cookie local 4 12345

l2tp cookie remote 4 54321

l2tp hello remote.network.A

3.5 仿真結(jié)果分析

在R2和R4上配置L2TPv3 over IPSec VPN之前，雖然PC能夠和網(wǎng)關(guān)通信，但是兩個(gè)內(nèi)網(wǎng)之間是不能能通信的。當(dāng)我們把VPN部署完成之后，內(nèi)網(wǎng)各個(gè)節(jié)點(diǎn)都是可以互相訪問(wèn)的，即使它們的IP地址存在重疊。如圖2所示，建立了隧道之后，設(shè)備上面擁有了對(duì)方網(wǎng)絡(luò)的路由條目。

4 結(jié)束語(yǔ)

傳統(tǒng)的VPN技術(shù)對(duì)于現(xiàn)在的網(wǎng)絡(luò)需求日益疲憊，設(shè)備廠商和機(jī)構(gòu)也在不斷的研發(fā)新的VPN技術(shù)，這有利于架構(gòu)多樣性的網(wǎng)絡(luò)，傳統(tǒng)VPN技術(shù)注定會(huì)被淘汰。L2TPv3是VPN隧道盡頭的曙光，因?yàn)樗某霈F(xiàn)讓運(yùn)營(yíng)商出現(xiàn)了商機(jī)，雖然L2TPv3是面向運(yùn)營(yíng)商級(jí)別的協(xié)議，但是這并不妨礙我們降級(jí)使用這個(gè)技術(shù)，利用GNS3模擬器結(jié)合Vmware虛擬機(jī)，通過(guò)實(shí)驗(yàn)探討了L2TPv3的部署，同時(shí)也讓VPN技術(shù)的靈活使用變成了可能。

[1] 徐家臻，陳莘萌.基于IPSec與基于SSL的VPN的比較與分析[J].計(jì)算機(jī)工程與設(shè)計(jì)，2004，25（4）：586-588.

[2] 趙阿群，吉逸，顧冠群等.支持VPN的隧道技術(shù)研究[J].通信學(xué)報(bào)，2000，21（6）：85-91.

[3] 皮建勇，劉心松，廖東穎等.基于VPN的電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)安全方案[J].電力系統(tǒng)自動(dòng)化，2007，31（14）：94-97.

[4] 曾巧紅.VPN技術(shù)在高校圖書(shū)館的應(yīng)用[J].情報(bào)學(xué)報(bào)，2005，24（3）：357-362.

[5] 楊浩淼，程紅蓉，張文科等.基于虛擬機(jī)的VPN綜合實(shí)驗(yàn)設(shè)計(jì)[J].信息安全與通信保密，2012，（6）：56-58.

[6] 沈振興.一種高可用L2TP校園網(wǎng)認(rèn)證方案的設(shè)計(jì)及實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)（專(zhuān)業(yè)版），2014，（24）：47-50.

[7] 劉學(xué)普，周陽(yáng).基于L2TP/IPSec的企業(yè)遠(yuǎn)程移動(dòng)辦公網(wǎng)的構(gòu)建[J].寧波職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2013，（5）：99-101.

[8] 文建闊，昂志敏.基于L2TP和IPSec集成的車(chē)載無(wú)線終端傳輸網(wǎng)絡(luò)設(shè)計(jì)[J].微型機(jī)與應(yīng)用，2012，31（14）：47-50.

[9] 鄒縣芳，宋杰，陳蘊(yùn)等.基于L2TP/IPSec的VPN技術(shù)在校園網(wǎng)中的研究和應(yīng)用[J].阜陽(yáng)師范學(xué)院學(xué)報(bào)（自然科學(xué)版），2007，24（3）：70-74.

[10] 劉詩(shī)瑾.GNS3在網(wǎng)絡(luò)安全實(shí)驗(yàn)教學(xué)中的應(yīng)用[J].價(jià)值工程，2015，（25）：176-176，177.

一定保留：

江蘇省產(chǎn)學(xué)研聯(lián)合創(chuàng)新項(xiàng)目（BY2014033）徐州市科技計(jì)劃項(xiàng)目（XM13B021）；徐州市科技計(jì)劃項(xiàng)目（XM12B077）；

作者信息：吳響（1985-），男，江蘇徐州，博士，實(shí)驗(yàn)師，從事醫(yī)學(xué)物聯(lián)網(wǎng)、無(wú)線體域網(wǎng)的研究工作