L2TP多實(shí)例實(shí)現(xiàn)遠(yuǎn)程接入安全安全隔離

1、PAGE6L2TP多實(shí)例實(shí)現(xiàn)遠(yuǎn)程接入安全隔離概述MPLS VPN應(yīng)用L2TP缺陷在現(xiàn)有的IP VPN組網(wǎng)方案中，很多企業(yè)，政府機(jī)構(gòu)，事業(yè)單位，其分支機(jī)構(gòu)、下屬單位和總部互連都使用了MPLS VPN功能，從而實(shí)現(xiàn)在公有網(wǎng)絡(luò)上構(gòu)建屬于自己的VPN，同時(shí)能夠?qū)崿F(xiàn)安全隔離，其典型的組網(wǎng)圖如下：MPLS COREVPN-1總部VPN-2總部RouterVPN-1分支機(jī)構(gòu)RouterCore RouterRouterVPN-2分支機(jī)構(gòu)L2TP-LNSINTERNETVPN-1出差人員VPN-2出差人員L2TP隧道此應(yīng)用中，VPN-1和VPN-2都使用作為總部的地址段，并且使用作為分部的地址段。這樣，VPN

2、-1和VPN-2的地址是重疊的，但是由于MPLS VPN的存在，VPN-1和VPN-2并不會(huì)互相訪問，可以保證每個(gè)VPN數(shù)據(jù)傳輸?shù)碾[秘性，同時(shí)也能夠?qū)崿F(xiàn)跨地域VPN域，極大的遠(yuǎn)程方便辦公。在一個(gè)MPLS VPN組網(wǎng)環(huán)境內(nèi)，無論多少個(gè)VPN域，都可以互補(bǔ)影響的完成每個(gè)VPN的工作，可以實(shí)現(xiàn)分支總部之間通信的安全性。但是，如果VPN-1和VPN-2都有人員出差，需要遠(yuǎn)程通過L2TP訪問公司內(nèi)部資源，問題就暴露出來了。首先，根據(jù)L2TP協(xié)議，用戶建立L2TP隧道之后需要分配IP地址，出差人員從遠(yuǎn)程登錄，L2TP LNS需要根據(jù)用戶的用戶名分配IP地址，但是VPN-1和VPN-2的IP地址都是一樣的，

3、都使用作為總部IP，使用作為分支機(jī)構(gòu)IP。如何針對VPN-1和VPN-2的人員分配IP地址呢其次，即使給VPN-1和VPN-2的人分配了不同的IP地址，從而區(qū)分了VPN-1和VPN-2出差人員，兩個(gè)VPN出差人員能夠分別訪問自己的公司做在的VPN，能夠訪問所在公司的內(nèi)部資源。但是，由于VPN-1和VPN-2出差人員通過同一臺L2TP LNS接入，如何有效的避免VPN-1的出差人員訪問到VPN-2的資源，同時(shí)避免VPN-2的出差人員訪問到VPN-1的資源，從而有效的保護(hù)VPN的私密性，保護(hù)每個(gè)VPN的安全性，從而達(dá)到VPN安全的目的防火墻隔離和L2TP接入的沖突在很多企業(yè)/事業(yè)單位，用防火墻作為

4、出口網(wǎng)關(guān)，同時(shí)實(shí)現(xiàn)內(nèi)部區(qū)域的隔離，從而保證各個(gè)區(qū)域不同的訪問權(quán)限，通過多實(shí)例隔離區(qū)域技術(shù)，實(shí)現(xiàn)多個(gè)區(qū)域的劃分，隔離和管理。例如下圖的拓?fù)浣Y(jié)構(gòu)，分為總部和分支機(jī)構(gòu)?？偛糠譃榱鶄€(gè)區(qū)域，分別為對外服務(wù)器所在的DMZ區(qū)域，內(nèi)部服務(wù)器區(qū)域，開放辦工區(qū)，研發(fā)中心，市場部，財(cái)務(wù)部所在的內(nèi)部Trust區(qū)域。分支機(jī)構(gòu)也有開放辦工區(qū)，研發(fā)中心，財(cái)務(wù)部，市場部。從安全的角度講，區(qū)域的劃分需要細(xì)致，權(quán)限需要嚴(yán)格，所以，每個(gè)區(qū)域的訪問權(quán)限有不同的設(shè)置：InternetUntrust區(qū)域Trust區(qū)域DMZ區(qū)域財(cái)務(wù)部開放辦公區(qū)研發(fā)中心市場部內(nèi)部服務(wù)器對外服務(wù)器分支機(jī)構(gòu)（包括開放辦工區(qū)，研發(fā)中心，財(cái)務(wù)部，市場部）出差人員L

5、2TP隧道總部拓?fù)?.財(cái)務(wù)部要求只能訪問內(nèi)部服務(wù)器，不能訪問internet，也不能訪問其他內(nèi)部區(qū)域，包括開放辦工區(qū)，研發(fā)中心，市場部，DMZ區(qū)域。同時(shí)，總部和分支機(jī)構(gòu)的財(cái)務(wù)部在同一個(gè)隔離區(qū)域內(nèi)可以互訪，并且分支機(jī)構(gòu)的財(cái)務(wù)部和總部的財(cái)務(wù)部具有相同的權(quán)限，也只能訪問內(nèi)部服務(wù)器。2.開放辦公區(qū)只能訪問DMZ區(qū)域和internet，不能訪問內(nèi)部服務(wù)器，也不能訪問其他辦公區(qū)域，但是總部和分支機(jī)構(gòu)的開放辦公區(qū)在同一個(gè)隔離區(qū)域內(nèi)可以互訪。3.市場部能夠訪問內(nèi)部服務(wù)器，DMZ區(qū)域和internet，但是不能訪問其他內(nèi)部區(qū)域，包括開放辦工區(qū)，研發(fā)中心，財(cái)務(wù)部。但是總部和分支機(jī)構(gòu)的市場部在同一個(gè)隔離區(qū)域內(nèi)可以互

6、訪。4.研發(fā)中心只能夠訪問內(nèi)部服務(wù)器，DMZ區(qū)域，不能訪問internet，分支的研發(fā)中心也要求能夠訪問內(nèi)部服務(wù)器，DMZ區(qū)域。并且要求總部和分支的研發(fā)中心在同一個(gè)隔離區(qū)域內(nèi)可以互訪。這種應(yīng)用能夠精確的實(shí)現(xiàn)區(qū)域分級管理，能夠保證內(nèi)部信息的安全，并且能夠有效的控制數(shù)據(jù)的擴(kuò)散，達(dá)到安全的目的。但是，如果有公司人員出差，并且通過L2TP隧道訪問公司本部資源，并且，為了安全考慮，每個(gè)部門的出差人員具有和在公司內(nèi)部門訪問相同的權(quán)限，例如，研發(fā)員工出差能夠訪問內(nèi)部服務(wù)器，DMZ區(qū)域和研發(fā)中心，而市場部員工出差可以通過L2TP隧道訪問內(nèi)部服務(wù)器，DMZ區(qū)域和internet，以及公司內(nèi)部的市場部。如果使用普

7、通的防火墻，其L2TP功能有限，雖然可以根據(jù)不同用戶分配不同的IP地址，但是不能有效控制出差人員訪問各自所在的隔離區(qū)域，例如讓研發(fā)出差人員可以訪問研發(fā)部區(qū)域，而不能訪問市場部和財(cái)務(wù)部的區(qū)域。解決方案華為3Com公司的SecPath系列防火墻通過L2TP多實(shí)例技術(shù)完美的解決了以上問題。SecPath系列防火墻通過在L2TP協(xié)議上加入多實(shí)例技術(shù)，讓L2TP支持在一臺設(shè)備、一個(gè)網(wǎng)絡(luò)上，通過軟件，將不同的用戶劃分在不同的域，每個(gè)域和MPLS的VPN、防火墻的內(nèi)部域連通，即具有了和內(nèi)部區(qū)域、VPN相同的權(quán)限，同時(shí)也能夠保證訪問到合法的資源。L2TP多實(shí)例的關(guān)鍵技術(shù)如下：根據(jù)用戶名分配不同IP華為3Com

8、公司的SecPath系列防火墻Internet出差人員L2TP隧道可以根據(jù)用戶名分配不同的IP地址。當(dāng)用戶使用L2TP隧道，需要驗(yàn)證用戶名和密碼，根據(jù)用戶名，可以分配給用戶不同的IP地址。例如，同時(shí)有兩個(gè)用戶申請使用L2TP隧道，并且需要分配IP地址。用戶甲屬于北京某企業(yè)，用戶乙屬于上海某企業(yè)。在他們的用戶名上，分別帶有公司所在城市的域名，例如用戶甲的用戶名為Abeijing，而用戶乙的用戶名為Bshanghai。在L2TP LNS側(cè)，根據(jù)用戶名，將分配給用戶甲一個(gè)的地址，從而讓用戶甲可以自由的訪問北京企業(yè)的資源，而用戶乙將獲得的地址，從而讓用戶乙可以輕松訪問上海企業(yè)的資源。這樣，使用不同的地

9、址，從一定程度上實(shí)現(xiàn)了安全。根據(jù)用戶名綁定MPLS VPNMPLS COREVPN-2總部RouterCore RouterL2TP-LNSINTERNETVPN-1出差人員AVPN-2出差人員BL2TP隧道VPN-1總部在使用MPLS VPN的時(shí)候，由于每個(gè)VPN的內(nèi)部地址可能是一樣的，即VPN-1和VPN-2都使用的地址，對于出差人員，都要求分配的地址，這就要求LNS設(shè)備能夠根據(jù)用戶名區(qū)分用戶所在的、對應(yīng)MPLS的VPN。華為3Com公司的SecPath系列防火墻可以通過綁定用戶所在的、對應(yīng)MPLS的VPN。我們假設(shè)VPN-1的出差人員A有用戶名AVPN-1，而VPN-2的出差人員B有用戶

10、名BVPN-2，當(dāng)A建立L2TP隧道時(shí)，LNS設(shè)備需要根據(jù)用戶名AVPN-1，將A的IP地址綁定到MPLS VPN-1，即出差人員A所有的訪問將在MPLS VPN-1種進(jìn)行。而B建立L2TP隧道時(shí)，將被綁定到MPLS VPN-2，從而實(shí)現(xiàn)A，B的隔離，并且保證了A，B能夠通過MPLS VPN訪問公司內(nèi)部的資源。根據(jù)用戶名綁定安全區(qū)域?yàn)榱藢?shí)現(xiàn)安全隔離，公司作了區(qū)域隔離，使研發(fā)部和市場部不能互訪。將研發(fā)劃分為一個(gè)區(qū)域，同時(shí)將市場部劃分為另外一個(gè)區(qū)域，兩個(gè)區(qū)域雖然經(jīng)過相同的防火墻，但是區(qū)域之間不能互通。Internet財(cái)務(wù)部開放辦公區(qū)研發(fā)中心市場出差BL2TP隧道研發(fā)出差A(yù)研發(fā)可訪問市場可訪問市場部

11、華為3Com公司的SecPath系列防火墻通過根據(jù)用戶名綁定安全區(qū)域的技術(shù)，解決了出差人員需要訪問本部的需求。當(dāng)研發(fā)和市場都出差在外需要使用L2TP訪問公司內(nèi)部資源的時(shí)候，根據(jù)出差人員的用戶名，LNS將用戶分別綁定到不同的區(qū)域。假設(shè)研發(fā)出差人員A的用戶名為Adevelop，市場出差人員A的用戶名為Bmarket，則研發(fā)出差人員A的L2TP隧道將被綁定到研發(fā)中心，從而和研發(fā)中心有相同的訪問權(quán)限，也能夠訪問研發(fā)中心內(nèi)部資源。而市場出差人員B的L2TP隧道將被綁定到市場部，從而能夠訪問市場部內(nèi)部資源。不同區(qū)域之間實(shí)現(xiàn)安全隔離華為3Com公司的SecPath系列防火墻同時(shí)還解決了一個(gè)安全問題，即L2T

12、P隧道之間的安全隔離。雖然前面通過不同的技術(shù)使出差人員、移動(dòng)辦公人員能夠訪問本部的資源，并且能夠限制出差人員只能訪問內(nèi)部資源。但是，如果由于兩個(gè)出差人員都和同一臺LNS建立L2TP隧道，那么就需要隔離L2TP隧道用戶之間的訪問，防止通過控制出差人員的計(jì)算機(jī)從而訪問受限制的資源。華為3Com公司的SecPath系列防火墻使用內(nèi)嵌虛擬系統(tǒng)技術(shù)，將防火墻內(nèi)L2TP隧道隔離，使L2TP隧道之間不能互訪，這是一般的路由器/防火墻不能做到的。通過L2TP隧道內(nèi)部隔離，從而實(shí)現(xiàn)了用戶接入的安全訪問?？偨Y(jié)信息化越來越發(fā)達(dá)，遠(yuǎn)程接入日益普遍，各個(gè)企業(yè)對于遠(yuǎn)程辦公，移動(dòng)辦公，分支接入的需求也越來越明確，而傳統(tǒng)的L2TP技術(shù)在日益更新的VPN技術(shù)、安全隔離技術(shù)面前顯得力不從心，對于企業(yè)來說，需要能夠采用一種新的簡單的方式，既能夠滿足在任何地域都能夠遠(yuǎn)程接入，能夠方便的訪問內(nèi)部資源，同時(shí)也要求不合法的用戶的固定IP地址用戶互相訪問，從而達(dá)到安全的目的。為了安全，各種各樣的VPN技術(shù)、加密技術(shù)、隔離技術(shù)凸現(xiàn)出來，一定程度的提高了企業(yè)的安全性，但是，安全的概念越來越廣泛，各種各樣的攻擊手段越來越細(xì)化，任何一個(gè)細(xì)小的角落如果不