安全與VPN-L2TP技術(shù)介紹-D

1、，安全與VPN-L2TP技術(shù)介紹技術(shù)介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 L2TP HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 L2TP概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 L2TP典型組網(wǎng)應(yīng)用 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 L2TP基本概念 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark3 L2TP隧道模式及隧道建立過程 H

2、YPERLINK l _bookmark3 4 HYPERLINK l _bookmark5 L2TP協(xié)議的特點(diǎn) HYPERLINK l _bookmark5 6技術(shù)介紹 安全和 VPNL2TP PAGE 6L2TPL2TP 概述L2TP（Layer 2 Tunneling Protocol，二層隧道協(xié)議）是 VPDN（Virtual Private Dial-up Network， 虛擬私有撥號(hào)網(wǎng)）隧道協(xié)議的一種。VPDN 是指利用公共網(wǎng)絡(luò)（如 ISDN 或 PSTN）的撥號(hào)功能接入公共網(wǎng)絡(luò)，實(shí)現(xiàn)虛擬專用網(wǎng)，從而為企業(yè)、小型 ISP、移動(dòng)辦公人員等提供接入服務(wù)。即，VPDN 為遠(yuǎn)端用戶與私有

3、企業(yè)網(wǎng)之間提供了一種經(jīng)濟(jì)而有效的點(diǎn)到點(diǎn)連接方式。VPDN 采用專用的網(wǎng)絡(luò)通信協(xié)議，在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)。企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。VPDN 有以下兩種實(shí)現(xiàn)方式：接入服務(wù)器發(fā)起 VPDN 連接NAS（Network Access Server，網(wǎng)絡(luò)接入服務(wù)器）通過使用 VPDN 隧道協(xié)議，將客戶的 PPP 連接直接連到企業(yè)的 VPDN 網(wǎng)關(guān)上，從而與 VPDN 網(wǎng)關(guān)建立隧道。這些對(duì)于用戶是透明的，用戶只需要登錄一次就可以接入企業(yè)網(wǎng)絡(luò)，由企業(yè)網(wǎng)進(jìn)行用戶認(rèn)證和地址分

4、配，而不占用公共地址。該方式需要 NAS 支持 VPDN 協(xié)議、認(rèn)證系統(tǒng)支持 VPDN 屬性。用戶發(fā)起 VPDN 連接客戶端與 VPDN 網(wǎng)關(guān)建立隧道。這種方式由客戶端先建立與 Internet 的連接，再通過專用的客戶軟件（如 Windows 2000 支持的 L2TP 客戶端）與 VPDN 網(wǎng)關(guān)建立隧道連接。用戶上網(wǎng)的方式和地點(diǎn)沒有限制，不需 ISP 介入。但是，用戶需要安裝專用的軟件（一般都是 Windows 2000 平臺(tái)），限制了用戶使用的平臺(tái)。VPDN 網(wǎng)關(guān)一般使用路由器或 VPN 專用服務(wù)器。VPDN 隧道協(xié)議主要包括以下三種：PPTP（Point-to-Point Tunnel

5、ing Protocol，點(diǎn)到點(diǎn)隧道協(xié)議）L2F（Layer 2 Forwarding，二層轉(zhuǎn)發(fā)）L2TP目前使用最廣泛的是 L2TP。L2TP 典型組網(wǎng)應(yīng)用使用L2TP協(xié)議構(gòu)建的VPDN應(yīng)用的典型組網(wǎng)如 HYPERLINK l _bookmark0 圖 1所示。圖 1 應(yīng)用 L2TP 構(gòu)建的 VPDN 服務(wù)在 L2TP 構(gòu)建的 VPDN 中，網(wǎng)絡(luò)組件包括以下三個(gè)部分：遠(yuǎn)端系統(tǒng)遠(yuǎn)端系統(tǒng)是要接入 VPDN 網(wǎng)絡(luò)的遠(yuǎn)地用戶和遠(yuǎn)地分支機(jī)構(gòu)，通常是一個(gè)撥號(hào)用戶的主機(jī)或私有網(wǎng)絡(luò)的一臺(tái)路由設(shè)備。LAC（L2TP Access Concentrator，L2TP 訪問集中器）LAC 是附屬在交換網(wǎng)絡(luò)上的具有

6、 PPP 端系統(tǒng)和 L2TP 協(xié)議處理能力的設(shè)備，通常是一個(gè)當(dāng)?shù)?ISP的 NAS，主要用于為 PPP 類型的用戶提供接入服務(wù)。LAC 位于 LNS 和遠(yuǎn)端系統(tǒng)之間，用于在 LNS 和遠(yuǎn)端系統(tǒng)之間傳遞信息包。它把從遠(yuǎn)端系統(tǒng)收到的信息包按照 L2TP 協(xié)議進(jìn)行封裝并送往 LNS，同時(shí)也將從 LNS 收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LAC 與遠(yuǎn)端系統(tǒng)之間采用本地連接或 PPP 鏈路，VPDN 應(yīng)用中通常為 PPP 鏈路。LNS（L2TP Network Server，L2TP 網(wǎng)絡(luò)服務(wù)器）LNS 既是 PPP 端系統(tǒng)，又是 L2TP 協(xié)議的服務(wù)器端，通常作為一個(gè)企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。LNS

7、作為 L2TP 隧道的另一側(cè)端點(diǎn)，是 LAC 的對(duì)端設(shè)備，是 LAC 進(jìn)行隧道傳輸?shù)?PPP 會(huì)話的邏輯終止端點(diǎn)。通過在公網(wǎng)中建立 L2TP 隧道，將遠(yuǎn)端系統(tǒng)的 PPP 連接的另一端由原來的 LAC 在邏輯上延伸到了企業(yè)網(wǎng)內(nèi)部的 LNS。L2TP 基本概念L2TP 協(xié)議背景PPP 定義了一種封裝技術(shù)，可以在二層的點(diǎn)到點(diǎn)鏈路上傳輸多種協(xié)議數(shù)據(jù)包，當(dāng)用戶與 NAS 之間運(yùn)行 PPP 協(xié)議時(shí)，二層鏈路端點(diǎn)與 PPP 會(huì)話點(diǎn)駐留在相同硬件設(shè)備（NAS）上。L2TP（RFC 2661）是一種對(duì) PPP 鏈路層數(shù)據(jù)包進(jìn)行隧道傳輸?shù)募夹g(shù)，允許二層鏈路端點(diǎn)（LAC） 和 PPP 會(huì)話點(diǎn)（LNS）駐留在通過分組

8、交換網(wǎng)絡(luò)連接的不同設(shè)備上，從而擴(kuò)展了 PPP 模型，使得PPP 會(huì)話可以跨越幀中繼或 Internet 等網(wǎng)絡(luò)。L2TP 結(jié)合了 L2F 和 PPTP 的各自優(yōu)點(diǎn)，成為 IETF 有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP 協(xié)議結(jié)構(gòu) HYPERLINK l _bookmark2 圖 2描述了控制通道以及PPP幀和數(shù)據(jù)通道之間的關(guān)系。PPP幀在不可靠的L2TP數(shù)據(jù)通道上進(jìn)行傳輸，控制消息在可靠的L2TP控制通道內(nèi)傳輸。圖 2 L2TP 協(xié)議結(jié)構(gòu) HYPERLINK l _bookmark2 圖 3描述了LAC與LNS之間的L2TP數(shù)據(jù)報(bào)文的封裝結(jié)構(gòu)。通常L2TP數(shù)據(jù)以UDP報(bào)文的形式發(fā)送。L2TP注冊(cè)

9、了UDP 1701 端口，但是這個(gè)端口僅用于初始的隧道建立過程中。L2TP隧道發(fā)起方任選一個(gè)空閑的端口（未必是 1701）向接收方的 1701 端口發(fā)送報(bào)文；接收方收到報(bào)文后，也任選一個(gè)空閑的端口（未必是 1701），給發(fā)送方的指定端口回送報(bào)文。至此，雙方的端口選定，并在隧道保持連通的時(shí)間段內(nèi)不再改變。圖 3 L2TP 報(bào)文封裝結(jié)構(gòu)圖隧道和會(huì)話在一個(gè) LNS 和 LAC 對(duì)之間存在著兩種類型的連接。隧道（Tunnel）連接：它對(duì)應(yīng)了一個(gè) LNS 和 LAC 對(duì)。會(huì)話（Session）連接：它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個(gè) PPP 會(huì)話過程。在同一對(duì) LAC 和 LNS 之間

10、可以建立多個(gè) L2TP 隧道，隧道由一個(gè)控制連接和一個(gè)或多個(gè)會(huì)話連接組成。會(huì)話連接必須在隧道建立（包括身份保護(hù)、L2TP 版本、幀類型、硬件傳輸類型等信息的交換）成功之后進(jìn)行，每個(gè)會(huì)話連接對(duì)應(yīng)于 LAC 和 LNS 之間的一個(gè) PPP 數(shù)據(jù)流?？刂葡⒑蚉PP 數(shù)據(jù)報(bào)文都在隧道上傳輸。L2TP 使用 Hello 報(bào)文來檢測(cè)隧道的連通性。LAC 和 LNS定時(shí)向?qū)Χ税l(fā)送 Hello 報(bào)文，若在一段時(shí)間內(nèi)未收到 Hello 報(bào)文的應(yīng)答，隧道斷開?？刂葡⒑蛿?shù)據(jù)消息L2TP 中存在兩種消息：控制消息和數(shù)據(jù)消息?？刂葡⒂糜谒淼篮蜁?huì)話連接的建立、維護(hù)以及傳輸控制。它的傳輸是可靠傳輸，并且支持對(duì)控制消息

11、的流量控制和擁塞控制。數(shù)據(jù)消息用于封裝 PPP 幀，并在隧道上傳輸。它的傳輸是不可靠傳輸，若數(shù)據(jù)報(bào)文丟失，不予重傳，不支持對(duì)數(shù)據(jù)消息的流量控制和擁塞控制?？刂葡⒑蛿?shù)據(jù)消息共享相同的報(bào)文頭。L2TP 報(bào)文頭中包含隧道標(biāo)識(shí)符（Tunnel ID）和會(huì)話標(biāo)識(shí)符（Session ID）信息，用來標(biāo)識(shí)不同的隧道和會(huì)話。隧道標(biāo)識(shí)相同、會(huì)話標(biāo)識(shí)不同的報(bào)文將被復(fù)用在一個(gè)隧道上。報(bào)文頭中的隧道標(biāo)識(shí)符與會(huì)話標(biāo)識(shí)符由對(duì)端分配。L2TP 隧道模式及隧道建立過程兩種典型的 L2TP 隧道模式L2TP 隧道的建立包括以下兩種典型模式。NAS-Intiated如 HYPERLINK l _bookmark3 圖 4所示，

12、由LAC端（指NAS）發(fā)起L2TP隧道連接。遠(yuǎn)程系統(tǒng)的撥號(hào)用戶通過PPPoE/ISDN撥入LAC，由LAC通過Internet向LNS發(fā)起建立隧道連接請(qǐng)求。撥號(hào)用戶的私網(wǎng)地址由LNS分配；對(duì)遠(yuǎn)程撥號(hào)用戶的驗(yàn)證與計(jì)費(fèi)既可由LAC側(cè)代理完成，也可在LNS側(cè)完成。圖 4 NAS-Initiated L2TP 隧道模式Client-Initiated如 HYPERLINK l _bookmark3 圖 5所示，直接由LAC客戶（指本地支持L2TP協(xié)議的用戶）發(fā)起L2TP隧道連接。LAC客戶獲得Internet訪問權(quán)限后，可直接向LNS發(fā)起隧道連接請(qǐng)求，無需經(jīng)過一個(gè)單獨(dú)的LAC設(shè)備建立隧道。LAC 客戶

13、的私網(wǎng)地址由LNS分配。在 Client-Initiated 模式下，LAC 客戶需要具有公網(wǎng)地址，能夠直接通過 Internet 與 LNS 通信。圖 5 Client-Initiated L2TP 隧道模式PPPoE/ISDNInternetLAC clientLNSL2TP tunnelInternal serverL2TP 隧道的建立過程L2TP應(yīng)用的典型組網(wǎng)如 HYPERLINK l _bookmark3 圖 6所示。圖 6 L2TP 應(yīng)用的典型組網(wǎng)下面以 NAS-Initiated 模式的 L2TP 隧道為例，介紹 L2TP 的呼叫建立流程。圖 7 L2TP 隧道的呼叫建立流程如

14、HYPERLINK l _bookmark4 圖 7所示，L2TP隧道的呼叫建立流程過程為：遠(yuǎn)端系統(tǒng) Host 發(fā)起呼叫連接請(qǐng)求；Host 和 LAC 端（RouterA）進(jìn)行 PPP LCP 協(xié)商；LAC 對(duì) Host 提供的用戶信息進(jìn)行 PAP 或 CHAP 認(rèn)證；LAC 將認(rèn)證信息（用戶名、密碼）發(fā)送給 RADIUS 服務(wù)器進(jìn)行認(rèn)證；RADIUS 服務(wù)器認(rèn)證該用戶，如果認(rèn)證通過，LAC 準(zhǔn)備發(fā)起 Tunnel 連接請(qǐng)求；LAC 端向指定 LNS 發(fā)起 Tunnel 連接請(qǐng)求；在需要對(duì)隧道進(jìn)行認(rèn)證的情況下，LAC 端向指定 LNS 發(fā)送 CHAP challenge 信息，LNS 回送該

15、challenge 響應(yīng)消息 CHAP response，并發(fā)送 LNS 側(cè)的 CHAP challenge，LAC 返回該challenge 的響應(yīng)消息 CHAP response；隧道驗(yàn)證通過；LAC 端將用戶 CHAP response、response identifier 和 PPP 協(xié)商參數(shù)傳送給 LNS；LNS 將接入請(qǐng)求信息發(fā)送給 RADIUS 服務(wù)器進(jìn)行認(rèn)證；RADIUS 服務(wù)器認(rèn)證該請(qǐng)求信息，如果認(rèn)證通過則返回響應(yīng)信息；若用戶在 LNS 側(cè)配置強(qiáng)制本端 CHAP 認(rèn)證，則 LNS 對(duì)用戶進(jìn)行認(rèn)證，發(fā)送 CHAP challenge， 用戶側(cè)回應(yīng) CHAP response；

16、LNS 再次將接入請(qǐng)求信息發(fā)送給 RADIUS 服務(wù)器進(jìn)行認(rèn)證；RADIUS 服務(wù)器認(rèn)證該請(qǐng)求信息，如果認(rèn)證通過則返回響應(yīng)信息；驗(yàn)證通過，LNS 端會(huì)給遠(yuǎn)端用戶分配一個(gè)企業(yè)網(wǎng)內(nèi)部 IP 地址，用戶即可以訪問企業(yè)內(nèi)部資源。L2TP 協(xié)議的特點(diǎn)靈活的身份驗(yàn)證機(jī)制以及高度的安全性L2TP 協(xié)議本身并不提供連接的安全性，但它可依賴于 PPP 提供的認(rèn)證（比如 CHAP、PAP 等）， 因此具有 PPP 所具有的所有安全特性。L2TP 可與 IPsec 結(jié)合起來實(shí)現(xiàn)數(shù)據(jù)安全，這使得通過 L2TP 所傳輸?shù)臄?shù)據(jù)更難被攻擊。L2TP 還可根據(jù)特定的網(wǎng)絡(luò)安全要求在 L2TP 之上采用隧道加密技術(shù)、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。多協(xié)議傳輸L2TP 傳輸 PPP 數(shù)據(jù)包，在 PPP 數(shù)據(jù)包內(nèi)可以封裝多種協(xié)議。支持 RADIUS 服務(wù)器的驗(yàn)證LAC 和 LNS 可以將用戶名和密碼發(fā)往 RADIUS 服務(wù)器進(jìn)行驗(yàn)證申請(qǐng)，RADIUS 服務(wù)器負(fù)責(zé)接收用戶的驗(yàn)證請(qǐng)求，完成驗(yàn)證。支持內(nèi)部地址分配LNS 可放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可支