L2TP多實(shí)例實(shí)現(xiàn)遠(yuǎn)程接入安全隔離

1、L2TP多實(shí)例實(shí)現(xiàn)遠(yuǎn)程接入安全隔絕概括1.1MPLSVPN應(yīng)用L2TP缺點(diǎn)在現(xiàn)有的IPVPN組網(wǎng)方案中，好多公司，政府機(jī)構(gòu)，事業(yè)單位，其分支機(jī)構(gòu)、部下單位和總部互連都使用了MPLSVPN功能，進(jìn)而實(shí)此刻公有網(wǎng)絡(luò)上建立屬于自己的VPN，同時(shí)能夠?qū)崿F(xiàn)安全隔絕，其典型的組網(wǎng)圖以下：RouterRouter10.1.1.*10.1.1.*CoreRouterVPN-2總部VPN-1總部MPLSCOREL2TP-LNSRouterVPN-1分支L2TP地道機(jī)構(gòu)INTERNET10.1.2.*VPN-2分支機(jī)構(gòu)10.1.2.*VPN-1出差VPN-2出差人員人員此應(yīng)用中，VPN-1和VPN-2都使用10.

2、1.1.*作為總部的地址段，而且使用10.1.2.*作為分部的地址段。這樣，VPN-1和VPN-2的地址是重疊的，可是因?yàn)镸PLSVPN的存在，VPN-1和VPN-2其實(shí)不會(huì)相互接見，能夠保證每個(gè)VPN數(shù)據(jù)傳輸?shù)拿孛苄?，同時(shí)也能夠?qū)崿F(xiàn)跨地區(qū)VPN域，極大的遠(yuǎn)程方便辦公。在一個(gè)MPLSVPN組網(wǎng)環(huán)境內(nèi)，無論多少個(gè)VPN域，都能夠互補(bǔ)影響的達(dá)成每個(gè)VPN的工作，能夠?qū)崿F(xiàn)分支總部之間通訊的安全性?？墒?，假如VPN-1和VPN-2都有人員出差，需要遠(yuǎn)程經(jīng)過L2TP接見公司內(nèi)部資源，問題就裸露出來了。第一，依據(jù)L2TP協(xié)議，用戶成立L2TP地道以后需要分派IP地址，出差人員從遠(yuǎn)程登錄，L2TPLNS需要

3、依據(jù)用戶的用戶名分派IP地址，可是VPN-1和VPN-2的IP地址都是同樣的，都使用10.1.1.*作為總部IP，使用10.1.2.*作為分支機(jī)構(gòu)IP。怎樣針對(duì)VPN-1和VPN-2的人員分派IP地址呢？其次，即便給VPN-1和VPN-2的人分派了不一樣的IP地址，進(jìn)而區(qū)分了VPN-1和VPN-2出差人員，兩個(gè)VPN出差人員能夠分別接見自己的公司做在的VPN，能夠接見所在公司的內(nèi)部資源。可是，因?yàn)閂PN-1和VPN-2出差人員經(jīng)過同一臺(tái)L2TPLNS接入，怎樣有效的防止VPN-1的出差人員接見到VPN-2的資源，同時(shí)防止VPN-2的出差人員接見到VPN-1的資源，進(jìn)而有效的保護(hù)VPN的私密性，

4、保護(hù)每個(gè)VPN的安全性，進(jìn)而達(dá)到VPN安全的目的？1.2防火墻隔絕和L2TP接入的矛盾在好多公司/事業(yè)單位，用防火墻作為出口網(wǎng)關(guān)，同時(shí)實(shí)現(xiàn)內(nèi)部地區(qū)的隔絕，進(jìn)而保證各個(gè)地區(qū)不一樣的接見權(quán)限，經(jīng)過多實(shí)例隔絕地區(qū)技術(shù)，實(shí)現(xiàn)多個(gè)地區(qū)的區(qū)分，隔絕和管理。比以下列圖的拓?fù)錁?gòu)造，分為總部和分支機(jī)構(gòu)?？偛糠譃榱鶄€(gè)地區(qū)，分別為對(duì)外服務(wù)器所在的DMZ地區(qū)，內(nèi)部服務(wù)器地區(qū)，開放辦工區(qū)，研發(fā)中心，市場部，財(cái)務(wù)部所在的內(nèi)部Trust地區(qū)。分支機(jī)構(gòu)也有開放辦工區(qū)，研發(fā)中心，財(cái)務(wù)部，市場部。從安全的角度講，地區(qū)的區(qū)分需要仔細(xì)，權(quán)限需要嚴(yán)格，因此，每個(gè)地區(qū)的接見權(quán)限有不一樣的設(shè)置：總部拓?fù)鋵?duì)外服務(wù)器DMZ地區(qū)Untrust地

5、區(qū)內(nèi)部服務(wù)器Trust地區(qū)財(cái)務(wù)開放辦研發(fā)市場部公區(qū)中心部分支機(jī)構(gòu)（包含開放辦工區(qū)，研發(fā)中心，財(cái)務(wù)部，市場部）InternetL2TP地道出差人員1.財(cái)務(wù)部要求只好接見內(nèi)部服務(wù)器，不可以接見internet，也不可以接見其余內(nèi)部地區(qū)，包含開放辦工區(qū)，研發(fā)中心，市場部，DMZ地區(qū)。同時(shí)，總部和分支機(jī)構(gòu)的財(cái)務(wù)部在同一個(gè)隔絕地區(qū)內(nèi)能夠互訪，而且分支機(jī)構(gòu)的財(cái)務(wù)部和總部的財(cái)務(wù)部具有同樣的權(quán)限，也只好接見內(nèi)部服務(wù)器。開放辦公區(qū)只好接見DMZ地區(qū)和internet，不可以接見內(nèi)部服務(wù)器，也不可以接見其余辦公地區(qū)，可是總部和分支機(jī)構(gòu)的開放辦公區(qū)在同一個(gè)隔絕地區(qū)內(nèi)能夠互訪。市場部能夠接見內(nèi)部服務(wù)器，DMZ地區(qū)和i

6、nternet，可是不可以接見其余內(nèi)部地區(qū)，包含開放辦工區(qū)，研發(fā)中心，財(cái)務(wù)部?？墒强偛亢头种C(jī)構(gòu)的市場部在同一個(gè)隔絕地區(qū)內(nèi)能夠互訪。研發(fā)中心只好夠接見內(nèi)部服務(wù)器，DMZ地區(qū)，不可以接見internet，分支的研發(fā)中心也要求能夠接見內(nèi)部服務(wù)器，DMZ地區(qū)。而且要求總部和分支的研發(fā)中心在同一個(gè)隔絕地區(qū)內(nèi)能夠互訪。這類應(yīng)用能夠精準(zhǔn)的實(shí)現(xiàn)地區(qū)分級(jí)管理，能夠保證內(nèi)部信息的安全，而且能夠有效的控制數(shù)據(jù)的擴(kuò)散，達(dá)到安全的目的?？墒?，假如有公司人員出差，而且經(jīng)過L2TP地道接見公司本部資源，而且，為了安全考慮，每個(gè)部門的出差人員擁有和在公司內(nèi)部門接見同樣的權(quán)限，比如，研發(fā)職工出差能夠接見內(nèi)部服務(wù)器，DMZ地區(qū)

7、和研發(fā)中心，而市場部職工出差能夠經(jīng)過L2TP地道接見內(nèi)部服務(wù)器，DMZ地區(qū)和internet，以及公司內(nèi)部的市場部。假如使用一般的防火墻，其L2TP功能有限，雖然能夠依據(jù)不一樣用戶分派不一樣的IP地址，可是不可以有效控制出差人員接見各自所在的隔絕地區(qū)，比如讓研發(fā)出差人員能夠接見研發(fā)部地區(qū)，而不可以接見市場部和財(cái)務(wù)部的地區(qū)。解決方案華為3Com公司的SecPath系列防火墻經(jīng)過L2TP多實(shí)例技術(shù)完滿的解決了以上問題。SecPath系列防火墻經(jīng)過在L2TP協(xié)議上加入多實(shí)例技術(shù)，讓L2TP支持在一臺(tái)設(shè)備、一個(gè)網(wǎng)絡(luò)上，經(jīng)過軟件，將不一樣的用戶區(qū)分在不一樣的域，每個(gè)域和MPLS的VPN、防火墻的內(nèi)部域連

8、通，即擁有了和內(nèi)部地區(qū)、VPN同樣的權(quán)限，同時(shí)也能夠保證訪問到合法的資源。L2TP多實(shí)例的重點(diǎn)技術(shù)以下：2.1依據(jù)用戶名分派不一樣IP華為3Com公司的SecPath系列防火墻能夠依據(jù)用戶名分派不一樣的IP地址。當(dāng)用戶使用L2TP地道，需要考證用戶名和密碼，依據(jù)用戶名，能夠分派給用戶不一樣的IP地址。比如，同時(shí)有兩個(gè)用戶申請(qǐng)使用L2TP地道，而且需要分派IP地址。用戶甲屬于北InternetL2TP地道出差人員京某公司，用戶乙屬于上海某公司。在他們的用戶名上，分別帶有公司所在城市的域名，比如用戶甲的用戶名為Abeijing，而用戶乙的用戶名為Bshanghai。在L2TPLNS側(cè)，依據(jù)用戶名，

9、將分派給用戶甲一個(gè)192.168.0.*的地址，進(jìn)而讓用戶甲能夠自由的接見北京公司的資源，而用戶乙將獲取172.31.16.*的地址，進(jìn)而讓用戶乙能夠輕松接見上海公司的資源。這樣，使用不一樣的地址，從必定程度上實(shí)現(xiàn)了安全。2.2依據(jù)用戶名綁定MPLSVPN在使用MPLSVPN的時(shí)候，Router10.因?yàn)槊總€(gè)VPN的內(nèi)部地址可能10.1.1.*CoreRouterVPN-2總部是同樣的，即VPN-1和VPN-2都使用10.1.1.*的地址，關(guān)于出差MPLSCORE10.1.1.*L2TP-LNS人員，都要求分派10.1.3.*的地址，這就要求LNS設(shè)施能夠根L2TP地道據(jù)用戶名區(qū)分用戶所在的、

10、INTERNET對(duì)應(yīng)MPLS的VPN。華為3ComVPN-1總部VPN-1出差VPN-2出差公司的SecPath系列防火墻可人員A人員B以經(jīng)過綁定用戶所在的、對(duì)應(yīng)MPLS的VPN。我們假定VPN-1的出差人員A實(shí)用戶名AVPN-1，而VPN-2的出差人員B實(shí)用戶名BVPN-2，當(dāng)A成立L2TP地道時(shí)，LNS設(shè)施需要依據(jù)用戶名AVPN-1，將A的IP地址綁定到MPLSVPN-1，即出差人員A全部的接見將在MPLSVPN-1種進(jìn)行。而B成立L2TP地道時(shí)，將被綁定到MPLSVPN-2，進(jìn)而實(shí)現(xiàn)A，B的隔絕，而且保證了A，B能夠經(jīng)過MPLSVPN接見公司內(nèi)部的資源。2.3依據(jù)用戶名綁定安全地區(qū)為了實(shí)

11、現(xiàn)安全隔絕，公司作了地區(qū)隔絕，使研發(fā)部和市場部不可以互訪。將研發(fā)區(qū)分為一個(gè)地區(qū)，同時(shí)將市場部區(qū)分為此外一個(gè)地區(qū)，兩個(gè)地區(qū)固然經(jīng)過同樣的防火墻，可是地區(qū)之間不可以互通。研發(fā)出差A(yù)研發(fā)可接見L2TP地道Internet財(cái)務(wù)開放辦市場可接見研發(fā)市場部公區(qū)中心部市場出差B華為3Com公司的SecPath系列防火墻經(jīng)過依據(jù)用戶名綁定安全地區(qū)的技術(shù)，解決了出差人員需要接見本部的需求。當(dāng)研發(fā)和市場都出差在外需要使用L2TP接見公司內(nèi)部資源的時(shí)候，依據(jù)出差人員的用戶名，LNS將用戶分別綁定到不一樣的地區(qū)。假定研發(fā)出差人員A的用戶名為Adevelop，市場出差人員A的用戶名為Bmarket，則研發(fā)出差人員A的L

12、2TP地道將被綁定到研發(fā)中心，進(jìn)而和研發(fā)中心有同樣的接見權(quán)限，也能夠接見研發(fā)中心內(nèi)部資源。而市場出差人員B的L2TP地道將被綁定到市場部，進(jìn)而能夠接見市場部內(nèi)部資源。2.4不一樣地區(qū)之間實(shí)現(xiàn)安全隔絕華為3Com公司的SecPath系列防火墻同時(shí)還解決了一個(gè)安全問題，即L2TP地道之間的安全隔絕。固然前面經(jīng)過不一樣的技術(shù)使出差人員、挪動(dòng)辦公人員能夠接見本部的資源，而且能夠限制出差人員只好接見內(nèi)部資源?？墒?，假如因?yàn)閮蓚€(gè)出差人員都和同一臺(tái)LNS成立L2TP地道，那么就需要隔絕L2TP地道用戶之間的接見，防備經(jīng)過控制出差人員的計(jì)算機(jī)進(jìn)而接見受限制的資源。華為3Com公司的SecPath系列防火墻使用

13、內(nèi)嵌虛構(gòu)系統(tǒng)技術(shù)，將防火墻內(nèi)L2TP地道隔絕，使L2TP地道之間不可以互訪，這是一般的路由器/防火墻不可以做到的。經(jīng)過L2TP地道內(nèi)部隔絕，進(jìn)而實(shí)現(xiàn)了用戶接入的安全接見?？偨Y(jié)信息化愈來愈發(fā)達(dá)，遠(yuǎn)程接入日趨廣泛，各個(gè)公司關(guān)于遠(yuǎn)程辦公，挪動(dòng)辦公，分支接入的需求也愈來愈明確，而傳統(tǒng)的L2TP技術(shù)在日趨更新的VPN技術(shù)、安全隔絕技術(shù)眼前顯得力所不及，關(guān)于公司來說，需要能夠采納一種新的簡單的方式，既能夠知足在任何地區(qū)都能夠遠(yuǎn)程接入，能夠方便的接見內(nèi)部資源，同時(shí)也要求不合法的用戶的固定IP地址用戶相互接見，進(jìn)而達(dá)到安全的目的。為了安全，各種各種的VPN技術(shù)、加密技術(shù)、隔絕技術(shù)凸現(xiàn)出來，必定程度的提升了公司的安全性，但是，安全的觀點(diǎn)愈來愈寬泛，各種各種的攻擊手段愈來愈細(xì)化，任何一個(gè)渺小