L2TP與ipsec結(jié)合使用

1、L2TP協(xié)議與IPSec在VPN網(wǎng)絡(luò)中的應(yīng)用2008-01-07 09:52書迷IT動(dòng)力源我要評(píng)論（0）字號(hào)：T |工收藏一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當(dāng)然如果需要實(shí)現(xiàn)安全的VPDN，就應(yīng)該采用L2TP + IPsec組 合技術(shù)。文本就L2TP協(xié)議與IPSec在VPN網(wǎng)絡(luò)中的應(yīng)用做了詳細(xì)的闡述AD：L2TP （Layer Two Tunneling Protocol，第二層通道協(xié)議）是VPDN （虛擬專用撥號(hào)網(wǎng)絡(luò)）技術(shù)的一種，專門用來(lái)進(jìn) 行第二層數(shù)據(jù)的通道傳送，即將第二層數(shù)據(jù)單元，如點(diǎn)到點(diǎn)協(xié)議（PPP）數(shù)據(jù)單元，封裝在IP或UDP載荷內(nèi)，以順利通 過包交換網(wǎng)絡(luò)（如I

2、nternet），抵達(dá)目的地。L2TP提供了一種遠(yuǎn)程接入訪問控制的手段，其典型的應(yīng)用場(chǎng)景是：某公司員工通過PPP撥入公司本地的網(wǎng)絡(luò)訪問服 務(wù)器（NAS），以此接入公司內(nèi)部網(wǎng)絡(luò)，獲取IP地址并訪問相應(yīng)權(quán)限的網(wǎng)絡(luò)資源；該員工出差到外地，此時(shí)他想如同在 公司本地一樣以內(nèi)網(wǎng)IP地址接入內(nèi)部網(wǎng)絡(luò)，操作相應(yīng)網(wǎng)絡(luò)資源，他的做法是向當(dāng)?shù)豂SP申請(qǐng)L2TP服務(wù)，首先撥入當(dāng)?shù)?ISP，請(qǐng)求ISP與公司NAS建立L2TP會(huì)話，并協(xié)商建立L2TP隧道，然后ISP將他發(fā)送的PPP數(shù)據(jù)通道化處理，通過L2TP 隧道傳送到公司NAS，NAS就從中取出PPP數(shù)據(jù)進(jìn)行相應(yīng)的處理，如此該員工就如同在公司本地那樣通過NAS接入公司

3、 內(nèi)網(wǎng)。從上述應(yīng)用場(chǎng)景可以看出L2TP隧道是在ISP和NAS之間建立的，此時(shí)ISP就是L2TP訪問集中器（LAC），NAS也就 是L2TP網(wǎng)絡(luò)服務(wù)器（LNS）。LAC支持客戶端的L2TP，用于發(fā)起呼叫，接收呼叫和建立隧道，LNS則是所有隧道的終點(diǎn)。 在傳統(tǒng)的PPP連接中，用戶撥號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。L2TP本質(zhì)上是一種隧道傳輸協(xié)議，它使用兩種類型的消息：控制消息和數(shù)據(jù)隧道消息?？刂葡⒇?fù)責(zé)創(chuàng)建、維護(hù)及 終止L2TP隧道，而數(shù)據(jù)隧道消息則負(fù)責(zé)用戶數(shù)據(jù)的真正傳輸。L2TP支持標(biāo)準(zhǔn)的安全特性CHAP和PAP，可以進(jìn)行用戶身 份認(rèn)證。在安全性考慮上，L2TP僅

4、定義了控制消息的加密傳輸方式，對(duì)傳輸中的數(shù)據(jù)并不加密。IPsec （IP Security），顧名思義，是保障IP層安全的網(wǎng)絡(luò)技術(shù)，它并不是指某一項(xiàng)具體的協(xié)議，而是指用于實(shí) 現(xiàn)IP層安全的協(xié)議套件集合。IPsec實(shí)質(zhì)上也是一種隧道傳輸技術(shù)，它將IP分組或IP上層載荷封裝在IPsec報(bào)文內(nèi)， 并根據(jù)需要進(jìn)行加密和完整性保護(hù)處理，以此保證數(shù)據(jù)在公共網(wǎng)絡(luò)中傳輸過程的安全。IPsec支持兩種協(xié)議標(biāo)準(zhǔn)，鑒別首部（Authenticaion Header，AH）和封裝安全有效載荷（Encapsulation Security Payload， ESP）：AH可證明數(shù)據(jù)的起源地（數(shù)據(jù)來(lái)源認(rèn)證）、保障數(shù)據(jù)的完

5、整性以及防止相同的數(shù)據(jù)包不斷重播（抗重放攻擊）；ESP能提供的安全服務(wù)則更多，除了上述AH所能提供的安全服務(wù)外，還能提供數(shù)據(jù)機(jī)密性，這樣可以保證數(shù)據(jù)包在 傳輸過程中不被非法識(shí)別；AH與ESP提供的數(shù)據(jù)完整性服務(wù)的差別在于，AH驗(yàn)證的范圍還包括數(shù)據(jù)包的外部IP頭。為正確實(shí)施IPsec封裝及解封裝IP數(shù)據(jù)包，必須建立IPsec隧道，也就是需要定義加密或鑒別算法、算法使用的 密鑰、密鑰保持有效的生命期以及授權(quán)可用的數(shù)據(jù)訪問策略等信息，這也被稱為安全聯(lián)盟（Security Association， SA）二通常采用IKE （Internet Key Exchange，因特網(wǎng)密鑰交換）協(xié)議來(lái)協(xié)商建立IP

6、sec隧道。IKE協(xié)商實(shí)際上有兩個(gè)階 段：第一階段協(xié)商，是在IPsec通信雙方之間建立IKE的安全通道，即建立IKE SA，這個(gè)過程有兩種模式，一種是常用 的主模式（Main Mode），能提供身份保護(hù)服務(wù)，但需要較多的消息交互（多達(dá)六條消息），另一種是比較迅速的積極 模式（Aggressive Mode），但協(xié)商能力較弱，也不能提供身份保護(hù)功能；第二階段協(xié)商是在IKE SA的保護(hù)下進(jìn)行的，其目的是為特定的通信流協(xié)商IPsec安全通道，即建立IPsec SA。由此可以看出IKE的主要作用是負(fù)責(zé)建立、維護(hù)和終止IPsec安全通道，通過其他的一些消息交換過程，可以幫助 維持IPsec通道的可用性和

7、安全性，服務(wù)于IPsec數(shù)據(jù)的安全傳輸。這與L2TP控制消息幫助建立和維護(hù)L2TP數(shù)據(jù)傳輸通道的作用有異曲同工之妙。兩者都可以提供通信雙方之間的身 份認(rèn)證，并且都可以在提供完整性保護(hù)和機(jī)密性服務(wù)的環(huán)境下進(jìn)行安全的有關(guān)參數(shù)協(xié)商和消息交互；同時(shí)還能根據(jù)各自 的特點(diǎn)，提供一種?；睿╧eepalive）機(jī)制來(lái)負(fù)責(zé)協(xié)調(diào)隧道雙方的狀態(tài)的同步，提高隧道的容錯(cuò)性和穩(wěn)定性，所不同的 是，IKE是充分利用IPsec通信流存在即對(duì)方活躍狀態(tài)的證明的特點(diǎn)，以此減少?；顖?bào)文通信量，這種方式也被稱為DPD （Dead Peer Detection，死亡對(duì)端探測(cè)）。此外IKE的協(xié)商能力也遠(yuǎn)大于L2TP控制消息交互。L2TP

8、與IPsec的一個(gè)最大的不同在于它不對(duì)隧道傳輸中的數(shù)據(jù)進(jìn)行加密，從而沒法保證數(shù)據(jù)傳輸過程中的安全。 因此這個(gè)時(shí)候，L2TP常和IPsec結(jié)合使用，先使用L2TP封裝第二層數(shù)據(jù)，再使用IPsec封裝對(duì)數(shù)據(jù)進(jìn)行加密和提供完 整性保護(hù)，由此保證通信數(shù)據(jù)安全傳送到目的地。L2TP由于封裝的是第二層協(xié)議數(shù)據(jù)，因此可以認(rèn)為是一種L2VPN（第二層VPN）技術(shù)。最新的L2TP協(xié)議草案（L2TP v3）表明，L2TP不僅可以封裝PPP數(shù)據(jù)單元，還可以封裝其他第二層協(xié)議數(shù)據(jù)，如Ethernet（以太網(wǎng)）、Frame Relay （幀中繼）等。因此L2TP的作用已經(jīng)擴(kuò)展到將異地的局域網(wǎng)通過L2TP隧道跨越公共網(wǎng)絡(luò)

9、連接在一起，也就是實(shí)現(xiàn)異地 局域網(wǎng)互聯(lián)，這樣可以將某些局域網(wǎng)技術(shù)如VLAN （虛擬局域網(wǎng)）應(yīng)用到異地局域網(wǎng)之間，從而利用公共網(wǎng)絡(luò)來(lái)模擬局 域網(wǎng)。當(dāng)然其數(shù)據(jù)傳輸過程中的安全性仍然依賴于IPsec來(lái)提供。同時(shí)由于對(duì)數(shù)據(jù)進(jìn)行了層層封裝，這樣難免影響效率， 導(dǎo)致性能不高。IPsec封裝的是IP層數(shù)據(jù)，或是IP上層協(xié)議載荷，因此可以認(rèn)為是一種構(gòu)建L3VPN（第三層VPN）的技術(shù)。其最大 的特點(diǎn)是為數(shù)據(jù)傳輸過程提供了機(jī)密性、完整性保護(hù)和數(shù)據(jù)源驗(yàn)證，從而確保承載于公共網(wǎng)絡(luò)的VPN的安全性和可靠性， 同時(shí)由于添加的協(xié)議頭并不多，且還可以利用硬件加密卡加速IPsec報(bào)文的處理，因而效率上得到了很大的提高；此外

10、IKE協(xié)商過程能提供比較完備的用戶身份認(rèn)證，這就使得可以對(duì)IPsec用戶訪問實(shí)施有力控制，從而進(jìn)一步保證了網(wǎng)絡(luò) 的安全。因此就一般企業(yè)用戶構(gòu)建安全的VPN而言，應(yīng)該使用IPsec技術(shù)，當(dāng)然如果需要實(shí)現(xiàn)安全的VPDN，就應(yīng)該采用L2TP + IPsec組合技術(shù)。L2TP over IPSEC 組網(wǎng)PC撥號(hào)通過SecPoint接入私網(wǎng)L2TP over IPSec配置實(shí)例、組網(wǎng)要求：PC用戶連接Internet后，宜接由用尸通過SecPoint客戶端軟件向作為L(zhǎng)NS 的SecPath F1000-S防火墻發(fā)起Tunnel連接的清求，LNS接受此連接請(qǐng)求之后, PC用戶與LNS之間建立,條Tunnel,在FC和LNS之間交互的數(shù)據(jù)通過I