搜索
123VPDN(VirtualPrivateDialNetwork,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。4VPDN有下列两种实现方式:(1)NAS(网络访问服务器)通过隧道协议,与VPDN网关建立通道的方式。这种方式将客户的PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。(2)客户机与VPDN网关建立隧道的方式。这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限制,不需ISP介入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用最广泛的是L2TP。56PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时,用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路端点和PPP会话点驻留在不同设备上,并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。7其中,LAC表示L2TP访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。LNS表示L2TP网络服务器(L2TPNetworkServer),是PPP端系统上用于处理L2TP协议服务器端部分的设备。LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。LAC与远端系统之间可以采用本地连接或PPP链路,VPDN应用中通常为PPP链路。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。8上图所示L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系。PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。通常L2TP数据以UDP报文的形式发送。L2TP注册了UDP1701端口,但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。(2)隧道和会话的概念在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。控制消息和PPP数据报文都在隧道上传输。L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该隧道将会被拆除。(3)控制消息和数据消息的概念L2TP中存在两种消息:控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护以及传输控制;数据消息则用于封装PPP帧并在隧道上传输。控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;而数据消息的传输9远端系统或LAC客户端(运行L2TP协议的主机)与LNS之间的隧道模式如图2-3所示:由远程拨号用户发起。远程系统通过PSTN/ISDN拨入LAC,由LAC通过Internet向LNS发起建立通道连接请求。拨号用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。(2)直接由LAC客户(指可在本地支持L2TP协议的用户)发起。此时LAC客户可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备。此时,LAC客户地址的分配由LNS来完成。1011L2TP隧道的呼叫建立流程可如下图所示:L2TP隧道的呼叫建立流程过程为:(1)用户端PC机发起呼叫连接请求;(2)PC机和LAC端(RouterA)进行PPPLCP协商;(3)LAC对PC机提供的用户信息进行PAP或CHAP认证;(4)LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证;(5)RADIUS服务器认证该用户,如果认证通过则返回该用户对应的LNS地址等相关信息,并且LAC准备发起Tunnel连接请;(6)LAC端向指定LNS发起Tunnel连接请求;(7)LAC端向指定LNS发送CHAPchallenge信息,LNS回送该challenge响应消息CHAPresponse,并发送LNS侧的CHAPchallenge,LAC返回该challenge的响应消息CHAPresponse;(8)隧道验证通过;(9)LAC端将用户CHAPresponse、responseidentifier和PPP协商参数传送给LNS;(10)LNS将接入请求信息发送给RADIUS服务器进行认证;(11)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;(12)若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAPchallenge,用户侧回应CHAPresponse;(13)LNS再次将接入请求信息发送给RADIUS服务器进行认证;(14)RADIUS服务器认证该请求信息,如果认证通过则返回响应信息;验证通过,用户访问企业内部资源。12•灵活的身份验证机制以及高度的安全性L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。•多协议传输L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。支持RADIUS服务器的验证LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。•支持内部地址分配LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC1918)。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。•网络计费的灵活性可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。•可靠性L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样,增加了VPN服务的可靠性和容错性。下面从LAC、LNS两侧分别介绍L2TP的配置。1314联动路由器通过与安全客户端和CAMS配合而实现基于L2TP的EAD。在用户接入认证通过后CAMS通知用户EAD服务器的IP与端口号,并通知联动路由器用户的ACL规则,在安全认证通过后更新联动路由器的ACL规则。联动路由器根据CAMS为用户指定的ACL创建或更新基于用户的包过滤防火墙。通过在不同状态给用户设置相应的ACL实现EAD。在PPP用户通过接入认证后EAD服务器将对其进行安全认证,如果认证通过,用户可以正常访问网络资源,如果认证不通过,用户则只能访问隔离区的资源。1516在L2TP的配置中,LAC端和LNS端的配置有所不同,下面先介绍一下LAC端的配置。在各项配置任务中,必须先启动L2TP、创建L2TP组,然后再进行其它功能特性的配置。PPP配置相关命令的详细介绍请参看相关章节。LAC侧要进行的配置包括:启用L2TP(必选)创建L2TP组(必选)设置发起L2TP连接请求及LNS地址(必选)设置本端名称(可选)启用通道验证及设置密码(可选)配置将AVP数据隐含(可选)设置通道Hello报文发送时间间隔(可选)设置用户名、密码及配置用户验证(必选)强制挂断通道(可选)开启或关闭流控功能(可选)配置L2TP会话超时时间(可选)配置L2TPTunnel连接保持功能(可选)配置LAC作为客户端(可选)1718只有启用L2TP后,路由器上L2TP功能才能正常发挥作用;如果禁止L2TP,则即便配置了L2TP的参数,路由器也不会提供相关功能。这些配置在LAC侧必须配置。请在系统视图下进行下列配置。操作命令启用L2TPl2tpenable禁止L2TPundol2tpenable缺省情况下,L2TP功能是被禁止的。说明:正常建立隧道或者由于用户名不正确而导致不能建立隧道时,在LAC端禁用L2TP,然后再启用L2TP,此时若不能正常建立L2TP隧道,对于两台设备(lac作为客户端)的情况,在虚拟模板视图下执行undol2tp-auto-clientenable命令,再执行l2tp-auto-clientenable后,可以建立隧道;对于三台设备的情况,将客户端接口shutdown,然后undoshutdown,可以建立隧道。19为了进行L2TP的相关参数配置,还需要增加L2TP组,这不仅可以在路由器上灵活的配置L2TP各项功能,而且方便地实现了LAC和LNS之间一对一、一对多的组网应用。L2TP组在LAC和LNS上独立编号,只需要保证LAC和LNS之间关联的L2TP组的相关配置(如接收的通道对端名称、发起L2TP连接请求及LNS地址等)保持对应关系即可。这些配置在LAC侧必须配置。请在系统视图下进行下列配置。在创建L2TP组后,就可以在L2TP组视图下进行和该L2TP组相关的其它配置了,如本端名称、发起L2TP连接请求及LNS地址等。缺省情况下,未创建任何L2TP组。说明:一台设备可以同时配置为LAC侧和LNS侧,但它们所使用的用户名不能相同。20路由器不会随便去与其它路由器或LNS服务器建立L2TP通道,需要满足一定的条件才会向其它路由器或LNS服务器发出建立L2TP连接的请求。通过配置对接入用户信息的判别条件,并指定相应的LNS端的IP地址,路由器可以鉴定用户是否为VPN用户,并决定是否向LNS发起连接。最多可以设置五个LNS,即允许存在备用LNS。正常运行时,本路由器(LAC)按照LNS配置的先后顺序,依次向对端(LNS)进行L2TP连接请求,直到某个LNS接受连接请求,该LNS就成为L2TP隧道的对端。这些配置在LAC侧必须配置。请在L2TP组视图下进行下列配置