文/黄德奇
随着计算机网络技术的发展和Internet的普及,越来越多的人的工作及生活同网络产生了密切的联系。用户在使用网络的同时,也面临着网络受到监听、信息受到窃取等问题的困扰,网络的安全性也成为用户需要考虑的问题。构建安全性更高的网络,VPN是一条解决的途径。
构建安全性更高的网络,虚拟专用网络是一条解决的途径。正因如此,VPN在Internet上得到了应用。基于Internet的企业VPN与实际的专用网络相比,成本可以大幅度地降低。VPN还可用于移动用户的Internet接入,商业伙伴之间的安全连接等。现在的Internet虚拟专用网络可以利用廉价的电话网、校园网等,再加上Internet本身的开放性和潜在的安全威胁,Internet上的VPN则成为下一代Internet发展的关键技术。
VPN的优点在于:一是节省成本:通过使用宽带,VPN降低了连接成本,同时增加了远程连接的带宽;二是安全性:使用先进的加密和身份验证协议防止数据遭到未经授权的访问;三是可扩展性:VPN使用ISP和运营商的Internet基础设施,组织可以轻松地添加新用户。组织无论大小,无需大规模添置基础设施即可大幅度扩充容量。
实现VPN的关键技术主要有4项:隧道技术、加密解密技术、密钥管理技术和使用者与设备身份认证技术。其中隧道技术是VPN技术的基础。
PPTP协议位于ISO网络OSI分层模式中的第二层。它提供专用的“隧道”来使PPTP客户机与PPTP服务器通过公共网络Internet进行加密通信。通信内容可以包括IP、IPX或NetBEUI数据流,它将这些类型的数据进行加密后封装在IP包头中,再通过企业的IP网络或Internet发送。
L2TP位于ISO网络OSI分层模式中的第二层。L2TP协议允许对IP、IPX或NetBEUI数据流进行加密,然后通过支持点对点的数据报传递到任意网络。它综合了PPTP协议和L2F协议的优点,并且支持多路隧道,这样可以使用户能够同时访问Internet和企业网。
IPSec也称安全IP隧道模式,它是一个保护IP通信的协议簇,提供了加密、完整性和身份验证功能。IPSec隧道模式位于ISO网络OSI分层中的第三层,为VPN提供了最高级别的安全协议,可以对网络层的每一项内容进行加密,然后封装在IP包头中,再通过Internet发送,以确保网络层的安全通信。
L2TP协议主要由LAC 和LNS 构成,LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道;LNS是所有隧道的终点,LNS终止所有的PPP流。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。
(1)网络接入服务器(NAS)—— 当用户需要时随时为其提供本地网络接入的一台设备。它是由最终用户通常使用PSTN或ISDN线路创建的第2层点到点链路的终止点;
(2)L2TP接入集中器(LAC)—— 一个节点,它通常充当至L2TP网络服务器(LNS)的L2TP隧道的启动器。LAC转发最终用户和LNS之间的数据包。
(3)L2TP网络服务器(LNS)—— 充当PPP会话终止点的一个节点,该PPP会话通过由LAC启动的L2TP隧道。
L2TP可以用两种截然不同的拓扑来实现:一是强制隧道或客户端透明隧道; 二是自愿隧道或客户意识到的隧道。这两种拓扑之间的区别在于,利用L2TP接入远程网络的客户机是否意识到穿过了隧道。
LNS局域网网关为192.168.100.254/24,LNS外网口地址为10.0.0.1/8。LAC/PC为Windows XP的主机,拨号连接,IP地址不固定;所建立的L2TP隧道在172.16.0.0/16网段。
L2TP VPN适用于移动办公用户的VPN接入,可以提供严格的用户验证功能,确保VPN接入用户的合法性。L2TP VPN的连接方式分为两种:PC直接发起连接和LAC设备发起连接。两种方式适用于不同企业对于VPN接入控制和管理的不同要求。
L2TP VPN本身虽然提供较为严格的接入用户的认证功能 ,但不提供VPN数据的加密功能,如果需要对数据进行安全加密可以同IPSec协议进行配合。
对于构建VPN来说,网络隧道技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议,也就是将现有的透明网络信息进行再次封装,从而保证网络信息传输的安全性。它主要利用网络隧道协议来实现这种功能,具体包括二层隧道协议和三层隧道协议。随着L2TP的不断完善,VPN技术得到了广泛的应用。本文对用L2TP创建VPN进行了探索,并对远程访问VPN进行了网络设计,积累了建立VPN的经验,为其他VPN的建立打下了基础。基于L2TP 的虚拟专用网络技术的前景十分光明。
参考文献
[1]于秀莲.David Leon Clark.虚拟专用网[M].北京:人民邮电出版社,2000.
[2]郭军.网络管理(第三版)[M].北京:北京邮电大学出版社,2001.
[3]李莉,童小林.[美]Cisco Systems公司.网络互连技术手册(第四版)[M].北京:人民邮电出版社,2004:174-175.
[4]陈鸣.网络工程设计教程系统集成方法[M].北京:希望电子出版社,2002.