L2TP与IPSec结合研究与应用.docVIP

L2TP与IPSec结合研究与应用 　　摘要：目前研究的VPN中，L2TP和IPSec应用最为广泛。所以，L2TP协议和IPSec协议的结合使用成为研究和实现的热点，本文研究和探讨了基于IPSec协议和L2TP协议隧道的原理，并且结合具体应用提出了L2TP和IPSec结合使用的实现。基于L2TP+IPSec实现的的远程访问企业网软硬件内部资源，论文提出的L2TP+IPSec VPN技术是解决如何共享企业网软硬件资源所面临的网络问题的一个最有效的方法。 　　关键词：隧道 L2TP IPSec 远程开放 　　在信息化、网络化高速发展的今天，新一代网络技术不断革新，虚拟专用网VPN（Virtual Private Network），因其具有安全性、可靠性、保密性和虚拟性等诸多优点，得到了越来越广泛的应用。VPN通过开放的IP网络建立私有数据传输通道（即隧道），将远程的分支办公室、商业伙伴、移动办公人员等连接起来。 　　目前，L2TP和IPSec是应用最为广泛的两种VPN。L2TP（Layer Two Tunneling Protocol，第二层通道协议）是VPDN（虚拟专用拨号网络）技术的一种，专门用来进行第二层数据的通道传送，L2TP提供了一种远程接入访问控制的手段。L2TP支持多种传输协议和远程访问，但安全性不强。 　　IPSec（IP Security），顾名思义，是保障IP层安全的网络技术，IPSec能够提供较强的IP层安全机制，但是对多协议封装等功能的支持存在不足。因此，对两者的综合使用，能够取长补短，构建一个既支持多协议封装，又提供认证和加密功能的VPN。因此，为了提供一个更好的满足用户需求的VPN，他们的结合使用成为研究和实现的热点。 　　本文结合远程开放网络实验室的构建与实现，分析了L2TP和IPSec的综合使用。 　　1、L2TP和IPSec协议分析 　　1.1 第二层隧道协议L2TP[1] 　　L2TP协议是目前IETF的标准，由IETF融合PPTP和L2F的优点而形成。L2TP是一种基于PPP的隧道传输协议，通过在IP，ATM，帧中继等公用网络上建立传输隧道来传送PPP数据包，即在L2TP协议中，被封装的是链路层PPP协议，封装协议由L2TP协议定义，承载协议可以是网络层的IP协议，也可以采用链路层的ATM或帧中继协议。它支持IP、IPX等多种网络层协议，也可以支持FR、ATM等任意的广域网技术及任意的以太网技术。 　　1.1.1 L2TP的逻辑结构 　　L2TP主要由LAC（L2TP Access Concentrator）接入集中器和LNS（L2TP Network Server）网络服务器构成。LAC支持客户端的L2TP，用于发起呼叫，接收呼叫和建立隧道。LNS负责建立、维护、释放隧道和呼叫，处理服务器方的L2TP协议和终止L2TP和PPP协议。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。从图1中可看出：远程系统通过PSTN/ISDN网络的LAC建立一条PPP连接，接着LAC把PPP连接通过IP网、帧中继或ATM网络建立隧道连接到LNS，从而获得对归属地企业网的访问权。 　　1.1.2 L2TP协议的工作流程 　　下面以远程用户对企业局域网的某台主机进行一次拨号访问为例，给出了虚拟拨号访问的实现流程[2]。 　　（1）远程用户通过PSTN或ISDN网，向ISP发起PPP链接请求。LAC接受此链接，建立远程用户到LAC的链接，并与远程用户互换链路控制协议（LCP）中的配置信息，同时进行身份鉴别信息的局部交换。 　　（2）LAC确定对此用户实现直接的因特网访问服务还是虚拟的拨号服务。如果是需要进行虚拟拨号访问，则应确定目的LNS。 　　（3）如果LAC与LNS之间没有建立隧道，则由LAC向LNS发起隧道的建立，并为该隧道分配一个隧道号，即Tunnel ID。 　　（4）一旦LAC与LNS之间新的隧道建立完成之后，则在隧道中为该用户呼叫分配一个ID号，称Call ID。LAC随后向LNS发出入站呼叫请求。该请求中可能包括LAC对远程用户收集的鉴别信息以及其它配置信息。 　　（5）如果LNS接收此入站呼叫，则在LNS为此呼叫产生一个“虚拟接口”，该虚拟接口为L2TP隧道的终点，其另一终点则建立于LAC上的一个虚拟接口。 　　（6）从远程用户发送的PPP分组帧到达LAC后，LAC上的L2TP虚拟接口剥去帧的同步序号位、透明位等，并将余下的数据部分封装入L2TP之中，在特定的传输媒体上发送。当L2TP分组到达LNS端后，L2TP头被剥去，剩余的PPP分组将与正常的分组一样被送入相应的接口进行处理。从LNS发送的数据的处理过程与此完全相似。 　　在实际应用中，LAC将