基于L2TP-IPSec远程访问VPN系统的方案设计与实施.pdfVIP

基于L2TP/IPSec远程访问VPN系统的方案设计与实施

摘要：通过分析两种远程访问vpn应用模式的特点，选择自愿

隧道模式设计了vpn，制定了vpn的实施策略，并实施了vpn远程

客户端的配置。

关键词：vpn隧道网关

一、vpn系统方案设计的应用模式设计

（一）自愿隧道模式

在自愿隧道模式下，远程用户的pc机和vpn网关作为隧道的两

端。远程访问用户作为lac（l2tpaccessconcentrator，简称lac）

运行l2tp/ipsec软件，并建立到vpn网关的连接。lac将l2tp分

组发送到isp，再经过internet传送到lns（l2tpnetworkserver，

简称lns）。

（二）强制隧道模式

在强制隧道模式中，ipsec安装于远程访问用户的主机上，而l2tp

集成于lac。ppp（pointtopointprotocol，简称ppp）客户端

发送ppp帧给lac，lac再进行l2tp分组的封装并通过internet

传送到lns。lns端收到的ip数据包是封装了ppp的l2tp分组。

在这种模式下，远程客户端和lns拥有安全服务的不同信息，ppp

加密和压缩是否执行，要依靠客户端的策略[1]。

通过以上分析可以看出，在l2tp/ipsec的自愿隧道模式中，vpn

远程用户端作为vpn隧道的起始点。此应用模式独立于运营商，对

通信运营商的依赖程度低，用户可直接控制vpn网络，安全性比较

强，可实施性好。因此，以下vpn的模拟实施作者选择采用自愿隧

道应用模式。

二、基于l2tp/ipsec远程远程访问vpn系统方案的模拟实施

为了便于研究，本文仅抽象出一个简化的模拟实验环境，其网络

拓扑结构如图1所示。

（一）确定isakmpike阶段1的管理策略

1.允许vpn数据流通过防火墙

在防火墙上部署vpn网关时，考虑到防火墙接口被分配给不同的

安全级别，默认情况下，流量是不允许从低安全级别（外网接口）

向高安全级别（内网接口）流动的。配置时应采取措施（acl或acl

旁路）允许vpn数据流从一个不安全的接口进入或者穿过pix的更

安全的接口。

2.确定管理连接的安全策略

①使用的加密算法：ipsec支持des、3des或aes，在vpn实施

时普遍采用前两者。由于des加密力度较弱，已被证明在有限时间

内易被攻破，因此本文使用3des加密。

②设备验证的类型：ipsec支持预共享密钥和数字签名或证书的

验证方式，考虑到实验环境中的远程设备较少，采用预共享密钥方

式进行设备验证。

③数据包验证方法：ipsec支持md5hmac和shahmac数据包验

证方法，用于实现数据源验证与检测被损坏的数据包。sha相对于

md5可以更有效的防止强大的攻破功能，因此本文选择shahmac实

现数据包的验证。

④密钥交换方法：ipsec支持dh（diffie-hellman）算法以公

钥加密的方式完成在不安全的网络上共享对称密钥。dh使用密钥组

来定义共享密钥是如何产生的，而密钥组定义了公钥和私钥的密钥

长度。本实验使用dh密钥组2来实现对称密钥的共享与交换[2]。

（二）确定isakmpike阶段2数据连接的安全策略

1.数据包验证方法。由于ipsecah协议的认证范围包括数据包

的ip地址，数据包在通过防火墙时要进行地址转换，这种地址变

化将导致远端用户的验证失败，因此本实验中使用ipsecesp协议

支持的shahmac认证方法，不启动ah协议。2.数据包的加密。使

用ipsecesp协议支持的3des加密算法。3.确定连接模式。在本

方案中，使用l2tp建立隧道，使用ipsec提供安全传输，因此确

定ipsec的连接模式为传输模式。

（三）确定l2tp连接的安全策略

1.用户认证方式。l2tp支持ppp的认证方式——pap、chap或

ms-chap，它们用于实现用户级身份认证。本实验使用ms-chap方

法。由于用户认证数据较少，为方便起见，vpn网关将有关身份认

证信息存储在本地[3]。2.ppp数据加密。pp