基于GNS3和Vmware的L2TPv3 over IPSec部署研究

吳響 臧浩 俞嘯 趙強

摘要： 采用GNS3網絡模擬器結合Vmware虛擬機實現對L2TPv3 over IPSec的仿真配置，解決跨地理位置的多個站點間的安全訪問，分析L2TPv3 over IPSec相比于其他VPN的優勢，通過設計和配置實驗可以更好的掌握理論知識、提升實踐能力，進而說明GNS3結合Vmware的應用價值。

關鍵詞： GNS3；Vmware；L2TPv3 over IPSec

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2015）03（b）-0000-00

引 言

隨著網絡當中服務類型和需求越來越多，大型公司、醫院、科研機構都在不斷的拓展自己的業務，并購競爭對手或者并購不同業務的公司。為了使得公司的員工能夠快捷、方便、安全的獲取不同分部機構網絡的資源，需要租賃服務提供商的專線業務，如果使用服務提供商的專線業務，將會面臨巨大的資金投入。

VPN的出現徹底解決了這樣的問題，它是一種使用價格低廉的網絡建立網絡隧道以解決上述問題的技術[1-2]。基于隧道發展出來的VPN技術有很多，不同的網絡類型和網絡需求我們需要使用不同的VPN技術，以保證網絡的連續性和高效性[3]。

1實施背景分析及VPN技術的選定

1.1 實施背景分析

現有一個機構總部和一個分支機構，選定的技術既能夠滿足總部和分支信息資源的專用性，又能夠確保數據在公網傳輸過程時不被劫持和破壞。因此VPN方案應當滿足數據源認證、數據完整性、數據私密性、防止中間人攻擊、防止數據重放以及地址重疊等方面的問題[4-5]。

1.2 VPN技術的選定

目前市面上的VPN技術有很多，大概分為兩類：三層VPN技術和二層VPN技術。主流三層VPN技術有L2L VPN、GRE、EZVPN、SSL VPN、GETVPN。主流二層VPN技術有PPPoE

、PPTP、L2TPv2、L2TPv3。在保障VPN流量正常工作的同時，仍然希望其他業務流量不受影響，或者說盡量少的占用設備資源，推薦使用的是二層VPN[6-7]。在二層VPN技術里面能夠保證兩個網絡完美對接同時又能解決地址重疊問題的技術只有L2TPv3。

在網絡中有一個IPSec組件，這個組件定義的是高度解決網絡之間通信的安全性。IPSec組件可以和多數的VPN技術結合使用，所以最終選定L2TPv3 over IPSec來解決上述問題的特殊需求[8-9]。

2 L2TPv3 VPN系統組成

一個基本的L2TPv3 over IPSec組網架構如圖2.1所示，系統由VPDN、遠端系統、LAC和LNS組成。其中VPDN采用隧道協議在公共網絡上為企業建立安全的虛擬專網。分部機構可從遠程經由公共網絡，通過虛擬隧道實現和總部之間的網絡連接。遠端系統是要接入VPDN網絡的分部機構，一般是私有網絡的一臺路由設備。LAC是具有PPP和L2TP協議處理能力的設備，一般是一個ISP的網絡接入服務器，主要用于為PPP類型的用戶提供接入服務，在這樣一個網絡里面，對應的LAC設備我們要做設備等級的下放，讓私有的設備充當LAC。LNS既是PPP端系統，又是L2TP的服務器端。LNS是LAC的對端設備，是LAC進行隧道傳輸的PPP會話的邏輯終止端點。通過在公網中建立L2TP隧道，將遠端系統的連接由原來的LAC在邏輯上傳輸到企業網內部的LNS。

3 仿真環境搭建

3.1 實驗環境簡介

實驗中使用的仿真軟件包括GNS3 0.7.3[10]、SecureCRT 5.1、VMware Workstation 10、Windows 7-64bit、Windows Server 2003 Enterprise Edition。GNS3中使用的Cisco IOS是c3640-jk9s-mz.124-16.BIN。

3.2 仿真實驗拓撲結構

遠程網絡處于172.16.1.0/24、172.16.2.0/24和172.16.3.0/24中，remot network A site ip地址為172.16.3.200/24，網關地址為172.16.3.254/24，remot network A通過R2的IP地址為202.100.1.1/24的端口與Internet相連。Remot network B site ip地址為172.16.2.200，網關地址為172.16.3.254/24，該網絡通過ip地址64.102.51.2連接Internet。

3.3 仿真環境搭建

步驟1：使用VMware虛擬出一臺Windows server 2003作為remote network B site。

步驟2：在GNS3上使用cisco c3600系列三層交換模擬內網的LAC和LNS。

步驟3：使用GNS3使用兩個cloud分別連接到VMnet 8和本地無線網卡。

步驟4：使用VMware把VMnet 8和Windows server 2003橋接在一起，模式為host-only。

3.4 主要配置命令

在R2和R4上配置L2TPv3 over IPSec VPN主要配置如下：

1） 創建L2TPv3控制面板

l2tp-class remot.network.A

hidden

authentication

hello 180

hostname remote-A

password 7 0822455D0A16

retransmit retries 16

timeout setup 60

cookie size 4

2） 創建L2TP的pseudowire-class模板

pseudowire-class remote.network.A

encapsulation l2tpv3

sequencing both

protocol none

ip local interface Loopback0

ip dfbit set

ip tos reflect

3） 抓取興趣流

ip access-list extended l2tp-over-ipsec

permit 115 host 1.1.1.1 host 2.2.2.2

4） 創建IPSec組件

crypto isakmp policy 10

authentication pre-share

crypto isakmp key cisco address 64.102.51.2

crypto ipsec transform-set cisco esp-des esp-md5-hmac

crypto map cisco 10 ipsec-isakmp

set peer 64.102.51.2

set transform-set cisco

match address l2tp-over-ipsec

5） 接口綁定XCONNECT服務

interface FastEthernet0/0

xconnect 2.2.2.2 888888 encapsulation l2tpv3 manual pw-class remote.network.A

l2tp id 1111 2222

l2tp cookie local 4 12345

l2tp cookie remote 4 54321

l2tp hello remote.network.A

3.5 仿真結果分析

在R2和R4上配置L2TPv3 over IPSec VPN之前，雖然PC能夠和網關通信，但是兩個內網之間是不能能通信的。當我們把VPN部署完成之后，內網各個節點都是可以互相訪問的，即使它們的IP地址存在重疊。如圖2所示，建立了隧道之后，設備上面擁有了對方網絡的路由條目。

4 結束語

傳統的VPN技術對于現在的網絡需求日益疲憊，設備廠商和機構也在不斷的研發新的VPN技術，這有利于架構多樣性的網絡，傳統VPN技術注定會被淘汰。L2TPv3是VPN隧道盡頭的曙光，因為它的出現讓運營商出現了商機，雖然L2TPv3是面向運營商級別的協議，但是這并不妨礙我們降級使用這個技術，利用GNS3模擬器結合Vmware虛擬機，通過實驗探討了L2TPv3的部署，同時也讓VPN技術的靈活使用變成了可能。

[1] 徐家臻，陳莘萌.基于IPSec與基于SSL的VPN的比較與分析[J].計算機工程與設計，2004，25（4）：586-588.

[2] 趙阿群，吉逸，顧冠群等.支持VPN的隧道技術研究[J].通信學報，2000，21（6）：85-91.

[3] 皮建勇，劉心松，廖東穎等.基于VPN的電力調度數據網絡安全方案[J].電力系統自動化，2007，31（14）：94-97.

[4] 曾巧紅.VPN技術在高校圖書館的應用[J].情報學報，2005，24（3）：357-362.

[5] 楊浩淼，程紅蓉，張文科等.基于虛擬機的VPN綜合實驗設計[J].信息安全與通信保密，2012，（6）：56-58.

[6] 沈振興.一種高可用L2TP校園網認證方案的設計及實現[J].現代計算機（專業版），2014，（24）：47-50.

[7] 劉學普，周陽.基于L2TP/IPSec的企業遠程移動辦公網的構建[J].寧波職業技術學院學報，2013，（5）：99-101.

[8] 文建闊，昂志敏.基于L2TP和IPSec集成的車載無線終端傳輸網絡設計[J].微型機與應用，2012，31（14）：47-50.

[9] 鄒縣芳，宋杰，陳蘊等.基于L2TP/IPSec的VPN技術在校園網中的研究和應用[J].阜陽師范學院學報（自然科學版），2007，24（3）：70-74.

[10] 劉詩瑾.GNS3在網絡安全實驗教學中的應用[J].價值工程，2015，（25）：176-176，177.

一定保留：

江蘇省產學研聯合創新項目（BY2014033）徐州市科技計劃項目（XM13B021）；徐州市科技計劃項目（XM12B077）；

作者信息：吳響（1985-），男，江蘇徐州，博士，實驗師，從事醫學物聯網、無線體域網的研究工作