基于L2TP的遠程訪問VPN的實現

李獻軍 張少芳 李巖

摘要：企業員工出差在外時，經常需要通過公共網絡連接回公司網絡進行工作，這種情況下就需要保障數據在公共網絡上傳遞的安全性。L2TP VPN通過為遠程用戶分配企業內部IP地址，并對數據報文進行封裝，使其在邏輯上依然處于企業內部網絡之中，從而為其通過公網與企業內部網絡之間的通信提供安全保護。

關鍵詞：網絡;虛擬專用網;二層隧道協議;安全;隧道

中圖分類號：TP393.2? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2019）22-0050-03

開放科學（資源服務）標識碼（OSID）：

Implementation of Remote Access VPN Based on L2TP

LI Xian-jun， ZHANG Shao-fang， LI Yan

（Shijiazhuang Vocational Technical College of Posts & Telecommunications， Shijiazhuang 050021， China）

Abstract： When employees travel， they often need to connect to the company network through the public network to work. In this case， they need to ensure the security of data transmission on the public network. L2TP VPN provides security protection for communication between public and internal networks by assigning internal IP addresses to remote users and encapsulating data packets so that they are logically still in the internal network of the enterprise.

Key words：? network; VPN; L2TP; security; tunnel

1 引言

面對網絡中的各種威脅以及惡意的攻擊，數據使用明文在公共網絡上進行傳輸就非常容易遭到攻擊者的竊聽甚至是惡意的篡改。為了保障通信數據能夠在公共網絡上安全的傳遞性，產生了虛擬專用網（Virtual Private Network，VPN）技術。VPN通過使用加密、認證等安全相關技術，能夠為用戶在邏輯上提供像專用網絡一樣的通信安全保障。其中遠程訪問VPN用于對遠端用戶（例如出差在外的員工）通過公網連接到企業網絡提供安全保護，應用最為廣泛的遠程訪問VPN技術即為L2TP（Layer 2 Tunneling Protocol，二層隧道協議） VPN技術。

2 L2TP的基本原理

二層隧道協議（Layer 2 Tunneling Protocol，L2TP）由IETF起草，結合了CISCO公司的二層轉發（Layer 2 Forwarding，L2F）協議和Microsoft公司的點到點隧道協議（Point-to-Point Tunneling Protocol，PPTP）的優點，為所傳輸的數據提供二層的隧道封裝。L2TP通過為遠程用戶分配企業內部網絡的IP地址從而實現為企業的出差人員提供經由公共網絡安全的訪問公司內部網絡的虛擬專用網。

2.1 L2TP網絡結構

L2TP協議基于廣域網鏈路上的點到點協議（Point-to-Point Protocol，PPP）實現。L2TP通過對PPP的網絡模型進行擴展，使PPP會話的端點可以跨越互聯網，為遠程接入用戶和企業網絡的邊界路由器之間提供PPP的會話。典型的L2TP組網應用如圖1所示。

從上圖中可以看出，L2TP組建的VPN中，網絡組件主要由三部分構成：

（1）遠端系統

遠端系統是需要通過VPN與企業內部網絡進行通信的系統，通常是通過寬帶上網的主機或某私有網絡的邊界路由器。

（2）L2TP訪問集中器

L2TP訪問集中器（L2TP Access Concentrator，LAC）用來為PPP的用戶提供網絡接入的服務，一般是由服務提供商提供的網絡接入服務器（Network Access Server，NAS），LAC需要具有PPP的端系統以及L2TP協議的處理能力。

LAC與遠端系統之間采用PPP的方式進行連接。

（3）L2TP網絡服務器

L2TP網絡服務器（L2TP Network Server，LNS）通常是一個企業網絡的邊界路由器，它既是PPP端系統，又是L2TP協議的服務器端。LNS是LAC的對端設備，是LAC進行L2TP隧道傳輸的邏輯終止端點。通過在公共網絡中建立L2TP隧道，可以將遠端系統的PPP連接在邏輯上延伸到LNS，從而實現PPP模型的擴展，使PPP會話可以跨越Internet網絡。

2.2 L2TP報文結構

L2TP協議的報文封裝結構如圖2所示。

在L2TP協議中，LNS端會為遠程用戶分配企業網絡內部使用的私有IP地址，這樣遠程用戶就可以使用私有IP地址訪問企業網絡（相當于遠程用戶在邏輯上依然處于企業網絡的內部），因此原始IP數據報文中封裝的是私有IP地址。原始IP數據報文從內向外依次被PPP協議、L2TP協議和UDP協議進行封裝，然后在最外層封裝上新的IP報頭，新IP報頭中的源IP地址和目的IP地址分別為遠程用戶使用的公網IP地址和企業邊界路由器連接外部網絡的接口IP地址（或PPP Server地址）。L2TP協議的數據報文封裝如圖3所示。

L2TP存在兩種不同類型的連接：隧道（Tunnel）連接和會話（Session）連接。一個隧道連接對應了一個LAC和LNS對;而會話連接在隧道連接之上進行復用，用于表示隧道連接中承載的每個PPP會話過程。

在L2TP中存在兩種消息類型：控制消息和數據消息。控制消息用于對隧道連接以及會話連接的建立、維護以及傳輸過程進行控制，控制消息是可靠的傳輸，它支持流量控制和擁塞控制的功能;數據消息用于封裝具體的PPP數據幀使其在隧道上進行傳輸，數據消息是不可靠的傳輸。當然，無論是控制消息還是數據消息其L2TP協議報頭都是相同的，在L2TP報頭中封裝有隧道標識符（Tunnel ID）和會話標識符（Session ID）信息，用來標識不同的隧道和會話。

2.3 L2TP隧道模式

L2TP隧道的建立包括兩種不同的模式，分別是NAS發起的模式和客戶端的發起模式。

（1）NAS發起模式。

在NAS發起的模式（NAS-Initiated）中，由LAC端發起L2TP隧道連接。如圖4所示。

遠程用戶撥入LAC，由LAC通過互聯網向LNS發起隧道連接的建立請求，并最終在LAC和LNS之間建立L2TP的隧道。其中，對遠程用戶的認證、授權和計費等工作可以由LAC側的代理執行，也可以由LNS執行。

（2）客戶端發起模式。

在客戶端發起的模式（Client-Initiated）中，由支持L2TP協議的遠程用戶直接發起L2TP隧道連接。如圖5所示。

遠程用戶在獲得了訪問互聯網的權限后，直接向LNS發起進行隧道連接建立的請求，在遠程用戶和LNS之間最終建立起L2TP隧道，無須經過一個單獨的LAC設備來建立隧道。當然，客戶端直接發起的模式要求遠程用戶系統必須能夠支持L2TP協議，并且遠程用戶需要具有公網的IP地址，能夠直接通過互聯網與LNS通信。

3? L2TP的配置

假設網絡結構如圖6所示，要求進行L2TP協議的配置，使遠程用戶PC1可以通過L2TP隧道訪問企業內部網絡。其中PPP采用CHAP的認證方式，用戶名和密碼分別是l2tp和l2tpcs;為遠程用戶分配的IP地址段為10.1.2.0/24。

從上圖中可以看出，這是一個典型的由客戶端直接發起的L2TP網絡。為簡單起見，將遠程主機直接連接到了LNS上，省略掉了LAC設備和中間的網絡。

路由器RTA的具體配置如下：

RTA（config）#ip local pool pool-rvpn 10.1.2.2 10.1.2.254

RTA（config）#aaa new-model

RTA（config）#aaa authentication login authen-vpn local

RTA（config）#aaa authorization network author-vpn local

RTA（config）#username l2tp password l2tpcs

RTA（config）#crypto isakmp policy 10

RTA（config-isakmp）#authentication pre-share

RTA（config-isakmp）#encryption 3des

RTA（config-isakmp）#group 2

RTA（config-isakmp）#hash md5

RTA（config-isakmp）#exit

RTA（config）#crypto isakmp client configuration group grp-vpn

RTA（config-isakmp-group）#key 123

RTA（config-isakmp-group）#pool pool-rvpn

RTA（config-isakmp-group）#netmask 255.255.255.0

RTA（config-isakmp-group）#exit

RTA（config）#crypto ipsec transform-set ts-vpn esp-3des esp-md5-hmac

RTA（cfg-crypto-trans）#exit

RTA（config）#crypto dynamic-map dmap-vpn 10

RTA（config-crypto-map）#set transform-set ts-vpn

RTA（config-crypto-map）#reverse-route

RTA（config-crypto-map）#exit

RTA（config）#crypto map map-vpn client configuration address respond

RTA（config）#crypto map map-vpn client authentication list authen-vpn

RTA（config）#crypto map map-vpn isakmp authorization list author-vpn

RTA（config）#crypto map map-vpn 10 ipsec-isakmp dynamic dmap-vpn

RTA（config）#interface FastEthernet 0/0

RTA（config-if）#crypto map map-vpn

配置完成后，在PC1上安裝并配置L2TP VPN客戶端軟件，連接成功后在PC1的命令行界面下執行ipconfig命令可以看到其獲得了企業內部地址10.1.2.2。

4 結束語

通過L2TP VPN，LNS為遠程用戶分配企業網絡內部的IP地址，使其在邏輯上依然處于企業內部網絡之中，從而為其通過公網與企業內部網絡之間的通信提供安全保護。

參考文獻：

[1] Cisco Networking Academy.CCNA安全[M].北京：人民郵電出版社，2015：219-220.

[2] 楊菲菲，孫婧，王彬.L2TP over IPSec技術在私有桌面云中的應用[J].計算機技術與發展，2015，10：160-165.

[3] 陳翰馳，鐘佩珊.EPC核心網中L2TP VPN隧道的構建[J].電信網技術，2016，1：62-64.

[4] 李凌.4G VPN業務L2TP鑒權認證的實現研究[J].無線互聯科技，2018，8：18-19.

【通聯編輯：代影】