1、L2TP VPN 的应用摘要:介绍了 VPN (Virtual Private Dial Network),即虚拟专用网络的产生背景,实现方式,性能特点。重点介绍了 L2TP VPN 与 IPsec VPN 两种虚拟专用网络,比较了它们的构成特点和适用对象,给出了构建 L2TP VPN 网络的实例。关键词:虚拟专用网络 VPN L2TP VPN IPsec VPN 隧道L2TP VPN ApplicationAbstract: Introduced VPN (Virtual Private Dial Network) background, how to achieve,its perform
2、ance and features. Focuses on the L2TP VPN and IPsec VPN ,they compared the composition characteristics and the application of the object, it gives the example of Construction the L2TP VPN network.Key words: Virtual Private Network VPN L2TP VPN IPsec VPN tunnelVPN (Virtual Private Dial Network),即虚拟专
3、用网络。是随着因特网络的发展,尤其是宽带网络的发展而诞生的一种远程组网方式。它通过一个公用网络(通常是因特网) 建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业及机关内部网络的扩展。虚拟专用网可以帮助远程用户、企业分支机构、业务伙伴等与企业的内部网络建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的公用网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时,这将简化网络的设计和管理,方便连接新的用户和网站。此外,虚拟专用网还可以保护现有的网络投资。随着用户业务的不断发展,虚拟专用网解决方案可以使
4、用户将精力集中到自己的业务上,而不是网络上。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和远程用户的安全外联虚拟专用网。虚拟专用网能提供如下功能:1. 加密数据,以保证通过公网传输的信息即使被他人截获也不会泄露。2. 信息认证和身份认证,保证信息的完整性、合法性,并能鉴别用户的身份。3. 提供访问控制,不同的用户有不同的访问权限。VPN 区别于一般网络互联的关键在于隧道的建立,数据包经过加密后,按隧道协议进行封装、传送以确保安全性。一般地,在数据链路层实现数据封装的协议叫第二层隧道协议,常用的有
5、PPTP、L2TP 等;在网络层实现数据封装的协议叫第三层隧道协议,如IPSec。L2TP 与 IPsec 的一个最大的不同在于它不对隧道传输中的数据进行加密,从而没法保证数据传输过程中的安全。因此这个时候,L2TP 常和 IPsec 结合使用,先使用 L2TP 封装第二层数据,再使用 IPsec 封装对数据进行加密和提供完整性保护,由此保证通信数据安全传送到目的地。L2TP 由于封装的是第二层协议数据,因此可以认为是一种 L2VPN(第二层 VPN)技术。最新的 L2TP 协议草案(L2TP v3)表明,L2TP 不仅可以封装 PPP 数据单元,还可以封装其他第二层协议数据,如 Ethern
6、et(以太网) 、Frame Relay(帧中继)等。因此 L2TP 的作用已经扩展到将异地的局域网通过 L2TP 隧道跨越公共网络连接在一起,也就是实现异地局域网互联,这样可以将某些局域网技术如 VLAN(虚拟局域网) 应用到异地局域网之间,从而利用公共网络来模拟局域网。当然其数据传输过程中的安全性仍然依赖于 IPsec 来提供。IPsec 封装的是 IP 层数据,或是 IP 上层协议载荷,因此可以认为是一种构建L3VPN(第三层 VPN)的技术。其最大的特点是为数据传输过程提供了机密性、完整性保护和数据源验证,从而确保承载于公共网络的 VPN 的安全性和可靠性,同时由于添加的协议头并不多,
7、且还可以利用硬件加密卡加速 IPsec 报文的处理,因而效率上得到了很大的提高;此外 IKE 协商过程能提供比较完备的用户身份认证,这就使得可以对 IPsec 用户访问实施有力控制,从而进一步保证了网络的安全。构建 IPsec 网络,通常需要在网络的两端安装路由器,或是一端安装路由器,另一端安装专门软件,组网成本高,实施复杂;对于那些对数据保密安全性要求不高的中小企业,其远程用户、企业分支机构、业务伙伴等与企业的内部网络建立 VPN,采用 L2TP 构建VPN 网络更便捷方便且造价低廉,特别适用于中小企业以及农村合作医疗等专门技术人员少、资金不充裕的应用场合。下面是采用 H3C AR18-21
8、A 路由器组建 L2TP VPN 网络实例dis cursysname Quidwayl2tp enable ;激活 L2TPdialer-rule 1 ip permit ;定义拨号规则 1radius scheme systemdomain systemip pool 1 172.19.5.10 172.19.5.100 ;定义 VPN 网段地址池 1local-user localusername ;定义本地用户名password simple localuserpassword ;密码service-type telnet terminal ;服务类型为终端连接level 3 ;用户级
9、别为 3 级,即管理员local-user localusername1 ;定义本地用户名 1password simple localuserpassword1 ;密码 1service-type ppp ;服务类型为拨号连接dhcp server ip-pool 10 ;定义局域网 dhcp 地址池 10network 192.168.110.0 mask 255.255.255.0gateway-list 192.168.110.1 ;局域网网关dns-list 202.97.224.69 ;宽带 ISP DNS 解析服务器地址acl number 2000 ;定义访问控制列表rule
10、0 permit source 192.168.110.0 0.0.0.255 ;访问规则 0interface Virtual-Template1 ;虚电路接口 1ppp authentication-mode pap ;ppp 校验模式 papip address 172.19.5.1 255.255.255.0 ;路由器的 VPN 地址remote address pool 1 ;远程地址池 1interface Ethernet1/0 ;路由器交换端口ip address 192.168.110.1 255.255.255.0 ;地址为 192.168.110.1 255.255.25
11、5.0interface Ethernet1/1interface Ethernet1/2interface Ethernet1/3interface Ethernet1/4interface Ethernet3/0tcp mss 1024ip address 218.12.97.82 255.255.255.224 ;宽带地址(固定 IP 地址)nat outbound 2000 ;地址转换interface Atm2/0interface NULL0l2tp-group 1undo tunnel authenticationmandatory-lcpallow l2tp virtual-t
12、emplate 1ip route-static 0.0.0.0 0.0.0.0 218.12.97.1 preference 60 ;路由到宽带的网关user-interface con 0user-interface vty 0 4authentication-mode schemereturnPC 侧设置:(Windows XP 系统)(1)首先修改注册表:HKEY_LOCAL_MACHINESystemCurrentControlSetServicesRasmanParameters,单击Parameters 参数,接着在右边窗口空白处单击鼠标右键,选择新建/ 双字节值并新建一个注册表值(名称为 ProhibitIPSec,值为 1) ,然后重新启动系统。(2)创建一个新的 VPN 拨号连接并配置如下:公网 IP 地址选择它并点设置如图设置:PAP、CHAP配置好后双击,输入用户名、密码后点连接,即可连接到 VPN 服务器。连接上 vpn 后即可使用局域网中的共享资源。选择 L2tp IPSec VPN
