基于L2TP-IPSec远程访问VPN系统的方案设计与实施

摘 要：通过分析两种远程访问vpn应用模式的特点，选择自愿隧道模式设计了vpn，制定了vpn的实施策略，并实施了vpn远程客户端的配置。

关键词：vpn 隧道 网关

一、vpn系统方案设计的应用模式设计 （一）自愿隧道模式

在自愿隧道模式下，远程用户的pc机和vpn网关作为隧道的两端。远程访问用户作为lac（l2tp access concentrator，简称lac）运行l2tp/ipsec软件，并建立到vpn网关的连接。lac将l2tp分组发送到isp，再经过internet传送到lns（l2tp network server，简称lns）。

（二）强制隧道模式

在强制隧道模式中，ipsec安装于远程访问用户的主机上，而l2tp集成于lac。ppp（point to point protocol，简称ppp） 客户端发送ppp帧给lac，lac再进行l2tp分组的封装并通过internet传送到lns。lns端收到的ip数据包是封装了ppp的l2tp分组。在这种模式下，远程客户端和lns拥有安全服务的不同信息，ppp加密和压缩是否执行，要依靠客户端的策略[1]。

通过以上分析可以看出，在l2tp/ipsec的自愿隧道模式中，vpn远程用户端作为vpn隧道的起始点。此应用模式独立于运营商，对通信运营商的依赖程度低，用户可直接控制vpn网络，安全性比较

强，可实施性好。因此，以下vpn的模拟实施作者选择采用自愿隧道应用模式。

二、基于l2tp/ipsec远程远程访问vpn系统方案的模拟实施 为了便于研究，本文仅抽象出一个简化的模拟实验环境，其网络拓扑结构如图1所示。

（一）确定isakmp ike阶段1的管理策略 1.允许vpn数据流通过防火墙

在防火墙上部署vpn网关时，考虑到防火墙接口被分配给不同的安全级别，默认情况下，流量是不允许从低安全级别（外网接口）向高安全级别（内网接口）流动的。配置时应采取措施（acl或acl旁路）允许vpn数据流从一个不安全的接口进入或者穿过pix的更安全的接口。

2.确定管理连接的安全策略

① 使用的加密算法：ipsec支持des、3des或aes，在vpn实施时普遍采用前两者。由于des加密力度较弱，已被证明在有限时间内易被攻破，因此本文使用3des加密。

② 设备验证的类型：ipsec支持预共享密钥和数字签名或证书的验证方式，考虑到实验环境中的远程设备较少，采用预共享密钥方式进行设备验证。

③ 数据包验证方法：ipsec支持md5 hmac和sha hmac数据包验证方法，用于实现数据源验证与检测被损坏的数据包。sha相对于md5可以更有效的防止强大的攻破功能，因此本文选择sha hmac实

现数据包的验证。

④ 密钥交换方法：ipsec支持dh（diffie-hellman）算法以公钥加密的方式完成在不安全的网络上共享对称密钥。dh使用密钥组来定义共享密钥是如何产生的，而密钥组定义了公钥和私钥的密钥长度。本实验使用dh密钥组2来实现对称密钥的共享与交换[2]。 （二）确定isakmp ike阶段2数据连接的安全策略

1.数据包验证方法。由于ipsec ah协议的认证范围包括数据包的ip地址，数据包在通过防火墙时要进行地址转换，这种地址变化将导致远端用户的验证失败，因此本实验中使用ipsec esp协议支持的sha hmac认证方法，不启动ah协议。2.数据包的加密。使用ipsec esp协议支持的3des加密算法。3.确定连接模式。在本方案中，使用l2tp建立隧道，使用ipsec提供安全传输，因此确定ipsec的连接模式为传输模式。 （三）确定l2tp连接的安全策略

1.用户认证方式。l2tp支持ppp的认证方式——pap、chap或ms-chap，它们用于实现用户级身份认证。本实验使用ms-chap方法。由于用户认证数据较少，为方便起见，vpn网关将有关身份认证信息存储在本地[3]。2.ppp数据加密。ppp支持的mppe加密力度较弱，容易被攻破，考虑本方案已经使用ipsec支持的3des加密算法对隧道流量进行加密，因此不启用ppp的加密服务。3.ppp数据压缩。考虑到实施ppp数据压缩会使vpn系统的吞吐量急剧下降，因此本实验不启动此服务。

（四）vpn远程客户端的配置步骤

1.验证windows客户端的可操作性。对于windows 2000和以后的操作系统，系统自带的vpn客户端是自动安装的。为了确保微软客户端正常运行，应首先检查vpn客户端是否开启。2.建立一个安全策略。进入开始-〉程序-〉管理工具-〉本地安全策略，打开创建安全策略向导，创建一个安全策略，创建完成后激活该策略。3. 建立一个vpn连接。在客户端建立一个新的远程访问vpn连接，并编辑连接属性。 参考文献：

[1] 张大路，卢现峰.vpn核心技术研究.计算机工程，2000（3）：41-42.

[2] 陆国栋.基于ipsec vpn的安全性研究[d].武汉：华东师范大学，2006.

[3] 杨明.基于ipsec虚拟专用网的研究与实现[d].北京：北京工业大学，2003.