1、PAGE6L2TP多實例實現遠程接入安全隔離概述MPLS VPN應用L2TP缺陷在現有的IP VPN組網方案中，很多企業，政府機構，事業單位，其分支機構、下屬單位和總部互連都使用了MPLS VPN功能，從而實現在公有網絡上構建屬于自己的VPN，同時能夠實現安全隔離，其典型的組網圖如下：MPLS COREVPN-1總部VPN-2總部RouterVPN-1分支機構RouterCore RouterRouterVPN-2分支機構L2TP-LNSINTERNETVPN-1出差人員VPN-2出差人員L2TP隧道此應用中，VPN-1和VPN-2都使用作為總部的地址段，并且使用作為分部的地址段。這樣，VPN

2、-1和VPN-2的地址是重疊的，但是由于MPLS VPN的存在，VPN-1和VPN-2并不會互相訪問，可以保證每個VPN數據傳輸的隱秘性，同時也能夠實現跨地域VPN域，極大的遠程方便辦公。在一個MPLS VPN組網環境內，無論多少個VPN域，都可以互補影響的完成每個VPN的工作，可以實現分支總部之間通信的安全性。但是，如果VPN-1和VPN-2都有人員出差，需要遠程通過L2TP訪問公司內部資源，問題就暴露出來了。首先，根據L2TP協議，用戶建立L2TP隧道之后需要分配IP地址，出差人員從遠程登錄，L2TP LNS需要根據用戶的用戶名分配IP地址，但是VPN-1和VPN-2的IP地址都是一樣的，

3、都使用作為總部IP，使用作為分支機構IP。如何針對VPN-1和VPN-2的人員分配IP地址呢其次，即使給VPN-1和VPN-2的人分配了不同的IP地址，從而區分了VPN-1和VPN-2出差人員，兩個VPN出差人員能夠分別訪問自己的公司做在的VPN，能夠訪問所在公司的內部資源。但是，由于VPN-1和VPN-2出差人員通過同一臺L2TP LNS接入，如何有效的避免VPN-1的出差人員訪問到VPN-2的資源，同時避免VPN-2的出差人員訪問到VPN-1的資源，從而有效的保護VPN的私密性，保護每個VPN的安全性，從而達到VPN安全的目的防火墻隔離和L2TP接入的沖突在很多企業/事業單位，用防火墻作為

4、出口網關，同時實現內部區域的隔離，從而保證各個區域不同的訪問權限，通過多實例隔離區域技術，實現多個區域的劃分，隔離和管理。例如下圖的拓撲結構，分為總部和分支機構。總部分為六個區域，分別為對外服務器所在的DMZ區域，內部服務器區域，開放辦工區，研發中心，市場部，財務部所在的內部Trust區域。分支機構也有開放辦工區，研發中心，財務部，市場部。從安全的角度講，區域的劃分需要細致，權限需要嚴格，所以，每個區域的訪問權限有不同的設置：InternetUntrust區域Trust區域DMZ區域財務部開放辦公區研發中心市場部內部服務器對外服務器分支機構（包括開放辦工區，研發中心，財務部，市場部）出差人員L

5、2TP隧道總部拓撲1.財務部要求只能訪問內部服務器，不能訪問internet，也不能訪問其他內部區域，包括開放辦工區，研發中心，市場部，DMZ區域。同時，總部和分支機構的財務部在同一個隔離區域內可以互訪，并且分支機構的財務部和總部的財務部具有相同的權限，也只能訪問內部服務器。2.開放辦公區只能訪問DMZ區域和internet，不能訪問內部服務器，也不能訪問其他辦公區域，但是總部和分支機構的開放辦公區在同一個隔離區域內可以互訪。3.市場部能夠訪問內部服務器，DMZ區域和internet，但是不能訪問其他內部區域，包括開放辦工區，研發中心，財務部。但是總部和分支機構的市場部在同一個隔離區域內可以互

6、訪。4.研發中心只能夠訪問內部服務器，DMZ區域，不能訪問internet，分支的研發中心也要求能夠訪問內部服務器，DMZ區域。并且要求總部和分支的研發中心在同一個隔離區域內可以互訪。這種應用能夠精確的實現區域分級管理，能夠保證內部信息的安全，并且能夠有效的控制數據的擴散，達到安全的目的。但是，如果有公司人員出差，并且通過L2TP隧道訪問公司本部資源，并且，為了安全考慮，每個部門的出差人員具有和在公司內部門訪問相同的權限，例如，研發員工出差能夠訪問內部服務器，DMZ區域和研發中心，而市場部員工出差可以通過L2TP隧道訪問內部服務器，DMZ區域和internet，以及公司內部的市場部。如果使用普

7、通的防火墻，其L2TP功能有限，雖然可以根據不同用戶分配不同的IP地址，但是不能有效控制出差人員訪問各自所在的隔離區域，例如讓研發出差人員可以訪問研發部區域，而不能訪問市場部和財務部的區域。解決方案華為3Com公司的SecPath系列防火墻通過L2TP多實例技術完美的解決了以上問題。SecPath系列防火墻通過在L2TP協議上加入多實例技術，讓L2TP支持在一臺設備、一個網絡上，通過軟件，將不同的用戶劃分在不同的域，每個域和MPLS的VPN、防火墻的內部域連通，即具有了和內部區域、VPN相同的權限，同時也能夠保證訪問到合法的資源。L2TP多實例的關鍵技術如下：根據用戶名分配不同IP華為3Com

8、公司的SecPath系列防火墻Internet出差人員L2TP隧道可以根據用戶名分配不同的IP地址。當用戶使用L2TP隧道，需要驗證用戶名和密碼，根據用戶名，可以分配給用戶不同的IP地址。例如，同時有兩個用戶申請使用L2TP隧道，并且需要分配IP地址。用戶甲屬于北京某企業，用戶乙屬于上海某企業。在他們的用戶名上，分別帶有公司所在城市的域名，例如用戶甲的用戶名為Abeijing，而用戶乙的用戶名為Bshanghai。在L2TP LNS側，根據用戶名，將分配給用戶甲一個的地址，從而讓用戶甲可以自由的訪問北京企業的資源，而用戶乙將獲得的地址，從而讓用戶乙可以輕松訪問上海企業的資源。這樣，使用不同的地

9、址，從一定程度上實現了安全。根據用戶名綁定MPLS VPNMPLS COREVPN-2總部RouterCore RouterL2TP-LNSINTERNETVPN-1出差人員AVPN-2出差人員BL2TP隧道VPN-1總部在使用MPLS VPN的時候，由于每個VPN的內部地址可能是一樣的，即VPN-1和VPN-2都使用的地址，對于出差人員，都要求分配的地址，這就要求LNS設備能夠根據用戶名區分用戶所在的、對應MPLS的VPN。華為3Com公司的SecPath系列防火墻可以通過綁定用戶所在的、對應MPLS的VPN。我們假設VPN-1的出差人員A有用戶名AVPN-1，而VPN-2的出差人員B有用戶

10、名BVPN-2，當A建立L2TP隧道時，LNS設備需要根據用戶名AVPN-1，將A的IP地址綁定到MPLS VPN-1，即出差人員A所有的訪問將在MPLS VPN-1種進行。而B建立L2TP隧道時，將被綁定到MPLS VPN-2，從而實現A，B的隔離，并且保證了A，B能夠通過MPLS VPN訪問公司內部的資源。根據用戶名綁定安全區域為了實現安全隔離，公司作了區域隔離，使研發部和市場部不能互訪。將研發劃分為一個區域，同時將市場部劃分為另外一個區域，兩個區域雖然經過相同的防火墻，但是區域之間不能互通。Internet財務部開放辦公區研發中心市場出差BL2TP隧道研發出差A研發可訪問市場可訪問市場部

11、華為3Com公司的SecPath系列防火墻通過根據用戶名綁定安全區域的技術，解決了出差人員需要訪問本部的需求。當研發和市場都出差在外需要使用L2TP訪問公司內部資源的時候，根據出差人員的用戶名，LNS將用戶分別綁定到不同的區域。假設研發出差人員A的用戶名為Adevelop，市場出差人員A的用戶名為Bmarket，則研發出差人員A的L2TP隧道將被綁定到研發中心，從而和研發中心有相同的訪問權限，也能夠訪問研發中心內部資源。而市場出差人員B的L2TP隧道將被綁定到市場部，從而能夠訪問市場部內部資源。不同區域之間實現安全隔離華為3Com公司的SecPath系列防火墻同時還解決了一個安全問題，即L2T

12、P隧道之間的安全隔離。雖然前面通過不同的技術使出差人員、移動辦公人員能夠訪問本部的資源，并且能夠限制出差人員只能訪問內部資源。但是，如果由于兩個出差人員都和同一臺LNS建立L2TP隧道，那么就需要隔離L2TP隧道用戶之間的訪問，防止通過控制出差人員的計算機從而訪問受限制的資源。華為3Com公司的SecPath系列防火墻使用內嵌虛擬系統技術，將防火墻內L2TP隧道隔離，使L2TP隧道之間不能互訪，這是一般的路由器/防火墻不能做到的。通過L2TP隧道內部隔離，從而實現了用戶接入的安全訪問。總結信息化越來越發達，遠程接入日益普遍，各個企業對于遠程辦公，移動辦公，分支接入的需求也越來越明確，而傳統的L2TP技術在日益更新的VPN技術、安全隔離技術面前顯得力不從心，對于企業來說，需要能夠采用一種新的簡單的方式，既能夠滿足在任何地域都能夠遠程接入，能夠方便的訪問內部資源，同時也要求不合法的用戶的固定IP地址用戶互相訪問，從而達到安全的目的。為了安全，各種各樣的VPN技術、加密技術、隔離技術凸現出來，一定程度的提高了企業的安全性，但是，安全的概念越來越廣泛，各種各樣的攻擊手段越來越細化，任何一個細小的角落如果不