L2TP多实例实现远程接入安全隔离

1、L2TP多实例实现远程接入安全隔绝概括1.1MPLSVPN应用L2TP缺点在现有的IPVPN组网方案中，好多公司，政府机构，事业单位，其分支机构、部下单位和总部互连都使用了MPLSVPN功能，进而实此刻公有网络上建立属于自己的VPN，同时能够实现安全隔绝，其典型的组网图以下：RouterRouter10.1.1.*10.1.1.*CoreRouterVPN-2总部VPN-1总部MPLSCOREL2TP-LNSRouterVPN-1分支L2TP地道机构INTERNET10.1.2.*VPN-2分支机构10.1.2.*VPN-1出差VPN-2出差人员人员此应用中，VPN-1和VPN-2都使用10.

2、1.1.*作为总部的地址段，而且使用10.1.2.*作为分部的地址段。这样，VPN-1和VPN-2的地址是重叠的，可是因为MPLSVPN的存在，VPN-1和VPN-2其实不会相互接见，能够保证每个VPN数据传输的秘密性，同时也能够实现跨地区VPN域，极大的远程方便办公。在一个MPLSVPN组网环境内，无论多少个VPN域，都能够互补影响的达成每个VPN的工作，能够实现分支总部之间通讯的安全性。可是，假如VPN-1和VPN-2都有人员出差，需要远程经过L2TP接见公司内部资源，问题就裸露出来了。第一，依据L2TP协议，用户成立L2TP地道以后需要分派IP地址，出差人员从远程登录，L2TPLNS需要

3、依据用户的用户名分派IP地址，可是VPN-1和VPN-2的IP地址都是同样的，都使用10.1.1.*作为总部IP，使用10.1.2.*作为分支机构IP。怎样针对VPN-1和VPN-2的人员分派IP地址呢？其次，即便给VPN-1和VPN-2的人分派了不一样的IP地址，进而区分了VPN-1和VPN-2出差人员，两个VPN出差人员能够分别接见自己的公司做在的VPN，能够接见所在公司的内部资源。可是，因为VPN-1和VPN-2出差人员经过同一台L2TPLNS接入，怎样有效的防止VPN-1的出差人员接见到VPN-2的资源，同时防止VPN-2的出差人员接见到VPN-1的资源，进而有效的保护VPN的私密性，

4、保护每个VPN的安全性，进而达到VPN安全的目的？1.2防火墙隔绝和L2TP接入的矛盾在好多公司/事业单位，用防火墙作为出口网关，同时实现内部地区的隔绝，进而保证各个地区不一样的接见权限，经过多实例隔绝地区技术，实现多个地区的区分，隔绝和管理。比以下列图的拓扑构造，分为总部和分支机构。总部分为六个地区，分别为对外服务器所在的DMZ地区，内部服务器地区，开放办工区，研发中心，市场部，财务部所在的内部Trust地区。分支机构也有开放办工区，研发中心，财务部，市场部。从安全的角度讲，地区的区分需要仔细，权限需要严格，因此，每个地区的接见权限有不一样的设置：总部拓扑对外服务器DMZ地区Untrust地

5、区内部服务器Trust地区财务开放办研发市场部公区中心部分支机构（包含开放办工区，研发中心，财务部，市场部）InternetL2TP地道出差人员1.财务部要求只好接见内部服务器，不可以接见internet，也不可以接见其余内部地区，包含开放办工区，研发中心，市场部，DMZ地区。同时，总部和分支机构的财务部在同一个隔绝地区内能够互访，而且分支机构的财务部和总部的财务部具有同样的权限，也只好接见内部服务器。开放办公区只好接见DMZ地区和internet，不可以接见内部服务器，也不可以接见其余办公地区，可是总部和分支机构的开放办公区在同一个隔绝地区内能够互访。市场部能够接见内部服务器，DMZ地区和i

6、nternet，可是不可以接见其余内部地区，包含开放办工区，研发中心，财务部。可是总部和分支机构的市场部在同一个隔绝地区内能够互访。研发中心只好够接见内部服务器，DMZ地区，不可以接见internet，分支的研发中心也要求能够接见内部服务器，DMZ地区。而且要求总部和分支的研发中心在同一个隔绝地区内能够互访。这类应用能够精准的实现地区分级管理，能够保证内部信息的安全，而且能够有效的控制数据的扩散，达到安全的目的。可是，假如有公司人员出差，而且经过L2TP地道接见公司本部资源，而且，为了安全考虑，每个部门的出差人员拥有和在公司内部门接见同样的权限，比如，研发职工出差能够接见内部服务器，DMZ地区

7、和研发中心，而市场部职工出差能够经过L2TP地道接见内部服务器，DMZ地区和internet，以及公司内部的市场部。假如使用一般的防火墙，其L2TP功能有限，虽然能够依据不一样用户分派不一样的IP地址，可是不可以有效控制出差人员接见各自所在的隔绝地区，比如让研发出差人员能够接见研发部地区，而不可以接见市场部和财务部的地区。解决方案华为3Com公司的SecPath系列防火墙经过L2TP多实例技术完满的解决了以上问题。SecPath系列防火墙经过在L2TP协议上加入多实例技术，让L2TP支持在一台设备、一个网络上，经过软件，将不一样的用户区分在不一样的域，每个域和MPLS的VPN、防火墙的内部域连

8、通，即拥有了和内部地区、VPN同样的权限，同时也能够保证访问到合法的资源。L2TP多实例的重点技术以下：2.1依据用户名分派不一样IP华为3Com公司的SecPath系列防火墙能够依据用户名分派不一样的IP地址。当用户使用L2TP地道，需要考证用户名和密码，依据用户名，能够分派给用户不一样的IP地址。比如，同时有两个用户申请使用L2TP地道，而且需要分派IP地址。用户甲属于北InternetL2TP地道出差人员京某公司，用户乙属于上海某公司。在他们的用户名上，分别带有公司所在城市的域名，比如用户甲的用户名为Abeijing，而用户乙的用户名为Bshanghai。在L2TPLNS侧，依据用户名，

9、将分派给用户甲一个192.168.0.*的地址，进而让用户甲能够自由的接见北京公司的资源，而用户乙将获取172.31.16.*的地址，进而让用户乙能够轻松接见上海公司的资源。这样，使用不一样的地址，从必定程度上实现了安全。2.2依据用户名绑定MPLSVPN在使用MPLSVPN的时候，Router10.因为每个VPN的内部地址可能10.1.1.*CoreRouterVPN-2总部是同样的，即VPN-1和VPN-2都使用10.1.1.*的地址，关于出差MPLSCORE10.1.1.*L2TP-LNS人员，都要求分派10.1.3.*的地址，这就要求LNS设施能够根L2TP地道据用户名区分用户所在的、

10、INTERNET对应MPLS的VPN。华为3ComVPN-1总部VPN-1出差VPN-2出差公司的SecPath系列防火墙可人员A人员B以经过绑定用户所在的、对应MPLS的VPN。我们假定VPN-1的出差人员A实用户名AVPN-1，而VPN-2的出差人员B实用户名BVPN-2，当A成立L2TP地道时，LNS设施需要依据用户名AVPN-1，将A的IP地址绑定到MPLSVPN-1，即出差人员A全部的接见将在MPLSVPN-1种进行。而B成立L2TP地道时，将被绑定到MPLSVPN-2，进而实现A，B的隔绝，而且保证了A，B能够经过MPLSVPN接见公司内部的资源。2.3依据用户名绑定安全地区为了实

11、现安全隔绝，公司作了地区隔绝，使研发部和市场部不可以互访。将研发区分为一个地区，同时将市场部区分为此外一个地区，两个地区固然经过同样的防火墙，可是地区之间不可以互通。研发出差A研发可接见L2TP地道Internet财务开放办市场可接见研发市场部公区中心部市场出差B华为3Com公司的SecPath系列防火墙经过依据用户名绑定安全地区的技术，解决了出差人员需要接见本部的需求。当研发和市场都出差在外需要使用L2TP接见公司内部资源的时候，依据出差人员的用户名，LNS将用户分别绑定到不一样的地区。假定研发出差人员A的用户名为Adevelop，市场出差人员A的用户名为Bmarket，则研发出差人员A的L

12、2TP地道将被绑定到研发中心，进而和研发中心有同样的接见权限，也能够接见研发中心内部资源。而市场出差人员B的L2TP地道将被绑定到市场部，进而能够接见市场部内部资源。2.4不一样地区之间实现安全隔绝华为3Com公司的SecPath系列防火墙同时还解决了一个安全问题，即L2TP地道之间的安全隔绝。固然前面经过不一样的技术使出差人员、挪动办公人员能够接见本部的资源，而且能够限制出差人员只好接见内部资源。可是，假如因为两个出差人员都和同一台LNS成立L2TP地道，那么就需要隔绝L2TP地道用户之间的接见，防备经过控制出差人员的计算机进而接见受限制的资源。华为3Com公司的SecPath系列防火墙使用

13、内嵌虚构系统技术，将防火墙内L2TP地道隔绝，使L2TP地道之间不可以互访，这是一般的路由器/防火墙不可以做到的。经过L2TP地道内部隔绝，进而实现了用户接入的安全接见。总结信息化愈来愈发达，远程接入日趋广泛，各个公司关于远程办公，挪动办公，分支接入的需求也愈来愈明确，而传统的L2TP技术在日趋更新的VPN技术、安全隔绝技术眼前显得力所不及，关于公司来说，需要能够采纳一种新的简单的方式，既能够知足在任何地区都能够远程接入，能够方便的接见内部资源，同时也要求不合法的用户的固定IP地址用户相互接见，进而达到安全的目的。为了安全，各种各种的VPN技术、加密技术、隔绝技术凸现出来，必定程度的提升了公司的安全性，但是，安全的观点愈来愈宽泛，各种各种的攻击手段愈来愈细化，任何一个渺小