版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
L2TP多实例实现远程接入安全隔离L2TP多实例实现远程接入安全隔离L2TP多实例实现远程接入安全隔离L2TP多实例实现远程接入安全隔离编制仅供参考审核批准生效日期地址:电话:传真:邮编:L2TP多实例实现远程接入安全隔离概述MPLSVPN应用L2TP缺陷在现有的IPVPN组网方案中,很多企业,政府机构,事业单位,其分支机构、下属单位和总部互连都使用了MPLSVPN功能,从而实现在公有网络上构建属于自己的VPN,同时能够实现安全隔离,其典型的组网图如下:MPMPLSCOREVPN-1总部VPN-2总部RouterVPN-1分支机构RouterCoreRouterRouterVPN-2分支机构L2TP-LNSINTERNETVPN-1出差人员VPN-2出差人员L2TP隧道此应用中,VPN-1和VPN-2都使用作为总部的地址段,并且使用作为分部的地址段。这样,VPN-1和VPN-2的地址是重叠的,但是由于MPLSVPN的存在,VPN-1和VPN-2并不会互相访问,可以保证每个VPN数据传输的隐秘性,同时也能够实现跨地域VPN域,极大的远程方便办公。在一个MPLSVPN组网环境内,无论多少个VPN域,都可以互补影响的完成每个VPN的工作,可以实现分支总部之间通信的安全性。但是,如果VPN-1和VPN-2都有人员出差,需要远程通过L2TP访问公司内部资源,问题就暴露出来了。首先,根据L2TP协议,用户建立L2TP隧道之后需要分配IP地址,出差人员从远程登录,L2TPLNS需要根据用户的用户名分配IP地址,但是VPN-1和VPN-2的IP地址都是一样的,都使用作为总部IP,使用作为分支机构IP。如何针对VPN-1和VPN-2的人员分配IP地址呢其次,即使给VPN-1和VPN-2的人分配了不同的IP地址,从而区分了VPN-1和VPN-2出差人员,两个VPN出差人员能够分别访问自己的公司做在的VPN,能够访问所在公司的内部资源。但是,由于VPN-1和VPN-2出差人员通过同一台L2TPLNS接入,如何有效的避免VPN-1的出差人员访问到VPN-2的资源,同时避免VPN-2的出差人员访问到VPN-1的资源,从而有效的保护VPN的私密性,保护每个VPN的安全性,从而达到VPN安全的目的防火墙隔离和L2TP接入的冲突在很多企业/事业单位,用防火墙作为出口网关,同时实现内部区域的隔离,从而保证各个区域不同的访问权限,通过多实例隔离区域技术,实现多个区域的划分,隔离和管理。例如下图的拓扑结构,分为总部和分支机构。总部分为六个区域,分别为对外服务器所在的DMZ区域,内部服务器区域,开放办工区,研发中心,市场部,财务部所在的内部Trust区域。分支机构也有开放办工区,研发中心,财务部,市场部。从安全的角度讲,区域的划分需要细致,权限需要严格,所以,每个区域的访问权限有不同的设置:InternetInternetUntrust区域Trust区域DMZ区域财务部开放办公区研发中心市场部内部服务器对外服务器分支机构(包括开放办工区,研发中心,财务部,市场部)出差人员L2TP隧道总部拓扑1. 财务部要求只能访问内部服务器,不能访问internet,也不能访问其他内部区域,包括开放办工区,研发中心,市场部,DMZ区域。同时,总部和分支机构的财务部在同一个隔离区域内可以互访,并且分支机构的财务部和总部的财务部具有相同的权限,也只能访问内部服务器。2. 开放办公区只能访问DMZ区域和internet,不能访问内部服务器,也不能访问其他办公区域,但是总部和分支机构的开放办公区在同一个隔离区域内可以互访。3. 市场部能够访问内部服务器,DMZ区域和internet,但是不能访问其他内部区域,包括开放办工区,研发中心,财务部。但是总部和分支机构的市场部在同一个隔离区域内可以互访。4. 研发中心只能够访问内部服务器,DMZ区域,不能访问internet,分支的研发中心也要求能够访问内部服务器,DMZ区域。并且要求总部和分支的研发中心在同一个隔离区域内可以互访。这种应用能够精确的实现区域分级管理,能够保证内部信息的安全,并且能够有效的控制数据的扩散,达到安全的目的。但是,如果有公司人员出差,并且通过L2TP隧道访问公司本部资源,并且,为了安全考虑,每个部门的出差人员具有和在公司内部门访问相同的权限,例如,研发员工出差能够访问内部服务器,DMZ区域和研发中心,而市场部员工出差可以通过L2TP隧道访问内部服务器,DMZ区域和internet,以及公司内部的市场部。如果使用普通的防火墙,其L2TP功能有限,虽然可以根据不同用户分配不同的IP地址,但是不能有效控制出差人员访问各自所在的隔离区域,例如让研发出差人员可以访问研发部区域,而不能访问市场部和财务部的区域。解决方案华为3Com公司的SecPath系列防火墙通过L2TP多实例技术完美的解决了以上问题。SecPath系列防火墙通过在L2TP协议上加入多实例技术,让L2TP支持在一台设备、一个网络上,通过软件,将不同的用户划分在不同的域,每个域和MPLS的VPN、防火墙的内部域连通,即具有了和内部区域、VPN相同的权限,同时也能够保证访问到合法的资源。L2TP多实例的关键技术如下:根据用户名分配不同IP华为3Com公司的SecPath系列防火墙Internet出差人员L2TP隧道可以根据用户名分配不同的IP地址。当用户使用L2TP隧道,需要验证用户名和密码,根据用户名,可以分配给用户不同的IP地址。例如,同时有两个用户申请使用L2TP隧道,并且需要分配IP地址。用户甲属于北京某企业,用户乙属于上海某企业。在他们的用户名上,分别带有公司所在城市的域名,例如用户甲的用户名为A@beijing,而用户乙的用户名为B@shanghai。在L2TPLNS侧,根据用户名,将分配给Internet出差人员L2TP隧道根据用户名绑定MPLSVPNMPLSCOREVPN-2总部RouterCoreRouterL2TP-LNSINTERNETVPN-1出差人员MPLSCOREVPN-2总部RouterCoreRouterL2TP-LNSINTERNETVPN-1出差人员AVPN-2出差人员BL2TP隧道VPN-1总部我们假设VPN-1的出差人员A有用户名A@VPN-1,而VPN-2的出差人员B有用户名B@VPN-2,当A建立L2TP隧道时,LNS设备需要根据用户名A@VPN-1,将A的IP地址绑定到MPLSVPN-1,即出差人员A所有的访问将在MPLSVPN-1种进行。而B建立L2TP隧道时,将被绑定到MPLSVPN-2,从而实现A,B的隔离,并且保证了A,B能够通过MPLSVPN访问公司内部的资源。根据用户名绑定安全区域为了实现安全隔离,公司作了区域隔离,使研发部和市场部不能互访。将研发划分为一个区域,同时将市场部划分为另外一个区域,两个区域虽然经过相同的防火墙,但是区域之间不能互通。`InternetInternet财务部开放办公区研发中心市场出差BL2TP隧道研发出差A研发可访问市场可访问市场部华为3Com公司的SecPath系列防火墙通过根据用户名绑定安全区域的技术,解决了出差人员需要访问本部的需求。当研发和市场都出差在外需要使用L2TP访问公司内部资源的时候,根据出差人员的用户名,LNS将用户分别绑定到不同的区域。假设研发出差人员A的用户名为A@develop,市场出差人员A的用户名为B@market,则研发出差人员A的L2TP隧道将被绑定到研发中心,从而和研发中心有相同的访问权限,也能够访问研发中心内部资源。而市场出差人员B的L2TP隧道将被绑定到市场部,从而能够访问市场部内部资源。不同区域之间实现安全隔离华为3Com公司的SecPath系列防火墙同时还解决了一个安全问题,即L2TP隧道之间的安全隔离。虽然前面通过不同的技术使出差人员、移动办公人员能够访问本部的资源,并且能够限制出差人员只能访问内部资源。但是,如果由于两个出差人员都和同一台LNS建立L2TP隧道,那么就需要隔离L2TP隧道用户之间的访问,防止通过控制出差人员的计算机从而访问受限制的资源。华为3Com公司的SecPath系列防火墙使用内嵌虚拟系统技术,将防火墙内L2TP隧道隔离,使L2TP隧道之间不能互访,这是一般的路由器/防火墙不能做到的。通过L2TP隧道内部隔离,从而实现了用户接入的安全访问。总结信息化越来越发达,远程接入日益普遍,各个企业对于远程办公,移动办公,分支接入的需求也越来越明确,而传统的L2TP技术在日益更新的VPN技术、安全隔离技术面前显得力不从心,对于企业来说,需要能够采用一种新的简单的方式,既能够满足在任何地域都能够远程接入,能够方便的访问内部资源,同时也要求不合法的用户的固定IP地址用户互相访问,从而达到安全的目的。为了安全,各种各样的VPN技术、加密技术、隔离技术凸现出来,一定程度的提高了企业的安全性,但是,安全的概念越来越广泛,各种各样的攻击手段越来越细化,任何一个细小的角落如
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025年吉林货运从业资格证试题库及答案解析
- 《操作系统OS》课件
- 2025民间私人借款合同模板
- 2025临时工协议合同范本广州
- 2025山林转让合同
- 2024年航空辅助动力系统合作协议书
- 眼镜店防火门安装协议
- 广播电视设备租赁合同
- 商业街产业升级
- 临时音响市场搭建合同
- 2024三年级英语下册阅读理解课件人教精通版三起
- 2023九年级数学下册 第三章 圆7 切线长定理教案 (新版)北师大版
- 10kV架空线路专项施工方案
- 西门子燃机介绍课件学习课件
- (必会)高级美发师近年考试真题题库(含答案)
- 2024年个人工作总结政治思想方面
- 产品问题履历表
- 码头施工合同范本
- 第5课 推动高质量发展【2023年秋版】
- 2023年版《安宁疗护实践指南(试行)》解读课件
- 劳动合同违约金收取情况表
评论
0/150
提交评论