實現VPDN廣域網通信

2019-11-04 20:27:58

字體：大中小

來源：轉載

供稿：網友

　　電信的163撥號上網分布范圍廣泛，利用該網可輕松實現全省、全國遠程終端聯網。但互聯網安全性很差，通過L2TP Over ipSec技術在互聯網上建立安全保密的VPDN專用數據通道，可以有效解決通信安全問題，使VPDN成為行之有效的廣域網通信方案。
　　
　　廣東某營業中心的業務要求與遍布省城鄉各地的數千個遠程終端通信。它們利用L2TP Over IPSec實現的VPDN的廣域網通信方式，實現了中心與數千個遠程終端的實時連接，這在全國還是首例。本文簡述VPDN的實現，并分析其性能，非凡是安全性。
　　
　　一、幾種廣域網實現方案比較
　　
　　采用傳統的廣域網組網方式，如PSTN或ISDN撥號方式、專線、X.25分組等，有的費用昂貴，有的需要增加相應的撥號設備，有的速度不能滿足要求。
　　
　　電信的163撥號上網分布范圍廣泛，在廣東省內的容量可達數十萬用戶。利用該網可輕松實現全省遠程終端聯網，但互聯網安全性很差，通過L2TP Over IPSec技術在互聯網上建立安全保密的VPDN專用數據通道，可以有效解決通信安全問題，使VPDN成為行之有效的廣域網通信方案。
　　
　　二、L2TP Over IPSec VPDN的實現
　　
　　L2TP是VPDN的要害技術，被Cisco 和其他廠商廣泛認可。它結合了Cisco的 Layer 2 Forwarding (L2F) 和微軟的 Point-to-Point Tunneling PRotocol (P2TP)優點，目前應用比較廣泛。L2TP隧道協議為專用網通信在互聯網上形成一個專用隧道。但L2TP隧道協議對所傳送數據沒有加密功能，要在互聯網安全傳送數據，必須使用加密機制。IPSec(IP Security)協議是一組開放協議的總稱，IKE(Internet Key Exchange)是互聯網自動交換密鑰的協議，IPSec通過ISAKMP（Internet Security Association & Key Management Protocol），使用IKE進行協議及算法的協商，并采用由 IKE 生成的密碼來加密和驗證。系統實現如圖所示。
　　實現VPDN廣域網通信

　　中心系統的路由器作為L2TP的網絡服務器LNS（L2TP Network Server），并且負責IPSec本地端。中心路由器選用Cisco 7120路由器，每臺可支持2000個IPSec加密的L2TP會話連接。每個地市利用原來的一個163撥號訪問服務器，作為L2TP的訪問集中器（L2TP access Concentrator ），LAC 同時作為網絡接入服務器 NAS（Network Access Server），它用于為用戶通過 PSTN/ISDN 提供網絡接入服務，也是IPSec的遠程端。NAS一般為Cisco 5800，可支持1300以上端口同時訪問。
　　
　　NAS和LNS之間建立加密的L2TP Over IPSec 通道，而遠程終端至NAS之間則采用普通的PPP連接。這樣做的主要優點是遠程終端設備簡化，只需具備PPP撥號設備；缺點是遠程終端至NAS這一段沒有加密保護，但電話網這一段的不安全因素對系統影響不大。
　　
　　RADIUS認證服務器是系統要害部分。遠程終端向當地的NAS發起PPP呼叫后，其用戶名采用X@Y形式，其中Y為域名，RADIUS收到營業終端的用戶名后，解析域名Y，判定為合法域名后，發給NAS相應L2TP控制參數，NAS收到RADIUS的信息后立即利用這些信息與LNS建立隧道，或利用已建立的隧道建立會話。利用這種機制，多種不同業務可以使用同一電話號碼接入，用域名區分各種不同的業務。
　　
　　訪問服務器配置要點：IPSec支持AH和ESP兩種封裝方式。兩者都可保證數據完整性，防止replay攻擊，不同的是ESP提供了對數據報頭的加密，因而更為安全，在本系統只采用ESP封裝。
　　
　　中心路由器配置要點：因為IPSec為點到點加密方式，而LNS對NAS為一點到多點，在廣域網口上只能有一個Crypto Map Set ，所以在其上必須設置多個入口，每一個對應一個地市NAS。另一點是訪問列表的設置。L2TP隧道的實現方式是每個遠程終端到中心的連接在LNS廣域網串口上形成一個虛擬接入，所以訪問列表必須分為兩級，一級加在廣域網串口上，用于防止直接通過互聯網的攻擊，第二級加在虛擬連接上。
　　
　　三、通信系統性能分析及其安全性
　　
　　1. 通信系統可用性
　　
　　VPDN網絡與原來的163網絡使用相同的網絡設施。在中心方面，一臺7120路由器具備處理50M加密數據流的能力，支持2000路加密隧道會話，可以根據需要增加專線帶寬，不存在帶寬瓶頸問題。
　　
　　2. 通信系統的可靠性
　　
　　任何一個地市到中心都有兩條以上的路由，要害設備，如RADIUS服務器都有2～3個異地備份。分析以及試運行都表明，VPDN通信系統與互聯網一樣可靠。
　　
　　3. 電話網的安全問題
　　
　　理想的加密方式是從營業終端開始直接到LNS加密，但這樣會使營業終端的計算機系統復雜化。本系統不采用此方案。電話網可能存在安全問題，特點是要求入侵者必須在當地電話線路上做手腳，這對一般黑客難度很大，而且不論在電話線路上怎么做，都不能破壞整個VPDN通信網絡。
　　
　　4. 通過互聯網攻擊
　　
　　通過互聯網攻擊，第一步是在省外出口加上訪問列表，使本中心路由器的地址只對省內可見，這樣，外地黑客不可能進入通信網絡，中心只須應付省內黑客的攻擊。另外，本系統在路由器廣域網串口上加上訪問列表，只答應L2TP、IPSec數據包通過，黑客不可能通過常規入侵手段入侵系統。可能的攻擊手段如下：
　　
　　（1）網絡竊聽，黑客將獲得IPSec數據包
　　
　　要竊聽該數據，黑客必須解除DES56加密算法。而以目前計算能力，解除DES56密碼需要高檔小型計算機運算10小時以上，本系統IPSec每1小時自動更換密碼，對于一般的黑客，不可能及時破解DES56。
　　
　　（2）偽造、重發數據包
　　
　　IPSec在數據包發送前對報頭和信息內容用md5-HMAC進行了單向信息摘要和加密。通過檢查信息摘要的內容，可以防止偽造和重發信息。
　　
　　（3）入侵系統
　　
　　因為廣域網接口嚴格限制了通過數據的類型，只答應專門業務有關的數據通過，黑客很難侵入系統。
　　
　　(4) DoS攻擊
　　
　　這類攻擊，如SYN Flooding等攻擊手段，由路由器之后的防火墻負責檢測。
　　
　　在建立了省內的VPDN虛擬專用網絡、采用L2TP Over IPSec VPDN技術之后，用戶以公網的價格，獲得專用網的服務。

上一篇：3Com無線教學解決方案

下一篇：大樓內無線解決方案