L2TP多實例實現(xiàn)遠程接入安全隔離

L2TP多實例實現(xiàn)遠程接入安全隔離L2TP多實例實現(xiàn)遠程接入安全隔離L2TP多實例實現(xiàn)遠程接入安全隔離L2TP多實例實現(xiàn)遠程接入安全隔離編制僅供參考審核批準生效日期地址：電話：傳真:郵編:L2TP多實例實現(xiàn)遠程接入安全隔離概述MPLSVPN應用L2TP缺陷在現(xiàn)有的IPVPN組網(wǎng)方案中，很多企業(yè)，政府機構，事業(yè)單位，其分支機構、下屬單位和總部互連都使用了MPLSVPN功能，從而實現(xiàn)在公有網(wǎng)絡上構建屬于自己的VPN，同時能夠實現(xiàn)安全隔離，其典型的組網(wǎng)圖如下：MPMPLSCOREVPN-1總部VPN-2總部RouterVPN-1分支機構RouterCoreRouterRouterVPN-2分支機構L2TP-LNSINTERNETVPN-1出差人員VPN-2出差人員L2TP隧道此應用中，VPN-1和VPN-2都使用作為總部的地址段，并且使用作為分部的地址段。這樣，VPN-1和VPN-2的地址是重疊的，但是由于MPLSVPN的存在，VPN-1和VPN-2并不會互相訪問，可以保證每個VPN數(shù)據(jù)傳輸?shù)碾[秘性，同時也能夠實現(xiàn)跨地域VPN域，極大的遠程方便辦公。在一個MPLSVPN組網(wǎng)環(huán)境內，無論多少個VPN域，都可以互補影響的完成每個VPN的工作，可以實現(xiàn)分支總部之間通信的安全性。但是，如果VPN-1和VPN-2都有人員出差，需要遠程通過L2TP訪問公司內部資源，問題就暴露出來了。首先，根據(jù)L2TP協(xié)議，用戶建立L2TP隧道之后需要分配IP地址，出差人員從遠程登錄，L2TPLNS需要根據(jù)用戶的用戶名分配IP地址，但是VPN-1和VPN-2的IP地址都是一樣的，都使用作為總部IP，使用作為分支機構IP。如何針對VPN-1和VPN-2的人員分配IP地址呢其次，即使給VPN-1和VPN-2的人分配了不同的IP地址，從而區(qū)分了VPN-1和VPN-2出差人員，兩個VPN出差人員能夠分別訪問自己的公司做在的VPN，能夠訪問所在公司的內部資源。但是，由于VPN-1和VPN-2出差人員通過同一臺L2TPLNS接入，如何有效的避免VPN-1的出差人員訪問到VPN-2的資源，同時避免VPN-2的出差人員訪問到VPN-1的資源，從而有效的保護VPN的私密性，保護每個VPN的安全性，從而達到VPN安全的目的防火墻隔離和L2TP接入的沖突在很多企業(yè)/事業(yè)單位，用防火墻作為出口網(wǎng)關，同時實現(xiàn)內部區(qū)域的隔離，從而保證各個區(qū)域不同的訪問權限，通過多實例隔離區(qū)域技術，實現(xiàn)多個區(qū)域的劃分，隔離和管理。例如下圖的拓撲結構，分為總部和分支機構?？偛糠譃榱鶄€區(qū)域，分別為對外服務器所在的DMZ區(qū)域，內部服務器區(qū)域，開放辦工區(qū)，研發(fā)中心，市場部，財務部所在的內部Trust區(qū)域。分支機構也有開放辦工區(qū)，研發(fā)中心，財務部，市場部。從安全的角度講，區(qū)域的劃分需要細致，權限需要嚴格，所以，每個區(qū)域的訪問權限有不同的設置：InternetInternetUntrust區(qū)域Trust區(qū)域DMZ區(qū)域財務部開放辦公區(qū)研發(fā)中心市場部內部服務器對外服務器分支機構（包括開放辦工區(qū)，研發(fā)中心，財務部，市場部）出差人員L2TP隧道總部拓撲1. 財務部要求只能訪問內部服務器，不能訪問internet，也不能訪問其他內部區(qū)域，包括開放辦工區(qū)，研發(fā)中心，市場部，DMZ區(qū)域。同時，總部和分支機構的財務部在同一個隔離區(qū)域內可以互訪，并且分支機構的財務部和總部的財務部具有相同的權限，也只能訪問內部服務器。2. 開放辦公區(qū)只能訪問DMZ區(qū)域和internet，不能訪問內部服務器，也不能訪問其他辦公區(qū)域，但是總部和分支機構的開放辦公區(qū)在同一個隔離區(qū)域內可以互訪。3. 市場部能夠訪問內部服務器，DMZ區(qū)域和internet，但是不能訪問其他內部區(qū)域，包括開放辦工區(qū)，研發(fā)中心，財務部。但是總部和分支機構的市場部在同一個隔離區(qū)域內可以互訪。4. 研發(fā)中心只能夠訪問內部服務器，DMZ區(qū)域，不能訪問internet，分支的研發(fā)中心也要求能夠訪問內部服務器，DMZ區(qū)域。并且要求總部和分支的研發(fā)中心在同一個隔離區(qū)域內可以互訪。這種應用能夠精確的實現(xiàn)區(qū)域分級管理，能夠保證內部信息的安全，并且能夠有效的控制數(shù)據(jù)的擴散，達到安全的目的。但是，如果有公司人員出差，并且通過L2TP隧道訪問公司本部資源，并且，為了安全考慮，每個部門的出差人員具有和在公司內部門訪問相同的權限，例如，研發(fā)員工出差能夠訪問內部服務器，DMZ區(qū)域和研發(fā)中心，而市場部員工出差可以通過L2TP隧道訪問內部服務器，DMZ區(qū)域和internet，以及公司內部的市場部。如果使用普通的防火墻，其L2TP功能有限，雖然可以根據(jù)不同用戶分配不同的IP地址，但是不能有效控制出差人員訪問各自所在的隔離區(qū)域，例如讓研發(fā)出差人員可以訪問研發(fā)部區(qū)域，而不能訪問市場部和財務部的區(qū)域。解決方案華為3Com公司的SecPath系列防火墻通過L2TP多實例技術完美的解決了以上問題。SecPath系列防火墻通過在L2TP協(xié)議上加入多實例技術，讓L2TP支持在一臺設備、一個網(wǎng)絡上，通過軟件，將不同的用戶劃分在不同的域，每個域和MPLS的VPN、防火墻的內部域連通，即具有了和內部區(qū)域、VPN相同的權限，同時也能夠保證訪問到合法的資源。L2TP多實例的關鍵技術如下：根據(jù)用戶名分配不同IP華為3Com公司的SecPath系列防火墻Internet出差人員L2TP隧道可以根據(jù)用戶名分配不同的IP地址。當用戶使用L2TP隧道，需要驗證用戶名和密碼，根據(jù)用戶名，可以分配給用戶不同的IP地址。例如，同時有兩個用戶申請使用L2TP隧道，并且需要分配IP地址。用戶甲屬于北京某企業(yè)，用戶乙屬于上海某企業(yè)。在他們的用戶名上，分別帶有公司所在城市的域名，例如用戶甲的用戶名為A@beijing，而用戶乙的用戶名為B@shanghai。在L2TPLNS側，根據(jù)用戶名，將分配給Internet出差人員L2TP隧道根據(jù)用戶名綁定MPLSVPNMPLSCOREVPN-2總部RouterCoreRouterL2TP-LNSINTERNETVPN-1出差人員MPLSCOREVPN-2總部RouterCoreRouterL2TP-LNSINTERNETVPN-1出差人員AVPN-2出差人員BL2TP隧道VPN-1總部我們假設VPN-1的出差人員A有用戶名A@VPN-1，而VPN-2的出差人員B有用戶名B@VPN-2，當A建立L2TP隧道時，LNS設備需要根據(jù)用戶名A@VPN-1，將A的IP地址綁定到MPLSVPN-1，即出差人員A所有的訪問將在MPLSVPN-1種進行。而B建立L2TP隧道時，將被綁定到MPLSVPN-2，從而實現(xiàn)A，B的隔離，并且保證了A，B能夠通過MPLSVPN訪問公司內部的資源。根據(jù)用戶名綁定安全區(qū)域為了實現(xiàn)安全隔離，公司作了區(qū)域隔離，使研發(fā)部和市場部不能互訪。將研發(fā)劃分為一個區(qū)域，同時將市場部劃分為另外一個區(qū)域，兩個區(qū)域雖然經(jīng)過相同的防火墻，但是區(qū)域之間不能互通。`InternetInternet財務部開放辦公區(qū)研發(fā)中心市場出差BL2TP隧道研發(fā)出差A研發(fā)可訪問市場可訪問市場部華為3Com公司的SecPath系列防火墻通過根據(jù)用戶名綁定安全區(qū)域的技術，解決了出差人員需要訪問本部的需求。當研發(fā)和市場都出差在外需要使用L2TP訪問公司內部資源的時候，根據(jù)出差人員的用戶名，LNS將用戶分別綁定到不同的區(qū)域。假設研發(fā)出差人員A的用戶名為A@develop，市場出差人員A的用戶名為B@market，則研發(fā)出差人員A的L2TP隧道將被綁定到研發(fā)中心，從而和研發(fā)中心有相同的訪問權限，也能夠訪問研發(fā)中心內部資源。而市場出差人員B的L2TP隧道將被綁定到市場部，從而能夠訪問市場部內部資源。不同區(qū)域之間實現(xiàn)安全隔離華為3Com公司的SecPath系列防火墻同時還解決了一個安全問題，即L2TP隧道之間的安全隔離。雖然前面通過不同的技術使出差人員、移動辦公人員能夠訪問本部的資源，并且能夠限制出差人員只能訪問內部資源。但是，如果由于兩個出差人員都和同一臺LNS建立L2TP隧道，那么就需要隔離L2TP隧道用戶之間的訪問，防止通過控制出差人員的計算機從而訪問受限制的資源。華為3Com公司的SecPath系列防火墻使用內嵌虛擬系統(tǒng)技術，將防火墻內L2TP隧道隔離，使L2TP隧道之間不能互訪，這是一般的路由器/防火墻不能做到的。通過L2TP隧道內部隔離，從而實現(xiàn)了用戶接入的安全訪問?？偨Y信息化越來越發(fā)達，遠程接入日益普遍，各個企業(yè)對于遠程辦公，移動辦公，分支接入的需求也越來越明確，而傳統(tǒng)的L2TP技術在日益更新的VPN技術、安全隔離技術面前顯得力不從心，對于企業(yè)來說，需要能夠采用一種新的簡單的方式，既能夠滿足在任何地域都能夠遠程接入，能夠方便的訪問內部資源，同時也要求不合法的用戶的固定IP地址用戶互相訪問，從而達到安全的目的。為了安全，各種各樣的VPN技術、加密技術、隔離技術凸現(xiàn)出來，一定程度的提高了企業(yè)的安全性，但是，安全的概念越來越廣泛，各種各樣的攻擊手段越來越細化，任何一個細小的角落如