【正文】 議 ? L2TP： ? Layer Two Tunneling Protocol（第二層隧道協(xié)議），由 RFC 2661定義。 ? L2TP是由 Cisco、 Ascend、 Microsoft等公司在 1999年聯(lián)合制定的，已經(jīng)成為二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)，并得到了眾多網(wǎng)絡(luò)廠商的支持。 ? L2TP隧道協(xié)議可用于 Inter，也可用于其他企業(yè)專用Intra中。 ? LAC： ? L2TP Access Concentrator（ L2TP訪問集中器），是附屬在交換網(wǎng)絡(luò)上的具有 PPP端系統(tǒng)和 L2TP協(xié)議處理能力的設(shè)備，它為用戶通過 PSTN/ISDN 提供網(wǎng)絡(luò)接入服務(wù)。 ? LNS： ? L2TP Network Server（ L2TP網(wǎng)絡(luò)服務(wù)器），是 PPP端系統(tǒng)上用于處理 L2TP協(xié)議服務(wù)器端部分的軟件。在傳統(tǒng)的 PPP連接中，用戶撥號(hào)連接的終點(diǎn)是 LAC， L2TP使得 PPP協(xié)議的終點(diǎn)延伸到 LNS。 ? PPP幀的有效載荷即 用戶傳輸數(shù)據(jù) ，可以經(jīng)過 加密 和 /或 壓縮 ? 需要指出的是，與 PPTP不同，在 Windows 2023中， L2TP客戶機(jī)不采用 MPPE對(duì) L2TP連接進(jìn)行加密， L2TP連接的加密 由 IPSec ESP提供。與 PPTP不同， L2TP不是通過 TCP協(xié)議來進(jìn)行隧道維護(hù)，而是采用UDP協(xié)議。 L2TP協(xié)議控制報(bào)文（續(xù)） L2TP協(xié)議數(shù)據(jù)報(bào)文 ? L2TP隧道維護(hù)控制報(bào)文和隧道化用戶傳輸數(shù)據(jù)具有相同的包格式。 L2TP數(shù)據(jù)發(fā)送端的發(fā)送處理過程 ? 1） L2TP封裝 ：初始 PPP有效載荷如 IP數(shù)據(jù)報(bào)、 IPX數(shù)據(jù)報(bào)或NetBEUI幀等首先經(jīng)過 PPP報(bào)頭和 L2TP報(bào)頭的封裝。 ? 3） IPSec封裝 ：基于 IPSec安全策略， UDP報(bào)文通過添加IPSec封裝安全負(fù)載 ESP報(bào)頭、報(bào)尾和 IPSec認(rèn)證報(bào)尾，進(jìn)行IPSec加密封裝。 ? 5）數(shù)據(jù)鏈路層封裝 ：數(shù)據(jù)鏈路層封裝是 L2TP幀多層封裝的最后一層，依據(jù)不同的物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。 ? 2）處理并去除 IP報(bào)頭。 ? 4）用 IPSec ESP報(bào)頭對(duì)數(shù)據(jù)報(bào)的加密部分進(jìn)行解密。 ? 6） L2TP協(xié)議依據(jù) L2TP報(bào)頭中 Tunnel ID和 Call ID分解出某條特定的 L2TP隧道。 PPTP與 L2TP的比較 ? 1） PPTP要求互聯(lián)網(wǎng)絡(luò)為 IP網(wǎng)絡(luò)， L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)的連接 ? L2TP可以在 IP（使用 UDP）、幀中繼永久虛擬電路（ PVCs）、（ VCs）或 ATM VCs網(wǎng)絡(luò)上使用。 ? 3） L2TP可以提供包頭壓縮 ? 當(dāng)壓縮包頭時(shí)，系統(tǒng)開銷占用 4個(gè)字節(jié)，而 PPTP協(xié)議下要占用 6個(gè)字節(jié)。 四、第三層隧道協(xié)議 — GRE ? GRE— Generic Routing Encapsulation（通用路由封裝協(xié)議） ? 由 Cisco和 NetSmiths公司于 1994年提交給 IETF，標(biāo)號(hào)為 RFC 1701和 RFC 1702。 ? GRE支持全部的路由協(xié)議（如 RIP OSPF等）， 用于在IP包中封裝任何協(xié)議的數(shù)據(jù)包 ，包括 IP、 IPX、 NetBEUI、AppleTalk、 Banyan VINES、 DEC等。 GRE報(bào)文 利用 GRE實(shí)現(xiàn) VPN GRE協(xié)議的優(yōu)點(diǎn) ? 1）通過 GRE，用戶 可以利用公共 IP網(wǎng)絡(luò)連接非 IP網(wǎng)絡(luò) ，如 IPX網(wǎng)絡(luò)、 AppleTalk網(wǎng)絡(luò)等。 ? 3） GRE擴(kuò)大了網(wǎng)絡(luò)的工作范圍 ，包括那些路由網(wǎng)關(guān)次數(shù)有限的協(xié)議 ? 如 IPX包最多可以轉(zhuǎn)發(fā) 16次（即經(jīng)過 16個(gè)路由器），而在一個(gè)隧道連接中看上去只經(jīng)過一個(gè)路由器。 GRE協(xié)議的缺點(diǎn) ? 1） GRE只提供了數(shù)據(jù)包的封裝，而沒有加密功能來防止網(wǎng)絡(luò)監(jiān)聽和攻擊，所以在實(shí)際環(huán)境中經(jīng)常與 IPSec一起使用。 ? 2）由于 GRE與 IPSec采用的是同樣的基于隧道的VPN實(shí)現(xiàn)方式，所以 IPSec VPN在管理、組網(wǎng)上的缺陷， GRE VPN也同樣具有。 五、 IPSEC ? IPSec協(xié)議概述 ? IPSec協(xié)議重要概念 ? IPSec安全協(xié)議 — AH ? IPSec安全協(xié)議 — ESP ? ISAKMP協(xié)議和 IKE協(xié)議 IPSec協(xié)議概述 ? IPSec（ IP Security） 是一種由 IETF設(shè)計(jì)的端到端的確保 IP層通信安全的機(jī)制。 ? IPSec是隨著 IPv6的制定而產(chǎn)生的，鑒于 IPv4的應(yīng)用仍然很廣泛，所以后來在 IPSec的制定中也增加了對(duì) IPv4的支持 ? IPSec在 IPv6中是必須支持的，而在 IPv4中是可選的。 ? IPV4 的主要安全問題有： ? 1） 竊聽： ?一般情況下 IP通信是明文形式的，第三方可以很容易地竊聽到 IP數(shù)據(jù)包并提取出其中的應(yīng)用層數(shù)據(jù)； ?“竊聽”雖然不破壞數(shù)據(jù)，卻造成了通信內(nèi)容外泄，甚至危及敏感數(shù)據(jù)的安全。 ? 作為網(wǎng)絡(luò)通信用戶，即使并非所有的通信數(shù)據(jù)都是高度機(jī)密的，也不想看到數(shù)據(jù)在傳輸過程中有任何差錯(cuò)。 ? 4） 重放攻擊： ? 搜集特定的 IP包，進(jìn)行一定的處理，然后再一一重新發(fā)送，欺騙接收方主機(jī)。 ? 保證數(shù)據(jù)來源可靠： ? 在 IPSec通信之前雙方要先用 IKE 認(rèn)證對(duì)方身份并協(xié)商密鑰，只有 IKE 協(xié)商成功之后才能通信。 IPSec的功能（續(xù)） ? 保證數(shù)據(jù)完整性 ? IPSec通過驗(yàn)證算法功能保證數(shù)據(jù)從發(fā)送方到接收方的傳送過程中的任何數(shù)據(jù)篡改和丟失都可以被檢測(cè)。 IPSec體系結(jié)構(gòu)圖 IPSec的 AH和 ESP協(xié)議 數(shù)據(jù)完整性驗(yàn)證： Hash函數(shù)產(chǎn)生的驗(yàn)證碼 數(shù)據(jù)源身份認(rèn)證：計(jì)算驗(yàn)證碼時(shí)加入共享會(huì)話密鑰 防重放攻擊：在 AH報(bào)頭中加入序列號(hào) 封裝安全 載荷 (ESP)： 除上述三種服務(wù)， 還能夠數(shù)據(jù)加密 兩臺(tái)主機(jī)之間 兩臺(tái)安全網(wǎng)關(guān)之間 主機(jī)與安全網(wǎng)關(guān)之間 鑒別頭 (AH) AH和 ESP可 單獨(dú) /嵌套使用 IPSec協(xié)議重要概念 ? 1）解釋域（ DOI） ? 2）安全聯(lián)盟（ SA）和安全聯(lián)盟數(shù)據(jù)庫(kù)（ SAD） ? 3）安全策略（ SP）和安全策略數(shù)據(jù)庫(kù)（ SPD） ? 4）傳輸模式和隧道模式 解釋域（ DOI） ? DOI： Domain of Interpretation ? 為使用 IKE 進(jìn)行協(xié)商 SA 的協(xié)議統(tǒng)一分配標(biāo)識(shí)符。 安全聯(lián)盟（ SA） ? SA（ Security Association，安全聯(lián)盟） 是構(gòu)成 IPSec的基礎(chǔ)，它是兩個(gè) IPSec實(shí)體（主機(jī)、安全網(wǎng)關(guān)）之間經(jīng)過協(xié)商建立起來的一種協(xié)定。 ? SA是單向的 ： 進(jìn)入 SA負(fù)責(zé)處理接收到的數(shù)據(jù)包， 外出 SA負(fù)責(zé)處理要發(fā)送的數(shù)據(jù)包 ? 每個(gè)通信方 必須要有兩種 SA，一個(gè)進(jìn)入 SA，一個(gè)外出 SA，這兩個(gè) SA構(gòu)成了一個(gè) SA束（ SA Bundle） 。 ? 手工維護(hù)容易出錯(cuò)，而且手工建立的 SA沒有生存周期限制，一旦建立了就不會(huì)過期（除非手工刪除），因此有安全隱患。 ? 利用 IKE 創(chuàng)建和刪除 SA，不需要管理員手工維護(hù)，而且 SA 有生命期。 SA的標(biāo)識(shí) ? 每個(gè) SA由三元組 （ SPI、源 /目的 IP地址、 IPSec協(xié)議） 惟一標(biāo)識(shí)，含義如下： ? SPI（ Security Parameter Index，安全參數(shù)索引）： 32位的安全參數(shù)索引，用于標(biāo)識(shí)同一個(gè)目的地的 SA。 ? 對(duì)于外出數(shù)據(jù)包，指目的 IP地址；對(duì)于進(jìn)入 IP包，指源 IP地址。 安全聯(lián)盟數(shù)據(jù)庫(kù)（ SAD） ? SAD（ Security Association Database，安全聯(lián)盟數(shù)據(jù)庫(kù)）是將所有的 SA以某種數(shù)據(jù)結(jié)構(gòu)集中存儲(chǔ)的一個(gè)列表。 ? 對(duì)于進(jìn)入的流量，如果需要進(jìn)行 IPSec處理，IPSec將從 IP包中得到三元組，并利用這個(gè)三元組在 SAD中查找一個(gè) SA。 ? SA剛建立時(shí)，該字段值設(shè)置為 0，每次用 SA保護(hù)完一個(gè)數(shù)據(jù)包時(shí)，就把序列號(hào)的值遞增 1，對(duì)方利用這個(gè)字段來檢測(cè)重放攻擊。 ? 2）對(duì)方序號(hào)溢出標(biāo)志 ? 標(biāo)識(shí)序號(hào)計(jì)數(shù)器是否溢出。 ? 3）抗重放窗口 ? 32位計(jì)數(shù)器，用于決定進(jìn)入的 AH或 ESP數(shù)據(jù)包是否為重發(fā)的。 SA的主要內(nèi)容（續(xù)） ? 4） AH驗(yàn)證算法、密鑰等。 ? 6） ESP驗(yàn)證算法、密鑰等。 ? 生存期的衡量可以用時(shí)間也可以用傳輸?shù)淖止?jié)數(shù)，或?qū)⒍咄瑫r(shí)使用。 ? 8）運(yùn)行模式：傳輸模式還是隧道模式。 安全策略（ SP） ? SP（ Security Policy，安全策略） 指示對(duì) IP數(shù)據(jù)包提供何種保護(hù)，并以何種方式實(shí)施保護(hù)。 ? IPSec還定義了用戶能以 何種粒度 來設(shè)定自己的安全策略 ? 由“選擇符”來控制粒度的大小， 不僅可以控制到 IP地址 ，還可以控制到 傳輸層協(xié)議 或者 TCP/UDP端口 等。 ? 當(dāng)要將 IP包發(fā)送出去時(shí)，或者接收到 IP包時(shí)，首先要查找 SPD來決定如何進(jìn)行處理，有 3 種可能的處理方式： ? 1）丟棄： 流量不能離開主機(jī)或者發(fā)送到應(yīng)用程序，也不能進(jìn)行轉(zhuǎn)發(fā)。 ? 3）使用 IPSec： 對(duì)流量應(yīng)用 IPSec保護(hù)，此時(shí)這條安全策略要指向一個(gè) SA。 IPSec運(yùn)行模式 ? IPSec有兩種運(yùn)行模式： ? 傳輸模式（ Transport Mode） 和 隧道模式（ Tunnel Mode） 。 IPSec傳輸模式 ? 傳輸模式 要保護(hù)的內(nèi)容是 IP包的載荷，可能是 TCP/UDP等傳輸層協(xié)議，也可能是 ICMP協(xié)議，還可能是 AH或者ESP協(xié)議（在嵌套的情況下）。 IP AH TCP IP ESP TCP IP AH TCP ESP 應(yīng)用 AH 應(yīng)用 ESP 應(yīng)用 AH+ESP IPSec傳輸模式下的報(bào)文格式的修改 U D P 頭 + U D P 數(shù) 據(jù)T C P 頭 + T C P 數(shù) 據(jù)I P 頭41 76① A H 頭65 1② E S P 頭② E S P 頭③ A H 頭5 05 065 16協(xié)議類 型字段 IPSec隧道模式 ? 隧道模式 保護(hù)的內(nèi)容是 整個(gè)原始 IP包 ? 通常情況下，只要 IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。 ? 隧道模式下， 通信終點(diǎn)由受保護(hù)的內(nèi)部 IP頭指定，而IPSec終點(diǎn)則由外部 IP頭指定 ? 如 IPSe