问题描述
企业出差用户和总部通信,使用L2TP功能建立VPN连接,总部部署为LNS对接入的用户进行认证。
当企业对数据和网络的安全性要求较高时,要求出差用户需要向总部传输高机密信息,L2TP无法为报文传输提供足够的保护。
解决方案
这时可以和 IPSec 功能结合使用,保护传输的数据,有效避免数据被截取或攻击。
/VPN,_Virtual_Private_Network/1996_Layer_2_Tunneling_Protocol_(L2TP)/4.Extensions_to_Protocol/L2TP_over_IPSec/pasted_image001.png)
在出差用户的PC终端上运行拨号软件,将数据报文先进行L2TP封装,再进行IPSec封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式IPSec功能会对所有源地址为LAC、目的地址为LNS的报文进行保护。
关于 L2TP 与 IPSec 关系
首先,我们需要明确 IPSec 与 L2TP 间没有必然关系:
1)没有 IPSec 依旧能够实现 L2TP 隧道;
2)没有 L2TP 依旧能够使用 IPSec 来搭建 VPN 隧道;
在 L2TP over IPSec(L2TP/IPSec)中:
1)IPSec,处于传输模式,仅负责认证及网络层数据加密(除了 IP Address 以外,之上的信息都是加密的)
2)L2TP,隧道协议,负责实现 VPN 功能;
即 IPSec 提供的是网络层的数据加密,而 VPN 功能实际上是由 L2TP 支持的。也就是说有没有 IPSec 都能够实现 VPN 功能的。
如果不使用 IPSec 加密,就表示我们放弃安全和数据保密。我们的数据在网络中是以“明文”传输的(说“明文”也不准确,数据能否被解码还要看上层所使用的协议)
如果使用 IPSec 加密,即使数据被监听,也不会被发现网络层中的数据信息(有几种情况例外)。而且 IPSec 也可以单独使用
参考文献
RFC 3193/Securing L2TP using IPsec
Wikipedia/Layer 2 Tunneling Protocol/L2TP/IPsec