技術領域

本發明涉及通信技術領域，尤其涉及一種L2TP?over?IPSEC遠程接入的方法及裝置。

背景技術

移動辦公用戶通過Internet接入企業內部網，過去主要基于L2TP(二層隧道協議)實現。但L2TP本身沒有為通信提供任何形式的安全保護，因此這種結構的VPN(虛擬專用網)存在著安全隱患。RFC3193定義了IPSEC(IP安全協議)保護L2TP的方法，通過L2TP與IPSEC的融合，結合了L2TP在認證以及IPSEC在安全方面的優勢，成為了一種被廣泛實用的遠程接入方案。

RFC3715和RFC3948分別定義了IPSEC?NAT(網絡地址轉換)穿越時ISAKMP(互聯網安全連接和密鑰管理協議)協商流程和ESP(封裝安全載荷)報文的UDP(用戶數據包協議)封裝方式，允許位于NAT之后的私網IPSEC設備與公網IPSEC設備建立安全通道。其主體思想是在ESP報文前封裝協議號為4500的UDP包頭，以解決ESP報文不能被NAPT(網絡地址端口轉換)的問題。

NAT穿越可以分為兩種模式：隧道模式和傳輸模式。附圖1為隧道模式下NAT穿越報文處理流程示意圖，對于隧道模式，由于其在加密時保存了原始IP頭，報文整體被還原。附圖2為傳輸模式下NAT穿越報文處理流程示意圖，對于傳輸模式，報文的源地址被NAT為公網地址，而其余字段不變。

遠程接入用戶通過L2TP?over?IPSEC客戶端接入到公司總部時，IPSEC工作于傳輸模式。對于位于公網或PPPOE(以太網上點到點協議)撥號獲取公網地址的用戶，不存在問題。但對于NAPT之后的私網地址擁有者，可能存在不同私有網絡的私網地址重疊，同一私有網絡多個遠程接入用戶NAPT后共用一個公網地址的情況。此時，NAT穿越后的數據報文到達IPSEC網關后，會存在地址沖突的情況。例如附圖3所示，client(用戶)A和client?B經過NAT穿越后的數據報文到達IPSEC后，地址均為211.1.1.1，1701。

發明內容

鑒于上述的分析，本發明旨在提供一種L2TP?over?IPSEC遠程接入的方法及裝置，用以解決現有技術中當NAT穿越后的數據報文到達IPSEC網關后，存在的地址沖突的問題。

本發明的目的是通過以下技術方案實現的：

本發明提供了一種L2TP?over?IPSEC遠程接入的方法，設置LNS模塊與IPSEC模塊分離，所述方法包括：

步驟A：IPSEC模塊提供用于遠程接入的安全策略模式，并配置所述安全策略模式用于L2TP?over?IPSEC遠程接入；

步驟B：當IPSEC模塊確認有L2TP?over?IPSEC遠程接入時，建立并維護IP安全協議安全策略數據庫；

步驟C：IPSEC將公網地址和公網端口號作為安全策略數據庫的索引關鍵字，對通過L2TP?over?IPSEC遠程接入的報文進行封裝或解封裝，并進行路由轉發。

進一步地，所述步驟A具體包括：

提供用于遠程接入的安全策略模式，在所述安全策略模式下，提供命令，配置該安全策略模式用于L2TP?over?IPSEC，或者，默認以L2TP?over?IPSEC方式運行。

進一步地，所述步驟B具體包括：

當進行L2TP?over?IPSEC接入時，發起互聯網密鑰交換協商；

判斷是否是L2TP?over?IPSEC遠程接入，當確認為L2TP?over?IPSEC接入時，判斷是否經過網絡地址轉換穿越，如果是，根據用戶的公網地址和公網端口號建立并維護IP安全協議安全策略數據庫，否則，根據網絡地址轉換后的公網地址和公網端口號建立并維護IP安全協議安全策略數據庫；

將公網地址和公網端口號作為安全策略數據庫的索引關鍵字，指向協商出的安全聯盟。

其中，所述判斷是否是L2TP?over?IPSEC遠程接入的過程具體包括：

根據虛擬局域網標識和流量選擇符判斷是否是判斷是否是L2TP?over?IPSEC遠程接入。

進一步地，所述步驟C中的路由轉發包括：按照呼入方向進行路由轉發、按照流量返回方向進行路由轉發。

當按照呼入方向進行路由轉發時，所述步驟C具體包括：

根據安全參數索引查找到安全聯盟；

判斷是否經過網絡地址轉換穿越，當確認經過網絡地址轉換穿越后，剝離報文的用戶數據包協議封裝，并解密報文，然后用公網源端口號替換報文的用戶數據包協議源端口號；