本發(fā)明公開了一種實(shí)現(xiàn)L2TP over IPsec接入的方法，應(yīng)用于LNS，包括：在與L2TP over IPsec用戶進(jìn)行IKE協(xié)商過程中確定存在NAT設(shè)備時(shí)，將用戶的私網(wǎng)IP地址和經(jīng)過NAT轉(zhuǎn)換后的公網(wǎng)IP地址作為安全策略庫的索引；接收入向IPsec加密報(bào)文并進(jìn)行解密，在確定報(bào)文為L2TP報(bào)文且經(jīng)過了NAT設(shè)備時(shí)，對(duì)用戶的私網(wǎng)IP地址進(jìn)行保存；向L2TP over IPsec接入用戶發(fā)送L2TP報(bào)文前，如查找到用戶的私網(wǎng)IP地址，則用用戶的私網(wǎng)IP地址和報(bào)文的目的IP地址作為索引去匹配安全策略庫。本發(fā)明能夠在存在NAT的組網(wǎng)中實(shí)現(xiàn)LNS對(duì)不同L2TP over IPsec接入用戶的區(qū)分。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及的是一種實(shí)現(xiàn)L2TP over IPsec接入的方法和L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server，LNS)。

背景技術(shù)

IPsec(Internet協(xié)議安全性)是IETF(Internet Engineering Task Force，Internet工程任務(wù)組)的IPsec小組建立的一組IP安全協(xié)議集。IPsec定義了在網(wǎng)絡(luò)層使用的安全服務(wù)，其功能包括數(shù)據(jù)加密、對(duì)網(wǎng)絡(luò)單元的訪問控制、數(shù)據(jù)源地址驗(yàn)證、數(shù)據(jù)完整性檢查和防止重放攻擊。

L2TP(二層隧道協(xié)議)作為一種移動(dòng)用戶接入企業(yè)內(nèi)部網(wǎng)絡(luò)的方法被廣泛應(yīng)用。但L2TP本身不提供對(duì)數(shù)據(jù)的加密保護(hù)，報(bào)文在網(wǎng)絡(luò)的傳遞過程中容易被竊取和篡改。所以在實(shí)際的應(yīng)用中，通常用IPsec來保護(hù)L2TP的協(xié)商和用戶數(shù)據(jù)。

在實(shí)際的網(wǎng)絡(luò)環(huán)境中，會(huì)存在NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)設(shè)備，NAT與IPsec存在兼容性問題。在穿越NAT時(shí)，NAT設(shè)備需要修改報(bào)文的傳輸層端口號(hào)來復(fù)用公網(wǎng)IP地址。當(dāng)報(bào)文被IPsec保護(hù)時(shí)，該操作無法進(jìn)行。IETF定義了一種IPsec報(bào)文的UDP封裝方式，其主要設(shè)計(jì)思想是在IPsec頭部之前封裝端口號(hào)為4500的UDP包頭，用于幫助IPsec報(bào)文穿越NAT設(shè)備。

IPsec對(duì)報(bào)文的封裝有兩種模式，隧道模式和傳輸模式。隧道模式對(duì)IP頭部和有效負(fù)載進(jìn)行加密，并在之前新增一個(gè)IP頭部的封裝。傳輸模式保留原有的IP頭部，只對(duì)有效負(fù)載部分進(jìn)行加密。L2TP over IPsec使用的是傳輸模式。

如圖1所示，L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server，LNS)與多個(gè)CPE(CustomerPremise Equipment，客戶終端設(shè)備)下的UE建立L2TP over IPsec連接，不同的CPE可能具有相同的私網(wǎng)地址空間。在CPE設(shè)備上進(jìn)行NAT處理，將私網(wǎng)IP轉(zhuǎn)換成公網(wǎng)IP。

如圖2所示，報(bào)文在CPE設(shè)備上進(jìn)行NAT處理后，不同的私網(wǎng)IP會(huì)被轉(zhuǎn)換成相同的公網(wǎng)IP。這樣的報(bào)文到達(dá)LNS，IPsec頭部被解封裝后，不同的UE的L2TP報(bào)文的三層和四層特征可能是一樣的，LNS無法區(qū)分。比如，對(duì)于同一個(gè)CPE下的兩個(gè)用戶設(shè)備：UE1(IP4)和UE2(IP5)，IPsec處理前，UE1的IP頭部(IP Head1)包括：IP1(目標(biāo)IP地址)和IP4(源IP地址)，UE2的IP頭部(IP Head1)包括：IP1(目標(biāo)IP地址)和IP5(源IP地址)；IPsec處理后，IP頭部保持不變，經(jīng)過NAT轉(zhuǎn)換后，UE1和UE2的IP頭部(IP Head1)變?yōu)樾碌腎P頭部(IP Head2)，其中目的IP地址保持不變(還是IP1)，源IP地址均變?yōu)楣W(wǎng)IP地址(IP2)。因此，LNS無法區(qū)分同一個(gè)CPE下的不同用戶終端。

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問題是提供一種實(shí)現(xiàn)L2TP over IPsec接入的方法和L2TP網(wǎng)絡(luò)服務(wù)器，能夠在存在NAT設(shè)備的組網(wǎng)中實(shí)現(xiàn)L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server，LNS)對(duì)不同L2TP over IPsec接入用戶的區(qū)分。