[发明专利]一种L2TP over IPSEC远程接入的方法及装置

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种L2TP over IPSEC远程接入的方法及装置。

背景技术

移动办公用户通过Internet接入企业内部网，过去主要基于L2TP(二层隧道协议)实现。但L2TP本身没有为通信提供任何形式的安全保护，因此这种结构的VPN(虚拟专用网)存在着安全隐患。RFC3193定义了IPSEC(IP安全协议)保护L2TP的方法，通过L2TP与IPSEC的融合，结合了L2TP在认证以及IPSEC在安全方面的优势，成为了一种被广泛实用的远程接入方案。

RFC3715和RFC3948分别定义了IPSEC NAT(网络地址转换)穿越时ISAKMP(互联网安全连接和密钥管理协议)协商流程和ESP(封装安全载荷)报文的UDP(用户数据包协议)封装方式，允许位于NAT之后的私网IPSEC设备与公网IPSEC设备建立安全通道。其主体思想是在ESP报文前封装协议号为4500的UDP包头，以解决ESP报文不能被NAPT(网络地址端口转换)的问题。

NAT穿越可以分为两种模式：隧道模式和传输模式。附图1为隧道模式下NAT穿越报文处理流程示意图，对于隧道模式，由于其在加密时保存了原始IP头，报文整体被还原。附图2为传输模式下NAT穿越报文处理流程示意图，对于传输模式，报文的源地址被NAT为公网地址，而其余字段不变。

远程接入用户通过L2TP over IPSEC客户端接入到公司总部时，IPSEC工作于传输模式。对于位于公网或PPPOE(以太网上点到点协议)拨号获取公网地址的用户，不存在问题。但对于NAPT之后的私网地址拥有者，可能存在不同私有网络的私网地址重叠，同一私有网络多个远程接入用户NAPT后共用一个公网地址的情况。此时，NAT穿越后的数据报文到达IPSEC网关后，会存在地址冲突的情况。例如附图3所示，client(用户)A和client B经过NAT穿越后的数据报文到达IPSEC后，地址均为211.1.1.1，1701。

发明内容

鉴于上述的分析，本发明旨在提供一种L2TP over IPSEC远程接入的方法及装置，用以解决现有技术中当NAT穿越后的数据报文到达IPSEC网关后，存在的地址冲突的问题。

本发明的目的是通过以下技术方案实现的：

本发明提供了一种L2TP over IPSEC远程接入的方法，设置LNS模块与IPSEC模块分离，所述方法包括：

步骤A：IPSEC模块提供用于远程接入的安全策略模式，并配置所述安全策略模式用于L2TP over IPSEC远程接入；

步骤B：当IPSEC模块确认有L2TP over IPSEC远程接入时，建立并维护IP安全协议安全策略数据库；

步骤C：IPSEC将公网地址和公网端口号作为安全策略数据库的索引关键字，对通过L2TP over IPSEC远程接入的报文进行封装或解封装，并进行路由转发。

进一步地，所述步骤A具体包括：

提供用于远程接入的安全策略模式，在所述安全策略模式下，提供命令，配置该安全策略模式用于L2TP over IPSEC，或者，默认以L2TP over IPSEC方式运行。

进一步地，所述步骤B具体包括：

当进行L2TP over IPSEC接入时，发起互联网密钥交换协商；

判断是否是L2TP over IPSEC远程接入，当确认为L2TP over IPSEC接入时，判断是否经过网络地址转换穿越，如果是，根据用户的公网地址和公网端口号建立并维护IP安全协议安全策略数据库，否则，根据网络地址转换后的公网地址和公网端口号建立并维护IP安全协议安全策略数据库；

将公网地址和公网端口号作为安全策略数据库的索引关键字，指向协商出的安全联盟。

其中，所述判断是否是L2TP over IPSEC远程接入的过程具体包括：

根据虚拟局域网标识和流量选择符判断是否是判断是否是L2TP over IPSEC远程接入。

进一步地，所述步骤C中的路由转发包括：按照呼入方向进行路由转发、按照流量返回方向进行路由转发。

当按照呼入方向进行路由转发时，所述步骤C具体包括：

根据安全参数索引查找到安全联盟；

判断是否经过网络地址转换穿越，当确认经过网络地址转换穿越后，剥离报文的用户数据包协议封装，并解密报文，然后用公网源端口号替换报文的用户数据包协议源端口号；