一�����、VPDN簡介
VPDN(Virtual Private Dial Network�����,虛擬私有撥號(hào)網(wǎng))是指利用公共網(wǎng)絡(luò)(如ISDN和PSTN)的撥號(hào)功能及接入網(wǎng)來實(shí)現(xiàn)虛擬專用網(wǎng)�����,從而為企業(yè)���、小型ISP���、移動(dòng)辦公人員提供接入服務(wù)。
VPDN采用專用的網(wǎng)絡(luò)加密通信協(xié)議���,在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)�����。企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)�����,通過虛擬加密隧道實(shí)現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接����,而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。
VPDN有下列兩種實(shí)現(xiàn)方式:
1)NAS通過隧道協(xié)議�,與VPDN網(wǎng)關(guān)建立通道的方式。這種方式將客戶的PPP連接直接連到企業(yè)的網(wǎng)關(guān)上��,目前可使用 的協(xié)議有L2F與L2TP�����。其好處在于:對用戶是透明的��,用戶只需要登錄一次就可以接入企業(yè)網(wǎng)絡(luò)���,由企業(yè)網(wǎng)進(jìn)行用戶認(rèn)證和地址分配,而不占用公共地址�����,用 戶可使用各種平臺(tái)上網(wǎng)。這種方式需要NAS支持VPDN協(xié)議�����,需要認(rèn)證系統(tǒng)支持VPDN屬性���,網(wǎng)關(guān)一般使用路由器或×××專用服務(wù)器��。
2)客戶機(jī)與VPDN網(wǎng)關(guān)建立隧道的方式�。這種方式由客戶機(jī)先建立與Internet的連接���,再通過專用的客戶軟件(如 Win2000支持的L2TP客戶端)與網(wǎng)關(guān)建立通道連接�����。其好處在于:用戶上網(wǎng)的方式和地點(diǎn)沒有限制��,不需ISP介入��。缺點(diǎn)是:用戶需要安裝專用的軟件 (一般都是Win2000平臺(tái))�����,限制了用戶使用的平臺(tái)�����。
VPDN隧道協(xié)議可分為PPTP��、L2F和L2TP三種�����,目前使用最廣泛的是L2TP����。
二、L2TP協(xié)議介紹
1)協(xié)議背景
PPP協(xié)議定義了一種封裝技術(shù)����,可以在二層的點(diǎn)到點(diǎn)鏈路上傳輸多種協(xié)議數(shù)據(jù)包,這時(shí)用戶與NAS之間運(yùn)行PPP協(xié)議�,二層鏈路端點(diǎn)與PPP會(huì)話點(diǎn)駐留在相同硬件設(shè)備上。
L2TP協(xié)議提供了對PPP鏈路層數(shù)據(jù)包的通道(Tunnel)傳輸支持�,允許二層鏈路端點(diǎn)和PPP會(huì)話點(diǎn)駐留在不同設(shè) 備上并且采用包交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互,從而擴(kuò)展了PPP模型���。L2TP協(xié)議結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點(diǎn),成為IETF有關(guān)二層隧道協(xié)議 的工業(yè)標(biāo)準(zhǔn)�����。
2)典型L2TP組網(wǎng)應(yīng)用
使用L2TP協(xié)議構(gòu)建的VPDN應(yīng)用的典型組網(wǎng)如圖1所示:
其中,LAC表示L2TP訪問集中器(L2TP Access Concentrator)�����,是附屬在交換網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備���。LAC一般是一個(gè)網(wǎng)絡(luò)接入服務(wù)器NAS����,主要用于通過PSTN/ISDN網(wǎng)絡(luò)為用戶提供接入服務(wù)���。LNS表示L2TP網(wǎng)絡(luò)服務(wù)器(L2TP Network Server)����,是PPP端系統(tǒng)上用于處理L2TP協(xié)議服務(wù)器端部分的設(shè)備��。
LAC位于LNS和遠(yuǎn)端系統(tǒng)(遠(yuǎn)地用戶和遠(yuǎn)地分支機(jī)構(gòu))之間�����,用于在LNS和遠(yuǎn)端系統(tǒng)之間傳遞信息包����,把從遠(yuǎn)端系統(tǒng)收到 的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS���,將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LAC與遠(yuǎn)端系統(tǒng)之間可以采用本地連接或PPP鏈 路�����,VPDN應(yīng)用中通常為PPP鏈路����。LNS作為L2TP隧道的另一側(cè)端點(diǎn),是LAC的對端設(shè)備���,是被LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話的邏輯終止端點(diǎn)�����。
3)L2TP協(xié)議的技術(shù)細(xì)節(jié)
A)L2TP協(xié)議結(jié)構(gòu)
上圖所示L2TP協(xié)議結(jié)構(gòu)描述了PPP幀和控制通道以及數(shù)據(jù)通道之間的關(guān)系��。PPP幀在不可靠的L2TP數(shù)據(jù)通道上進(jìn)行傳輸����,控制消息在可靠的L2TP控制通道內(nèi)傳輸�。
通常L2TP數(shù)據(jù)以UDP報(bào)文的形式發(fā)送�。L2TP注冊了UDP 1701端口����,但是這個(gè)端口僅用于初始的隧道建立過程中�。L2TP隧道發(fā)起方任選一個(gè)空閑的端口(未必是1701)向接收方的1701端口發(fā)送報(bào)文;接收 方收到報(bào)文后��,也任選一個(gè)空閑的端口(未必是1701)��,給發(fā)送方的指定端口回送報(bào)文�����。至此�����,雙方的端口選定����,并在隧道保持連通的時(shí)間段內(nèi)不再改變。
B) 隧道和會(huì)話的概念
在一個(gè)LNS和LAC對之間存在著兩種類型的連接���,一種是隧道(Tunnel)連接�,它定義了一個(gè)LNS和LAC對;另 一種是會(huì)話(Session)連接��,它復(fù)用在隧道連接之上���,用于表示承載在隧道連接中的每個(gè)PPP會(huì)話過程���。在同一對LAC和LNS之間可以建立多個(gè) L2TP隧道,隧道由一個(gè)控制連接和一個(gè)或多個(gè)會(huì)話(Session)組成�����。會(huì)話連接必須在隧道建立(包括身份保護(hù)���、L2TP版本�、幀類型�、硬件傳輸類型 等信息的交換)成功之后進(jìn)行,每個(gè)會(huì)話連接對應(yīng)于LAC和LNS之間的一個(gè)PPP數(shù)據(jù)流�����?��?刂葡⒑蚉PP數(shù)據(jù)報(bào)文都在隧道上傳輸��。
L2TP使用Hello報(bào)文來檢測隧道的連通性�����。LAC和LNS定時(shí)向?qū)Χ税l(fā)送Hello報(bào)文��,若在一段時(shí)間內(nèi)未收到Hello報(bào)文的應(yīng)答�����,該會(huì)話將被清除�。
C) 控制消息和數(shù)據(jù)消息的概念
L2TP中存在兩種消息:控制消息和數(shù)據(jù)消息����。控制消息用于隧道和會(huì)話連接的建立���、維護(hù)以及傳輸控制����;數(shù)據(jù)消息則用于封 裝PPP幀并在隧道上傳輸��。控制消息的傳輸是可靠傳輸�,并且支持對控制消息的流量控制和擁塞控制;而數(shù)據(jù)消息的傳輸是不可靠傳輸����,若數(shù)據(jù)報(bào)文丟失,不予重 傳���,不支持對數(shù)據(jù)消息的流量控制和擁塞控制�。
控制消息和數(shù)據(jù)消息共享相同的報(bào)文頭�。L2TP報(bào)文頭中包含隧道標(biāo)識(shí)符(Tunnel ID)和會(huì)話標(biāo)識(shí)符(Session ID)信息,用來標(biāo)識(shí)不同的隧道和會(huì)話����。隧道標(biāo)識(shí)相同、會(huì)話標(biāo)識(shí)不同的報(bào)文將被復(fù)用在一個(gè)隧道上��,報(bào)文頭中的隧道標(biāo)識(shí)符與會(huì)話標(biāo)識(shí)符由對端分配����。
4)兩種典型的L2TP隧道模式
遠(yuǎn)端系統(tǒng)或LAC客戶端(運(yùn)行L2TP協(xié)議的主機(jī))與LNS之間對PPP幀的隧道模式如圖3所示:
a. 由遠(yuǎn)程撥號(hào)用戶發(fā)起。
遠(yuǎn)程系統(tǒng)撥入LAC���,由LAC通過Internet向LNS發(fā)起建立通道連接請求����。撥號(hào)用戶地址由LNS分配;對遠(yuǎn)程撥號(hào)用戶的驗(yàn)證與計(jì)費(fèi)既可由LAC側(cè)的代理完成�,也可在LNS側(cè)完成,在這里MA5200充當(dāng)LAC
b. 直接由LAC客戶(指可在本地支持L2TP協(xié)議的用戶)發(fā)起�。
此時(shí)LAC客戶可直接向LNS發(fā)起通道連接請求,無需再經(jīng)過一個(gè)單獨(dú)的LAC設(shè)備�����。此時(shí)����,LAC客戶地址的分配由LNS來完成��。
5)L2TP隧道會(huì)話的建立過程
L2TP通道的呼叫建立流程可如圖4所示:
6)L2TP優(yōu)勢
a. 靈活的身份驗(yàn)證機(jī)制以及高度的安全性
L2TP協(xié)議本身并不提供連接的安全性���,但它可依賴于PPP提供的認(rèn)證(比如CHAP���、PAP等),因此具有PPP所具 有的所有安全特性����。L2TP可與IPSec結(jié)合起來實(shí)現(xiàn)數(shù)據(jù)安全,這使得通過L2TP所傳輸?shù)臄?shù)據(jù)更難被攻擊。L2TP還可根據(jù)特定的網(wǎng)絡(luò)安全要求在 L2TP之上采用通道加密技術(shù)�����、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性����。
b. 多協(xié)議傳輸
L2TP傳輸PPP數(shù)據(jù)包,這樣就可以在PPP數(shù)據(jù)包內(nèi)封裝多種協(xié)議�。
c. 支持RADIUS服務(wù)器的驗(yàn)證
LAC端將用戶名和密碼發(fā)往RADIUS服務(wù)器進(jìn)行驗(yàn)證申請,RADIUS服務(wù)器負(fù)責(zé)接收用戶的驗(yàn)證請求�����,完成驗(yàn)證�。
d. 支持內(nèi)部地址分配
LNS可放置于企業(yè)網(wǎng)的防火墻之后,它可以對遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理���,可支持私有地址應(yīng)用(RFC1918)��。為遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址�����,這樣方便了地址的管理并可以增加安全性�����。
e. 網(wǎng)絡(luò)計(jì)費(fèi)的靈活性
可在LAC和LNS兩處同時(shí)計(jì)費(fèi)����,即ISP處(用于產(chǎn)生帳單)及企業(yè)網(wǎng)關(guān)(用于付費(fèi)及審計(jì))。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)���、字節(jié)數(shù)以及連接的起始���、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù),可根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)��。
f. 可靠性
L2TP協(xié)議支持備份LNS��,當(dāng)一個(gè)主LNS不可達(dá)之后��,LAC可以重新與備份LNS建立連接�����,這樣增加了×××服務(wù)的可靠性和容錯(cuò)性�。
