構(gòu)建基于L2TP協(xié)議的VPDN網(wǎng)絡(luò)

1、構(gòu)建基于l2tp協(xié)議的vpdn網(wǎng)絡(luò) 構(gòu)建基于l2tp協(xié)議的vpdn網(wǎng)絡(luò)【摘要】本文介紹了l2tp協(xié)議的消息類型、協(xié)議格式以及如何構(gòu)建一個基于l2tp協(xié)議的經(jīng)典vpdn網(wǎng)絡(luò)。結(jié)合實際應(yīng)用的案例，對l2tp的配置和工程應(yīng)用做了探討?！娟P(guān)鍵詞】l2tp、vpdn、vpn1. 引言  隨著互聯(lián)網(wǎng)的快速發(fā)展，企業(yè)、學(xué)校等集團式客戶對于建立一個跨區(qū)域的虛擬專用網(wǎng)絡(luò)（vnp）的需求日益迫切。各大基礎(chǔ)電信運行商，創(chuàng)建先進穩(wěn)定、覆蓋度廣的基礎(chǔ)網(wǎng)絡(luò)，則為客戶提供了快速、安全的接入平臺。而為了實現(xiàn)企業(yè)vpn，近年來出現(xiàn)了許多構(gòu)建vpn的協(xié)議和標(biāo)準(zhǔn)，如l2f、pptp、l2tp、ipsec、mpl

2、s等。這些協(xié)議或者標(biāo)準(zhǔn)，從本質(zhì)思想上都基本一致，都是采用隧道封裝（或者標(biāo)簽）的方式實現(xiàn)內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)在公共網(wǎng)絡(luò)上的透明傳輸。 針對不同的客戶網(wǎng)絡(luò)實際需求，采用合適的協(xié)議，往往能使網(wǎng)絡(luò)的構(gòu)建更加快速和合理。如，當(dāng)需要在幾個企業(yè)園區(qū)間實現(xiàn)vpn時，采用mspl是比較方便的；當(dāng)需要將散在的用戶撥號連接到企業(yè)服務(wù)器時，pptp、l2tp等二層協(xié)議則更實際；如果既有多個園區(qū)需要互聯(lián)，又有移動的用戶需要撥號進入內(nèi)部網(wǎng)絡(luò)，則可結(jié)合mpls和l2tp等協(xié)議來構(gòu)建。 vpdn（virtual private dial network）是指利用公共網(wǎng)絡(luò)（如isdn 和pstn）的撥號功能及接入網(wǎng)

3、來實現(xiàn)虛擬專用網(wǎng)，為企業(yè)、小型isp、移動辦公人員提供接入服務(wù)。企業(yè)駐外機構(gòu)和出差人員可從遠程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬加密隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。vpdn 常用的隧道協(xié)議有pptp、l2f 和l2tp 等，目前使用最廣泛的是l2tp。2. l2tp 協(xié)議簡介 l2tp（layer two tunneling protocol）由rfc2661定義，它結(jié)合了l2f和pptp的優(yōu)點，把鏈路層ppp幀封裝在公共網(wǎng)絡(luò)設(shè)施如ip、atm、幀中繼中進行隧道傳輸，可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起vpn連接。l2tp主

4、要由lac（l2tp access concentrator）和lns（l2tp network server）構(gòu)成。 在一個lns 和lac 對之間存在著兩種類型的連接，一種是隧道（tunnel）連接，它定義了一個lns 和lac 對；另一種是會話（session）連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個ppp 會話過程。 同一對lac 和lns 之間可以建立多個l2tp 隧道，隧道由一個控制連接和一個或多個會話（session）組成。會話連接必須在隧道建立成功之后進行，每個會話連接對應(yīng)于lac 和lns 之間的一個ppp 數(shù)據(jù)流?？刂葡⒑蚿pp 數(shù)據(jù)

5、報文都在隧道上傳輸。l2tp 使用hello 報文來檢測隧道的連通性。lac 和lns 定時向?qū)Χ税l(fā)送hello 報文，若在一段時間內(nèi)未收到hello 報文的應(yīng)答，該會話將被清除。2.1 l2tp的消息類型 l2tp使用兩種類型的消息：控制消息和數(shù)據(jù)消息?？刂葡⒂糜谒淼篮秃艚械慕?、維護和清除，它使用l2tp內(nèi)的可靠控制通道來保證傳送。數(shù)據(jù)消息用于封裝隧道傳輸?shù)膒pp幀，當(dāng)發(fā)生包丟失時不再傳送數(shù)據(jù)消息。 ppp幀先由l2tp報頭封裝，再由一種包傳輸機制（如udp、幀中繼、atm等）封裝之后在一個不可靠的數(shù)據(jù)通道上傳輸。但是，控制消息在一個可靠的l2tp控制通道上傳送，這個

6、控制通道在同一包傳輸機制上傳送包。在所有的控制消息中都需要有序列號，序列號還用于提供控制通道上的可靠傳送。數(shù)據(jù)消息可以使用序列號來重新排序數(shù)據(jù)包和檢測包的丟失。  控制通道和數(shù)據(jù)通道的l2tp數(shù)據(jù)包的報頭格式相同（如圖2所示）。在該報頭格式中，當(dāng)一個可選字段未被選中時，在消息中不為這個字段預(yù)留空間。注意：當(dāng)數(shù)據(jù)消息的可選項ns在消息中出現(xiàn)（即被選中）則可選項nr必須出現(xiàn)在所有控制消息中。圖1：l2tp數(shù)據(jù)包的報頭格式t：消息類型 tunnel id：控制連接的標(biāo)識符l：長度字段出現(xiàn)，可選 session id：隧道內(nèi)的一次會話的標(biāo)識符s：序列號 ns：數(shù)

7、據(jù)消息或控制消息的序列號，可選o：偏移字段 nr：要收到的下一個控制消息中”預(yù)定”的序列號，可選p：優(yōu)先權(quán) offset size：指定l2tp報頭之后的字節(jié)數(shù)，可選version：版本號 offset pad：偏移填充，可變長度，可選。length：消息的總長度 data：數(shù)據(jù)信息，可變長度2.2 l2tp的協(xié)議結(jié)構(gòu) 通常，l2tp 數(shù)據(jù)以udp 報文的形式發(fā)送。l2tp 注冊了udp 1701 端口，但這個端口僅用于初始的隧道建立過程中。隧道建立完成后，lac和lns間會使用隧道建立時選定的端口進行報文的傳送。圖2是l2tp的協(xié)議結(jié)構(gòu)：圖2

8、：l2tp的協(xié)議結(jié)構(gòu) 2.3 l2tp協(xié)議的安全特性 l2tp 本身并不提供連接的安全性，但它可利用ppp 提供的認證，如chap（challenge handshake authentication protocol）、pap（passwordauthentication protocol），因此具有ppp 的所有安全特性。 l2tp 也可根據(jù)特定的網(wǎng)絡(luò)安全要求，在l2tp 之上采用隧道加密技術(shù)、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。3. 使用l2tp協(xié)議構(gòu)建vpdn網(wǎng)絡(luò) 一個使用l2tp協(xié)議構(gòu)建的經(jīng)典vpdn網(wǎng)絡(luò)由訪問集中器lac、

9、網(wǎng)絡(luò)服務(wù)器lns、撥號用戶以及企業(yè)內(nèi)部服務(wù)器等組成。lac支持客戶端的l2tp，用于發(fā)起呼叫、接收呼叫和建立隧道，lns是所有隧道的終點。應(yīng)用l2tp 構(gòu)建的vpdn網(wǎng)絡(luò)典型拓撲如圖3所示：圖3：l2tp構(gòu)建vpdn應(yīng)用示意圖 l2tp 訪問集中器lac（l2tp access concentrator）是連接交換網(wǎng)絡(luò)具有ppp 端系統(tǒng)和l2tp 協(xié)議處理能力的設(shè)備，直接接收用戶呼叫。通常lac本身就是一臺是網(wǎng)絡(luò)接入服務(wù)器nas，其位于lns 和遠端系統(tǒng)（遠地用戶和遠地分支機構(gòu)）之間，把從遠端系統(tǒng)收到的報文按照l2tp 協(xié)議封裝并送往lns，將從lns 收到的報文解封裝并送往遠端系統(tǒng)

10、。 l2tp 網(wǎng)絡(luò)服務(wù)器lns（l2tp network server）是ppp 端系統(tǒng)上用于處理l2tp 協(xié)議服務(wù)器端部分的設(shè)備，是通過lac 進行隧道傳輸?shù)膒pp 會話的邏輯終止端點。 l2tp隧道在lac與lns之間建立。用戶終端通過nas接入網(wǎng)絡(luò)，通過lac與lns之間的隧道，用戶就可以登錄到企業(yè)網(wǎng)上訪問內(nèi)部的服務(wù)器。在整個數(shù)據(jù)的傳送過程中，l2tp隧道對用戶來說是透明的。 4. 實際應(yīng)用案例 跟隨著貴港市經(jīng)濟的蓬勃發(fā)展，貴港電信分公司的數(shù)據(jù)業(yè)務(wù)也快速發(fā)展著，通過提供當(dāng)前最流行的網(wǎng)絡(luò)技術(shù)，滿足各行業(yè)大小客戶的多種需求。其中構(gòu)建基于l2tp協(xié)議的v

11、pdn網(wǎng)絡(luò)，就是這些先進技術(shù)中的一種。 貴港市教育網(wǎng)在2003年建起的vpn，各學(xué)校單位在接入層以二層vlan或者pvc設(shè)置靜態(tài)ip接入。貴港市及其管轄的桂平市、平南縣等三縣市的學(xué)校和教育系統(tǒng)通過中國電信的城域網(wǎng)平臺互聯(lián)在一起，用戶規(guī)模龐大。在過去互聯(lián)網(wǎng)絡(luò)規(guī)模不是很大的情況下，這種組網(wǎng)方式有其先進的地方，ip二層vlan和atm的pvc技術(shù)都發(fā)展得比較成熟，網(wǎng)絡(luò)功能的相對簡單以及vpn客戶相對較少，對于運營商的維護工作并沒有造成太大的壓力。隨著網(wǎng)絡(luò)的不段擴張，網(wǎng)絡(luò)拓撲的結(jié)構(gòu)更加復(fù)雜，vpn用戶也日益增多。而跨縣市的二層網(wǎng)絡(luò)也日顯臃腫，一旦某個vlan內(nèi)產(chǎn)生了arp等病毒攻擊的時候，受

12、影響的往往是同一個vlan內(nèi)的許多用戶，還有ip地址沖突、故障定位困難不利于我們運營商的維護工作，于是對原有vpn的網(wǎng)絡(luò)改造便提到了日程上來。 經(jīng)過調(diào)研和規(guī)劃，貴港電信數(shù)據(jù)維護組決定利用新增bas設(shè)備的先進功能，采用l2tp協(xié)議構(gòu)建適合教育系統(tǒng)當(dāng)前以及以后相當(dāng)一段時間內(nèi)的發(fā)展需求的vpdn網(wǎng)絡(luò)，提高維護的效率。新的vpdn網(wǎng)絡(luò)采用華為公司的ma5200g寬帶接入服務(wù)器和ne40綜合業(yè)務(wù)路由器分別作為lac和lns設(shè)備，教育網(wǎng)vpn貫穿貴港接入骨干路由器構(gòu)建的mpsl網(wǎng)絡(luò)，將全市各接入點與服務(wù)器連接起來。 貴港市教育網(wǎng)vpdn的網(wǎng)絡(luò)結(jié)構(gòu)如圖4所示： 圖4：貴港市教育

13、網(wǎng)vpdn拓撲  教育網(wǎng)的服務(wù)器以及少部分舊有的專線固定ip用戶通過s6505交換機接入到城北ne40，在貴港、桂平、平南三臺ma5200g上均啟用了l2tp功能，作為lac與和平ne40路由器建立隧道，和平ne40充當(dāng)lns的角色，終結(jié)來自各地的l2tp邏輯連接。教育網(wǎng)撥號用戶通過bas認證后，由lac向lns發(fā)起建立l2tp隧道的請求，lns對用戶進行重新認證，并分配vpn內(nèi)部ip地址。教育網(wǎng)用戶對外網(wǎng)的訪問，通過在城北ne40上進行nat轉(zhuǎn)換實現(xiàn)。在本文關(guān)注的范圍內(nèi)，要實現(xiàn)教育網(wǎng)vpdn的l2tp接入，需要完成以下基本的配置內(nèi)容。lac側(cè)： 配置aaa認證 使能lac功能 創(chuàng)建l2tp 組 配置本端隧道名稱 配置lac發(fā)起連接請求的參數(shù)lns側(cè)： 使能lac功能 創(chuàng)建l2tp組 配置lns組參數(shù) 配置虛擬接口模板 配置lns 側(cè)的l2tp連接參數(shù) 配置lns 側(cè)的用戶驗證和地址分配地址 在作為lac的貴港、桂平和平南的寬帶接入服務(wù)器上，均需要進行l(wèi)ac的相關(guān)配置，但lns的配置只需要在和平ne40上進行一次。根據(jù)貴港城域網(wǎng)的實際情況，我們當(dāng)然還需要在城北路由器上做其他的一些相關(guān)配置，如nat轉(zhuǎn)換、綁定mpls vpn-instan