構建基于L2TP協(xié)議的VPDN網絡

1、構建基于l2tp協(xié)議的vpdn網絡 構建基于l2tp協(xié)議的vpdn網絡【摘要】本文介紹了l2tp協(xié)議的消息類型、協(xié)議格式以及如何構建一個基于l2tp協(xié)議的經典vpdn網絡。結合實際應用的案例，對l2tp的配置和工程應用做了探討?！娟P鍵詞】l2tp、vpdn、vpn1. 引言  隨著互聯(lián)網的快速發(fā)展，企業(yè)、學校等集團式客戶對于建立一個跨區(qū)域的虛擬專用網絡（vnp）的需求日益迫切。各大基礎電信運行商，創(chuàng)建先進穩(wěn)定、覆蓋度廣的基礎網絡，則為客戶提供了快速、安全的接入平臺。而為了實現(xiàn)企業(yè)vpn，近年來出現(xiàn)了許多構建vpn的協(xié)議和標準，如l2f、pptp、l2tp、ipsec、mpl

2、s等。這些協(xié)議或者標準，從本質思想上都基本一致，都是采用隧道封裝（或者標簽）的方式實現(xiàn)內部網絡數據在公共網絡上的透明傳輸。 針對不同的客戶網絡實際需求，采用合適的協(xié)議，往往能使網絡的構建更加快速和合理。如，當需要在幾個企業(yè)園區(qū)間實現(xiàn)vpn時，采用mspl是比較方便的；當需要將散在的用戶撥號連接到企業(yè)服務器時，pptp、l2tp等二層協(xié)議則更實際；如果既有多個園區(qū)需要互聯(lián)，又有移動的用戶需要撥號進入內部網絡，則可結合mpls和l2tp等協(xié)議來構建。 vpdn（virtual private dial network）是指利用公共網絡（如isdn 和pstn）的撥號功能及接入網

3、來實現(xiàn)虛擬專用網，為企業(yè)、小型isp、移動辦公人員提供接入服務。企業(yè)駐外機構和出差人員可從遠程經由公共網絡，通過虛擬加密隧道實現(xiàn)和企業(yè)總部之間的網絡連接，而公共網絡上其它用戶則無法穿過虛擬隧道訪問企業(yè)網內部的資源。vpdn 常用的隧道協(xié)議有pptp、l2f 和l2tp 等，目前使用最廣泛的是l2tp。2. l2tp 協(xié)議簡介 l2tp（layer two tunneling protocol）由rfc2661定義，它結合了l2f和pptp的優(yōu)點，把鏈路層ppp幀封裝在公共網絡設施如ip、atm、幀中繼中進行隧道傳輸，可以讓用戶從客戶端或訪問服務器端發(fā)起vpn連接。l2tp主

4、要由lac（l2tp access concentrator）和lns（l2tp network server）構成。 在一個lns 和lac 對之間存在著兩種類型的連接，一種是隧道（tunnel）連接，它定義了一個lns 和lac 對；另一種是會話（session）連接，它復用在隧道連接之上，用于表示承載在隧道連接中的每個ppp 會話過程。 同一對lac 和lns 之間可以建立多個l2tp 隧道，隧道由一個控制連接和一個或多個會話（session）組成。會話連接必須在隧道建立成功之后進行，每個會話連接對應于lac 和lns 之間的一個ppp 數據流。控制消息和ppp 數據

5、報文都在隧道上傳輸。l2tp 使用hello 報文來檢測隧道的連通性。lac 和lns 定時向對端發(fā)送hello 報文，若在一段時間內未收到hello 報文的應答，該會話將被清除。2.1 l2tp的消息類型 l2tp使用兩種類型的消息：控制消息和數據消息。控制消息用于隧道和呼叫的建立、維護和清除，它使用l2tp內的可靠控制通道來保證傳送。數據消息用于封裝隧道傳輸的ppp幀，當發(fā)生包丟失時不再傳送數據消息。 ppp幀先由l2tp報頭封裝，再由一種包傳輸機制（如udp、幀中繼、atm等）封裝之后在一個不可靠的數據通道上傳輸。但是，控制消息在一個可靠的l2tp控制通道上傳送，這個

6、控制通道在同一包傳輸機制上傳送包。在所有的控制消息中都需要有序列號，序列號還用于提供控制通道上的可靠傳送。數據消息可以使用序列號來重新排序數據包和檢測包的丟失。  控制通道和數據通道的l2tp數據包的報頭格式相同（如圖2所示）。在該報頭格式中，當一個可選字段未被選中時，在消息中不為這個字段預留空間。注意：當數據消息的可選項ns在消息中出現(xiàn)（即被選中）則可選項nr必須出現(xiàn)在所有控制消息中。圖1：l2tp數據包的報頭格式t：消息類型 tunnel id：控制連接的標識符l：長度字段出現(xiàn)，可選 session id：隧道內的一次會話的標識符s：序列號 ns：數

7、據消息或控制消息的序列號，可選o：偏移字段 nr：要收到的下一個控制消息中”預定”的序列號，可選p：優(yōu)先權 offset size：指定l2tp報頭之后的字節(jié)數，可選version：版本號 offset pad：偏移填充，可變長度，可選。length：消息的總長度 data：數據信息，可變長度2.2 l2tp的協(xié)議結構 通常，l2tp 數據以udp 報文的形式發(fā)送。l2tp 注冊了udp 1701 端口，但這個端口僅用于初始的隧道建立過程中。隧道建立完成后，lac和lns間會使用隧道建立時選定的端口進行報文的傳送。圖2是l2tp的協(xié)議結構：圖2

8、：l2tp的協(xié)議結構 2.3 l2tp協(xié)議的安全特性 l2tp 本身并不提供連接的安全性，但它可利用ppp 提供的認證，如chap（challenge handshake authentication protocol）、pap（passwordauthentication protocol），因此具有ppp 的所有安全特性。 l2tp 也可根據特定的網絡安全要求，在l2tp 之上采用隧道加密技術、端對端數據加密或應用層數據加密等方案來提高數據的安全性。3. 使用l2tp協(xié)議構建vpdn網絡 一個使用l2tp協(xié)議構建的經典vpdn網絡由訪問集中器lac、

9、網絡服務器lns、撥號用戶以及企業(yè)內部服務器等組成。lac支持客戶端的l2tp，用于發(fā)起呼叫、接收呼叫和建立隧道，lns是所有隧道的終點。應用l2tp 構建的vpdn網絡典型拓撲如圖3所示：圖3：l2tp構建vpdn應用示意圖 l2tp 訪問集中器lac（l2tp access concentrator）是連接交換網絡具有ppp 端系統(tǒng)和l2tp 協(xié)議處理能力的設備，直接接收用戶呼叫。通常lac本身就是一臺是網絡接入服務器nas，其位于lns 和遠端系統(tǒng)（遠地用戶和遠地分支機構）之間，把從遠端系統(tǒng)收到的報文按照l2tp 協(xié)議封裝并送往lns，將從lns 收到的報文解封裝并送往遠端系統(tǒng)

10、。 l2tp 網絡服務器lns（l2tp network server）是ppp 端系統(tǒng)上用于處理l2tp 協(xié)議服務器端部分的設備，是通過lac 進行隧道傳輸的ppp 會話的邏輯終止端點。 l2tp隧道在lac與lns之間建立。用戶終端通過nas接入網絡，通過lac與lns之間的隧道，用戶就可以登錄到企業(yè)網上訪問內部的服務器。在整個數據的傳送過程中，l2tp隧道對用戶來說是透明的。 4. 實際應用案例 跟隨著貴港市經濟的蓬勃發(fā)展，貴港電信分公司的數據業(yè)務也快速發(fā)展著，通過提供當前最流行的網絡技術，滿足各行業(yè)大小客戶的多種需求。其中構建基于l2tp協(xié)議的v

11、pdn網絡，就是這些先進技術中的一種。 貴港市教育網在2003年建起的vpn，各學校單位在接入層以二層vlan或者pvc設置靜態(tài)ip接入。貴港市及其管轄的桂平市、平南縣等三縣市的學校和教育系統(tǒng)通過中國電信的城域網平臺互聯(lián)在一起，用戶規(guī)模龐大。在過去互聯(lián)網絡規(guī)模不是很大的情況下，這種組網方式有其先進的地方，ip二層vlan和atm的pvc技術都發(fā)展得比較成熟，網絡功能的相對簡單以及vpn客戶相對較少，對于運營商的維護工作并沒有造成太大的壓力。隨著網絡的不段擴張，網絡拓撲的結構更加復雜，vpn用戶也日益增多。而跨縣市的二層網絡也日顯臃腫，一旦某個vlan內產生了arp等病毒攻擊的時候，受

12、影響的往往是同一個vlan內的許多用戶，還有ip地址沖突、故障定位困難不利于我們運營商的維護工作，于是對原有vpn的網絡改造便提到了日程上來。 經過調研和規(guī)劃，貴港電信數據維護組決定利用新增bas設備的先進功能，采用l2tp協(xié)議構建適合教育系統(tǒng)當前以及以后相當一段時間內的發(fā)展需求的vpdn網絡，提高維護的效率。新的vpdn網絡采用華為公司的ma5200g寬帶接入服務器和ne40綜合業(yè)務路由器分別作為lac和lns設備，教育網vpn貫穿貴港接入骨干路由器構建的mpsl網絡，將全市各接入點與服務器連接起來。 貴港市教育網vpdn的網絡結構如圖4所示： 圖4：貴港市教育

13、網vpdn拓撲  教育網的服務器以及少部分舊有的專線固定ip用戶通過s6505交換機接入到城北ne40，在貴港、桂平、平南三臺ma5200g上均啟用了l2tp功能，作為lac與和平ne40路由器建立隧道，和平ne40充當lns的角色，終結來自各地的l2tp邏輯連接。教育網撥號用戶通過bas認證后，由lac向lns發(fā)起建立l2tp隧道的請求，lns對用戶進行重新認證，并分配vpn內部ip地址。教育網用戶對外網的訪問，通過在城北ne40上進行nat轉換實現(xiàn)。在本文關注的范圍內，要實現(xiàn)教育網vpdn的l2tp接入，需要完成以下基本的配置內容。lac側： 配置aaa認證 使能lac功能 創(chuàng)建l2tp 組 配置本端隧道名稱 配置lac發(fā)起連接請求的參數lns側： 使能lac功能 創(chuàng)建l2tp組 配置lns組參數 配置虛擬接口模板 配置lns 側的l2tp連接參數 配置lns 側的用戶驗證和地址分配地址 在作為lac的貴港、桂平和平南的寬帶接入服務器上，均需要進行l(wèi)ac的相關配置，但lns的配置只需要在和平ne40上進行一次。根據貴港城域網的實際情況，我們當然還需要在城北路由器上做其他的一些相關配置，如nat轉換、綁定mpls vpn-instan