張光亞

摘要摘要：利用L2TP VPN搭建高校虛擬專用網(wǎng)絡(luò)，不僅節(jié)約了硬件成本，而且簡化了客戶配置，提高了響應(yīng)速度，為校外師生訪問校內(nèi)專屬資源提供了一種廉價(jià)且便利的遠(yuǎn)程訪問方式。

關(guān)鍵詞關(guān)鍵詞：L2TP；VPN；虛擬網(wǎng)絡(luò)；隧道技術(shù)

DOIDOI：10.11907/rjdk.151163

中圖分類號(hào)：TP393

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)文章編號(hào)：16727800（2015）004013103

0引言

高校信息化的不斷發(fā)展，帶來了越來越多的問題：

（1）網(wǎng)外用戶訪問校內(nèi)圖書等資源受限。圖書館與知網(wǎng)數(shù)據(jù)庫等合作的電子圖書資源都是基于校園IP地址判斷訪問的，而校外師生用戶的IP地址不在訪問列表范圍內(nèi)，因此無法直接訪問校園內(nèi)的數(shù)字圖書資源。

（2）移動(dòng)用戶接入存在安全隱患。高校內(nèi)網(wǎng)的資源具有很強(qiáng)的針對(duì)性，對(duì)遠(yuǎn)程用戶開放的同時(shí)，必須做好安全保障。

（3）遠(yuǎn)程接入易用性較差。校外用戶IT水平參差不齊，繁瑣的程序安裝或配置必然加大師生訪問校內(nèi)資源的難度，影響資源的使用效率，并給管理人員帶來很大的工作量。

（4）用戶自不同運(yùn)營商網(wǎng)絡(luò)訪問校園網(wǎng)速度慢。由于高校不可能實(shí)現(xiàn)所有的ISP接入，而且ISP之間的網(wǎng)絡(luò)限制導(dǎo)致不同ISP用戶在訪問校內(nèi)資源時(shí)速度非常慢，影響用戶體驗(yàn)和使用。

（5）不同格式電子資源應(yīng)用兼容困難。校園內(nèi)的應(yīng)用系統(tǒng)非常多，類型豐富，訪問方式（如B/S，C/S等）也各異，這就要求遠(yuǎn)程接入系統(tǒng)必須對(duì)不同格式的電子資源都有很好的支持。

（6）大量并發(fā)用戶訪問的瓶頸限制。高校資源除自建外，其余資源（如數(shù)字圖書）大多是授權(quán)獲得。上游資源服務(wù)商不僅會(huì)設(shè)置訪問的IP地址范圍，甚至還會(huì)進(jìn)行單一IP地址的流量限制。大量遠(yuǎn)程用戶并發(fā)訪問會(huì)因上述限制產(chǎn)生瓶頸，影響用戶的使用。

VPN技術(shù)的遠(yuǎn)程訪問方案能非常理想地解決上述問題。它是一種利用公共網(wǎng)絡(luò)設(shè)施構(gòu)建的私用專有網(wǎng)絡(luò)，主要用于連接企業(yè)的分支機(jī)構(gòu)，用于構(gòu)建VPN的公共網(wǎng)絡(luò)既可以是ISP的IP骨干網(wǎng)絡(luò)，也可以是企業(yè)的私有網(wǎng)絡(luò)，或者就是Internet。

基于IP的VPN體系結(jié)構(gòu)，其核心是各種隧道（Tunnel）技術(shù)。VPN利用公共網(wǎng)絡(luò)來構(gòu)建虛擬隧道，將分支機(jī)構(gòu)、遠(yuǎn)端用戶等與公司總部建立廣域網(wǎng)連接，使企業(yè)的私有數(shù)據(jù)通過隧道穿越公共網(wǎng)絡(luò)安全地傳遞。

目前，VPN技術(shù)種類繁多，按照網(wǎng)絡(luò)層次，可以劃分為二層VPN和三層VPN。二層VPN（Layer 2 VPN）比較典型的技術(shù)有L2TP、PPTP、MPLS L2 VPN；三層VPN（Layer 3 VPN）比較典型的技術(shù)有GRE、IPSec、BGP/MPLS VPN等。本文主要利用L2TP技術(shù)來實(shí)現(xiàn)遠(yuǎn)程用戶的訪問需求。

1L2TP VPN機(jī)制及實(shí)現(xiàn)

1.1L2TP工作機(jī)制

1.1.1L2TP基本組件

（1）遠(yuǎn)程系統(tǒng)（Remote System）。遠(yuǎn)程系統(tǒng)是一臺(tái)路由器或者計(jì)算機(jī)終端，既可以是呼叫的發(fā)起者，也可以是呼叫的接收者，通過PSTN/ISDN或其它方式連接到網(wǎng)絡(luò)上，又被稱為撥號(hào)客戶或者虛擬撥號(hào)客戶。

（2）LAC（L2TP Access Concentrator，L2TP訪問集中器）。LAC為L2TP隧道的兩個(gè)端點(diǎn)中的一個(gè)。L2TP隧道由LAC和LNS共同建立維護(hù)。LAC充當(dāng)中介翻譯，按照L2TP封裝方法，將遠(yuǎn)程系統(tǒng)發(fā)來的報(bào)文封裝后發(fā)給LNS，并將LNS發(fā)來的報(bào)文解封裝后發(fā)給遠(yuǎn)程系統(tǒng)。LAC位于LNS和遠(yuǎn)程系統(tǒng)之間，或者直接存在于遠(yuǎn)程系統(tǒng)上（稱為客戶LAC模式）。

（3）LNS（L2TP Network Server，L2TP網(wǎng)絡(luò)服務(wù)器）。LNS為L2TP隧道的兩個(gè)端點(diǎn)中的另外一個(gè)。LNS在L2TP隧道連接建立后，負(fù)責(zé)為VPN用戶分配IP地址，對(duì)遠(yuǎn)程系統(tǒng)進(jìn)行驗(yàn)證。

1.1.2L2TP協(xié)議封裝

圖2以遠(yuǎn)程系統(tǒng)端的IP報(bào)文傳遞過程來描述L2TP的封裝[1]。

（1）遠(yuǎn)程系統(tǒng)用戶的IP報(bào)文經(jīng)過PPP封裝成PPP幀，從遠(yuǎn)程系統(tǒng)向LNS方向發(fā)送到LAC。

（2）LAC接收到PPP幀后，由L2TP對(duì)其添加L2TP頭（表明為L2TP封裝），再將其封裝到UDP幀，并繼續(xù)封裝成公網(wǎng)IP包以便在Internet上傳輸，至此完成LAC的VPN私有數(shù)據(jù)封裝。

（3）通過公網(wǎng)，LAC將此IP報(bào)文發(fā)送到LNS。

（4）LNS收到VPN封裝的IP報(bào)文后，按照順序?qū)⒐W(wǎng)IP、UDP、L2TP頭依次去掉進(jìn)行解封裝，獲得遠(yuǎn)程系統(tǒng)用戶的PPP幀，交由PPP協(xié)議處理。

（5）LNS繼續(xù)解封裝，將PPP報(bào)文頭去掉，得到遠(yuǎn)程系統(tǒng)用戶的私有IP報(bào)文，最后根據(jù)IP報(bào)文頭作出相應(yīng)處理（如提交上層協(xié)議處理或轉(zhuǎn)發(fā)）。

從服務(wù)器向遠(yuǎn)程系統(tǒng)方向上的操作正好相反，這里不再贅述。

1.1.3L2TP主要操作

L2TP主要包括6種操作：建立控制連接、建立會(huì)話、轉(zhuǎn)發(fā)PPP幀、會(huì)話保持、關(guān)閉會(huì)話、關(guān)閉控制連接。

（1）建立控制連接。LAC和LNS之間隧道需要建立一個(gè)控制連接。遠(yuǎn)程系統(tǒng)通過PPP鏈路呼叫LAC成功后，觸發(fā)LAC建立控制連接。LAC通過隨機(jī)UDP端口向LNS的固定端口UDP1701發(fā)起控制連接，LNS在1701端口偵聽到LAC的控制連接請(qǐng)求后，隨即重定位到另一個(gè)UDP端口，并在隧道存續(xù)期間保持這一端口不變。

（2）建立會(huì)話。控制連接建立后，要為用戶建立會(huì)話（Session），多個(gè)會(huì)話復(fù)用一條隧道。PPP模塊觸發(fā)會(huì)話建立，如果會(huì)話建立時(shí)沒有可用隧道，就要先建立隧道。

（3）轉(zhuǎn)發(fā)PPP幀。會(huì)話建立完畢后，即可進(jìn)行數(shù)據(jù)傳輸了。用戶私有IP包被封裝在PPP幀中，經(jīng)過LAC時(shí)由L2TP進(jìn)行Tunnel ID（隧道ID）和Session ID（會(huì)話屬性）標(biāo)識(shí)后封裝成UDP包，再將UDP包封裝成公網(wǎng)IP報(bào)文，交給LNS。LNS收到IP報(bào)文后，依次去掉IP、UDP、L2TP頭，得到原始的PPP幀。根據(jù)相應(yīng)的Tunnel ID和Session ID交給對(duì)應(yīng)的PPP進(jìn)行處理。

（4）連接保持。為保持隧道暢通，LAC和LNS通過周期性發(fā)送的Hello控制消息來維持彼此的狀態(tài)。在一個(gè)指定的周期時(shí)間內(nèi)，如果沒收到對(duì)方的Hello報(bào)文，則認(rèn)為對(duì)方不可達(dá)，隧道關(guān)閉。

（5） 關(guān)閉會(huì)話。隧道雙方均可關(guān)閉一個(gè)會(huì)話，會(huì)話關(guān)閉不影響隧道運(yùn)轉(zhuǎn)。

（6）關(guān)閉控制連接。隧道雙方均可關(guān)閉隧道。隧道關(guān)閉時(shí)，該隧道內(nèi)的所有會(huì)話都將關(guān)閉。

1.2L2TP實(shí)現(xiàn)

筆者學(xué)校數(shù)字化校園主要建設(shè)內(nèi)容為：公共數(shù)據(jù)服務(wù)平臺(tái)、統(tǒng)一身份認(rèn)證平臺(tái)和門戶網(wǎng)站平臺(tái)，在3大平臺(tái)基礎(chǔ)上，部署相應(yīng)的應(yīng)用子系統(tǒng)。具體的子系統(tǒng)有辦公自動(dòng)化系統(tǒng)、教務(wù)管理系統(tǒng)、學(xué)生工作管理系統(tǒng)、招生系統(tǒng)、就業(yè)系統(tǒng)、科研系統(tǒng)、人事系統(tǒng)、頂崗實(shí)習(xí)系統(tǒng)等，各應(yīng)用系統(tǒng)為師生提供生活、學(xué)習(xí)、工作等一站式服務(wù)。

這些平臺(tái)及應(yīng)用主要在學(xué)校內(nèi)網(wǎng)運(yùn)行。由于師生眾多，地理分布廣，大部分師生不屬于學(xué)校內(nèi)網(wǎng)，因而不能直接訪問學(xué)校內(nèi)部的服務(wù)器。

為改變這種狀況，我們?cè)诤诵慕粨Q機(jī)H3C7506E上配置了一塊防火墻板卡，在防火墻板卡上實(shí)現(xiàn)L2TP VPN連接，使得校外師生無需安裝客戶端軟件便可直接訪問內(nèi)部網(wǎng)絡(luò)資源，如圖3所示。

遠(yuǎn)程用戶（LAC）配置：創(chuàng)建PPPoe連接，連接到VPN網(wǎng)絡(luò)，網(wǎng)絡(luò)地址為：219.138.221.229，賬號(hào)密碼按照LNS端創(chuàng)建的填入即可。

2結(jié)語

目前大多數(shù)路由器或防火墻板卡支持L2TP VPN，無需增加硬件投入，修改設(shè)備的軟件配置便可以完成L2TP VPN連接，大大節(jié)約了企業(yè)成本，提高了響應(yīng)速度，基于Internet，實(shí)現(xiàn)了任何時(shí)間、任何地點(diǎn)的遠(yuǎn)程專線接入。

L2TP VPN僅僅是一種技術(shù)，但如果結(jié)合IPSec等安全體系，L2TP over IPsec便可構(gòu)建具有服務(wù)質(zhì)量和安全保障的VPN，可以為VPN用戶提供不同等級(jí)的安全性和服務(wù)質(zhì)量保證[1]。

參考文獻(xiàn)參考文獻(xiàn)：

[1]杭州華三通信技術(shù)有限公司.路由交換技術(shù) [M].第4卷.北京：清華大學(xué)出版社，2012：80111.

[2]杭州華三通信技術(shù)有限公司. H3C VSR1000虛擬路由器L2TP over IPsec典型配置舉例[EB/OL]. [20150211].http：//www.h3c.com.cn/Service/Document_Center/H3Cloud/Catalog/H3C_Dummy_Router/H3C_VSR1000/ /.

責(zé)任編輯（責(zé)任編輯：杜能鋼）