高延德

（中移鐵通有限公司甘肅分公司，甘肅　蘭州　730000）

基于VPDN的L2TP技術(shù)在甘肅鐵通的應(yīng)用

高延德

（中移鐵通有限公司甘肅分公司，甘肅蘭州730000）

伴隨著計(jì)算機(jī)網(wǎng)絡(luò)和通信技術(shù)的迅猛發(fā)展，信息技術(shù)不再局限于本地區(qū)，企業(yè)、學(xué)校等集團(tuán)式客戶對(duì)于建立一個(gè)跨區(qū)域的虛擬專用網(wǎng)絡(luò)的需求日益迫切。在傳統(tǒng)的企業(yè)網(wǎng)絡(luò)中，在進(jìn)行異地局域網(wǎng)之間的互聯(lián)，已給安全上帶來了隱患，二層隧道虛擬專用撥號(hào)網(wǎng)（L2TP VPDN）以其獨(dú)特的技術(shù)優(yōu)勢(shì)，贏得了眾多企業(yè)的信賴，也成了現(xiàn)代企業(yè)交互信息的主要傳輸工具，L2TP VPDN業(yè)務(wù)已被看作是IP網(wǎng)絡(luò)上的最重要的增值業(yè)務(wù)。

計(jì)算機(jī)網(wǎng)絡(luò)；通信技術(shù)；局域網(wǎng)；L2TP VPDN

1　前言

隨著信息技術(shù)在全球的廣泛使用，不僅深刻地影響著經(jīng)濟(jì)結(jié)構(gòu)與經(jīng)濟(jì)效率，而且作為先進(jìn)生產(chǎn)力的代表，對(duì)社會(huì)文化和精神文明產(chǎn)生著深刻的影響。傳統(tǒng)的基于固定物理地點(diǎn)的專線連接網(wǎng)已難以適應(yīng)當(dāng)前的需要市場(chǎng)，并且對(duì)網(wǎng)絡(luò)的靈活性、安全性、經(jīng)濟(jì)性、擴(kuò)展性等方面的信息傳遞需求越來越強(qiáng)烈，因?yàn)槠髽I(yè)之間的交互信息是完全暴露在公眾網(wǎng)中。當(dāng)今IP網(wǎng)絡(luò)已經(jīng)遍布全球，利用現(xiàn)有IP網(wǎng)絡(luò)為企業(yè)提供低成本專網(wǎng)逐漸成為各大運(yùn)營商的關(guān)注點(diǎn)。因此，一種在IP網(wǎng)上提供VPN服務(wù)、如銀行、政府等行業(yè)和企業(yè)都有自己的專網(wǎng)，可方便設(shè)定任意速率、配置簡單的技術(shù)應(yīng)運(yùn)而生，通過L2TP隧道技術(shù)，它是在公用網(wǎng)絡(luò)上建立一個(gè)臨時(shí)、安全的連接，實(shí)現(xiàn)企業(yè)在公網(wǎng)上建立虛信道，是企業(yè)和機(jī)關(guān)部門的網(wǎng)絡(luò)擴(kuò)展，適合經(jīng)常出差在外遠(yuǎn)程撥號(hào)的用戶，其特點(diǎn)為協(xié)議簡單，易于加密，以保證用戶數(shù)據(jù)的安全問題，實(shí)現(xiàn)了企業(yè)的專用通信網(wǎng)絡(luò)。

對(duì)于流動(dòng)性強(qiáng)，分支機(jī)構(gòu)多，以及要求安全性高的企業(yè)，有著廣泛的應(yīng)用需求，因此甘肅鐵通應(yīng)抓住市場(chǎng)需求，大力發(fā)展L2TPVPDN業(yè)務(wù)，來給公司提高經(jīng)濟(jì)效益同時(shí)也幫助企業(yè)提高生產(chǎn)效率和管理。

2　L2TP的技術(shù)特點(diǎn)

在寬帶數(shù)據(jù)網(wǎng)絡(luò)中，VPN是一種被廣泛應(yīng)用的技術(shù)，從VPN面世到成熟經(jīng)歷了技術(shù)不斷完善的過程，目前市場(chǎng)上的VPN解決有多種，最常用的包括基于撥號(hào)的VPDN、基于路由的VPRN、虛擬專線的VLL和基于局域網(wǎng)的VPLS。其中VPDN的應(yīng)用時(shí)間最長，也比較廣泛。

對(duì)于構(gòu)建VPDN來說，隧道（Tunnel）技術(shù)是一個(gè)關(guān)鍵的技術(shù)，現(xiàn)有的隧道技術(shù)包括二層隧道技術(shù)和三層隧道技術(shù)，而對(duì)于二層隧道技術(shù)來說主要有3種。

2.1L2TP的技術(shù)

1）微軟、Ascend、3COM等公司支持的 PPTP（PointtoPointTunnelingProtocol，點(diǎn)對(duì)點(diǎn)隧道協(xié)議），在WindowsNT4.0以上版本中即有支持；

2）Cisco、北方電信等公司支持的 L2F（Layer2 Forwarding，二層轉(zhuǎn)發(fā)協(xié)議），在Cisco路由器中有支持；

3）而由IETF起草，微軟Ascend、Cisco、3COM等公司參予的L2TP（Layer2TunnelingProtocol，二層隧道協(xié)議）結(jié)合了上述兩個(gè)協(xié)議的優(yōu)點(diǎn)，將很快地成為IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。

2.2L2TP的特點(diǎn)

L2TP擴(kuò)展了PPP的模型，使L2連接的終點(diǎn)和PPP報(bào)文的終點(diǎn)可以分處在不同的物理設(shè)備上，并利用分組交換網(wǎng)進(jìn)行傳輸。在L2TP協(xié)議的實(shí)現(xiàn)中，用戶必須與LAC建立一個(gè)L2連接，LAC將PPP包隧傳到NAS，這樣PPP包便可以脫離L2層的電路而傳送。顯而易見的好處便是，由于此種分離，使用戶只需要與本地的LAC建立連接，而通過擴(kuò)展，將邏輯的PPP報(bào)文通過共享網(wǎng)絡(luò)傳送給遠(yuǎn)地的NAS，大大的節(jié)約了成本。而且L2TP解決了多連接的搜尋組分離的問題，對(duì)于PPP的多連接，要求所有的通道在同一個(gè)NAS上被捆綁在一起，通過L2TP可以很容易的使所有的通道連接到在同一個(gè)NAS，當(dāng)然他也可以實(shí)現(xiàn)多連接操作，即使呼叫通過分離的NAS。

2.2.1高可靠和安全性

靈活的身份驗(yàn)證機(jī)制以及高度的安全性：L2TP可以選擇多種身份驗(yàn)證機(jī)制（CHAP、PAP等），繼承了PPP的所有安全特性，L2TP還可以對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證，這使得通過L2TP所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡(luò)安全要求還可以方便地在L2TP之上采用隧道加密、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。L2TP協(xié)議可以支持備份LNS，當(dāng)一個(gè)主LNS不可達(dá)之后，LAC（接入服務(wù)器）可以重新與備份LNS建立連接，這樣增加了VPN服務(wù)的可靠性和容錯(cuò)性。同時(shí)L2TP還可以對(duì)于同一個(gè)LNS使用隧道組的模型，在隧道組中，可以進(jìn)行備份和負(fù)載均衡等處理。

2.2.2支持非唯一的專用IP地址

內(nèi)部地址分配支持：LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)于遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持DHCP和私有地址應(yīng)用（RFC1918）等方案。遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。

2.3.3網(wǎng)絡(luò)計(jì)費(fèi)的靈活性

可以在LAC和LNS兩處同時(shí)計(jì)費(fèi)，即ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費(fèi)及審記）。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。

2.4統(tǒng)一的網(wǎng)絡(luò)管理

L2TP協(xié)議將很快地成為標(biāo)準(zhǔn)的RFC協(xié)議，有關(guān)L2TP的標(biāo)準(zhǔn)MIB已經(jīng)在RFC3371中明確定義，這樣可以統(tǒng)一地采用SNMP網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理。

由上述幾個(gè)特點(diǎn)得出，VPDN的最佳實(shí)現(xiàn)方式是基于L2TP實(shí)現(xiàn)VPDN。

3　L2TP隧道的基本原理描述：

L2TP隧道的網(wǎng)絡(luò)拓?fù)淠Ｐ腿缦拢?/p>

圖1　L2TP隧道的網(wǎng)絡(luò)拓?fù)淠Ｐ?/p>

如圖1所示。LAC表示L2TP接入控制器（L2TPAccessConcentrator），一般位于網(wǎng)絡(luò)的接入層或匯聚層，LAC具備PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備，LAC可以根據(jù)網(wǎng)絡(luò)的不同分別接入PPPoE、PPPoA、PPPoEoA等接入方式。LNS是指L2TP網(wǎng)絡(luò)服務(wù)器，是PPP端系統(tǒng)處理L2TP協(xié)議服務(wù)器端部分的設(shè)備。在一個(gè)LNS和LAC對(duì)之間存在著兩種類型的連接，一種是隧道（Tunnel）連接，它定義了一個(gè)LNS和LAC對(duì)；另一種是會(huì)話（Session）連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個(gè)PPP會(huì)話過程。在同一對(duì)LAC和LNS之間可以建立多個(gè)L2TP隧道，隧道由一個(gè)控制連接和一個(gè)或多個(gè)會(huì)話（Session）組成。會(huì)話連接必須在隧道建立（包括身份保護(hù)、L2TP版本、幀類型、硬件傳輸類型等信息的交換）成功之后進(jìn)行，每個(gè)會(huì)話連接對(duì)應(yīng)于LAC和LNS之間的一個(gè)PPP數(shù)據(jù)流?？刂葡⒑蚉PP數(shù)據(jù)報(bào)文都在隧道上傳輸，對(duì)于利用L2TP隧傳PPP消息主要有建立隧道的控制連接和建立由呼入或呼出觸發(fā)的會(huì)話。

4　華為ME60的L2TP技術(shù)

在甘肅鐵通現(xiàn)有的網(wǎng)絡(luò)中，近年來隨著大力開展互聯(lián)網(wǎng)IP業(yè)務(wù)，寬帶業(yè)務(wù)也迅猛發(fā)展，為給用戶提供更優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)平臺(tái)，采用了華為公司具有自主知識(shí)產(chǎn)權(quán)的多業(yè)務(wù)控制網(wǎng)關(guān)ME60，它具有大容量、高性能、強(qiáng)業(yè)務(wù)融合和業(yè)務(wù)智能處理與控制能力，強(qiáng)大的業(yè)務(wù)隔離手段、安全控制功能、QoS保障能力、高可靠性保證，為多業(yè)務(wù)承載提供保證和基于L2TP的LAC和LNS側(cè)的VPDN功能。

4.1ME60的體系結(jié)構(gòu)

ME60不僅提供強(qiáng)大的IP路由轉(zhuǎn)發(fā)能力，還是IP網(wǎng)絡(luò)從承載單一的Internet業(yè)務(wù)向承載數(shù)據(jù)、語音、視頻、3G、NGN等業(yè)務(wù)的關(guān)鍵設(shè)備。

4.2提供多方式的物理接入和接入上網(wǎng)的L2TP解決方案：

接入方式包括PPPoE、PPPoA、PPPoEoA等方式，可以完成基于LAN、IPDSLAM、WLAN等物理方式的接入，在基于PPP方式的接入中都支持L2TP隧道。通過ME60特有的L2TP功能，實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)的VPN，可對(duì)L2TP內(nèi)用戶的互聯(lián)進(jìn)行靈活設(shè)置。利用接入網(wǎng)ONU多業(yè)務(wù)接入設(shè)備以太網(wǎng)口，結(jié)合ME60可以為企業(yè)、個(gè)人等等提供高速的局域網(wǎng)互聯(lián)業(yè)務(wù)，利用該業(yè)務(wù)可以實(shí)現(xiàn)L2TP，該方案容易管理、性能優(yōu)異、技術(shù)成熟可靠，用戶接入方便。能夠迅速的建立區(qū)域和跨區(qū)域的高速、可靠，是企業(yè)內(nèi)部的理想選擇。

4.3ME60基本的L2TP功能包括：

1）支持L2TP隧道的LAC側(cè)和LNS側(cè)。

2）支持基于PPP認(rèn)證的用戶認(rèn)證和計(jì)費(fèi)。

3）支持基于L2TP隧道的認(rèn)證（遠(yuǎn)端和本地）和計(jì)費(fèi)（遠(yuǎn)端和本地）。

4）支持L2TP隧道中多個(gè)Session，并支持隧道組。

5）支持L2TP隧道的負(fù)載均衡。

6）支持基于L2TP隧道的隧道交換（LTS）。

7）支持用戶觸發(fā)方式下的永久隧道。

8）支持L2TP的MIB。

9）支持L2TPv3。

5　應(yīng)用實(shí)例

5.1系統(tǒng)平臺(tái)介紹

鑒于甘肅省地稅局已經(jīng)建成網(wǎng)絡(luò)發(fā)票系統(tǒng)，甘肅移動(dòng)新建一套VPDN統(tǒng)一認(rèn)證系統(tǒng)，新增兩臺(tái)LNS路由設(shè)備，實(shí)現(xiàn)用戶通過認(rèn)證系統(tǒng)無縫和安全的連接地稅局網(wǎng)絡(luò)發(fā)票管理系統(tǒng)開具發(fā)票的功能。以滿足甘肅省地稅局網(wǎng)絡(luò)發(fā)票系統(tǒng)用戶的接入認(rèn)證，實(shí)現(xiàn)用戶（有線及無線接入）通過統(tǒng)一認(rèn)證平臺(tái)無縫和安全的連接地稅局網(wǎng)絡(luò)發(fā)票管理系統(tǒng)。

5.2系統(tǒng)架構(gòu)

L2TP業(yè)務(wù)是利用運(yùn)營商分組數(shù)據(jù)網(wǎng)絡(luò)為移動(dòng)用戶構(gòu)建的虛擬專用網(wǎng)絡(luò)，依托該業(yè)務(wù)，納稅人在任何地點(diǎn)都能夠通過運(yùn)營商網(wǎng)絡(luò)無縫和安全的連接到地稅局內(nèi)網(wǎng)，實(shí)現(xiàn)發(fā)票的網(wǎng)絡(luò)開具、查詢等業(yè)務(wù)。用戶側(cè)采用VPN技術(shù)借助甘肅移動(dòng)或鐵通城域網(wǎng)與甘肅省地稅局網(wǎng)絡(luò)發(fā)票系統(tǒng)平臺(tái)進(jìn)行互訪。

圖2　系統(tǒng)平臺(tái)架構(gòu)

如圖2所示，對(duì)于VPN接入平臺(tái)來說，一次認(rèn)證發(fā)生在運(yùn)營商核心網(wǎng)，二次認(rèn)證發(fā)生在VPN接入平臺(tái)上的AAA。通過移動(dòng)網(wǎng)絡(luò)接入的終端用戶經(jīng)過VPN平臺(tái)AAA的二次認(rèn)證后，網(wǎng)絡(luò)設(shè)備LNS允許終端與企業(yè)內(nèi)部網(wǎng)絡(luò)通信。VPN接入平臺(tái)由于和LAC設(shè)備密切相關(guān)，LAC和路由設(shè)備之間隧道建立的方式主要基于L2TP協(xié)議。

5.3鐵通網(wǎng)內(nèi)用戶L2TP解決方案

鐵通網(wǎng)內(nèi)PPPOE用戶指通過撥號(hào)認(rèn)證取得動(dòng)態(tài)地址接入互聯(lián)網(wǎng)的用戶，或者M(jìn)E60下掛的專線用戶都可實(shí)現(xiàn)該業(yè)務(wù)。接入認(rèn)證工作由移動(dòng)集中的VPNRADIUS（認(rèn)證系統(tǒng)）完成，例：納稅人通過PPPOE撥號(hào)連接到移動(dòng)LAC（BRAS）設(shè)備上，BRAS把用戶的信息發(fā)送到VPNRADIUS進(jìn)行用戶的接入認(rèn)證。認(rèn)證通過后建立從BRAS設(shè)備開始，終結(jié)在LNS設(shè)備的L2TP隧道，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)發(fā)票系統(tǒng)平臺(tái)的訪問。

1）業(yè)務(wù)流程及認(rèn)證方式如圖3所示。

圖3　固網(wǎng)VPN認(rèn)證流程

（1）用戶撥入鐵通的接入服務(wù)器ME60，輸入企業(yè)用戶帳號(hào)，并跟上相應(yīng)的企業(yè)后綴，輸入相應(yīng)的企業(yè)用戶口令；

（2）鐵通ME60將帳號(hào)和口令傳入甘肅移動(dòng)的用戶認(rèn)證系統(tǒng)；

（3）認(rèn)證服務(wù)器根據(jù)用戶后綴，確認(rèn)為VPN用戶，該企業(yè)已在甘肅移動(dòng)的用戶認(rèn)證系統(tǒng)中注冊(cè)了相應(yīng)的后綴名和企業(yè)網(wǎng)關(guān)信息；

（4）認(rèn)證服務(wù)器將結(jié)果返回接入服務(wù)器（BRAS/LAC）；

（5）接入服務(wù)器建立與企業(yè)網(wǎng)關(guān)（LNS）的通道（L2TP）；

（6）企業(yè)網(wǎng)關(guān)收到甘肅移動(dòng)的接入服務(wù)器發(fā)送的用戶信息，并在二次認(rèn)證系統(tǒng)中對(duì)用戶信息進(jìn)行認(rèn)證，并決定接受或拒絕通道建立請(qǐng)求；

（7）企業(yè)網(wǎng)關(guān)向接入服務(wù)器確認(rèn)用戶通過認(rèn)證，并建立通道；

（8）企業(yè)網(wǎng)關(guān)與用戶交換PPP握手信息，為用戶分配IP地址；

（9）最終用戶與企業(yè)網(wǎng)關(guān)建立起端到端的PPP連接。

2）VPN認(rèn)證過程

VPN認(rèn)證過程的主要實(shí)現(xiàn)流程步驟如下：

（1）客戶端與BRAS/LAC進(jìn)行PPPLCP協(xié)商；

（2）客戶端與BRAS/LAC進(jìn)行PPP認(rèn)證；

（3）BRAS/LAC將接入請(qǐng)求發(fā)送給RADIUS服務(wù)器（一次認(rèn)證）；

（4）RADIUS服務(wù)器將認(rèn)證結(jié)果 （允許接入/拒絕接入）返回給BRAS/LAC；

（5）BRAS/LAC發(fā)送L2TP建立請(qǐng)求給LNS；

（6）LNS發(fā)送L2TP建立應(yīng)答給BRAS/LAC；

（7）BRAS/LAC與LNS的L2TP隧道建立；

（8）LNS與客戶端重新進(jìn)行PPP LCP協(xié)商（可選）；

（9）客戶端與LNS進(jìn)行PPP認(rèn)證；

（10）LNS將接入請(qǐng)求發(fā)送給RADIUS服務(wù)器；

（11）RADIUS服務(wù)器將認(rèn)證結(jié)果（允許接入/拒絕接入）返回給LNS；

（12）客戶端與LNS進(jìn)行IPCP協(xié)商，獲取IP地址，最終建立VPN通信。

3）隧道建立過程

（1）終端用戶接入認(rèn)證通過后，接入AAA將相應(yīng)的LNS地址和其他參數(shù)發(fā)送到BRAS設(shè)備中；

（2）BRAS對(duì)LNS發(fā)出L2TP隧道建立請(qǐng)求，協(xié)商會(huì)話參數(shù)；

（3）LNS收到請(qǐng)求后對(duì)BRAS回應(yīng)；

（4）BRAS收到回應(yīng)，建立隧道，并通過隧道封裝用戶PPP流量。

5.4數(shù)據(jù)配置與業(yè)務(wù)終端

VPN用戶的相關(guān)信息在歸屬地接入AAA（第一層認(rèn)證）和LNSAAA（第二層認(rèn)證）中配置。在歸屬地接入AAA中配置本地VPN用戶信息、對(duì)應(yīng)LNS地址、VPN隧道屬性以及隧道加密信息，在LNS AAA中配置終端用戶的賬號(hào)和密碼。固網(wǎng)VPN業(yè)務(wù)終端一般為臺(tái)式機(jī)、筆記本等PC機(jī)。

納稅企業(yè)和個(gè)人都可通過甘肅鐵通寬帶城域網(wǎng)中的ME60提供的L2TP功能，跨域接入了移動(dòng)網(wǎng)絡(luò)的稅務(wù)打印發(fā)票系統(tǒng)，在公網(wǎng)上傳遞的高可靠性，解決了零散用戶高速打印地稅發(fā)票的難題，為網(wǎng)內(nèi)用戶提供了優(yōu)質(zhì)的服務(wù)。

4　結(jié)束語

現(xiàn)階段，L2TP是最實(shí)用的應(yīng)用，以甘肅鐵通PPPOE或?qū)＞€用戶的技術(shù)實(shí)現(xiàn)及移動(dòng)的LNS的組網(wǎng)、業(yè)務(wù)實(shí)現(xiàn)流程進(jìn)行了分析，且L2TP業(yè)務(wù)的發(fā)展正處于高速上漲的時(shí)期，該項(xiàng)技術(shù)也在不斷改進(jìn)，既可以不分地域、環(huán)境、時(shí)間以及接入方式，帶寬的限制，都以其高度安全的靈活性，滿足了不同企業(yè)用戶。運(yùn)營商也必須進(jìn)行技術(shù)領(lǐng)先和創(chuàng)新，根據(jù)市場(chǎng)的業(yè)務(wù)發(fā)展需求，不斷地推出有吸引力的新業(yè)務(wù)，還可進(jìn)一步方便展開MPLS+VPN業(yè)務(wù)，這一業(yè)務(wù)領(lǐng)域也是數(shù)據(jù)類的增值業(yè)務(wù)利潤的主要來源，對(duì)于增強(qiáng)業(yè)務(wù)核心競(jìng)爭能力有著積極的推動(dòng)作用。

TN929.5