一、VPDN簡介

VPDN（Virtual Private Dial Network，虛擬私有撥號網）是指利用公共網絡（如ISDN和PSTN）的撥號功能及接入網來實現虛擬專用網，從而為企業、小型ISP、移動辦公人員提供接入服務。

VPDN采用專用的網絡加密通信協議，在公共網絡上為企業建立安全的虛擬專網。企業駐外機構和出差人員可從遠程經由公共網絡，通過虛擬加密隧道實現和企業總部之間的網絡連接，而公共網絡上其它用戶則無法穿過虛擬隧道訪問企業網內部的資源。

VPDN有下列兩種實現方式：

1）NAS通過隧道協議，與VPDN網關建立通道的方式。這種方式將客戶的PPP連接直接連到企業的網關上，目前可使用 的協議有L2F與L2TP。其好處在于：對用戶是透明的，用戶只需要登錄一次就可以接入企業網絡，由企業網進行用戶認證和地址分配，而不占用公共地址，用 戶可使用各種平臺上網。這種方式需要NAS支持VPDN協議，需要認證系統支持VPDN屬性，網關一般使用路由器或×××專用服務器。

2）客戶機與VPDN網關建立隧道的方式。這種方式由客戶機先建立與Internet的連接，再通過專用的客戶軟件（如 Win2000支持的L2TP客戶端）與網關建立通道連接。其好處在于：用戶上網的方式和地點沒有限制，不需ISP介入。缺點是：用戶需要安裝專用的軟件 （一般都是Win2000平臺），限制了用戶使用的平臺。
VPDN隧道協議可分為PPTP、L2F和L2TP三種，目前使用最廣泛的是L2TP。

二、L2TP協議介紹

1)協議背景

PPP協議定義了一種封裝技術，可以在二層的點到點鏈路上傳輸多種協議數據包，這時用戶與NAS之間運行PPP協議，二層鏈路端點與PPP會話點駐留在相同硬件設備上。

L2TP協議提供了對PPP鏈路層數據包的通道（Tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設 備上并且采用包交換網絡技術進行信息交互，從而擴展了PPP模型。L2TP協議結合了L2F協議和PPTP協議的各自優點，成為IETF有關二層隧道協議 的工業標準。

2)典型L2TP組網應用

使用L2TP協議構建的VPDN應用的典型組網如圖1所示：

其中，LAC表示L2TP訪問集中器（L2TP Access Concentrator），是附屬在交換網絡上的具有PPP端系統和L2TP協議處理能力的設備。LAC一般是一個網絡接入服務器NAS，主要用于通過PSTN/ISDN網絡為用戶提供接入服務。LNS表示L2TP網絡服務器（L2TP Network Server），是PPP端系統上用于處理L2TP協議服務器端部分的設備。

LAC位于LNS和遠端系統（遠地用戶和遠地分支機構）之間，用于在LNS和遠端系統之間傳遞信息包，把從遠端系統收到 的信息包按照L2TP協議進行封裝并送往LNS，將從LNS收到的信息包進行解封裝并送往遠端系統。LAC與遠端系統之間可以采用本地連接或PPP鏈 路，VPDN應用中通常為PPP鏈路。LNS作為L2TP隧道的另一側端點，是LAC的對端設備，是被LAC進行隧道傳輸的PPP會話的邏輯終止端點。

3)L2TP協議的技術細節

A)L2TP協議結構

上圖所示L2TP協議結構描述了PPP幀和控制通道以及數據通道之間的關系。PPP幀在不可靠的L2TP數據通道上進行傳輸，控制消息在可靠的L2TP控制通道內傳輸。

通常L2TP數據以UDP報文的形式發送。L2TP注冊了UDP 1701端口，但是這個端口僅用于初始的隧道建立過程中。L2TP隧道發起方任選一個空閑的端口（未必是1701）向接收方的1701端口發送報文；接收 方收到報文后，也任選一個空閑的端口（未必是1701），給發送方的指定端口回送報文。至此，雙方的端口選定，并在隧道保持連通的時間段內不再改變。

B) 隧道和會話的概念

在一個LNS和LAC對之間存在著兩種類型的連接，一種是隧道（Tunnel）連接，它定義了一個LNS和LAC對；另 一種是會話（Session）連接，它復用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。在同一對LAC和LNS之間可以建立多個 L2TP隧道，隧道由一個控制連接和一個或多個會話（Session）組成。會話連接必須在隧道建立（包括身份保護、L2TP版本、幀類型、硬件傳輸類型 等信息的交換）成功之后進行，每個會話連接對應于LAC和LNS之間的一個PPP數據流。控制消息和PPP數據報文都在隧道上傳輸。

L2TP使用Hello報文來檢測隧道的連通性。LAC和LNS定時向對端發送Hello報文，若在一段時間內未收到Hello報文的應答，該會話將被清除。

C) 控制消息和數據消息的概念

L2TP中存在兩種消息：控制消息和數據消息。控制消息用于隧道和會話連接的建立、維護以及傳輸控制；數據消息則用于封 裝PPP幀并在隧道上傳輸。控制消息的傳輸是可靠傳輸，并且支持對控制消息的流量控制和擁塞控制；而數據消息的傳輸是不可靠傳輸，若數據報文丟失，不予重 傳，不支持對數據消息的流量控制和擁塞控制。
控制消息和數據消息共享相同的報文頭。L2TP報文頭中包含隧道標識符（Tunnel ID）和會話標識符（Session ID）信息，用來標識不同的隧道和會話。隧道標識相同、會話標識不同的報文將被復用在一個隧道上，報文頭中的隧道標識符與會話標識符由對端分配。

4)兩種典型的L2TP隧道模式

遠端系統或LAC客戶端（運行L2TP協議的主機）與LNS之間對PPP幀的隧道模式如圖3所示：

a. 由遠程撥號用戶發起。
遠程系統撥入LAC，由LAC通過Internet向LNS發起建立通道連接請求。撥號用戶地址由LNS分配；對遠程撥號用戶的驗證與計費既可由LAC側的代理完成，也可在LNS側完成，在這里MA5200充當LAC
b. 直接由LAC客戶（指可在本地支持L2TP協議的用戶）發起。
此時LAC客戶可直接向LNS發起通道連接請求，無需再經過一個單獨的LAC設備。此時，LAC客戶地址的分配由LNS來完成。

5)L2TP隧道會話的建立過程

L2TP通道的呼叫建立流程可如圖4所示：

6)L2TP優勢
a. 靈活的身份驗證機制以及高度的安全性
L2TP協議本身并不提供連接的安全性，但它可依賴于PPP提供的認證（比如CHAP、PAP等），因此具有PPP所具 有的所有安全特性。L2TP可與IPSec結合起來實現數據安全，這使得通過L2TP所傳輸的數據更難被攻擊。L2TP還可根據特定的網絡安全要求在 L2TP之上采用通道加密技術、端對端數據加密或應用層數據加密等方案來提高數據的安全性。
b. 多協議傳輸
L2TP傳輸PPP數據包，這樣就可以在PPP數據包內封裝多種協議。
c. 支持RADIUS服務器的驗證
LAC端將用戶名和密碼發往RADIUS服務器進行驗證申請，RADIUS服務器負責接收用戶的驗證請求，完成驗證。
d. 支持內部地址分配
LNS可放置于企業網的防火墻之后，它可以對遠端用戶的地址進行動態的分配和管理，可支持私有地址應用（RFC1918）。為遠端用戶所分配的地址不是Internet地址而是企業內部的私有地址，這樣方便了地址的管理并可以增加安全性。
e. 網絡計費的靈活性
可在LAC和LNS兩處同時計費，即ISP處（用于產生帳單）及企業網關（用于付費及審計）。L2TP能夠提供數據傳輸的出入包數、字節數以及連接的起始、結束時間等計費數據，可根據這些數據方便地進行網絡計費。
f. 可靠性
L2TP協議支持備份LNS，當一個主LNS不可達之后，LAC可以重新與備份LNS建立連接，這樣增加了×××服務的可靠性和容錯性。

http://www.alotcer.com/index.php?c=article&a=type&tid=96