一、VPDN簡介

VPDN（Virtual Private Dial Network，虛擬私有撥號網(wǎng)）是指利用公共網(wǎng)絡(luò)（如ISDN和PSTN）的撥號功能及接入網(wǎng)來實現(xiàn)虛擬專用網(wǎng)，從而為企業(yè)、小型ISP、移動辦公人員提供接入服務(wù)。

VPDN采用專用的網(wǎng)絡(luò)加密通信協(xié)議，在公共網(wǎng)絡(luò)上為企業(yè)建立安全的虛擬專網(wǎng)。企業(yè)駐外機(jī)構(gòu)和出差人員可從遠(yuǎn)程經(jīng)由公共網(wǎng)絡(luò)，通過虛擬加密隧道實現(xiàn)和企業(yè)總部之間的網(wǎng)絡(luò)連接，而公共網(wǎng)絡(luò)上其它用戶則無法穿過虛擬隧道訪問企業(yè)網(wǎng)內(nèi)部的資源。

VPDN有下列兩種實現(xiàn)方式：

1）NAS通過隧道協(xié)議，與VPDN網(wǎng)關(guān)建立通道的方式。這種方式將客戶的PPP連接直接連到企業(yè)的網(wǎng)關(guān)上，目前可使用 的協(xié)議有L2F與L2TP。其好處在于：對用戶是透明的，用戶只需要登錄一次就可以接入企業(yè)網(wǎng)絡(luò)，由企業(yè)網(wǎng)進(jìn)行用戶認(rèn)證和地址分配，而不占用公共地址，用 戶可使用各種平臺上網(wǎng)。這種方式需要NAS支持VPDN協(xié)議，需要認(rèn)證系統(tǒng)支持VPDN屬性，網(wǎng)關(guān)一般使用路由器或×××專用服務(wù)器。

2）客戶機(jī)與VPDN網(wǎng)關(guān)建立隧道的方式。這種方式由客戶機(jī)先建立與Internet的連接，再通過專用的客戶軟件（如 Win2000支持的L2TP客戶端）與網(wǎng)關(guān)建立通道連接。其好處在于：用戶上網(wǎng)的方式和地點沒有限制，不需ISP介入。缺點是：用戶需要安裝專用的軟件 （一般都是Win2000平臺），限制了用戶使用的平臺。
VPDN隧道協(xié)議可分為PPTP、L2F和L2TP三種，目前使用最廣泛的是L2TP。

二、L2TP協(xié)議介紹

1)協(xié)議背景

PPP協(xié)議定義了一種封裝技術(shù)，可以在二層的點到點鏈路上傳輸多種協(xié)議數(shù)據(jù)包，這時用戶與NAS之間運(yùn)行PPP協(xié)議，二層鏈路端點與PPP會話點駐留在相同硬件設(shè)備上。

L2TP協(xié)議提供了對PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持，允許二層鏈路端點和PPP會話點駐留在不同設(shè) 備上并且采用包交換網(wǎng)絡(luò)技術(shù)進(jìn)行信息交互，從而擴(kuò)展了PPP模型。L2TP協(xié)議結(jié)合了L2F協(xié)議和PPTP協(xié)議的各自優(yōu)點，成為IETF有關(guān)二層隧道協(xié)議 的工業(yè)標(biāo)準(zhǔn)。

2)典型L2TP組網(wǎng)應(yīng)用

使用L2TP協(xié)議構(gòu)建的VPDN應(yīng)用的典型組網(wǎng)如圖1所示：

其中，LAC表示L2TP訪問集中器（L2TP Access Concentrator），是附屬在交換網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備。LAC一般是一個網(wǎng)絡(luò)接入服務(wù)器NAS，主要用于通過PSTN/ISDN網(wǎng)絡(luò)為用戶提供接入服務(wù)。LNS表示L2TP網(wǎng)絡(luò)服務(wù)器（L2TP Network Server），是PPP端系統(tǒng)上用于處理L2TP協(xié)議服務(wù)器端部分的設(shè)備。

LAC位于LNS和遠(yuǎn)端系統(tǒng)（遠(yuǎn)地用戶和遠(yuǎn)地分支機(jī)構(gòu)）之間，用于在LNS和遠(yuǎn)端系統(tǒng)之間傳遞信息包，把從遠(yuǎn)端系統(tǒng)收到 的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，將從LNS收到的信息包進(jìn)行解封裝并送往遠(yuǎn)端系統(tǒng)。LAC與遠(yuǎn)端系統(tǒng)之間可以采用本地連接或PPP鏈 路，VPDN應(yīng)用中通常為PPP鏈路。LNS作為L2TP隧道的另一側(cè)端點，是LAC的對端設(shè)備，是被LAC進(jìn)行隧道傳輸?shù)腜PP會話的邏輯終止端點。

3)L2TP協(xié)議的技術(shù)細(xì)節(jié)

A)L2TP協(xié)議結(jié)構(gòu)

上圖所示L2TP協(xié)議結(jié)構(gòu)描述了PPP幀和控制通道以及數(shù)據(jù)通道之間的關(guān)系。PPP幀在不可靠的L2TP數(shù)據(jù)通道上進(jìn)行傳輸，控制消息在可靠的L2TP控制通道內(nèi)傳輸。

通常L2TP數(shù)據(jù)以UDP報文的形式發(fā)送。L2TP注冊了UDP 1701端口，但是這個端口僅用于初始的隧道建立過程中。L2TP隧道發(fā)起方任選一個空閑的端口（未必是1701）向接收方的1701端口發(fā)送報文；接收 方收到報文后，也任選一個空閑的端口（未必是1701），給發(fā)送方的指定端口回送報文。至此，雙方的端口選定，并在隧道保持連通的時間段內(nèi)不再改變。

B) 隧道和會話的概念

在一個LNS和LAC對之間存在著兩種類型的連接，一種是隧道（Tunnel）連接，它定義了一個LNS和LAC對；另 一種是會話（Session）連接，它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。在同一對LAC和LNS之間可以建立多個 L2TP隧道，隧道由一個控制連接和一個或多個會話（Session）組成。會話連接必須在隧道建立（包括身份保護(hù)、L2TP版本、幀類型、硬件傳輸類型 等信息的交換）成功之后進(jìn)行，每個會話連接對應(yīng)于LAC和LNS之間的一個PPP數(shù)據(jù)流。控制消息和PPP數(shù)據(jù)報文都在隧道上傳輸。

L2TP使用Hello報文來檢測隧道的連通性。LAC和LNS定時向?qū)Χ税l(fā)送Hello報文，若在一段時間內(nèi)未收到Hello報文的應(yīng)答，該會話將被清除。

C) 控制消息和數(shù)據(jù)消息的概念

L2TP中存在兩種消息：控制消息和數(shù)據(jù)消息�？刂葡�息用于隧道和會話連接的建立、維護(hù)以及傳輸控制；數(shù)據(jù)消息則用于封 裝PPP幀并在隧道上傳輸�？刂葡�息的傳輸是可靠傳輸，并且支持對控制消息的流量控制和擁塞控制；而數(shù)據(jù)消息的傳輸是不可靠傳輸，若數(shù)據(jù)報文丟失，不予重 傳，不支持對數(shù)據(jù)消息的流量控制和擁塞控制。
控制消息和數(shù)據(jù)消息共享相同的報文頭。L2TP報文頭中包含隧道標(biāo)識符（Tunnel ID）和會話標(biāo)識符（Session ID）信息，用來標(biāo)識不同的隧道和會話。隧道標(biāo)識相同、會話標(biāo)識不同的報文將被復(fù)用在一個隧道上，報文頭中的隧道標(biāo)識符與會話標(biāo)識符由對端分配。

4)兩種典型的L2TP隧道模式

遠(yuǎn)端系統(tǒng)或LAC客戶端（運(yùn)行L2TP協(xié)議的主機(jī)）與LNS之間對PPP幀的隧道模式如圖3所示：

a. 由遠(yuǎn)程撥號用戶發(fā)起。
遠(yuǎn)程系統(tǒng)撥入LAC，由LAC通過Internet向LNS發(fā)起建立通道連接請求。撥號用戶地址由LNS分配；對遠(yuǎn)程撥號用戶的驗證與計費(fèi)既可由LAC側(cè)的代理完成，也可在LNS側(cè)完成，在這里MA5200充當(dāng)LAC
b. 直接由LAC客戶（指可在本地支持L2TP協(xié)議的用戶）發(fā)起。
此時LAC客戶可直接向LNS發(fā)起通道連接請求，無需再經(jīng)過一個單獨的LAC設(shè)備。此時，LAC客戶地址的分配由LNS來完成。

5)L2TP隧道會話的建立過程

L2TP通道的呼叫建立流程可如圖4所示：

6)L2TP優(yōu)勢
a. 靈活的身份驗證機(jī)制以及高度的安全性
L2TP協(xié)議本身并不提供連接的安全性，但它可依賴于PPP提供的認(rèn)證（比如CHAP、PAP等），因此具有PPP所具 有的所有安全特性。L2TP可與IPSec結(jié)合起來實現(xiàn)數(shù)據(jù)安全，這使得通過L2TP所傳輸?shù)臄?shù)據(jù)更難被攻擊。L2TP還可根據(jù)特定的網(wǎng)絡(luò)安全要求在 L2TP之上采用通道加密技術(shù)、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。
b. 多協(xié)議傳輸
L2TP傳輸PPP數(shù)據(jù)包，這樣就可以在PPP數(shù)據(jù)包內(nèi)封裝多種協(xié)議。
c. 支持RADIUS服務(wù)器的驗證
LAC端將用戶名和密碼發(fā)往RADIUS服務(wù)器進(jìn)行驗證申請，RADIUS服務(wù)器負(fù)責(zé)接收用戶的驗證請求，完成驗證。
d. 支持內(nèi)部地址分配
LNS可放置于企業(yè)網(wǎng)的防火墻之后，它可以對遠(yuǎn)端用戶的地址進(jìn)行動態(tài)的分配和管理，可支持私有地址應(yīng)用（RFC1918）。為遠(yuǎn)端用戶所分配的地址不是Internet地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。
e. 網(wǎng)絡(luò)計費(fèi)的靈活性
可在LAC和LNS兩處同時計費(fèi)，即ISP處（用于產(chǎn)生帳單）及企業(yè)網(wǎng)關(guān)（用于付費(fèi)及審計）。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)、字節(jié)數(shù)以及連接的起始、結(jié)束時間等計費(fèi)數(shù)據(jù)，可根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計費(fèi)。
f. 可靠性
L2TP協(xié)議支持備份LNS，當(dāng)一個主LNS不可達(dá)之后，LAC可以重新與備份LNS建立連接，這樣增加了×××服務(wù)的可靠性和容錯性。

http://www.alotcer.com/index.php?c=article&a=type&tid=96