【正文】 西 南 交 通 大 學(xué)研 究 生 學(xué) 位 論 文二層隧道協(xié)議研究及L2TPv3數(shù)據(jù)層的實(shí)現(xiàn) 西南交通大學(xué)碩士研究生學(xué)位論文 第61頁Classified Index: : Southwest Jiaotong UniversityMaster Degree ThesisResearch on Layer 2 Tunneling Protocols and Implementation of L2TPv3 Data LayerGrade: Candidate:Academic Degree Applied for:Speciality:Supervisor:2000 Liu XiaoBinMasterComputer ApplicationsZeng Huashen.June 8, 2003 摘 要虛擬專用網(wǎng)(VPN)技術(shù)是建設(shè)地理位置分散的行業(yè)或企業(yè)網(wǎng)的重要手段。采用VPN技術(shù)，網(wǎng)絡(luò)建設(shè)者可以利用公用數(shù)據(jù)網(wǎng)提供的服務(wù)，在敷設(shè)或租用用戶（長途）專線的條件下組建安全專用網(wǎng)絡(luò)。二層隧道技術(shù)則是一種利用公用數(shù)據(jù)網(wǎng)建立通信隧道實(shí)現(xiàn)對(duì)公用數(shù)據(jù)網(wǎng)兩端的第2層協(xié)議（特別是PPP）進(jìn)行中繼的組建第2層VPN的方法。本論文以第2層VPN技術(shù)為背景，研究隧道傳輸技術(shù)。本論文所反映的工作，是四川省網(wǎng)絡(luò)通信技術(shù)重點(diǎn)實(shí)驗(yàn)室“二層隧道協(xié)議課題組”的共同成果，該項(xiàng)目起因是試圖對(duì)早期版本的隧道傳輸技術(shù)（L2F、PPTP和L2TP）的非對(duì)稱應(yīng)用模式推廣到對(duì)稱應(yīng)用模式，以及將該思想應(yīng)用于其他層協(xié)議的隧道傳輸。該思路比2003年IETF的建議草案，即L2TPv3覆蓋的范圍更廣。論文作者的工作包括： 對(duì)3個(gè)版本的隧道傳輸協(xié)議的產(chǎn)生背景、各版本的異同進(jìn)行了較為詳細(xì)的分析。在此基礎(chǔ)上, 作者與課題組其他兩位成員一道提出了將隧道傳輸思想推廣到對(duì)稱應(yīng)用模式和其他協(xié)議層。 以項(xiàng)目組提出的擴(kuò)展思路，結(jié)合L2TPv3提供了一個(gè)功能相對(duì)較為完整的協(xié)議實(shí)現(xiàn)，并對(duì)該實(shí)現(xiàn)進(jìn)行了部分測(cè)試，初步驗(yàn)證了課題組提出的擴(kuò)展思路的可行性。其中，在協(xié)議實(shí)現(xiàn)方面，作者的工作重點(diǎn)是數(shù)據(jù)的封裝與中繼傳輸?shù)脑O(shè)計(jì)與實(shí)現(xiàn)，這部分功能主要體現(xiàn)在系統(tǒng)的內(nèi)核數(shù)據(jù)層模塊中。最后作者對(duì)所作的工作做了簡短的總結(jié)，并對(duì)該技術(shù)提出了展望。該協(xié)議有一定的應(yīng)用前景，通過對(duì)它的擴(kuò)展，應(yīng)用面將更加廣泛。關(guān)鍵詞：二層隧道協(xié)議，L2TP訪問集中器，L2TP網(wǎng)絡(luò)服務(wù)器，數(shù)據(jù)層模塊AbstractVirtual Private Network (VPN) techniques are being more and more important in organization of Intranets for geographically dispersed enterprises or munities. The layer 2 tunneling technique is one of the VPN techniques, which is dedicated to ferry the layer 2 protocols through public data networks.The background of this dissertation is Virtual Private Networks (VPN), with an emphasis on Level 2 tunneling techniques. This dissertation presented a theoretical work as well as an experimental implementation of the L2TP carried out at the Sichuan Network Communication Key Laboratory. This project was spurred by idea of extending the application of the tunneling technique to a broad area as a result of a preliminary study on tunneling techniques, especially on L2F, PPTP and L2TP (monly referred to as L2TPv2). Such idea is intended to apply tunneling techniques to protocols not only to level 2 protocols as defined in newest version in IETF draft standard (L2TPv3) but also to protocols in other layers. The work presented in this dissertation covers:1. A prehensive study of layer 2 tunneling techniques: the incentive behind and the essence of tunneling techniques, and changes in different versions and a forward view in future application. 2. A paratively plete implementation of L2TPv3 base on the idea of the extension to tunneling techniques, which the author has chiefly contributed to the design and realization of the data layer module in the kernal and relevant test.Keywords：L2TP，LAC，LNS，Data Layer Module目 錄第一章 緒論 1 1 1 L2TPv2 3 L2TPv3的主要擴(kuò)展 4 作者的工作及論文結(jié)構(gòu) 6 作者的工作 6 論文結(jié)構(gòu) 7第二章 L2TPv3協(xié)議基本概念及實(shí)現(xiàn)的思路 8 L2TPv3協(xié)議基本概念 8 8 9 L2TPv3 over UDP/IP 10 L2TP over UDP 11 L2TP over IP 11 L2TP協(xié)議幀的封裝 11 11 TCP/IP協(xié)議棧內(nèi)部的數(shù)據(jù)流向分析 12 加入L2TP協(xié)議后內(nèi)部數(shù)據(jù)流向分析 13 實(shí)現(xiàn)思路 13第三章 L2TPv3協(xié)議分析與設(shè)計(jì) 15 L2TPv3隧道報(bào)文 15 控制和數(shù)據(jù)報(bào)文 15 L2TP over UDP會(huì)話報(bào)文格式 17 L2TP over IP會(huì)話報(bào)文格式 17 AVP定義 18 強(qiáng)制AVP 19 AVP的隱藏 19 控制報(bào)文類型 21 控制連接 22 控制連接管理 22 控制信道的動(dòng)態(tài) 23 控制連接狀態(tài)機(jī) 25 會(huì)話連接 28 會(huì)話管理 28 呼入呼叫狀態(tài)機(jī) 30 呼出呼叫狀態(tài)機(jī) 32 L2TP系統(tǒng)總體框架及各功能模塊的劃分 35 L2TP系統(tǒng)總體框架 35 L2TP內(nèi)核信令層 35 L2TP內(nèi)核數(shù)據(jù)層 35 L2TP守護(hù)進(jìn)程（L2TPD） 35第四章 L2TPv3協(xié)議系統(tǒng)實(shí)現(xiàn) 37 概述 37 系統(tǒng)開發(fā)意義 37 系統(tǒng)實(shí)現(xiàn)的支撐環(huán)境 37 統(tǒng)一建模語言（UML） 38 信令層的設(shè)計(jì) 39 信令層模塊對(duì)象 39 信令層模塊接口 41 數(shù)據(jù)層的設(shè)計(jì) 42 數(shù)據(jù)層模塊對(duì)象 42 數(shù)據(jù)層模塊外部接口 45 L2TPD的設(shè)計(jì) 48第五章 協(xié)議軟件測(cè)試 49 單元測(cè)試 49 單元測(cè)試的任務(wù) 49 單元測(cè)試過程 50 測(cè)試實(shí)例 51 集成測(cè)試 52 L2TP軟件系統(tǒng)測(cè)試集 52 測(cè)試實(shí)例 53第六章 總結(jié)與展望 55 簡短的總結(jié) 55 展望 56致 謝 57參考文獻(xiàn) 58攻讀碩士學(xué)位期間發(fā)表的論文及科研成果 61 第一章 緒論機(jī)構(gòu)眾多而在地域上分散的行業(yè)或企業(yè)為了組織安全的企業(yè)內(nèi)部網(wǎng)（Private Network），傳統(tǒng)上采用敷設(shè)自己的專用線路網(wǎng)或租用專用線路/信道來實(shí)現(xiàn)。但是，這種組網(wǎng)方式的成本往往太高，于是虛擬專用網(wǎng)絡(luò)（VPN – Virtual Private Network）技術(shù)應(yīng)運(yùn)而生。所謂VPN是一種物理資源為多個(gè)網(wǎng)絡(luò)或單機(jī)系統(tǒng)共用，但可以根據(jù)需要限定用戶/網(wǎng)絡(luò)間相互訪問能力，對(duì)非受限網(wǎng)絡(luò)或用戶之間，其效果就像在使用自己的專用網(wǎng)絡(luò)。由于在物理上并非專用，因而稱之為“虛擬專用網(wǎng)”。,(Facility)叫做“內(nèi)部小組”（Closed Group）服務(wù)[1]。,而非該內(nèi)部小組的成員不得與該組內(nèi)成員交換信息。Internet環(huán)境提供了兩種典型的VPN技術(shù)：安全I(xiàn)P協(xié)議（IPSec）[2]和二層隧道協(xié)議[7～9]。本文的討論主題是后者，相關(guān)的協(xié)議已經(jīng)發(fā)展到第三版。二層隧道協(xié)議是一種利用公用數(shù)據(jù)網(wǎng)(網(wǎng)絡(luò)層的IP服務(wù)或數(shù)據(jù)鏈路層的ATM信元(Cell)傳輸服務(wù)、幀中繼服務(wù)或以太網(wǎng)傳輸服務(wù))在公用網(wǎng)接近通信用戶的遠(yuǎn)程節(jié)點(diǎn)之間建立“隧道”（Tunnel）對(duì)相同或不同用戶對(duì)的多條第2層的連接進(jìn)行安全地中繼。第一版的二層隧道協(xié)議以L2F和PPTP為代表。PPTP[9]是由多家公司（其中包括Microsoft，3Com，ECI ）專門為支持VPN而開發(fā)的一種技術(shù)。盡管PPTP的隧道是利用網(wǎng)絡(luò)層協(xié)議GRE（Generic Routing Encapsulation）RFC 1701和1702[4]來建立隧道的，但由于隧道傳送的對(duì)象是數(shù)據(jù)鏈路層的PPP（點(diǎn)對(duì)點(diǎn)）協(xié)議，因此仍把它視為第二層隧道協(xié)議。PPTP保持了傳統(tǒng)的撥號(hào)終端通過網(wǎng)絡(luò)訪問服務(wù)器（NAS – Network Access Server）訪問應(yīng)用服務(wù)器的C/S模式，將NAS拆分為：應(yīng)用服務(wù)器側(cè)的 “點(diǎn)到點(diǎn)隧道協(xié)議網(wǎng)絡(luò)服務(wù)器”（PNS – PPTP Network Server）和撥號(hào)用戶側(cè)的 “點(diǎn)到點(diǎn)隧道協(xié)議訪問控制集中器”（PAC – PPTP Access Concentrator）。在PNS與PAC之間利用于TCP/IP建立“隧道控制連接”來控制基于GRE上的隧道的建立。在隧道內(nèi)建立PPP連接時(shí)，PPTP需要對(duì)訪問者的身份進(jìn)行認(rèn)證（如用戶名，口令和域名等）。L2F[13]是由Cisco公司提出的，可以在多種介質(zhì)（如ATM，F(xiàn)R，IP）上建立多協(xié)議的安全VPN的通信方式。它將鏈路層的協(xié)議（如HDLC，PPP，ASYNC等）封裝起來傳送，因此網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶的鏈路層協(xié)議。第二版的二層隧道協(xié)議RFC 2661[7]是由Cisco、Ascedn、微軟和RedBack的專家提出的，并正式采用了第2層隧道協(xié)議的名稱（L2TP Layer 2 Tunneling Protocol），后來被成為L2TPv2。L2TPv2結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，其應(yīng)用對(duì)象與PPTP類似，也是專門針對(duì)點(diǎn)到點(diǎn)協(xié)議（PPP – PointtoPoint Protocol）[6]進(jìn)行隧道傳輸和中繼的協(xié)議。L2TPv2允許從客戶端或從訪問服務(wù)器端發(fā)起建立PPP傳輸連接的隧道的過程，從而實(shí)現(xiàn)應(yīng)用服務(wù)器與終端之間的第2層VPN功能。L2TPv2把傳輸鏈路層PPP的隧道建立在公用數(shù)據(jù)網(wǎng)提供的某一層服務(wù)之上（如：IP、ATM信元層或幀中繼）進(jìn)行隧道傳輸，這與PPTP將隧道限制在建立在網(wǎng)絡(luò)層的GRE之上的思路相比，其可適應(yīng)的網(wǎng)絡(luò)環(huán)境更加廣泛。通過對(duì)L2TPv2[2]協(xié)議的學(xué)習(xí)和深入研究，作者與其他幾位研究組成員都認(rèn)為：L2TPv2試圖解決的僅限于撥號(hào)或?qū)＞€用戶訪問遠(yuǎn)端服務(wù)器的問題，只是遠(yuǎn)程互聯(lián)的一種特殊情況?！八淼纻鬏敗被蛘摺斑^渡”的思想[5]實(shí)際上有更廣泛的應(yīng)用前景。如果我們把公用分組交換網(wǎng)提供的某一層服務(wù)看作是河流（或建立隧道的基礎(chǔ)），把包裝運(yùn)送某層用戶數(shù)據(jù)的工具看作渡船（或隧道），而把所要運(yùn)送的數(shù)據(jù)看作過渡的乘客/車輛（或者隧道中的連接/數(shù)據(jù)），那么： 過渡的對(duì)象可以不限于第2層的PPP協(xié)議數(shù)據(jù)，從更廣的角度看過渡的對(duì)象還可以拓寬到對(duì)2層以外的其他協(xié)議層數(shù)據(jù)； 隧道傳輸或過渡的思想可以不限于L2TP中的非對(duì)稱撥號(hào)終端訪問服務(wù)器的C/S模式，也可以應(yīng)用于對(duì)稱的網(wǎng)對(duì)網(wǎng)互聯(lián)和撥號(hào)/專線終端對(duì)終端的訪問。上述思路就是開展本項(xiàng)研究的動(dòng)因。在相關(guān)研究工作進(jìn)展的過程中，作者發(fā)現(xiàn)Cisco公司也在作類似的研究，并在2003年發(fā)現(xiàn)了IETF建議草案L2TPv3[18～19]，即二層隧道協(xié)議的第三版。結(jié)合作者所在研究小組的工作和L2TPv3，本論文反映的工作的重點(diǎn)為對(duì)L2TPv3的研究和相關(guān)軟件開發(fā)工作。 L2TPv2由于本文多處涉及隧道的概念，有必要在此做簡要說明。隧道技術(shù)是一種將某層的有連接或無連接的數(shù)據(jù)分組/報(bào)文進(jìn)行包裝（Encapsulation）后，借用可用網(wǎng)絡(luò)環(huán)境提供的服務(wù)在遠(yuǎn)程節(jié)點(diǎn)間進(jìn)行透明傳送的技術(shù)。利用公用數(shù)據(jù)網(wǎng)建立的連接被稱為“隧道”（Tunnel），利用隧道傳送或中繼的功能被稱為隧道傳輸（Tunneling）；而被隧道運(yùn)載的數(shù)據(jù)或連接的協(xié)議層則被用于標(biāo)識(shí)隧道的用途，例如第2層隧道協(xié)議則表示被運(yùn)送的連接或數(shù)據(jù)與第2層的協(xié)議相聯(lián)系。對(duì)隧道功能的形象表達(dá)可以用“過渡”（Ferrying）來描述，公用數(shù)據(jù)網(wǎng)可以看作是河流，隧道視為“渡船”（Ferry），而過渡的乘客或車輛則是用戶期望過河的數(shù)據(jù)。在本文的討論中上述兩種表達(dá)方式是等價(jià)的。