【正文】 義，以及控制連接、會話連接和協(xié)議的狀態(tài)機做了具體地描述。主要分為以下幾個方面。 作者的工作及論文結(jié)構(gòu) 作者的工作本文作者在碩士研究生學習期間，參加并完成了玉溪法院案件信息管理軟件系統(tǒng)的設計與開發(fā)工作。二層連接LNSLNS分組交換網(wǎng)主機主機隧道服務主機主機 LNSLNS參考模型本地網(wǎng)本地網(wǎng)這三種拓撲結(jié)構(gòu)是對以往單一模式的擴展。這種方式下，兩邊都有虛擬接口與每個L2TP會話相關(guān)。這種連接是典型的對稱連接，也就是說任何一方可以在任何時候發(fā)起一個會話，甚至可以同時發(fā)起。Remote SystemPSTNLNS分組交換網(wǎng)隧道服務二層連接LAC主機主機本地網(wǎng)分組交換網(wǎng)：包括IP、ATM和FR。下面分別對這三種組合的應用環(huán)境加以說明： LACLNS組合，一方面，LAC接收二層的數(shù)據(jù)流。L2TP隧道PPP連接LAC ClientLNSInternet主機主機自建隧道是依靠LAC Client，其區(qū)別于非自建隧道主要在于：它的終端扮演了使用隧道的用戶以及建立隧道的LAC的雙重角色，由用戶來自行創(chuàng)建隧道。LNS在收到IP包后，拆封還原出L2TP，根據(jù)L2TP協(xié)議的進行處理，拆封還原出PPP幀，最后對PPPRemote SystemPSTNLACLNSInternet主機主機L2TP隧道PPP連接PSTN：公用電話交換網(wǎng)幀拆封，把還原出來的網(wǎng)絡層的數(shù)據(jù)包交給LNS的網(wǎng)絡層。L2TP的隧道分為非自建隧道（Compulsory Tunnel） 和自建隧道兩種。L2TPv2（本小節(jié)內(nèi)，為描述方便使用L2TP之處皆指L2TPv2）是為支持C/S模式而定義的訪問協(xié)議，L2TP隧道兩端的兩個組成部件為非對稱的LAC（L2TP Access Concentrator）和LNS（L2TP Network Server）。利用公用數(shù)據(jù)網(wǎng)建立的連接被稱為“隧道”（Tunnel），利用隧道傳送或中繼的功能被稱為隧道傳輸（Tunneling）；而被隧道運載的數(shù)據(jù)或連接的協(xié)議層則被用于標識隧道的用途，例如第2層隧道協(xié)議則表示被運送的連接或數(shù)據(jù)與第2層的協(xié)議相聯(lián)系。在相關(guān)研究工作進展的過程中，作者發(fā)現(xiàn)Cisco公司也在作類似的研究，并在2003年發(fā)現(xiàn)了IETF建議草案L2TPv3[18～19]，即二層隧道協(xié)議的第三版。通過對L2TPv2[2]協(xié)議的學習和深入研究，作者與其他幾位研究組成員都認為：L2TPv2試圖解決的僅限于撥號或?qū)＞€用戶訪問遠端服務器的問題，只是遠程互聯(lián)的一種特殊情況。第二版的二層隧道協(xié)議RFC 2661[7]是由Cisco、Ascedn、微軟和RedBack的專家提出的，并正式采用了第2層隧道協(xié)議的名稱（L2TP Layer 2 Tunneling Protocol），后來被成為L2TPv2。在PNS與PAC之間利用于TCP/IP建立“隧道控制連接”來控制基于GRE上的隧道的建立。第一版的二層隧道協(xié)議以L2F和PPTP為代表。,而非該內(nèi)部小組的成員不得與該組內(nèi)成員交換信息。但是，這種組網(wǎng)方式的成本往往太高，于是虛擬專用網(wǎng)絡（VPN – Virtual Private Network）技術(shù)應運而生。其中，在協(xié)議實現(xiàn)方面，作者的工作重點是數(shù)據(jù)的封裝與中繼傳輸?shù)脑O計與實現(xiàn)，這部分功能主要體現(xiàn)在系統(tǒng)的內(nèi)核數(shù)據(jù)層模塊中。該思路比2003年IETF的建議草案，即L2TPv3覆蓋的范圍更廣。采用VPN技術(shù)，網(wǎng)絡建設者可以利用公用數(shù)據(jù)網(wǎng)提供的服務，在敷設或租用用戶（長途）專線的條件下組建安全專用網(wǎng)絡。二層隧道技術(shù)則是一種利用公用數(shù)據(jù)網(wǎng)建立通信隧道實現(xiàn)對公用數(shù)據(jù)網(wǎng)兩端的第2層協(xié)議（特別是PPP）進行中繼的組建第2層VPN的方法。論文作者的工作包括： 對3個版本的隧道傳輸協(xié)議的產(chǎn)生背景、各版本的異同進行了較為詳細的分析。最后作者對所作的工作做了簡短的總結(jié)，并對該技術(shù)提出了展望。所謂VPN是一種物理資源為多個網(wǎng)絡或單機系統(tǒng)共用，但可以根據(jù)需要限定用戶/網(wǎng)絡間相互訪問能力，對非受限網(wǎng)絡或用戶之間，其效果就像在使用自己的專用網(wǎng)絡。Internet環(huán)境提供了兩種典型的VPN技術(shù)：安全IP協(xié)議（IPSec）[2]和二層隧道協(xié)議[7～9]。PPTP[9]是由多家公司（其中包括Microsoft，3Com，ECI ）專門為支持VPN而開發(fā)的一種技術(shù)。在隧道內(nèi)建立PPP連接時，PPTP需要對訪問者的身份進行認證（如用戶名，口令和域名等）。L2TPv2結(jié)合了L2F和PPTP的優(yōu)點，其應用對象與PPTP類似，也是專門針對點到點協(xié)議（PPP – PointtoPoint Protocol）[6]進行隧道傳輸和中繼的協(xié)議?！八淼纻鬏敗被蛘摺斑^渡”的思想[5]實際上有更廣泛的應用前景。結(jié)合作者所在研究小組的工作和L2TPv3，本論文反映的工作的重點為對L2TPv3的研究和相關(guān)軟件開發(fā)工作。對隧道功能的形象表達可以用“過渡”（Ferrying）來描述，公用數(shù)據(jù)網(wǎng)可以看作是河流，隧道視為“渡船”（Ferry），而過渡的乘客或車輛則是用戶期望過河的數(shù)據(jù)。LAC是（遠端）用戶終端（計算機）利用PPP接入L2TP隧道的訪問集中器。非自建隧道的創(chuàng)建不需要用戶來操作，也不允許用戶進行任何選擇。LNS發(fā)送給Remote System的數(shù)據(jù)包也可以通過相同的路徑反向傳送。與非自建隧道的處理過程基本類似，只不過PPP幀的生成與封裝全部在LAC Client中完成。另一方面，LNS邏輯上終止了本地的二層連接，并且發(fā)送三層數(shù)據(jù)流到本地網(wǎng)。PSTN:公共電話網(wǎng)絡 LACLNS參考模型②LACLAC組合每個LAC使用L2TP協(xié)議把遠程系統(tǒng)（Remote System）數(shù)據(jù)流發(fā)送到對等端的 LAC，反之亦然。一個會話可以通過用戶來建立，或者由某些信號所觸發(fā)的事件來驅(qū)動使其建立。不過LAC與LNS在功能處理上大同小異，只是在不同的場合扮演不同的角色，用戶在使用過程中可以通過相關(guān)的配置，使其完成所扮演的功能。工作完成后，筆者將自己的研究工作轉(zhuǎn)向了網(wǎng)絡技術(shù)方面，因此與同屆的李杰和任挺同學一道，開展了二層隧道協(xié)議方面研究與開發(fā)工作。第一章是隧道協(xié)議概要介紹，包括發(fā)展動因、版本變化、應用范圍和基本原理。并在此分析的基礎上提出了實現(xiàn)的總體框架。第二章 L2TPv3協(xié)議基本概念及實現(xiàn)的思路 L2TPv3 以下如不作特殊說明，L2TP均表示L2TPv3，但本章的基本概念多數(shù)也適用于L2TPv2.協(xié)議基本概念Attribute Value Pair (AVP)－屬性值對 一個唯一的屬性由一個整數(shù)來表示，它是一個可變長度的串。呼叫由呼叫的類型，被呼叫數(shù)等屬性以及呼叫的數(shù)據(jù)量來定義。電路可以靜態(tài)或者動態(tài)建立，在本文中，靜態(tài)配置的電路大體上可以作為一個單一的動態(tài)電路來考慮。呼人呼叫如果決定要求使用隧道，那么LAC將產(chǎn)生一個L2TP的ICRQ報文。Peer －端 在L2TP應用中，端一般是指一個L2TP控制連接的遠的一端，例如一個遠端LCCE。每一個L2TP會話都有一個偽線。在已建立的L2TP會話和與其相關(guān)的電路之間有一對一的關(guān)系。L2TP協(xié)議有兩種類型的報文，控制報文和數(shù)據(jù)報文。與控制報文不同的是，如果發(fā)生包的丟失，數(shù)據(jù)報文將不會重傳。它相對于L2TPv2發(fā)生了一些變化，L2TPv2中控制和數(shù)據(jù)報文的頭格式定義了一個統(tǒng)一的形式，而L2TPv3中將控制報文頭和數(shù)據(jù)報文頭區(qū)分開，以滿足在通過UDP或者IP不同應用時的需要。 L2TPv3中，除了同L2TPv2一樣定義了L2TP over UDP外，還新增加了L2TP over IP的內(nèi)容，并且針對這兩種應用重新定義了幀的格式。隧道的發(fā)起者選擇一個空閑的源UDP端口（如：1701或者其他端口），然后將UDP包發(fā)送到接收者的1701端口上，接收者選擇一個空閑端口（如：1701或者其他端口），并把它作為源端口，把發(fā)起者的IP地址和UDP端口作為目標地址和端口，發(fā)送一個響應。實現(xiàn)時可以首先發(fā)送一個L2TPv3格式的SCCRQ以初始化一個L2TPv3的控制連接，如果沒有響應，則回退到L2TPv2的操作。封裝完成后，通過隧道發(fā)送到LNS，LNS則完成解封裝的過程，獲得原始的數(shù)據(jù)。數(shù)據(jù)鏈路層與網(wǎng)絡層直接進行數(shù)據(jù)交換，以Linux操作系統(tǒng)為例，其L2P內(nèi)核直接把數(shù)據(jù)包交給TCP/IP內(nèi)核，然后再通過底層驅(qū)動，通常是Ethernet驅(qū)動，路由到目的地址。數(shù)據(jù)包也就是二層的數(shù)據(jù)，如PPP的幀，在隧道建立完成后，通過L2TP的內(nèi)核來完成封裝，再通過TCP/IP的內(nèi)核路由到目的端。如果由LNS發(fā)起呼叫，則功能類似于LAC。目的是為了本章最后所作的系統(tǒng)設計的需要，包括系統(tǒng)的框架設計以及模塊的劃分等。① 控制報文頭格式控制報文的頭格式如下圖所示：01234567890123456789012345678901TLXXSXXXXXXXVerLengthControl Connection IDNsNr 控制報文的頭格式默認情況下，控制報文和數(shù)據(jù)報文在底層介質(zhì)里一并傳輸，也就是帶內(nèi)傳輸。X域是保留位作為將來的擴展用，如果是呼出報文的話，保留位則設定為0，如果是呼入報文則忽略。這個標識符只具有本地意義，同一個控制連接的兩個LCCE分別具有唯一的連接標識符。Nr表示下一個收到的控制報文所期望的序列號，也就是說Nr的值被設定為Ns加1。不同類型的PSN必須定義自身的會話頭，能夠明確地區(qū)分頭的格式以及建立會話所需的參數(shù)。會話標識符只具有本地的意義，也就是說在會話的生命期內(nèi)，控制連接的兩端可以具有不同的會話ID。Cookie提供了一種確保數(shù)據(jù)報文直接與會話相關(guān)的機制，Cookie選擇恰當可以防止掉隊的報文與會話ID的錯誤關(guān)聯(lián)。數(shù)據(jù)報文頭后緊跟著所要入隧的二層幀。 L2TP over IP會話報文格式與L2TP over UDP不同，L2TPv3 over IP會話頭不受L2TPv2與L2F的限制。 AVP定義在確保互用性的情況下，為了最大化報文的可擴展性，在L2TP中采用報文類型和內(nèi)容統(tǒng)一編碼的方法。 強制（M）位用于控制收到無法識別或畸形的AVP時的執(zhí)行動作。隱藏（H）位用于識別AVP中屬性值域中的隱藏數(shù)據(jù)。最小的AVP長度為6個字節(jié)，這時的屬性值域為空。這里Vendor ID分配了16位，那么限制了企業(yè)數(shù)為前65535個。所以M位只應該在一些關(guān)鍵的AVP中定義，比如說影響到會話和控制連接的正常運行的AVP。例如，僅僅發(fā)送一個設定了M位的AVP來確定一個特殊的擴展是否存在，不如采用通過在請求報文里發(fā)送一個AVP，以期待在應答報文里是否存在一個相應的AVP這種方法來的要好。 AVP的隱藏每個AVP的頭部的H位提供了一種機制以對接收端的內(nèi)容是否隱藏。在LCCE認證成功完成以后，隱藏值不可以公開（也許需要隱藏值保存直到附加配置報文接收到）。第一步獲得原始明文AVP的長度以及值域，并且將其編碼為如下隱藏AVP的子格式。Padding：隨機附加的字節(jié)用于加密被隱藏的屬性值的長度。隱藏以后，AVP的長度變?yōu)?+屬性值的長度+原始的屬性值域的長度+Padding。發(fā)送者在進行AVP隱藏操作前，必須把這個隨機向量AVP放在報文中。如果隱藏AVP的子格式少于16字節(jié)，那么對子格式進行變形，填補到16個字節(jié)的長度。如果需要，可以重復這種操作，通過使用共享密鑰和每次異或的結(jié)果來產(chǎn)生下一個哈希值，以與下一個字節(jié)段進行異或。b1 = MD5(AV + S + RV) c(1) = p1 xor b1b2 = MD5(S + c(1)) c(2) = p2 xor b2 ……….. bi = MD5(S + c(i1)) c(i) = pi xor bi所組成的串就是c(1)+c(2)+...+c(i)，這里“＋”表示串的連接。這種報文類型AVP的屬性值域是一個兩字節(jié)的無符號整數(shù)。這里介紹了一個典型的控制連接的建立和拆除的報文交換。LCCE A LCCE B SCCRQ SCCRPSCCCN 控制連接建立過程控制連接的拆除可以由任何一個LCCE發(fā)起，通過發(fā)送一個StopCCN控制報文來完成。這種發(fā)送機制是一個滑動窗口機制，用以完成重傳和擁塞的控制。例如，如果收到的序列號為15，那么15前的32767個序列為：0～15以及32784～65535。所有的控制報文在序列號空間中都占據(jù)一個位置，除了ZLB ACK。作為預防措施，在清除重傳報文之前應該檢查Nr位。也可以丟棄的方式，不過這樣要求對等端有一個重傳的機制。如果一段時間沒有確認，則報文進行重傳。實現(xiàn)時可以設置重傳的次數(shù)，如果重傳幾次后沒有相應，控制連接和相關(guān)的所有會話就應該被清除。一旦N個報文被發(fā)送，B就必須等待A的確認，以確保在發(fā)送新的報文前，A的窗口向前移動。實現(xiàn)上可以采用錯誤處理的機制來做出響應，表明沒有能力對報文進行處理。如果接收到SCCRQ或者SCCRP報文中挑戰(zhàn)AVP，那么就緊接著在SCCRP或SCCCN的響應報文中發(fā)送一個挑戰(zhàn)應答AVP。測試的方法就是在連接或者會話上，當收到最后一個報文時，經(jīng)過一段時間如果沒有新的報文，那么就在連接上發(fā)送一個Hello控制包。其中定義了呼入和呼出的情況，以及控制連接本身的初始狀態(tài)。 無效的報文定義如下：（1）報文類型標記為強制型，但不知如何實現(xiàn)。 如果一個接收到的畸形的AVP強制位（M位）被設