【正文】 nnected 呼入呼叫已連接 13 reserved 14 CDN CallDisconnectNotify 呼叫斷開通知 西南交通大學碩士研究生學位論文 第 21 頁 錯誤報告報文 15 WEN WANErrorNotify 錯誤報文報告 連接狀態(tài)改變報告報文 16 SLI SetLinkInfo 設置連接信息 表 控制報文類型列表 控制連接 控制連接管理 控制連接管理包括控制連接本身和會話的動態(tài)建立、拆除和保持。作為可靠報文發(fā)送機制的一部分， StopCCN 的接收方必須發(fā)送一個 ZLB ACK 來對報文的接收進。報文類型 AVP 必須是報文中的第一個 AVP，緊隨控制報文頭之后，報文類型 AVP 定義了發(fā)送的控制報文的類型。 西南交通大學碩士研究生學位論文 第 20 頁 調用共享密鑰 S，隨機向量 RV 和屬性值 AV。在同一個報文中，相同的隨機向量可以被多個隱藏 AVP 使用。 為了隱藏數(shù)據(jù)大小，可以如上圖所示增加 Padding。否則就會冒著在沒有確認共享密鑰的完整性的情況下使用了 AVP 數(shù)據(jù)的風險。 如果在一些新的 AVP 中使用了 M 比特位，必須能夠提供一定的配置把相聯(lián)系的特性排開，也就是或者不發(fā)送 AVP 或是發(fā)送時不設置 M 位。 屬性類型（ Attribute Type）是一個兩字節(jié)的值用以表明 AVP 的類型。其作用是避免敏感數(shù)據(jù)以明文發(fā)送，例如用戶密碼。這種編碼方法稱為 AVP，即屬性值對。 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 T X X X X X X X X X X X Ver Length Session ID Cookie (optional, maximum 64 bits)... 圖 L2TPv3 over UDP 會話頭 T 為必須設置為 0，表明為數(shù)據(jù)報文。 Cookie 必須用隨機的一個數(shù)值來填滿整個域。會話頭應該可以區(qū)分不同的L2TP 會話，以及區(qū)分控制報文和數(shù)據(jù)報文 。 控制連接 ID 域表示某個控制連接的標識。以下對兩種格式作分別介紹。例如，如果發(fā)現(xiàn)是 PPP 協(xié)議，則把幀交 PPP 內核進行處理。如圖 所示。 L2TP 協(xié)議幀的封裝 以下以 PPP 幀為例來說明 L2TP 協(xié)議幀的封裝過程，如圖 所示。以下分別對這兩種情況作簡要說明。 L2TP 控制信道和數(shù)據(jù)信道在這個文本中被嚴格的定義， L2TP 信道可以針對不同的二層連接來建立，它的格式可以通過 L2TP 控制連接來協(xié)商。 ZeroLength Body (ZLB) Message－零長度報文 是指只有 L2TP 頭的控制報文。 LAC 的端可能是 LNS，也可能是另一個 LAC。 Dominant LCCE－支配 LCCE 支配 LCCE 是指單獨進行控制連接初始化的建立者或 tiebreaker 中競爭的獲勝者?？刂茍笪木褪怯啥鄠€ AVP 組成的，分別用來實現(xiàn)控制連接的建立、保持和拆除。第二章對 L2TP 協(xié)議介紹了協(xié)議的一些基本概念，包括協(xié)議隧道結構、協(xié)議幀的封裝、 L2TP over UDP /IP 以及 Linux 協(xié)議棧之間的關系與 Linux下的實現(xiàn)思路。 L2TPv3 的另外一個重要的擴展是對多種二層數(shù)據(jù)幀封裝的支持。 Remote System PSTN LAC LAC 分組交換網(wǎng) 隧道服務 道服務 二層連接 Remote System PSTN 圖 LACLAC 參考模型 Remote System PSTN LNS 分組交換網(wǎng) 隧道服務 二層連接 LAC 主機 主機 本地網(wǎng) 西南交通大學碩士研究生學位論文 第 6 頁 ③ LNSLNS 組合 如圖 所示。會話建立的行為可以由 LAC 或 LNS 來發(fā)起。通過這種機制，LAC 將 Remote System 與它之間的 PPP 連接延伸到 LNS,是 Remote System 訪問 LNS 就像訪問本地服務器一樣，假設 Remote System 的網(wǎng)絡層也使用 IP協(xié)議，那么它就可以使用私有 IP 地址訪問 LNS。 L2TP 隧道對終端用戶是不可見的，因此感到自己就像直接連接到遠端的應用服務器上一樣，而 意識不到自己的 PPP 連接被 LAC 與NAS 間的隧道“過渡”到遠端。 隧道技術是一種 將某層的有連接或無連接的數(shù)據(jù)分組 /報文進行包裝（ Encapsulation）后，借用可用網(wǎng)絡環(huán)境提供的服務在遠程節(jié)點間進行透明傳送的技術。 L2TPv2把傳輸鏈路層 PPP的隧道建立在公用數(shù)據(jù)網(wǎng)提供的某一層服務之上（如： IP、 ATM信元層或幀中繼）進行隧道傳輸，這與 PPTP將隧道限制在建立在網(wǎng)絡層的 GRE之上的思路相比，其可適應的網(wǎng)絡環(huán)境更加廣泛。 PPTP保持了傳統(tǒng)的撥號終端通過網(wǎng)絡訪問服務器（ NAS – Network Access Server）訪問應用服務器的 C/S模式，將 NAS拆分為：應用服 西南交通大學碩士研究生學位論文 第 2 頁 務器側的 “點到點隧道協(xié)議網(wǎng)絡服務器”（ PNS – PPTP Network Server）和撥號用戶側的 “點到點隧道協(xié)議訪問控制集中器”（ PAC – PPTP Access Concentrator）。 最早的 VPN技術出現(xiàn)在 ,它是 (Facility)叫做“內部小組”（ Closed Group）服務 [1]。 ○ 2 以項目組提出的擴展思路，結合 L2TPv3 提供了一個功能相對較為完整的協(xié)議實現(xiàn) ，并對該實現(xiàn)進行了部分測試，初步驗證了課題組提出的擴展思路的可行性。 西 南 交 通 大 學 研 究 生 學 位 論 文 二層隧道協(xié)議研究及 L2TPv3 數(shù)據(jù)層的實現(xiàn) Classified Index: : Southwest Jiaotong University Master Degree Thesis Research on Layer 2 Tunneling Protocols and Implementation of L2TPv3 Data Layer June 8, 2020Grade: Candidate: Academic Degree Applied for: Speciality: Supervisor: 2020 Liu XiaoBin Master Computer Applications Zeng Huashen. 西南交通大學碩士研究生學位論文 第 I 頁 摘 要 虛擬專用網(wǎng) (VPN)技術是建設地理位置分散的行業(yè)或企業(yè)網(wǎng)的重要手段。在此基礎上 , 作者與課題組其他兩位成員一道提出了將隧道傳輸思想推廣到對稱應用模式和其他協(xié)議層。由于在物理上并非專用，因而稱之為“虛擬專用網(wǎng)”。盡管 PPTP的隧道是利用網(wǎng)絡層協(xié)議 GRE（ Generic Routing Encapsulation） RFC 1701和 1702[ 4]來建立隧道的，但由于隧道傳送的對象是數(shù)據(jù)鏈路層的 PPP（點對點）協(xié)議，因此仍把它視為第二層隧道協(xié)議。 L2TPv2允許從客戶端或從訪問服務器端發(fā)起建立 PPP傳輸連接的隧道的過程，從而實現(xiàn)應用服務器與終端 之間的第 2層 VPN功能。 L2TPv2 由于本文多處涉及隧道的概念，有必要在此做簡要說明。 LNS 是 LAC在 L2TP 隧道上的對等實體，是應用服務器直接或通過局域網(wǎng)接入 L2TP 隧道的訪問服務器。 LNS 發(fā)送給Remote System 的數(shù)據(jù)包也可以通過相同的路徑反向傳送。另一方面， LNS 邏輯上終止了本地的 二層 連接，并且發(fā)送三層數(shù)據(jù)流到本地網(wǎng)。 如圖 所示。不過 LAC 與 LNS 在功能處理上大同小異，只是在不同的場合扮演不同的角色，用戶在使用過程 中可以通過相關的配置，使其完成所扮演的功能。 第一章是隧道協(xié)議概要介紹，包括發(fā)展動因、版本變化、應用范圍和基本原理。 西南交通大學碩士研究生學位論文 第 8 頁 第二章 L2TPv3 協(xié)議基本概念及實現(xiàn)的思路 L2TPv31協(xié)議基本概念 部分術語定義 Attribute Value Pair (AVP)－屬性值對 一個唯一的 屬性由一個整數(shù)來表示，它是一個可變長度的串。電路可以靜態(tài)或者動態(tài)建立，在本文中，靜態(tài)配置的電路大體上可以作為一個單一的動態(tài)電路來考慮。 Peer －端 在 L2TP 應用中，端一般是指一 個 L2TP 控制連接的遠的一端，例如一個遠端 LCCE。在已建立的 L2TP 會話和與其相關的電路之間有一對一的關系。與控制 西南交通大學碩士研究生學位論文 第 10 頁 報文不同的是，如果發(fā)生包的丟失，數(shù)據(jù)報文將不會重傳。 L2TPv3 中，除了同 L2TPv2 一樣定 義了 L2TP over UDP 外，還新增加了 L2TP over IP 的內容，并且針對這兩種應用重新定義了幀的格式，詳情參見 。實現(xiàn)時可以首先發(fā)送一個 L2TPv3 格式的 SCCRQ 以初始化一個 L2TPv3 的 控制連接，如果沒有響應，則回退到 L2TPv2 的操作。數(shù)據(jù)鏈路層與網(wǎng)絡層直接進行數(shù)據(jù)交換，以 Linux 操作系統(tǒng)為例，其 L2P 內核直接把數(shù)據(jù)包交給 TCP/IP 內核，然后再通過底層驅 動，通常是 Ether驅動，路由到目的地址。 LNS 在收到幀后，根據(jù)協(xié)議的標識，對二層幀頭部作相應的處理。 控制和數(shù)據(jù)報文 L2TP 頭的格式包括控制報文和數(shù)據(jù)報文兩種格式，報文發(fā)送時采用高字節(jié)在前的發(fā)送順序。 Length 域表示報文的字節(jié)長度，計算的方式從報文的頭部開始。 L2TP Session Header L2Specific Sublayer Tunneled Frame 圖 數(shù)據(jù)報文的頭格式 L2TP 會話頭專應用穿過 PSN 的數(shù)據(jù)流。 Cookie：這個域是可選的， 長度可變，最大為 8 個字節(jié)，其值用于檢驗所接收的報文與會話的關系。圖 所示為其會話頭的格式。 AVP 定義 在確?；ビ眯缘那闆r下，為了最大化報文的可擴展性，在 L2TP 中采用報文類型和內容統(tǒng)一編碼的方法。 隱藏（ H）位用于識別 AVP 中屬性值域中的隱藏數(shù)據(jù)。這里 Vendor ID 分配了 16 位，那么限制了企業(yè)數(shù)為前 65535 個。例如，僅僅發(fā)送一個設定了 M 位的 AVP 來確定一個特殊的擴展是否存在，不如采用通過在請求報文里發(fā)送一個 AVP，以期待在應答報文里是否存在一個相應的 AVP 這種方法來的要好。在 LCCE 認證成功完成以后，隱藏值不可以公開（也許需要隱藏值 保存直到附加配置報文接收到）。 Padding：隨機附加的字節(jié)用于加密被隱藏的屬性值的長度。發(fā)送者在進行 AVP 隱藏操作前， 必須把這個隨機向量 AVP 放在報文中。 如果需要，可以重復這種操作，通過使用共享密鑰和每次異或的結果來產生下一個哈希值，以與下一個字節(jié)段進行異或。這種報文類型 AVP 的 屬性值域是一個兩字節(jié)的無符號整數(shù)。 LCCE A LCCE B SCCRQ SCCRP SCCCN 圖 控制連接建立過程 控制連接的拆除可以由任何一個 LCCE 發(fā)起，通過發(fā)送一個 StopCCN 控制報文來完成。這里介紹了一個典型的控制連接的建立和拆除的報文交換。 b1 = MD5(AV + S + RV) c(1) = p1 xor b1 b2 = MD5(S + c(1)) c(2) = p2 xor b2 ……… .. bi = MD5(S + c(i1)) c(i) = pi xor bi 所組成的串就是 c