【正文】 nnected 呼入呼叫已連接 13 reserved 14 CDN CallDisconnectNotify 呼叫斷開通知 西南交通大學(xué)碩士研究生學(xué)位論文 第 21 頁 錯(cuò)誤報(bào)告報(bào)文 15 WEN WANErrorNotify 錯(cuò)誤報(bào)文報(bào)告 連接狀態(tài)改變報(bào)告報(bào)文 16 SLI SetLinkInfo 設(shè)置連接信息 表 控制報(bào)文類型列表 控制連接 控制連接管理 控制連接管理包括控制連接本身和會話的動(dòng)態(tài)建立、拆除和保持。作為可靠報(bào)文發(fā)送機(jī)制的一部分， StopCCN 的接收方必須發(fā)送一個(gè) ZLB ACK 來對報(bào)文的接收進(jìn)。報(bào)文類型 AVP 必須是報(bào)文中的第一個(gè) AVP，緊隨控制報(bào)文頭之后，報(bào)文類型 AVP 定義了發(fā)送的控制報(bào)文的類型。 西南交通大學(xué)碩士研究生學(xué)位論文 第 20 頁 調(diào)用共享密鑰 S，隨機(jī)向量 RV 和屬性值 AV。在同一個(gè)報(bào)文中，相同的隨機(jī)向量可以被多個(gè)隱藏 AVP 使用。 為了隱藏?cái)?shù)據(jù)大小，可以如上圖所示增加 Padding。否則就會冒著在沒有確認(rèn)共享密鑰的完整性的情況下使用了 AVP 數(shù)據(jù)的風(fēng)險(xiǎn)。 如果在一些新的 AVP 中使用了 M 比特位，必須能夠提供一定的配置把相聯(lián)系的特性排開，也就是或者不發(fā)送 AVP 或是發(fā)送時(shí)不設(shè)置 M 位。 屬性類型（ Attribute Type）是一個(gè)兩字節(jié)的值用以表明 AVP 的類型。其作用是避免敏感數(shù)據(jù)以明文發(fā)送，例如用戶密碼。這種編碼方法稱為 AVP，即屬性值對。 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 T X X X X X X X X X X X Ver Length Session ID Cookie (optional, maximum 64 bits)... 圖 L2TPv3 over UDP 會話頭 T 為必須設(shè)置為 0，表明為數(shù)據(jù)報(bào)文。 Cookie 必須用隨機(jī)的一個(gè)數(shù)值來填滿整個(gè)域。會話頭應(yīng)該可以區(qū)分不同的L2TP 會話，以及區(qū)分控制報(bào)文和數(shù)據(jù)報(bào)文 。 控制連接 ID 域表示某個(gè)控制連接的標(biāo)識。以下對兩種格式作分別介紹。例如，如果發(fā)現(xiàn)是 PPP 協(xié)議，則把幀交 PPP 內(nèi)核進(jìn)行處理。如圖 所示。 L2TP 協(xié)議幀的封裝 以下以 PPP 幀為例來說明 L2TP 協(xié)議幀的封裝過程，如圖 所示。以下分別對這兩種情況作簡要說明。 L2TP 控制信道和數(shù)據(jù)信道在這個(gè)文本中被嚴(yán)格的定義， L2TP 信道可以針對不同的二層連接來建立，它的格式可以通過 L2TP 控制連接來協(xié)商。 ZeroLength Body (ZLB) Message－零長度報(bào)文 是指只有 L2TP 頭的控制報(bào)文。 LAC 的端可能是 LNS，也可能是另一個(gè) LAC。 Dominant LCCE－支配 LCCE 支配 LCCE 是指單獨(dú)進(jìn)行控制連接初始化的建立者或 tiebreaker 中競爭的獲勝者?？刂茍?bào)文就是由多個(gè) AVP 組成的，分別用來實(shí)現(xiàn)控制連接的建立、保持和拆除。第二章對 L2TP 協(xié)議介紹了協(xié)議的一些基本概念，包括協(xié)議隧道結(jié)構(gòu)、協(xié)議幀的封裝、 L2TP over UDP /IP 以及 Linux 協(xié)議棧之間的關(guān)系與 Linux下的實(shí)現(xiàn)思路。 L2TPv3 的另外一個(gè)重要的擴(kuò)展是對多種二層數(shù)據(jù)幀封裝的支持。 Remote System PSTN LAC LAC 分組交換網(wǎng) 隧道服務(wù) 道服務(wù) 二層連接 Remote System PSTN 圖 LACLAC 參考模型 Remote System PSTN LNS 分組交換網(wǎng) 隧道服務(wù) 二層連接 LAC 主機(jī) 主機(jī) 本地網(wǎng) 西南交通大學(xué)碩士研究生學(xué)位論文 第 6 頁 ③ LNSLNS 組合 如圖 所示。會話建立的行為可以由 LAC 或 LNS 來發(fā)起。通過這種機(jī)制，LAC 將 Remote System 與它之間的 PPP 連接延伸到 LNS,是 Remote System 訪問 LNS 就像訪問本地服務(wù)器一樣，假設(shè) Remote System 的網(wǎng)絡(luò)層也使用 IP協(xié)議，那么它就可以使用私有 IP 地址訪問 LNS。 L2TP 隧道對終端用戶是不可見的，因此感到自己就像直接連接到遠(yuǎn)端的應(yīng)用服務(wù)器上一樣，而 意識不到自己的 PPP 連接被 LAC 與NAS 間的隧道“過渡”到遠(yuǎn)端。 隧道技術(shù)是一種 將某層的有連接或無連接的數(shù)據(jù)分組 /報(bào)文進(jìn)行包裝（ Encapsulation）后，借用可用網(wǎng)絡(luò)環(huán)境提供的服務(wù)在遠(yuǎn)程節(jié)點(diǎn)間進(jìn)行透明傳送的技術(shù)。 L2TPv2把傳輸鏈路層 PPP的隧道建立在公用數(shù)據(jù)網(wǎng)提供的某一層服務(wù)之上（如： IP、 ATM信元層或幀中繼）進(jìn)行隧道傳輸，這與 PPTP將隧道限制在建立在網(wǎng)絡(luò)層的 GRE之上的思路相比，其可適應(yīng)的網(wǎng)絡(luò)環(huán)境更加廣泛。 PPTP保持了傳統(tǒng)的撥號終端通過網(wǎng)絡(luò)訪問服務(wù)器（ NAS – Network Access Server）訪問應(yīng)用服務(wù)器的 C/S模式，將 NAS拆分為：應(yīng)用服 西南交通大學(xué)碩士研究生學(xué)位論文 第 2 頁 務(wù)器側(cè)的 “點(diǎn)到點(diǎn)隧道協(xié)議網(wǎng)絡(luò)服務(wù)器”（ PNS – PPTP Network Server）和撥號用戶側(cè)的 “點(diǎn)到點(diǎn)隧道協(xié)議訪問控制集中器”（ PAC – PPTP Access Concentrator）。 最早的 VPN技術(shù)出現(xiàn)在 ,它是 (Facility)叫做“內(nèi)部小組”（ Closed Group）服務(wù) [1]。 ○ 2 以項(xiàng)目組提出的擴(kuò)展思路，結(jié)合 L2TPv3 提供了一個(gè)功能相對較為完整的協(xié)議實(shí)現(xiàn) ，并對該實(shí)現(xiàn)進(jìn)行了部分測試，初步驗(yàn)證了課題組提出的擴(kuò)展思路的可行性。 西 南 交 通 大 學(xué) 研 究 生 學(xué) 位 論 文 二層隧道協(xié)議研究及 L2TPv3 數(shù)據(jù)層的實(shí)現(xiàn) Classified Index: : Southwest Jiaotong University Master Degree Thesis Research on Layer 2 Tunneling Protocols and Implementation of L2TPv3 Data Layer June 8, 2020Grade: Candidate: Academic Degree Applied for: Speciality: Supervisor: 2020 Liu XiaoBin Master Computer Applications Zeng Huashen. 西南交通大學(xué)碩士研究生學(xué)位論文 第 I 頁 摘 要 虛擬專用網(wǎng) (VPN)技術(shù)是建設(shè)地理位置分散的行業(yè)或企業(yè)網(wǎng)的重要手段。在此基礎(chǔ)上 , 作者與課題組其他兩位成員一道提出了將隧道傳輸思想推廣到對稱應(yīng)用模式和其他協(xié)議層。由于在物理上并非專用，因而稱之為“虛擬專用網(wǎng)”。盡管 PPTP的隧道是利用網(wǎng)絡(luò)層協(xié)議 GRE（ Generic Routing Encapsulation） RFC 1701和 1702[ 4]來建立隧道的，但由于隧道傳送的對象是數(shù)據(jù)鏈路層的 PPP（點(diǎn)對點(diǎn)）協(xié)議，因此仍把它視為第二層隧道協(xié)議。 L2TPv2允許從客戶端或從訪問服務(wù)器端發(fā)起建立 PPP傳輸連接的隧道的過程，從而實(shí)現(xiàn)應(yīng)用服務(wù)器與終端 之間的第 2層 VPN功能。 L2TPv2 由于本文多處涉及隧道的概念，有必要在此做簡要說明。 LNS 是 LAC在 L2TP 隧道上的對等實(shí)體，是應(yīng)用服務(wù)器直接或通過局域網(wǎng)接入 L2TP 隧道的訪問服務(wù)器。 LNS 發(fā)送給Remote System 的數(shù)據(jù)包也可以通過相同的路徑反向傳送。另一方面， LNS 邏輯上終止了本地的 二層 連接，并且發(fā)送三層數(shù)據(jù)流到本地網(wǎng)。 如圖 所示。不過 LAC 與 LNS 在功能處理上大同小異，只是在不同的場合扮演不同的角色，用戶在使用過程 中可以通過相關(guān)的配置，使其完成所扮演的功能。 第一章是隧道協(xié)議概要介紹，包括發(fā)展動(dòng)因、版本變化、應(yīng)用范圍和基本原理。 西南交通大學(xué)碩士研究生學(xué)位論文 第 8 頁 第二章 L2TPv3 協(xié)議基本概念及實(shí)現(xiàn)的思路 L2TPv31協(xié)議基本概念 部分術(shù)語定義 Attribute Value Pair (AVP)－屬性值對 一個(gè)唯一的 屬性由一個(gè)整數(shù)來表示，它是一個(gè)可變長度的串。電路可以靜態(tài)或者動(dòng)態(tài)建立，在本文中，靜態(tài)配置的電路大體上可以作為一個(gè)單一的動(dòng)態(tài)電路來考慮。 Peer －端 在 L2TP 應(yīng)用中，端一般是指一 個(gè) L2TP 控制連接的遠(yuǎn)的一端，例如一個(gè)遠(yuǎn)端 LCCE。在已建立的 L2TP 會話和與其相關(guān)的電路之間有一對一的關(guān)系。與控制 西南交通大學(xué)碩士研究生學(xué)位論文 第 10 頁 報(bào)文不同的是，如果發(fā)生包的丟失，數(shù)據(jù)報(bào)文將不會重傳。 L2TPv3 中，除了同 L2TPv2 一樣定 義了 L2TP over UDP 外，還新增加了 L2TP over IP 的內(nèi)容，并且針對這兩種應(yīng)用重新定義了幀的格式，詳情參見 。實(shí)現(xiàn)時(shí)可以首先發(fā)送一個(gè) L2TPv3 格式的 SCCRQ 以初始化一個(gè) L2TPv3 的 控制連接，如果沒有響應(yīng)，則回退到 L2TPv2 的操作。數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層直接進(jìn)行數(shù)據(jù)交換，以 Linux 操作系統(tǒng)為例，其 L2P 內(nèi)核直接把數(shù)據(jù)包交給 TCP/IP 內(nèi)核，然后再通過底層驅(qū) 動(dòng)，通常是 Ether驅(qū)動(dòng)，路由到目的地址。 LNS 在收到幀后，根據(jù)協(xié)議的標(biāo)識，對二層幀頭部作相應(yīng)的處理。 控制和數(shù)據(jù)報(bào)文 L2TP 頭的格式包括控制報(bào)文和數(shù)據(jù)報(bào)文兩種格式，報(bào)文發(fā)送時(shí)采用高字節(jié)在前的發(fā)送順序。 Length 域表示報(bào)文的字節(jié)長度，計(jì)算的方式從報(bào)文的頭部開始。 L2TP Session Header L2Specific Sublayer Tunneled Frame 圖 數(shù)據(jù)報(bào)文的頭格式 L2TP 會話頭專應(yīng)用穿過 PSN 的數(shù)據(jù)流。 Cookie：這個(gè)域是可選的， 長度可變，最大為 8 個(gè)字節(jié)，其值用于檢驗(yàn)所接收的報(bào)文與會話的關(guān)系。圖 所示為其會話頭的格式。 AVP 定義 在確?；ビ眯缘那闆r下，為了最大化報(bào)文的可擴(kuò)展性，在 L2TP 中采用報(bào)文類型和內(nèi)容統(tǒng)一編碼的方法。 隱藏（ H）位用于識別 AVP 中屬性值域中的隱藏?cái)?shù)據(jù)。這里 Vendor ID 分配了 16 位，那么限制了企業(yè)數(shù)為前 65535 個(gè)。例如，僅僅發(fā)送一個(gè)設(shè)定了 M 位的 AVP 來確定一個(gè)特殊的擴(kuò)展是否存在，不如采用通過在請求報(bào)文里發(fā)送一個(gè) AVP，以期待在應(yīng)答報(bào)文里是否存在一個(gè)相應(yīng)的 AVP 這種方法來的要好。在 LCCE 認(rèn)證成功完成以后，隱藏值不可以公開（也許需要隱藏值 保存直到附加配置報(bào)文接收到）。 Padding：隨機(jī)附加的字節(jié)用于加密被隱藏的屬性值的長度。發(fā)送者在進(jìn)行 AVP 隱藏操作前， 必須把這個(gè)隨機(jī)向量 AVP 放在報(bào)文中。 如果需要，可以重復(fù)這種操作，通過使用共享密鑰和每次異或的結(jié)果來產(chǎn)生下一個(gè)哈希值，以與下一個(gè)字節(jié)段進(jìn)行異或。這種報(bào)文類型 AVP 的 屬性值域是一個(gè)兩字節(jié)的無符號整數(shù)。 LCCE A LCCE B SCCRQ SCCRP SCCCN 圖 控制連接建立過程 控制連接的拆除可以由任何一個(gè) LCCE 發(fā)起，通過發(fā)送一個(gè) StopCCN 控制報(bào)文來完成。這里介紹了一個(gè)典型的控制連接的建立和拆除的報(bào)文交換。 b1 = MD5(AV + S + RV) c(1) = p1 xor b1 b2 = MD5(S + c(1)) c(2) = p2 xor b2 ……… .. bi = MD5(S + c(i1)) c(i) = pi xor bi 所組成的串就是 c