【正文】 端系統(tǒng)與L2TP隧道間的連接點。值得注意的是：如果一個LNS由于事件驅(qū)動而建立一個會話，那么則把LNS作為LAC客戶來看待。 論文結(jié)構(gòu)論文總體上對L2TP協(xié)議的概念，一個典型實現(xiàn)以及對該實現(xiàn)的測試進行了描述。第五章是對系統(tǒng)的測試，重點在作者所負責的模塊方面的測試。Circuit－電路 2層連接的總稱。 Outgoing Call Request －呼出呼叫請求（OCRQ）是指向LAC發(fā)出的一個請求，以發(fā)起一個呼出呼叫。Session－會話 當一個電路成功建立后，兩個LCCE之間通過一個特殊的控制連接建立起一個L2TP會話。這類的報文采用可靠的控制信道來發(fā)送?？刂茍笪脑谝粋€可靠的信道上發(fā)送，穿過同樣的PSN。 L2TP over IP在L2TPv3中對over IP專門作了定義，L2TPv3 over IP采用了IANA分配的IP協(xié)議ID為115。Remote SystemPSTNLACLNS分組交換網(wǎng)主機主機隧道服務二層連接本地網(wǎng)DATAIPPPPUDP/IPDATAIPPPPL2TPDATAIP L2TP協(xié)議幀的封裝 TCP/IP協(xié)議棧內(nèi)部的數(shù)據(jù)流向分析正常情況下，數(shù)據(jù)鏈路層協(xié)議（以下簡稱L2P）的功能是為網(wǎng)絡層提供服務。LNS在收到幀后，根據(jù)協(xié)議的標識，對二層幀頭部作相應的處理。 控制和數(shù)據(jù)報文L2TP頭的格式包括控制報文和數(shù)據(jù)報文兩種格式，報文發(fā)送時采用高字節(jié)在前的發(fā)送順序。Length域表示報文的字節(jié)長度，計算的方式從報文的頭部開始。L2TP Session HeaderL2Specific SublayerTunneled Frame 數(shù)據(jù)報文的頭格式L2TP會話頭專應用穿過PSN的數(shù)據(jù)流。Cookie：這個域是可選的，長度可變，最大為8個字節(jié)，其值用于檢驗所接收的報文與會話的關系。01234567890123456789012345678901TXXXXXXXXXXXVerLengthSession IDCookie (optional, maximum 64 bits)... L2TPv3 over UDP會話頭T為必須設置為0，表明為數(shù)據(jù)報文。01234567890123456789012345678901MHrsvdLengthVendor IDAttribute TypeAttribute Value ...(until Length is reached) AVP格式前六位描述了AVP的一般屬性，其中前兩位被定義，而后四位作為保留位以為將來擴展用。長度字段（Length）表示這個AVP中的字節(jié)長度，一般為屬性值加6。屬性值（Attribute Type）用以表明具體的AVP屬性。在接收端，當收到的控制報文中的AVP不可識別或是畸形時，應當只檢查這個AVP的M位，反之則不用檢查。如果在一個給定的控制報文中的任何AVP的H位被設定，一個隨機向量AVP必須出現(xiàn)在報文中并且在第一個帶有H位為1的AVP之前。Padding并不改變Length of Original Attribute Value域，但是改變了合成的AVP的長度。如果不同的隨機向量應用于并發(fā)AVP的隱藏時，那么在第一個AVP應用前，必須在命令報文中設置一個新的隨機向量AVP。把值域分成16字節(jié)的數(shù)據(jù)塊pp2等，最后的塊用隨機數(shù)填充到16字節(jié)。 控制報文類型下表是定義的文本定義的控制報文類型。 LCCE A LCCE B StopCCN (Clean up) (Wait) (Clean up)有時需要關掉所有的控制連接以及與控制連接相關的所有會話，在這種情況下，當拆掉整個控制連接時，就不需要單獨的拆除每一個控制連接。然而為了確保所有的報文能都被正確的確認，尤其時在ZLB ACK報文丟失的情況下，報文的副本必須由可靠發(fā)送機制來確認。接收端的可靠發(fā)送機制負責控制報文的有序發(fā)送以及沒有副本傳送到協(xié)議上層。下圖是一個成為LOCKSTEP的控制連接建立過程示意。在控制報文重傳時，可以采用慢啟動和擁塞避免的機制。為了實現(xiàn)認證，兩個LCCE必須擁有一個相同的共享密鑰，且經(jīng)過AVP隱藏處理。 收到一個無效的或者無法恢復的畸形的控制報文應該能適當?shù)乇挥涗?，并且控制連接清除應確保恢復到一個知名的狀態(tài)。也就是說AVP必須忽略，并且報文必須被接受，除非是記錄一個本地的錯誤報文。（Control Connection States）L2TP協(xié)議在兩段的LCEE上并沒有明顯的區(qū)分，唯一的區(qū)別是誰是呼叫的發(fā)起者，誰是呼叫的接收者。并發(fā)送StopCCN。l wait－ctl－reply 發(fā)起者檢查是否有另一個連接請求，如果有，則進行沖突處理。報文的接受端發(fā)送一個報文確認后，釋放相關的控制信息。對方如果沒有足夠的資源處理額外的會話，也可以選擇拒絕接受呼叫。會話的拆除可以由LAC或者LNS發(fā)起，通過發(fā)送CDN控制報文來完成。l waitreply ICRQ發(fā)送者接收到一個CDN表明對方不愿接受呼叫，那么進入idle狀態(tài)，如果接收到一個ICRP，那么就發(fā)送一個ICCN進入會話建立狀態(tài)。初始狀態(tài)事件動作新狀態(tài)idleReceive ICRQ, acceptableSend ICRPwaitconnectReceive ICRQ, not acceptableSend CDN,clean upidleReceive ICRPSend CDN，clean upidleReceive ICCNClean upidleReceive CDNClean upidlewaitconnectReceive ICCN acceptablePrepare for dataestablishedReceive ICCN not acceptableSend CDN, clean upidleReceive ICRQ, ICRPSend CDN, clean upidleReceive CDNClean upidleLocal close requestSend CDN, clean upidleestablishedReceive CDNClean upidleLocal close requestSend CDN, clean upidleReceive ICRQ, ICRP, ICCNSend CDN, clean upidle ICRQ接收者狀態(tài)機 呼出呼叫狀態(tài)機以下分別對OCRQ發(fā)送者狀態(tài)機和OCRQ接收者狀態(tài)機作了詳細的介紹。l established 如果接收到一個CDN，那么清除會話，狀態(tài)返回到idle。l waitconnect 如果接收到一個CDN，那么清除會話，狀態(tài)返回到idle。當接收到ICCN后，狀態(tài)變?yōu)閑stablished。l waitcontrolconnection 在這個狀態(tài)下，會話等待控制連接的打開或者等待控制連接已經(jīng)打開的確認。 LCCE A LCCE B OCRQ OCRP (執(zhí)行呼叫操作) OCCN (呼叫操作成功完成) 呼出呼叫會話連接建立過程LCCE 首先發(fā)送一個OCRQ呼出呼叫請求到LAC，LAC一旦確定存在適當?shù)脑O備來產(chǎn)生一個呼叫，并且呼叫經(jīng)過了認證，那么就發(fā)送一個OCRP作為響應。LCCE發(fā)送ICRQ后，就會等待對方的應答。(Termination of a Control Connection)任何一端發(fā)出一個StopCCN報文都可以終止一個控制連接。l idle 發(fā)起和接收都從這個狀態(tài)開始。控制連接tiebreaker的值是一個8字節(jié)的隨機數(shù)，作用是當兩個LCCE同時請求一個控制連接時，用來選擇一個單一的控制連接。在狀態(tài)機中有幾種情況，當協(xié)議報文發(fā)送后，產(chǎn)生一個“clear up”。 如果一個接收到的畸形的AVP強制位（M位）被設置，會話或者控制連接必須被終止，并且要發(fā)送一個適當?shù)慕Y(jié)果或錯誤代碼。其中定義了呼入和呼出的情況，以及控制連接本身的初始狀態(tài)。如果接收到SCCRQ或者SCCRP報文中挑戰(zhàn)AVP，那么就緊接著在SCCRP或SCCCN的響應報文中發(fā)送一個挑戰(zhàn)應答AVP。一旦N個報文被發(fā)送，B就必須等待A的確認，以確保在發(fā)送新的報文前，A的窗口向前移動。如果一段時間沒有確認，則報文進行重傳。作為預防措施，在清除重傳報文之前應該檢查Nr位。例如，如果收到的序列號為15，那么15前的32767個序列為：0～15以及32784～65535。LCCE A LCCE B SCCRQ SCCRPSCCCN 控制連接建立過程控制連接的拆除可以由任何一個LCCE發(fā)起，通過發(fā)送一個StopCCN控制報文來完成。這種報文類型AVP的屬性值域是一個兩字節(jié)的無符號整數(shù)。如果需要，可以重復這種操作，通過使用共享密鑰和每次異或的結(jié)果來產(chǎn)生下一個哈希值，以與下一個字節(jié)段進行異或。發(fā)送者在進行AVP隱藏操作前，必須把這個隨機向量AVP放在報文中。Padding：隨機附加的字節(jié)用于加密被隱藏的屬性值的長度。在LCCE認證成功完成以后，隱藏值不可以公開（也許需要隱藏值保存直到附加配置報文接收到）。例如，僅僅發(fā)送一個設定了M位的AVP來確定一個特殊的擴展是否存在，不如采用通過在請求報文里發(fā)送一個AVP，以期待在應答報文里是否存在一個相應的AVP這種方法來的要好。這里Vendor ID分配了16位，那么限制了企業(yè)數(shù)為前65535個。隱藏（H）位用于識別AVP中屬性值域中的隱藏數(shù)據(jù)。 AVP定義在確?；ビ眯缘那闆r下，為了最大化報文的可擴展性，在L2TP中采用報文類型和內(nèi)容統(tǒng)一編碼的方法。數(shù)據(jù)報文頭后緊跟著所要入隧的二層幀。會話標識符只具有本地的意義，也就是說在會話的生命期內(nèi)，控制連接的兩端可以具有不同的會話ID。Nr表示下一個收到的控制報文所期望的序列號，也就是說Nr的值被設定為Ns加1。X域是保留位作為將來的擴展用，如果是呼出報文的話，保留位則設定為0，如果是呼入報文則忽略。目的是為了本章最后所作的系統(tǒng)設計的需要，包括系統(tǒng)的框架設計以及模塊的劃分等。數(shù)據(jù)包也就是二層的數(shù)據(jù)，如PPP的幀，在隧道建立完成后，通過L2TP的內(nèi)核來完成封裝，再通過TCP/IP的內(nèi)核路由到目的端。封裝完成后，通過隧道發(fā)送到LNS，LNS則完成解封裝的過程，獲得原始的數(shù)據(jù)。隧道的發(fā)起者選擇一個空閑的源UDP端口（如：1701或者其他端口），然后將UDP包發(fā)送到接收者的1701端口上，接收者選擇一個空閑端口（如：1701或者其他端口），并把它作為源端口，把發(fā)起者的IP地址和UDP端口作為目標地址和端口，發(fā)送一個響應。它相對于L2TPv2發(fā)生了一些變化，L2TPv2中控制和數(shù)據(jù)報文的頭格式定義了一個統(tǒng)一的形式，而L2TPv3中將控制報文頭和數(shù)據(jù)報文頭區(qū)分開，以滿足在通過UDP或者IP不同應用時的需要。L2TP協(xié)議有兩種類型的報文，控制報文和數(shù)據(jù)報文。每一個L2TP會話都有一個偽線。呼人呼叫如果決定要求使用隧道，那么LAC將產(chǎn)生一個L2TP的ICRQ報文。呼叫由呼叫的類型，被呼叫數(shù)等屬性以及呼叫的數(shù)據(jù)量來定義。并在此分析的基礎上提出了實現(xiàn)的總體框架。工作完成后，筆者將自己的研究工作轉(zhuǎn)向了網(wǎng)絡技術方面，因此與同屆的李杰和任挺同學一道，開展了二層隧道協(xié)議方面研究與開發(fā)工作。一個會話可以通過用戶來建立，或者由某些信號所觸發(fā)的事件來驅(qū)動使其建立。PSTN:公共電話網(wǎng)絡 LACLNS參考模型②LACLAC組合每個LAC使用L2TP協(xié)議把遠程系統(tǒng)（Remote System）數(shù)據(jù)流發(fā)送到對等端的 LAC，反之亦然。與非自建隧道的處理過程基本類似，只不過PPP幀的生成與封裝全部在LAC Client中完成。非自建隧道的創(chuàng)建不需要用戶來操作，也不允許用戶進行任何選擇。對隧道功能的形象表達可以用“過渡”（Ferrying）來描述，公用數(shù)據(jù)網(wǎng)可以看作是河流，隧道視為“渡船”（Ferry），而過渡的乘客或車輛則是用戶期望過河的數(shù)據(jù)?！八淼纻鬏敗被蛘摺斑^渡”的思想[5]實際上有更廣泛的應用前景。在隧道內(nèi)建立PPP連接時，PPTP需要對訪問者的身份進行認證（如用戶名，口令和域名等）。Internet環(huán)境提供了兩種典型的VPN技術：安全IP協(xié)議（IPSec）[2]和二層隧道協(xié)議[7