【正文】 Value：原始的屬性值。共享密鑰對于LCCE認證來說是同一個密鑰。在需要使用M位時，如果有其他的選擇，應該盡可能的選用其他選擇。開發(fā)商在擴展自己的功能時，要避免與其他開發(fā)商以及IETF將來的擴展沖突。如果M位沒有設(shè)定，則無法識別的AVP必須被忽略，控制連接應該繼續(xù)運行就好像該AVP不存在。01234567890123456789012345678901(32 bits of zeros)TLXXSXXXXXXXVerLengthControl Connection IDNsNr L2TPv3 Over IP 控制頭值得注意的使這里的長度不包括前面的32位0位。入隧幀由PW數(shù)據(jù)流組成，包括任何可以入隧的二層幀。Session ID：是一個32位的域，包括一個會話標識符。Ns表示控制報文的序列號，每個控制報文的發(fā)送以0開始，每次增加1。L值為1，則表示域的長度被設(shè)置，S值為1，則表示序列號被設(shè)置。第三章 L2TPv3協(xié)議分析與設(shè)計本章主要是對L2TPv3協(xié)議的分析，包括報文格式的定義，狀態(tài)機的描述，并繪制了狀態(tài)變遷表。以PPP為例，其中控制包可能是LCP等。首先對數(shù)據(jù)鏈路層的幀增加L2TP頭，然后再分別加上UDP的頭以及新的IP頭，或者直接加上IP頭。 L2TP over UDPL2TP使用知名的UDP端口1701，L2TP的整個包，包括凈荷和L2TP頭全部放在UDP中進行傳輸。，其中最底層表示所依托的公共網(wǎng)絡(luò)，向上我們按照報文的種類分為數(shù)據(jù)通道和控制通道，并列出了一個粗略的幀格式。L2TP的隧道結(jié)構(gòu)是指建立隧道所依托的網(wǎng)絡(luò)類型以及在隧道中所傳輸?shù)膱笪?。Pseudowire (PW)－偽線 是指一個穿過PSN的仿效電路。呼叫是由遠端系統(tǒng)發(fā)起的或者是由本地事件觸發(fā)的（例如虛接口收到的異常數(shù)據(jù)流）。呼叫可以由諸如通過PSTN的呼入和呼出信號來動態(tài)建立，也可以靜態(tài)地配置，例如在一個接口上提供一個虛電路。其中對報文的格式進行了定義，以及控制連接、會話連接和協(xié)議的狀態(tài)機做了具體地描述。 作者的工作及論文結(jié)構(gòu) 作者的工作本文作者在碩士研究生學習期間，參加并完成了玉溪法院案件信息管理軟件系統(tǒng)的設(shè)計與開發(fā)工作。這種方式下，兩邊都有虛擬接口與每個L2TP會話相關(guān)。Remote SystemPSTNLNS分組交換網(wǎng)隧道服務(wù)二層連接LAC主機主機本地網(wǎng)分組交換網(wǎng)：包括IP、ATM和FR。L2TP隧道PPP連接LAC ClientLNSInternet主機主機自建隧道是依靠LAC Client，其區(qū)別于非自建隧道主要在于：它的終端扮演了使用隧道的用戶以及建立隧道的LAC的雙重角色，由用戶來自行創(chuàng)建隧道。L2TP的隧道分為非自建隧道（Compulsory Tunnel） 和自建隧道兩種。利用公用數(shù)據(jù)網(wǎng)建立的連接被稱為“隧道”（Tunnel），利用隧道傳送或中繼的功能被稱為隧道傳輸（Tunneling）；而被隧道運載的數(shù)據(jù)或連接的協(xié)議層則被用于標識隧道的用途，例如第2層隧道協(xié)議則表示被運送的連接或數(shù)據(jù)與第2層的協(xié)議相聯(lián)系。通過對L2TPv2[2]協(xié)議的學習和深入研究，作者與其他幾位研究組成員都認為：L2TPv2試圖解決的僅限于撥號或?qū)＞€用戶訪問遠端服務(wù)器的問題，只是遠程互聯(lián)的一種特殊情況。在PNS與PAC之間利用于TCP/IP建立“隧道控制連接”來控制基于GRE上的隧道的建立。,而非該內(nèi)部小組的成員不得與該組內(nèi)成員交換信息。其中，在協(xié)議實現(xiàn)方面，作者的工作重點是數(shù)據(jù)的封裝與中繼傳輸?shù)脑O(shè)計與實現(xiàn)，這部分功能主要體現(xiàn)在系統(tǒng)的內(nèi)核數(shù)據(jù)層模塊中。采用VPN技術(shù)，網(wǎng)絡(luò)建設(shè)者可以利用公用數(shù)據(jù)網(wǎng)提供的服務(wù)，在敷設(shè)或租用用戶（長途）專線的條件下組建安全專用網(wǎng)絡(luò)。論文作者的工作包括： 對3個版本的隧道傳輸協(xié)議的產(chǎn)生背景、各版本的異同進行了較為詳細的分析。所謂VPN是一種物理資源為多個網(wǎng)絡(luò)或單機系統(tǒng)共用，但可以根據(jù)需要限定用戶/網(wǎng)絡(luò)間相互訪問能力，對非受限網(wǎng)絡(luò)或用戶之間，其效果就像在使用自己的專用網(wǎng)絡(luò)。PPTP[9]是由多家公司（其中包括Microsoft，3Com，ECI ）專門為支持VPN而開發(fā)的一種技術(shù)。L2TPv2結(jié)合了L2F和PPTP的優(yōu)點，其應用對象與PPTP類似，也是專門針對點到點協(xié)議（PPP – PointtoPoint Protocol）[6]進行隧道傳輸和中繼的協(xié)議。結(jié)合作者所在研究小組的工作和L2TPv3，本論文反映的工作的重點為對L2TPv3的研究和相關(guān)軟件開發(fā)工作。LAC是（遠端）用戶終端（計算機）利用PPP接入L2TP隧道的訪問集中器。LNS發(fā)送給Remote System的數(shù)據(jù)包也可以通過相同的路徑反向傳送。另一方面，LNS邏輯上終止了本地的二層連接，并且發(fā)送三層數(shù)據(jù)流到本地網(wǎng)。不過LAC與LNS在功能處理上大同小異，只是在不同的場合扮演不同的角色，用戶在使用過程中可以通過相關(guān)的配置，使其完成所扮演的功能。第一章是隧道協(xié)議概要介紹，包括發(fā)展動因、版本變化、應用范圍和基本原理。第二章 L2TPv3協(xié)議基本概念及實現(xiàn)的思路 L2TPv3 以下如不作特殊說明，L2TP均表示L2TPv3，但本章的基本概念多數(shù)也適用于L2TPv2.協(xié)議基本概念Attribute Value Pair (AVP)－屬性值對 一個唯一的屬性由一個整數(shù)來表示，它是一個可變長度的串。電路可以靜態(tài)或者動態(tài)建立，在本文中，靜態(tài)配置的電路大體上可以作為一個單一的動態(tài)電路來考慮。Peer －端 在L2TP應用中，端一般是指一個L2TP控制連接的遠的一端，例如一個遠端LCCE。在已建立的L2TP會話和與其相關(guān)的電路之間有一對一的關(guān)系。與控制報文不同的是，如果發(fā)生包的丟失，數(shù)據(jù)報文將不會重傳。 L2TPv3中，除了同L2TPv2一樣定義了L2TP over UDP外，還新增加了L2TP over IP的內(nèi)容，并且針對這兩種應用重新定義了幀的格式。實現(xiàn)時可以首先發(fā)送一個L2TPv3格式的SCCRQ以初始化一個L2TPv3的控制連接，如果沒有響應，則回退到L2TPv2的操作。數(shù)據(jù)鏈路層與網(wǎng)絡(luò)層直接進行數(shù)據(jù)交換，以Linux操作系統(tǒng)為例，其L2P內(nèi)核直接把數(shù)據(jù)包交給TCP/IP內(nèi)核，然后再通過底層驅(qū)動，通常是Ethernet驅(qū)動，路由到目的地址。如果由LNS發(fā)起呼叫，則功能類似于LAC。① 控制報文頭格式控制報文的頭格式如下圖所示：01234567890123456789012345678901TLXXSXXXXXXXVerLengthControl Connection IDNsNr 控制報文的頭格式默認情況下，控制報文和數(shù)據(jù)報文在底層介質(zhì)里一并傳輸，也就是帶內(nèi)傳輸。這個標識符只具有本地意義，同一個控制連接的兩個LCCE分別具有唯一的連接標識符。不同類型的PSN必須定義自身的會話頭，能夠明確地區(qū)分頭的格式以及建立會話所需的參數(shù)。Cookie提供了一種確保數(shù)據(jù)報文直接與會話相關(guān)的機制，Cookie選擇恰當可以防止掉隊的報文與會話ID的錯誤關(guān)聯(lián)。 L2TP over IP會話報文格式與L2TP over UDP不同，L2TPv3 over IP會話頭不受L2TPv2與L2F的限制。 強制（M）位用于控制收到無法識別或畸形的AVP時的執(zhí)行動作。最小的AVP長度為6個字節(jié)，這時的屬性值域為空。所以M位只應該在一些關(guān)鍵的AVP中定義，比如說影響到會話和控制連接的正常運行的AVP。 AVP的隱藏每個AVP的頭部的H位提供了一種機制以對接收端的內(nèi)容是否隱藏。第一步獲得原始明文AVP的長度以及值域，并且將其編碼為如下隱藏AVP的子格式。隱藏以后，AVP的長度變?yōu)?+屬性值的長度+原始的屬性值域的長度+Padding。如果隱藏AVP的子格式少于16字節(jié)，那么對子格式進行變形，填補到16個字節(jié)的長度。b1 = MD5(AV + S + RV) c(1) = p1 xor b1b2 = MD5(S + c(1)) c(2) = p2 xor b2 ……….. bi = MD5(S + c(i1)) c(i) = pi xor bi所組成的串就是c(1)+c(2)+...+c(i)，這里“＋”表示串的連接。這里介紹了一個典型的控制連接的建立和拆除的報文交換。這種發(fā)送機制是一個滑動窗口機制，用以完成重傳和擁塞的控制。所有的控制報文在序列號空間中都占據(jù)一個位置，除了ZLB ACK。也可以丟棄的方式，不過這樣要求對等端有一個重傳的機制。實現(xiàn)時可以設(shè)置重傳的次數(shù)，如果重傳幾次后沒有相應，控制連接和相關(guān)的所有會話就應該被清除。實現(xiàn)上可以采用錯誤處理的機制來做出響應，表明沒有能力對報文進行處理。測試的方法就是在連接或者會話上，當收到最后一個報文時，經(jīng)過一段時間如果沒有新的報文，那么就在連接上發(fā)送一個Hello控制包。 無效的報文定義如下：（1）報文類型標記為強制型，但不知如何實現(xiàn)。可以列出一個給定報文的所有可能畸形格式，并給出各自的解決方案。由于無論是LNS還是LAC均可作為呼叫的發(fā)起者，所以如果要求在兩個LCCE之間建立單一的連接的話，就可能同時呼叫而引起沖突。如果只有一方SCRRQ中有tiebreaker值，則有的一方獲勝，如果雙方都沒有，則同時建立兩條連接。如果認證成功，連接則建立。一個控制連接之間可以建立多個會話，每個會話負責相關(guān)的數(shù)據(jù)流。當本地的LCCE接收到LCRP時，它將試圖建立呼叫。 LCCE A LCCE B CDN (Clean up) (Clean up) 呼入呼叫狀態(tài)機以下分別對ICRQ發(fā)送者狀態(tài)機和ICRQ接收者狀態(tài)機作了詳細的介紹。LCCE發(fā)送一個CDN或接收到一個CDN，呼叫都可以被清除。 OCRQ發(fā)送者狀態(tài)機與OCRQ發(fā)送者相關(guān)的狀態(tài)如下所示。初始狀態(tài)事件動作新狀態(tài)idleLocal open requestInitiate local controlconnopenwaitcontrolconnReceive OCCN, OCRPClean upidleReceive CDNClean upidlewaitcontrol conncontrolconnopenSend OCRQwaitreplyLocal close requestClean upidlewaitreplyReceive OCRP, acceptablenone waitconnectReceive OCRP, not acceptableSend CDN, clean upidleReceive OCCN, OCRQSend CDN, clean upidleReceive CDNClean upidlewaitconnectReceive OCCNnoneestablishedReceive OCRQ, OCRPSend CDN, clean upidleReceive CDNClean upidleLocal close requestSend CDN, clean upidleestablishedReceive OCRQ, OCRP, OCCNSend CDN, clean upidleLocal close requestSend CDN, clean upidleReceive CDNClean upidleLocal close requestSend。l waitreply 如果接收到一個CDN，那么清除會話，狀態(tài)返回到idle。l idle當接收到一個ICRQ，如果不接受請求，則發(fā)送一個CDN，并保持idle狀態(tài)，如果接受，則發(fā)送一個ICRP,會話變?yōu)閣aitconnect 狀態(tài)。 ICRQ 發(fā)送者狀態(tài)機與ICRQ發(fā)送者相關(guān)的狀態(tài)如下所示。呼出呼叫會話建立時，同樣由三個報文進行了交換來完成，包括OCRQ, OCRP與OCCN。呼入呼叫會話建立時，由三個報文進行了交換，下圖是一個呼入呼叫會話建立的典型示例。當是由本地事件導致的中斷時，發(fā)起者必須發(fā)送一個StopCCN，并清除掉控制連接。包括初始的狀態(tài)，事件，由事件而觸發(fā)的動作，動作執(zhí)行后協(xié)議的新的狀態(tài)。協(xié)議定義了控制連接tiebreaker AVP（SCRRQ）來解決這個問題。由于Rx連接速度AVP是非強制性的，所以這種結(jié)果不應該認為是災難性的。 畸形控制報文舉例：（1）報文頭中有一個無效的值；（2）包含一個AVP的報文的格式不正確或者它的值越界；（3）報文中缺少所需的AVP。端用戶不允許在任何時刻都在等待Hello報文，在這里默認為60秒沒有報文發(fā)送的情況下，當然這個時間間隔是可以配置的。L2TP在控制連接建立時，可以采用單一的，可選擇的，類似于CHAP的認證系統(tǒng)。