【文章內(nèi)容簡(jiǎn)介】 L2TP 中的非對(duì)稱撥號(hào)終端訪問(wèn)服務(wù)器的 C/S 模式，也可以應(yīng)用于對(duì)稱的網(wǎng)對(duì)網(wǎng)互聯(lián)和撥號(hào) /專線終端對(duì)終端的訪問(wèn)。 上述思路就是開(kāi)展本項(xiàng)研究的動(dòng)因。在相關(guān)研究工作 進(jìn)展的過(guò)程中，作者發(fā)現(xiàn) Cisco 公司也在作類似的研究，并在 2020 年發(fā)現(xiàn)了 IETF 建議草案 西南交通大學(xué)碩士研究生學(xué)位論文 第 3 頁(yè) L2TPv3[18～ 19]，即二層隧道協(xié)議的第三版。結(jié)合作者所在研究小組的工作和 L2TPv3，本論文反映的工作的重點(diǎn)為對(duì) L2TPv3 的研究和相關(guān)軟件開(kāi)發(fā)工作。 L2TPv2 由于本文多處涉及隧道的概念，有必要在此做簡(jiǎn)要說(shuō)明。 隧道技術(shù)是一種 將某層的有連接或無(wú)連接的數(shù)據(jù)分組 /報(bào)文進(jìn)行包裝（ Encapsulation）后，借用可用網(wǎng)絡(luò)環(huán)境提供的服務(wù)在遠(yuǎn)程節(jié)點(diǎn)間進(jìn)行透明傳送的技術(shù)。利用公用數(shù)據(jù)網(wǎng)建立的連接被稱為“隧 道”（ Tunnel），利用隧道傳送或中繼的功能被稱為隧道傳輸（ Tunneling）；而被隧道運(yùn)載的數(shù)據(jù)或連接的協(xié)議層則被用于標(biāo)識(shí)隧道的用途，例如第 2 層隧道協(xié)議則表示被運(yùn)送的連接或數(shù)據(jù)與第 2 層的協(xié)議相聯(lián)系。對(duì)隧道功能的形象表達(dá)可以用“過(guò)渡”（ Ferrying）來(lái)描述，公用數(shù)據(jù)網(wǎng)可以看作是河流，隧道視為“渡船”（ Ferry），而過(guò)渡的乘客或車輛則是用戶期望過(guò)河的數(shù)據(jù)。在本文的討論中上述兩種表達(dá)方式是等價(jià)的。 在 隧道 傳輸過(guò)程中，隧道 協(xié)議將 在隧道的兩端被中繼、前傳的用戶數(shù)據(jù)幀或 分組 /報(bào)文 重新封裝在 隧道幀 中發(fā)送。 L2TPv2（本小節(jié)內(nèi)，為描述方便使用 L2TP 之處皆指 L2TPv2）是為支持 C/S 模式而定義的訪問(wèn)協(xié)議， L2TP 隧道兩端的兩個(gè)組成部件為非對(duì)稱的LAC（ L2TP Access Concentrator）和 LNS（ L2TP Network Server）。 LAC 是（遠(yuǎn)端）用戶終端（計(jì)算機(jī)）利用 PPP 接入 L2TP 隧道的訪問(wèn)集中器。 LNS 是 LAC在 L2TP 隧道上的對(duì)等實(shí)體，是應(yīng)用服務(wù)器直接或通過(guò)局域網(wǎng)接入 L2TP 隧道的訪問(wèn)服務(wù)器。 L2TP 隧道對(duì)終端用戶是不可見(jiàn)的，因此感到自己就像直接連接到遠(yuǎn)端的應(yīng)用服務(wù)器上一樣，而 意識(shí)不到自己的 PPP 連接被 LAC 與NAS 間的隧道“過(guò)渡”到遠(yuǎn)端。 L2TP 的隧道分為非自建隧道（ Compulsory Tunnel） 和自建隧道兩種。非自建隧道示意如圖 所示。 非自建隧道的創(chuàng)建不需要用戶來(lái)操作，也不允許用戶進(jìn)行任何選擇。而是由網(wǎng)絡(luò)提供商的 LAC 來(lái)建立，用戶無(wú)權(quán)干預(yù)。 Remote System 先將網(wǎng)絡(luò)層送來(lái)的數(shù)據(jù)包封裝在 PPP 幀中，通過(guò)它與 LAC 之間的撥號(hào)連接將 PPP 幀送給 LAC，如果 L2TP 隧道是基于 Inter 的話， LAC 先將 PPP 幀封裝在 L2TP中，再進(jìn)行 IP 封裝，通過(guò) Inter 傳送給 LNS。 LNS 在收到 IP 包后，拆封還原出 L2TP，根據(jù) L2TP 協(xié)議的進(jìn)行處理，拆封還原出 PPP 幀，最后對(duì) PPP 西南交通大學(xué)碩士研究生學(xué)位論文 第 4 頁(yè) PSTN： 公用電話交換網(wǎng) 圖 非自建隧道示意圖 幀拆封，把還原出來(lái)的網(wǎng)絡(luò)層的數(shù)據(jù)包交給 LNS 的網(wǎng)絡(luò)層。 LNS 發(fā)送給Remote System 的數(shù)據(jù)包也可以通過(guò)相同的路徑反向傳送。通過(guò)這種機(jī)制，LAC 將 Remote System 與它之間的 PPP 連接延伸到 LNS,是 Remote System 訪問(wèn) LNS 就像訪問(wèn)本地服務(wù)器一樣，假設(shè) Remote System 的網(wǎng)絡(luò)層也使用 IP協(xié)議，那么它就可以使用私有 IP 地址訪問(wèn) LNS。 自建隧道示意如下圖所示。 圖 自建隧道示意圖 自建隧道是依靠 LAC Client，其區(qū)別于非自建隧道主要在于：它的終端扮演了使用隧道的用戶以及建立隧道的 LAC 的雙重角色，由用戶來(lái)自行創(chuàng)建隧道。與非自建隧道的處理過(guò)程基本類似，只不過(guò) PPP 幀的生成與封裝全部在 LAC Client 中完成。 L2TPv3 的主要擴(kuò)展 L2TPv3 對(duì) L2TPv2 應(yīng)用從單一的 非對(duì)稱 的客戶（撥號(hào)終端） /服務(wù)器模式拓寬到 對(duì)稱 的終端 終端和服務(wù)器 服務(wù)器模式 。因此，隧道兩端的設(shè)備連接關(guān)系就出現(xiàn)了 三種組合： LACLNS， LACLAC 和 LNSLNS，在不需要區(qū)L2TP 隧道 PPP 連接 LAC Client LNS Inter 主機(jī) 主機(jī) Remote System PSTN LAC LNS Inter 主機(jī) 主機(jī) L2TP 隧道 PPP 連接 西南交通大學(xué)碩士研究生學(xué)位論文 第 5 頁(yè) 別是 LAC 還是 LNS 時(shí)，則統(tǒng)稱為“ L2TP 控制連接終端” （ LCCE —— L2TP Control Connection Endpoint）。下面分別對(duì)這三種組合的應(yīng)用環(huán)境加以說(shuō)明： ○ 1 LACLNS 組合 圖 中，一方面， LAC 接收 二層 的數(shù)據(jù)流。另一方面， LNS 邏輯上終止了本地的 二層 連接，并且發(fā)送三層數(shù)據(jù)流到本地網(wǎng)。會(huì)話建立的行為可以由 LAC 或 LNS 來(lái)發(fā)起。 如圖 所示。 分組交換網(wǎng)：包括 IP、 ATM 和 FR。 PSTN:公共電話網(wǎng)絡(luò) 圖 LACLNS 參考模型 ② LACLAC 組合 每個(gè) LAC 使用 L2TP 協(xié)議把遠(yuǎn)程系統(tǒng)（ Remote System）數(shù)據(jù)流發(fā)送到對(duì)等端的 LAC，反之亦然。 LAC 并不處理本地的二層幀，因此并不使用虛擬的二層接口。而且一個(gè) LAC 僅僅作為遠(yuǎn)端系統(tǒng)與 L2TP 隧道間的連接點(diǎn)。這種連接是典型的對(duì)稱連接，也就是說(shuō)任何一方可以在任何時(shí)候發(fā)起 一個(gè)會(huì)話，甚至可以同時(shí)發(fā)起。 如圖 所示。 Remote System PSTN LAC LAC 分組交換網(wǎng) 隧道服務(wù) 道服務(wù) 二層連接 Remote System PSTN 圖 LACLAC 參考模型 Remote System PSTN LNS 分組交換網(wǎng) 隧道服務(wù) 二層連接 LAC 主機(jī) 主機(jī) 本地網(wǎng) 西南交通大學(xué)碩士研究生學(xué)位論文 第 6 頁(yè) ③ LNSLNS 組合 如圖 所示。 LNS 除了負(fù)責(zé)傳送數(shù)據(jù)流外，而且還可以終止 L2TP 會(huì)話。這種方式下，兩邊都有虛擬接口與每個(gè) L2TP 會(huì)話相關(guān)。一個(gè)會(huì)話可以通過(guò)用戶來(lái)建立，或者由某些信號(hào)所觸發(fā)的事件來(lái)驅(qū)動(dòng)使其建立。如“自建隧道”。 值得注意的是：如果一個(gè) LNS 由于事件驅(qū)動(dòng)而建立一個(gè)會(huì)話，那么則把LNS 作為 LAC 客戶來(lái)看待。 這三種拓?fù)浣Y(jié)構(gòu)是對(duì)以往單一模式的擴(kuò)展。不過(guò) LAC 與 LNS 在功能處理上大同小異，只是在不同的場(chǎng)合扮演不同的角色，用戶在使用過(guò)程 中可以通過(guò)相關(guān)的配置，使其完成所扮演的功能。 L2TPv3 的另外一個(gè)重要的擴(kuò)展是對(duì)多種二層數(shù)據(jù)幀封裝的支持。L2TPv2 只支持 PPP 數(shù)據(jù)幀的封裝， L2TPv3 擴(kuò)展的目的是制訂一個(gè)能夠?qū)λ袛?shù)據(jù)鏈路層協(xié)議進(jìn)行隧道傳輸?shù)耐ㄓ脜f(xié)議。 作者的工作及論文結(jié)構(gòu) 作者的工作 本文作者在碩士研究生學(xué)習(xí)期間，參加并完成了玉溪法院案件信息管理軟件系統(tǒng)的設(shè)計(jì)與開(kāi)發(fā)工作。工作完成后，筆者將自己的研究工作轉(zhuǎn)向了網(wǎng)絡(luò)技術(shù)方面，因此與同屆的李杰和任挺同學(xué)一道，開(kāi)展了二層隧道協(xié)議方面研究與開(kāi)發(fā)工作。 主要包括以下幾個(gè)方 面： 本地網(wǎng) 二層連接 LNS LNS 分組交換網(wǎng) 主機(jī) 主機(jī) 隧道服務(wù) 主機(jī) 主機(jī) 圖 LNSLNS 參考模型 本地網(wǎng) 西南交通大學(xué)碩士研究生學(xué)位論文 第 7 頁(yè) ① 對(duì) L2TPv2 與 L2TPv3 進(jìn)行了比較，對(duì)尚未成為標(biāo)準(zhǔn)的 L2TPv3 協(xié)議進(jìn)行了分析研究，提出了一些建議，以使其更加完善； ② 基于實(shí)現(xiàn)的需要，對(duì) L2TPv3 協(xié)議狀態(tài)機(jī)進(jìn)行了分析，完成了協(xié)議狀態(tài)表； ③ 完成了協(xié)議實(shí)現(xiàn)的總體框架設(shè)計(jì)，模塊的劃分； ④ 單獨(dú)完成了系統(tǒng)中數(shù)據(jù)層模塊的設(shè)計(jì)與實(shí)現(xiàn)； ⑤ 完成了單元測(cè)試與系統(tǒng)的集成測(cè)試； ⑥ 總結(jié)所作的工作，提出對(duì)未來(lái)工作的展望。 論文結(jié)構(gòu) 論文總體上對(duì) L2TP 協(xié)議的概念，一個(gè)典型實(shí)現(xiàn)以及對(duì)該實(shí)現(xiàn)的測(cè)試進(jìn)行了描述。主要分為以下幾個(gè)方面。 第一章是隧道協(xié)議概要介紹，包括發(fā)展動(dòng)因、版本變化、應(yīng)用范圍和基本原理。第二章對(duì) L2TP 協(xié)議介紹了協(xié)議的一些基本概念，包括協(xié)議隧道結(jié)構(gòu)、協(xié)議幀的封裝、 L2TP over UDP /IP 以及 Linux 協(xié)議棧之間的關(guān)系與 Linux下的實(shí)現(xiàn)思路。第三章是協(xié)議相關(guān)部分的分析和設(shè)計(jì)。其中對(duì)報(bào)文的格式進(jìn)行了定義，以及控制連接、會(huì)話連接和協(xié)議的狀態(tài)機(jī)做了具體地描述。 并在此分析的基礎(chǔ)上提出了實(shí)現(xiàn)的總體框架。第四章介紹協(xié)議的系統(tǒng)實(shí)現(xiàn)，包括各個(gè)模塊所負(fù)責(zé)的功能，總體結(jié)構(gòu)以及對(duì)象和接口等，主要是內(nèi)核數(shù)據(jù)層模塊的實(shí)現(xiàn)。第五章是對(duì)系統(tǒng)的測(cè)試，重點(diǎn)在作者所負(fù)責(zé)的模塊方面的測(cè)試。第六章展望部分作者提出了一些還有待進(jìn)一步需要研究的問(wèn)題，以及我們所作的工作存在的不足，還有待進(jìn)一步需要改進(jìn)的地方。 西南交通大學(xué)碩士研究生學(xué)位論文 第 8 頁(yè) 第二章 L2TPv3 協(xié)議基本概念及實(shí)現(xiàn)的思路 L2TPv31協(xié)議基本概念 部分術(shù)語(yǔ)定義 Attribute Value Pair (AVP)－屬性值對(duì) 一個(gè)唯一的 屬性由一個(gè)整數(shù)來(lái)表示，它是一個(gè)可變長(zhǎng)度的串?？刂茍?bào)文就是由多個(gè) AVP 組成的，分別用來(lái)實(shí)現(xiàn)控制連接的建立、保持和拆除。 Call (Circuit Up)－呼叫 呼叫用來(lái)激活 LAC 上電路的狀態(tài)為“ up”或“ active”。呼叫可以由諸如通過(guò) PSTN 的呼入和呼出信號(hào)來(lái)動(dòng)態(tài)建立，也可以靜態(tài)地配置，例如在一個(gè)接口上提供一個(gè)虛電路。呼叫由呼叫的類型，被呼叫數(shù)等屬性以及呼叫的數(shù)據(jù)量來(lái)定義。 CHAP－挑戰(zhàn)認(rèn)證協(xié)議 挑戰(zhàn)握手認(rèn)證協(xié)議，一種點(diǎn)到點(diǎn)的加密挑戰(zhàn) /應(yīng)答認(rèn)證協(xié)議，該協(xié)議不允許明文密碼通過(guò)。 Circuit－電路 2 層連接的總稱。電路可以是虛擬的，例如 ATM 中的 PVC 或一個(gè) L2TP會(huì)話，也可能直接與物理層相關(guān)，例如一個(gè) RS232 串行線。電路可以靜態(tài)或者動(dòng)態(tài)建立，在本文中，靜態(tài)配置的電路大體上可以作為一個(gè)單一的動(dòng)態(tài)電路來(lái)考慮。 Dominant LCCE－支配 LCCE 支配 LCCE 是指單獨(dú)進(jìn)行控制連接初始化的建立者或 tiebreaker 中競(jìng)爭(zhēng)的獲勝者。 Ining Call－呼入呼叫 呼入呼叫是指 LAC 上接收到一個(gè)呼叫的（電路的 up 事件）的行為。呼叫是由遠(yuǎn)端系統(tǒng)發(fā)起的或者是 由本地事件觸發(fā)的（例如虛接口收到 1 以下如不作特殊說(shuō)明， L2TP 均表示 L2TPv3，但本章的基本概念多數(shù)也適用于 L2TPv2. 西南交通大學(xué)碩士研究生學(xué)位論文 第 9 頁(yè) 的異常數(shù)據(jù)流）。呼人呼叫如果決定要求使用隧道，那么 LAC 將產(chǎn)生一個(gè) L2TP 的 ICRQ 報(bào)文。 Outgoing Call－呼出呼叫 向 LAC 發(fā)起一個(gè)呼叫的行為，是通過(guò)一端的 OCRQ 報(bào)文所產(chǎn)生的響應(yīng)策略。 Outgoing Call Request －呼出呼叫請(qǐng)求（ OCRQ） 是指向 LAC 發(fā)出的一個(gè)請(qǐng)求，以發(fā)起一個(gè)呼出呼叫。該請(qǐng)求包含在LAC 上發(fā)起呼叫所需的信息，典型的情況下， LAC 預(yù)先不知道該信息。 Peer －端 在 L2TP 應(yīng)用中，端一般是指一 個(gè) L2TP 控制連接的遠(yuǎn)的一端，例如一個(gè)遠(yuǎn)端 LCCE。 LAC 的端可能是 LNS，也可能是另一個(gè) LAC。同樣LNS 的端也可能是 LAC 或另一個(gè) LNS。 Pseudowire (PW)－偽線 是指一個(gè)穿過(guò) PSN 的仿效電路。每一個(gè) L