【文章內(nèi)容簡(jiǎn)介】 要由LAC(L2TP Access Concentrator)和LNS(L2TPNetworkServer)構(gòu)成，LAC(L2TP訪問(wèn)集中器)支持客戶端的L2TP，他用于發(fā)起呼叫，接收呼叫和建立隧道；LNS(L2TP網(wǎng)絡(luò)服務(wù)器)是所有隧道的終點(diǎn)。在傳統(tǒng)的PPP連接中，用戶撥號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。CISCO說(shuō)的LNS就是工作在以PPP為終端的平臺(tái)上，LNS處理服務(wù)器端的L2TP協(xié)議。LNS初始化發(fā)出呼叫和接收呼叫。 L2TP 協(xié)議結(jié)構(gòu)PPP 數(shù)據(jù)幀L2TP 數(shù)據(jù)消息 L2TP 控制消息L2TP 數(shù)據(jù)通道 L2TP 控制通道包傳輸通道圖4 L2TP協(xié)議結(jié)構(gòu)上圖所示L2TP協(xié)議結(jié)構(gòu)描述了PPP幀和控制通道和數(shù)據(jù)通道之間的關(guān)系。PPP幀首先被封裝L2TP頭部并在不可靠數(shù)據(jù)通道上進(jìn)行傳輸，然后進(jìn)行UDP、Frame Relay、ATM等包傳輸過(guò)程?？刂葡⒃诳煽康腖2TP控制通道內(nèi)傳輸。通常L2TP以UDP報(bào)文的形式發(fā)送。L2TP注冊(cè)了UDP 1701端口，但是這個(gè)端口僅用于初始的隧道建立過(guò)程中。L2TP隧道發(fā)起方任選一個(gè)空閑的端口（未必是1701）向接收方的1701端口發(fā)送報(bào)文；接收方收到報(bào)文后，也任選一個(gè)空閑的端口（未必是1701），給發(fā)送方的指定端口回送報(bào)文。至此，雙方的端口選定，并在隧道保持連通的時(shí)間段內(nèi)不再改變。 L2TP 包封裝L2TP用戶傳輸數(shù)據(jù)的隧道化過(guò)程采用多層封裝的方法。圖5中表示了封裝后在隧道中傳輸L2TP數(shù)據(jù)包格式。某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 9 頁(yè) 共 43 頁(yè)Datelink headerIP HeaderUDP HeaderL2TP HeaderPPP HeaderPPP PayloadDatelink Trailer圖5 L2TP數(shù)據(jù)包格式若是封裝在IPSEC等數(shù)據(jù)包中這要加上IPSEC 包頭和包尾。其中IPSEC包頭到包尾之間都是通過(guò)ESP或者AH協(xié)議加密過(guò)。a. L2TP封裝初始PPP有效載荷如IP數(shù)據(jù)報(bào)、IPX數(shù)據(jù)報(bào)或NetBEUI幀等首先經(jīng)過(guò)PPP報(bào)頭和L2TP報(bào)頭的封裝。b. UDP封裝L2TP幀進(jìn)一步添加UDP報(bào)頭進(jìn)行UDP封裝，在UDP報(bào)頭中，源端和目的端端口號(hào)均設(shè)置為1701。c. IP封裝在UDP數(shù)據(jù)報(bào)外再添加IP報(bào)頭進(jìn)行IP封裝，IP報(bào)頭中包含VPN客戶機(jī)和服務(wù)器的源端和目的端IP地址。數(shù)據(jù)鏈路層封裝是L2TP幀多層封裝的的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。例如，如果L2TP幀將在以太網(wǎng)上傳輸，則用以太網(wǎng)報(bào)頭和報(bào)尾對(duì)L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝；如果L2TP幀將在點(diǎn)點(diǎn)WAN上傳輸，如模擬電話網(wǎng)或ISDN等，則用PPP報(bào)頭和報(bào)尾對(duì)L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝。 在接收到L2TP幀后，L2TP客戶機(jī)或服務(wù)器將做如下解封裝處理： 處理并去除數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾；處理并去除IP報(bào)頭；處理UDP報(bào)頭并將數(shù)據(jù)報(bào)提交給L2TP協(xié)議；L2TP協(xié)議依據(jù)L2TP報(bào)頭中Tunnel ID和Call ID分解出某條特定的L2TP隧道；依據(jù)PPP報(bào)頭分解出PPP有效載荷，并將它轉(zhuǎn)發(fā)至相關(guān)的協(xié)議驅(qū)動(dòng)程序做進(jìn)一步處理。 L2TP 的優(yōu)勢(shì)1．AAA Support (認(rèn)證，審計(jì)，受權(quán)支持)L2TP是基于PPP協(xié)議的，因此它除繼承了 PPP 的所有安全特性外， 還可以對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證，這使得通過(guò) L2TP 所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡(luò)安全要求，還可以方便地在 L2TP 之上采用隧道加密、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。2. Encryption(加密)支持如 IPSec and DES 加密 (40 and 56 bits are supported today, 某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 10 頁(yè) 共 43 頁(yè)with plans for168bit support)。3. Quality of Service(QOS支持)利用IP優(yōu)先級(jí)，保證能為企業(yè)提供不同的隧道提供不同的帶寬，能為企業(yè)提供各種不同的服務(wù)類型，以及相應(yīng)核心業(yè)務(wù)的保證。4. Reliability（可靠性支持）基于多個(gè)備份的LNS，所以能配置多個(gè)隧道組。若連接到一個(gè)主LNS鏈路出現(xiàn)故障，LAC將會(huì)重新連接備份的LNS。加強(qiáng)的VPN可靠性和容錯(cuò)能力能確保企業(yè)的應(yīng)用保證以及相關(guān)的服務(wù)級(jí)別。5. Scalability on a Single LNS（對(duì)于單個(gè)LNS的可伸縮性）L2TP支持無(wú)限制的LAC會(huì)話和支持超過(guò)2022個(gè)單LNS的會(huì)話。不同的設(shè)備對(duì)鏈接會(huì)話的支持可能不一樣。6．Scalability on a Single Site （對(duì)于單個(gè)站點(diǎn)的可伸縮性）可以支持LAC和LNS之間的多個(gè)隧道的負(fù)載均衡。7．Address Management （地址管理）LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)于遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持 DHCP 和私有地址應(yīng)用。遠(yuǎn)端用戶所分配的地址不是Inter地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。8．Network Management（網(wǎng)絡(luò)管理）可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理，同時(shí)支持SYSLOG，方便排錯(cuò)和審計(jì)。9．網(wǎng)絡(luò)計(jì)費(fèi)的靈活性可以在LAC和LNS兩處同時(shí)計(jì)費(fèi)，即ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費(fèi)及審記）。L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)。 L2TP 會(huì)話建立過(guò)程流程圖如下：某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 11 頁(yè) 共 43 頁(yè)圖 6 L2TP 隧道建立流程圖 ISDN 撥號(hào)至本地的接入服務(wù)器 LAC；LAC 接收呼叫并進(jìn)行基本的辨別，這一過(guò)程可以采用幾種標(biāo)準(zhǔn)，如域名或用戶名、呼叫線路識(shí)別 CLID) 或撥 ID 業(yè)務(wù)(DNIS)等。，就建立一個(gè)通向 LNS 的撥號(hào) VPN 隧道。 RADIUS 鑒定撥號(hào)用戶。 與遠(yuǎn)程用戶交換 PPP 信息，分配 IP 地址。LNS 可采用企業(yè)專用地址(未注冊(cè)的 IP 地址)或服務(wù)提供商提供的地址空間分配 IP 地址。因?yàn)閮?nèi)部源 IP 地址 與 目 的 地 IP 地址實(shí)際上都通過(guò)服務(wù)提供商的 IP 網(wǎng)絡(luò)在 PPP 信息包內(nèi)傳送，企業(yè)專用地址對(duì)提供者的網(wǎng) 絡(luò)是透明的。 LNS。在實(shí)際應(yīng)用中，LAC 將撥號(hào)用戶的 PPP 幀封裝后，傳送到 LNS，LNS 去掉封裝包頭，得到 PPP 幀，再去掉 PPP 幀頭得到網(wǎng)絡(luò)層數(shù)據(jù)包。 GRE VPN GRE 概述通用路由封裝 GRE（Generic Routing Encapsulation）是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的報(bào)文進(jìn)行封裝，使這些被封裝的報(bào)文能夠在另一網(wǎng)絡(luò)層協(xié)某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 12 頁(yè) 共 43 頁(yè)議（如 IP）中傳輸，并支持全部的路由協(xié)議如 RIP、OSPF、IGRP、EIGRP。GRE 可以作為 VPN 的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（Tunnel）技術(shù)。Tunnel 是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路，使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并在一個(gè) Tunnel 的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。GRE 在包頭中包含了協(xié)議類型，這用于標(biāo)明乘客協(xié)議的類型；校驗(yàn)和包括了 GRE 的包頭和 完整的乘客協(xié)議與數(shù)據(jù)；密鑰用于接收端驗(yàn)證接收的數(shù)據(jù)；序列 號(hào)用于接收端數(shù)據(jù)包的排序和差錯(cuò)控制；路由用于本數(shù)據(jù)包的路由。 GRE 只提供了數(shù)據(jù)包的封裝，它并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊。所以在實(shí)際環(huán)境中它常和 IPSec 在一起使用，由 IPSec 提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。 GRE 結(jié)構(gòu)報(bào)文的傳輸：圖7 多協(xié)議本地網(wǎng)通過(guò)單一骨干網(wǎng)報(bào)文的傳輸包括封裝和解封裝的過(guò)程：? 加封裝過(guò)程連接 Novell group1 的接口收到 IPX 數(shù)據(jù)報(bào)后，首先交由 IPX 協(xié)議處理。IPX 協(xié)議檢查 IPX 報(bào)頭中的目的地址域來(lái)確定如何路由此包。如果發(fā)現(xiàn)報(bào)文的目的地址要經(jīng)過(guò)網(wǎng)號(hào)為 1f 的網(wǎng)絡(luò)（Tunnel 的虛擬網(wǎng)號(hào)），則將此報(bào)文發(fā)給網(wǎng)號(hào)為 1f 的 Tunnel 接口， Tunnel 接口收到此報(bào)文后進(jìn)行 GRE 封裝，封裝完成后交給 IP 模塊處理，在封裝 IP 報(bào)文頭后，根據(jù)報(bào)文目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。? 解封裝過(guò)程解封裝過(guò)程和加封裝過(guò)程相反。從 Tunnel 接口收到 IP 報(bào)文，檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時(shí)，系統(tǒng)去掉此報(bào)文的 IP 報(bào)頭，交給 GRE 協(xié)議模塊處理；GRE 協(xié)議模塊完成相應(yīng)的處理后，去掉 GRE 報(bào)頭，再交由 IPX 協(xié)議模塊處某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 13 頁(yè) 共 43 頁(yè)理，IPX 協(xié)議模塊象對(duì)待一般數(shù)據(jù)報(bào)一樣對(duì)此數(shù)據(jù)報(bào)進(jìn)行處理。如圖 8 所示，IPX 封裝在 IP Tunnel 中。圖 8 IPX 封裝在 IP Tunnel封裝好的格式如圖 9 所示。Delivery headerGRE HeaderPayload packet圖 9 GRE 封裝格式 GRE VPN 特點(diǎn)優(yōu)點(diǎn)： 加密為可選的，不象 IPSec 中加密是必須的，而加密方法是可選，所以大幅度減低了芯片的工作量，提高了系統(tǒng)性能。更細(xì)化的 QoS 服務(wù)能力，包含應(yīng)用層 QoS。IP 層的可見(jiàn)性使得對(duì)應(yīng)用層的帶寬管理成為可能。能封裝非 IP 協(xié)議，如 IPX 和 DEC。缺點(diǎn)： 通信只局限在服務(wù)商的網(wǎng)絡(luò)中，很大程度上依賴服務(wù)商提供的網(wǎng)絡(luò)。 平面網(wǎng)狀結(jié)構(gòu)需要更多的準(zhǔn)備開(kāi)銷，與基于 VC 的 VPN 具有相同的問(wèn)題，就是在大型 VPN 上會(huì)引起 N 的平方問(wèn)題。所以不適合大型網(wǎng)絡(luò)的拓展。準(zhǔn)備與管理的開(kāi)銷相對(duì)昂貴。 IPSEC VPN IPSEC VPN 的種類：? The seamless connection of two private works to form one bined virtual private work（無(wú)縫連接兩個(gè)私有網(wǎng)絡(luò)）? The extension of a private work to allow remoteaccess users (also known as road warriors) to bee part of the 某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 14 頁(yè) 共 43 頁(yè)trusted work（允許遠(yuǎn)程用戶接入）? LANtoLAN IPSec implementations (also known as sitetosite VPNs)(點(diǎn)到點(diǎn) VPN)? Remoteaccess client IPSec implementations （客戶端工具接入） IPSEC 概述IPSec 是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，在 RFC2401 中定義。特定的通信方之間在 IP 層通過(guò)加密和數(shù)據(jù)摘要(hash)等手段，來(lái)保證數(shù)據(jù)包在 Inter 網(wǎng)上傳輸時(shí)的私密性(confidentiality) 、完整性(data integrity)和真實(shí)性(origin authentication)，防重放（protection against replays）等。IPSEC 協(xié)議簇包含以下協(xié)議。圖 10 IPSEC 協(xié)議簇IPSec 只能工作在 IP 層，要求乘客協(xié)議和承載協(xié)議都是 IP 協(xié)議圖 11 IPSec 數(shù)據(jù)包格式? 加密保證數(shù)據(jù)的私密性通過(guò)加密把數(shù)據(jù)從明文變成無(wú)法讀懂的密文，從而確保數(shù)據(jù)的私密性圖 12 數(shù)據(jù)私密性描述? 保證數(shù)據(jù)完整性（hash，sha）某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 15 頁(yè) 共 43 頁(yè)圖 13 數(shù)據(jù)完整性描述? 通過(guò)身份認(rèn)證保證數(shù)據(jù)的真實(shí)性? 通過(guò)身份認(rèn)證可以保證數(shù)據(jù)的真實(shí)性。常用的身份認(rèn)證方式包括： key ，預(yù)共享密鑰 Signature ，數(shù)字簽名 IPSEC 框架結(jié)構(gòu)圖 14 IPSEC 框架框架包括 IPSEC 協(xié)議簇，數(shù)據(jù)加密，散列算法，以及密鑰交換體系。 IPSEC 封裝模式IPSec 支持兩種封裝模式：傳輸模式和隧道模式? 傳輸模式：不改變?cè)械?IP 包頭，通常用于主機(jī)與主機(jī)之間。圖 15 傳輸模式封裝圖? 隧道模式：增加新的 IP 頭，通常用于私網(wǎng)與私網(wǎng)之間通過(guò)公網(wǎng)進(jìn)行通某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計(jì)與分析第 16 頁(yè) 共 43 頁(yè)信。圖 16 隧道模式封裝圖兩幅圖可以很好的描述兩種模式的區(qū)別。 Inter Key ExchangeRFC 2409 中定義了 IKE 相關(guān)。IKE 用來(lái)協(xié)商 IPSEC 安全參數(shù)，如: 協(xié)商參數(shù)，交換公共密鑰，密鑰刷新，認(rèn)證對(duì)等體，以及密鑰管理。IKE 協(xié)議簇如圖14 所示：IKE 包含三個(gè)協(xié)議：? SKEME— 提供公共密鑰更新技術(shù)。? Oakley— 提供 IPSEC 對(duì)等體之間提供密鑰交換模式? ISAKMP— 提供安全關(guān)聯(lián)和密鑰管理協(xié)議IKE 工作原理：IKE 包含兩個(gè)過(guò)程，phase1 和 phase2 。Phase1 主要對(duì)通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道，主要有主模式和積極模式。Phase2在上述安全通道上協(xié)商 IPSec 參數(shù)，主要有快速模式。IKE 原理如