【文章內(nèi)容簡介】 要由LAC(L2TP Access Concentrator)和LNS(L2TPNetworkServer)構(gòu)成，LAC(L2TP訪問集中器)支持客戶端的L2TP，他用于發(fā)起呼叫，接收呼叫和建立隧道；LNS(L2TP網(wǎng)絡(luò)服務(wù)器)是所有隧道的終點(diǎn)。在傳統(tǒng)的PPP連接中，用戶撥號連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。CISCO說的LNS就是工作在以PPP為終端的平臺上，LNS處理服務(wù)器端的L2TP協(xié)議。LNS初始化發(fā)出呼叫和接收呼叫。 L2TP 協(xié)議結(jié)構(gòu)PPP 數(shù)據(jù)幀L2TP 數(shù)據(jù)消息 L2TP 控制消息L2TP 數(shù)據(jù)通道 L2TP 控制通道包傳輸通道圖4 L2TP協(xié)議結(jié)構(gòu)上圖所示L2TP協(xié)議結(jié)構(gòu)描述了PPP幀和控制通道和數(shù)據(jù)通道之間的關(guān)系。PPP幀首先被封裝L2TP頭部并在不可靠數(shù)據(jù)通道上進(jìn)行傳輸，然后進(jìn)行UDP、Frame Relay、ATM等包傳輸過程?？刂葡⒃诳煽康腖2TP控制通道內(nèi)傳輸。通常L2TP以UDP報文的形式發(fā)送。L2TP注冊了UDP 1701端口，但是這個端口僅用于初始的隧道建立過程中。L2TP隧道發(fā)起方任選一個空閑的端口（未必是1701）向接收方的1701端口發(fā)送報文；接收方收到報文后，也任選一個空閑的端口（未必是1701），給發(fā)送方的指定端口回送報文。至此，雙方的端口選定，并在隧道保持連通的時間段內(nèi)不再改變。 L2TP 包封裝L2TP用戶傳輸數(shù)據(jù)的隧道化過程采用多層封裝的方法。圖5中表示了封裝后在隧道中傳輸L2TP數(shù)據(jù)包格式。某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 9 頁 共 43 頁Datelink headerIP HeaderUDP HeaderL2TP HeaderPPP HeaderPPP PayloadDatelink Trailer圖5 L2TP數(shù)據(jù)包格式若是封裝在IPSEC等數(shù)據(jù)包中這要加上IPSEC 包頭和包尾。其中IPSEC包頭到包尾之間都是通過ESP或者AH協(xié)議加密過。a. L2TP封裝初始PPP有效載荷如IP數(shù)據(jù)報、IPX數(shù)據(jù)報或NetBEUI幀等首先經(jīng)過PPP報頭和L2TP報頭的封裝。b. UDP封裝L2TP幀進(jìn)一步添加UDP報頭進(jìn)行UDP封裝，在UDP報頭中，源端和目的端端口號均設(shè)置為1701。c. IP封裝在UDP數(shù)據(jù)報外再添加IP報頭進(jìn)行IP封裝，IP報頭中包含VPN客戶機(jī)和服務(wù)器的源端和目的端IP地址。數(shù)據(jù)鏈路層封裝是L2TP幀多層封裝的的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報頭和報尾。例如，如果L2TP幀將在以太網(wǎng)上傳輸，則用以太網(wǎng)報頭和報尾對L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝；如果L2TP幀將在點(diǎn)點(diǎn)WAN上傳輸，如模擬電話網(wǎng)或ISDN等，則用PPP報頭和報尾對L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝。 在接收到L2TP幀后，L2TP客戶機(jī)或服務(wù)器將做如下解封裝處理： 處理并去除數(shù)據(jù)鏈路層報頭和報尾；處理并去除IP報頭；處理UDP報頭并將數(shù)據(jù)報提交給L2TP協(xié)議；L2TP協(xié)議依據(jù)L2TP報頭中Tunnel ID和Call ID分解出某條特定的L2TP隧道；依據(jù)PPP報頭分解出PPP有效載荷，并將它轉(zhuǎn)發(fā)至相關(guān)的協(xié)議驅(qū)動程序做進(jìn)一步處理。 L2TP 的優(yōu)勢1．AAA Support (認(rèn)證，審計，受權(quán)支持)L2TP是基于PPP協(xié)議的，因此它除繼承了 PPP 的所有安全特性外， 還可以對隧道端點(diǎn)進(jìn)行驗(yàn)證，這使得通過 L2TP 所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡(luò)安全要求，還可以方便地在 L2TP 之上采用隧道加密、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。2. Encryption(加密)支持如 IPSec and DES 加密 (40 and 56 bits are supported today, 某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 10 頁 共 43 頁with plans for168bit support)。3. Quality of Service(QOS支持)利用IP優(yōu)先級，保證能為企業(yè)提供不同的隧道提供不同的帶寬，能為企業(yè)提供各種不同的服務(wù)類型，以及相應(yīng)核心業(yè)務(wù)的保證。4. Reliability（可靠性支持）基于多個備份的LNS，所以能配置多個隧道組。若連接到一個主LNS鏈路出現(xiàn)故障，LAC將會重新連接備份的LNS。加強(qiáng)的VPN可靠性和容錯能力能確保企業(yè)的應(yīng)用保證以及相關(guān)的服務(wù)級別。5. Scalability on a Single LNS（對于單個LNS的可伸縮性）L2TP支持無限制的LAC會話和支持超過2022個單LNS的會話。不同的設(shè)備對鏈接會話的支持可能不一樣。6．Scalability on a Single Site （對于單個站點(diǎn)的可伸縮性）可以支持LAC和LNS之間的多個隧道的負(fù)載均衡。7．Address Management （地址管理）LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對于遠(yuǎn)端用戶的地址進(jìn)行動態(tài)的分配和管理，可以支持 DHCP 和私有地址應(yīng)用。遠(yuǎn)端用戶所分配的地址不是Inter地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加安全性。8．Network Management（網(wǎng)絡(luò)管理）可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理，同時支持SYSLOG，方便排錯和審計。9．網(wǎng)絡(luò)計費(fèi)的靈活性可以在LAC和LNS兩處同時計費(fèi)，即ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費(fèi)及審記）。L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時間等計費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計費(fèi)。 L2TP 會話建立過程流程圖如下：某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 11 頁 共 43 頁圖 6 L2TP 隧道建立流程圖 ISDN 撥號至本地的接入服務(wù)器 LAC；LAC 接收呼叫并進(jìn)行基本的辨別，這一過程可以采用幾種標(biāo)準(zhǔn)，如域名或用戶名、呼叫線路識別 CLID) 或撥 ID 業(yè)務(wù)(DNIS)等。，就建立一個通向 LNS 的撥號 VPN 隧道。 RADIUS 鑒定撥號用戶。 與遠(yuǎn)程用戶交換 PPP 信息，分配 IP 地址。LNS 可采用企業(yè)專用地址(未注冊的 IP 地址)或服務(wù)提供商提供的地址空間分配 IP 地址。因?yàn)閮?nèi)部源 IP 地址 與 目 的 地 IP 地址實(shí)際上都通過服務(wù)提供商的 IP 網(wǎng)絡(luò)在 PPP 信息包內(nèi)傳送，企業(yè)專用地址對提供者的網(wǎng) 絡(luò)是透明的。 LNS。在實(shí)際應(yīng)用中，LAC 將撥號用戶的 PPP 幀封裝后，傳送到 LNS，LNS 去掉封裝包頭，得到 PPP 幀，再去掉 PPP 幀頭得到網(wǎng)絡(luò)層數(shù)據(jù)包。 GRE VPN GRE 概述通用路由封裝 GRE（Generic Routing Encapsulation）是對某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的報文進(jìn)行封裝，使這些被封裝的報文能夠在另一網(wǎng)絡(luò)層協(xié)某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 12 頁 共 43 頁議（如 IP）中傳輸，并支持全部的路由協(xié)議如 RIP、OSPF、IGRP、EIGRP。GRE 可以作為 VPN 的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（Tunnel）技術(shù)。Tunnel 是一個虛擬的點(diǎn)對點(diǎn)的連接，可以看成僅支持點(diǎn)對點(diǎn)連接的虛擬接口，這個接口提供了一條通路，使封裝的數(shù)據(jù)報能夠在這個通路上傳輸，并在一個 Tunnel 的兩端分別對數(shù)據(jù)報進(jìn)行封裝及解封裝。GRE 在包頭中包含了協(xié)議類型，這用于標(biāo)明乘客協(xié)議的類型；校驗(yàn)和包括了 GRE 的包頭和 完整的乘客協(xié)議與數(shù)據(jù)；密鑰用于接收端驗(yàn)證接收的數(shù)據(jù)；序列 號用于接收端數(shù)據(jù)包的排序和差錯控制；路由用于本數(shù)據(jù)包的路由。 GRE 只提供了數(shù)據(jù)包的封裝，它并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊。所以在實(shí)際環(huán)境中它常和 IPSec 在一起使用，由 IPSec 提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。 GRE 結(jié)構(gòu)報文的傳輸：圖7 多協(xié)議本地網(wǎng)通過單一骨干網(wǎng)報文的傳輸包括封裝和解封裝的過程：? 加封裝過程連接 Novell group1 的接口收到 IPX 數(shù)據(jù)報后，首先交由 IPX 協(xié)議處理。IPX 協(xié)議檢查 IPX 報頭中的目的地址域來確定如何路由此包。如果發(fā)現(xiàn)報文的目的地址要經(jīng)過網(wǎng)號為 1f 的網(wǎng)絡(luò)（Tunnel 的虛擬網(wǎng)號），則將此報文發(fā)給網(wǎng)號為 1f 的 Tunnel 接口， Tunnel 接口收到此報文后進(jìn)行 GRE 封裝，封裝完成后交給 IP 模塊處理，在封裝 IP 報文頭后，根據(jù)報文目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。? 解封裝過程解封裝過程和加封裝過程相反。從 Tunnel 接口收到 IP 報文，檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時，系統(tǒng)去掉此報文的 IP 報頭，交給 GRE 協(xié)議模塊處理；GRE 協(xié)議模塊完成相應(yīng)的處理后，去掉 GRE 報頭，再交由 IPX 協(xié)議模塊處某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 13 頁 共 43 頁理，IPX 協(xié)議模塊象對待一般數(shù)據(jù)報一樣對此數(shù)據(jù)報進(jìn)行處理。如圖 8 所示，IPX 封裝在 IP Tunnel 中。圖 8 IPX 封裝在 IP Tunnel封裝好的格式如圖 9 所示。Delivery headerGRE HeaderPayload packet圖 9 GRE 封裝格式 GRE VPN 特點(diǎn)優(yōu)點(diǎn)： 加密為可選的，不象 IPSec 中加密是必須的，而加密方法是可選，所以大幅度減低了芯片的工作量，提高了系統(tǒng)性能。更細(xì)化的 QoS 服務(wù)能力，包含應(yīng)用層 QoS。IP 層的可見性使得對應(yīng)用層的帶寬管理成為可能。能封裝非 IP 協(xié)議，如 IPX 和 DEC。缺點(diǎn)： 通信只局限在服務(wù)商的網(wǎng)絡(luò)中，很大程度上依賴服務(wù)商提供的網(wǎng)絡(luò)。 平面網(wǎng)狀結(jié)構(gòu)需要更多的準(zhǔn)備開銷，與基于 VC 的 VPN 具有相同的問題，就是在大型 VPN 上會引起 N 的平方問題。所以不適合大型網(wǎng)絡(luò)的拓展。準(zhǔn)備與管理的開銷相對昂貴。 IPSEC VPN IPSEC VPN 的種類：? The seamless connection of two private works to form one bined virtual private work（無縫連接兩個私有網(wǎng)絡(luò)）? The extension of a private work to allow remoteaccess users (also known as road warriors) to bee part of the 某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 14 頁 共 43 頁trusted work（允許遠(yuǎn)程用戶接入）? LANtoLAN IPSec implementations (also known as sitetosite VPNs)(點(diǎn)到點(diǎn) VPN)? Remoteaccess client IPSec implementations （客戶端工具接入） IPSEC 概述IPSec 是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，在 RFC2401 中定義。特定的通信方之間在 IP 層通過加密和數(shù)據(jù)摘要(hash)等手段，來保證數(shù)據(jù)包在 Inter 網(wǎng)上傳輸時的私密性(confidentiality) 、完整性(data integrity)和真實(shí)性(origin authentication)，防重放（protection against replays）等。IPSEC 協(xié)議簇包含以下協(xié)議。圖 10 IPSEC 協(xié)議簇IPSec 只能工作在 IP 層，要求乘客協(xié)議和承載協(xié)議都是 IP 協(xié)議圖 11 IPSec 數(shù)據(jù)包格式? 加密保證數(shù)據(jù)的私密性通過加密把數(shù)據(jù)從明文變成無法讀懂的密文，從而確保數(shù)據(jù)的私密性圖 12 數(shù)據(jù)私密性描述? 保證數(shù)據(jù)完整性（hash，sha）某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 15 頁 共 43 頁圖 13 數(shù)據(jù)完整性描述? 通過身份認(rèn)證保證數(shù)據(jù)的真實(shí)性? 通過身份認(rèn)證可以保證數(shù)據(jù)的真實(shí)性。常用的身份認(rèn)證方式包括： key ，預(yù)共享密鑰 Signature ，數(shù)字簽名 IPSEC 框架結(jié)構(gòu)圖 14 IPSEC 框架框架包括 IPSEC 協(xié)議簇，數(shù)據(jù)加密，散列算法，以及密鑰交換體系。 IPSEC 封裝模式IPSec 支持兩種封裝模式：傳輸模式和隧道模式? 傳輸模式：不改變原有的 IP 包頭，通常用于主機(jī)與主機(jī)之間。圖 15 傳輸模式封裝圖? 隧道模式：增加新的 IP 頭，通常用于私網(wǎng)與私網(wǎng)之間通過公網(wǎng)進(jìn)行通某集團(tuán)的 VPN 網(wǎng)絡(luò)方案設(shè)計與分析第 16 頁 共 43 頁信。圖 16 隧道模式封裝圖兩幅圖可以很好的描述兩種模式的區(qū)別。 Inter Key ExchangeRFC 2409 中定義了 IKE 相關(guān)。IKE 用來協(xié)商 IPSEC 安全參數(shù)，如: 協(xié)商參數(shù)，交換公共密鑰，密鑰刷新，認(rèn)證對等體，以及密鑰管理。IKE 協(xié)議簇如圖14 所示：IKE 包含三個協(xié)議：? SKEME— 提供公共密鑰更新技術(shù)。? Oakley— 提供 IPSEC 對等體之間提供密鑰交換模式? ISAKMP— 提供安全關(guān)聯(lián)和密鑰管理協(xié)議IKE 工作原理：IKE 包含兩個過程，phase1 和 phase2 。Phase1 主要對通信雙方進(jìn)行身份認(rèn)證，并在兩端之間建立一條安全的通道，主要有主模式和積極模式。Phase2在上述安全通道上協(xié)商 IPSec 參數(shù)，主要有快速模式。IKE 原理如