【文章內(nèi)容簡(jiǎn)介】 分類模型 VPLS是用 Inter設(shè)施仿真 LAN網(wǎng)段。 VPLS可用于提供所謂的透明 LAN服務(wù)(TLS)。 TLS可用于以協(xié)議透明方式互連多個(gè)支干 CE節(jié)點(diǎn) (如橋或路由器 )。 VPLS在 IP上仿真 LAN網(wǎng)段，類似于 LANE在 ATM上仿真 LAN網(wǎng)段。它的主要優(yōu)點(diǎn)是協(xié)議完全 透明，這在多協(xié)議傳送和傳送管理上是很重要的。 常用 VPN分析 L2TP VPN L2TP 介紹 L2TP可以讓用戶從客戶端或訪問(wèn)服務(wù)器端發(fā)起 VPN連接。 L2TP是把鏈路層 PPP幀封裝在公共網(wǎng)絡(luò) 設(shè)施如 IP、 ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議。 Cisco、 Ascend、 Microsoft 和 RedBack 公司的專家們?cè)谛薷牧耸畮讉€(gè)版本后，終于在 1999 年 8月公布了 L2TP 的標(biāo)準(zhǔn) RFC2661。 目前用戶撥號(hào)訪問(wèn) Inter時(shí)，必須使用 IP協(xié)議，并且其動(dòng)態(tài)得到 的 IP地址也是合法的。 L2TP的好處就在于支持多種協(xié)議， 用戶可以保 留原有的 IPX、Appletalk 等協(xié)議或公司原有的 IP地址。 L2TP 還解決了多個(gè) PPP鏈路的捆綁問(wèn)題， PPP鏈路捆綁要求其成員均指向同一個(gè) NAS， L2TP可以使物理上連接到不同 NAS的 PPP鏈路，在邏輯上的終結(jié)點(diǎn)為同一個(gè)物理設(shè)備。 L2TP擴(kuò)展了 PPP連接，在傳統(tǒng)方式中用戶通過(guò)模擬電話線或 ISDN/ADSL與網(wǎng)絡(luò)訪問(wèn)服務(wù)器 (NAS)建立一個(gè)第 2層的連接，并在其上運(yùn)行 PPP，第 2層連接的終結(jié)點(diǎn)和 PPP會(huì)話的終結(jié)點(diǎn)在同一個(gè)設(shè)備上 (如 NAS)。 L2TP作為 PPP 擴(kuò)展提供更強(qiáng)大的功能，包括第 2層連接的終結(jié)點(diǎn)和PPP會(huì)話的終結(jié)點(diǎn)可以是不同的設(shè)備。 第 8 頁(yè) 共 43 頁(yè) L2TP主要由 LAC(L2TP Access Concentrator)和 LNS(L2TPNetworkServer)構(gòu)成， LAC(L2TP訪問(wèn)集中器 )支持客戶端的 L2TP，他用于發(fā)起呼叫，接收呼叫和建立隧道； LNS(L2TP網(wǎng)絡(luò)服務(wù)器 )是所有隧道的終點(diǎn)。在傳統(tǒng)的 PPP連接中，用戶撥號(hào)連接的終點(diǎn)是 LAC， L2TP使得 PPP協(xié)議的終點(diǎn)延伸到 LNS。 CISCO說(shuō) 的 LNS就是工作在以 PPP為終端的平臺(tái)上， LNS處理服務(wù)器端的 L2TP協(xié)議。 LNS初始化發(fā)出呼叫和接收呼叫。 L2TP 協(xié)議結(jié)構(gòu) PPP 數(shù)據(jù)幀 L2TP 數(shù)據(jù)消息 L2TP 控制消息 L2TP 數(shù)據(jù)通道 L2TP 控制通道 包傳輸通道 圖 4 L2TP協(xié)議結(jié)構(gòu) 上 圖所示 L2TP協(xié)議結(jié)構(gòu)描述了 PPP幀和控制通道和數(shù)據(jù)通道之間的關(guān)系。 PPP幀首先被封裝 L2TP頭部并在不可靠數(shù)據(jù)通道上進(jìn)行傳輸，然后進(jìn)行 UDP、 Frame Relay、 ATM等包傳輸過(guò)程。 控制消息在可靠的 L2TP控制通道內(nèi)傳輸。 通常 L2TP以 UDP報(bào)文的形式發(fā)送。 L2TP注冊(cè)了 UDP 1701端口，但是這個(gè)端口僅用于初始的隧道建立過(guò)程中。 L2TP隧道發(fā)起方任選一個(gè)空閑的端口（未必是1701）向接收方的 1701端口發(fā)送報(bào)文；接收方收到報(bào)文后，也任選一個(gè)空閑的端口（未必是 1701），給發(fā)送方的指定端口回送報(bào)文。至此，雙方的端口選定，并在隧道保持連通的時(shí)間段內(nèi)不再改變。 L2TP 包封裝 L2TP用戶傳輸數(shù)據(jù)的隧道化過(guò)程采用多層封裝的方法。圖 5中表示了封裝后在隧道中傳輸 L2TP數(shù)據(jù)包格式。 Datelink header IP Header UDP Header L2TP Header PPP Header PPP Payload Datelink Trailer 圖 5 L2TP數(shù)據(jù)包格式 若是封裝在 IPSEC等數(shù)據(jù)包中這要加上 IPSEC 包頭和包尾。其中 IPSEC包頭到包尾之間都是通過(guò) ESP或者 AH協(xié)議加密過(guò)。 a. L2TP封裝 初始 PPP有效載荷如 IP數(shù)據(jù)報(bào)、 IPX數(shù)據(jù)報(bào)或 NetBEUI幀等首先經(jīng)過(guò) PPP報(bào)頭和L2TP報(bào)頭的封裝。 b. UDP封裝 L2TP幀進(jìn)一步添加 UDP報(bào)頭進(jìn)行 UDP封裝，在 UDP報(bào)頭中，源端和目的端端口號(hào)均設(shè)置為 1701。 第 9 頁(yè) 共 43 頁(yè) c. IP封裝 在 UDP數(shù)據(jù)報(bào)外再添加 IP報(bào)頭進(jìn)行 IP封裝， IP報(bào)頭中包含 VPN客戶機(jī)和服務(wù)器的源端和目的端 IP地址。 數(shù)據(jù)鏈路層封裝是 L2TP幀多層封裝的的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。例如，如果 L2TP幀將在以太網(wǎng)上傳輸，則用以太網(wǎng)報(bào)頭和報(bào)尾對(duì) L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝；如果 L2TP幀將在點(diǎn) 點(diǎn) WAN上傳輸，如模擬電話網(wǎng)或 ISDN等，則用 PPP報(bào)頭和報(bào)尾對(duì) L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝。 在接收到 L2TP幀后， L2TP客戶機(jī)或 服務(wù)器將做如下解封裝處理： 處理并去除數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾；處理并去除 IP報(bào)頭；處理 UDP報(bào)頭并將數(shù)據(jù)報(bào)提交給 L2TP協(xié)議； L2TP協(xié)議依據(jù) L2TP報(bào)頭中 Tunnel ID和 Call ID分解出某條特定的 L2TP隧道；依據(jù) PPP報(bào)頭分解出 PPP有效載荷，并將它轉(zhuǎn)發(fā)至相關(guān)的協(xié)議驅(qū)動(dòng)程序做進(jìn)一步處理 。 L2TP 的優(yōu)勢(shì) 1． AAA Support (認(rèn)證，審計(jì)，受權(quán)支持 ) L2TP是基于 PPP協(xié)議的，因此它除繼承了 PPP 的所有安全特性外， 還可以對(duì)隧道端點(diǎn)進(jìn)行驗(yàn)證，這使得通過(guò) L2TP 所傳 輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的 網(wǎng)絡(luò)安全 要求，還可以方便地在 L2TP 之上采用隧道加密、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。 2. Encryption(加密 ) 支持如 IPSec and DES 加密 (40 and 56 bits are supported today, with plans for168bit support)。 3. Quality of Service(QOS支持 ) 利用 IP優(yōu)先級(jí)，保證能為企業(yè)提供不同的隧道提供不同的帶寬，能為企業(yè)提供各種不同的服務(wù)類型，以及相應(yīng)核心業(yè)務(wù)的保證。 4. Reliability（可靠性支持） 基于多個(gè)備份的 LNS，所以能配置多個(gè)隧道組。若連接到一個(gè)主 LNS鏈路出現(xiàn)故障， LAC將會(huì)重新連接備份的 LNS。加強(qiáng)的 VPN可靠性和容錯(cuò)能力能確保企業(yè)的應(yīng)用保證以及相關(guān)的服務(wù)級(jí)別 。 5. Scalability on a Single LNS（對(duì)于單個(gè) LNS的可伸縮性） L2TP支持無(wú)限制的 LAC會(huì)話和支持超過(guò) 2020個(gè)單 LNS的會(huì)話。 不同的設(shè)備對(duì)鏈接 會(huì)話的支持可能不一樣。 6． Scalability on a Single Site （對(duì)于單個(gè)站點(diǎn)的可伸縮性） 可以支持 LAC和 LNS之間的多個(gè)隧道的負(fù)載均衡。 第 10 頁(yè) 共 43 頁(yè) 7． Address Management （地址管理） LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對(duì)于遠(yuǎn)端用戶的地址進(jìn)行動(dòng)態(tài)的分配和管理，可以支持 DHCP 和私有地址應(yīng)用。遠(yuǎn)端用戶所分配的地址不是Inter地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加 安全性。 8． Network Management（網(wǎng)絡(luò)管理） 可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理，同時(shí)支持SYSLOG，方便排錯(cuò)和審計(jì)。 9．網(wǎng)絡(luò)計(jì)費(fèi)的靈活性 可以在 LAC和 LNS兩處同時(shí)計(jì)費(fèi)，即 ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費(fèi)及審記）。 L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi) 。 L2TP會(huì)話建立過(guò)程 流程圖如下： 圖 6 L2TP 隧道建立流程圖 ISDN 撥號(hào)至本地的接入服務(wù)器 LAC； LAC 接收呼叫并進(jìn)行基本的辨別，這一過(guò)程可以采用幾種標(biāo)準(zhǔn)，如域名或用戶名、呼叫線路識(shí)別 CLID) 或撥 ID業(yè)務(wù) (DNIS)等。 第 11 頁(yè) 共 43 頁(yè) ，就建立一個(gè)通向 LNS 的撥號(hào) VPN 隧道。 RADIUS 鑒定撥號(hào)用戶。 與遠(yuǎn)程用戶交換 PPP 信息，分配 IP 地址。 LNS 可采用企業(yè)專用地址 (未注冊(cè)的 IP 地址 )或服務(wù)提 供商提供的地址空間分配 IP 地址。因?yàn)閮?nèi)部源 IP 地址 與 目 的 地 IP 地址實(shí)際上都通過(guò)服務(wù)提供商的 IP 網(wǎng)絡(luò)在 PPP 信息包內(nèi)傳送，企業(yè)專用地址對(duì)提供者的網(wǎng) 絡(luò)是透明的。 LNS。 在實(shí)際應(yīng)用中， LAC 將撥號(hào)用戶的 PPP 幀封裝后，傳送到 LNS， LNS 去掉封裝包頭，得到 PPP 幀，再去掉 PPP 幀頭得到網(wǎng)絡(luò)層數(shù)據(jù)包。 GRE VPN GRE 概述 通用路由封裝 GRE（ Generic Routing Encapsulation）是對(duì)某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的報(bào)文進(jìn)行封裝，使這些被封裝的報(bào)文能夠在另一網(wǎng)絡(luò)層協(xié)議（如 IP）中傳輸，并支持全部的路由協(xié)議如 RIP、 OSPF、 IGRP、 EIGRP。 GRE 可以作為 VPN 的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（ Tunnel）技術(shù)。 Tunnel 是一個(gè)虛擬的點(diǎn)對(duì)點(diǎn)的連接，可以看成僅支持點(diǎn)對(duì)點(diǎn)連接的虛擬接口，這個(gè)接口提供了一條通路，使封裝的數(shù)據(jù)報(bào)能夠在這個(gè)通路上傳輸，并在一個(gè) Tunnel 的兩端分別對(duì)數(shù)據(jù)報(bào)進(jìn)行封裝及解封裝。 GRE 在包頭中包含了協(xié)議類型，這用于標(biāo)明乘客協(xié)議的類型；校驗(yàn)和包括了GRE 的包頭和 完整的乘客協(xié)議與數(shù)據(jù)；密鑰用于接收端驗(yàn)證接收的數(shù)據(jù)；序列 號(hào)用于接收端數(shù)據(jù)包的排序和差錯(cuò)控制；路由用于本數(shù)據(jù)包的路由。 GRE 只提供了數(shù)據(jù)包的封裝，它并沒(méi)有加密功能來(lái)防止網(wǎng)絡(luò)偵聽(tīng)和攻擊。所以在實(shí)際環(huán)境中它常和 IPSec 在一起使用，由 IPSec 提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。 GRE 結(jié)構(gòu) 報(bào)文的傳輸： 圖 7 多協(xié)議本地網(wǎng)通過(guò)單一骨干網(wǎng) 第 12 頁(yè) 共 43 頁(yè) 報(bào)文的傳輸包括封裝和解封裝的過(guò)程： ? 加封裝過(guò)程 連接 Novell group1 的接口收到 IPX 數(shù)據(jù)報(bào)后，首先交由 IPX 協(xié)議處理。IPX 協(xié)議檢查 IPX 報(bào)頭中的目的地址域來(lái)確定如何路由此包。如果發(fā)現(xiàn)報(bào)文的目的地址要經(jīng)過(guò)網(wǎng)號(hào)為 1f 的網(wǎng)絡(luò)（ Tunnel 的虛擬網(wǎng)號(hào)），則將此報(bào)文發(fā)給網(wǎng)號(hào)為 1f 的 Tunnel 接口 ， Tunnel 接口收到此報(bào)文后進(jìn)行 GRE 封裝，封裝完成后交給 IP 模塊處理，在封裝 IP 報(bào)文頭后，根據(jù)報(bào)文目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。 ? 解封裝過(guò)程 解封裝過(guò)程和加封裝過(guò)程相反。從 Tunnel 接口收到 IP 報(bào)文，檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時(shí)，系統(tǒng)去掉此報(bào)文的 IP 報(bào)頭，交給 GRE 協(xié)議模塊處理； GRE 協(xié)議模塊完成相應(yīng)的處理后，去掉 GRE 報(bào)頭，再交由 IPX 協(xié)議模塊處理， IPX 協(xié)議模塊象對(duì)待一般數(shù)據(jù)報(bào)一樣對(duì)此數(shù)據(jù)報(bào)進(jìn)行處理 。 如圖 8 所示 ， IPX 封裝在 IP Tunnel 中 。 圖 8 IPX 封裝在 IP Tunnel 封裝好的格式如圖 9所示。 Delivery header GRE Header Payload packet 圖 9 GRE 封裝格式 GRE VPN 特點(diǎn) 優(yōu)點(diǎn)： 加密為可選的，不象 IPSec 中加密是必須的，而加密方法是可選，所以大幅度減低了芯片的工作量，提高了系統(tǒng) 性能。 更細(xì)化的 QoS 服務(wù)能力，包含應(yīng)用層 QoS。 第 13 頁(yè) 共 43 頁(yè) IP 層的可見(jiàn)性使得對(duì)應(yīng)用層的帶寬管理成為可能。 能封裝非 IP 協(xié)議，如 IPX 和 DEC。 缺點(diǎn)： 通信只局限在服務(wù)商的網(wǎng)絡(luò)中，很大程度上依賴服務(wù)商提供的網(wǎng)絡(luò)。 平面網(wǎng)狀結(jié)構(gòu)需要更多的準(zhǔn)備開(kāi)銷，與基于 VC的 VPN 具有相同的問(wèn)題，就是在大型 VPN 上會(huì)引起 N的平方問(wèn)題。所以不適合大型網(wǎng)絡(luò)的拓展。 準(zhǔn)備與管理的開(kāi)銷相對(duì)昂貴。 IPSEC VPN IPSEC VPN 的種類： ? The seamless connection of two private works to form one bined virtual private work（無(wú)縫連接兩個(gè)私有網(wǎng)絡(luò)） ? The extension of a private work to allow remoteaccess users (also known as road warriors) to bee part of the trusted work（允許遠(yuǎn)程用戶接入） ? LANtoLAN IPSec implementations (also known as sitetosite VPNs)(點(diǎn)到點(diǎn) VPN) ? Remoteaccess client IPSec implementations （客戶端工具接入） IPSEC 概述 IPSec 是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，在