【文章內(nèi)容簡介】 分類模型 VPLS是用 Inter設(shè)施仿真 LAN網(wǎng)段。 VPLS可用于提供所謂的透明 LAN服務(wù)(TLS)。 TLS可用于以協(xié)議透明方式互連多個支干 CE節(jié)點 (如橋或路由器 )。 VPLS在 IP上仿真 LAN網(wǎng)段，類似于 LANE在 ATM上仿真 LAN網(wǎng)段。它的主要優(yōu)點是協(xié)議完全 透明，這在多協(xié)議傳送和傳送管理上是很重要的。 常用 VPN分析 L2TP VPN L2TP 介紹 L2TP可以讓用戶從客戶端或訪問服務(wù)器端發(fā)起 VPN連接。 L2TP是把鏈路層 PPP幀封裝在公共網(wǎng)絡(luò) 設(shè)施如 IP、 ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議。 Cisco、 Ascend、 Microsoft 和 RedBack 公司的專家們在修改了十幾個版本后，終于在 1999 年 8月公布了 L2TP 的標(biāo)準(zhǔn) RFC2661。 目前用戶撥號訪問 Inter時，必須使用 IP協(xié)議，并且其動態(tài)得到 的 IP地址也是合法的。 L2TP的好處就在于支持多種協(xié)議， 用戶可以保 留原有的 IPX、Appletalk 等協(xié)議或公司原有的 IP地址。 L2TP 還解決了多個 PPP鏈路的捆綁問題， PPP鏈路捆綁要求其成員均指向同一個 NAS， L2TP可以使物理上連接到不同 NAS的 PPP鏈路，在邏輯上的終結(jié)點為同一個物理設(shè)備。 L2TP擴展了 PPP連接，在傳統(tǒng)方式中用戶通過模擬電話線或 ISDN/ADSL與網(wǎng)絡(luò)訪問服務(wù)器 (NAS)建立一個第 2層的連接，并在其上運行 PPP，第 2層連接的終結(jié)點和 PPP會話的終結(jié)點在同一個設(shè)備上 (如 NAS)。 L2TP作為 PPP 擴展提供更強大的功能，包括第 2層連接的終結(jié)點和PPP會話的終結(jié)點可以是不同的設(shè)備。 第 8 頁 共 43 頁 L2TP主要由 LAC(L2TP Access Concentrator)和 LNS(L2TPNetworkServer)構(gòu)成， LAC(L2TP訪問集中器 )支持客戶端的 L2TP，他用于發(fā)起呼叫，接收呼叫和建立隧道； LNS(L2TP網(wǎng)絡(luò)服務(wù)器 )是所有隧道的終點。在傳統(tǒng)的 PPP連接中，用戶撥號連接的終點是 LAC， L2TP使得 PPP協(xié)議的終點延伸到 LNS。 CISCO說 的 LNS就是工作在以 PPP為終端的平臺上， LNS處理服務(wù)器端的 L2TP協(xié)議。 LNS初始化發(fā)出呼叫和接收呼叫。 L2TP 協(xié)議結(jié)構(gòu) PPP 數(shù)據(jù)幀 L2TP 數(shù)據(jù)消息 L2TP 控制消息 L2TP 數(shù)據(jù)通道 L2TP 控制通道 包傳輸通道 圖 4 L2TP協(xié)議結(jié)構(gòu) 上 圖所示 L2TP協(xié)議結(jié)構(gòu)描述了 PPP幀和控制通道和數(shù)據(jù)通道之間的關(guān)系。 PPP幀首先被封裝 L2TP頭部并在不可靠數(shù)據(jù)通道上進(jìn)行傳輸，然后進(jìn)行 UDP、 Frame Relay、 ATM等包傳輸過程。 控制消息在可靠的 L2TP控制通道內(nèi)傳輸。 通常 L2TP以 UDP報文的形式發(fā)送。 L2TP注冊了 UDP 1701端口，但是這個端口僅用于初始的隧道建立過程中。 L2TP隧道發(fā)起方任選一個空閑的端口（未必是1701）向接收方的 1701端口發(fā)送報文；接收方收到報文后，也任選一個空閑的端口（未必是 1701），給發(fā)送方的指定端口回送報文。至此，雙方的端口選定，并在隧道保持連通的時間段內(nèi)不再改變。 L2TP 包封裝 L2TP用戶傳輸數(shù)據(jù)的隧道化過程采用多層封裝的方法。圖 5中表示了封裝后在隧道中傳輸 L2TP數(shù)據(jù)包格式。 Datelink header IP Header UDP Header L2TP Header PPP Header PPP Payload Datelink Trailer 圖 5 L2TP數(shù)據(jù)包格式 若是封裝在 IPSEC等數(shù)據(jù)包中這要加上 IPSEC 包頭和包尾。其中 IPSEC包頭到包尾之間都是通過 ESP或者 AH協(xié)議加密過。 a. L2TP封裝 初始 PPP有效載荷如 IP數(shù)據(jù)報、 IPX數(shù)據(jù)報或 NetBEUI幀等首先經(jīng)過 PPP報頭和L2TP報頭的封裝。 b. UDP封裝 L2TP幀進(jìn)一步添加 UDP報頭進(jìn)行 UDP封裝，在 UDP報頭中，源端和目的端端口號均設(shè)置為 1701。 第 9 頁 共 43 頁 c. IP封裝 在 UDP數(shù)據(jù)報外再添加 IP報頭進(jìn)行 IP封裝， IP報頭中包含 VPN客戶機和服務(wù)器的源端和目的端 IP地址。 數(shù)據(jù)鏈路層封裝是 L2TP幀多層封裝的的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報頭和報尾。例如，如果 L2TP幀將在以太網(wǎng)上傳輸，則用以太網(wǎng)報頭和報尾對 L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝；如果 L2TP幀將在點 點 WAN上傳輸，如模擬電話網(wǎng)或 ISDN等，則用 PPP報頭和報尾對 L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝。 在接收到 L2TP幀后， L2TP客戶機或 服務(wù)器將做如下解封裝處理： 處理并去除數(shù)據(jù)鏈路層報頭和報尾；處理并去除 IP報頭；處理 UDP報頭并將數(shù)據(jù)報提交給 L2TP協(xié)議； L2TP協(xié)議依據(jù) L2TP報頭中 Tunnel ID和 Call ID分解出某條特定的 L2TP隧道；依據(jù) PPP報頭分解出 PPP有效載荷，并將它轉(zhuǎn)發(fā)至相關(guān)的協(xié)議驅(qū)動程序做進(jìn)一步處理 。 L2TP 的優(yōu)勢 1． AAA Support (認(rèn)證，審計，受權(quán)支持 ) L2TP是基于 PPP協(xié)議的，因此它除繼承了 PPP 的所有安全特性外， 還可以對隧道端點進(jìn)行驗證，這使得通過 L2TP 所傳 輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的 網(wǎng)絡(luò)安全 要求，還可以方便地在 L2TP 之上采用隧道加密、端對端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。 2. Encryption(加密 ) 支持如 IPSec and DES 加密 (40 and 56 bits are supported today, with plans for168bit support)。 3. Quality of Service(QOS支持 ) 利用 IP優(yōu)先級，保證能為企業(yè)提供不同的隧道提供不同的帶寬，能為企業(yè)提供各種不同的服務(wù)類型，以及相應(yīng)核心業(yè)務(wù)的保證。 4. Reliability（可靠性支持） 基于多個備份的 LNS，所以能配置多個隧道組。若連接到一個主 LNS鏈路出現(xiàn)故障， LAC將會重新連接備份的 LNS。加強的 VPN可靠性和容錯能力能確保企業(yè)的應(yīng)用保證以及相關(guān)的服務(wù)級別 。 5. Scalability on a Single LNS（對于單個 LNS的可伸縮性） L2TP支持無限制的 LAC會話和支持超過 2020個單 LNS的會話。 不同的設(shè)備對鏈接 會話的支持可能不一樣。 6． Scalability on a Single Site （對于單個站點的可伸縮性） 可以支持 LAC和 LNS之間的多個隧道的負(fù)載均衡。 第 10 頁 共 43 頁 7． Address Management （地址管理） LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對于遠(yuǎn)端用戶的地址進(jìn)行動態(tài)的分配和管理，可以支持 DHCP 和私有地址應(yīng)用。遠(yuǎn)端用戶所分配的地址不是Inter地址而是企業(yè)內(nèi)部的私有地址，這樣方便了地址的管理并可以增加 安全性。 8． Network Management（網(wǎng)絡(luò)管理） 可以統(tǒng)一地采用 SNMP 網(wǎng)絡(luò)管理方案進(jìn)行方便的網(wǎng)絡(luò)維護(hù)與管理，同時支持SYSLOG，方便排錯和審計。 9．網(wǎng)絡(luò)計費的靈活性 可以在 LAC和 LNS兩處同時計費，即 ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費及審記）。 L2TP 能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結(jié)束時間等計費數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計費 。 L2TP會話建立過程 流程圖如下： 圖 6 L2TP 隧道建立流程圖 ISDN 撥號至本地的接入服務(wù)器 LAC； LAC 接收呼叫并進(jìn)行基本的辨別，這一過程可以采用幾種標(biāo)準(zhǔn)，如域名或用戶名、呼叫線路識別 CLID) 或撥 ID業(yè)務(wù) (DNIS)等。 第 11 頁 共 43 頁 ，就建立一個通向 LNS 的撥號 VPN 隧道。 RADIUS 鑒定撥號用戶。 與遠(yuǎn)程用戶交換 PPP 信息，分配 IP 地址。 LNS 可采用企業(yè)專用地址 (未注冊的 IP 地址 )或服務(wù)提 供商提供的地址空間分配 IP 地址。因為內(nèi)部源 IP 地址 與 目 的 地 IP 地址實際上都通過服務(wù)提供商的 IP 網(wǎng)絡(luò)在 PPP 信息包內(nèi)傳送，企業(yè)專用地址對提供者的網(wǎng) 絡(luò)是透明的。 LNS。 在實際應(yīng)用中， LAC 將撥號用戶的 PPP 幀封裝后，傳送到 LNS， LNS 去掉封裝包頭，得到 PPP 幀，再去掉 PPP 幀頭得到網(wǎng)絡(luò)層數(shù)據(jù)包。 GRE VPN GRE 概述 通用路由封裝 GRE（ Generic Routing Encapsulation）是對某些網(wǎng)絡(luò)層協(xié)議（如 IP 和 IPX）的報文進(jìn)行封裝，使這些被封裝的報文能夠在另一網(wǎng)絡(luò)層協(xié)議（如 IP）中傳輸，并支持全部的路由協(xié)議如 RIP、 OSPF、 IGRP、 EIGRP。 GRE 可以作為 VPN 的第三層隧道協(xié)議，在協(xié)議層之間采用隧道（ Tunnel）技術(shù)。 Tunnel 是一個虛擬的點對點的連接，可以看成僅支持點對點連接的虛擬接口，這個接口提供了一條通路，使封裝的數(shù)據(jù)報能夠在這個通路上傳輸，并在一個 Tunnel 的兩端分別對數(shù)據(jù)報進(jìn)行封裝及解封裝。 GRE 在包頭中包含了協(xié)議類型，這用于標(biāo)明乘客協(xié)議的類型；校驗和包括了GRE 的包頭和 完整的乘客協(xié)議與數(shù)據(jù)；密鑰用于接收端驗證接收的數(shù)據(jù)；序列 號用于接收端數(shù)據(jù)包的排序和差錯控制；路由用于本數(shù)據(jù)包的路由。 GRE 只提供了數(shù)據(jù)包的封裝，它并沒有加密功能來防止網(wǎng)絡(luò)偵聽和攻擊。所以在實際環(huán)境中它常和 IPSec 在一起使用，由 IPSec 提供用戶數(shù)據(jù)的加密，從而給用戶提供更好的安全性。 GRE 結(jié)構(gòu) 報文的傳輸： 圖 7 多協(xié)議本地網(wǎng)通過單一骨干網(wǎng) 第 12 頁 共 43 頁 報文的傳輸包括封裝和解封裝的過程： ? 加封裝過程 連接 Novell group1 的接口收到 IPX 數(shù)據(jù)報后，首先交由 IPX 協(xié)議處理。IPX 協(xié)議檢查 IPX 報頭中的目的地址域來確定如何路由此包。如果發(fā)現(xiàn)報文的目的地址要經(jīng)過網(wǎng)號為 1f 的網(wǎng)絡(luò)（ Tunnel 的虛擬網(wǎng)號），則將此報文發(fā)給網(wǎng)號為 1f 的 Tunnel 接口 ， Tunnel 接口收到此報文后進(jìn)行 GRE 封裝，封裝完成后交給 IP 模塊處理，在封裝 IP 報文頭后，根據(jù)報文目的地址及路由表交由相應(yīng)的網(wǎng)絡(luò)接口處理。 ? 解封裝過程 解封裝過程和加封裝過程相反。從 Tunnel 接口收到 IP 報文，檢查目的地址，當(dāng)發(fā)現(xiàn)目的地就是此路由器時，系統(tǒng)去掉此報文的 IP 報頭，交給 GRE 協(xié)議模塊處理； GRE 協(xié)議模塊完成相應(yīng)的處理后，去掉 GRE 報頭，再交由 IPX 協(xié)議模塊處理， IPX 協(xié)議模塊象對待一般數(shù)據(jù)報一樣對此數(shù)據(jù)報進(jìn)行處理 。 如圖 8 所示 ， IPX 封裝在 IP Tunnel 中 。 圖 8 IPX 封裝在 IP Tunnel 封裝好的格式如圖 9所示。 Delivery header GRE Header Payload packet 圖 9 GRE 封裝格式 GRE VPN 特點 優(yōu)點： 加密為可選的，不象 IPSec 中加密是必須的，而加密方法是可選，所以大幅度減低了芯片的工作量，提高了系統(tǒng) 性能。 更細(xì)化的 QoS 服務(wù)能力，包含應(yīng)用層 QoS。 第 13 頁 共 43 頁 IP 層的可見性使得對應(yīng)用層的帶寬管理成為可能。 能封裝非 IP 協(xié)議，如 IPX 和 DEC。 缺點： 通信只局限在服務(wù)商的網(wǎng)絡(luò)中，很大程度上依賴服務(wù)商提供的網(wǎng)絡(luò)。 平面網(wǎng)狀結(jié)構(gòu)需要更多的準(zhǔn)備開銷，與基于 VC的 VPN 具有相同的問題，就是在大型 VPN 上會引起 N的平方問題。所以不適合大型網(wǎng)絡(luò)的拓展。 準(zhǔn)備與管理的開銷相對昂貴。 IPSEC VPN IPSEC VPN 的種類： ? The seamless connection of two private works to form one bined virtual private work（無縫連接兩個私有網(wǎng)絡(luò)） ? The extension of a private work to allow remoteaccess users (also known as road warriors) to bee part of the trusted work（允許遠(yuǎn)程用戶接入） ? LANtoLAN IPSec implementations (also known as sitetosite VPNs)(點到點 VPN) ? Remoteaccess client IPSec implementations （客戶端工具接入） IPSEC 概述 IPSec 是一種開放標(biāo)準(zhǔn)的框架結(jié)構(gòu)，在