构建基于L2TP协议的VPDN网络.doc

构建基于l2tp协议的vpdn网络 构建基于l2tp协议的vpdn网络【摘要】本文介绍了l2tp协议的消息类型、协议格式以及如何构建一个基于l2tp协议的经典vpdn网络。结合实际应用的案例，对l2tp的配置和工程应用做了探讨。【关键词】l2tp、vpdn、vpn1. 引言  随着互联网的快速发展，企业、学校等集团式客户对于建立一个跨区域的虚拟专用网络（vnp）的需求日益迫切。各大基础电信运行商，创建先进稳定、覆盖度广的基础网络，则为客户提供了快速、安全的接入平台。而为了实现企业vpn，近年来出现了许多构建vpn的协议和标准，如l2f、pptp、l2tp、ipsec、mpls等。这些协议或者标准，从本质思想上都基本一致，都是采用隧道封装（或者标签）的方式实现内部网络数据在公共网络上的透明传输。 针对不同的客户网络实际需求，采用合适的协议，往往能使网络的构建更加快速和合理。如，当需要在几个企业园区间实现vpn时，采用mspl是比较方便的；当需要将散在的用户拨号连接到企业服务器时，pptp、l2tp等二层协议则更实际；如果既有多个园区需要互联，又有移动的用户需要拨号进入内部网络，则可结合mpls和l2tp等协议来构建。 vpdn（virtual private dial network）是指利用公共网络（如isdn 和pstn）的拨号功能及接入网来实现虚拟专用网，为企业、小型isp、移动办公人员提供接入服务。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟加密隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。vpdn 常用的隧道协议有pptp、l2f 和l2tp 等，目前使用最广泛的是l2tp。2. l2tp 协议简介 l2tp（layer two tunneling protocol）由rfc2661定义，它结合了l2f和pptp的优点，把链路层ppp帧封装在公共网络设施如ip、atm、帧中继中进行隧道传输，可以让用户从客户端或访问服务器端发起vpn连接。l2tp主要由lac（l2tp access concentrator）和lns（l2tp network server）构成。 在一个lns 和lac 对之间存在着两种类型的连接，一种是隧道（tunnel）连接，它定义了一个lns 和lac 对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个ppp 会话过程。 同一对lac 和lns 之间可以建立多个l2tp 隧道，隧道由一个控制连接和一个或多个会话（session）组成。会话连接必须在隧道建立成功之后进行，每个会话连接对应于lac 和lns 之间的一个ppp 数据流。控制消息和ppp 数据报文都在隧道上传输。l2tp 使用hello 报文来检测隧道的连通性。lac 和lns 定时向对端发送hello 报文，若在一段时间内未收到hello 报文的应答，该会话将被清除。2.1 l2tp的消息类型 l2tp使用两种类型的消息：控制消息和数据消息。控制消息用于隧道和呼叫的建立、维护和清除，它使用l2tp内的可靠控制通道来保证传送。数据消息用于封装隧道传输的ppp帧，当发生包丢失时不再传送数据消息。 ppp帧先由l2tp报头封装，再由一种包传输机制（如udp、帧中继、atm等）封装之后在一个不可靠的数据通道上传输。但是，控制消息在一个可靠的l2tp控制通道上传送，这个控制通道在同一包传输机制上传送包。在所有的控制消息中都需要有序列号，序列号还用于提供控制通道上的可靠传送。数据消息可以使用序列号来重新排序数据包和检测包的丢失。  控制通道和数据通道的l2tp数据包的报头格式相同（如图2所示）。在该报头格式中，当一个可选字段未被选中时，在消息中不为这个字段预留空间。注意：当数据消息的可选项ns在消息中出现（即被选中）则可选项nr必须出现在所有控制消息中。图1：l2tp数据包的报头格式t：消息类型 tunnel id：控制连接的标识符l：长度字段出现，可选 session id：隧道内的一次会话的标识符s：序列号 ns：数据消息或控制消息的序列号，可选o：偏移字段 nr：要收到的下一个控制消息中”预定”的序列号，可选p：优先权 offset size：指定l2tp报头之后的字节数，可选version：版本号 offset pad：偏移填充，可变长度，可选。length：消息的总长度 data：数据信息，可变长度2.2 l2tp的协议结构 通常，l2tp 数据以udp 报文的形式发送。l2tp 注册了udp 1701 端口，但这个端口仅用于初始的隧道建立过程中。隧道建立完成后，lac和lns间会使用隧道建立时选定的端口进行报文的传送。图2是l2tp的协议结构：图2：l2tp的协议结构 2.3 l2tp协议的安全特性 l2tp 本身并不提供连接的安全性，但它可利用ppp 提供的认证，如chap（challenge handshake authentication protocol）、pap（passwordauthentication protocol），因此具有ppp 的所有安全特性。 l2tp 也可根据特定的网络安全要求，在l2tp 之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。3. 使用l2tp协议构建vpdn网络 一个使用l2tp协议构建的经典vpdn网络由访问集中器lac、网络服务器lns、拨号用户以及企业内部服务器等组成。lac支持客户端的l2tp，用于发起呼叫、接收呼叫和建立隧道，lns是所有隧道的终点。应用l2tp 构建的vpdn网络典型拓扑如图3所示：图3：l2tp构建vpdn应用示意图 l2tp 访问集中器lac（l2tp access concentrator）是连接交换网络具有ppp 端系统和l2tp 协议处理能力的设备，直接接收用户呼叫。通常lac本身就是一台是网络接入服务器nas，其位于lns 和远端系统（远地用户和远地分支机构）之间，把从远端系统收到的报文按照l2tp 协议封装并送往lns，将从lns 收到的报文解封装并送往远端系统。 l2tp 网络服务器lns（l2tp network server）是ppp 端系统上用于处理l2tp 协议服务器端部分的设备，是通过lac 进行隧道传输的ppp 会话的逻辑终止端点。 l2tp隧道在lac与lns之间建立。用户终端通过nas接入网络，通过lac与lns之间的隧道，用户就可以登录到企业网上访问内部的服务器。在整个数据的传送过程中，l2tp隧道对用户来说是透明的。 4. 实际应用案例 跟随着贵港市经济的蓬勃发展，贵港电信分公司的数据业务也快速发展着，通过提供当前最流行的网络技术，满足各行业大小客户的多种需求。其中构建基于l2tp协议的vpdn网络，就是这些先进技术中的一种。 贵港市教育网在2003年建起的vpn，各学校单位在接入层以二层vlan或者pvc设置静态ip接入。贵港市及其管辖的桂平市、平南县等三县市的学校和教育系统通过中国电信的城域网平台互联在一起，用户规模庞大。在过去互联网络规模不是很大的情况下，这种组网方式有其先进的地方，ip二层vlan和atm的pvc技术都发展得比较成熟，网络功能的相对简单以及vpn客户相对较少，对于运营商的维护工作并没有造成太大的压力。随着网络的不段扩张，网络拓扑的结构更加复杂，vpn用户也日益增多。而跨县市的二层网络也日显臃肿，一旦某个vlan内产生了arp等病毒攻击的时候，受影响的往往是同一个vlan内的许多用户，还有ip地址冲突、故障定位困难不利于我们运营商的维护工作，于是对原有vpn的网络改造便提到了日程上来。 经过调研和规划，贵港电信数据维护组决定利用新增bas设备的先进功能，采用l2tp协议构建适合教育系统当前以及以后相当一段时间内的发展需求的vpdn网络，提高维护的效率。新的vpdn网络采用华为公司的ma5200g宽带接入服务器和ne40综合业务路由器分别作为lac和lns设备，教育网vpn贯穿贵港接入骨干路由器构建的mpsl网络，将全市各接入点与服务器连接起来。 贵港市教育网vpdn的网络结构如图4所示： 图4：贵港市教育网vpdn拓扑  教育网的服务器以及少部分旧有的专线固定ip用户通过s6505交换机接入到城北ne40，在贵港、桂平、平南三台ma5200g上均启用了l2tp功能，作为lac与和平ne40路由器建立隧道，和平ne40充当lns的角色，终结来自各地的l2tp逻辑连接。教育网拨号用户通过bas认证后，由lac向lns发起建立l2tp隧道的请求，lns对用户进行重新认证，并分配vpn内部ip地址。教育网用户对外网的访问，通过在城北ne40上进行nat转换实现。在本文关注的范围内，要实现教育网vpdn的l2tp接入，需要完成以下基本的配置内容。lac侧： 配置aaa认证 使能lac功能 创建l2tp 组 配置本端隧道名称 配置lac发起连接请求的参数lns侧： 使能lac功能 创建l2tp组 配置lns组参数 配置虚拟接口模板 配置lns 侧的l2tp连接参数 配置lns 侧的用户验证和地址分配地址 在作为lac的贵港、桂平和平南的宽带接入服务器上，均需要进行lac的相关配置，但lns的配置只需要在和平ne40上进行一次。根据贵港城域网的实际情况，我们当然还需要在城北路由器上做其他的一些相关配置，如nat转换、绑定mpls vpn-instan