基于VPDN的L2TP技術在甘肅鐵通的應用

高延德

（中移鐵通有限公司甘肅分公司，甘肅　蘭州　730000）

基于VPDN的L2TP技術在甘肅鐵通的應用

高延德

（中移鐵通有限公司甘肅分公司，甘肅蘭州730000）

伴隨著計算機網(wǎng)絡和通信技術的迅猛發(fā)展，信息技術不再局限于本地區(qū)，企業(yè)、學校等集團式客戶對于建立一個跨區(qū)域的虛擬專用網(wǎng)絡的需求日益迫切。在傳統(tǒng)的企業(yè)網(wǎng)絡中，在進行異地局域網(wǎng)之間的互聯(lián)，已給安全上帶來了隱患，二層隧道虛擬專用撥號網(wǎng)（L2TP VPDN）以其獨特的技術優(yōu)勢，贏得了眾多企業(yè)的信賴，也成了現(xiàn)代企業(yè)交互信息的主要傳輸工具，L2TP VPDN業(yè)務已被看作是IP網(wǎng)絡上的最重要的增值業(yè)務。

計算機網(wǎng)絡；通信技術；局域網(wǎng)；L2TP VPDN

1　前言

隨著信息技術在全球的廣泛使用，不僅深刻地影響著經(jīng)濟結構與經(jīng)濟效率，而且作為先進生產(chǎn)力的代表，對社會文化和精神文明產(chǎn)生著深刻的影響。傳統(tǒng)的基于固定物理地點的專線連接網(wǎng)已難以適應當前的需要市場，并且對網(wǎng)絡的靈活性、安全性、經(jīng)濟性、擴展性等方面的信息傳遞需求越來越強烈，因為企業(yè)之間的交互信息是完全暴露在公眾網(wǎng)中。當今IP網(wǎng)絡已經(jīng)遍布全球，利用現(xiàn)有IP網(wǎng)絡為企業(yè)提供低成本專網(wǎng)逐漸成為各大運營商的關注點。因此，一種在IP網(wǎng)上提供VPN服務、如銀行、政府等行業(yè)和企業(yè)都有自己的專網(wǎng)，可方便設定任意速率、配置簡單的技術應運而生，通過L2TP隧道技術，它是在公用網(wǎng)絡上建立一個臨時、安全的連接，實現(xiàn)企業(yè)在公網(wǎng)上建立虛信道，是企業(yè)和機關部門的網(wǎng)絡擴展，適合經(jīng)常出差在外遠程撥號的用戶，其特點為協(xié)議簡單，易于加密，以保證用戶數(shù)據(jù)的安全問題，實現(xiàn)了企業(yè)的專用通信網(wǎng)絡。

對于流動性強，分支機構多，以及要求安全性高的企業(yè)，有著廣泛的應用需求，因此甘肅鐵通應抓住市場需求，大力發(fā)展L2TPVPDN業(yè)務，來給公司提高經(jīng)濟效益同時也幫助企業(yè)提高生產(chǎn)效率和管理。

2　L2TP的技術特點

在寬帶數(shù)據(jù)網(wǎng)絡中，VPN是一種被廣泛應用的技術，從VPN面世到成熟經(jīng)歷了技術不斷完善的過程，目前市場上的VPN解決有多種，最常用的包括基于撥號的VPDN、基于路由的VPRN、虛擬專線的VLL和基于局域網(wǎng)的VPLS。其中VPDN的應用時間最長，也比較廣泛。

對于構建VPDN來說，隧道（Tunnel）技術是一個關鍵的技術，現(xiàn)有的隧道技術包括二層隧道技術和三層隧道技術，而對于二層隧道技術來說主要有3種。

2.1L2TP的技術

1）微軟、Ascend、3COM等公司支持的 PPTP（PointtoPointTunnelingProtocol，點對點隧道協(xié)議），在WindowsNT4.0以上版本中即有支持；

2）Cisco、北方電信等公司支持的 L2F（Layer2 Forwarding，二層轉發(fā)協(xié)議），在Cisco路由器中有支持；

3）而由IETF起草，微軟Ascend、Cisco、3COM等公司參予的L2TP（Layer2TunnelingProtocol，二層隧道協(xié)議）結合了上述兩個協(xié)議的優(yōu)點，將很快地成為IETF有關二層隧道協(xié)議的工業(yè)標準。

2.2L2TP的特點

L2TP擴展了PPP的模型，使L2連接的終點和PPP報文的終點可以分處在不同的物理設備上，并利用分組交換網(wǎng)進行傳輸。在L2TP協(xié)議的實現(xiàn)中，用戶必須與LAC建立一個L2連接，LAC將PPP包隧傳到NAS，這樣PPP包便可以脫離L2層的電路而傳送。顯而易見的好處便是，由于此種分離，使用戶只需要與本地的LAC建立連接，而通過擴展，將邏輯的PPP報文通過共享網(wǎng)絡傳送給遠地的NAS，大大的節(jié)約了成本。而且L2TP解決了多連接的搜尋組分離的問題，對于PPP的多連接，要求所有的通道在同一個NAS上被捆綁在一起，通過L2TP可以很容易的使所有的通道連接到在同一個NAS，當然他也可以實現(xiàn)多連接操作，即使呼叫通過分離的NAS。

2.2.1高可靠和安全性

靈活的身份驗證機制以及高度的安全性：L2TP可以選擇多種身份驗證機制（CHAP、PAP等），繼承了PPP的所有安全特性，L2TP還可以對隧道端點進行驗證，這使得通過L2TP所傳輸?shù)臄?shù)據(jù)更加難以被攻擊。而且根據(jù)特定的網(wǎng)絡安全要求還可以方便地在L2TP之上采用隧道加密、端對端數(shù)據(jù)加密或應用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性。L2TP協(xié)議可以支持備份LNS，當一個主LNS不可達之后，LAC（接入服務器）可以重新與備份LNS建立連接，這樣增加了VPN服務的可靠性和容錯性。同時L2TP還可以對于同一個LNS使用隧道組的模型，在隧道組中，可以進行備份和負載均衡等處理。

2.2.2支持非唯一的專用IP地址

內部地址分配支持：LNS可以放置于企業(yè)網(wǎng)的防火墻之后，它可以對于遠端用戶的地址進行動態(tài)的分配和管理，可以支持DHCP和私有地址應用（RFC1918）等方案。遠端用戶所分配的地址不是Internet地址而是企業(yè)內部的私有地址，這樣方便了地址的管理并可以增加安全性。

2.3.3網(wǎng)絡計費的靈活性

可以在LAC和LNS兩處同時計費，即ISP處（用于產(chǎn)生帳單）及企業(yè)處（用于付費及審記）。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)，字節(jié)數(shù)及連接的起始、結束時間等計費數(shù)據(jù)，可以根據(jù)這些數(shù)據(jù)方便地進行網(wǎng)絡計費。

2.4統(tǒng)一的網(wǎng)絡管理

L2TP協(xié)議將很快地成為標準的RFC協(xié)議，有關L2TP的標準MIB已經(jīng)在RFC3371中明確定義，這樣可以統(tǒng)一地采用SNMP網(wǎng)絡管理方案進行方便的網(wǎng)絡維護與管理。

由上述幾個特點得出，VPDN的最佳實現(xiàn)方式是基于L2TP實現(xiàn)VPDN。

3　L2TP隧道的基本原理描述：

L2TP隧道的網(wǎng)絡拓撲模型如下：

圖1　L2TP隧道的網(wǎng)絡拓撲模型

如圖1所示。LAC表示L2TP接入控制器（L2TPAccessConcentrator），一般位于網(wǎng)絡的接入層或匯聚層，LAC具備PPP端系統(tǒng)和L2TP協(xié)議處理能力的設備，LAC可以根據(jù)網(wǎng)絡的不同分別接入PPPoE、PPPoA、PPPoEoA等接入方式。LNS是指L2TP網(wǎng)絡服務器，是PPP端系統(tǒng)處理L2TP協(xié)議服務器端部分的設備。在一個LNS和LAC對之間存在著兩種類型的連接，一種是隧道（Tunnel）連接，它定義了一個LNS和LAC對；另一種是會話（Session）連接，它復用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。在同一對LAC和LNS之間可以建立多個L2TP隧道，隧道由一個控制連接和一個或多個會話（Session）組成。會話連接必須在隧道建立（包括身份保護、L2TP版本、幀類型、硬件傳輸類型等信息的交換）成功之后進行，每個會話連接對應于LAC和LNS之間的一個PPP數(shù)據(jù)流?？刂葡⒑蚉PP數(shù)據(jù)報文都在隧道上傳輸，對于利用L2TP隧傳PPP消息主要有建立隧道的控制連接和建立由呼入或呼出觸發(fā)的會話。

4　華為ME60的L2TP技術

在甘肅鐵通現(xiàn)有的網(wǎng)絡中，近年來隨著大力開展互聯(lián)網(wǎng)IP業(yè)務，寬帶業(yè)務也迅猛發(fā)展，為給用戶提供更優(yōu)質的網(wǎng)絡服務平臺，采用了華為公司具有自主知識產(chǎn)權的多業(yè)務控制網(wǎng)關ME60，它具有大容量、高性能、強業(yè)務融合和業(yè)務智能處理與控制能力，強大的業(yè)務隔離手段、安全控制功能、QoS保障能力、高可靠性保證，為多業(yè)務承載提供保證和基于L2TP的LAC和LNS側的VPDN功能。

4.1ME60的體系結構

ME60不僅提供強大的IP路由轉發(fā)能力，還是IP網(wǎng)絡從承載單一的Internet業(yè)務向承載數(shù)據(jù)、語音、視頻、3G、NGN等業(yè)務的關鍵設備。

4.2提供多方式的物理接入和接入上網(wǎng)的L2TP解決方案：

接入方式包括PPPoE、PPPoA、PPPoEoA等方式，可以完成基于LAN、IPDSLAM、WLAN等物理方式的接入，在基于PPP方式的接入中都支持L2TP隧道。通過ME60特有的L2TP功能，實現(xiàn)網(wǎng)絡級的VPN，可對L2TP內用戶的互聯(lián)進行靈活設置。利用接入網(wǎng)ONU多業(yè)務接入設備以太網(wǎng)口，結合ME60可以為企業(yè)、個人等等提供高速的局域網(wǎng)互聯(lián)業(yè)務，利用該業(yè)務可以實現(xiàn)L2TP，該方案容易管理、性能優(yōu)異、技術成熟可靠，用戶接入方便。能夠迅速的建立區(qū)域和跨區(qū)域的高速、可靠，是企業(yè)內部的理想選擇。

4.3ME60基本的L2TP功能包括：

1）支持L2TP隧道的LAC側和LNS側。

2）支持基于PPP認證的用戶認證和計費。

3）支持基于L2TP隧道的認證（遠端和本地）和計費（遠端和本地）。

4）支持L2TP隧道中多個Session，并支持隧道組。

5）支持L2TP隧道的負載均衡。

6）支持基于L2TP隧道的隧道交換（LTS）。

7）支持用戶觸發(fā)方式下的永久隧道。

8）支持L2TP的MIB。

9）支持L2TPv3。

5　應用實例

5.1系統(tǒng)平臺介紹

鑒于甘肅省地稅局已經(jīng)建成網(wǎng)絡發(fā)票系統(tǒng)，甘肅移動新建一套VPDN統(tǒng)一認證系統(tǒng)，新增兩臺LNS路由設備，實現(xiàn)用戶通過認證系統(tǒng)無縫和安全的連接地稅局網(wǎng)絡發(fā)票管理系統(tǒng)開具發(fā)票的功能。以滿足甘肅省地稅局網(wǎng)絡發(fā)票系統(tǒng)用戶的接入認證，實現(xiàn)用戶（有線及無線接入）通過統(tǒng)一認證平臺無縫和安全的連接地稅局網(wǎng)絡發(fā)票管理系統(tǒng)。

5.2系統(tǒng)架構

L2TP業(yè)務是利用運營商分組數(shù)據(jù)網(wǎng)絡為移動用戶構建的虛擬專用網(wǎng)絡，依托該業(yè)務，納稅人在任何地點都能夠通過運營商網(wǎng)絡無縫和安全的連接到地稅局內網(wǎng)，實現(xiàn)發(fā)票的網(wǎng)絡開具、查詢等業(yè)務。用戶側采用VPN技術借助甘肅移動或鐵通城域網(wǎng)與甘肅省地稅局網(wǎng)絡發(fā)票系統(tǒng)平臺進行互訪。

圖2　系統(tǒng)平臺架構

如圖2所示，對于VPN接入平臺來說，一次認證發(fā)生在運營商核心網(wǎng)，二次認證發(fā)生在VPN接入平臺上的AAA。通過移動網(wǎng)絡接入的終端用戶經(jīng)過VPN平臺AAA的二次認證后，網(wǎng)絡設備LNS允許終端與企業(yè)內部網(wǎng)絡通信。VPN接入平臺由于和LAC設備密切相關，LAC和路由設備之間隧道建立的方式主要基于L2TP協(xié)議。

5.3鐵通網(wǎng)內用戶L2TP解決方案

鐵通網(wǎng)內PPPOE用戶指通過撥號認證取得動態(tài)地址接入互聯(lián)網(wǎng)的用戶，或者ME60下掛的專線用戶都可實現(xiàn)該業(yè)務。接入認證工作由移動集中的VPNRADIUS（認證系統(tǒng)）完成，例：納稅人通過PPPOE撥號連接到移動LAC（BRAS）設備上，BRAS把用戶的信息發(fā)送到VPNRADIUS進行用戶的接入認證。認證通過后建立從BRAS設備開始，終結在LNS設備的L2TP隧道，實現(xiàn)對網(wǎng)絡發(fā)票系統(tǒng)平臺的訪問。

1）業(yè)務流程及認證方式如圖3所示。

圖3　固網(wǎng)VPN認證流程

（1）用戶撥入鐵通的接入服務器ME60，輸入企業(yè)用戶帳號，并跟上相應的企業(yè)后綴，輸入相應的企業(yè)用戶口令；

（2）鐵通ME60將帳號和口令傳入甘肅移動的用戶認證系統(tǒng)；

（3）認證服務器根據(jù)用戶后綴，確認為VPN用戶，該企業(yè)已在甘肅移動的用戶認證系統(tǒng)中注冊了相應的后綴名和企業(yè)網(wǎng)關信息；

（4）認證服務器將結果返回接入服務器（BRAS/LAC）；

（5）接入服務器建立與企業(yè)網(wǎng)關（LNS）的通道（L2TP）；

（6）企業(yè)網(wǎng)關收到甘肅移動的接入服務器發(fā)送的用戶信息，并在二次認證系統(tǒng)中對用戶信息進行認證，并決定接受或拒絕通道建立請求；

（7）企業(yè)網(wǎng)關向接入服務器確認用戶通過認證，并建立通道；

（8）企業(yè)網(wǎng)關與用戶交換PPP握手信息，為用戶分配IP地址；

（9）最終用戶與企業(yè)網(wǎng)關建立起端到端的PPP連接。

2）VPN認證過程

VPN認證過程的主要實現(xiàn)流程步驟如下：

（1）客戶端與BRAS/LAC進行PPPLCP協(xié)商；

（2）客戶端與BRAS/LAC進行PPP認證；

（3）BRAS/LAC將接入請求發(fā)送給RADIUS服務器（一次認證）；

（4）RADIUS服務器將認證結果 （允許接入/拒絕接入）返回給BRAS/LAC；

（5）BRAS/LAC發(fā)送L2TP建立請求給LNS；

（6）LNS發(fā)送L2TP建立應答給BRAS/LAC；

（7）BRAS/LAC與LNS的L2TP隧道建立；

（8）LNS與客戶端重新進行PPP LCP協(xié)商（可選）；

（9）客戶端與LNS進行PPP認證；

（10）LNS將接入請求發(fā)送給RADIUS服務器；

（11）RADIUS服務器將認證結果（允許接入/拒絕接入）返回給LNS；

（12）客戶端與LNS進行IPCP協(xié)商，獲取IP地址，最終建立VPN通信。

3）隧道建立過程

（1）終端用戶接入認證通過后，接入AAA將相應的LNS地址和其他參數(shù)發(fā)送到BRAS設備中；

（2）BRAS對LNS發(fā)出L2TP隧道建立請求，協(xié)商會話參數(shù)；

（3）LNS收到請求后對BRAS回應；

（4）BRAS收到回應，建立隧道，并通過隧道封裝用戶PPP流量。

5.4數(shù)據(jù)配置與業(yè)務終端

VPN用戶的相關信息在歸屬地接入AAA（第一層認證）和LNSAAA（第二層認證）中配置。在歸屬地接入AAA中配置本地VPN用戶信息、對應LNS地址、VPN隧道屬性以及隧道加密信息，在LNS AAA中配置終端用戶的賬號和密碼。固網(wǎng)VPN業(yè)務終端一般為臺式機、筆記本等PC機。

納稅企業(yè)和個人都可通過甘肅鐵通寬帶城域網(wǎng)中的ME60提供的L2TP功能，跨域接入了移動網(wǎng)絡的稅務打印發(fā)票系統(tǒng)，在公網(wǎng)上傳遞的高可靠性，解決了零散用戶高速打印地稅發(fā)票的難題，為網(wǎng)內用戶提供了優(yōu)質的服務。

4　結束語

現(xiàn)階段，L2TP是最實用的應用，以甘肅鐵通PPPOE或專線用戶的技術實現(xiàn)及移動的LNS的組網(wǎng)、業(yè)務實現(xiàn)流程進行了分析，且L2TP業(yè)務的發(fā)展正處于高速上漲的時期，該項技術也在不斷改進，既可以不分地域、環(huán)境、時間以及接入方式，帶寬的限制，都以其高度安全的靈活性，滿足了不同企業(yè)用戶。運營商也必須進行技術領先和創(chuàng)新，根據(jù)市場的業(yè)務發(fā)展需求，不斷地推出有吸引力的新業(yè)務，還可進一步方便展開MPLS+VPN業(yè)務，這一業(yè)務領域也是數(shù)據(jù)類的增值業(yè)務利潤的主要來源，對于增強業(yè)務核心競爭能力有著積極的推動作用。

TN929.5