传送门:L2TP代码实现
1. L2TP概述3358 www.Sina.com/(第2层隧道协议, 双层隧道协议)是指L2TP(所谓virtualprivatedial-up network 3358 www.Sina.com/)是指公共网络,例如3358 www.ssww 是指利用的拨号功能接入公众网络,实现虚拟专用网,为企业、小型ISP、移动办公人员等提供接入服务。 也就是说,VPDN在远程用户和专用企业网络之间提供了经济高效的点对点连接。
VDN采用专用的网络通信协议,在公共网络上为企业构建安全的虚拟专用网。 3358www.Sina.com/和VPDN通过远程公共网络和虚拟隧道实现与企业总部的网络连接。 公共网络上的其他用户无法通过虚拟隧道访问企业网络中的资源。
VDN有两种实现方法:
VPDN
网络接入服务器(nas )使用VPDN隧道协议将客户的PPP连接直接连接到企业的VPDN网关,并与VPDN网关建立隧道。 它们对用户透明,用户只需登录一次就可以访问企业网络,并通过企业网络进行用户验证和地址分配,而不占用公共地址。 该方案要求NAS支持VPDN协议,认证系统支持VPDN属性。ISDN
客户端与VPDN网关建立隧道。 此方法在客户端与internet建立连接后,通过专用客户端软件(例如Windows 2000支持的L2TP客户端)与VPDN网关建立隧道连接。 用户的互联网连接方式和位置没有限制,不需要ISP干预。 但是,用户必须安装专用软件(通常是Windows 2000平台),用户使用的平台受到限制。
VPDN网关通常使用路由器或VPN专用服务器。
PDN隧道协议主要包括点对点隧道协议(PPTP ) l2f (第2层前向,双层传输) L2TP
在以L2TP构建的VPDN中,网络组件由三部分组成:
PSTN
远程系统是访问VPDN网络的远程用户和远程分支机构,通常是拨号用户的主机或专用网络路由设备。
33558 www.Sina.com/(L2 tpaccessconcentrator,L2TPaccesscontrator )
LAC是连接到PPP端系统和具有L2TP协议处理能力的交换网络的设备,通常是本地ISP的NAS,主要用于为PPP类型的用户提供访问服务。
LAC作为L2TP隧道的端点,位于LNS和远程系统之间,用于在LNS和远程系统之间传输数据包。 根据L2TP协议将从远程系统接收到的数据包封装后发送到LNS,同时也将从LNS接收到的数据包解除封装后发送到远程系统。
LAC和远程系统之间使用本地连接或PPP链路,并且在VPDN APP应用中通常是PPP链路。
33558 www.Sina.com/(L2 tpnetworkserver,L2TP网络服务器) )。
LNS是PPP端系统,也是L2TP协议的服务器端,通常充当内部网的边缘设备。
LNS作为L2TP隧道的另一端,是LAC的对方设备,是LAC进行隧道传送的PPP会话的逻辑端点。 通过在公共网络上建立L2TP隧道,将远程系统的PPP连接的另一端从原LAC逻辑扩展到企业网络内部的LNS。
3. L2TP基本概念3.1 L2TP协议背景企业驻外机构定义了一种封装技术,允许在两层点对点链路上传输多个协议分组,当用户和NAS之间运行PPP协议时出差人员(RFC2661 )是用于传送3358 www.Sina.com/PPP链路层分组的技术,包括双层链路端点(LAC )和PPP会话点(LNS )
3.2 L2TP协议结构图2是控制信道、PPP帧和数据信道的示例
间的关系。PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。图 3描述了LAC与LNS之间的L2TP数据报文的封装结构。通常L2TP数据以UDP报文的形式发送。L2TP注册了UDP 1701 端口,但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是 1701)向接收方的 1701 端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是 1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
3.3 隧道和会话
在一个 LNS 和 LAC 对之间存在着两种类型的连接。
隧道(Tunnel)连接:它对应了一个 LNS 和 LAC 对。 会话(Session)连接:它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。在同一对 LAC 和 LNS 之间可以建立多个 L2TP 隧道,隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP 版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于 LAC 和 LNS 之间的一个 PPP 数据流。
控制消息和PPP 数据报文都在隧道上传输。L2TP 使用 Hello 报文来检测隧道的连通性。LAC 和 LNS
定时向对端发送 Hello 报文,若在一段时间内未收到 Hello 报文的应答,隧道断开。 3.4 控制消息和数据消息
L2TP 中存在两种消息:控制消息和数据消息。
控制消息用于隧道和会话连接的建立、维护以及传输控制。它的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制。 数据消息用于封装 PPP 帧,并在隧道上传输。它的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。控制消息和数据消息共享相同的报文头。L2TP 报文头中包含隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上。报文头中的隧道标识符与会话标识符由对端分配。
4. L2TP 隧道模式及隧道建立过程 4.1 两种典型的 L2TP 隧道模式L2TP 隧道的建立包括以下两种典型模式。
NAS-Intiated如 图 4所示,由LAC端(指NAS)发起L2TP隧道连接。远程系统的拨号用户通过PPPoE/ISDN拨入LAC,由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧代理完成,也可在LNS侧完成。
Client-Initiated
如 图 5所示,直接由LAC客户(指本地支持L2TP协议的用户)发起L2TP隧道连接。LAC客户获得Internet访问权限后,可直接向LNS发起隧道连接请求,无需经过一个单独的LAC设备建立隧道。LAC 客户的私网地址由LNS分配。
在 Client-Initiated 模式下,LAC 客户需要具有公网地址,能够直接通过 Internet 与 LNS 通信。
4.2 L2TP 隧道的建立过程
L2TP应用的典型组网如 图 6所示。
下面以 NAS-Initiated 模式的 L2TP 隧道为例,介绍 L2TP 的呼叫建立流程。
如 图 7所示,L2TP隧道的呼叫建立流程过程为:
(1) 远端系统 Host 发起呼叫连接请求;
(2) Host 和 LAC 端(RouterA)进行 PPP LCP 协商;
(3) LAC 对 Host 提供的用户信息进行 PAP 或 CHAP 认证;
(4) LAC 将认证信息(用户名、密码)发送给 RADIUS 服务器进行认证;
(5) RADIUS 服务器认证该用户,如果认证通过,LAC 准备发起 Tunnel 连接请求;
(6) LAC 端向指定 LNS 发起 Tunnel 连接请求;
(7) 在需要对隧道进行认证的情况下,LAC 端向指定 LNS 发送 CHAP challenge 信息,LNS 回送该 challenge 响应消息 CHAP response,并发送 LNS 侧的 CHAP challenge,LAC 返回该challenge 的响应消息 CHAP response;
(8) 隧道验证通过;
(9) LAC 端将用户 CHAP response、response identifier 和 PPP 协商参数传送给 LNS;
(10) LNS 将接入请求信息发送给 RADIUS 服务器进行认证;
(11) RADIUS 服务器认证该请求信息,如果认证通过则返回响应信息;
(12) 若用户在 LNS 侧配置强制本端 CHAP 认证,则 LNS 对用户进行认证,发送 CHAP challenge, 用户侧回应 CHAP response;
(13) LNS 再次将接入请求信息发送给 RADIUS 服务器进行认证;
(14) RADIUS 服务器认证该请求信息,如果认证通过则返回响应信息;
(15) 验证通过,LNS 端会给远端用户分配一个企业网内部 IP 地址,用户即可以访问企业内部资源。
L2TP 协议本身并不提供连接的安全性,但它可依赖于 PPP 提供的认证(比如 CHAP、PAP 等), 因此具有 PPP 所具有的所有安全特性。L2TP 可与 IPsec 结合起来实现数据安全,这使得通过 L2TP 所传输的数据更难被攻击。L2TP 还可根据特定的网络安全要求在 L2TP 之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。
5.2 多协议传输L2TP 传输 PPP 数据包,在 PPP 数据包内可以封装多种协议。
5.3 支持 RADIUS 服务器的验证LAC 和 LNS 可以将用户名和密码发往 RADIUS 服务器进行验证申请,RADIUS 服务器负责接收用户的验证请求,完成验证。
5.4 支持内部地址分配LNS 可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC 1918)。为远端用户所分配的地址不是 Internet 地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
5.5 网络计费的灵活性可在 LAC 和 LNS 两处同时计费,即 ISP 处(用于产生帐单)及企业网关(用于付费及审计)。L2TP 能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
5.6 可靠性L2TP 协议支持备份 LNS,当主 LNS 不可达之后,LAC 可以与备份 LNS 建立连接,增加了 VPN 服务的可靠性和容错性。