基于VPDN的L2TP技術在甘肅鐵通的應用

高延德

（中移鐵通有限公司甘肅分公司，甘肅　蘭州　730000）

基于VPDN的L2TP技術在甘肅鐵通的應用

高延德

（中移鐵通有限公司甘肅分公司，甘肅蘭州730000）

伴隨著計算機網絡和通信技術的迅猛發展，信息技術不再局限于本地區，企業、學校等集團式客戶對于建立一個跨區域的虛擬專用網絡的需求日益迫切。在傳統的企業網絡中，在進行異地局域網之間的互聯，已給安全上帶來了隱患，二層隧道虛擬專用撥號網（L2TP VPDN）以其獨特的技術優勢，贏得了眾多企業的信賴，也成了現代企業交互信息的主要傳輸工具，L2TP VPDN業務已被看作是IP網絡上的最重要的增值業務。

計算機網絡；通信技術；局域網；L2TP VPDN

1　前言

隨著信息技術在全球的廣泛使用，不僅深刻地影響著經濟結構與經濟效率，而且作為先進生產力的代表，對社會文化和精神文明產生著深刻的影響。傳統的基于固定物理地點的專線連接網已難以適應當前的需要市場，并且對網絡的靈活性、安全性、經濟性、擴展性等方面的信息傳遞需求越來越強烈，因為企業之間的交互信息是完全暴露在公眾網中。當今IP網絡已經遍布全球，利用現有IP網絡為企業提供低成本專網逐漸成為各大運營商的關注點。因此，一種在IP網上提供VPN服務、如銀行、政府等行業和企業都有自己的專網，可方便設定任意速率、配置簡單的技術應運而生，通過L2TP隧道技術，它是在公用網絡上建立一個臨時、安全的連接，實現企業在公網上建立虛信道，是企業和機關部門的網絡擴展，適合經常出差在外遠程撥號的用戶，其特點為協議簡單，易于加密，以保證用戶數據的安全問題，實現了企業的專用通信網絡。

對于流動性強，分支機構多，以及要求安全性高的企業，有著廣泛的應用需求，因此甘肅鐵通應抓住市場需求，大力發展L2TPVPDN業務，來給公司提高經濟效益同時也幫助企業提高生產效率和管理。

2　L2TP的技術特點

在寬帶數據網絡中，VPN是一種被廣泛應用的技術，從VPN面世到成熟經歷了技術不斷完善的過程，目前市場上的VPN解決有多種，最常用的包括基于撥號的VPDN、基于路由的VPRN、虛擬專線的VLL和基于局域網的VPLS。其中VPDN的應用時間最長，也比較廣泛。

對于構建VPDN來說，隧道（Tunnel）技術是一個關鍵的技術，現有的隧道技術包括二層隧道技術和三層隧道技術，而對于二層隧道技術來說主要有3種。

2.1L2TP的技術

1）微軟、Ascend、3COM等公司支持的 PPTP（PointtoPointTunnelingProtocol，點對點隧道協議），在WindowsNT4.0以上版本中即有支持；

2）Cisco、北方電信等公司支持的 L2F（Layer2 Forwarding，二層轉發協議），在Cisco路由器中有支持；

3）而由IETF起草，微軟Ascend、Cisco、3COM等公司參予的L2TP（Layer2TunnelingProtocol，二層隧道協議）結合了上述兩個協議的優點，將很快地成為IETF有關二層隧道協議的工業標準。

2.2L2TP的特點

L2TP擴展了PPP的模型，使L2連接的終點和PPP報文的終點可以分處在不同的物理設備上，并利用分組交換網進行傳輸。在L2TP協議的實現中，用戶必須與LAC建立一個L2連接，LAC將PPP包隧傳到NAS，這樣PPP包便可以脫離L2層的電路而傳送。顯而易見的好處便是，由于此種分離，使用戶只需要與本地的LAC建立連接，而通過擴展，將邏輯的PPP報文通過共享網絡傳送給遠地的NAS，大大的節約了成本。而且L2TP解決了多連接的搜尋組分離的問題，對于PPP的多連接，要求所有的通道在同一個NAS上被捆綁在一起，通過L2TP可以很容易的使所有的通道連接到在同一個NAS，當然他也可以實現多連接操作，即使呼叫通過分離的NAS。

2.2.1高可靠和安全性

靈活的身份驗證機制以及高度的安全性：L2TP可以選擇多種身份驗證機制（CHAP、PAP等），繼承了PPP的所有安全特性，L2TP還可以對隧道端點進行驗證，這使得通過L2TP所傳輸的數據更加難以被攻擊。而且根據特定的網絡安全要求還可以方便地在L2TP之上采用隧道加密、端對端數據加密或應用層數據加密等方案來提高數據的安全性。L2TP協議可以支持備份LNS，當一個主LNS不可達之后，LAC（接入服務器）可以重新與備份LNS建立連接，這樣增加了VPN服務的可靠性和容錯性。同時L2TP還可以對于同一個LNS使用隧道組的模型，在隧道組中，可以進行備份和負載均衡等處理。

2.2.2支持非唯一的專用IP地址

內部地址分配支持：LNS可以放置于企業網的防火墻之后，它可以對于遠端用戶的地址進行動態的分配和管理，可以支持DHCP和私有地址應用（RFC1918）等方案。遠端用戶所分配的地址不是Internet地址而是企業內部的私有地址，這樣方便了地址的管理并可以增加安全性。

2.3.3網絡計費的靈活性

可以在LAC和LNS兩處同時計費，即ISP處（用于產生帳單）及企業處（用于付費及審記）。L2TP能夠提供數據傳輸的出入包數，字節數及連接的起始、結束時間等計費數據，可以根據這些數據方便地進行網絡計費。

2.4統一的網絡管理

L2TP協議將很快地成為標準的RFC協議，有關L2TP的標準MIB已經在RFC3371中明確定義，這樣可以統一地采用SNMP網絡管理方案進行方便的網絡維護與管理。

由上述幾個特點得出，VPDN的最佳實現方式是基于L2TP實現VPDN。

3　L2TP隧道的基本原理描述：

L2TP隧道的網絡拓撲模型如下：

圖1　L2TP隧道的網絡拓撲模型

如圖1所示。LAC表示L2TP接入控制器（L2TPAccessConcentrator），一般位于網絡的接入層或匯聚層，LAC具備PPP端系統和L2TP協議處理能力的設備，LAC可以根據網絡的不同分別接入PPPoE、PPPoA、PPPoEoA等接入方式。LNS是指L2TP網絡服務器，是PPP端系統處理L2TP協議服務器端部分的設備。在一個LNS和LAC對之間存在著兩種類型的連接，一種是隧道（Tunnel）連接，它定義了一個LNS和LAC對；另一種是會話（Session）連接，它復用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。在同一對LAC和LNS之間可以建立多個L2TP隧道，隧道由一個控制連接和一個或多個會話（Session）組成。會話連接必須在隧道建立（包括身份保護、L2TP版本、幀類型、硬件傳輸類型等信息的交換）成功之后進行，每個會話連接對應于LAC和LNS之間的一個PPP數據流。控制消息和PPP數據報文都在隧道上傳輸，對于利用L2TP隧傳PPP消息主要有建立隧道的控制連接和建立由呼入或呼出觸發的會話。

4　華為ME60的L2TP技術

在甘肅鐵通現有的網絡中，近年來隨著大力開展互聯網IP業務，寬帶業務也迅猛發展，為給用戶提供更優質的網絡服務平臺，采用了華為公司具有自主知識產權的多業務控制網關ME60，它具有大容量、高性能、強業務融合和業務智能處理與控制能力，強大的業務隔離手段、安全控制功能、QoS保障能力、高可靠性保證，為多業務承載提供保證和基于L2TP的LAC和LNS側的VPDN功能。

4.1ME60的體系結構

ME60不僅提供強大的IP路由轉發能力，還是IP網絡從承載單一的Internet業務向承載數據、語音、視頻、3G、NGN等業務的關鍵設備。

4.2提供多方式的物理接入和接入上網的L2TP解決方案：

接入方式包括PPPoE、PPPoA、PPPoEoA等方式，可以完成基于LAN、IPDSLAM、WLAN等物理方式的接入，在基于PPP方式的接入中都支持L2TP隧道。通過ME60特有的L2TP功能，實現網絡級的VPN，可對L2TP內用戶的互聯進行靈活設置。利用接入網ONU多業務接入設備以太網口，結合ME60可以為企業、個人等等提供高速的局域網互聯業務，利用該業務可以實現L2TP，該方案容易管理、性能優異、技術成熟可靠，用戶接入方便。能夠迅速的建立區域和跨區域的高速、可靠，是企業內部的理想選擇。

4.3ME60基本的L2TP功能包括：

1）支持L2TP隧道的LAC側和LNS側。

2）支持基于PPP認證的用戶認證和計費。

3）支持基于L2TP隧道的認證（遠端和本地）和計費（遠端和本地）。

4）支持L2TP隧道中多個Session，并支持隧道組。

5）支持L2TP隧道的負載均衡。

6）支持基于L2TP隧道的隧道交換（LTS）。

7）支持用戶觸發方式下的永久隧道。

8）支持L2TP的MIB。

9）支持L2TPv3。

5　應用實例

5.1系統平臺介紹

鑒于甘肅省地稅局已經建成網絡發票系統，甘肅移動新建一套VPDN統一認證系統，新增兩臺LNS路由設備，實現用戶通過認證系統無縫和安全的連接地稅局網絡發票管理系統開具發票的功能。以滿足甘肅省地稅局網絡發票系統用戶的接入認證，實現用戶（有線及無線接入）通過統一認證平臺無縫和安全的連接地稅局網絡發票管理系統。

5.2系統架構

L2TP業務是利用運營商分組數據網絡為移動用戶構建的虛擬專用網絡，依托該業務，納稅人在任何地點都能夠通過運營商網絡無縫和安全的連接到地稅局內網，實現發票的網絡開具、查詢等業務。用戶側采用VPN技術借助甘肅移動或鐵通城域網與甘肅省地稅局網絡發票系統平臺進行互訪。

圖2　系統平臺架構

如圖2所示，對于VPN接入平臺來說，一次認證發生在運營商核心網，二次認證發生在VPN接入平臺上的AAA。通過移動網絡接入的終端用戶經過VPN平臺AAA的二次認證后，網絡設備LNS允許終端與企業內部網絡通信。VPN接入平臺由于和LAC設備密切相關，LAC和路由設備之間隧道建立的方式主要基于L2TP協議。

5.3鐵通網內用戶L2TP解決方案

鐵通網內PPPOE用戶指通過撥號認證取得動態地址接入互聯網的用戶，或者ME60下掛的專線用戶都可實現該業務。接入認證工作由移動集中的VPNRADIUS（認證系統）完成，例：納稅人通過PPPOE撥號連接到移動LAC（BRAS）設備上，BRAS把用戶的信息發送到VPNRADIUS進行用戶的接入認證。認證通過后建立從BRAS設備開始，終結在LNS設備的L2TP隧道，實現對網絡發票系統平臺的訪問。

1）業務流程及認證方式如圖3所示。

圖3　固網VPN認證流程

（1）用戶撥入鐵通的接入服務器ME60，輸入企業用戶帳號，并跟上相應的企業后綴，輸入相應的企業用戶口令；

（2）鐵通ME60將帳號和口令傳入甘肅移動的用戶認證系統；

（3）認證服務器根據用戶后綴，確認為VPN用戶，該企業已在甘肅移動的用戶認證系統中注冊了相應的后綴名和企業網關信息；

（4）認證服務器將結果返回接入服務器（BRAS/LAC）；

（5）接入服務器建立與企業網關（LNS）的通道（L2TP）；

（6）企業網關收到甘肅移動的接入服務器發送的用戶信息，并在二次認證系統中對用戶信息進行認證，并決定接受或拒絕通道建立請求；

（7）企業網關向接入服務器確認用戶通過認證，并建立通道；

（8）企業網關與用戶交換PPP握手信息，為用戶分配IP地址；

（9）最終用戶與企業網關建立起端到端的PPP連接。

2）VPN認證過程

VPN認證過程的主要實現流程步驟如下：

（1）客戶端與BRAS/LAC進行PPPLCP協商；

（2）客戶端與BRAS/LAC進行PPP認證；

（3）BRAS/LAC將接入請求發送給RADIUS服務器（一次認證）；

（4）RADIUS服務器將認證結果 （允許接入/拒絕接入）返回給BRAS/LAC；

（5）BRAS/LAC發送L2TP建立請求給LNS；

（6）LNS發送L2TP建立應答給BRAS/LAC；

（7）BRAS/LAC與LNS的L2TP隧道建立；

（8）LNS與客戶端重新進行PPP LCP協商（可選）；

（9）客戶端與LNS進行PPP認證；

（10）LNS將接入請求發送給RADIUS服務器；

（11）RADIUS服務器將認證結果（允許接入/拒絕接入）返回給LNS；

（12）客戶端與LNS進行IPCP協商，獲取IP地址，最終建立VPN通信。

3）隧道建立過程

（1）終端用戶接入認證通過后，接入AAA將相應的LNS地址和其他參數發送到BRAS設備中；

（2）BRAS對LNS發出L2TP隧道建立請求，協商會話參數；

（3）LNS收到請求后對BRAS回應；

（4）BRAS收到回應，建立隧道，并通過隧道封裝用戶PPP流量。

5.4數據配置與業務終端

VPN用戶的相關信息在歸屬地接入AAA（第一層認證）和LNSAAA（第二層認證）中配置。在歸屬地接入AAA中配置本地VPN用戶信息、對應LNS地址、VPN隧道屬性以及隧道加密信息，在LNS AAA中配置終端用戶的賬號和密碼。固網VPN業務終端一般為臺式機、筆記本等PC機。

納稅企業和個人都可通過甘肅鐵通寬帶城域網中的ME60提供的L2TP功能，跨域接入了移動網絡的稅務打印發票系統，在公網上傳遞的高可靠性，解決了零散用戶高速打印地稅發票的難題，為網內用戶提供了優質的服務。

4　結束語

現階段，L2TP是最實用的應用，以甘肅鐵通PPPOE或專線用戶的技術實現及移動的LNS的組網、業務實現流程進行了分析，且L2TP業務的發展正處于高速上漲的時期，該項技術也在不斷改進，既可以不分地域、環境、時間以及接入方式，帶寬的限制，都以其高度安全的靈活性，滿足了不同企業用戶。運營商也必須進行技術領先和創新，根據市場的業務發展需求，不斷地推出有吸引力的新業務，還可進一步方便展開MPLS+VPN業務，這一業務領域也是數據類的增值業務利潤的主要來源，對于增強業務核心競爭能力有著積極的推動作用。

TN929.5