基于多運營商和多接入的VPDN網(wǎng)絡(luò)研究

熊沁晗 陶駿 伍岳 顏云生

摘? ?要：本文結(jié)合實際應(yīng)用闡述了VPN的基本概念，詳細描述并對比了VPN的兩種實際應(yīng)用：MPLS VPN和L2TP VPDN。在單運營商和單接入L2TP VPDN的基礎(chǔ)上，提出了多運營商和多接入L2TP VPDN應(yīng)用，驗證了其的安全性和健壯性，并在真實的網(wǎng)絡(luò)下實現(xiàn)了多運營商和多接入L2TP VPDN應(yīng)用實驗，實驗得到了良好的效果。

關(guān)鍵詞：L2TP? MPLS? VPN? 抖動

中圖分類號：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ? ? ? ? ? ? ?文章編號：1674-098X（2019）05（b）-0120-03

Abstract： The basic concept of VPN is expounded in combination with practical application.，two practical applications of VPN， MPLS VPN and L2TP VPDN， are described and compared in detail. On the basis of single ISP and single access L2TP VPDN， the application of multi-ISP and multi-access L2TP VPDN is proposed， and its security and robustness are verified. The application experiment of multi-ISP and multi-access L2TP VPDN is realized under real network. The experiment results are satisfactory.

Key Words： L2TP; MPLS; VPN; Jitter

隨著時代和經(jīng)濟科學的發(fā)展，互聯(lián)網(wǎng)的用戶越來越多，互聯(lián)網(wǎng)用戶的接入方式也越來越多，既有傳統(tǒng)有線ADSL、LAN、光纖和同軸電纜接入，也有無線的wlan、3G和4G的接入，今后也會出現(xiàn)5G和量子通信的接入。用戶接入的互聯(lián)網(wǎng)運營商也會越來越多，除了中國電信、中國移動、中國聯(lián)通和廣電這些大的運營商外，也包括鵬博士和長城寬帶這些小的運營商。

用戶除了對接入帶寬和時延丟包等網(wǎng)絡(luò)質(zhì)量參數(shù)有要求外，用戶也對網(wǎng)絡(luò)的安全性有了很高的要求。有些用戶要求在互聯(lián)網(wǎng)接入，但是需要和其他的用戶在邏輯上嚴格分開，實現(xiàn)此要求可以采用獨享物理通道的專線技術(shù)，比如ATM、DDN和SDH，但專線接入耗費資源大，接入的價格高，所以此類用戶一般都采用VPN（虛擬私有網(wǎng)絡(luò)）接入。

目前基于單接入和單運營商的VPN應(yīng)用已經(jīng)較為常見，但是基于多接入和多運營商的VPN技術(shù)還沒有成熟運用，本文提出了一種基于多接入和多運營商的VPN研究和應(yīng)用。

1? VPN

VPN稱為虛擬私有網(wǎng)絡(luò)，用戶雖然接入到互聯(lián)網(wǎng)，但是在邏輯上和其他用戶是嚴格分開的，由于VPN接入在物理上還是使用的互聯(lián)網(wǎng)資源，只不過利用軟件協(xié)議劃分了嚴格的邏輯傳輸通道進行隔離，所以VPN接入的價格要遠低于專線接入。目前常用的VPN技術(shù)有MPLS VPN和L2TP VPDN。

1.1 MPLS VPN

MPLS指多協(xié)議標簽交換技術(shù)，其不同于傳統(tǒng)網(wǎng)絡(luò)設(shè)備的路由轉(zhuǎn)發(fā)，其利用的是標簽轉(zhuǎn)發(fā)，不是傳統(tǒng)的路由表，由于標簽轉(zhuǎn)發(fā)的速度比基于路由表的轉(zhuǎn)發(fā)速度快，所以基于MPLS的數(shù)據(jù)轉(zhuǎn)發(fā)時延較小，標簽轉(zhuǎn)發(fā)的是已經(jīng)定義好的VPN信息，其具體的網(wǎng)絡(luò)拓撲如圖1所示。

用戶先從CE（客戶路由器）接入，CE和PE（核心邊緣路由器）通過靜態(tài)、OSPF或者EBGP協(xié)議互聯(lián)接入到互聯(lián)網(wǎng);在PE路由器上指定VRF號（VPN編號）和開啟MPLS協(xié)議，P（核心路由器）和PE通過標簽交換發(fā)送數(shù)據(jù)，P路由器開啟MPLS，P路由器通過一般的IGP和BGP協(xié)議和PE及其他P互聯(lián)。

MPLS協(xié)議位于網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間，MPLS VPN具有快速安全的特點，但是用戶接入存在弊端，其必須通過用戶自己的CE接入，比如此時手機4G用戶的上游路由器不是CE，此時手機4G用戶就不能接入到MPLS VPN網(wǎng)絡(luò)了。

1.2 L2TP VPDN

L2TP VPDN是另一種VPN技術(shù)，L2TP協(xié)議位于數(shù)據(jù)鏈路層，其可以用過PPP撥號接入，用戶可以通過無線或者有線接入，其既滿足了接入的安全性需求，也滿足了接入的迅捷性需求。

1.2.1 單運營商和單接入L2TP VPDN

L2TP VPN的單運營商和單接入的網(wǎng)絡(luò)結(jié)構(gòu)圖，如圖2所示。

定義結(jié)構(gòu)圖中的設(shè)備如下。

LACi：運營商接入路由器，i表示第i個運營商接入路由器;

USERj：用戶接入點，j表示第j個用戶接入點，1個運營商接入路由器會對應(yīng)多個用戶接入點;

LNS：用戶接入路由器;

運營商AAA：運營商認證服務(wù)器;

用戶AAA：用戶認證服務(wù)器。

用戶撥號接入VPN之前需要進行如下配置：在運營商AAA上配置相關(guān)域名和隧道信息，因為用戶首先是接入到運營商的互聯(lián)網(wǎng)，所以要經(jīng)過運營商AAA的驗證;在用戶AAA上設(shè)置用戶名和密碼，驗證接入身份;在用戶LNS上配置相關(guān)域名和隧道信息，以保證與LAC、運營商AAA和用戶AAA的通信。

用戶接入的流程算法如表1。

當圖2中三個用戶都撥號成功后，結(jié)構(gòu)圖如圖3所示。

此時，LAC1和LNS建立一條隧道（tunnel），此隧道中有兩個用戶，LAC2和LNS建立一條tunnel（隧道），此隧道中有兩個用戶。

1.2.2 多運營商和多接入L2TP VPDN

L2TP VPN的多運營商和多接入的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖4所示。

定義結(jié)構(gòu)圖中的設(shè)備如下。

ISPAK：運營商，k表示第k個運營商，一個運營商有多種接入方式、多臺認證服務(wù)器和多臺LAC;

LACis：運營商接入路由器，i表示第i個運營商，s表示其第s個路由器;

USERj：用戶接入點，j表示第j個用戶接入點，1個運營商接入路由器會對應(yīng)多個用戶接入點;

LNS：用戶接入路由器;

運營商AAAip：第i個運營商第p個認證服務(wù)器，一般一種接入方式對應(yīng)一種認證服務(wù)器;

用戶AAA： 用戶認證服務(wù)器;

運營商ACCip：表示第i個運營商第p種接入方式。

用戶撥入的過程：先確定其接入的運營商和接入方式，再選擇需要認證域名的運營商服務(wù)器，再在LAC和LNS之間建立隧道，最后在LNS上認證用戶的用戶名稱和密碼。

具體流程算法如表2。

當圖4中的6個用戶都撥號成功時，結(jié)構(gòu)圖如圖5。

此時，LAC11和LNS建立一條隧道（tunnel），此隧道中有兩個用戶，LAC12和LNS建立一條tunnel（隧道），此隧道中有兩個用戶，LAC12和LNS建立一條隧道（tunnel），此隧道中有兩個用戶，LAC22和LNS建立一條tunnel（隧道），此隧道中有兩個用戶。

2? 實驗分析

在實驗室用表3設(shè)備搭建圖4網(wǎng)絡(luò)，在模擬用戶流量的前提下，對部署L2TP前后的從終端ping用戶AAA服務(wù)器的時延進行了對比，具體如圖6所示。

從上圖可以得到部署L2TP VPN后的時延均小于部署前，因為此時沒有經(jīng)過驗證的互聯(lián)網(wǎng)用戶是不允許訪問用戶AAA服務(wù)器的，這就減少了用戶內(nèi)網(wǎng)的網(wǎng)絡(luò)流量，提高了傳輸?shù)男省６秳又竝ing前后兩個時刻的時延之差的絕對值，抖動越小，網(wǎng)絡(luò)的性能越好，網(wǎng)絡(luò)中一般比較各采集時刻的抖動平均值，抖動平均值dith為（n指總的采樣點數(shù)目，i指每一個采樣點，ti指i時刻的ping時延大小）：

分析實驗結(jié)果可以得到：dith部署前=2.5>dith部署后=0.6，部署前也優(yōu)于部署后，原因也是內(nèi)網(wǎng)流量減小的效果，從實驗結(jié)果可以看出，部署L2TP VPN網(wǎng)絡(luò)后既實現(xiàn)了網(wǎng)絡(luò)的安全性，也加強了網(wǎng)絡(luò)的健壯性。

3? 結(jié)語

VPN為用戶提供了便捷、經(jīng)濟、安全的企業(yè)網(wǎng)絡(luò)組網(wǎng)方式，本文在單運營商和單接入L2TP VPDN的基礎(chǔ)上，對多運營商和多接入方式的L2TP VPDN應(yīng)用做了探討研究并在真實的網(wǎng)絡(luò)環(huán)境下進行了模擬實驗，實驗得到了良好的效果。下一步的研究方向是利用SDN技術(shù)架構(gòu)對L2TP網(wǎng)絡(luò)參數(shù)做到自動有區(qū)別的下發(fā)，并對重要的網(wǎng)絡(luò)流量做QoS保障，進一步提高網(wǎng)絡(luò)的運行效率和安全性能。

參考文獻

[1] 陶駿，徐灝.基于FDD-LTE 4G技術(shù)的無線VPDN網(wǎng)絡(luò)構(gòu)建[J].廊坊師范學院學報：自然科學版，2018（3）：36-39.

[2] 卡羅爾 TCP/IP路由技術(shù)（第二卷）[M].北京：人民郵電出版社，2009.

[3] 劉路.基于動態(tài)連接的RDMA可靠傳輸協(xié)議設(shè)計[J].計算機工程與科學，2012，34（8）：184-190.

[4] 曹繼軍.超級計算系統(tǒng)互聯(lián)網(wǎng)絡(luò)帶內(nèi)管理的實現(xiàn)與評測[J].計算機學報，2016，39（9）：1718-1731.

[5] 沈文婷.具有密鑰可恢復能力的云存儲完整性檢測方案[J].軟件學報，2016，27（6）：1452-1462.

[6] 陶駿，沈陽.基于SDN的QoS多播網(wǎng)絡(luò)仿真[J].大慶師范學院學報，2017（12）：42-47.

[7] 顏云生.基于AHP算法的電子書包評估系統(tǒng)[J].計算機系統(tǒng)與應(yīng)用，2017（8）：49-54.

[8] 陶駿，顏云生.基于NAT和FIT AP的實驗室無線網(wǎng)絡(luò)構(gòu)建[J].計算機與網(wǎng)絡(luò)，2017（20）：68-71.

[9] 王蓉.基于VPDN的社區(qū)應(yīng)用系統(tǒng)的方案設(shè)計與實踐[D].北京郵電大學，2010.

[10]雷維禮，馬立香.接入網(wǎng)技術(shù)[M].北京：清華大學出版社，2006.

[11]馬春光，郭方方.防火墻、入侵檢測與VPN[M].北京：北京郵電大學出版社，2008.

[12]張智江，劉申建.CDMA2000 1 X EV-DO 網(wǎng)絡(luò)技術(shù)[M].北京：機械工業(yè)出版社，2005.

[13]何亞輝，肖路，陳鳳英.基于IPSecd的VPN技術(shù)原理與應(yīng)用[J].重慶工學院學報，2006（11）.