《利用L2TP实现VPDN技术概述》由会员分享,可在线阅读,更多相关《利用L2TP实现VPDN技术概述(5页珍藏版)》请在金锄头文库上搜索。
1、1 附录:利用L2TP实现VPDN技术概述如图5-1所示。利用L2TP 隧道技术,可以提供一个终端用户到客户网络的虚拟隧道。图5-1 L2TP 封装图L2TP 协议是一种传统的二层 VPN隧道协议,它的承载协议是 IP 协议,乘客协议是 PPP 协议。通过 L2TP 协议,PPP 二层链路端点和 PPP 会话点可以驻留在不同设备上,中间通过 L2TP 隧道穿越因特网。L2TP 协议有三个概念必须明确,终端用户、LAC、LNS。终端用户就是发起 PPP 协商的,需要登陆企业的一端,无线宽度VPDN业务中一般是上网卡+PC或智能手机,既是 PPP 二层链路一端又是PPP 会话的一端;LAC(L2T
2、P Access Concentrator)端是直接接受用户呼叫的一端,是 PPP 二层链路一端,在某些组网情况下 LAC 和用户可以合并为一个端点,其它情况下一般都是由 NAS 作为 LAC,无线宽带VPDN业务中一般使用PDSN作为LAC;LNS(L2TP Network Server)端是接受 PPP 会话的一端,一般位于私网与公网边界,通过 LNS,用户就可以登陆到私网上,访问私网资源,L2TP 隧道端点分别位于 LAC 和LNS 两端。在一个 LNS 和 LAC 对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,也叫控制连接,它定义了一个 LNS 和 LAC 对;另一种是会
3、话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。在同一对 LAC 和 LNS 之间可以建立多个 L2TP 隧道,每个隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP 版本、帧类型、硬件传输类型等信息的交换)成功之后进行,一个会话连接对应于一个用户和 LNS 之间的 PPP 数据流。控制消息和 PPP 数据报文都在隧道上传输,通过 L2TP 头中的标识来区分。PPP是一个对称的peer-to-peer 协议,可以在点对点链路上传输L2和L3的流量。PPP协议主要有以下三个部分: Encapsulation
4、 Link Control Protocol (LCP) Network Control Protocol (NCP) 数据包封装格式为PPP,LCP负责建立二层链路,NCP负责L3协议的控制。 一个PPP session的完成,主要分四个不同阶段: 连接开始链路开始建立,PPP 进入LCP阶段。 认证阶段该阶段并不是必须的,某些情况下,并不需要该阶段,可以直接从LCP进入到NCP阶段。 NCP阶段NCP在PPP两端的peers上协商L3 协议。在IP环境中,控制协议也称为IPCP(IP Control Protocol ). 除了在peers间进行协商,NCP阶段还可以进行分配和指派,通常用
5、来分配IP地址。 连接完成该阶段同样由LCP来完成。L2TP由两种消息组成,分别为控制消息和数据消息(control and data messages)。数据消息用来封装PPP数据包,并发送到L2TP Tunnel。L2TP使用UDP端口1701, 同时整个L2TP包封装成UDP格式。Tunnel发起者选择一个可用的UDP 端口,并发送端口好1701到UDP目的地。作为回应,目的地端口号和源端口号相同,并写入UDP 报头。源端口可以使用任何一个空闲的端口。在源端口和目的端口都建立完成后,在整个tunnel过程中将保持不变。 隧道建立完成后,在终端用户和LNS之间进行PPP认证。LAC 继续接
6、收PPP数据包,同时去除CRC和link framing并封装成L2TP包,然后送往LNS,参见图5-1。当PPP NCP协商开始时,IPCP也同时开始,并完成连接。下面是一个PPP和L2TP连接的建立流程,参见图5-2。远程用户开始一个PPP连接。LAC接受连接,PPP link开始建立。 1. 远程用户和LAC开始LCP协商。2. DNIS(无线宽带VPDN业务中通常为接入AAA)判断用户是否一个VPDN client。3. AAA向LAC传送tunnel 信息。4. LAC和LNS开始建立tunnel: o LAC发送Start-Control-Connection-Request (S
7、CCRQ) 到LNS。o LNS 开设建立tunnel,并返回Start-Control-Connection-Reply (SCCRP)。 o LAC回应Start-Control-Connection-Connected (SCCCN) 消息。o LNS 发送Zero-Length Body (ZLB) 消息到LAC。 Tunnel建立完成。 5. Tunnel认证完成,并建立隧道。PPP Session处于IDLE状态。 6. 在tunnel中开始三次信息交换: o LAC 发送带session参数的Incoming-Call-Request (ICRQ)。Session处于等待回答状态
8、。 o LNS 发送包括session ID的Incoming-Call-Reply (ICRP) 。Session 处于等待连接状态。o LAC 发送ICCN ,并且给LNS提供另外的信息。这些信息包括LCP LAC和终端用户的协商信息。 Session处于建立完成状态。o LNS 发送一个ZLB消息。 Session处于建立完成状态。 7. Session建立完成后,LNS创立一个虚拟接口。8. LNS产生认证challenge。 9. 正常的认证、授权和计费(AAA)以及或 PPP认证和授权完成.10. 对每个用户认证和计费发出RADIUS Access-Request。11. 接收RA
9、DIUS Access-Accept 。12. PPP IPCP 协商完成。终端用户连接完成,可以开始传送traffic流量。 图5-2 PPP和L2TP连接建立流程图终端用户和LNS建立PPP连接后,主要协议栈为IP header、UDP header和L2TP header。IP header为20 bytes, UDP header为8 bytes,L2TP header 大致为12 bytes. L2TP 的12 bytes如图5-3所示, 包括: the version and flag fields (2 bytes) the tunnel id and session id fi
10、elds (2 bytes each) 2 bytes of padding offset 4 bytes of Point-to-Point Protocol (PPP) encapsulation图5-3 L2TP header structureIP分片可能会在L2TP包在传输过程中发生。L2TP协议中没有使用特殊的方式来解决这个问题,一个LAC的实现可能需要使用它的LCP来协商特定的MRU,它能优化LAC的路径环境,使得在传输过程中这些L2TP包路径的MTU都是一致的。 任何L2TP的实现必须默认的进行控制包和数据包的UDP和校验。一个L2TP实现可能提供一个选项来禁止数据报文的UDP
11、和校验。在终端到用户网络的端到端应用中,假设标准的IP包MTU为1500bytes,加上40bytes的IP、UDP和L2TP包头后变为1540bytes。一般的以太接口MTU为1500bytes,所以需要将包分拆为二个碎片。第一个碎片为1500bytes,包括1460 bytes 原始的IP包,和40bytes的L2TP封装。第二个碎片为60bytes,包括40bytes的原始IP包和20bytes的IP包头。只有第一个碎片含有L2TP header,第二个碎片只包含IP header。这样可以让L2TP peer(LAC或LNS)重新组合这两个碎片为一个1540的tunnel封装包。第1页
