VPDN技术的理解与应用
作者: 丛玉华
来源:《科技资讯》 2011年第34期
丛玉华
(南京理工大学紫金学院 江苏南京 210046)
摘 要:本文介绍了VPDN技术的提出,基本概念,组网构建,实现方法及流程。
关键词:VPDN L2TP 隧道技术
中图法分类号: TN92 文献标识码 :A 文章编号:1674-098X(2011)12(a)-0000-00
1 引言
VPDN(Virtual Private Dial Network)虚拟拨号专网技术采用专用的网络加密和通信协议,使企业从远程经过公共IP网络,通过虚拟的加密通道与企业内部网连接,公共网上的客户无法穿过虚拟通道访问该企业的内部网。
2 VPDN概述
VPDN即虚拟专用拨号网,是VPN(Virtual Private Network)业务的一种,是基于拨号用户的虚拟专用拨号网业务。即以拨号接入方式上网,在网络上传输数据时,对网络数据封包和加密,可以传输私有数据达到私有网络的安全级别。VPDN的具体实现是采用隧道技术,即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。
2. VPDN组网及实现
本文采用由PPP拨号链路和骨干网上的L2TP(Layer 2 Tunneling Protocol)建立的隧道构成VPN。用户采用拨号方式通过隧道接入企业网。实现基于L2TP隧道协议的VPDN功能,作为LAC功能节点完成用户PPP接入方式的二层隧道透明转发。
2.1 VPDN的组网(图1)
南京理工大学紫金 组网中的要素:LAC――L2TP Access Concentrator,为L2TP的接入设备,它提供各种用户接入的服务,发起隧道和会话连接以及对VPN用户的代理认证,是ISP侧提供VPN服务的接入设备,在物理实现上。LNS――L2TP Network Server,为L2TP企业侧的VPN服务器,该服务器完成对用户的最终授权和验证,接收来自LAC的隧道和连接请求,并建立连接LNS和用户的PPP通道。远程终端:PPP会话的客户端,一般为拨号的终端,通过拨号设备连接到LAC。
2.2 L2TP协议(图2)
上图是L2TP协议在整个TCP/IP层次中的位置以及IP数据包在传输过程中所经过的协议栈结构和封装过程;灰标示的IP为需要传递的用户数据。在LAC侧的链路层将用户数据报文加上PPP封装后传递给L2TP协议,L2TP封装成UDP(User Data Protocol)报文,UDP再次封装成可以在Internet上传输的IP报文,此时的结果就是IP报文中又有IP报文,但两个IP地址不同,一般用户报文的IP地址是私有地址,而LAC上的IP地址为公有地址,至此完成了VPN的私有数据的封装;在LNS侧,收到L2TP/VPN的IP报文后将IP、UDP、L2TP报文头去掉后就恢复了用户的PPP报文,将PPP报文头去掉就可以得到IP报文,至此用户IP数据报文得到,从而实现用户IP数据的透明隧道传输,而且整个PPP报头/报文在传递的过程中也保持未变。
2.3 L2TP协商交互过程
L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的,L2TP报文分为控制报文和数据报文两类。控制报文包括L2TP通道的建立、维护、拆除,基于通道连接的会话连接的建立、维护、拆除,控制消息中的参数用AVP值对(Attribute Value Pair)来表示,使得协议具有很好的扩展性;在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性;数据报文则用PPP报文封装。会话的建立由PPP模块触发,该会话在建立时没有可用的隧道结构,则先建隧道连接,会话建立完毕开始进行数据传输。
L2TP隧道的建立是一个三次握手的过程,首先由LAC发起隧道建立请求SCCRQ,LNS收到请求进行应答SCCRP,LAC在收到应答后再给LNS返回确认SCCCN,隧道建立。会话建立先由LAC发起会话建立请求ICRQ,LNS收到请求返回应答ICRP,LAC收到应答后返回确认ICCN会话建立。
3. 小结
VPDN利用公共网络的拨号及接入网,实现虚拟专用网,为企业、小型ISP、移动办公人员提供接入服务。由于互联网运营商拥有大量的接入设备、设施及管理经验,企业可有效地利用互联网运营商的设备及设施,同时也节省了自己在接入设备上的投资,进而使得服务向专业化、系统化的方向发展。
参考文献
[1] 袁睿翕.《虚拟专网技术与解决方案》[M],北京:中国电力出版社,2003.7.
[2] 张金权. VPDN企业端解决方案[J].《邮电设计技术》,2002,第07期.
发布评论