L2TP构建VPN.docVIP

L2TP构建VPN　当今网络飞速发展，网络带宽每6－9个月就翻一番，人们能够更加快速、方便地访问互联网，享受更多、更精致的服务。但是，您是否意识到您的一切活动都是在门户大开的情况下进行着的，随时都有可能在门外出现一个身影将您的所作所为尽收眼底，将您的机密堂而皇之的盗走，这一切对于讲究隐私和安全的时代来说是难以想象和不允许的，但是这一切又每时每刻都在上演着。 　　出现这一切的罪魁祸首是网络信息传输的透明性。为了使不同类型的网络和不同厂商的网络设备能够互相兼容，网络技术都遵循着国际标准化组织（ISO）的OSI七层模型，因此在网络中传送的数据流都具有相同的封装格式，数据流中所包含的原始有用信息也位于格式中的固定位置。当别有用心的人（例如黑客）监听到网络的数据流后（这种监听在网络中很容易就可以做到）只需按参照格式便能得到其中的原始有用信息。 　　如何给自己的网络上把放心锁，从而使自己能够安全的在网上娱乐和办公呢？针对这种需求，人们提出了虚拟专用网络VPN（Virtual Private Network）技术。其目的是为了保证通信的安全性，使用公共网络（例如互联网），通过三层或二层隧道（非透明性）实现专用通信。VPN的优点包括：仅仅依靠VPN技术就能为多种TCP/IP通信提供必威体育官网网址性；VPN技术实现所采用的三层或二层隧道能够支持多种网络协议；能够为信任的客户端与VPN服务器之间所有的TCP/IP通信提供加密服务；VPN的使用不影响公共网络的大众使用等。 　　对于构建VPN 来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，也就是将现有的透明网络信息进行再次封装，从而保证网络信息传输的安全性。它主要利用网络隧道协议来实现这种功能，具体包括二层隧道协议（用于传输二层网络协议）和三层隧道协议（用于传输三层网络协议）。 　二层隧道协议L2TP（Layer 2 Tunneling Protocol）是一种基于点对点协议PPP的二层隧道协议。在由L2TP构建的VPN中，有两种类型的服务器，一种是L2TP 访问集中器LAC（L2TP Access Concentrator ），它是附属在网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备，LAC一般就是一个网络接入服务器，用于为用户提供网络接入服务；另一种是L2TP 网络服务器LNS（L2TP Network Server），是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。 　　在LNS 和 LAC 之间存在着两种类型的连接，一种是隧道（tunnel）连接，它定义了一个 LNS 和 LAC 对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个 PPP 会话过程。 L2TP 连接的维护以及 PPP 数据的传送都是通过 L2TP 消息的交换来完成的，L2TP 消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护，数据消息用于承载用户的 PPP 会话数据包。这些消息都通过 UDP 的 1701 端口承载于 TCP/IP 之上。 　　L2TP层的数据传输具有非常强的扩展性和可靠性。控制消息中的参数用 AVP 值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性；控制消息的传输过程中应用了消息丢失重传和定时检测通道连通性等机制来保证 L2TP 层传输的可靠性。数据消息用于承载用户的 PPP 会话数据包。虽然L2TP 数据消息的传输不采用重传机制，无法保证传输的可靠性，但这一点可以通过上层协议如 TCP 等得到保证；数据消息的传输可以根据应用的需要灵活地采用流控或不流控机制，可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流量控制功能；在采用流量控制的过程中，对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。 所使用的网络设备是武汉烽火网络公司的F-Engine R4000和F-Engine S2000产品。该VPN将用户接入端的PPPOE和远程访问的L2TP结合在一起。用户远程访问按如下步骤进行。 　　1、用户认证 　　用户端通过在PPPOE拨号软件中输入用户名和密码，向用户接入端的F-Engine R4000（LAC）提出远程访问请求，F-Engine R4000和VPN Server交互用户名和密码，对用户进行认证，认证后则向用户反馈认证结果。 　　2、建立隧道 　　如果认证成功VPN Server则向远程网络的F-Engine R4000（LNS）提出隧道建立申请，并将用户信息提交给LNS，LNS对用户进行第二次身份认证，如认证通过则给用户ID、动态IP地址和访问权限，并将此反馈给