一、VPDN简介

VPDN（Virtual Private Dial Network，虚拟私有拨号网）是指利用公共网络（如ISDN和PSTN）的拨号功能及接入网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。 

VPDN采用(yong)专用(yong)的(de)网(wang)(wang)络(luo)加密通(tong)信协(xie)议，在公共(gong)网(wang)(wang)络(luo)上(shang)为(wei)企(qi)业建立安全的(de)虚拟(ni)专网(wang)(wang)。企(qi)业驻(zhu)外机构(gou)和出差(cha)人员可从远程经由公共(gong)网(wang)(wang)络(luo)，通(tong)过虚拟(ni)加密隧道实现和企(qi)业总部之间的(de)网(wang)(wang)络(luo)连接，而(er)公共(gong)网(wang)(wang)络(luo)上(shang)其它用(yong)户则无法穿(chuan)过虚拟(ni)隧道访问企(qi)业网(wang)(wang)内部的(de)资源。

VPDN有下列(lie)两种实现方(fang)式： 

1）NAS通(tong)过隧道(dao)协(xie)议，与VPDN网关建立通(tong)道(dao)的(de)方(fang)(fang)式。这种方(fang)(fang)式将客户(hu)的(de)PPP连(lian)接(jie)直接(jie)连(lian)到企业(ye)的(de)网关上，目前可(ke)使用(yong) 的(de)协(xie)议有(you)L2F与L2TP。其好(hao)处在于：对(dui)用(yong)户(hu)是透明的(de)，用(yong)户(hu)只(zhi)需要登录(lu)一(yi)次就可(ke)以接(jie)入企业(ye)网络，由企业(ye)网进(jin)行(xing)用(yong)户(hu)认证和地(di)(di)址(zhi)分配，而不占用(yong)公(gong)共地(di)(di)址(zhi)，用(yong) 户(hu)可(ke)使用(yong)各种平台上网。这种方(fang)(fang)式需要NAS支持VPDN协(xie)议，需要认证系(xi)统(tong)支持VPDN属性，网关一(yi)般(ban)使用(yong)路由器或×××专用(yong)服(fu)务器。 

2）客(ke)(ke)户(hu)(hu)机与(yu)(yu)VPDN网(wang)(wang)关(guan)建(jian)(jian)立隧道的方式(shi)(shi)。这种方式(shi)(shi)由客(ke)(ke)户(hu)(hu)机先(xian)建(jian)(jian)立与(yu)(yu)Internet的连接(jie)，再通过专用(yong)(yong)(yong)的客(ke)(ke)户(hu)(hu)软件（如(ru) Win2000支(zhi)持的L2TP客(ke)(ke)户(hu)(hu)端）与(yu)(yu)网(wang)(wang)关(guan)建(jian)(jian)立通道连接(jie)。其好处(chu)在(zai)于：用(yong)(yong)(yong)户(hu)(hu)上网(wang)(wang)的方式(shi)(shi)和(he)地点(dian)没(mei)有限制，不需(xu)ISP介入。缺点(dian)是：用(yong)(yong)(yong)户(hu)(hu)需(xu)要安装(zhuang)专用(yong)(yong)(yong)的软件 （一般都是Win2000平(ping)台），限制了用(yong)(yong)(yong)户(hu)(hu)使用(yong)(yong)(yong)的平(ping)台。 
VPDN隧道协议可(ke)分为PPTP、L2F和L2TP三种，目前使用(yong)最广泛的是L2TP。

二(er)、L2TP协议(yi)介绍

1)协议(yi)背景 

PPP协(xie)议定义了(le)一种封装技术，可以在(zai)二(er)层的点(dian)到点(dian)链(lian)路(lu)上传输(shu)多(duo)种协议数(shu)据包，这时用户与NAS之间运行PPP协议，二(er)层链(lian)路(lu)端点(dian)与PPP会话点(dian)驻留在(zai)相(xiang)同硬件设备上。

L2TP协(xie)议(yi)(yi)提(ti)供(gong)了(le)(le)对PPP链路层(ceng)数据包(bao)的(de)通道（Tunnel）传输支(zhi)持，允许(xu)二(er)层(ceng)链路端(duan)点和(he)PPP会话点驻留在不同设 备上并且采用包(bao)交换(huan)网(wang)络技术进行信息(xi)交互，从而扩(kuo)展(zhan)了(le)(le)PPP模型。L2TP协(xie)议(yi)(yi)结合了(le)(le)L2F协(xie)议(yi)(yi)和(he)PPTP协(xie)议(yi)(yi)的(de)各自优点，成为IETF有关二(er)层(ceng)隧道协(xie)议(yi)(yi) 的(de)工业标(biao)准。 

2)典(dian)型L2TP组网应(ying)用 

使用(yong)L2TP协(xie)议构建的VPDN应(ying)用(yong)的典(dian)型组网如图(tu)1所(suo)示：

其中，LAC表示L2TP访问(wen)集中器（L2TP Access Concentrator），是(shi)(shi)附属在交换网(wang)(wang)络(luo)(luo)上的(de)具(ju)有PPP端(duan)系统和(he)L2TP协议(yi)处(chu)理能力的(de)设(she)备。LAC一般是(shi)(shi)一个(ge)网(wang)(wang)络(luo)(luo)接(jie)入服(fu)务(wu)器NAS，主要(yao)用于通(tong)过(guo)PSTN/ISDN网(wang)(wang)络(luo)(luo)为用户(hu)提供接(jie)入服(fu)务(wu)。LNS表示L2TP网(wang)(wang)络(luo)(luo)服(fu)务(wu)器（L2TP Network Server），是(shi)(shi)PPP端(duan)系统上用于处(chu)理L2TP协议(yi)服(fu)务(wu)器端(duan)部(bu)分的(de)设(she)备。 

LAC位于LNS和(he)远(yuan)端(duan)系(xi)统（远(yuan)地用户(hu)和(he)远(yuan)地分支机构(gou)）之(zhi)间(jian)，用于在LNS和(he)远(yuan)端(duan)系(xi)统之(zhi)间(jian)传(chuan)递信息(xi)包，把从(cong)(cong)远(yuan)端(duan)系(xi)统收(shou)到 的(de)信息(xi)包按照(zhao)L2TP协(xie)议进行(xing)封装并送(song)往LNS，将从(cong)(cong)LNS收(shou)到的(de)信息(xi)包进行(xing)解封装并送(song)往远(yuan)端(duan)系(xi)统。LAC与远(yuan)端(duan)系(xi)统之(zhi)间(jian)可以采(cai)用本(ben)地连接或PPP链(lian) 路，VPDN应(ying)用中通常为PPP链(lian)路。LNS作为L2TP隧(sui)道的(de)另(ling)一侧端(duan)点(dian)，是LAC的(de)对(dui)端(duan)设备，是被(bei)LAC进行(xing)隧(sui)道传(chuan)输的(de)PPP会话的(de)逻辑(ji)终(zhong)止(zhi)端(duan)点(dian)。 

3)L2TP协(xie)议的技术细节 

A)L2TP协议(yi)结构 

上(shang)图(tu)所示L2TP协议结构描述了PPP帧(zhen)和控(kong)(kong)制(zhi)通(tong)道以及数据通(tong)道之(zhi)间的关(guan)系。PPP帧(zhen)在不可靠的L2TP数据通(tong)道上(shang)进行(xing)传输(shu)，控(kong)(kong)制(zhi)消息在可靠的L2TP控(kong)(kong)制(zhi)通(tong)道内传输(shu)。 

通(tong)常L2TP数据以(yi)UDP报(bao)(bao)文(wen)的形式发(fa)(fa)(fa)送(song)。L2TP注册了UDP 1701端(duan)口(kou)，但是这个端(duan)口(kou)仅用于初(chu)始的隧道(dao)建立过程中。L2TP隧道(dao)发(fa)(fa)(fa)起方(fang)任(ren)选(xuan)一(yi)个空闲的端(duan)口(kou)（未(wei)必是1701）向接(jie)收(shou)方(fang)的1701端(duan)口(kou)发(fa)(fa)(fa)送(song)报(bao)(bao)文(wen)；接(jie)收(shou) 方(fang)收(shou)到(dao)报(bao)(bao)文(wen)后，也任(ren)选(xuan)一(yi)个空闲的端(duan)口(kou)（未(wei)必是1701），给发(fa)(fa)(fa)送(song)方(fang)的指(zhi)定端(duan)口(kou)回送(song)报(bao)(bao)文(wen)。至此，双方(fang)的端(duan)口(kou)选(xuan)定，并在隧道(dao)保持连通(tong)的时(shi)间段(duan)内不再改变。 

B) 隧道和(he)会话的(de)概念 

在(zai)一个(ge)(ge)(ge)(ge)LNS和(he)(he)LAC对(dui)之(zhi)间(jian)存在(zai)着(zhe)两种类型的连(lian)(lian)(lian)接(jie)，一种是(shi)隧(sui)(sui)道(dao)(dao)(dao)（Tunnel）连(lian)(lian)(lian)接(jie)，它定义了一个(ge)(ge)(ge)(ge)LNS和(he)(he)LAC对(dui)；另(ling) 一种是(shi)会(hui)话(hua)(hua)(hua)（Session）连(lian)(lian)(lian)接(jie)，它复用在(zai)隧(sui)(sui)道(dao)(dao)(dao)连(lian)(lian)(lian)接(jie)之(zhi)上，用于表示(shi)承载在(zai)隧(sui)(sui)道(dao)(dao)(dao)连(lian)(lian)(lian)接(jie)中的每(mei)个(ge)(ge)(ge)(ge)PPP会(hui)话(hua)(hua)(hua)过程。在(zai)同一对(dui)LAC和(he)(he)LNS之(zhi)间(jian)可以建(jian)立多个(ge)(ge)(ge)(ge) L2TP隧(sui)(sui)道(dao)(dao)(dao)，隧(sui)(sui)道(dao)(dao)(dao)由一个(ge)(ge)(ge)(ge)控制连(lian)(lian)(lian)接(jie)和(he)(he)一个(ge)(ge)(ge)(ge)或多个(ge)(ge)(ge)(ge)会(hui)话(hua)(hua)(hua)（Session）组成。会(hui)话(hua)(hua)(hua)连(lian)(lian)(lian)接(jie)必须在(zai)隧(sui)(sui)道(dao)(dao)(dao)建(jian)立（包括(kuo)身份保护、L2TP版(ban)本、帧类型、硬件(jian)传(chuan)输(shu)类型 等(deng)信息(xi)的交换(huan)）成功之(zhi)后进行，每(mei)个(ge)(ge)(ge)(ge)会(hui)话(hua)(hua)(hua)连(lian)(lian)(lian)接(jie)对(dui)应(ying)于LAC和(he)(he)LNS之(zhi)间(jian)的一个(ge)(ge)(ge)(ge)PPP数(shu)据流(liu)。控制消(xiao)息(xi)和(he)(he)PPP数(shu)据报文都(dou)在(zai)隧(sui)(sui)道(dao)(dao)(dao)上传(chuan)输(shu)。 

L2TP使(shi)用(yong)Hello报(bao)文来检(jian)测隧(sui)道(dao)的(de)连通性。LAC和LNS定时向对(dui)端发(fa)送Hello报(bao)文，若在(zai)一(yi)段时间(jian)内未收到Hello报(bao)文的(de)应答(da)，该会话将被清除。 

C) 控制消息(xi)(xi)和数据(ju)消息(xi)(xi)的(de)概(gai)念 

L2TP中(zhong)存在(zai)两种消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)：控(kong)制(zhi)(zhi)(zhi)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)和(he)(he)数(shu)(shu)据(ju)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)。控(kong)制(zhi)(zhi)(zhi)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)用(yong)于(yu)(yu)隧道和(he)(he)会(hui)话连接的(de)建立(li)、维护(hu)以及传(chuan)输(shu)控(kong)制(zhi)(zhi)(zhi)；数(shu)(shu)据(ju)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)则用(yong)于(yu)(yu)封 装PPP帧并在(zai)隧道上传(chuan)输(shu)。控(kong)制(zhi)(zhi)(zhi)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)的(de)传(chuan)输(shu)是可靠传(chuan)输(shu)，并且支持对控(kong)制(zhi)(zhi)(zhi)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)的(de)流量(liang)控(kong)制(zhi)(zhi)(zhi)和(he)(he)拥(yong)塞(sai)控(kong)制(zhi)(zhi)(zhi)；而数(shu)(shu)据(ju)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)的(de)传(chuan)输(shu)是不可靠传(chuan)输(shu)，若(ruo)数(shu)(shu)据(ju)报(bao)文丢失，不予(yu)重 传(chuan)，不支持对数(shu)(shu)据(ju)消(xiao)(xiao)(xiao)息(xi)(xi)(xi)(xi)的(de)流量(liang)控(kong)制(zhi)(zhi)(zhi)和(he)(he)拥(yong)塞(sai)控(kong)制(zhi)(zhi)(zhi)。 
控(kong)制消息(xi)和数据消息(xi)共享(xiang)相同的(de)报文头。L2TP报文头中包含(han)隧(sui)(sui)(sui)道(dao)标(biao)识(shi)(shi)(shi)(shi)(shi)符（Tunnel ID）和会(hui)话标(biao)识(shi)(shi)(shi)(shi)(shi)符（Session ID）信(xin)息(xi)，用来标(biao)识(shi)(shi)(shi)(shi)(shi)不同的(de)隧(sui)(sui)(sui)道(dao)和会(hui)话。隧(sui)(sui)(sui)道(dao)标(biao)识(shi)(shi)(shi)(shi)(shi)相同、会(hui)话标(biao)识(shi)(shi)(shi)(shi)(shi)不同的(de)报文将被复用在(zai)一(yi)个隧(sui)(sui)(sui)道(dao)上(shang)，报文头中的(de)隧(sui)(sui)(sui)道(dao)标(biao)识(shi)(shi)(shi)(shi)(shi)符与会(hui)话标(biao)识(shi)(shi)(shi)(shi)(shi)符由对端分配。 

4)两种典型的L2TP隧道模式 

远端系统(tong)或LAC客户端（运(yun)行L2TP协议的(de)主机）与LNS之间对PPP帧的(de)隧道模(mo)式如(ru)图3所示：

a. 由(you)远程(cheng)拨号用户发起。 
远(yuan)(yuan)程(cheng)系(xi)统拨入LAC，由LAC通(tong)过Internet向(xiang)LNS发起建(jian)立通(tong)道(dao)连接请(qing)求(qiu)。拨号用户地址由LNS分配；对远(yuan)(yuan)程(cheng)拨号用户的(de)验证(zheng)与(yu)计费既可(ke)由LAC侧的(de)代理完成，也可(ke)在LNS侧完成，在这里MA5200充当LAC 
b. 直接由(you)LAC客户(hu)(hu)（指(zhi)可在本地支(zhi)持L2TP协议的用户(hu)(hu)）发(fa)起。 
此时LAC客户(hu)(hu)可直接(jie)向LNS发(fa)起通(tong)道(dao)连接(jie)请求，无需(xu)再经过(guo)一个(ge)单独的(de)LAC设备。此时，LAC客户(hu)(hu)地址的(de)分配由LNS来完成(cheng)。 

5)L2TP隧道会话的建立(li)过程 

L2TP通道的呼叫建(jian)立流(liu)程(cheng)可如图4所示：

6)L2TP优势(shi) 
a. 灵活的身份验证机制(zhi)以及高度的安全性 
L2TP协议本身并(bing)不提(ti)供(gong)连(lian)接的(de)(de)安全性(xing)(xing)(xing)，但它可依赖于PPP提(ti)供(gong)的(de)(de)认证（比如CHAP、PAP等），因(yin)此具有PPP所具 有的(de)(de)所有安全特性(xing)(xing)(xing)。L2TP可与IPSec结合起来实现数(shu)据安全，这使得通过L2TP所传输的(de)(de)数(shu)据更难(nan)被攻击。L2TP还可根据特定(ding)的(de)(de)网络安全要求在 L2TP之上(shang)采用(yong)通道加(jia)密技(ji)术、端对端数(shu)据加(jia)密或(huo)应(ying)用(yong)层(ceng)数(shu)据加(jia)密等方案来提(ti)高数(shu)据的(de)(de)安全性(xing)(xing)(xing)。 
b. 多协议传输 
L2TP传输PPP数(shu)据包(bao)，这样就可以在(zai)PPP数(shu)据包(bao)内封装多种(zhong)协议。 
c. 支持(chi)RADIUS服务器的验证 
LAC端将用户(hu)名和密码发往RADIUS服(fu)务器进行(xing)验证申请，RADIUS服(fu)务器负责接收用户(hu)的(de)验证请求(qiu)，完成验证。 
d. 支(zhi)持内(nei)部(bu)地址分(fen)配 
LNS可(ke)放置于企(qi)业网的防火墙之后，它(ta)可(ke)以对远端用(yong)户的地(di)(di)(di)址(zhi)(zhi)进行动态的分(fen)配和管理，可(ke)支持私有地(di)(di)(di)址(zhi)(zhi)应(ying)用(yong)（RFC1918）。为(wei)远端用(yong)户所分(fen)配的地(di)(di)(di)址(zhi)(zhi)不是Internet地(di)(di)(di)址(zhi)(zhi)而(er)是企(qi)业内部的私有地(di)(di)(di)址(zhi)(zhi)，这样方便了地(di)(di)(di)址(zhi)(zhi)的管理并可(ke)以增加安(an)全性。 
e. 网(wang)络计费的灵活性 
可(ke)在LAC和LNS两(liang)处同时计费(fei)(fei)，即ISP处（用于产生帐单(dan)）及(ji)企(qi)业网(wang)关（用于付费(fei)(fei)及(ji)审(shen)计）。L2TP能够提(ti)供数(shu)据(ju)传(chuan)输(shu)的出入包数(shu)、字节数(shu)以及(ji)连接(jie)的起始、结束时间等(deng)计费(fei)(fei)数(shu)据(ju)，可(ke)根据(ju)这些数(shu)据(ju)方便地进行网(wang)络计费(fei)(fei)。 ;
f. 可靠性 
L2TP协议支持备份(fen)LNS，当一个主(zhu)LNS不可达之后，LAC可以重(zhong)新(xin)与备份(fen)LNS建(jian)立(li)连接，这样增加了×××服务的可靠性和容错性。