基于L2TP的VPDN技术在校园网中的应用

摘要：为了较好的解决分散用户对校园网的远程访问，在介绍了VPDN技术的基础上，提出了一种VPDN在校园网上的应用方案。

关键词：VPDN；L2TP；校园网

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)04-10967-02

1 引言

随着校园网络的发展，校园网内信息资源日益丰富。河北大学的办公区域、学生宿舍、集中的家属区都可以通过专线直接访问校园网。由于部分校内资源，如办公系统、教务系统等不对外开放，致使分散居住的我校教职工的家庭就无法访问校园内部网络，造成工作不便及信息资源共享困难。为解决这一问题，网络中心与中国网通集团保定分公司经过协商探讨，通过VPDN技术，使得利用保定网通ADSL接入方式上网的河北大学教职工可以实现访问校园内部网络。

2 VPDN概述

2.1 VPDN简介

VPDN全称是VirtualPrivateDial-upNetwork，又称为虚拟专用（或私有）拨号网，是VPN业务的一种，是基于拨号用户的虚拟专用拨号网（VPN）业务，亦即以拨号接入方式上网，通过利用公共电话交换网（PSTN+公用数据网）上传输数据时，对网络数据的封包和加密，可以传输私有数据，达到私有网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网（VPN），是近年来随着Internet技术的发展而迅速发展起来的一种技术。[1]

2.2 VPDN的核心技术

VPDN的核心技术主要在于隧道技术和安全技术。

2.2.1 隧道技术

VPDN的具体实现是采用隧道技术，即将企事业单位局域网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网和公网的接口处，将数据作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装取出负载。这些数据可以是ISO七层模型中的数据链路层或网络层数据。被封装的数据包在互联网上传输时所经过的逻辑路径被称为“隧道”。

要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前因特网上较为常见的隧道协议大致有两类：第二层隧道协议 PPTP、L2F、L2TP和第三层隧道协议 GRE、IPSec。第二层和第三层隧道协议的区别主要在于用户数据在网络协议栈的第几层被封装。其中 GRE 和 IPSec 主要用于实现专线 VPN 业务，L2TP主要用于实现拨号 VPN 业务，也可用于实现专线 VPN 业务。下面就一些主要的协议简单介绍一下：

(1)点到点隧道协议（PPTP）

PPTP 是 PPP（点到点协议）的一种扩展，提供了在 IP 网上建立多协议安全的 VPN的通信方式，远端用户能够通过任何支持 PPTP 的 ISP 访问企业的专用网络。PPTP 提供PPTP 客户及其服务器之间的保密通信。通过 PPTP，客户可以采用拨号方式介入公共的IP 网，方法是：拨号客户首先按常规方式拨号到 ISP 的 NAS，建立 PPP 连接；在此基础上，客户进行第二次拨号，建立到 PPTP 服务器的连接。

(2)第二层转发协议（L2F）

L2F 是可以在多种介质上建立多协议安全 VPN 的通信方式。它将链路层的协议封装起来传颂，因此网络的链路连接层完全独立于用户的链路层协议。L2F 远端用户能够通过任何拨号方式接入公共 IP 网络，方法是：先按常规方式拨号到 ISP 的 NAS，建立PPP 连接；然后 NAS 根据用户名等信息发起第二次连接，呼叫用户网络服务器。

(3)第二层隧道协议（L2TP）

IETF 建议将 PPTP 和 L2F 的最优部分组成一个标准，就成为 L2TP。自 1999 年 5月以来，L2TP 一直在开发中，某些部分正由 Cisco 和 Microsoft 开发实现。在 L2TP 协议中，规定了3个网络元素，即LAC(L2TPAccess Concentrator),LNS(L2TP Netword Server)和主局域网的管理域（Management Domain）。

LAC 域 LNS 是对等的两个端点，隧道建立在他们之间。LAC 对用户端收到的 PPP帧进行封装。通过隧道送到 LNS，由 LNS 将用户的 PPP 帧解封并传送到目的逐级。主局域网中的管理域负责地址分配、认证、授权、计费。L2TP 使用两种类型的信息包：一种是控制信息包，用于建立、维护、清除隧道和呼叫，它使用可靠的控制信息来保证信息的传颂；另一种是数据信息包，用于封装 PPP 信息帧，在传输过程中发生信息帧的丢失，不会有数据信息包的重传。从 L2TP 协议结构中可以看出，PPP 帧是在一个不可靠的数据通道中传送的，它有先被 L2TP 协议头封装，然后再被封装成相应的传送网络协议包进行传送；L2TP 控制信息包与数据信息包是封装在同一个数据包中进行传送的，在所有控制信息中都要求有序列号，以保证控制信息在控制信息通道中的可靠传送。

2.2.2 安全技术

基于Internet的VPDN首先要考虑的就是安全问题。VPDN的安全性是VPDN网络的关键，一般系统可以采取口令保护、用户认证、一次性口令技术，用户权限设置等技术保证VPDN的安全。

2.3 VPDN的特点

(1)建网快捷，易扩展、定制

组织只需与服务提供商签约，将各网络接点接入公用网络，并对网络进行相关配置即可。可以迅速构建一个属于自己的专用网络，增进工作效率与生产力，提高组织整体的效率和质量。VPDN是逻辑上的网络，用户要扩大或改变VPDN覆盖范围只需再签约、进行相应的软件操作即可。

(2)安全

由于采用了先进的IP虚拟通道技术，所有被传输的数据都不会被监测或窃取。

(3)自主

可以自行管理所属拨号用户，进行开户、销户、设置用户、权限等操作。

(4)简化用户的网管

大量的网管及维护工作均由服务提供商完成。

3 河北大学VPDN系统的架构

3.1 VPDN的实现机制

VPDN 的实施方式有两种：一种是通过 NAS 与 VPDN 网关建立隧道；另一种是客户机与 VPDN 网关建立隧道。前者是 NAS 通过隧道协议与 VPDN 网关建立通道，将客户的 PPP 连接直接连到企业网关上，目前可以使用的协议有 L2F 和 L2TF。河北大学VPDN的建设采用的此种方式。后者是由客户机首先建立与因特网的连接，再通过专用的客户软件与网关建立通道连接，一般使用 PPTP 和 IPSec 协议。

3.2设计方案

如上图所示，VPDN的实现过程如下：

(1)连接NAS（NetworkAccessServer，网络接入服务器）：网通的用户仍通过原来的线路，通过PPPoE(主要是ADSL)或者PSTN方式拔号至网通的接入服务器NAS(或接入交换机)。

(2)域验证：采用VPDN技术进行组网时，其用户使用一种有结构层次的用户名形式，例如，以便Internet的访问服务器能根据用户的域名来进行处理。在本方案中，NAS识别用户的帐号域名(@字符之后的部分),认定其是河大虚拟校园网用户之后由NAS作为L2TP隧道的客户端（或者说做为隧道的LAC端），向河大校园网边缘路由器AR2811发起隧道请求，AR 2811作为LNS(隧道连接服务器端)接受NAS发来的隧道请求，并与之建立L2TP隧道。

(3)身份验证：当隧道建立成功后，由NAS将用户的PPP协议数据包通过隧道直接送至2811，2811与认证服务器认证用户输入的用户名和口令。

(4)接入校园网络：认证用户身份后2811与用户建立PPP连接，从而实现用户对校园网路由器的透明连接，2811将会直接分配给用户合法的校园网内网地址，因而，用户对校园网内的资源访问将与内网用户相同。而当用户要进行公网访问时，则通过策略路由将用户的其它流量直接进行转换和访问，所以也不会影响用户访问公网。

(5)切断连接：当客户端断线，隧道随之终止。

3.3 设备需求与软件准备

3.3.1边缘路由器

路由器需支持VPDN协议，最好具有2个以上的以太网接口，有较强的数据处理能力，以满足多用户同时访问的需求。经实验，R2630E，R1760，AR2811路由器均可实现，考虑到性能和可用性(AR2811具有良好的与RADIUS服务器连接的特性)，选用AR2811多业务路由器充当该边缘路由器。

3.3.2 认证服务器

由于Radius服务器使用Linux操作系统，所以对硬件要求就会比较低。根据我们的需求，我们的设计目标是同时支持100-500人在线，基本上讲 CPU:P3 1G,256M内存,20G以上的硬盘就可以满足需求了。

本方案中使用的FreeRadius和MySQL都是完全的免费软件，因而具有最小的资金投入。由于FreeRadius和MySQL均可装在同一服务器上，从而减小了服务器的占用，经实验，可用性良好，已实验成功的软件与版本：RedHat Linux 9.0,FreeRadius 0.8.1,MySQL3.23.54。主要缺点是MySQL使用困难，如对其进行控制最理想的语言为PHP，开发周期长，不易于维护。

3.4方案的进一步研究

VPDN 作为一种 VPN 类型，不仅使用了 VPN 技术原理和标准，而且还具有容易建立、灵活实用等特点。VPDN 业务为企业在公用网上开辟了一条安全的数据通道，省去了组建专用网的投资，与其它VPN类型相比VPDN的应用会更经济、更实用。目前VPDN的发展不够完善，各方面如实现等还处于初级阶段，表现在认证系统有待进一步完善和标准化。认证是 VPDN 的基本要求，目前 PPP 会话使用的运行 RADIUS 协议的 AAA系统认证过程复杂，而且对于不同的设备应该有不同的认证选择和复杂度，否则会导致设备间互操作问题。同时，在使用第三层的隧道技术时，认证过程将会更加复杂，因此对认证系统的不断完善、更新和标准化是 VPDN 将要进一步研究和讨论的问题。

4 应用效果及存在的问题

通过实际运行表明，该系统运行良好， VPDN技术的运用方便了老师对校内资源的使用。但是，该系统局限于安装了网通ADSL的用户，使用铁通、电信ADSL的老师访问校园网的问题还有待于进一步解决。

参考文献：

[1]罗建平.浅析VPDN技术[J].网络与应用,2003,(12):28.

[2]刘仓云,凌雯云.典型应用中的隧道通信技术[J].电子工程技术与标准化,2004,(3):47.

本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。