王荣 赖彩明 万贤平 中国联通江西分公司 南昌市 330000

0 概述

随着网络经济的发展，企业客户分布日益广泛，合作伙伴日益增多，传统企业网基于固定物理地点的专线连接方式已难以现代企业的需求。于是企业对自身的网络建设提出了更高的需求，主要体现在网络的灵活性，安全性，经济性，扩展性等方面。在这样的背景下，虚拟专用网络（VPN，Virtual Private Network）正在被广泛应用以满足日益增长的大型集团客户的安全通信需要。其中,VPDN（Virtual Private Dial Network）虚拟拨号专网技术采用专用的网络加密和通信协议，可以使企业在公共网络上建立安全的虚拟专网。企业外出人员可以从远程经过公共网络，通过虚拟的加密通道与企业内部的网络连接，而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VPDN的主要目的就是利用公共网络的拨号及接入网，实现虚拟专用网，为企业、小型ISP、移动办公人员提供接入服务。

1 VPDN实现技术

VPDN全称是Virtual Private Dial-up Network，又称为虚拟专用（或专用）拨号网，是VPN业务的一种，是基于拨号用户的虚拟专用拨号网（VPN）业务。亦即以拨号接入方式上网，在利用互联网上传输数据时，对网络数据的封包和加密，可以传输专用数据，达到专用网络的安全级别。它是利用IP网络的承载功能结合相应的认证和授权机制建立起来的安全的虚拟专用网（VPN），是近年来随着Internet的发展而迅速发展起来的一种技术。

对于构建VPN来说，网络隧道(Tunneling)技术是个关键技术。网络隧道技术指的是利用一种网络协议来传输另一种网络协议，它主要利用网络隧道协议来实现这种功能。使用隧道传递的数据(或负载)可以是不同协议的数据帧或包。隧道协议将这些其它协议的数据帧或包重新封装在新的包头中发送。新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目的地。

1.1 L2TP隧道协议

VPDN的具体实现是采用隧道技术，即将企业网的数据封装在隧道中进行传输。隧道技术的基本过程是在源局域网与公网的接口处将数据（是OSI七层模型中的网络层数据）作为负载封装在一种可以在公网上传输的数据格式中，在目的局域网与公网的接口处将数据解封装，取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”。要使数据顺利地被封装、传送及解封装，通信协议是保证的核心。目前VPN隧道协议可分为第三层隧道协议和第二层隧道协议。第二层隧道协议有点对点隧道协议（PPTP）、第二层转发（L2F）、第二层隧道协议（L2TP）三种。

其中L2TP（第二层隧道协议）结合了L2F和PPTP的优点，是一个工业标准的Internet隧道协议，它和PPTP的功能大致相同。L2TP也会压缩PPP的帧，从而压缩IP、IPX或NetBEUI协议，同样允许用户远程运行依赖特定网络协议的应用程序。其中，LAC表示L2TP访问集中器(L2TP Access Concentrator)，是附属在交换网络上的具有接入功能和L2TP协议处理能力的设备；LNS表示L2TP网络服务器(L2TP Network Server)，是PPP端系统上用于处理L2TP协议服务器端部分的设备。它作为L2TP隧道的另一侧端点，是LAC的对端设备，是被LAC进行隧道传输的PPP会话的逻辑终止端点。

在一个LNS和LAC对之间存在两种类型的连接，一种是隧道(tunnel)连接，它定义了一个LNS和LAC对；另一种是会话(session)连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。在一个隧道连接上可以承载多个会话连接。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为控制消息和数据消息两种类型。控制消息用于隧道连接和会话连接的建立与维护;数据消息则用于承载用户的PPP会话数据包。

控制消息中的参数用AVP值对(Attribute Value Pair)来表示，使得协议具有很好的扩展性;在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。L2TP数据消息的传输不采用重传机制，所以无法保证传输的可靠性，但这一点可以通过上层协议如TCP等得到保证；数据消息的传输可以根据应用的需要灵活地采用流控或非流控机制，甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流控功能；在采用流控的过程中，对于失序消息的处理采用了缓存重新排序的方法来提高数据传输的有效性。

L2TP还具有以下几个特性：

1）安全的身份验证机制: 与PPP类似，L2TP可以对隧道端点进行验证。L2TP规定必须使用类似PPP CHAP的验证方式；

2）内部地址分配支持: LNS可以对远端用户的地址进行动态分配和管理,远端用户所分配的地址不是Internet地址而是企业内部的专用地址，方便了地址管理并可以增加安全性；

3）网络计费的灵活性: 可以在LAC（一般为ISP）和LNS（一般为企业）两处同时计费，前者用于产生帐单，而后者用于付费及审记。L2TP能够提供数据传输的出入包数、字节数及连接的起始、结束时间等计费数据；

4）可靠性: L2TP协议可以支持备份LNS当一个主LNS不可达之后，LAC可以重新与备份LNS建立连接，以增加VPN服务的可靠性和容错性。

本文采用的隧道协议为L2TP。

1.2 VPDN的安全性

VPDN认证是基于PPP（Point to Point Protocol）协议的。PPP协议主要是设计用来通过拨号或专线方式建立点对点连接发送数据。PPP协议将IP，IPX和NETBEUI包封装在PP桢内通过点对点的链路发送。PPP协议主要应用于连接拨号用户和NAS。 PPP拨号会话过程可以分成3个不同的阶段。

1）创建PPP链路

PPP使用链路控制协议（LCP）创建，维护或终止一次物理连接。在LCP阶段的初期，将对基本的通讯方式进行选择。

2）用户验证

客户会PC将用户的身份明发给远端的接入服务器。该阶段使用一种安全验证方式避免第三方窃取数据或冒充远程客户接管与客户端的连接。PPP提供了两种可选的身份认证方法：口令验证协议PAP（Password Authentication Protocol，PAP）和质询握手协议（Challenge Handshake Authentication Protocol，CHAP）。

CHAP是一种加密的验证方式，能够避免建立连接时传送用户的真实密码。NAS向远程用户发送一个挑战口令（challenge），其中包括会话ID和一个任意生成的挑战字串（arbitrarychallengestring）。远程客户必须使用MD5单向哈希算法（one-way hashing algorithm）返回用户名和加密的挑战口令。

CHAP对PAP进行了改进，不再直接通过链路发送明文口令，而是使用挑战口令以哈希算法对口令进行加密。因为服务器端存有客户的明文口令，所以服务器可以重复客户端进行的操作，并将结果与用户返回的口令进行对照。CHAP为每一次验证任意生成一个挑战字串来防止受到再现攻击（replay attack).在整个连接过程中，CHAP将不定时的向客户端重复发送挑战口令，从而避免第3方冒充远程客户（remote client impersonation)进行攻击。

如图示：

3）调用网络层协议

在以上各阶段完成之后，PPP将调用在链路创建阶段（阶段1）选定的各种

网络控制协议（NCP).例如，在该阶段IP控制协议（IPCP）可以向拨入用户分配动态地址。

2 L2TP VPDN技术实现移动办公

某公司网管系统是一张封闭的企业网，网络管理员必须在固定的办公地点访问和使用网管，无法从互联网直接访问该系统。但是这种访问限制在提高了网络安全性的同时也给网管工作带来了不便。比如，网络管理员出差在外的时候就无法使用网管。因此，我们需要有一种灵活简便的接入方式来同时满足网络安全性和便利性。

2.1 解决方案

通过新增1台LNS和1条互联网出口，利用L2TP VPDN访问网管系统，无需

对网管网络架构与IP地址规划做任何改动，具有很好的扩展性。远端用户可以通过任意互联网线路通过电脑（电脑作为LAC）进行L2TP拨号，从LNS获取内网地址以访问网管系统。

2.1.1 硬件需求

1）新增1台华为AR46作为LNS(利旧闲置设备)和1台AAA服务器(利旧在网设备)；

2）新增1条互联网出口；

2.1.2 网络TOP图

如图示：

2.1.3 IP地址规划

1）A R46_G i g a b i t E t h e r n e t0/0/1 (互联网侧):118.212.240.2/30；

2）AR46_GigabitEthernet0/0/2(网管防火墙侧):172.168.0.2/30；

3）PC拨号地址池: 192.168.100.0/24;

4）网管系统地址段: 10.0.0.0/8。

2.1.4 LNS相关配置脚本

interface GigabitEthernet0/0/1

description TO_internet

ip address 118.212.240.2 255.255.255.252

interface GigabitEthernet0/0/2

description TO_managerment

ip address 172.168.0.2 255.255.255.252

l2tp-group 1 -----l2tp组

allow l2tp virtual-template 18

tunnel name pcanywhere

interface Virtual-Template18 -----虚模板

ppp authentication-mode pap domain test

ppp ipcp dns 10.0.0.200

ip address 192.168.100.1 255.255.255.0

remote address pool 1

radius scheme manager ------ radius

primary authentication ******

primary accounting ******

key authentication ******

key accounting ******

user-name-format without-domain

nas-ip 118.212.240.2

domain test -----PPP认证域和地址池

scheme radius-scheme manager

accounting optional

ip pool 1 192.168.100.2 192.168.100.254

ip route-static 0.0.0.0 0.0.0.0 118.212.240.1 preference 60 -----路由

ip route-static 10.0.0.0 255.0.0.0 172.168.0.1 preference 60

2.1.5 具体实现

1）电脑设置L2TP拨号连接

2）通过AAA认证获取内网IP地址

3）访问内部网管系统

3 总结

VPDN利用公共网络的拨号及接入网，实现虚拟专用网，为企业，小型ISP，移动办公人员提供接入服务，适用于地点分散，人员分散，对线路的保密和可用性有一定要求的用户。本文通过很小的投资（仅新增1台路由器作为LNS），且在不改变内网架构的条件下，对网络进行了改造，较好地解决了企业移动办公的问题。