張光亞

摘要摘要：利用L2TP VPN搭建高校虛擬專用網(wǎng)絡，不僅節(jié)約了硬件成本，而且簡化了客戶配置，提高了響應速度，為校外師生訪問校內(nèi)專屬資源提供了一種廉價且便利的遠程訪問方式。

關鍵詞關鍵詞：L2TP；VPN；虛擬網(wǎng)絡；隧道技術

DOIDOI：10.11907/rjdk.151163

中圖分類號：TP393

文獻標識碼：A文章編號文章編號：16727800（2015）004013103

0引言

高校信息化的不斷發(fā)展，帶來了越來越多的問題：

（1）網(wǎng)外用戶訪問校內(nèi)圖書等資源受限。圖書館與知網(wǎng)數(shù)據(jù)庫等合作的電子圖書資源都是基于校園IP地址判斷訪問的，而校外師生用戶的IP地址不在訪問列表范圍內(nèi)，因此無法直接訪問校園內(nèi)的數(shù)字圖書資源。

（2）移動用戶接入存在安全隱患。高校內(nèi)網(wǎng)的資源具有很強的針對性，對遠程用戶開放的同時，必須做好安全保障。

（3）遠程接入易用性較差。校外用戶IT水平參差不齊，繁瑣的程序安裝或配置必然加大師生訪問校內(nèi)資源的難度，影響資源的使用效率，并給管理人員帶來很大的工作量。

（4）用戶自不同運營商網(wǎng)絡訪問校園網(wǎng)速度慢。由于高校不可能實現(xiàn)所有的ISP接入，而且ISP之間的網(wǎng)絡限制導致不同ISP用戶在訪問校內(nèi)資源時速度非常慢，影響用戶體驗和使用。

（5）不同格式電子資源應用兼容困難。校園內(nèi)的應用系統(tǒng)非常多，類型豐富，訪問方式（如B/S，C/S等）也各異，這就要求遠程接入系統(tǒng)必須對不同格式的電子資源都有很好的支持。

（6）大量并發(fā)用戶訪問的瓶頸限制。高校資源除自建外，其余資源（如數(shù)字圖書）大多是授權獲得。上游資源服務商不僅會設置訪問的IP地址范圍，甚至還會進行單一IP地址的流量限制。大量遠程用戶并發(fā)訪問會因上述限制產(chǎn)生瓶頸，影響用戶的使用。

VPN技術的遠程訪問方案能非常理想地解決上述問題。它是一種利用公共網(wǎng)絡設施構建的私用專有網(wǎng)絡，主要用于連接企業(yè)的分支機構，用于構建VPN的公共網(wǎng)絡既可以是ISP的IP骨干網(wǎng)絡，也可以是企業(yè)的私有網(wǎng)絡，或者就是Internet。

基于IP的VPN體系結構，其核心是各種隧道（Tunnel）技術。VPN利用公共網(wǎng)絡來構建虛擬隧道，將分支機構、遠端用戶等與公司總部建立廣域網(wǎng)連接，使企業(yè)的私有數(shù)據(jù)通過隧道穿越公共網(wǎng)絡安全地傳遞。

目前，VPN技術種類繁多，按照網(wǎng)絡層次，可以劃分為二層VPN和三層VPN。二層VPN（Layer 2 VPN）比較典型的技術有L2TP、PPTP、MPLS L2 VPN；三層VPN（Layer 3 VPN）比較典型的技術有GRE、IPSec、BGP/MPLS VPN等。本文主要利用L2TP技術來實現(xiàn)遠程用戶的訪問需求。

1L2TP VPN機制及實現(xiàn)

1.1L2TP工作機制

1.1.1L2TP基本組件

（1）遠程系統(tǒng)（Remote System）。遠程系統(tǒng)是一臺路由器或者計算機終端，既可以是呼叫的發(fā)起者，也可以是呼叫的接收者，通過PSTN/ISDN或其它方式連接到網(wǎng)絡上，又被稱為撥號客戶或者虛擬撥號客戶。

（2）LAC（L2TP Access Concentrator，L2TP訪問集中器）。LAC為L2TP隧道的兩個端點中的一個。L2TP隧道由LAC和LNS共同建立維護。LAC充當中介翻譯，按照L2TP封裝方法，將遠程系統(tǒng)發(fā)來的報文封裝后發(fā)給LNS，并將LNS發(fā)來的報文解封裝后發(fā)給遠程系統(tǒng)。LAC位于LNS和遠程系統(tǒng)之間，或者直接存在于遠程系統(tǒng)上（稱為客戶LAC模式）。

（3）LNS（L2TP Network Server，L2TP網(wǎng)絡服務器）。LNS為L2TP隧道的兩個端點中的另外一個。LNS在L2TP隧道連接建立后，負責為VPN用戶分配IP地址，對遠程系統(tǒng)進行驗證。

1.1.2L2TP協(xié)議封裝

圖2以遠程系統(tǒng)端的IP報文傳遞過程來描述L2TP的封裝[1]。

（1）遠程系統(tǒng)用戶的IP報文經(jīng)過PPP封裝成PPP幀，從遠程系統(tǒng)向LNS方向發(fā)送到LAC。

（2）LAC接收到PPP幀后，由L2TP對其添加L2TP頭（表明為L2TP封裝），再將其封裝到UDP幀，并繼續(xù)封裝成公網(wǎng)IP包以便在Internet上傳輸，至此完成LAC的VPN私有數(shù)據(jù)封裝。

（3）通過公網(wǎng)，LAC將此IP報文發(fā)送到LNS。

（4）LNS收到VPN封裝的IP報文后，按照順序將公網(wǎng)IP、UDP、L2TP頭依次去掉進行解封裝，獲得遠程系統(tǒng)用戶的PPP幀，交由PPP協(xié)議處理。

（5）LNS繼續(xù)解封裝，將PPP報文頭去掉，得到遠程系統(tǒng)用戶的私有IP報文，最后根據(jù)IP報文頭作出相應處理（如提交上層協(xié)議處理或轉發(fā)）。

從服務器向遠程系統(tǒng)方向上的操作正好相反，這里不再贅述。

1.1.3L2TP主要操作

L2TP主要包括6種操作：建立控制連接、建立會話、轉發(fā)PPP幀、會話保持、關閉會話、關閉控制連接。

（1）建立控制連接。LAC和LNS之間隧道需要建立一個控制連接。遠程系統(tǒng)通過PPP鏈路呼叫LAC成功后，觸發(fā)LAC建立控制連接。LAC通過隨機UDP端口向LNS的固定端口UDP1701發(fā)起控制連接，LNS在1701端口偵聽到LAC的控制連接請求后，隨即重定位到另一個UDP端口，并在隧道存續(xù)期間保持這一端口不變。

（2）建立會話?？刂七B接建立后，要為用戶建立會話（Session），多個會話復用一條隧道。PPP模塊觸發(fā)會話建立，如果會話建立時沒有可用隧道，就要先建立隧道。

（3）轉發(fā)PPP幀。會話建立完畢后，即可進行數(shù)據(jù)傳輸了。用戶私有IP包被封裝在PPP幀中，經(jīng)過LAC時由L2TP進行Tunnel ID（隧道ID）和Session ID（會話屬性）標識后封裝成UDP包，再將UDP包封裝成公網(wǎng)IP報文，交給LNS。LNS收到IP報文后，依次去掉IP、UDP、L2TP頭，得到原始的PPP幀。根據(jù)相應的Tunnel ID和Session ID交給對應的PPP進行處理。

（4）連接保持。為保持隧道暢通，LAC和LNS通過周期性發(fā)送的Hello控制消息來維持彼此的狀態(tài)。在一個指定的周期時間內(nèi)，如果沒收到對方的Hello報文，則認為對方不可達，隧道關閉。

（5） 關閉會話。隧道雙方均可關閉一個會話，會話關閉不影響隧道運轉。

（6）關閉控制連接。隧道雙方均可關閉隧道。隧道關閉時，該隧道內(nèi)的所有會話都將關閉。

1.2L2TP實現(xiàn)

筆者學校數(shù)字化校園主要建設內(nèi)容為：公共數(shù)據(jù)服務平臺、統(tǒng)一身份認證平臺和門戶網(wǎng)站平臺，在3大平臺基礎上，部署相應的應用子系統(tǒng)。具體的子系統(tǒng)有辦公自動化系統(tǒng)、教務管理系統(tǒng)、學生工作管理系統(tǒng)、招生系統(tǒng)、就業(yè)系統(tǒng)、科研系統(tǒng)、人事系統(tǒng)、頂崗實習系統(tǒng)等，各應用系統(tǒng)為師生提供生活、學習、工作等一站式服務。

這些平臺及應用主要在學校內(nèi)網(wǎng)運行。由于師生眾多，地理分布廣，大部分師生不屬于學校內(nèi)網(wǎng)，因而不能直接訪問學校內(nèi)部的服務器。

為改變這種狀況，我們在核心交換機H3C7506E上配置了一塊防火墻板卡，在防火墻板卡上實現(xiàn)L2TP VPN連接，使得校外師生無需安裝客戶端軟件便可直接訪問內(nèi)部網(wǎng)絡資源，如圖3所示。

遠程用戶（LAC）配置：創(chuàng)建PPPoe連接，連接到VPN網(wǎng)絡，網(wǎng)絡地址為：219.138.221.229，賬號密碼按照LNS端創(chuàng)建的填入即可。

2結語

目前大多數(shù)路由器或防火墻板卡支持L2TP VPN，無需增加硬件投入，修改設備的軟件配置便可以完成L2TP VPN連接，大大節(jié)約了企業(yè)成本，提高了響應速度，基于Internet，實現(xiàn)了任何時間、任何地點的遠程專線接入。

L2TP VPN僅僅是一種技術，但如果結合IPSec等安全體系，L2TP over IPsec便可構建具有服務質量和安全保障的VPN，可以為VPN用戶提供不同等級的安全性和服務質量保證[1]。

參考文獻參考文獻：

[1]杭州華三通信技術有限公司.路由交換技術 [M].第4卷.北京：清華大學出版社，2012：80111.

[2]杭州華三通信技術有限公司. H3C VSR1000虛擬路由器L2TP over IPsec典型配置舉例[EB/OL]. [20150211].http：//www.h3c.com.cn/Service/Document_Center/H3Cloud/Catalog/H3C_Dummy_Router/H3C_VSR1000/ /.

責任編輯（責任編輯：杜能鋼）