张光亚
摘要摘要:利用L2TP VPN搭建高校虚拟专用网络,不仅节约了硬件成本,而且简化了客户配置,提高了响应速度,为校外师生访问校内专属资源提供了一种廉价且便利的远程访问方式。
关键词关键词:L2TP;VPN;虚拟网络;隧道技术
DOIDOI:10.11907/rjdk.151163
中图分类号:TP393
文献标识码:A文章编号文章编号:16727800(2015)004013103
0引言
高校信息化的不断发展,带来了越来越多的问题:
(1)网外用户访问校内图书等资源受限。图书馆与知网数据库等合作的电子图书资源都是基于校园IP地址判断访问的,而校外师生用户的IP地址不在访问列表范围内,因此无法直接访问校园内的数字图书资源。
(2)移动用户接入存在安全隐患。高校内网的资源具有很强的针对性,对远程用户开放的同时,必须做好安全保障。
(3)远程接入易用性较差。校外用户IT水平参差不齐,繁琐的程序安装或配置必然加大师生访问校内资源的难度,影响资源的使用效率,并给管理人员带来很大的工作量。
(4)用户自不同运营商网络访问校园网速度慢。由于高校不可能实现所有的ISP接入,而且ISP之间的网络限制导致不同ISP用户在访问校内资源时速度非常慢,影响用户体验和使用。
(5)不同格式电子资源应用兼容困难。校园内的应用系统非常多,类型丰富,访问方式(如B/S,C/S等)也各异,这就要求远程接入系统必须对不同格式的电子资源都有很好的支持。
(6)大量并发用户访问的瓶颈限制。高校资源除自建外,其余资源(如数字图书)大多是授权获得。上游资源服务商不仅会设置访问的IP地址范围,甚至还会进行单一IP地址的流量限制。大量远程用户并发访问会因上述限制产生瓶颈,影响用户的使用。
VPN技术的远程访问方案能非常理想地解决上述问题。它是一种利用公共网络设施构建的私用专有网络,主要用于连接企业的分支机构,用于构建VPN的公共网络既可以是ISP的IP骨干网络,也可以是企业的私有网络,或者就是Internet。
基于IP的VPN体系结构,其核心是各种隧道(Tunnel)技术。VPN利用公共网络来构建虚拟隧道,将分支机构、远端用户等与公司总部建立广域网连接,使企业的私有数据通过隧道穿越公共网络安全地传递。
目前,VPN技术种类繁多,按照网络层次,可以划分为二层VPN和三层VPN。二层VPN(Layer 2 VPN)比较典型的技术有L2TP、PPTP、MPLS L2 VPN;三层VPN(Layer 3 VPN)比较典型的技术有GRE、IPSec、BGP/MPLS VPN等。本文主要利用L2TP技术来实现远程用户的访问需求。
1L2TP VPN机制及实现
1.1L2TP工作机制
1.1.1L2TP基本组件
(1)远程系统(Remote System)。远程系统是一台路由器或者计算机终端,既可以是呼叫的发起者,也可以是呼叫的接收者,通过PSTN/ISDN或其它方式连接到网络上,又被称为拨号客户或者虚拟拨号客户。
(2)LAC(L2TP Access Concentrator,L2TP访问集中器)。LAC为L2TP隧道的两个端点中的一个。L2TP隧道由LAC和LNS共同建立维护。LAC充当中介翻译,按照L2TP封装方法,将远程系统发来的报文封装后发给LNS,并将LNS发来的报文解封装后发给远程系统。LAC位于LNS和远程系统之间,或者直接存在于远程系统上(称为客户LAC模式)。
(3)LNS(L2TP Network Server,L2TP网络服务器)。LNS为L2TP隧道的两个端点中的另外一个。LNS在L2TP隧道连接建立后,负责为VPN用户分配IP地址,对远程系统进行验证。
1.1.2L2TP协议封装
图2以远程系统端的IP报文传递过程来描述L2TP的封装[1]。
(1)远程系统用户的IP报文经过PPP封装成PPP帧,从远程系统向LNS方向发送到LAC。
(2)LAC接收到PPP帧后,由L2TP对其添加L2TP头(表明为L2TP封装),再将其封装到UDP帧,并继续封装成公网IP包以便在Internet上传输,至此完成LAC的VPN私有数据封装。
(3)通过公网,LAC将此IP报文发送到LNS。
(4)LNS收到VPN封装的IP报文后,按照顺序将公网IP、UDP、L2TP头依次去掉进行解封装,获得远程系统用户的PPP帧,交由PPP协议处理。
(5)LNS继续解封装,将PPP报文头去掉,得到远程系统用户的私有IP报文,最后根据IP报文头作出相应处理(如提交上层协议处理或转发)。
从服务器向远程系统方向上的操作正好相反,这里不再赘述。
1.1.3L2TP主要操作
L2TP主要包括6种操作:建立控制连接、建立会话、转发PPP帧、会话保持、关闭会话、关闭控制连接。
(1)建立控制连接。LAC和LNS之间隧道需要建立一个控制连接。远程系统通过PPP链路呼叫LAC成功后,触发LAC建立控制连接。LAC通过随机UDP端口向LNS的固定端口UDP1701发起控制连接,LNS在1701端口侦听到LAC的控制连接请求后,随即重定位到另一个UDP端口,并在隧道存续期间保持这一端口不变。
(2)建立会话。控制连接建立后,要为用户建立会话(Session),多个会话复用一条隧道。PPP模块触发会话建立,如果会话建立时没有可用隧道,就要先建立隧道。
(3)转发PPP帧。会话建立完毕后,即可进行数据传输了。用户私有IP包被封装在PPP帧中,经过LAC时由L2TP进行Tunnel ID(隧道ID)和Session ID(会话属性)标识后封装成UDP包,再将UDP包封装成公网IP报文,交给LNS。LNS收到IP报文后,依次去掉IP、UDP、L2TP头,得到原始的PPP帧。根据相应的Tunnel ID和Session ID交给对应的PPP进行处理。
(4)连接保持。为保持隧道畅通,LAC和LNS通过周期性发送的Hello控制消息来维持彼此的状态。在一个指定的周期时间内,如果没收到对方的Hello报文,则认为对方不可达,隧道关闭。
(5) 关闭会话。隧道双方均可关闭一个会话,会话关闭不影响隧道运转。
(6)关闭控制连接。隧道双方均可关闭隧道。隧道关闭时,该隧道内的所有会话都将关闭。
1.2L2TP实现
笔者学校数字化校园主要建设内容为:公共数据服务平台、统一身份认证平台和门户网站平台,在3大平台基础上,部署相应的应用子系统。具体的子系统有办公自动化系统、教务管理系统、学生工作管理系统、招生系统、就业系统、科研系统、人事系统、顶岗实习系统等,各应用系统为师生提供生活、学习、工作等一站式服务。
这些平台及应用主要在学校内网运行。由于师生众多,地理分布广,大部分师生不属于学校内网,因而不能直接访问学校内部的服务器。
为改变这种状况,我们在核心交换机H3C7506E上配置了一块防火墙板卡,在防火墙板卡上实现L2TP VPN连接,使得校外师生无需安装客户端软件便可直接访问内部网络资源,如图3所示。
远程用户(LAC)配置:创建PPPoe连接,连接到VPN网络,网络地址为:219.138.221.229,账号密码按照LNS端创建的填入即可。
2结语
目前大多数路由器或防火墙板卡支持L2TP VPN,无需增加硬件投入,修改设备的软件配置便可以完成L2TP VPN连接,大大节约了企业成本,提高了响应速度,基于Internet,实现了任何时间、任何地点的远程专线接入。
L2TP VPN仅仅是一种技术,但如果结合IPSec等安全体系,L2TP over IPsec便可构建具有服务质量和安全保障的VPN,可以为VPN用户提供不同等级的安全性和服务质量保证[1]。
参考文献参考文献:
[1]杭州华三通信技术有限公司.路由交换技术 [M].第4卷.北京:清华大学出版社,2012:80111.
[2]杭州华三通信技术有限公司. H3C VSR1000虚拟路由器L2TP over IPsec典型配置举例[EB/OL]. [20150211].http://www.h3c.com.cn/Service/Document_Center/H3Cloud/Catalog/H3C_Dummy_Router/H3C_VSR1000/ /.
责任编辑(责任编辑:杜能钢)