基于VPDN的L2TP技术在甘肃铁通的应用

2016-11-03 08:19高延德
甘肃科技 2016年12期
关键词:铁通网关发票

高延德

(中移铁通有限公司甘肃分公司,甘肃 兰州 730000)

基于VPDN的L2TP技术在甘肃铁通的应用

高延德

(中移铁通有限公司甘肃分公司,甘肃兰州730000)

伴随着计算机网络和通信技术的迅猛发展,信息技术不再局限于本地区,企业、学校等集团式客户对于建立一个跨区域的虚拟专用网络的需求日益迫切。在传统的企业网络中,在进行异地局域网之间的互联,已给安全上带来了隐患,二层隧道虚拟专用拨号网(L2TP VPDN)以其独特的技术优势,赢得了众多企业的信赖,也成了现代企业交互信息的主要传输工具,L2TP VPDN业务已被看作是IP网络上的最重要的增值业务。

计算机网络;通信技术;局域网;L2TP VPDN

1 前言

随着信息技术在全球的广泛使用,不仅深刻地影响着经济结构与经济效率,而且作为先进生产力的代表,对社会文化和精神文明产生着深刻的影响。传统的基于固定物理地点的专线连接网已难以适应当前的需要市场,并且对网络的灵活性、安全性、经济性、扩展性等方面的信息传递需求越来越强烈,因为企业之间的交互信息是完全暴露在公众网中。当今IP网络已经遍布全球,利用现有IP网络为企业提供低成本专网逐渐成为各大运营商的关注点。因此,一种在IP网上提供VPN服务、如银行、政府等行业和企业都有自己的专网,可方便设定任意速率、配置简单的技术应运而生,通过L2TP隧道技术,它是在公用网络上建立一个临时、安全的连接,实现企业在公网上建立虚信道,是企业和机关部门的网络扩展,适合经常出差在外远程拨号的用户,其特点为协议简单,易于加密,以保证用户数据的安全问题,实现了企业的专用通信网络。

对于流动性强,分支机构多,以及要求安全性高的企业,有着广泛的应用需求,因此甘肃铁通应抓住市场需求,大力发展L2TPVPDN业务,来给公司提高经济效益同时也帮助企业提高生产效率和管理。

2 L2TP的技术特点

在宽带数据网络中,VPN是一种被广泛应用的技术,从VPN面世到成熟经历了技术不断完善的过程,目前市场上的VPN解决有多种,最常用的包括基于拨号的VPDN、基于路由的VPRN、虚拟专线的VLL和基于局域网的VPLS。其中VPDN的应用时间最长,也比较广泛。

对于构建VPDN来说,隧道(Tunnel)技术是一个关键的技术,现有的隧道技术包括二层隧道技术和三层隧道技术,而对于二层隧道技术来说主要有3种。

2.1L2TP的技术

1)微软、Ascend、3COM等公司支持的 PPTP(PointtoPointTunnelingProtocol,点对点隧道协议),在WindowsNT4.0以上版本中即有支持;

2)Cisco、北方电信等公司支持的 L2F(Layer2 Forwarding,二层转发协议),在Cisco路由器中有支持;

3)而由IETF起草,微软Ascend、Cisco、3COM等公司参予的L2TP(Layer2TunnelingProtocol,二层隧道协议)结合了上述两个协议的优点,将很快地成为IETF有关二层隧道协议的工业标准。

2.2L2TP的特点

L2TP扩展了PPP的模型,使L2连接的终点和PPP报文的终点可以分处在不同的物理设备上,并利用分组交换网进行传输。在L2TP协议的实现中,用户必须与LAC建立一个L2连接,LAC将PPP包隧传到NAS,这样PPP包便可以脱离L2层的电路而传送。显而易见的好处便是,由于此种分离,使用户只需要与本地的LAC建立连接,而通过扩展,将逻辑的PPP报文通过共享网络传送给远地的NAS,大大的节约了成本。而且L2TP解决了多连接的搜寻组分离的问题,对于PPP的多连接,要求所有的通道在同一个NAS上被捆绑在一起,通过L2TP可以很容易的使所有的通道连接到在同一个NAS,当然他也可以实现多连接操作,即使呼叫通过分离的NAS。

2.2.1高可靠和安全性

灵活的身份验证机制以及高度的安全性:L2TP可以选择多种身份验证机制(CHAP、PAP等),继承了PPP的所有安全特性,L2TP还可以对隧道端点进行验证,这使得通过L2TP所传输的数据更加难以被攻击。而且根据特定的网络安全要求还可以方便地在L2TP之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。L2TP协议可以支持备份LNS,当一个主LNS不可达之后,LAC(接入服务器)可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。同时L2TP还可以对于同一个LNS使用隧道组的模型,在隧道组中,可以进行备份和负载均衡等处理。

2.2.2支持非唯一的专用IP地址

内部地址分配支持:LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用(RFC1918)等方案。远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。

2.3.3网络计费的灵活性

可以在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业处(用于付费及审记)。L2TP能够提供数据传输的出入包数,字节数及连接的起始、结束时间等计费数据,可以根据这些数据方便地进行网络计费。

2.4统一的网络管理

L2TP协议将很快地成为标准的RFC协议,有关L2TP的标准MIB已经在RFC3371中明确定义,这样可以统一地采用SNMP网络管理方案进行方便的网络维护与管理。

由上述几个特点得出,VPDN的最佳实现方式是基于L2TP实现VPDN。

3 L2TP隧道的基本原理描述:

L2TP隧道的网络拓扑模型如下:

图1 L2TP隧道的网络拓扑模型

如图1所示。LAC表示L2TP接入控制器(L2TPAccessConcentrator),一般位于网络的接入层或汇聚层,LAC具备PPP端系统和L2TP协议处理能力的设备,LAC可以根据网络的不同分别接入PPPoE、PPPoA、PPPoEoA等接入方式。LNS是指L2TP网络服务器,是PPP端系统处理L2TP协议服务器端部分的设备。在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。控制消息和PPP数据报文都在隧道上传输,对于利用L2TP隧传PPP消息主要有建立隧道的控制连接和建立由呼入或呼出触发的会话。

4 华为ME60的L2TP技术

在甘肃铁通现有的网络中,近年来随着大力开展互联网IP业务,宽带业务也迅猛发展,为给用户提供更优质的网络服务平台,采用了华为公司具有自主知识产权的多业务控制网关ME60,它具有大容量、高性能、强业务融合和业务智能处理与控制能力,强大的业务隔离手段、安全控制功能、QoS保障能力、高可靠性保证,为多业务承载提供保证和基于L2TP的LAC和LNS侧的VPDN功能。

4.1ME60的体系结构

ME60不仅提供强大的IP路由转发能力,还是IP网络从承载单一的Internet业务向承载数据、语音、视频、3G、NGN等业务的关键设备。

4.2提供多方式的物理接入和接入上网的L2TP解决方案:

接入方式包括PPPoE、PPPoA、PPPoEoA等方式,可以完成基于LAN、IPDSLAM、WLAN等物理方式的接入,在基于PPP方式的接入中都支持L2TP隧道。通过ME60特有的L2TP功能,实现网络级的VPN,可对L2TP内用户的互联进行灵活设置。利用接入网ONU多业务接入设备以太网口,结合ME60可以为企业、个人等等提供高速的局域网互联业务,利用该业务可以实现L2TP,该方案容易管理、性能优异、技术成熟可靠,用户接入方便。能够迅速的建立区域和跨区域的高速、可靠,是企业内部的理想选择。

4.3ME60基本的L2TP功能包括:

1)支持L2TP隧道的LAC侧和LNS侧。

2)支持基于PPP认证的用户认证和计费。

3)支持基于L2TP隧道的认证(远端和本地)和计费(远端和本地)。

4)支持L2TP隧道中多个Session,并支持隧道组。

5)支持L2TP隧道的负载均衡。

6)支持基于L2TP隧道的隧道交换(LTS)。

7)支持用户触发方式下的永久隧道。

8)支持L2TP的MIB。

9)支持L2TPv3。

5 应用实例

5.1系统平台介绍

鉴于甘肃省地税局已经建成网络发票系统,甘肃移动新建一套VPDN统一认证系统,新增两台LNS路由设备,实现用户通过认证系统无缝和安全的连接地税局网络发票管理系统开具发票的功能。以满足甘肃省地税局网络发票系统用户的接入认证,实现用户(有线及无线接入)通过统一认证平台无缝和安全的连接地税局网络发票管理系统。

5.2系统架构

L2TP业务是利用运营商分组数据网络为移动用户构建的虚拟专用网络,依托该业务,纳税人在任何地点都能够通过运营商网络无缝和安全的连接到地税局内网,实现发票的网络开具、查询等业务。用户侧采用VPN技术借助甘肃移动或铁通城域网与甘肃省地税局网络发票系统平台进行互访。

图2 系统平台架构

如图2所示,对于VPN接入平台来说,一次认证发生在运营商核心网,二次认证发生在VPN接入平台上的AAA。通过移动网络接入的终端用户经过VPN平台AAA的二次认证后,网络设备LNS允许终端与企业内部网络通信。VPN接入平台由于和LAC设备密切相关,LAC和路由设备之间隧道建立的方式主要基于L2TP协议。

5.3铁通网内用户L2TP解决方案

铁通网内PPPOE用户指通过拨号认证取得动态地址接入互联网的用户,或者ME60下挂的专线用户都可实现该业务。接入认证工作由移动集中的VPNRADIUS(认证系统)完成,例:纳税人通过PPPOE拨号连接到移动LAC(BRAS)设备上,BRAS把用户的信息发送到VPNRADIUS进行用户的接入认证。认证通过后建立从BRAS设备开始,终结在LNS设备的L2TP隧道,实现对网络发票系统平台的访问。

1)业务流程及认证方式如图3所示。

图3 固网VPN认证流程

(1)用户拨入铁通的接入服务器ME60,输入企业用户帐号,并跟上相应的企业后缀,输入相应的企业用户口令;

(2)铁通ME60将帐号和口令传入甘肃移动的用户认证系统;

(3)认证服务器根据用户后缀,确认为VPN用户,该企业已在甘肃移动的用户认证系统中注册了相应的后缀名和企业网关信息;

(4)认证服务器将结果返回接入服务器(BRAS/LAC);

(5)接入服务器建立与企业网关(LNS)的通道(L2TP);

(6)企业网关收到甘肃移动的接入服务器发送的用户信息,并在二次认证系统中对用户信息进行认证,并决定接受或拒绝通道建立请求;

(7)企业网关向接入服务器确认用户通过认证,并建立通道;

(8)企业网关与用户交换PPP握手信息,为用户分配IP地址;

(9)最终用户与企业网关建立起端到端的PPP连接。

2)VPN认证过程

VPN认证过程的主要实现流程步骤如下:

(1)客户端与BRAS/LAC进行PPPLCP协商;

(2)客户端与BRAS/LAC进行PPP认证;

(3)BRAS/LAC将接入请求发送给RADIUS服务器(一次认证);

(4)RADIUS服务器将认证结果 (允许接入/拒绝接入)返回给BRAS/LAC;

(5)BRAS/LAC发送L2TP建立请求给LNS;

(6)LNS发送L2TP建立应答给BRAS/LAC;

(7)BRAS/LAC与LNS的L2TP隧道建立;

(8)LNS与客户端重新进行PPP LCP协商(可选);

(9)客户端与LNS进行PPP认证;

(10)LNS将接入请求发送给RADIUS服务器;

(11)RADIUS服务器将认证结果(允许接入/拒绝接入)返回给LNS;

(12)客户端与LNS进行IPCP协商,获取IP地址,最终建立VPN通信。

3)隧道建立过程

(1)终端用户接入认证通过后,接入AAA将相应的LNS地址和其他参数发送到BRAS设备中;

(2)BRAS对LNS发出L2TP隧道建立请求,协商会话参数;

(3)LNS收到请求后对BRAS回应;

(4)BRAS收到回应,建立隧道,并通过隧道封装用户PPP流量。

5.4数据配置与业务终端

VPN用户的相关信息在归属地接入AAA(第一层认证)和LNSAAA(第二层认证)中配置。在归属地接入AAA中配置本地VPN用户信息、对应LNS地址、VPN隧道属性以及隧道加密信息,在LNS AAA中配置终端用户的账号和密码。固网VPN业务终端一般为台式机、笔记本等PC机。

纳税企业和个人都可通过甘肃铁通宽带城域网中的ME60提供的L2TP功能,跨域接入了移动网络的税务打印发票系统,在公网上传递的高可靠性,解决了零散用户高速打印地税发票的难题,为网内用户提供了优质的服务。

4 结束语

现阶段,L2TP是最实用的应用,以甘肃铁通PPPOE或专线用户的技术实现及移动的LNS的组网、业务实现流程进行了分析,且L2TP业务的发展正处于高速上涨的时期,该项技术也在不断改进,既可以不分地域、环境、时间以及接入方式,带宽的限制,都以其高度安全的灵活性,满足了不同企业用户。运营商也必须进行技术领先和创新,根据市场的业务发展需求,不断地推出有吸引力的新业务,还可进一步方便展开MPLS+VPN业务,这一业务领域也是数据类的增值业务利润的主要来源,对于增强业务核心竞争能力有着积极的推动作用。

TN929.5

猜你喜欢
铁通网关发票
关于发票显示额外费用的分歧
信号系统网关设备的优化
铁通固话PSTN与移动IMS网络快速融合解决方案
采购发票系统:全流程电子化实现
全国增值税发票查验平台启用
中移铁通正式揭牌成立
LTE Small Cell网关及虚拟网关技术研究
应对气候变化需要打通“网关”
一种实时高效的伺服控制网关设计
简谈泰安铁通计费数据采集机的使用及维护