引言
随着移动通信技术的飞速发展,4G网络已经成为企业远程连接的重要手段。VPDN技术,作为VPN的一种形式,通过拨号网络实现虚拟私有网络连接,为企业提供了一个灵活、成本效益高的远程接入方案。本文将从网络技术的角度,探讨VPDN和L2TP技术在4G业务中的应用,思考其在现代企业网络中的实际价值。
概念简述
VPDN
VPDN(Virtual Private Dial-up Network)是一种基于拨号网络的VPN技术,通过PSTN或ISDN等拨号网络使用PPP协议进行通信和验证。VPDN利用隧道技术封装企业网数据,使其在公网上传输,隧道是数据包在互联网上的逻辑路径。这种技术允许企业在不租用昂贵的专线的情况下,实现远程用户的安全接入。
L2TP
L2TP(Layer 2 Tunneling Protocol)是VPDN隧道协议的一种,扩展了PPP协议的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。L2TP通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。PPPoE技术更是扩展了L2TP的应用范围,通过以太网络连接Internet,建立远程移动办公人员到企业总部的L2TP隧道。
L2TP 的主要特点:
- 灵活的身份验证机制:L2TP使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认证。
- 控制消息的加密传输:支持L2TP隧道的认证,增强了数据传输的安全性。
- 多协议传输:L2TP传输PPP数据包,PPP可以传输多种协议报文,使其可以在多种网络环境中使用。
- RADIUS服务器验证:支持将拨号接入的用户名和密码发往RADIUS服务器进行认证,为企业管理接入用户提供了更多的选择。
- 私网地址分配:企业总部网关可以为远程用户动态分配私网地址。
- 可靠性:L2TP协议支持备份LNS,增强了VPN服务的可靠性。
GRE
GRE(Generic Routing Encapsulation)可以对某些网络层协议(如IPX、ATM、IPv6、AppleTalk等)的数据报文进行封装,使这些被封装的数据报文能够在另一个网络层协议(如IPv4)中传输。GRE是一种三层隧道封装技术,使报文可以通过GRE隧道透明的传输,解决异种网络的传输问题。如图所示,如果X协议报文从Ingress PE向Egress PE传输,则封装在Ingress PE上完成,而解封装在Egress PE上进行。封装后的数据报文在网络中传输的路径,称为GRE隧道。
- 封装
- Ingress PE从连接X协议网络的接口接收到X协议报文后,首先交由X协议处理。
- X协议根据报文头中的目的地址在路由表或转发表中查找出接口,确定如何转发此报文。如果发现出接口是GRE Tunnel接口,则对报文进行GRE封装,即添加GRE头。
- 根据骨干网传输协议为IP,给报文加上IP头。IP头的源地址就是隧道源地址,目的地址就是隧道目的地址。
- 根据该IP头的目的地址(即隧道目的地址),在骨干网路由表中查找相应的出接口并发送报文。之后,封装后的报文将在该骨干网中传输。
- 解封装
- Egress PE从GRE Tunnel接口收到该报文,分析IP头发现报文的目的地址为本设备,则Egress PE去掉IP头后交给GRE协议处理。
- GRE协议剥掉GRE报头,获取X协议报文,再交由X协议对此数据报文进行后续的转发处理
- 特点:
- 简单实现机制:GRE实现机制简单,对隧道两端的设备负担小。
- 多种网络协议的本地网络连通:GRE隧道可以通过IPv4网络连通多种网络协议的本地网络,有效利用了原有的网络架构,降低成本。
- 扩展了跳数受限网络协议的工作范围:支持企业灵活设计网络拓扑。
- 封装组播数据:和IPSec结合使用时可以保证语音、视频等组播业务的安全。
- 支持MPLS LDP:使用GRE隧道承载MPLS LDP报文,实现MPLS骨干网的互通。
- 组建VPN:将不连续的子网连接起来,实现企业总部和分支间安全的连接。
APN
APN(Access Point Name)用来标识用户要访问的外部PDN网络(Packet Data Network,分组数据网络),用户可以通过APN接入到相应的PDN网络。如下图所示,路由器可以通过配置指定运营商的APN接入到对应的PDN网络,例如通过APN1接入运营商的IMS网络;也可以通过配置企业的APN接入到指定的企业网关,例如通过APN2接入企业数据网关。
技术刨析
关于L2TP与GRE隧道技术两种隧道都能够用于企业用户搭建私网,但是又有一定差异。
对于GRE,通俗的理解就是把两个网络通过隧道连接到一起,拨上来的用户“就好像”被放置到了GRE隧道的对端一样,而在GRE隧道的对端需要配置到用户地址池的路由配置主要是本端和对端的地址,隧道参数以及双方配置路由(运营商侧默认路由到GRE隧道,企业网侧用户地址池路由到GRE隧道)。
对于L2TP,可以理解成运营商搭建一个桥梁,用户直接通过PPP拨号连接到私网上,这里面IP的分配、接入与认证控制都由LNS来完成,客户方面可以更好的控制业务,同时LNS也可以针对每个用户做一些话单计费用于审核校验。两种隧道都能配合IPSec加密,在这一点上是没有区别的,主要区别体现在GRE隧道需要配置路由,而L2TP不需要,GRE隧道的接入控制完全在运营商,而L2TP是运营商和LNS都能控制。
配置与管理
以山东电信为例,LAC址为115.115.108.108、115.115.208.108,VPDN-AAA所用的私网IP地址为115.115.108.68。因此需要在企业的网络访问控制中保证这3个地址可达。
Cisco路由器配置VPDN业务
- 启用VPND业务
vpdn enable
- 配置拨号地址池
ip local pool vpdn-ip-pool 10.240.11.11 10.240.11.200
- 配置loopback接口
interface loopback 0
ip address 10.240.1.1 255.255.255.255
- 配置虚拟接口模板,地址池的网关、拨号地址池和PPP认证方式
interface virtual-template1
mtu 1440
ip unnumbered loopback0
peer default ip address pool vpdn-ip-pool
ppp authentication chap pap
- 配置隧道协议、隧道密码,指定虚接口
vpdn-group 1
accept-dialin
protocol l2tp
virtual-template 1
l2tp tunnel password 0 IOT
- 配置aaa 和radius,服务器IP地址、密钥和端口
aaa new-model
aaa authentication login con none
aaa authentication login vty line
aaa authentication ppp default local group radius
radius-server host 115.115.108.68 auth-port 1645 acct-port 1646 key IOTVPDN
aaa authorization network default group radius local none
- 配置与LAC的通信接口和路由
interface FastEthernet0/0
ip address 10.230.11.9 255.255.255.252
duplex auto
speed auto
ip route 115.115.108.0 255.255.255.0 10.230.11.10
ip route 115.115.208.108 255.255.255.255 10.230.11.10
- 配置GRE隧道与使用该隧道的路由
interface Tunnel0
ip address 10.1.1.2 255.255.255.0
tunnel source 10.230.11.9
tunnel destination 10.240.11.200
#远端回传业务中的设备和服务器为10.240.119.0/24
ip route 10.240.119.0 255.255.255.0 Tunnel0
终端设备APN设置
- 名称:可自行指定,没有要求
- APN:可以设置为private.vpdn.sd或iprivate.vpdn.sd,其中前者电信会把用户卡的号码传给LNS设备,后者会把IMSI号码传给LNS设备。 IMSI信息需要联系电信运营商获取
- 用户名和密码:填写APN账户的用户名和密码,用户名要明确指定域信息,如user@iot.vpdn.sd
- MCC:460 中国国家编码
- 身份验证类型:CHAP或PAP,需要与LNS端(即万华的路由器设备)的身份验证类型选项一致;LNS端(10.240.1.1)支持CHAP和PAP两种身份验证。
- APN类型:一般设置为default即可,有的终端可能会设置为default,supl,ia;具体含义由厂家指定
- APN协议:保持缺省即可,目前基本都是IPv4;
- 承载系统:传送方式选择,即指定该apn使有3g还是4g网络,缺省一般是设置为未指定,可以保证该apn设置适用于3/4G网络,也可以手工指定为LTE,EVDO_B,EVDO_A,EVDO_0等;
结语
本篇从技术角度分享了VPDN和L2TP的实现方式及其在企业网络中的应用场景。展示了配置步骤和管理策略,为企业构建安全、高效的远程网络连接抛砖引玉。
只有注册用户才能在此添加评论。 如果您已经注册,请登录。 如果您还没有注册,请注册并登录。