控制消息中的参数用avp值对(attributevaluepair)来表示,使得协议具有良好的扩展性;在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了l2tp层传输的可靠性。l2tp数据消息的传输不采用重传机制,所以它无法保证传输的可靠性,但这一点可以通过上层协议如tcp等得到保证。数据消息的传输可以根据应用的需要灵活地采用流控或非流控机制,甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流控功能;在采用流控的过程中,对于失序消息的处理采用了缓存重排序的方法提高数据传输的有效性。
(2)l2tp协议的特性:
安全的身份验证机制:与ppp类似,l2tp可以对隧道端点进行验证,保证lac和lns的合法性。不同的是ppp可以选择采用pap方式以明文传输用户名和密码,而l2tp规定必须使用类似pppchap的验证方法,密码不是直接用明文传输,而是通过将密码与随机序列一起,通过不可逆推的md5算法计算出的密文传输。
内部地址分配支持:lns放置在专网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持dhcp和私有地址应用。远端用户分配的ip地址不是internet地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。
可靠性:l2tp协议可以支持备份lns,当一个主lns不可达时,lac可以重新与备份lns建立连接,以增加vpn服务的可靠性和容错性。
统一的网络管理:l2tp协议已成为标准的rfc协议,有关l2tp的标准mib也已制定,这样可以统一地采用snmp网络管理方案进行方便的网络维护和管理。
3、vpdn网络设计:
本方案的vpdn(即利用cdma20001x无线作为接入方式)网络设计由以下节点设备共同配合完成:联通cdma20001x无线接入服务器pdsn、联通radius服务器、交通厅的专网vpdn网关。
在实际网络设计中我们用到了联通cdma20001x无线接入的aaa(radius)服务器,它用于用户的集中认证及计费功能的实现。在_________省内的联通cdma20001x用户接入到_________的pdsn,由pdsn、aaa服务器负责识别交通厅的无线用户、及专网中专用的vpdn后缀域名。根据此专用域名,aaa服务器就能识别此用户为交通厅专网的vpdn用户,但尚未对此用户的身份进行认证。aaa服务器通知pdsn与省交通厅的vpdn网关建立l2tp协议隧道,在无线接入服务器pdsn与_________省交通厅的vpdn网关之间建立了l2tp协议隧道后,用户的身份信息如:用户名、密码等通过隧道送至省交通厅的vpdn网关内,再由联通的vpdn-radius服务器和省交通厅的vpdn网关配合,共同完成远程用户的认证工作。认证通过后由vpdn网关分配交通厅专网的内部ip地址,同时vpdn网关赋予此用户以指定的访问权限。这样远程无线的交通厅用户就具备了访问省交通厅内部网络系统的能力。
4、vpdn的网络流程:
(1)交通厅的无线用户通过_________连接到联通的无线接入服务器pdsn(通过imsi号绑定,非交通厅的无线用户将无法接入),并将带有专有vpdn后缀域名的用户名和密码送至pdsn,请求接入。
(2)pdsn与负责1x无线接入的aaa服务器建立连接,并将密码和用户名送至aaa中进行认证。
(3)aaa服务器通过内部数据库查找出与此专有vpdn后缀域名相关的专网vpdn网关后,指定pdsn与vpdn网关建立l2tp隧道。
(4)pdsn与vpdn网关建立l2tp隧道,并进行隧道认证和隧道标识,分配此隧道给此用户专用。
