基于多運(yùn)營(yíng)商和多接入的VPDN網(wǎng)絡(luò)研究

熊沁晗 陶駿 伍岳 顏云生

摘? ?要：本文結(jié)合實(shí)際應(yīng)用闡述了VPN的基本概念，詳細(xì)描述并對(duì)比了VPN的兩種實(shí)際應(yīng)用：MPLS VPN和L2TP VPDN。在單運(yùn)營(yíng)商和單接入L2TP VPDN的基礎(chǔ)上，提出了多運(yùn)營(yíng)商和多接入L2TP VPDN應(yīng)用，驗(yàn)證了其的安全性和健壯性，并在真實(shí)的網(wǎng)絡(luò)下實(shí)現(xiàn)了多運(yùn)營(yíng)商和多接入L2TP VPDN應(yīng)用實(shí)驗(yàn)，實(shí)驗(yàn)得到了良好的效果。

關(guān)鍵詞：L2TP? MPLS? VPN? 抖動(dòng)

中圖分類號(hào)：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ? ? ? ? ? ?文章編號(hào)：1674-098X（2019）05（b）-0120-03

Abstract： The basic concept of VPN is expounded in combination with practical application.，two practical applications of VPN， MPLS VPN and L2TP VPDN， are described and compared in detail. On the basis of single ISP and single access L2TP VPDN， the application of multi-ISP and multi-access L2TP VPDN is proposed， and its security and robustness are verified. The application experiment of multi-ISP and multi-access L2TP VPDN is realized under real network. The experiment results are satisfactory.

Key Words： L2TP; MPLS; VPN; Jitter

隨著時(shí)代和經(jīng)濟(jì)科學(xué)的發(fā)展，互聯(lián)網(wǎng)的用戶越來越多，互聯(lián)網(wǎng)用戶的接入方式也越來越多，既有傳統(tǒng)有線ADSL、LAN、光纖和同軸電纜接入，也有無線的wlan、3G和4G的接入，今后也會(huì)出現(xiàn)5G和量子通信的接入。用戶接入的互聯(lián)網(wǎng)運(yùn)營(yíng)商也會(huì)越來越多，除了中國(guó)電信、中國(guó)移動(dòng)、中國(guó)聯(lián)通和廣電這些大的運(yùn)營(yíng)商外，也包括鵬博士和長(zhǎng)城寬帶這些小的運(yùn)營(yíng)商。

用戶除了對(duì)接入帶寬和時(shí)延丟包等網(wǎng)絡(luò)質(zhì)量參數(shù)有要求外，用戶也對(duì)網(wǎng)絡(luò)的安全性有了很高的要求。有些用戶要求在互聯(lián)網(wǎng)接入，但是需要和其他的用戶在邏輯上嚴(yán)格分開，實(shí)現(xiàn)此要求可以采用獨(dú)享物理通道的專線技術(shù)，比如ATM、DDN和SDH，但專線接入耗費(fèi)資源大，接入的價(jià)格高，所以此類用戶一般都采用VPN（虛擬私有網(wǎng)絡(luò)）接入。

目前基于單接入和單運(yùn)營(yíng)商的VPN應(yīng)用已經(jīng)較為常見，但是基于多接入和多運(yùn)營(yíng)商的VPN技術(shù)還沒有成熟運(yùn)用，本文提出了一種基于多接入和多運(yùn)營(yíng)商的VPN研究和應(yīng)用。

1? VPN

VPN稱為虛擬私有網(wǎng)絡(luò)，用戶雖然接入到互聯(lián)網(wǎng)，但是在邏輯上和其他用戶是嚴(yán)格分開的，由于VPN接入在物理上還是使用的互聯(lián)網(wǎng)資源，只不過利用軟件協(xié)議劃分了嚴(yán)格的邏輯傳輸通道進(jìn)行隔離，所以VPN接入的價(jià)格要遠(yuǎn)低于專線接入。目前常用的VPN技術(shù)有MPLS VPN和L2TP VPDN。

1.1 MPLS VPN

MPLS指多協(xié)議標(biāo)簽交換技術(shù)，其不同于傳統(tǒng)網(wǎng)絡(luò)設(shè)備的路由轉(zhuǎn)發(fā)，其利用的是標(biāo)簽轉(zhuǎn)發(fā)，不是傳統(tǒng)的路由表，由于標(biāo)簽轉(zhuǎn)發(fā)的速度比基于路由表的轉(zhuǎn)發(fā)速度快，所以基于MPLS的數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)延較小，標(biāo)簽轉(zhuǎn)發(fā)的是已經(jīng)定義好的VPN信息，其具體的網(wǎng)絡(luò)拓?fù)淙鐖D1所示。

用戶先從CE（客戶路由器）接入，CE和PE（核心邊緣路由器）通過靜態(tài)、OSPF或者EBGP協(xié)議互聯(lián)接入到互聯(lián)網(wǎng);在PE路由器上指定VRF號(hào)（VPN編號(hào)）和開啟MPLS協(xié)議，P（核心路由器）和PE通過標(biāo)簽交換發(fā)送數(shù)據(jù)，P路由器開啟MPLS，P路由器通過一般的IGP和BGP協(xié)議和PE及其他P互聯(lián)。

MPLS協(xié)議位于網(wǎng)絡(luò)層和數(shù)據(jù)鏈路層之間，MPLS VPN具有快速安全的特點(diǎn)，但是用戶接入存在弊端，其必須通過用戶自己的CE接入，比如此時(shí)手機(jī)4G用戶的上游路由器不是CE，此時(shí)手機(jī)4G用戶就不能接入到MPLS VPN網(wǎng)絡(luò)了。

1.2 L2TP VPDN

L2TP VPDN是另一種VPN技術(shù)，L2TP協(xié)議位于數(shù)據(jù)鏈路層，其可以用過PPP撥號(hào)接入，用戶可以通過無線或者有線接入，其既滿足了接入的安全性需求，也滿足了接入的迅捷性需求。

1.2.1 單運(yùn)營(yíng)商和單接入L2TP VPDN

L2TP VPN的單運(yùn)營(yíng)商和單接入的網(wǎng)絡(luò)結(jié)構(gòu)圖，如圖2所示。

定義結(jié)構(gòu)圖中的設(shè)備如下。

LACi：運(yùn)營(yíng)商接入路由器，i表示第i個(gè)運(yùn)營(yíng)商接入路由器;

USERj：用戶接入點(diǎn)，j表示第j個(gè)用戶接入點(diǎn)，1個(gè)運(yùn)營(yíng)商接入路由器會(huì)對(duì)應(yīng)多個(gè)用戶接入點(diǎn);

LNS：用戶接入路由器;

運(yùn)營(yíng)商AAA：運(yùn)營(yíng)商認(rèn)證服務(wù)器;

用戶AAA：用戶認(rèn)證服務(wù)器。

用戶撥號(hào)接入VPN之前需要進(jìn)行如下配置：在運(yùn)營(yíng)商AAA上配置相關(guān)域名和隧道信息，因?yàn)橛脩羰紫仁墙尤氲竭\(yùn)營(yíng)商的互聯(lián)網(wǎng)，所以要經(jīng)過運(yùn)營(yíng)商AAA的驗(yàn)證;在用戶AAA上設(shè)置用戶名和密碼，驗(yàn)證接入身份;在用戶LNS上配置相關(guān)域名和隧道信息，以保證與LAC、運(yùn)營(yíng)商AAA和用戶AAA的通信。

用戶接入的流程算法如表1。

當(dāng)圖2中三個(gè)用戶都撥號(hào)成功后，結(jié)構(gòu)圖如圖3所示。

此時(shí)，LAC1和LNS建立一條隧道（tunnel），此隧道中有兩個(gè)用戶，LAC2和LNS建立一條tunnel（隧道），此隧道中有兩個(gè)用戶。

1.2.2 多運(yùn)營(yíng)商和多接入L2TP VPDN

L2TP VPN的多運(yùn)營(yíng)商和多接入的網(wǎng)絡(luò)結(jié)構(gòu)圖如圖4所示。

定義結(jié)構(gòu)圖中的設(shè)備如下。

ISPAK：運(yùn)營(yíng)商，k表示第k個(gè)運(yùn)營(yíng)商，一個(gè)運(yùn)營(yíng)商有多種接入方式、多臺(tái)認(rèn)證服務(wù)器和多臺(tái)LAC;

LACis：運(yùn)營(yíng)商接入路由器，i表示第i個(gè)運(yùn)營(yíng)商，s表示其第s個(gè)路由器;

USERj：用戶接入點(diǎn)，j表示第j個(gè)用戶接入點(diǎn)，1個(gè)運(yùn)營(yíng)商接入路由器會(huì)對(duì)應(yīng)多個(gè)用戶接入點(diǎn);

LNS：用戶接入路由器;

運(yùn)營(yíng)商AAAip：第i個(gè)運(yùn)營(yíng)商第p個(gè)認(rèn)證服務(wù)器，一般一種接入方式對(duì)應(yīng)一種認(rèn)證服務(wù)器;

用戶AAA： 用戶認(rèn)證服務(wù)器;

運(yùn)營(yíng)商ACCip：表示第i個(gè)運(yùn)營(yíng)商第p種接入方式。

用戶撥入的過程：先確定其接入的運(yùn)營(yíng)商和接入方式，再選擇需要認(rèn)證域名的運(yùn)營(yíng)商服務(wù)器，再在LAC和LNS之間建立隧道，最后在LNS上認(rèn)證用戶的用戶名稱和密碼。

具體流程算法如表2。

當(dāng)圖4中的6個(gè)用戶都撥號(hào)成功時(shí)，結(jié)構(gòu)圖如圖5。

此時(shí)，LAC11和LNS建立一條隧道（tunnel），此隧道中有兩個(gè)用戶，LAC12和LNS建立一條tunnel（隧道），此隧道中有兩個(gè)用戶，LAC12和LNS建立一條隧道（tunnel），此隧道中有兩個(gè)用戶，LAC22和LNS建立一條tunnel（隧道），此隧道中有兩個(gè)用戶。

2? 實(shí)驗(yàn)分析

在實(shí)驗(yàn)室用表3設(shè)備搭建圖4網(wǎng)絡(luò)，在模擬用戶流量的前提下，對(duì)部署L2TP前后的從終端ping用戶AAA服務(wù)器的時(shí)延進(jìn)行了對(duì)比，具體如圖6所示。

從上圖可以得到部署L2TP VPN后的時(shí)延均小于部署前，因?yàn)榇藭r(shí)沒有經(jīng)過驗(yàn)證的互聯(lián)網(wǎng)用戶是不允許訪問用戶AAA服務(wù)器的，這就減少了用戶內(nèi)網(wǎng)的網(wǎng)絡(luò)流量，提高了傳輸?shù)男?。抖?dòng)指ping前后兩個(gè)時(shí)刻的時(shí)延之差的絕對(duì)值，抖動(dòng)越小，網(wǎng)絡(luò)的性能越好，網(wǎng)絡(luò)中一般比較各采集時(shí)刻的抖動(dòng)平均值，抖動(dòng)平均值dith為（n指總的采樣點(diǎn)數(shù)目，i指每一個(gè)采樣點(diǎn)，ti指i時(shí)刻的ping時(shí)延大?。?/p>

分析實(shí)驗(yàn)結(jié)果可以得到：dith部署前=2.5>dith部署后=0.6，部署前也優(yōu)于部署后，原因也是內(nèi)網(wǎng)流量減小的效果，從實(shí)驗(yàn)結(jié)果可以看出，部署L2TP VPN網(wǎng)絡(luò)后既實(shí)現(xiàn)了網(wǎng)絡(luò)的安全性，也加強(qiáng)了網(wǎng)絡(luò)的健壯性。

3? 結(jié)語

VPN為用戶提供了便捷、經(jīng)濟(jì)、安全的企業(yè)網(wǎng)絡(luò)組網(wǎng)方式，本文在單運(yùn)營(yíng)商和單接入L2TP VPDN的基礎(chǔ)上，對(duì)多運(yùn)營(yíng)商和多接入方式的L2TP VPDN應(yīng)用做了探討研究并在真實(shí)的網(wǎng)絡(luò)環(huán)境下進(jìn)行了模擬實(shí)驗(yàn)，實(shí)驗(yàn)得到了良好的效果。下一步的研究方向是利用SDN技術(shù)架構(gòu)對(duì)L2TP網(wǎng)絡(luò)參數(shù)做到自動(dòng)有區(qū)別的下發(fā)，并對(duì)重要的網(wǎng)絡(luò)流量做QoS保障，進(jìn)一步提高網(wǎng)絡(luò)的運(yùn)行效率和安全性能。

參考文獻(xiàn)

[1] 陶駿，徐灝.基于FDD-LTE 4G技術(shù)的無線VPDN網(wǎng)絡(luò)構(gòu)建[J].廊坊師范學(xué)院學(xué)報(bào)：自然科學(xué)版，2018（3）：36-39.

[2] 卡羅爾 TCP/IP路由技術(shù)（第二卷）[M].北京：人民郵電出版社，2009.

[3] 劉路.基于動(dòng)態(tài)連接的RDMA可靠傳輸協(xié)議設(shè)計(jì)[J].計(jì)算機(jī)工程與科學(xué)，2012，34（8）：184-190.

[4] 曹繼軍.超級(jí)計(jì)算系統(tǒng)互聯(lián)網(wǎng)絡(luò)帶內(nèi)管理的實(shí)現(xiàn)與評(píng)測(cè)[J].計(jì)算機(jī)學(xué)報(bào)，2016，39（9）：1718-1731.

[5] 沈文婷.具有密鑰可恢復(fù)能力的云存儲(chǔ)完整性檢測(cè)方案[J].軟件學(xué)報(bào)，2016，27（6）：1452-1462.

[6] 陶駿，沈陽.基于SDN的QoS多播網(wǎng)絡(luò)仿真[J].大慶師范學(xué)院學(xué)報(bào)，2017（12）：42-47.

[7] 顏云生.基于AHP算法的電子書包評(píng)估系統(tǒng)[J].計(jì)算機(jī)系統(tǒng)與應(yīng)用，2017（8）：49-54.

[8] 陶駿，顏云生.基于NAT和FIT AP的實(shí)驗(yàn)室無線網(wǎng)絡(luò)構(gòu)建[J].計(jì)算機(jī)與網(wǎng)絡(luò)，2017（20）：68-71.

[9] 王蓉.基于VPDN的社區(qū)應(yīng)用系統(tǒng)的方案設(shè)計(jì)與實(shí)踐[D].北京郵電大學(xué)，2010.

[10]雷維禮，馬立香.接入網(wǎng)技術(shù)[M].北京：清華大學(xué)出版社，2006.

[11]馬春光，郭方方.防火墻、入侵檢測(cè)與VPN[M].北京：北京郵電大學(xué)出版社，2008.

[12]張智江，劉申建.CDMA2000 1 X EV-DO 網(wǎng)絡(luò)技術(shù)[M].北京：機(jī)械工業(yè)出版社，2005.

[13]何亞輝，肖路，陳鳳英.基于IPSecd的VPN技術(shù)原理與應(yīng)用[J].重慶工學(xué)院學(xué)報(bào)，2006（11）.