L2TPv3协议:VPN 隧道尽头的曙光

1/23/2008来源:网络协议人气:3334


  企业和电信运营商一直在寻找通过公共ip骨干网络上传送多种第2层服务的方法,以最大限度地提高其基础设施性价比和简化治理。与基于IP的VPN不同,第2层 VPN是多协议的,答应在公共路由器基础设施上传送IP和非IP数据流。在第2层 VPN环境中,由于消除了边缘路由器支持企业VPN路由表和第3层路由环境的需要,从而减少了复杂性。
  
  人们开发了多种第2层 VPN技术以使包交换传输流和时分复用传输流可以在MPLS网络上传送。IETF正在开发的另一项技术是第2层隧道协议第3版(L2TPv3),它有望成为一项在MPLS上和纯IP骨干网上建立第2层 VPN的方便而强健的替代技术。
  

  作为L2TP扩展的L2TPv3是一项无状态协议,它没有内在的信令或用于保持活动状态的(keep-alive)机制。最初在RFC 2661中定义的L2TP是设计用于为面向包的数据网上的多条第2层电路提供动态隧道的。它定义了一种标准隧道方式,这种方式使一条或多条第3层网络上的类似电路的连接看起来像是客户位置之间点到点或点到多点链路。基础L2TP协议由用于动态创建、维护和拆除L2TP会话的控制协议,以及在IP连接的节点之间多路复用与多路分离第2层数据流的数据封装构成。
  
  L2TP的重点过去一直放在窄带拨号协议上。由于减少了开销以及相关的处理任务,因此L2TPv3通过使L2TP能够运行在路由器这类更高速的设备上,扩展了L2TP协议。它还增加了一些重要的新特性,例如,将会话和隧道ID空间由16位扩展到32位,从而将隧道数量由65000条激增到40亿条以上。
  
  在L2TPv3环境中,连接到客户网络的物理接口变成了隧道入口/出口接口。因此,传输流不必经提供商路由器传送到隧道中。当数据包到达接口时,它们被封装起来并直接转发到远端隧道终点。一旦接收到数据包并拆除封装后,假如隧道标识为路由器所识别的话,原始数据包可以被转发到输出接口。假如隧道标识不为路由器所识别,数据包就被丢弃。
  
  在使用L2TPv3的情况下,由于电信运营商可以在公共IP网络上支持帧中继、ATM和以太网,因而各企业可以享受到更低费用的服务。由于L2TPv3没有对IP传输基础设施提出新的要求,所以在实现和支持上自然更轻易和简单,因为网络人员更熟悉IP。
  
  多种新应用正在推动这项技术的发展,如在大范围地区中提供透明的以太网服务的能力、提高帧中继网络速度以及通过将多条网络归并到一条IP骨干网络中优化基础设施。同时,企业拥有了单一一条向远程站点提供安全第2层 VPN和通用Internet接入的连接,因此不必再拥有用于多种服务的不同连接,如用于Internet接入的连接和用于内联接入的分立专用线路。
  
  但是,事物总有不足的一面。尽管L2TPv3更好地利用了共享资源(Internet和IP骨干网),但资源共享究竟是一种折衷,它缺少真正的猜测性和保证。这不仅对逻辑电路是这样,而且对于采用像虚拟路由这类方案的路由器也是如此。进入讨论组讨论。