第四章網(wǎng)絡(luò)安全技術(shù)-VPN技術(shù)計(jì)算機(jī)系統(tǒng)與網(wǎng)絡(luò)安全技術(shù)第二層轉(zhuǎn)發(fā)協(xié)議L2F：Layer2Forwarding雖然依然使用PPP協(xié)議來(lái)傳輸數(shù)據(jù)VPN技術(shù)但是網(wǎng)絡(luò)的鏈路層完全獨(dú)立于用戶(hù)的鏈路層協(xié)議鏈路層的端點(diǎn)與用戶(hù)的會(huì)話(huà)端點(diǎn)在不同的主機(jī)上。是通過(guò)PPP協(xié)議將用戶(hù)鏈路層的協(xié)議（如PPP）數(shù)據(jù)包封裝起來(lái)進(jìn)行傳送的協(xié)議。在L2F協(xié)議的VPN中，乘客協(xié)議是PPP等協(xié)議，封裝協(xié)議是時(shí)L2F，而承載協(xié)議是PPP協(xié)議。PPP協(xié)議概述點(diǎn)對(duì)點(diǎn)協(xié)議（PPP：PointtoPointProtocol）是為在點(diǎn)對(duì)點(diǎn)連接上傳輸多協(xié)議數(shù)據(jù)包的一個(gè)數(shù)據(jù)鏈路層協(xié)議。具有動(dòng)態(tài)分配IP地址的能力，允許在連接時(shí)刻協(xié)商IP地址VPN技術(shù)支持多種網(wǎng)絡(luò)協(xié)議，比如TCP/IP、NetBEUI、NWLINK等其主要功能包括具有錯(cuò)誤檢測(cè)以及糾錯(cuò)能力，支持?jǐn)?shù)據(jù)壓縮具有身份驗(yàn)證功能可以用于多種類(lèi)型的物理介質(zhì)上，包括串口線、電話(huà)線、移動(dòng)電話(huà)和光纖（例如SDH）、以太網(wǎng)接口等PPP協(xié)議概述（續(xù)）VPN技術(shù)字段名幀頭F地址A控制C協(xié)議P載荷幀校驗(yàn)FCS幀尾F字段值7EFF03協(xié)議信息校驗(yàn)值7E字節(jié)長(zhǎng)度1112<=150021F：PPP采用7EH作為一幀的開(kāi)始和結(jié)束標(biāo)志A：地址字段（A）取固定值FFHC：控制字段（C）取固定值03HP：協(xié)議字段（P）取0021H表示IP分組FCS：幀校驗(yàn)字段（FCS）也為兩個(gè)字節(jié)L2F協(xié)議的消息格式VPN技術(shù) 0123 01234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|F|K|P|S|0|0|0|0|0|0|0|0|C|Ver|Protocol|Sequence(opt)|\+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+\|MultiplexID|ClientID||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2F|Length|Offset(opt)||Header+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+||Key(opt)|/+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+/+(payload)|+.....|+(payload)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|L2FChecksum(optional)|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+基于L2F的VPN建立過(guò)程第一步：向撥號(hào)服務(wù)器發(fā)送建立PPP連接請(qǐng)求。遠(yuǎn)程用戶(hù)在本地局域網(wǎng)（HomeLAN）通過(guò)自己的家庭網(wǎng)關(guān)（HGW：HomeGateway）通過(guò)PPP撥號(hào)連接至服務(wù)提供商的撥號(hào)服務(wù)器（也叫網(wǎng)絡(luò)服務(wù)器，NAS：NetworkAccessServer）建立初始的PPP連接，用來(lái)傳送L2F包。VPN技術(shù)基于L2F的VPN建立過(guò)程第二步：網(wǎng)絡(luò)服務(wù)器向家庭網(wǎng)關(guān)發(fā)送一個(gè)L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的載荷包括網(wǎng)絡(luò)服務(wù)器的名字（NAS_name）、挑戰(zhàn)隨機(jī)數(shù)（ChallengeRnd）和一個(gè)隨機(jī)分配的客戶(hù)標(biāo)示（Assigned_CLIDCLID1）VPN技術(shù)基于L2F的VPN建立過(guò)程第二步：網(wǎng)絡(luò)服務(wù)器向家庭網(wǎng)關(guān)發(fā)送一個(gè)L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=0、Key=0。包的載荷包括網(wǎng)絡(luò)服務(wù)器的名字（NAS_name）、挑戰(zhàn)隨機(jī)數(shù)（ChallengeRnd）和一個(gè)隨機(jī)分配的客戶(hù)標(biāo)示（Assigned_CLIDCLID1）VPN技術(shù)基于L2F的VPN建立過(guò)程第三步：家庭網(wǎng)關(guān)向網(wǎng)絡(luò)服務(wù)器返回一個(gè)L2F管理包（L2F_CONF）各字段可能值為Proto=L2F、Seq=0,MID=0、CLID=CLID1、Key=0。包的載荷包括家庭網(wǎng)關(guān)的名字（GW_name）、挑戰(zhàn)隨機(jī)數(shù)（ChallengeRnd2）和一個(gè)網(wǎng)關(guān)自己分配的的客戶(hù)標(biāo)示（Assigned_CLIDCLID2）。VPN技術(shù)基于L2F的VPN建立過(guò)程第四步：網(wǎng)絡(luò)服務(wù)器向家庭網(wǎng)關(guān)發(fā)送一個(gè)L2F管理包（L2F_OPEN）各字段可能值為Proto=L2F,Seq=1,MID=0,CLID=CLID2,Key=MD5(Rnd2)。Key的值是用MD5哈希算法對(duì)Rnd2進(jìn)行運(yùn)算所得到的128位值MD5(Rnd2)。MD5(Rnd2)也包含在載荷部分的“response"字段中。VPN技術(shù)基于L2F的VPN建立過(guò)程第五步：家庭網(wǎng)關(guān)向網(wǎng)絡(luò)服務(wù)器返回一個(gè)L2F管理包（L2F_OPEN）各字段可能值為Proto=L2F、Seq=1、MID=0、CLID=CLID1、Key=C(Rnd1)。