一.VPDN简介

VPDN(Virtual Private Dial Network,虚拟私有拨号网)是指利用公共网络(如ISDN和PSTN)的拨号功能及接入网来实现虚拟专用网,从而为企业、小型ISP、移动办公人员提供接入服务。
VPDN采用专用的网络加密通信协议,在公共网络上为企业建立安全的虚拟专网。3G路由器配置4G模块企业驻外机构和出差人员可从远程经由公共网络,通过虚拟加密隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

二.VPDN有下列两种实现方式:

1.NAS通过隧道协议,与VPDN网关建立通道的方式。这种方式将客户的PPP连接直接连到企业的网关上,目前可使用的协议有L2F与L2TP。其好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网络,由企业网进行用户认证和地址分配,而不占用公共地址,用户可使用各种平台上网。这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器或VPN专用服务器。

2.客户机与VPDN网关建立隧道的方式。3G路由器配置4G模块这种方式由客户机先建立与Internet的连接,再通过专用的客户软件(如Win2000支持的L2TP客户端)与网关建立通道连接。其好处在于:用户上网的方式和地点没有限制,不需ISP介入。缺点是:用户需要安装专用的软件(一般都是Win2000平台),限制了用户使用的平台。

3.VPDN隧道协议可分为PPTP、L2F和L2TP三种,目前使用相当许多的是L2TP。

三、L2TP协议介绍

1.协议背景

2.PPP协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与NAS之间运行PPP协议,二层链路端点与PPP会话点驻留在相同硬件设备上。
3.L2TP协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,3G路由器配置4G模块允许二层链路端点和PPP会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了PPP模型。L2TP协议结合了L2F协议和PPTP协议的各自优点,成为IETF有关二层隧道协议的工业标准。
4.典型L2TP组网应用 使用L2TP协议构建的VPDN应用的典型组网如图1所示:

其中,LAC表示L2TP访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备。LAC一般是一个网络接入服务器NAS,主要用于通过PSTN/ISDN网络为用户提供接入服务。LNS表示L2TP网络服务器(L2TP Network Server),是PPP端系统上用于处理L2TP协议服务器端部分的设备。

LAC位于LNS和远端系统(远地用户和远地分支机构)之间,用于在LNS和远端系统之间传递信息包,把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,将从LNS收到的信息包进行解封装并送往远端系统。LAC与远端系统之间可以采用本地连接或PPP链路,VPDN应用中通常为PPP链路。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是被LAC进行隧道传输的PPP会话的逻辑终止端点。

  1. L2TP协议的技术细节

四.L2TP协议结构

L2TP协议结构

1.L2TP协议结构描述了PPP帧和控制通道以及数据通道之间的关系。PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
通常L2TP数据以UDP报文的形式发送。L2TP注册了UDP 1701端口,3G路由器配置4G模块但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
2.隧道和会话的概念
在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话(Session)组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。控制消息和PPP数据报文都在隧道上传输。
L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该会话将被许多。
3.控制消息和数据消息的概念
L2TP中存在两种消息:控制消息和数据消息。控制消息用于隧道和会话连接的建立、3G路由器配置4G模块维护以及传输控制;数据消息则用于封装PPP帧并在隧道上传输。控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据消息共享相同的报文头。L2TP报文头中包含隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标识符由对端分配。
4.两种典型的L2TP隧道模式
远端系统或LAC客户端(运行L2TP协议的主机)与LNS之间对PPP帧的隧道模式如图3所示:

5.两种典型的L2TP隧道模式

  1. 由远程拨号用户发起。
    远程系统拨入LAC,由LAC通过Internet向LNS发起建立通道连接请求。3G路由器配置4G模块拨号用户地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成,在这里MA5200充当LAC
    b. 直接由LAC客户(指可在本地支持L2TP协议的用户)发起。
    此时LAC客户可直接向LNS发起通道连接请求,无需再经过一个单独的LAC设备。此时,LAC客户地址的分配由LNS来完成。
    5)L2TP隧道会话的建立过程
    L2TP通道的呼叫建立流程可如图4所示:

六.L2TP通道的呼叫建立流程

1.L2TP优势

  1. 灵活的身份验证机制以及高度的安全性
    L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),3G路由器配置4G模块因此具有PPP所具有的所有安全特性。L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。L2TP还可根据特定的网络安全要求在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。
    b. 多协议传输
    L2TP传输PPP数据包,这样就可以在PPP数据包内封装多种协议。
    c. 支持RADIUS服务器的验证
    LAC端将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。
    d. 支持内部地址分配
    LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,3G路由器配置4G模块可支持私有地址应用(RFC1918)。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
    e. 网络计费的灵活性
    可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
    f. 可靠性
    L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,这样增加了VPN服务的可靠性和容错性。

深圳市智联物联科技有限公司是一家致力于提供工业级无线网络通讯产品和解决方案的物联网企业,智联物联科技集产品研发、生产、销售、技术服务及定制化开发于一体。公司成立以来,为各行各业提供基于移动通信M2M系列产品和解决方案;

产品有串口服务器、LoRa模块、wifi模块、GPS 定位模块、北斗定位模块、工业级3G/4G modem、GPRS DTU、3G/4G DTU、工业级3G/4G 无线路由器、车载wifi、直播负载均衡路由器、4G工控机、M2M云平台等硬件及软件。

遍及智能电力、智能交通、智能消防、智能家居、智慧水利、智慧医疗、快递柜、充电桩、自助终端、公共安全、安防通信、工业监测、环境保护、环境监测、路灯照明、花卉栽培、车载Wifi等多个领域。

智联物联拥有一支专业的工业网络通讯产品研发团队,由具有丰富的电子产品开发经验的电子工程师、软件工程师和丰富的系统应用经验的网络工程师组成,以工业产品的开发流程和标准,采用国际领先的技术,不断创新,追求卓越,开发出一系列稳定、可靠的工业通讯产品,获得了多项发明和专利。

企业文化:智联物联以专业的团队、优质的产品、完善的服务得到客户的信任和认可。

智联物联价值观:专业合作、诚信立业、创新兴业、客户满意。www.szchilink.com

一、工业级设计

1.采用高性能工业级32位处理器

采用全球顶级无线解决方案高通芯片,处理速度快,功耗小,发热量低,兼容性强,更加稳定,能满足一年365天7*24小时长时间稳定运行不掉线。

2.采用高性能工业级通信模块

采用华为等一线品牌高质量的通信模块,接收能力强,信号稳定,传输更快。

操作系统

采用OpenWRT一个高度模块化、高度自动化的嵌入式Linux系统,让设备更加稳定,拥有128Mb超大Flash、1G超大内存,可以支持个性化定制开发的需求。

优质的PCB线路板,采用工业级元器件

公司产品线路板采用高品质材质,高标准生产,4层板工艺,产品元器件采用性能稳定的工业级元器件,全部机器自动化实现贴片生产,保证了产品的稳定可靠。

电源采用宽电压设计

支持DC5V-36V,内置电源反相保护和过压过流保护,承受瞬间电压电流过高的冲击。

以太网采用千兆网口,内置电磁防护

以太网接口内置1.5KV电磁隔离保护,千兆网口,传输速度更快。

抗干扰能力强

外壳采用加厚金属外壳,屏蔽电磁干扰,设备防护等级IP34,适合在环境恶劣的工业环境下使用。

二、功能强大

1.多模多卡,负载均衡

扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

支持全球网络制式

支持国内三大运营商2G、3G、4G网络制式,或者支持欧洲,或者支持东南亚,或者支持非洲,或者支持拉美等国家的2G、3G、4G网络制式。

支持有线无线备份

WAN口和LAN口可弹性切换,支持WAN口有线和无线备份,有线优先、无线备份。

串口传输

支持同时串口232/485串口传输。

支持APN/VPDN专网卡,支持多种VPN

支持APN/VPDN专网卡使用,同时支持PPTP、L2TP、Ipsec、OpenVPN、GRE等多种VPN。

强大的 WIFI功能

具备WIFI功能,可隐藏SSID,同时支持3路WiFi,最多可支持15个信道,可同时接入50个设备,WIFI支持802.11b/g/n,支持WIFI AP、AP Client,中继器,中继桥接和WDS等多种工作模式,支持802.11ac,即5.8g(可选)。

支持IP穿透功能

可实现主机IP为路由器获取的IP地址,相当于主机直接插卡拨号上网获取基站IP。

支持VLAN虚拟局域网划分

通过VLAN的划分,增强局域网的安全性,VLAN技术,能将不同地点、不同网络、不同用户组合在一起,形成一个虚拟的网络环境。

支持QOS,带宽限速

支持不同网口带宽限速,IP限速,总带宽限速。

支持DHCP,DDNS,防火墙,NAT,以及DMZ主机等功能

支持ICMP,TCP,UDP,Telnet,FTP,HTTP,HTTPS等网络协议

支持定时重启、手机短信控制上下线

可选支持portal广告,短信认证,微信认证,GPS/北斗定位功能(可选)

支持M2M云平台管理,手机监控和WEB监控

设备数据监控、流量限制功能、资源推送、统计报表、远程设备管理(远程重启,WiFi开关),远程参数修改,流量限制,gps定位追踪轨迹。

三、稳定可靠

1.支持硬件WDT看门狗,提供防掉线机制,确保数据终端永远在线。

2.支持ICMP检测,流量检测,及时发现网络异常自动重启设备,保证系统长期使用稳定可靠。

3.工业级设计,金属外壳,抗干扰、防辐射,湿度95%无凝结,耐高温耐低温,零下30度至高温75度也可以正常工作。

4.产品通过CCC认证,欧洲CE认证等多种认证

操作简单,方便易用

1.上网简单,推杆式用户卡接口,插入手机卡/物联网卡/专网卡,上电后即可联网使用网口和WIFI。

2.支持软硬件恢复出厂设置,可软件清除参数,可硬件RST一键恢复出厂设置。

3.产品快速使用说明书,WEB菜单式页面,可以快速设置使用设备。

4.诊断工具:日志下载查看,远程日志记录,ping检测,路由追踪,方便检测设备信息。