L2TP网络技术原理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
L2TP网络技术原理
技术创新,变革未来
L2TP
概述 概念术语 协议封装 协议操作 L2TP多实例 配置和故障排除 小结
2
L2TP
Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配 无加密措施 点对网络特性
3
传统拨号接入
LAN
LAN
出差员工
PSTN/ISDN
分支机构
NAS 总部
RADIUS
4
使用L2TP构建VPDN
LAN LAN
出差员工
NAS
PSTN/ISDN
LAC
分支机构
LAC RADIUS
Router
LNS
总部
LNS RADIUS
5
L2TP功能组件 远程系统(Remote System) LAC(L2TP Access Concentrator) LNS(L2TP Network Server) NAS(Network Access Server)
[H3C] l2tp-group group-number 设置发起L2TP连接请求及LNS地址
[H3C-l2tp1]start l2tp { ip ip-address [ ip ipaddress … ] } { domain domain-name | fullusername user-name }
私有IP PPP
物理层
Client
私有IP PPP
L2TP UDP 物理层 公有IP 链路层 物理层
私有IP PPP L2TP UDP 链路层 公有IP 链路层 物理层 物理层
LAC
LNS
L2TP协议栈结构
私有IP 链路层 物理层
Server
LAC侧封装过程 IP包(私有IP) PPP L2TP UDP IP包(公有IP)
LNS侧解封装过程
14
L2TP协议操作
建立控制连接 建立会话 转发PPP帧 Keepalive 关闭会话 关闭控制连接
15
建立控制连接
LAC
LNS
SCCRQ SCCCN
SCCRP ZLB
控制——任意目标端口
16
建立会话
L2TP协议上加入多实例技术,让L2TP支持在一台设备将 不同的用户划分在不同的VPN,各个VPN之内的数据可以 互通,且在LNS两个不同VPN之间的数据不能互相访问, 即使L2TP接入是同一个设备。
23
L2TP基本配置任务
LAC侧
设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 设置发起L2TP连接请求及LNS地址
LNS侧
设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 创建虚接口模板 设置本端地址及分配的地址池 设置接收呼叫的虚接口模板、通道对端名称和域名
24
L2TP基本配置命令-LAC侧
LAC 侧的配置
设置用户名、密码及配置用户验证 启用L2TP
[H3C] l2tp enable 创建L2TP组
[H3C-Virtual-Template1] ip address X.X.X.X netmask [H3C-Virtual-Template1] remote address { pool pool-number } 设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1: [H3C-l2tp1] allow l2tp virtual-template virtualtemplate-number remote remote-name [ domain domain-name ] L2TP组为1: [H3C-l2tp1] allow l2tp virtual-template virtualtemplate-number [ remote remote-name ] [ domain domain-name ]
LNS CHAP Challenge 用户 CHAP Response
验证通过
22
L2TP多实例
10.1.1.* VPN 1 总部 Client
10.1.1.* VPN 2总部 Client
L2TP TUNNEL
Internet
LNS
10.1.2.*
VPN 1
HOST
VPN 2 10.1.2.* HOST
LNS Hello
L2TP用Hello控制消息维护隧道的状态
19
关闭会话
LAC CDN
LNS ZLB
20
关闭控制连接
LAC StopCCN
LNS ZLB
21
L2TP的验证过程
PSTN/ISDN
LAC
LNS
呼叫建立 PPP LCP 协商通过 LAC CHAP Challenge 用户 CHAP Response
LNS
12
L2TP头格式
01234567890123456789012345678901
TL
S OP
Ver
Tunnel ID
Ns (opt)
Offset Size (opt)
Length (opt) Session ID
Nr (opt) Offset pad... (opt)
13
L2TP协议栈和封装过程
隧道验证(可选) SCCRQ (LAC CHAP Challenge) SCCRP (LNS CHAP Response & LNS CHAP Challenge) SCCCN (LAC CHAP Response)
ICCN(用户 CHAP Response & PPP 已经协商好的参数)
可选的第二次验证
PSTN/ISDN
LAC
LAC RADIUS
隧道
LNS LNS RADIUS
9
LAN
LAN
会话
控制连接 呼叫
PSTN/ISDN
LAC
会话
LAC RADIUS
隧道 LNS
LNS RADIUS
10
L2TP拓扑结构(1)——独立LAC方式
PSTN/ISDN
LAC
LNS
LAN
11
LAN
L2TP拓扑结构(2)——客户LAC方式
6
L2TP术语 呼叫(Call) 隧道(Tunnel) 控制连接(Control Connection) 会话(Session) AVP(Attribute Value Pair)
7
呼叫
呼叫
PSTN/ISDN
LAC
LAC RADIUS
LNS
LNS RADIUS
8
LAN
隧道和控制连接
呼叫
控制连接
LAC
LNS
ICRQ ICCN
ICRP ZLB
会话的建立以控制连接的建立为前提 会话与呼叫有一一对应关系 同一个隧道中可以建立多个会话
17
转发PPP帧 会话建立后,即可转发PPP帧 Tunnel ID和Session ID用于区分不同隧
道和不同会话的数据
18
Keepalive
LAC Hello
25
L2TP 基本配置命令-LNS侧
LNS 侧的配置
设置用户名、密码及配置用户验证 启用L2TP
[H3C] l2tp enable 创建L2TP组
[H3C] l2tp-group group-number 创建虚接口模板
[H3C] interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池
技术创新,变革未来
L2TP
概述 概念术语 协议封装 协议操作 L2TP多实例 配置和故障排除 小结
2
L2TP
Layer Two Tunnel Protocol RFC 2661 隧道传送PPP 验证和动态地址分配 无加密措施 点对网络特性
3
传统拨号接入
LAN
LAN
出差员工
PSTN/ISDN
分支机构
NAS 总部
RADIUS
4
使用L2TP构建VPDN
LAN LAN
出差员工
NAS
PSTN/ISDN
LAC
分支机构
LAC RADIUS
Router
LNS
总部
LNS RADIUS
5
L2TP功能组件 远程系统(Remote System) LAC(L2TP Access Concentrator) LNS(L2TP Network Server) NAS(Network Access Server)
[H3C] l2tp-group group-number 设置发起L2TP连接请求及LNS地址
[H3C-l2tp1]start l2tp { ip ip-address [ ip ipaddress … ] } { domain domain-name | fullusername user-name }
私有IP PPP
物理层
Client
私有IP PPP
L2TP UDP 物理层 公有IP 链路层 物理层
私有IP PPP L2TP UDP 链路层 公有IP 链路层 物理层 物理层
LAC
LNS
L2TP协议栈结构
私有IP 链路层 物理层
Server
LAC侧封装过程 IP包(私有IP) PPP L2TP UDP IP包(公有IP)
LNS侧解封装过程
14
L2TP协议操作
建立控制连接 建立会话 转发PPP帧 Keepalive 关闭会话 关闭控制连接
15
建立控制连接
LAC
LNS
SCCRQ SCCCN
SCCRP ZLB
控制——任意目标端口
16
建立会话
L2TP协议上加入多实例技术,让L2TP支持在一台设备将 不同的用户划分在不同的VPN,各个VPN之内的数据可以 互通,且在LNS两个不同VPN之间的数据不能互相访问, 即使L2TP接入是同一个设备。
23
L2TP基本配置任务
LAC侧
设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 设置发起L2TP连接请求及LNS地址
LNS侧
设置用户名、密码及配置用户验证 启用L2TP 创建L2TP组 创建虚接口模板 设置本端地址及分配的地址池 设置接收呼叫的虚接口模板、通道对端名称和域名
24
L2TP基本配置命令-LAC侧
LAC 侧的配置
设置用户名、密码及配置用户验证 启用L2TP
[H3C] l2tp enable 创建L2TP组
[H3C-Virtual-Template1] ip address X.X.X.X netmask [H3C-Virtual-Template1] remote address { pool pool-number } 设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1: [H3C-l2tp1] allow l2tp virtual-template virtualtemplate-number remote remote-name [ domain domain-name ] L2TP组为1: [H3C-l2tp1] allow l2tp virtual-template virtualtemplate-number [ remote remote-name ] [ domain domain-name ]
LNS CHAP Challenge 用户 CHAP Response
验证通过
22
L2TP多实例
10.1.1.* VPN 1 总部 Client
10.1.1.* VPN 2总部 Client
L2TP TUNNEL
Internet
LNS
10.1.2.*
VPN 1
HOST
VPN 2 10.1.2.* HOST
LNS Hello
L2TP用Hello控制消息维护隧道的状态
19
关闭会话
LAC CDN
LNS ZLB
20
关闭控制连接
LAC StopCCN
LNS ZLB
21
L2TP的验证过程
PSTN/ISDN
LAC
LNS
呼叫建立 PPP LCP 协商通过 LAC CHAP Challenge 用户 CHAP Response
LNS
12
L2TP头格式
01234567890123456789012345678901
TL
S OP
Ver
Tunnel ID
Ns (opt)
Offset Size (opt)
Length (opt) Session ID
Nr (opt) Offset pad... (opt)
13
L2TP协议栈和封装过程
隧道验证(可选) SCCRQ (LAC CHAP Challenge) SCCRP (LNS CHAP Response & LNS CHAP Challenge) SCCCN (LAC CHAP Response)
ICCN(用户 CHAP Response & PPP 已经协商好的参数)
可选的第二次验证
PSTN/ISDN
LAC
LAC RADIUS
隧道
LNS LNS RADIUS
9
LAN
LAN
会话
控制连接 呼叫
PSTN/ISDN
LAC
会话
LAC RADIUS
隧道 LNS
LNS RADIUS
10
L2TP拓扑结构(1)——独立LAC方式
PSTN/ISDN
LAC
LNS
LAN
11
LAN
L2TP拓扑结构(2)——客户LAC方式
6
L2TP术语 呼叫(Call) 隧道(Tunnel) 控制连接(Control Connection) 会话(Session) AVP(Attribute Value Pair)
7
呼叫
呼叫
PSTN/ISDN
LAC
LAC RADIUS
LNS
LNS RADIUS
8
LAN
隧道和控制连接
呼叫
控制连接
LAC
LNS
ICRQ ICCN
ICRP ZLB
会话的建立以控制连接的建立为前提 会话与呼叫有一一对应关系 同一个隧道中可以建立多个会话
17
转发PPP帧 会话建立后,即可转发PPP帧 Tunnel ID和Session ID用于区分不同隧
道和不同会话的数据
18
Keepalive
LAC Hello
25
L2TP 基本配置命令-LNS侧
LNS 侧的配置
设置用户名、密码及配置用户验证 启用L2TP
[H3C] l2tp enable 创建L2TP组
[H3C] l2tp-group group-number 创建虚接口模板
[H3C] interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池