VPN系列之L2TP资料
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
0x02
0x03
0x04
0x06
reserved SCCRQ SCCRP
SCCCN
StopCCN HELLO
Start-Control-Connection-Request,双向消息,用于发起隧道连接建 立请求
Start-Control-Connection-Reply,双向消息,表示收到 SCCRQ,并且可以继续处理隧道连接建立过程
息,表示ICRQ已成功处理
0x0C 0x0E
ICCN
CDN
Incoming-Call-Connected,方向LAC->LNS,LAC响应LNS的ICRN消
息,表示ICRN已成功处理,会话已建立
Call-Disconnect-Notify,用于通知对端会话结束,双向消息
L2TP会话建立/释放
LAC
L2TP报文基本格式续
T:代表消息类型:1表示是控制消息,0表示是数据 L:代表头中的Length是否出现 x:保留,未使用 S:代表Sequence是否出现,即Nr和Ns是否出现 O:代表Offset是否出现,即offset size是否出现 P:置1代表该消息需要优先处理 Ver:版本号 Length代表消息的长度 Tunnel ID:控制连接的标识,注意一个隧道连接将有2个Tunnel ID,由双方各自分配,发送给对方消息时,使用
L2TP会话管理消息
Message Message name description
0x07 0x08
OCRQ OCRP
Outgoing-Call-Request,方向LNS->LAC,LNS侧发起外出呼叫时发送该消 息
Outgoing-Call-Reply,方向LAC->LNS,LAC对OCRQ的响应,表示LNS在 尝试外出呼叫处理
L2TP V2由RFC2661规范定义,L2TP V3由RFC3931定义
L2TP组网
在传统的ISDN/PSTN组网时,一般为此种方式,称为”LAC/NAS发起隧道链接“,隧道两端分别是 LAC和LNS
L2TP组网
当用户已经可以接入Internet时,可以采用此种隧道方式,称为“客户端发起的隧道” 和NAS发起隧道相比,隧道两端分别是用户终端和LNS,不需要LAC参与,实际上用户终端中内嵌了
Q.931 Cause Code (CDN) 12
Assigned Session ID (CDN, ICRP, 14 ICRQ, OCRP, OCRQ)
对端分配的session ID
15 Call Serial Number (ICRQ, OCRQ)
LAC/LNS分配的呼叫标识
16 Minimum BPS (OCRQ) 17 Maximum BPS (OCRQ)
L2TP协议过程
L2TP协议规定的操作过程: 隧道建立 会话建立 PPP帧转发:会话建立后,通过隧道承载PPP报文 保活:LAC和LNS不定期发送HELLO报文确定连接是否正常 会话释放 隧道释放
L2TP控制连接消息
Message Message name description
0x00 0x01
5
Tie Breaker (SCCRQ)
解决双方同时建立隧道发生冲突的问题
6
Firmware Revision (SCCRP, SCCRQ)
7
Host Name (SCCRP, SCCRQ)
对端的名字
L2TP AVP
8
Vendor Name (SCCRP, SCCRQ)
9
Assigned Tunnel ID (SCCRP, SCCRQ, StopCCN)
Initial Received LCP CONFREQ (ICCN)
26
初始收到的config req消息
25
POhCyRsiPc)al Channel ID (ICRQ,
espneccoidfiecspthhyesivceanl dcohrannel number used for a call
37 Private Group ID (ICCN)
标识该呼叫属于某个组
L2TP AVP
Proxy LCP and Authentication AVPs
指示本次呼叫可接受的最低线速率 指示本次呼叫可接受的最高线速率
L2TP AVP
18 Bearer Type (ICRQ, OCRQ)
呼叫的承载类型:数字or 模拟
19
FOrCaRmQin)g Type (ICCN, OCCN, 成帧类型,参考RFC1662
21 Called Number (ICRQ, OCRQ) 被叫标识
指示session或tunnel终止的原因
2
Protocol Version(SCCRP, SCCRQ)
பைடு நூலகம்
协RF议C版39本31,V3目前有2个,RFC2661 V2,
3
FSrCaCmRinQg)Capabilities(SCCRP,
成帧类型: 同步帧和异步帧,参考RFC1662
4
Bearer Capabilities (SCCRP, SCCRQ) 硬件接口类型:数字/模拟
LAC/L2TP客户端。
L2TP协议结构
L2TP隧道定义: 隧道在一对LAC和LNS间建立,LAC和LNS间可以建立多个隧道,每个隧道由一个控制连接和0个或多个L2TP会
话连接(数据连接)组成 隧道承载封装的PPP报文和LAC-LNS间的控制消息
一个隧道有且只有一个控制连接,其通过可靠的传输方式在LAC/LNS间交换控制消息,包括隧道的建立和拆除, 会话的建立和释放,隧道保活机制等,隧道的建立必须先于会话建立
Start-Control-Connection-Connected,双向消息,用于响应 SCCRP,表示隧道连接建立完毕
Stop-Control-Connection-Notification,双向消息,用于关闭隧道连
接
Hello,双向消息,保活交互消息
NA
ZLB
Zero-Length Body (ZLB) Message,长度为0的控制消息,用于显 示确认已收到对方的消息
LNS收到来自LAC的SCCRQ。根据其中的AVP,如果同意建立隧道,便发送SCCRP报文给 LAC。
LAC对接收到的SCCRP报文进行检查,从中取出隧道信息,并向LNS发送SCCCN报文,表示 控制连接建立成功。
当消息队列中没有消息发送时,使用ZLIB响应LAC。 上述交互过程包含了LAC和LNS间的双向认证,隧道认证支持CHAP(RFC1994)
对端分配的Tunnel ID
Receive Window Size (SCCRQ, 10 SCCRP)
接收滑窗大小
Challenge (SCCRP, SCCRQ) 11
表明发出消息方要认证对端(隧道认证)
Challenge Response (SCCCN, SCCRP)
13
响应challenge(隧道认证)
LNS
CALL detected CALL answer
ICRQ ICRP ICCN
ZLBACK CDN ZLBACK
LAC和LNS之间隧道建立后,LAC端设置相应AVP,向LNS端发出ICRQ报文,请求建立会话连 接。
LNS收到来自LAC的ICCRQ。根据其中的AVP,如果同意建立会话,便发送ICRP报文给LAC。
22 Calling Number (ICRQ)
主叫标识
23 Sub-Address (ICRQ, OCRQ) 辅助的拨号信息
24
(OTCx)CCNo)nnect Speed (ICCN,
transmit connect speed
38
ROxCCCNon)nect Speed (ICCN,
RfloxwCinognnfreocmt Sthpeeeredm:odteatsaystem to the LAC
H:代表Attribute Value是否加密
L2TP AVP
code name
description
0
Message Type(All Messages)
36 Random Vector(All Messages)
用于AVP加密
1
RCeosduelst(aCnDdNE,SrrtoorpCCN)
L2TP
L2TP协议组件: VPN用户:使用L2TP协议的用户终端 LAC:L2TP Access Concentrator,终结PPP L2处理,作为L2TP隧道的一端,
和LNS建立L2TP隧道,通过隧道将PPP会话在VPN用户和LNS间传输,一般 为ISP提供,也称为NAS(Network Access Server) LNS:L2TP Network Server,L2TP隧道的服务端,终结将隧道承载PPP会话, 在内部网络和隧道间转发数据,一般由企业提供,作为企业内部网的边缘设备
L2TP为VPDN广泛采用的隧道技术之一。
PPP定义了一种封装技术,在层2点到点的传输多种协议的数据包,用户终端 和PPP服务器端运行PPP,层2端点和PPP会话端点终结在相同的物理设备上 (AC/NAS);而L2TP提供了对PPP层2数据包的隧道支持,可以使得层2端点和 PPP会话端点终结在不同的物理设备上,即可以将PPP会话通过分组交换网络 (IP/ATM/FR)传输到其他设备,从而扩展了PPP模型。
会话连接(数据连接)在一个隧道上可以有0个或多个,用于承载PPP会话
L2TP报文基本格式
20字节 新IP头
8字节 UDP头
16字节 L2TP头
2字节 PPP头
20字节 原IP头
Data
L2TP over UDP报文格式
控制消息和数据消息报文头格式相同,通过T标志bit区分 对于控制消息,L2TP头后的载荷为AVP对,即TLV格式的属性对 对于数据消息,L2TP头后的载荷为PPP报文
L2TP AVP格式
控制报文的payload由一个或多个AVP组成,AVP格式如下:
M:控制对端对于不认识的AVP的处理行为,对端接收到M为1的AVP,如果不认识,则应终止 session或tunnel(取决于该AVP在隧道管理消息还是会话管理消息中);如果M为0,对端不认识 该AVP,则忽略之
0x09 0x0A
OCCN ICRQ
Outgoing-Call-Connected,方向LAC->LNS,LAC对OCRQ的最终响应,
表示外出呼叫处理成功
Incoming-Call-Request,方向LAC->LNS,LAC检测到用户接入时,向 LNS发起会话连接请求
0x0B
ICRN
Incoming-Call-Reply,方向LNS->LAC,LNS响应LAC的ICRQ的消
对方创建的Tunnel ID Session ID:会话连接标识,使用方式类似隧道连接的Tunnel ID Ns:发送序号 Nr:期待的发送序号,含义为小于Nr的所有发送消息都已收到,和Ns一起实现控制连接消息的可靠性传输 Offset size:代表消息的payload从L2TP头起始开始便宜多少个byte字节开始 对于控制类消息,消息的载荷由0个或多个AVP组成,AVP即TLV格式的属性对。
LAC对接收到的ICRP报文进行检查,并向LNS发送ICCN报文,表示会话连接建立成功。
当消息队列中没有消息发送时,使用ZLIB响应LAC。
此过程可以执行代理认证,所谓代理认证,即LAC将和用户终端通过PPP认证的上下文通过 AVP发送给LNS,LNS对用户进行二次认证,用户的第一次认证在LAC完成。
Layer Two Tunneling Protocol “L2TP”
Jade 2013/08
目录
概述 L2TP协议过程
L2TP
VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN和PSTN) 的拨号功能及接入网来实现虚拟专用网,为企业、小型ISP、移动办公人员提 供接入服务。企业驻外机构或出差人员,可以从远程经由公共网络,通过隧道 实现和总部网络的连接,访问公司内部的资源。
L2TP隧道建立/释放
LAC
SCCRQ/Challenge_1 SCCRP/Response_1/Challenge_2
LNS
可选的隧道认证伴随 隧道建立过程
SCCCN/Response_2
ZLB ACK StopCCN ZLB ACK
LAC和LNS之间路由相互可达后,LAC端设置相应AVP,向LNS端发出SCCRQ报文,请求建立 控制连接。
0x03
0x04
0x06
reserved SCCRQ SCCRP
SCCCN
StopCCN HELLO
Start-Control-Connection-Request,双向消息,用于发起隧道连接建 立请求
Start-Control-Connection-Reply,双向消息,表示收到 SCCRQ,并且可以继续处理隧道连接建立过程
息,表示ICRQ已成功处理
0x0C 0x0E
ICCN
CDN
Incoming-Call-Connected,方向LAC->LNS,LAC响应LNS的ICRN消
息,表示ICRN已成功处理,会话已建立
Call-Disconnect-Notify,用于通知对端会话结束,双向消息
L2TP会话建立/释放
LAC
L2TP报文基本格式续
T:代表消息类型:1表示是控制消息,0表示是数据 L:代表头中的Length是否出现 x:保留,未使用 S:代表Sequence是否出现,即Nr和Ns是否出现 O:代表Offset是否出现,即offset size是否出现 P:置1代表该消息需要优先处理 Ver:版本号 Length代表消息的长度 Tunnel ID:控制连接的标识,注意一个隧道连接将有2个Tunnel ID,由双方各自分配,发送给对方消息时,使用
L2TP会话管理消息
Message Message name description
0x07 0x08
OCRQ OCRP
Outgoing-Call-Request,方向LNS->LAC,LNS侧发起外出呼叫时发送该消 息
Outgoing-Call-Reply,方向LAC->LNS,LAC对OCRQ的响应,表示LNS在 尝试外出呼叫处理
L2TP V2由RFC2661规范定义,L2TP V3由RFC3931定义
L2TP组网
在传统的ISDN/PSTN组网时,一般为此种方式,称为”LAC/NAS发起隧道链接“,隧道两端分别是 LAC和LNS
L2TP组网
当用户已经可以接入Internet时,可以采用此种隧道方式,称为“客户端发起的隧道” 和NAS发起隧道相比,隧道两端分别是用户终端和LNS,不需要LAC参与,实际上用户终端中内嵌了
Q.931 Cause Code (CDN) 12
Assigned Session ID (CDN, ICRP, 14 ICRQ, OCRP, OCRQ)
对端分配的session ID
15 Call Serial Number (ICRQ, OCRQ)
LAC/LNS分配的呼叫标识
16 Minimum BPS (OCRQ) 17 Maximum BPS (OCRQ)
L2TP协议过程
L2TP协议规定的操作过程: 隧道建立 会话建立 PPP帧转发:会话建立后,通过隧道承载PPP报文 保活:LAC和LNS不定期发送HELLO报文确定连接是否正常 会话释放 隧道释放
L2TP控制连接消息
Message Message name description
0x00 0x01
5
Tie Breaker (SCCRQ)
解决双方同时建立隧道发生冲突的问题
6
Firmware Revision (SCCRP, SCCRQ)
7
Host Name (SCCRP, SCCRQ)
对端的名字
L2TP AVP
8
Vendor Name (SCCRP, SCCRQ)
9
Assigned Tunnel ID (SCCRP, SCCRQ, StopCCN)
Initial Received LCP CONFREQ (ICCN)
26
初始收到的config req消息
25
POhCyRsiPc)al Channel ID (ICRQ,
espneccoidfiecspthhyesivceanl dcohrannel number used for a call
37 Private Group ID (ICCN)
标识该呼叫属于某个组
L2TP AVP
Proxy LCP and Authentication AVPs
指示本次呼叫可接受的最低线速率 指示本次呼叫可接受的最高线速率
L2TP AVP
18 Bearer Type (ICRQ, OCRQ)
呼叫的承载类型:数字or 模拟
19
FOrCaRmQin)g Type (ICCN, OCCN, 成帧类型,参考RFC1662
21 Called Number (ICRQ, OCRQ) 被叫标识
指示session或tunnel终止的原因
2
Protocol Version(SCCRP, SCCRQ)
பைடு நூலகம்
协RF议C版39本31,V3目前有2个,RFC2661 V2,
3
FSrCaCmRinQg)Capabilities(SCCRP,
成帧类型: 同步帧和异步帧,参考RFC1662
4
Bearer Capabilities (SCCRP, SCCRQ) 硬件接口类型:数字/模拟
LAC/L2TP客户端。
L2TP协议结构
L2TP隧道定义: 隧道在一对LAC和LNS间建立,LAC和LNS间可以建立多个隧道,每个隧道由一个控制连接和0个或多个L2TP会
话连接(数据连接)组成 隧道承载封装的PPP报文和LAC-LNS间的控制消息
一个隧道有且只有一个控制连接,其通过可靠的传输方式在LAC/LNS间交换控制消息,包括隧道的建立和拆除, 会话的建立和释放,隧道保活机制等,隧道的建立必须先于会话建立
Start-Control-Connection-Connected,双向消息,用于响应 SCCRP,表示隧道连接建立完毕
Stop-Control-Connection-Notification,双向消息,用于关闭隧道连
接
Hello,双向消息,保活交互消息
NA
ZLB
Zero-Length Body (ZLB) Message,长度为0的控制消息,用于显 示确认已收到对方的消息
LNS收到来自LAC的SCCRQ。根据其中的AVP,如果同意建立隧道,便发送SCCRP报文给 LAC。
LAC对接收到的SCCRP报文进行检查,从中取出隧道信息,并向LNS发送SCCCN报文,表示 控制连接建立成功。
当消息队列中没有消息发送时,使用ZLIB响应LAC。 上述交互过程包含了LAC和LNS间的双向认证,隧道认证支持CHAP(RFC1994)
对端分配的Tunnel ID
Receive Window Size (SCCRQ, 10 SCCRP)
接收滑窗大小
Challenge (SCCRP, SCCRQ) 11
表明发出消息方要认证对端(隧道认证)
Challenge Response (SCCCN, SCCRP)
13
响应challenge(隧道认证)
LNS
CALL detected CALL answer
ICRQ ICRP ICCN
ZLBACK CDN ZLBACK
LAC和LNS之间隧道建立后,LAC端设置相应AVP,向LNS端发出ICRQ报文,请求建立会话连 接。
LNS收到来自LAC的ICCRQ。根据其中的AVP,如果同意建立会话,便发送ICRP报文给LAC。
22 Calling Number (ICRQ)
主叫标识
23 Sub-Address (ICRQ, OCRQ) 辅助的拨号信息
24
(OTCx)CCNo)nnect Speed (ICCN,
transmit connect speed
38
ROxCCCNon)nect Speed (ICCN,
RfloxwCinognnfreocmt Sthpeeeredm:odteatsaystem to the LAC
H:代表Attribute Value是否加密
L2TP AVP
code name
description
0
Message Type(All Messages)
36 Random Vector(All Messages)
用于AVP加密
1
RCeosduelst(aCnDdNE,SrrtoorpCCN)
L2TP
L2TP协议组件: VPN用户:使用L2TP协议的用户终端 LAC:L2TP Access Concentrator,终结PPP L2处理,作为L2TP隧道的一端,
和LNS建立L2TP隧道,通过隧道将PPP会话在VPN用户和LNS间传输,一般 为ISP提供,也称为NAS(Network Access Server) LNS:L2TP Network Server,L2TP隧道的服务端,终结将隧道承载PPP会话, 在内部网络和隧道间转发数据,一般由企业提供,作为企业内部网的边缘设备
L2TP为VPDN广泛采用的隧道技术之一。
PPP定义了一种封装技术,在层2点到点的传输多种协议的数据包,用户终端 和PPP服务器端运行PPP,层2端点和PPP会话端点终结在相同的物理设备上 (AC/NAS);而L2TP提供了对PPP层2数据包的隧道支持,可以使得层2端点和 PPP会话端点终结在不同的物理设备上,即可以将PPP会话通过分组交换网络 (IP/ATM/FR)传输到其他设备,从而扩展了PPP模型。
会话连接(数据连接)在一个隧道上可以有0个或多个,用于承载PPP会话
L2TP报文基本格式
20字节 新IP头
8字节 UDP头
16字节 L2TP头
2字节 PPP头
20字节 原IP头
Data
L2TP over UDP报文格式
控制消息和数据消息报文头格式相同,通过T标志bit区分 对于控制消息,L2TP头后的载荷为AVP对,即TLV格式的属性对 对于数据消息,L2TP头后的载荷为PPP报文
L2TP AVP格式
控制报文的payload由一个或多个AVP组成,AVP格式如下:
M:控制对端对于不认识的AVP的处理行为,对端接收到M为1的AVP,如果不认识,则应终止 session或tunnel(取决于该AVP在隧道管理消息还是会话管理消息中);如果M为0,对端不认识 该AVP,则忽略之
0x09 0x0A
OCCN ICRQ
Outgoing-Call-Connected,方向LAC->LNS,LAC对OCRQ的最终响应,
表示外出呼叫处理成功
Incoming-Call-Request,方向LAC->LNS,LAC检测到用户接入时,向 LNS发起会话连接请求
0x0B
ICRN
Incoming-Call-Reply,方向LNS->LAC,LNS响应LAC的ICRQ的消
对方创建的Tunnel ID Session ID:会话连接标识,使用方式类似隧道连接的Tunnel ID Ns:发送序号 Nr:期待的发送序号,含义为小于Nr的所有发送消息都已收到,和Ns一起实现控制连接消息的可靠性传输 Offset size:代表消息的payload从L2TP头起始开始便宜多少个byte字节开始 对于控制类消息,消息的载荷由0个或多个AVP组成,AVP即TLV格式的属性对。
LAC对接收到的ICRP报文进行检查,并向LNS发送ICCN报文,表示会话连接建立成功。
当消息队列中没有消息发送时,使用ZLIB响应LAC。
此过程可以执行代理认证,所谓代理认证,即LAC将和用户终端通过PPP认证的上下文通过 AVP发送给LNS,LNS对用户进行二次认证,用户的第一次认证在LAC完成。
Layer Two Tunneling Protocol “L2TP”
Jade 2013/08
目录
概述 L2TP协议过程
L2TP
VPDN(Virtual Private Dial Network)是指利用公共网络(如ISDN和PSTN) 的拨号功能及接入网来实现虚拟专用网,为企业、小型ISP、移动办公人员提 供接入服务。企业驻外机构或出差人员,可以从远程经由公共网络,通过隧道 实现和总部网络的连接,访问公司内部的资源。
L2TP隧道建立/释放
LAC
SCCRQ/Challenge_1 SCCRP/Response_1/Challenge_2
LNS
可选的隧道认证伴随 隧道建立过程
SCCCN/Response_2
ZLB ACK StopCCN ZLB ACK
LAC和LNS之间路由相互可达后,LAC端设置相应AVP,向LNS端发出SCCRQ报文,请求建立 控制连接。