H3CSE完全笔记-构建安全优化的广域网

* ip 基于hop-by-hop 转发模式，ATM 不是，但它因控制复杂，成本高昂，难以普及（只有金桥和已倒闭的北电能够熟练掌握其技
术），而MPLS 介于两者之间。

IP 转发采用最长匹配，需多次查表，算法效率不高。

ATM 转发采用唯一匹配，一次查表，效率很高。

* MPLS 标签（label）长度为32 位，具有局部意义的标识，放在链路层封装头和网络层封装头之间，用此标签封装网络层分组，
可以承载在各种链路层协议上。

* MPLS 组成：【20 比特label】--【3 比特EXP】--【1 比特S】--【8 比特TTL】
MPLS 标签分为4 个区域：
1、Label ：标签值，长度20b，是标签转发表的关键索引；
2、EXP：用于QoS，长度3b，作用与Ethernet 802.1p 值相似；
3、S：栈底标识,长度1b,果有多个Label 时，在栈底的Label 的S 位置为"1"，其他为"0"，只有一个Label 时S 位置为"1";
4、TTL：存活时间，长度8b，与IP 报文的TTL 值相似，这个值从IP 报文头的TTL 域拷贝过来，每进行一次Label 交换时，
外层Label 的TTL 值就减“1”。

* MPLS 网络组成：非MPLS 网络-----【MPLS 网络：LER—LSR—LER】-----非MPLS 网络。

MPLS 网络和非MPLS 网络兼容性很好。

LER：标签边界路由器；LSR：标签交换路由器。

“【---】”这条路径称做LSP：标签交换路径。

* FEC 转发等价类：通俗说，不管什么流都做等价转发处理，在转发过程中以等价的方式处理的一组数据分组，可以通过地址、隧
道、COS 等来标识创建FEC。

* MPLS 可实现多层嵌套：如，【数据链路层】【MPLS 标签1】【MPLS 标签2】【MPLS 标签…】【网络层】* MPLS 标签识别：
以太网帧结构：【D-MAC】【S-MAC】【TYPE】【DATE】----------------【CRC】
普通IP 包：【D-MAC】【S-MAC】【0800】-----------【IP Packet】【CRC】
MPLS 包：【D-MAC】【S-MAC】【8847】【MPLS 标签】【IP Packet】【CRC】
* 能够分配MPLS 标签的协议：1、LDP 标签分配协议（公有），取代之有TDP 标记分发协议（cisco 私有）；
2、RSVP 资源预留协议；
3、MP-BGP 多协议BGP。

* 在LDP 协议中，存在4 种类型的LDP 消息：
1、发现消息（Discovery messages）：用于LDP 邻居的发现和维持。

（使用UDP646 端口，使用组播地址224.0.0.2）
2、会话消息（Session messages）：用于LDP 邻居会话的建立、维持和中止。

（有地址大的一方发起TCP 链接）
3、通告消息（Advertisement messages）：用于LDP 实体向LDP 邻居宣告Label、地址等信息。

4、通知消息（Notification messages）：用于向LDP 邻居通知事件或者错误。

* 上游与下游：流量发起的一方为上游，接收的一方为下游，而label 分配方向与流量方向相反，即由下游分配到上游。

* 标签分配过程：LDP session 建立完成后，路由器根据路由表进行标签分配，形成MPLS 标签转发表。

标签转发表主要包含入标
签（IN）、出标签（OUT）和出接口，路由器可以根据标签转发表转发MPLS 报文。

标签是设备随机自动生成的，16 以下为系统保留。

* 标签分配过程中，IN 标签在华三定义中是自己分配的标签，分配给上游使用；OUT 标签是别人分配的标
签。

（与一些厂商相反）
* 标签分配和管理：
1、标签分配模式；
a.DOD（downstream-on-demand，下游按需标记分配）：只有当上游向下游请求流量时，下游才向上游分配lable。

b.DU（downstream unsolicited，下游自主标记分配）：不管上游请不请求，下游都分配lable。

（现在主流）
2、标签控制模式；
a.有序方式（Ordered）：上游设备只有收到它的下游返回的标签映射消息后才向其更上游发送标签映射消息。

b.独立方式（Independent）：不管有没有收到其下游返回的标签映射消息，都向上游发送标签映射消息。

（现在主流）
3、标签保持方式；
a.保守模式（Conservative）：只保留来自下一跳邻居的标签，丢弃所有非下一跳邻居发来的标签。

优点:节省内存和标
签空间；缺点:当IP 路由收敛、下一跳改变时LSP 收敛慢。

（如，最优路径突然down 掉）
b.自由模式（Liberal）：保留来自邻居的所有标签。

优点：当IP 路由收敛、下一跳改变时减少了LSP 收敛时间。

缺点：
需要更多的内存和标签空间。

（现在主流）
* MPLS 转发实现：
1、标签PUSH：非MPLS 网络IP 报文进入MPLS 网络，LER 进行标签压入（PUSH 操作）。

2、标签SWAP：报文在MPLS 网络中间进行转发时,在LSR 上进行标签交换（SWAP）。

设备只需查询标签转发表即可完成转发。

3、标签POP：标签从MPLS 网络进入非MPLS 网络，LER 进行标签弹出（POP 操作）。

* 随着硬件技术的进步，采用ASIC 和NP 进行转发的高速路由器和三层交换机得到广泛应用，使得IP 转发性能大为提高，可以满
足网络数据转发性能需求。

MPLS 技术（软件）在提高转发性能应用上未能发挥优势。

* MPLS 支持多层标签嵌套和面向连接的特点，使得其在VPN（MPLS-VPN）、流量工程TE（MPLS-TE）、QoS、CCC 等方面得到广泛应用。

* 传统企业网面临的问题::
1、直接通过Internet 或运营商骨干网络连接分支机构的缺点：网络层协议必须统一、必须使用统一的路由策略、必须使
用同一公网地址空间。

2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机构的缺点：布署成本高、变更不灵活、移动用户远
程拨号接入费用高。

* VPN 的优势：1、可以快速构建网络，降低布署周期；2、与私有网络一样提供安全性，可靠性和可管理性；3、可利用Internet，
无处不连通，处处可接入；4、简化用户侧的配置和维护工作；5、提高基础资源利用率；6、于客户可节约使用开销；7、于运营商
可以有效利用基础设施，提供大量、多种业务。

* VPN 是由若干Site 组成的集合。

Site 可以同时属于不同的VPN，但是必
须遵循如下规则：两个Site 只有同时属于一个VPN 定义的Site 集合，才
具有IP 连通性。

按照VPN 的定义，一个VPN 中的所有Site 都属于一个企
业，称为Intranet；如果VPN 中的Site 分属不同的企业，则称为Extranet。

* VPN 接入：VPN 用户--PSTN/ISDN--NAS 服务器--【internet】--VPN Server
* 隧道可以通过隧道协议来实现。

根据是在OSI 模型的第二层还是第三
层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。

* 一般地，第二层隧道协议和第三层隧道协议都是独立使用的，如果合理
地将这两层协议结合起来使用，将可能为用户提供更好的安全性（如将
L2TP 和IPSec 协议配合使用）和更佳的性能。

* 传统企业网面临的问题::
1、直接通过Internet 或运营商骨干网络连接分支机构的缺点：网络层协
议必须统一、必须使用统一的路由策略、必须使用同一公网地址空间。

2、企业直接通过专线、电路交换或分组交换的广域网技术连接其分支机
构的缺点：布署成本高、变更不灵活、移动用户远程拨号接入费用高。

* 第二层隧道协议：第二层隧道协议是将整个PPP 帧封装在内部隧道中。

1、PPTP（Point-to-Point Tunneling Protocol）：点到点隧道协议，由微软、Ascend 和3COM 等公司支持，在Windows NT
4.0 以上版本中支持。

该协议支持点到点PPP 协议在IP 网络上的隧道封装，PPTP 作为一个呼叫控制和管理协议，使用一种增强
的GRE（Generic Routing Encapsulation，通用路由封装）技术为传输的PPP 报文提供流控和拥塞控制的封装服务。

2、L2F（Layer 2 Forwarding）协议：二层转发协议，由北方电信等公司支持。

L2F 协议支持对更高级协议链路层的隧道
封装，实现了拨号服务器和拨号协议连接在物理位置上的分离。

3、L2TP（Layer 2 Tunneling Protocol）：二层隧道协议，由IETF 起草，微软等公司参与，结合了上述两个协议的优点，
为众多公司所接受，并且已经成为标准RFC。

L2TP 既可用于实现拨号VPN 业务，也可用于实现专线VPN 业务。

* 第三层隧道协议：第三层隧道协议的起点与终点均在ISP 内，PPP 会话终止在NAS 处，隧道内只携带第三层报文。

1、GRE（Generic Routing Encapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层
协议上的封装。

2、IPSec（IP Security）协议：IPSec 协议不是一个单独的协议，它给出了IP 网络上数据安全的一整套体系结构，包括
AH（Authentication Header）、ESP（Encapsulating Security Payload）、IKE（Internet Key Exchange）等协议。

GRE 和IPSec
主要用于实现专线VPN 业务。

* 【协议B：协议B 数据包】--RTA--【VPN 网络,协议A：？-封装包-数据】--RTB--【协议B：协议B 数据包】
封装包格式：【协议A 头：承载协议】【封装协议头：封装协议】【协议B 头：载荷协议】【载荷数据】* VPN 的分类：
（1）按运营模式划分：
1.CPE-based VPN（Customer Premises Equipment based VPN）：用户不但要安装价格昂贵的设备及专门认证工具，还要负责繁杂
的VPN 维护（如通道维护、带宽管理等）。

这种方式组网复杂度高、业务扩展能力弱。

work-based VPN（NBIP-VPN）：将VPN 的维护等外包给ISP 实施（也允许用户在一定程度上进行业务管理和控制），并且将
其功能特性集中在网络侧设备处实现，这样可以降低用户投资、增加业务灵活性和扩展性，同时也可为运营商带来新的收入。

（2）按业务用途划分：
1.Intranet VPN（企业内部虚拟专网）：Intranet VPN 通过公用网络进行企业内部各个分布点互联，是传统的专线网或其它企业网
的扩展或替代形式。

2.Access VPN（远程访问虚拟专网）：Access VPN 向出差流动员工、远程办公人员和远程小办公室提供了通过公用网络与企业的
Intranet 和Extranet 建立私有的网络连接。

Access VPN 的结构有两种类型，一种是用户发起
（Client-initiated）的VPN 连
接，另一种是接入服务器发起（NAS-initiated）的VPN 连接。

3.Extranet VPN（扩展的企业内部虚拟专网）：Extranet VPN 是指利用VPN 将企业网延伸至供应商、合作伙伴与客户处，使不同
企业间通过公网来构筑VPN。

（3）按组网模型划分：
1.虚拟专用拨号网络（VPDN）：VPDN（Virtual Private Dial Network）是指利用公共网络（如ISDN 和PSTN）的拨号功能及接入
网来实现虚拟专用网，从而为企业、小型ISP、移动办公人员提供接入服务。

2.虚拟租用线（VLL）：VLL（Virtual Leased Line）是对传统租用线业务的仿真，通过使用IP 网络对租用线进行模拟，提供非对
称、低成本的“DDN”业务。

从虚拟租用线两端的用户来看，该虚拟租用线近似于过去的租用线。

3.虚拟专用LAN 网段（VPLS）业务：VPLS（Virtual Private LAN Segment）借助IP 公共网络实现LAN 之间通过虚拟专用网段互
连，是局域网在IP 公共网络上的延伸。

4.虚拟专用路由网（VPRN）业务：VPRN（Virtual Private Routing Network）借助IP 公共网络实现总部、分支机构和远端办公室
之间通过网络管理虚拟路由器进行互连，业务实现包括两类：一种是使用传统VPN 协议（如IPSec、GRE 等）实现的VPRN，另
外一种是MPLS 方式的VPRN。

（4）按网络层次划分：
1 L2VPN：包括Martini 方式的MPLS L2VPN、Kompella 方式的MPLS L2VPN、SVC 方式的MPLS L2VPN、VPLS 以及静态CCC 配置。

2. L3VPN：包括BGP/MPLS VPN、IPSec VPN、GRE VPN、DVPN 等。

* 主要VPN 技术:
1、主要的L2 VPN 技术：L2TP、PPTP、MPLS L2 VPN；
2、主要的L3 VPN 技术GRE、IPSec、BGP/MPLS VPN。

* GRE（Generic Routing Encapsulation，通用路由封装）协议是对某些网络层协议的数据报进行封装，使这些被封装的数据报能
够在另一个网络层协议中传输。

GRE 是VPN 的第三层隧道协议，在协议层之间采用了一种被称之为Tunnel （隧道）的技术。

* GRE 封装包格式：【链路层头】【协议A 头：承载协议】【GRE 头：封装协议】【协议B 头：载荷协议】【载荷数据】
* IP 用协议号47 标识GRE；GRE 使用以太类型0x0800 标识载荷协议为IP。

* GRE 隧道处理流程：1 隧道起点路由查找-->2 加封装-->3 承载协议路由转发-->4 中途转发-->5 解封装-->6 隧道终点路由查找。

1、隧道起点路由查找：源主机发出数据包，路由器检查包时，查找路由表，该路由条目转发接口显示为Tunnel_N。

2、加封装：包格式，【公共IP 头：[S-IP][D-IP][ ]】【GRE 头】【私网IP 包】
3、承载协议路由转发：封装好后，进行常规承载协议路由转发,继续查路由表,路由条目显示转发端口为实体接口,如：S1/0。

4、中途转发：按常规承载协议进行在VPN 网络中路由。

5、解封装：包到达目的路由器后，剥离公共IP 头和GRE 头。

6、隧道终点路由查找：解封装后，数据包按照载荷协议进行私网路由到达目标主机。

* GRE VPN 的特点：
1、优点：可以用当前最为普遍的IP 网络作为承载网络、支持多种协议、支持路由协议和IP 组播、配置简单，容易布署。

2、缺点：点对点隧道、静态配置隧道参数、布署复杂连接关系时代价巨大、缺乏安全性、不能分隔地址空间。

* Tunnel 接口虚假状态与静态路由：
1、中间链路故障时接，Tunnel 口仍然UP；
2、由于使用静态路由，备份隧道始终空闲，数据包被丢弃。

所以使用“Tunnel 接口Keepalive 报文”：Tunnel 边沿两路由器互发该报文，若RTA 收不到RTB 的该报文时，Tunnel0 接口down。

* （1）GRE VPN 基本配置：
1、创建虚拟Tunnel 接口，并进入其接口视图：[Router]interface tunnel interface-number
2、指定Tunnel 的源端：[Router-Tunnel0]source {ip-address|interface-type interface-number}
3、指定Tunnel 的目的端：[Router Tunnel0]destination ip-address
4、设置Tunnel 接口的IP 地址：[Router Tunnel0]ip address ip-address {mask|mask-length} （2）GRE VPN 高级配置：
1、设置Tunnel 接口报文的封装模式为GRE：[Router-Tunnel0]tunnel-protocol gre
2、设置Tunnel 两端进行端到端校验：[Router-Tunnel0]gre checksum
3、设置Tunnel 接口的识别关键字：[Router-Tunnel0]gre key key-number
4、配置Tunnel 的Keepalive 功能：[Router-Tunnel0]keepalive [seconds[times]]
（3）GRE VPN 调试命令：
1、调试GRE：<Router>debugging gre {all|error|packet}
2、Tunnel 调试：<Router>debugging tunnel {all|error|event|packet}
* GRE VPN 配置示例一：
GRE VPN 配置示例二：
* VPDN 隧道协议可分为PPTP、L2F 和L2TP 三种，目前使用最广泛的是L2TP。

* 传统拨号接入模式:1、拨号接入方式常用PSTN/ISDN 等直接拨叫NAS；2、长途拨号费用高，NAS 设备需要大量拨号接口。

* VPN 用户通过PSTN/ISDN 网拨入ISP 的NAS（Network Access Server）网络访问服务器，NAS 服务器通过用户名或接入号码识
别出该用户为VPN 用户后，就和用户的目的VPN 服务器建立一条连接，称为隧道（Tunnel），然后将用户数包封装成IP 报文后通
过该隧道传送给VPN 服务器，VPN 服务器收到数据包并拆封后就可以读到真正有意义的报文了。

反向的处
理也一样。

* PPP 协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，这时，用户与NAS 之间运行PPP 协议，二层
链路端点与PPP 会话点驻留在相同硬件设备上。

L2TP 协议提供了对PPP 链路层数据包的通道（Tunnel）传输支持，允许二层链路端点和PPP 会话点驻留在不同设备上，并且
采用包交换网络技术进行信息交互，从而扩展了PPP 模型。

* 应用L2TP 构建的VPDN 服务：远程主机A------【PSTN/ISDN】LAC【internet：L2TP 通道】LNS ------【私网】
LAC：表示L2TP 访问集中器（L2TP Access Concentrator），是附属在交换网络上的具有PPP 端系统和L2TP 协议处理能力
的设备。

LAC 一般是一个网络接入服务器NAS，主要用于通过PSTN/ISDN 网络为用户提供接入服务。

LNS：表示L2TP 网络服务器（L2TP Network Server），是PPP 端系统上用于处理L2TP 协议服务器端部分的设备。

* LAC 位于LNS 和远端系统（远地用户和远地分支机构）之间，用于在LNS 和远端系统之间传递信息包，把从远端系统收到的信息
包按照L2TP 协议进行封装并送往LNS，将从LNS 收到的信息包进行解封装并送往远端系统。

LAC 与远端系统之间可以采用本地连接
或PPP 链路，VPDN 应用中通常为PPP 链路。

* L2TP 介绍：1、隧道传送PPP；2、验证和动态地址分配；3、点对网络特性。

* 隧道和会话的概念：在一个LNS 和LAC 对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，它定义了一个LNS 和LAC 对；
另一种是会话（Session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP 会话过程。

在同一对LAC 和LNS
之间可以建立多个L2TP 隧道，隧道由一个控制连接和一个或多个会话（Session）组成。

会话连接必须在隧道建立（包括身份保护、
L2TP 版本、帧类型、硬件传输类型等信息的交换）成功之后进行，每个会话连接对应于LAC 和LNS 之间的一个PPP 数据流。

控制
消息和PPP 数据报文都在隧道上传输。

L2TP 使用Hello 报文来检测隧道的连通性。

LAC 和LNS 定时向对端发送Hello 报文，若在一段时间内未收到Hello 报文的应答，
该隧道将会被拆除。

* 通常L2TP 数据以UDP 报文的形式发送。

L2TP 注册了UDP 1701 端口，但是这个端口仅用于初始的隧道建立过程中。

L2TP 隧道
发起方任选一个空闲的端口（未必是1701）向接收方的1701 端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是
1701），给发送方的指定端口回送报文。

至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。

* L2TP 控制消息和数据消息的概念：L2TP 中存在两种消息：控制消息和数据消息。

控制消息用于隧道和会话连接的建立、维护以
及传输控制；数据消息则用于封装PPP 帧并在隧道上传输。

控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞
控制；而数据消息的传输是不可靠传输，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。

控制消息和数据
消息共享相同的报文头。

L2TP 报文头中包含隧道标识符（TunnelID）和会话标识符（Session ID）信息，
用来标识不同的隧道和
会话。

隧道标识相同、会话标识不同的报文将被复用在一个隧道上，报文头中的隧道标识符与会话标识符由对端分配。

* L2TP 会话：1、一个L2TP 隧道对应一个L2TP 控制连接；2、一个L2TP 会话对应一个L2TP 呼叫。

* 用户地址由LNS 分配；对远程拨号用户的验证与计费既可由LAC 侧的代理完成，也可在LNS 侧完成。

* 独立LAC 拓扑结构：主机A--【PSTN/ISDN】--LAC------【公网internet】------LNS--【私网】
| |
[LAC RADIUS Server] [LNS RADIUS Server]
L2TP 隧道的呼叫建立流程：
独立LAC 拓扑结构：1、ISP 提供LAC 设备；2、可由LAC 设备提供附加的用户控制和管理；3、不依赖IP 接入点。

* 客户LAC 拓扑结构： LAC 用户---【internet】---LNS---【私网】（LAC 用户：指可在本地支持L2TP 协议的用户）
1、需要直接的Internet 接入点；
2、不依赖额外的LAC 设备灵活性强；
3、企业可以依托Internet 直接构建VPN。

* L2TP 协议本身并不提供连接的安全性，但它可依赖于PPP 提供的认证（比如CHAP、PAP 等），因此具有PPP 所具有的所有安全
特性。

L2TP 可与IPSec 结合起来实现数据安全，这使得通过L2TP 所传输的数据更难被攻击。

* L2TP 封装包：【公网IP 头】【UDP 头】【L2TP 头】【PPP 头】【私网IP 包】
* L2TP 协议操作：
1、建立控制连接：
A、控制连接的建立由PPP 触发；
B、LAC 用任意UDP 端口向LNS 的UDP 端口1701 发起连接；
C、LNS 将1701 端口重定位为任意端口。

2、建立会话：
A、会话的建立以控制连接的建立为前提；
B、会话与呼叫有一一对应关系；
C、同一个隧道中可以建立多个会话。

3、转发PPP 帧：
A、会话建立后，即可转发PPP 帧；
B、用Tunnel ID 和Session ID 区分不同隧道和不同会话的数据。

4、Keepalive：
A、LAC 和LNS 用Hello 控制消息维护隧道的状态。

5、关闭会话：
6、关闭控制连接：
L2TP 控制消息类型：附:ZLB（Zero-Length Bod）
1 SCCRQ（Start-Control-Connection-Request）：开始控制连接请求；
2 SCCRP（Start-Control-Connection-Reply）：开始控制连接答复；
3 SCCCN（Start-Control-Connection-Connected）：开始控制连接已连接；
4 StopCCN（Stop-Control-Connection-Notification）：停止控制链接通知；
6 HELLO（Hello）：欢迎消息；
7 OCRQ（Outgoing-Call-Request）：输出呼叫请求；
8 OCRP（Outgoing-Call-Reply）：输出呼叫答复；
9 OCCN（Outgoing-Call-Connected）：输出呼叫被连接；
10 ICRQ（Incoming-Call-Request）：进入呼叫请求；
11 ICRP（Incoming-Call-Reply）：进入呼叫答复；
12 ICCN（Incoming-Call-Connected）：进入呼叫已连接
14 CDN（Call-Disconnect-Notify）：呼叫断开通知；
15 WEN（WAN-Error-Notify）：广域网错误通知；
16 SLI（Set-Link-Info）：设置连接信息。

* 典型的独立L2TP 模式工作过程：典型的客户LAC 模式工作过程：
*独立LAC 模式配置任务：
1、配置L2TP 基本功能
a、启用L2TP： [Router]l2tp enable
b、创建L2TP 组，并进入L2TP 组视图：[Router]l2tp-group group-number
c、配置隧道本端名称：[Router-l2tp1]tunnel name name
2、LAC 侧
a、设置LAC 发起L2TP 连接请求：
[Router-l2tp1]start l2tp ip ip-address&<1-5> {domain domain-name|fullusername user-name}
b、设置LAC 对VPN 用户验证：可以使用本地验证或远程验证
3、LNS 侧
a、配置虚接口模板，进入虚模板接口视图：[Router]interface virtual-template
virtual-template-number
b、配置虚模板接口的IP 地址：[Router-Virtual-Template1]ip address ip-address
{mask|mask-length}[sub]
c、设置本端地址及分配的地址池：[Router-Virtual-Template1]remote address { pool
[pool-number]|ip-address}
d、配置PPP 验证：
[Router-Virtual-Template1]ppp authentication-mode {chap|pap}[[call-in]|domain isp-name]
e、配置LNS 接收L2TP 连接请求：
L2TP 组不为1 时：
[Router-l2tp2]allow l2tp virtual-template virtual-template-number remote remote-name [domain domain-name]
L2TP 组为1 时：
[Router-l2tp1]allow l2tp virtual-template virtual-template-number [remote remote-name] [domain domain-name]
f、配置LNS 对VPN 用户验证：
4、LAC 和LNS 高级配置命令：
a、启用隧道验证：[Router-l2tp1]tunnel authentication
b、配置隧道验证密码：[Router-l2tp1]tunnel password {simple|cipher} password
c、设置隧道Hello 消息发送时间间隔：[Router-l2tp1]tunnel timer hello hello-interval
d、强制挂断隧道：<Router>reset l2tp tunnel {id tunnel-id|name remote-name}
5、LNS 高级配置命令：
a、配置强制CHAP 验证：[Router-l2tp1]mandatory-chap
b、配置强制LCP 重新协商：[Router-l2tp1]mandatory-lcp
* 独立LAC 模式L2TP 配置示例：
* iNode 客户端介绍：H3C 开发的成熟而专业化的安全客户端软件、支持802.1X、Portal 等方式的验证和接入、支持L2TP VPN、
强大的安全性：a、支持IPSec/IKE 和NAT 穿越；b、支持RSA 动态口令验证和SecKey。

*客户LAC 模式配置任务：
1、配置LNS：配置命令与独立LAC 模式相同；
2、配置远程系统的公网连接：以任意方式获得公网接入，与LNS 建立连通性；
3、配置iNode 客户端：1、安装iNode 客户端；2、创建VPN 连接；3、配置用户名和密码；
4、VPN 连接基本设置；
5、VPN
连接高级属性。

*
* L2TP 调试命令：<Router>debugging l2tp
{all|control|dump|error|event|hidden|payload|time-stamp}
all：表示打开所有L2TP 调试信息开关。

control：表示打开控制报文调试信息开关。

dump：表示打开PPP 报文调试信息开关。

error：表示打开差错信息的调试信息开关。

event：表示打开事件调试信息开关。

hidden：表示打开隐藏AVP 的调试开始信息开关。

payload：表示打开L2TP 数据报文调试信息开关。

time-stamp：表示打开显示时间戳的调试信息开关。

* 用户和密钥都储存在LNS 中。

LAS 和LNS 直间必须先建立控制连接，再建立隧道，最后建立会话。

* 远程连接需求分类：1、连通性需求：时间、地点、带宽、可靠性、费用。

2、安全性需求：确认身份，隐藏内部，防止窃听和伪
造。

3、优化性需求：为适当的应用提供适当的服务。

* 安全性需求：1、广域传输安全性：避免保密信息的泄露和被篡改。

2、节点/站点安全性：隐藏组织的内部网络结构。

3、接入安全性：判断接入者的身份、授予适当的权限。

4、防御病毒和攻击：端到端安全管理、及时修补漏洞。

* 典型企业网的应用及其优化需求： 1、各种信息类型对网络的要求区别显著。

2、网络必须能够区分用户及其报文类型，为其提供不同的服务。

这要求网络实现QoS。

3、QoS 是一种对不同的用户、应用类型、数据流提供有差别服务，并可进而保证其获得的网络资源，提供其所需性能的机制。

* 企业网的宽带接入技术需求：除了传统的专线连接，企业网中的部分用户在接入企业网络时也会考虑使用高速、灵活、便宜的宽
带接入技术先接入Internet，然后通过安全VPN 的方式来访问企业网络资源。

* 什么是接入网？
* 什么是“宽带”？：接入网接入终端用户的数据传输速率达到多高才能被称为“宽带”？（在
业界并没有统一并被多数人接受的定义。

根据ITU-T 的定义，目前主流的宽带接入技术的速率需
要高于ISDN 主速率接口PRI 的传输速率（1.5M～2M））
* 宽带接入模型和基本概念：宽带接入技术通常应用在“最后一公里接入”（First Mile Access），
即从CPN（Customer Premises Network 用户驻地网）（CPE）到CO 这一段线路的接入。

* 宽带接入的传输介质和技术：
* 主要的光纤接入模式：FTTH（Fiber To The Home 光纤到户）、FTTB（Fiber To The Building 光纤到大楼）、
FTTC（Fiber To The Curb 光纤到路边）
* 主要的宽带接入技术：
* 以太网接入：
* 大型园区接入的典型应用：（AN 下行通过VLAN 实现不同用户二层隔离；AN 上行通过路由协议实现路由转发）
* 以太网接入用户的认证——PPPoE：1、PPPoE 协议采用Client/Server 方式，它将PPP 报文封装在以太
网帧之内，在以太网上提
供点对点的连接。

2、PPPoE 有两个阶段：Discovery 阶段和PPP Session 阶段。

PPPoE 利用以太网将大量主机组成网络，通过一个远端接入设备连入因特网，并对接入的每个主机实现控制、计费功能，极高
的性能价格比使PPPoE 在包括小区组网建设等一系列应用中被广泛采用。

* PPPoE 有两个阶段：Discovery 阶段和PPP Session 阶段：
1、Discovery 阶段：当一个主机想开始PPPoE 进程的时候，它必须先识别接入端的以太网MAC 地址，建立PPPoE 的SESSION ID。

这就是Discovery 阶段的目的。

2、当PPPoE 进入Session 阶段后，PPP 报文就可以作为PPPoE 帧的净荷封装在以太网帧发到对端，SESSION ID 必须是Discovery
阶段确定的ID，MAC 地址必须是对端的MAC 地址，PPP 报文从Protocol ID 开始。

在Session 阶段，主机或服务器任何一方
都可发PADT（PPPoE Active Discovery Terminate）报文通知对方结束本Session。

* H3C AR 系列路由器提供了PPPoE Server 的功能。

PPPoE 在ADSL 宽带接入中被广泛使用。

通常,一台主机如果要通过ADSL 接入
Internet，必须在主机上安装PPPoE 客户端拨号软件。

H3C AR 系列路由器实现了PPPoE Client 功能（即PPPoE 的客户端拨号功
能）,用户可以不用在PC 上安装PPPoE 客户端软件即可接入Internet,而且同一个局域网中的所有PC 可以共享一个ADSL 帐号。

* PPPoE 的帧结构：（PPPoE 的Payload(有效载荷)：0 或多个TAG）
* PPPoE Server 的配置命令：·创建虚拟接口模板并进入虚拟接口模板视图：[Router] interface virtual-template number
·配置虚拟模板参数：（验证方式、IP 地址获取方式）
·进入指定的以太网接口视图：[Router] interface interface-type interface-number
·在以太网接口上启用PPPoE 协议：[Router-Ethernet1/1] pppoe-server bind virtual-template number ·PPPoE Client 的配置：配置Dialer Rule：[Router] dialer-rule dialer-group {protocol-name {permit|deny}|acl acl-number}
·创建一个Dialer 接口：[Router] interface dialer number
·新建一个Dialer 用户：[Router-Dialer1] dialer user username
·配置接口IP 地址：[Router-Dialer1] ip address {address mask|ppp-negotiate}
·配置接口的Dialer Bundle：[Router-Dialer1] dialer bundle bundle-number
·配置接口的Dialer Group：[Router-Dialer1] dialer-group group-number
·在以太网接口视图下建立一个PPPoE 会话，并且指定该会话所对应的Dialer Bundle：
[Router-Ethernet1/1] pppoe-client
dial-bundle-number number [no-hostuniq] [idle-timeout seconds [queue-length packets]]
* （1）典型配置实例（Server 的配置）：
（2）典型配置实例（Client 的配置）：拓扑如上图
* 以太网接入的传输距离问题：以太网接入的传输距离和其使用物理介质有直接的关系：
名称速度介质类型传输距离（最大线缆长度）协议标准
100BASE-TX 100 Mbps 2 对5 类UTP 100m
100BASE-FX 100 Mbps 多模光纤2000m
100BASE-T4 100 Mbps 4 对3 类UTP 100m
802.3u。