VPDN技术培训ppt课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
LOGO
VPDN支撑培训
内容提要
L2TP,VPDN技术简介 VPDN业务介绍 故障处理流程 故障案列
L2TP
L2TP(Layer 2 Tunneing Protocol,二层 隧道协议)是VPDN隧道协议的一种。
提供对PPP链路层数据包的通道传输支持。 是IETF有关二层隧道协议的工业标准。
VPDN使用L2TP,PPTP,或者L2F等隧道协 议将远程拨号用户网络的二层或者更高层 部分通过穿越ISP网络延伸到用户私网。
用户基于用户名,域名,密码能够拨号到 LAC。
VPDN流程
RADIU S
5
6
12 11
USER
1 2 3 4
Icoming Call PPP LCP Negotiation
来自用户端的PPP帧被LAC接收,封装到 L2TP帧中再通过相应的隧道转发给LNS。 LNS接收L2TP帧,剥离L2TP封装,再处理进 入的PPP帧。
报文传递过程
报文依次封装,结果 是IP报文中有IP报文
IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer
于一个L2TP隧道之内。 PPP会话在被目标远程访问服务器终结前
可以穿越多个中间设备。网络架构对于 PPP会话的两端都是透明的。
USER
LAC,LNS
BAS/LA
C PPP
L2TP
BAS/LN
S
终结二层连接并作为L2TP隧道 的发起源
终结L2TP隧道和原始PPP会 话
通过L2TP连接的PPP会话
LAC
报文依次解封,实现 用户数据的透明传输
IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer
LNS
隧道和会话
在一个LNS和LAC对之间存在着两种类型 的连接:
一种是隧道(Tunnel)连接,一对LAC和 LNS中可以有多个L2TP隧道。
另一种是会话(Session)连接,它复用在 隧道连接之上,用于表示承载在隧道连接 中的每个PPP会话过程。
主验证方向被验证方发送一条challenge(挑战) 信息。
被验证方将该消息与一个共享密钥相结合,并返回 一个使用单向散列函数(如MD5)计算出的值。
主验证方将该返回值与其所期待的值相比较(它使 用hash函数计算属于它自己的值)。
如果hash值匹配,那么认证就得到了确认;否则, 终止连接。
网络结构
C网用户
PDSN
C网3A C网分组域
L2TP
用户自建LNS
客户内网
L2TP
电信拨号上网用户
DSLAM
BAS/LAC
L2TP隧道
LNS
电信 IP网
客户内网
L2TP客户端软件
用户发起的L2TP隧道
VPDN平台 Radius认证
中国电信VPDN业务网络结构如图所示,包括用户 终端、无线接入设备、城域网接入设备、BRAS、 PDSN、PDSN 3A、VPDN Radius认证平台、客户 网络等。
CHAP验证
User
Challenge 用户名/已加密密钥
LAC
Accept
L2TP协议特点
灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS验证 支持内部地址分配 网络计费的灵活性 可靠性
VPDN
VPDN是一种利用公共IP基础设施连接远程 访问客户端到用户私网的网络。
USER
ads l
BAS/LA
C
ISP
BAS/LN S
L2TP
PPP
SERVE R
在这个场景中,远程用户需要直接与中心点内 网的服务器进行通信。
当用户拨入LAC的时候,LAC将会与用户交互 PPP信息,通过L2TP请求和响应信息与LNS 建立L2TP隧道。
PPP会话将会在用户与LNS之间建立。
BRAS和PDSN作为VPDN 业务的LAC 设备,主要 负责L2TP 隧道的发起和建立。PDSN 3A主要完成 C网域名的认证,并完成用户IMSI与域名的绑定、 外网限制等功能。
PPP 端点
USER
BAS
PPP
Layer2 Endpoint PPP Session
Layer2 Endpoint PPP Session
在一个典型的PPP(点对点协议)连接中,二 层终结点和PPP会话终结点都处在同一个物理
设备上。
L2TP功能
L2TP允许PPP会话端点与二层终结点分离。 PPP会话能够通过Internet进行延伸并承载
NCP Setup (IPCP)
VPDN业务定义
中国电信浙江公司VPDN业务是基于中国电 信浙江公司CDMA 1x/CDMA EVDO及 ChinaNet IP公用网络利用L2TP 隧道技术 为政企客户构建的虚拟拨号专用网络接入 和组网业务。
用户可以通过固网接入 (ADSL/LAN/EPON)、C网移动终端或 PC+C网无线网卡,以虚拟拨号的方式安全 地访问客户网络或应用系统。
由LAC端发起L2TP隧道连接,远程拨号用户通过PPPOE拨入LAC,由 LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址 由LNS分配;远程拨号用户的验证与计费既可由LAC侧代理完成,也可
在LNS侧完成。
直接由用户发起L2TP隧道连接。用户获得Internet访问权限后,可直接向 LNS发起隧道连接请求,无需经过LAC。用户私网地址由LNS分配。
PAP认证
PAP只是一种简单的二次握手协议。被验证 方重复的发送用户名/密码,直到收到确认 为止。PAP以明文方式发送密码,这就不能 防止重放或者反复攻击。
PAP验证
User
用户名+密码 接受/拒绝
LAC
CHAP验证
CHAP是一种更为健壮的认证协议,它使用三次握 手机制来验证远端的身份,是首选的认证方法。其 三次握手过程如下:
CHAP Challenge CHAP
Response
13
14
BAS/L AC
BAΒιβλιοθήκη Baidu/L
NS
L2TP Incoming Call
7
L2TP Authentication
8
VPDN Session Setup
9
LCP Options,CHAP
10
Info
SERVE R
CHAP Accept (or Reject)
隧道(tunnel)和会话(session)的关系,好比高速公路跟车道,隧道是一 条有多个车道的高速公路,一台拨号PC的数据流为一个会话,相当于占用 了一个车道,这个车道只能跑运载这个PC的报文的卡车。
隧道模式
L2TP隧道的建立包括两种典型模式: LAC发起(一次拨号) 用户发起(二次拨号)
VPDN支撑培训
内容提要
L2TP,VPDN技术简介 VPDN业务介绍 故障处理流程 故障案列
L2TP
L2TP(Layer 2 Tunneing Protocol,二层 隧道协议)是VPDN隧道协议的一种。
提供对PPP链路层数据包的通道传输支持。 是IETF有关二层隧道协议的工业标准。
VPDN使用L2TP,PPTP,或者L2F等隧道协 议将远程拨号用户网络的二层或者更高层 部分通过穿越ISP网络延伸到用户私网。
用户基于用户名,域名,密码能够拨号到 LAC。
VPDN流程
RADIU S
5
6
12 11
USER
1 2 3 4
Icoming Call PPP LCP Negotiation
来自用户端的PPP帧被LAC接收,封装到 L2TP帧中再通过相应的隧道转发给LNS。 LNS接收L2TP帧,剥离L2TP封装,再处理进 入的PPP帧。
报文传递过程
报文依次封装,结果 是IP报文中有IP报文
IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer
于一个L2TP隧道之内。 PPP会话在被目标远程访问服务器终结前
可以穿越多个中间设备。网络架构对于 PPP会话的两端都是透明的。
USER
LAC,LNS
BAS/LA
C PPP
L2TP
BAS/LN
S
终结二层连接并作为L2TP隧道 的发起源
终结L2TP隧道和原始PPP会 话
通过L2TP连接的PPP会话
LAC
报文依次解封,实现 用户数据的透明传输
IP PPP L2TP UDP IP PPP/FR/X.25 Physical-Layer
LNS
隧道和会话
在一个LNS和LAC对之间存在着两种类型 的连接:
一种是隧道(Tunnel)连接,一对LAC和 LNS中可以有多个L2TP隧道。
另一种是会话(Session)连接,它复用在 隧道连接之上,用于表示承载在隧道连接 中的每个PPP会话过程。
主验证方向被验证方发送一条challenge(挑战) 信息。
被验证方将该消息与一个共享密钥相结合,并返回 一个使用单向散列函数(如MD5)计算出的值。
主验证方将该返回值与其所期待的值相比较(它使 用hash函数计算属于它自己的值)。
如果hash值匹配,那么认证就得到了确认;否则, 终止连接。
网络结构
C网用户
PDSN
C网3A C网分组域
L2TP
用户自建LNS
客户内网
L2TP
电信拨号上网用户
DSLAM
BAS/LAC
L2TP隧道
LNS
电信 IP网
客户内网
L2TP客户端软件
用户发起的L2TP隧道
VPDN平台 Radius认证
中国电信VPDN业务网络结构如图所示,包括用户 终端、无线接入设备、城域网接入设备、BRAS、 PDSN、PDSN 3A、VPDN Radius认证平台、客户 网络等。
CHAP验证
User
Challenge 用户名/已加密密钥
LAC
Accept
L2TP协议特点
灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS验证 支持内部地址分配 网络计费的灵活性 可靠性
VPDN
VPDN是一种利用公共IP基础设施连接远程 访问客户端到用户私网的网络。
USER
ads l
BAS/LA
C
ISP
BAS/LN S
L2TP
PPP
SERVE R
在这个场景中,远程用户需要直接与中心点内 网的服务器进行通信。
当用户拨入LAC的时候,LAC将会与用户交互 PPP信息,通过L2TP请求和响应信息与LNS 建立L2TP隧道。
PPP会话将会在用户与LNS之间建立。
BRAS和PDSN作为VPDN 业务的LAC 设备,主要 负责L2TP 隧道的发起和建立。PDSN 3A主要完成 C网域名的认证,并完成用户IMSI与域名的绑定、 外网限制等功能。
PPP 端点
USER
BAS
PPP
Layer2 Endpoint PPP Session
Layer2 Endpoint PPP Session
在一个典型的PPP(点对点协议)连接中,二 层终结点和PPP会话终结点都处在同一个物理
设备上。
L2TP功能
L2TP允许PPP会话端点与二层终结点分离。 PPP会话能够通过Internet进行延伸并承载
NCP Setup (IPCP)
VPDN业务定义
中国电信浙江公司VPDN业务是基于中国电 信浙江公司CDMA 1x/CDMA EVDO及 ChinaNet IP公用网络利用L2TP 隧道技术 为政企客户构建的虚拟拨号专用网络接入 和组网业务。
用户可以通过固网接入 (ADSL/LAN/EPON)、C网移动终端或 PC+C网无线网卡,以虚拟拨号的方式安全 地访问客户网络或应用系统。
由LAC端发起L2TP隧道连接,远程拨号用户通过PPPOE拨入LAC,由 LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址 由LNS分配;远程拨号用户的验证与计费既可由LAC侧代理完成,也可
在LNS侧完成。
直接由用户发起L2TP隧道连接。用户获得Internet访问权限后,可直接向 LNS发起隧道连接请求,无需经过LAC。用户私网地址由LNS分配。
PAP认证
PAP只是一种简单的二次握手协议。被验证 方重复的发送用户名/密码,直到收到确认 为止。PAP以明文方式发送密码,这就不能 防止重放或者反复攻击。
PAP验证
User
用户名+密码 接受/拒绝
LAC
CHAP验证
CHAP是一种更为健壮的认证协议,它使用三次握 手机制来验证远端的身份,是首选的认证方法。其 三次握手过程如下:
CHAP Challenge CHAP
Response
13
14
BAS/L AC
BAΒιβλιοθήκη Baidu/L
NS
L2TP Incoming Call
7
L2TP Authentication
8
VPDN Session Setup
9
LCP Options,CHAP
10
Info
SERVE R
CHAP Accept (or Reject)
隧道(tunnel)和会话(session)的关系,好比高速公路跟车道,隧道是一 条有多个车道的高速公路,一台拨号PC的数据流为一个会话,相当于占用 了一个车道,这个车道只能跑运载这个PC的报文的卡车。
隧道模式
L2TP隧道的建立包括两种典型模式: LAC发起(一次拨号) 用户发起(二次拨号)