1、L2TP網(wǎng)絡(luò)技術(shù)原理技術(shù)創(chuàng)新，變革未來L2TP概述概念術(shù)語協(xié)議封裝協(xié)議操作L2TP多實(shí)例配置和故障排除小結(jié)L2TPLayer Two Tunnel ProtocolRFC 2661隧道傳送PPP驗(yàn)證和動態(tài)地址分配無加密措施點(diǎn)對網(wǎng)絡(luò)特性傳統(tǒng)撥號接入PSTN/ISDNLANLAN分支機(jī)構(gòu)總部NAS出差員工RADIUS使用L2TP構(gòu)建VPDNLANLAN分支機(jī)構(gòu)總部LACLNSNAS Router出差員工LAC RADIUSLNS RADIUSPSTN/ISDNL2TP功能組件遠(yuǎn)程系統(tǒng)（Remote System）LAC（L2TP Access Concentrator）LNS（L2TP Netwo

2、rk Server）NAS（Network Access Server）L2TP術(shù)語呼叫（Call）隧道（Tunnel）控制連接（Control Connection）會話（Session）AVP（Attribute Value Pair）呼叫PSTN/ISDNLANLACLNS呼叫LAC RADIUSLNS RADIUS隧道和控制連接PSTN/ISDN控制連接隧道LANLACLNS呼叫LAC RADIUSLNS RADIUS會話PSTN/ISDN控制連接隧道LANLACLNS呼叫LAC RADIUSLNS RADIUS會話L2TP拓?fù)浣Y(jié)構(gòu)（1）獨(dú)立LAC方式PSTN/ISDNLANLACLN

3、SL2TP拓?fù)浣Y(jié)構(gòu)（2）客戶LAC方式LANLNSL2TP頭格式01234567890123456789012345678901TLSOPVerTunnel IDSession IDNs (opt)Nr (opt)Offset Size (opt)Offset pad. (opt)Length (opt)L2TP協(xié)議棧和封裝過程私有IPPPPL2TPUDP公有IP鏈路層物理層物理層私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)鏈路層私有IPPPP物理層L2TPUDP公有IP鏈路層物理層物理層私有IP鏈路層物理層ClientLACLNSServerLAC側(cè)封裝過程LNS側(cè)

4、解封裝過程L2TP協(xié)議棧結(jié)構(gòu)L2TP協(xié)議操作建立控制連接建立會話轉(zhuǎn)發(fā)PPP幀Keepalive關(guān)閉會話關(guān)閉控制連接建立控制連接LACLNSSCCRQSCCRPSCCCNZLB控制連接的建立由PPP觸發(fā)任意源端口1701重定位為任意源端口任意目標(biāo)端口建立會話LACLNSICRQICRPICCNZLB會話的建立以控制連接的建立為前提會話與呼叫有一一對應(yīng)關(guān)系同一個(gè)隧道中可以建立多個(gè)會話轉(zhuǎn)發(fā)PPP幀會話建立后，即可轉(zhuǎn)發(fā)PPP幀Tunnel ID和Session ID用于區(qū)分不同隧道和不同會話的數(shù)據(jù)KeepaliveLACLNSHelloHelloL2TP用Hello控制消息維護(hù)隧道的狀態(tài)關(guān)閉會話LAC

5、LNSCDNZLB關(guān)閉控制連接LACLNSStopCCNZLBL2TP的驗(yàn)證過程呼叫建立PPP LCP 協(xié)商通過LAC CHAP Challenge用戶 CHAP Response隧道驗(yàn)證(可選)SCCRP (LNS CHAP Response & LNS CHAP Challenge)SCCRQ (LAC CHAP Challenge)SCCCN (LAC CHAP Response)ICCN（用戶 CHAP Response & PPP 已經(jīng)協(xié)商好的參數(shù)）LNS CHAP Challenge可選的第二次驗(yàn)證用戶 CHAP Response驗(yàn)證通過LACLNSPSTN/ISDNL2TP多實(shí)例

6、L2TP協(xié)議上加入多實(shí)例技術(shù)，讓L2TP支持在一臺設(shè)備將不同的用戶劃分在不同的VPN，各個(gè)VPN之內(nèi)的數(shù)據(jù)可以互通，且在LNS兩個(gè)不同VPN之間的數(shù)據(jù)不能互相訪問，即使L2TP接入是同一個(gè)設(shè)備。VPN 1 總部ClientLNSHOSTInternetL2TP TUNNELClientVPN 2總部VPN 1HOSTVPN 210.1.1.*10.1.1.*10.1.2.*10.1.2.*L2TP基本配置任務(wù)LAC側(cè)設(shè)置用戶名、密碼及配置用戶驗(yàn)證啟用L2TP創(chuàng)建L2TP組設(shè)置發(fā)起L2TP連接請求及LNS地址LNS側(cè)設(shè)置用戶名、密碼及配置用戶驗(yàn)證啟用L2TP創(chuàng)建L2TP組創(chuàng)建虛接口模板設(shè)置本端地

7、址及分配的地址池設(shè)置接收呼叫的虛接口模板、通道對端名稱和域名L2TP基本配置命令LAC側(cè) LAC 側(cè)的配置設(shè)置用戶名、密碼及配置用戶驗(yàn)證啟用L2TPH3C l2tp enable 創(chuàng)建L2TP組 H3C l2tp-group group-number 設(shè)置發(fā)起L2TP連接請求及LNS地址H3C-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fullusername user-name L2TP 基本配置命令LNS側(cè)LNS 側(cè)的配置設(shè)置用戶名、密碼及配置用戶驗(yàn)證啟用L2TP H3C l2tp enable創(chuàng)建L2

8、TP組 H3C l2tp-group group-number創(chuàng)建虛接口模板H3C interface virtual-template virtual-template-number 設(shè)置本端地址及為用戶分配的地址池 H3C-Virtual-Template1 ip address X.X.X.X netmask H3C-Virtual-Template1 remote address pool pool-number 設(shè)置接收呼叫的虛擬接口模板、通道對端名稱和域名 L2TP組不為1： H3C-l2tp1 allow l2tp virtual-template virtual-templat

9、e-number remote remote-name domain domain-name L2TP組為1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP可選配置任務(wù)LAC和LNS側(cè)可選配的參數(shù)設(shè)置本端名稱啟用隧道驗(yàn)證及設(shè)置密碼設(shè)置通道Hello報(bào)文發(fā)送時(shí)間間隔設(shè)置域名分隔符及查找順序強(qiáng)制掛斷通道LNS側(cè)可選配的參數(shù)強(qiáng)制本端CHAP認(rèn)證強(qiáng)制LCP重新協(xié)商L2TP的可選配置命令（1）LAC側(cè)和LNS側(cè)可選配的參數(shù)設(shè)置本端名稱 H3C

10、-l2tp1 tunnel name name啟用隧道驗(yàn)證及設(shè)置密碼 H3C-l2tp1 tunnel authentication H3C-l2tp1 tunnel password simple | cipher password 設(shè)置通道Hello報(bào)文發(fā)送時(shí)間間隔 H3C-l2tp1 tunnel timer hello hello-interval L2TP的可選配置命令（2）LAC側(cè)和LNS側(cè)可選配的參數(shù)配置域名分隔符及查找順序設(shè)置前綴分隔符 H3C-l2tp1 l2tp domain prefix-separator separator 設(shè)置后綴分隔符 H3C-l2tp1 l2tp

11、 domain suffix-separator separator 設(shè)置查找規(guī)則 H3C-l2tp1 l2tp match-order dnis-domain | dnis | domain-dnis | domain 強(qiáng)制掛斷通道 reset l2tp tunnel remote-name | tunnel-id L2TP的可選配置命令（3）LNS側(cè)可選配的參數(shù)強(qiáng)制本端CHAP驗(yàn)證 H3C-l2tp1 mandatory-chap 強(qiáng)制LCP重新協(xié)商 H3C-l2tp1 mandatory-lcp L2TP配置（web方式）啟用L2TP功能在導(dǎo)航欄中選擇“VPN L2TP L2TP配置”新

12、建L2TP用戶組L2TP配置（web方式）L2TP配置（web方式）查看L2TP隧道信息導(dǎo)航欄中選擇“VPN L2TP 隧道信息”L2TP配置例子獨(dú)立LAC方式（1）LACLNSLAC local-user vpdnuserH3C.com LAC-luser-vpdnuserH3C.com password simple HelloLAC domain H3C.comLAC-isp-H3C.com scheme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip doma

13、in H3C.com LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel password simple H3C PSTN/ISDNL2TP配置例子獨(dú)立LAC方式（2）LNS local-user vpdnuserH3C.com LNS-luser-vpdnuserH3C.com password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address LNS-virtual-template1 ppp authentication-mode chap

14、 domain H3C.comLNS domain H3C.comLNS-isp-H3C.com scheme localLNS-isp-H3C.com ip pool 1 00LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2tp1 tunnel password simple H3CLACLNSPSTN/ISDNL2TP配置例子 Client-Ini

15、tiated VPN# 配置用戶名為vpdnuser、密碼為Hello、業(yè)務(wù)類型為PPP的本地用戶。# 使能L2TP功能。在導(dǎo)航欄中選擇“VPN L2TP L2TP配置”。選中“啟用L2TP功能”前的復(fù)選框。單擊按鈕完成操作。# 新建L2TP用戶組。在L2TP配置頁面單擊按鈕。輸入L2TP用戶組名稱為“test”。輸入對端隧道名稱為“vpdnuser”。輸入本端隧道名稱為“LNS”。選擇隧道驗(yàn)證為“啟用”。輸入隧道驗(yàn)證密碼為“aabbcc”。選擇PPP認(rèn)證方式為“CHAP”。選擇ISP域名為“system”（缺省的ISP域）。輸入PPP Server地址/掩碼為“/”。選擇PPP Server

16、所屬安全域?yàn)椤癟rust”。單擊用戶地址的按鈕。選擇域名為“system”。輸入地址池編號為“1”。輸入開始地址為“”。輸入結(jié)束地址為“00”。單擊按鈕完成地址池的配置，返回到L2TP用戶組的配置頁面。選擇用戶地址為“1”。選擇強(qiáng)制地址分配為“啟用”。單擊按鈕完成操作。1234L2TP信息顯示和調(diào)試顯示當(dāng)前的L2TP通道的信息 H3C display l2tp tunnelLocalIDRemoteID RemName RemAddress Sessions Port 1 8 AS8010 1 1701Total tunnels = 1 顯示當(dāng)前的L2TP會話的信息 H3C display l2tp sessionLocalIDRemoteIDTunnelID 112 Total session = 1 打開L2TP調(diào)試信息開關(guān) debugging l2tp all | control | dump | error | event | hidden | payload | time-stamp L2TP 故障排除用戶登錄失敗 Tunnel建立失敗 在LAC端，LNS的地址設(shè)置不