L2TP协议原理与应用.ppt

l2tp协议原理与应用,学习目标,掌握l2tp协议工作原理 掌握l2tp两种隧道模式下的配置命令 强制隧道模式配置命令 自发隧道模式配置命令 掌握l2tp在实际中的应用案例 中华联保l2tp+ipsec应用案例 3g拨号l2tp应用案例,2,课程内容,第一章 l2tp协议原理 第二章 l2tp配置命令 第三章 l2tp应用案例,3,第一章 l2tp协议原理,4,l2tp概述 l2tp的两种隧道模式 l2tp工作机制 l2tp报文分析,第一章 l2tp协议原理,5,l2tp概述 二层隧道协议 (layer 2 tunneling protocol),目前使用最广泛的是第二版,在rfc 2661中定义. 同其他vpn技术一样,l2tp能够通过隧道技术将用户网络的私有数据进行封装并在公网上进行传输 同3层vpn(ipsecgre)有所区别的是,l2tp是将来自用户网络的私有数据从二层ppp头部开始进行封装,而三层vpn是将来自用户网络的私有数据从三层ip报头开始进行封装 l2tp只能对ppp数据帧进行封装,将其封装在udp报文中 l2tp两个重要组件 lac:l2tp访问集中器（l2tp access concentrator） lns:l2tp网络服务器（l2tp network server，lns）,第一章 l2tp协议原理,6,l2tp两种隧道模式 强制隧道模式 在强制隧道模式下，lac端终结来自远程接入客户的呼叫，然后通过中间网络以隧道方式将ppp会话延伸到lns。这种模式不要求远程接入客户端了解l2tp，远程接入客户只需要使用ppp拨号到lac即可。目前企业3g拨号方案多采用这种模式,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,ppp,ppp,第一章 l2tp协议原理,7,l2tp两种隧道模式 强制隧道模式 企业3g拨号方案,专网,aaa服务器,3g路由器,lac,lns,主机,终端,无线,aaa服务器,认证请求,lns参数,认证请求,成功/失败,l2tp隧道,ppp,ppp,第一章 l2tp协议原理,8,l2tp两种隧道模式 自发隧道模式 在自发隧道模式下，远程接入客户端运行l2tp软件，充当了l2tp连接模型中的lac。远程客户端/lac（在rfc 2661中被称为“lac客户”）连接到lns，ppp帧通过l2tp隧道直接在客户和lns之间转发。目前中华联保在县支公司和市公司之间采用l2tp自发隧道模式,internet,企业内部 网络,远程客户端/lac,lns,l2tp隧道,ppp,ppp,第一章 l2tp协议原理,9,l2tp两种隧道模式 自发隧道模式 中华联保的l2tp应用,rg-r3662,市公司网络,internet,专线,固定ip,adsl/pppoe,adsl/pppoe,adsl/pppoe,县支公司,县支公司,l2tp隧道,ppp,ppp,第一章 l2tp协议原理,10,问题 在强制隧道模式下 远程接入客户端的ppp协商是和谁发生的？ 如果企业多个远程接入客户端通过ppp拨号到运营商的lac上，lac是否会建立多条到达lns的隧道呢？ lac和lns如何将所接收到的被封装报文转发至特定线路上？ 在自发隧道模式下 lac和lns两边的网络如何实现路由互通？ 私有数据的安全性如何保障？ ,第一章 l2tp协议原理,11,l2tp报文分析 l2tp有两种报文：控制报文和数据报文。这两种报文都使用udp封装，目的端口为1701,源端口不做限制 下图为l2tp报文的通用格式,若该报文是控制报文，则包含相应的控制消息,若该报文是数据报文，则包含用户原始ppp数据帧,第一章 l2tp协议原理,12,l2tp报文分析 下图为l2tp报文通用头部的格式(详细解释请见批注),第一章 l2tp协议原理,13,l2tp报文分析 控制消息 用于建立、维护、拆除l2tp隧道，由通用报头和一系列avp(attribute value pair)组成 数据消息 将来自用户网络的ppp数据帧封装在l2tp报文中,第一章 l2tp协议原理,14,l2tp报文分析 数据消息格式,l2tp数据报文中关键的信息,通过这两个字段唯一地标识用户信息(ppp会话),l2tp报文 通用头部,用户的原始数据报文,可以看到是使用ppp来承载ip报文,数据报文的标记,第一章 l2tp协议原理,15,l2tp报文分析 tunnel id 唯一地标识隧道，该标识符只有本地意义，因此在隧道的两端可能使用不同的隧道id。在隧道建立期间，lac和lns通过控制消息将本地隧道id传递给对等体,lac_1,lac_2,lns,tunnel id =10,tunnel id =20,tunnel id =10,tunnel id =21,第一章 l2tp协议原理,16,l2tp报文分析 session id 唯一地标识隧道中的数据会话。同样，会话id也只有本地意义，在隧道的两端，可能使用不同的会话id标识同一个ppp会话。在会话建立期间，通过控制消息将本地会话id传递给l2tp对等体。,lac,lns,session id=1(client a),session id=2(client b),session id=11(client a),session id=12(client b),l2tp tunnel,tunnel id =10,tunnel id =20,remote access client a,remote access client b,第一章 l2tp协议原理,17,l2tp报文分析 l2tp数据消息的格式比较简单，仅仅是在原始的用户ppp帧前面加了l2tp头部udp头部新ip头部 l2tp头部中包含tunnel id和session id，在lac和lns之间唯一地标识了用户的ppp会话。 似乎看起来,控制消息协商的主要目的应该就是为了通告本地的tunnel id和session id给对方.如果用户是使用ethernet接入到lac,有可能确实这么简单.但远程用户使用ppp拨入到lac,但ppp会话是在远程用户和lns之间,只有远程用户与lns之间经过lcp和ncp两个阶段的成功协商,才可以使用户与lns进行ppp通信,但远程用户并不是直接与lns相连,如何进行ppp协商呢?,第一章 l2tp协议原理,18,l2tp工作机制 l2tp强制隧道的建立包括lac接收远程系统的呼叫、在lac和lns之间建立控制连接以及建立数据会话以便在远程接入客户和lns之间转发ppp帧 l2tp自发隧道的建立包括client/lac与lns建立l2tp控制连接及数据会话、clinet/lac与lns在l2tp隧道中转发ppp帧 下面将详细分析l2tp隧道强制模式和自发模式的建立过程,第一章 l2tp协议原理,19,l2tp隧道建立(强制模式lns本地认证) 1.远程客户端ppp拨号到lac,并开始与lac进行lcp协商,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,当lcp阶段协商成功后,lac会将从客户端接收到的最后一条lcp confreq和自己发出的最后一条lcp confreg进行记录,,lac上不存储远程客户端的用户名和密码,username pass abc,ppp,ppp,第一章 l2tp协议原理,20,l2tp隧道建立(强制模式lns本地认证) 2.lac与远程客户端进入ppp认证协商阶段(以chap为例),pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,lac上不存储远程客户端的用户名和密码,username pass abc,,,lac根据收到的客户端主机名的域名,即来决定与哪个lns进行l2tp隧道协商,lcp协商已完成,ppp,ppp,第一章 l2tp协议原理,21,l2tp隧道建立(强制模式lns本地认证) 3.lac与lns开始进行l2tp隧道（控制连接）协商,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,chap challege,chap respone,lac上不存储远程客户端的用户名和密码,username pass abc,,lcp协商已完成,上述控制消息(sccrq/sccrp)中主要交换的avp包含的信息（但不限于）l2tp版本号、主机名、本地指定的隧道id等，如果对隧道启用了验证，还会包含验证挑战和挑战响应,这两个消息的出现说明l2tp隧道控制连接已经建立,zlb仅是对收到的sccn进行确认，不包含任何信息,这两个消息包含了隧道id信息,ppp,ppp,第一章 l2tp协议原理,22,l2tp隧道建立(强制模式本地认证) 4.lac与lns开始进行l2tp数据会话建立协商,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,chap challege,chap respone,lac上不存储远程客户端的用户名和密码,username pass abc,,lcp协商已完成,控制连接协商成功,zlb,这两个消息包含了会话id信息,这两个消息的出现说明l2tp数据会话连接已经建立,iccn中将协商好的lcp选项发送给lns.lns的ppp进程利用这些信息进行lcp协商阶段的处理,然再进行ppp验证.,ppp,ppp,第一章 l2tp协议原理,23,l2tp隧道建立(强制模式lns本地认证) 5.lns在l2tp隧道中返回客户端ppp认证的结果,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,chap challege,chap respone,lac上不存储远程客户端的用户名和密码,username pass abc,,lcp协商已完成,控制连接协商成功,数据会话协商成功,tunnel id,session id,lns根据iccn消息中包含的客户端主机名找到相应密码,并对密码随机字符串进行哈希,将结果与接收的hash值进行比较,注:通过l2tp隧道发送数据时,封装所使用的l2tp头部中的tunnel id和session id均为对端在相关控制消息中所通告的,virtual-access接口,ppp,ppp,第一章 l2tp协议原理,24,l2tp隧道建立(强制模式lns本地认证) 6.lns与客户端在l2tp隧道中进行ipcp协商,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,lac上不存储远程客户端的用户名和密码,username pass abc,,lcp协商已完成,控制连接协商成功,数据会话协商成功,tunnel id,session id,l2tp隧道,l2tp隧道,ppp验证已完成,从地址池中为远程客户端分配一个地址,ppp,ppp,virtual-access接口,第一章 l2tp协议原理,25,l2tp隧道建立(强制模式lns本地认证) 7.lns与客户端ipcp协商成功后开始在l2tp隧道中转发ppp数据帧,pstn/isdn,运营商骨干网络,企业内部 网络,远程客户端,lac,lns,lac上不存储远程客户端的用户名和密码,username pass abc,,lcp协商已完成,控制连接协商成功,数据会话协商成功,tunnel id,session id,l2tp隧道,l2tp隧道,ppp验证已完成,virtual-access接口,ppp,ppp,第一章 l2tp协议原理,26,l2tp隧道建立(自发模式lns本地认证) 1.clinet/lac自动发起到达lns的l2tp隧道协商(控制信道和数据会话),internet,企业内部 网络,client/lac,lns,username ruijie pass ruijie,ppp chap hostname ruijie ppp chap password ruijie,主机,client/lac根据virtual-ppp接口下的伪线配置发起到达lns的l2tp隧道,tunnel id、主机名、隧道认证信息等,session id等,第一章 l2tp协议原理,27,l2tp隧道建立(自发模式lns本地认证) 2.clinet/lac和lns在已建立的l2tp隧道中进行ppp协商,internet,企业内部 网络,client/lac,lns,username ruijie pass ruijie,ppp chap hostname ruijie ppp chap password ruijie,主机,tunnel id,session id,virtual-ppp接口,virtual-access接口,第一章 l2tp协议原理,28,l2tp报文分析 控制消息分类 用于建立、维护、拆除l2tp隧道，由通用报头和一系列avp(attribute value pair)组成,第一章 l2tp协议原理,29,l2tp报文分析 控制消息格式:,控制消息的标记,lac和lns之间协商l2tp所需要的信息都包含在这些avp中，在rfc2661中定义了38种avp,问题:并没有明显字段标识这条控制消息是什么类型?,第一章 l2tp协议原理,30,l2tp报文分析 控制消息分类 建立l2tp隧道期间常见控制消息,怎么区分这些控制消息?,通过该条控制消息中携带的control message avp内容来确定具体消息类型,第一章 l2tp协议原理,31,l2tp报文分析 avp格式(详细解释请见批注) rfc 2661定义了38种avp，它们被分为下面几类： 适用于所有控制消息的avp 结果编码avp 控制连接管理avp 呼叫管理avp 代理lcp和验证avp 呼叫状态avp,第一章 l2tp协议原理,32,l2tp报文分析 适用于所有控制消息的avp,type为0说明是控制消息avp,属性值部分的内容是控制消息的类型,具体分类见部分,第一章 l2tp协议原理,33,l2tp报文分析 结果编码avp,下表列出了stopccn消息可包含的结果编码,第一章 l2tp协议原理,34,l2tp报文分析 结果编码avp,下表列出了cdn消息可包含的结果编码,第一章 l2tp协议原理,35,l2tp报文分析 结果编码avp,type为1说明是结果编码avp,结果编码的类型,错误编码的类型,第一章 l2tp协议原理,36,l2tp报文分析 控制连接管理avp,第一章 l2tp协议原理,37,l2tp报文分析 控制连接管理avp,第一章 l2tp协议原理,38,l2tp报文分析 呼叫管理avp,第一章 l2tp协议原理,39,l2tp报文分析 呼叫管理avp,第一章 l2tp协议原理,40,l2tp报文分析 代理lcp和验证avp,第一章 l2tp协议原理,41,l2tp报文分析 代理lcp和验证avp,第一章 l2tp协议原理,42,l2tp报文分析 代理lcp和验证avp,远程客户端和lac之间的ppp lcp协商及部分challenge消息,远程客户端发出的最后一个lcp confreq,iccn报文中的avp,第一章 l2tp协议原理,43,l2tp报文分析 代理lcp和验证avp,远程客户端和lac之间的ppp lcp协商及部分challenge消息,lac发出的最后一个lcp confreq,iccn报文中的avp,第一章 l2tp协议原理,44,l2tp报文分析 代理lcp和验证avp,远程客户端和lac之间的ppp lcp协商及部分challenge消息,lac发出的chap challenge,远程客户发出的chap response,iccn报文中的avp,iccn报文中的avp,第一章 l2tp协议原理,45,l2tp报文分析 呼叫状态avp,第一章 l2tp协议原理,46,l2tp概述 l2tp的两种隧道模式 l2tp工作机制 l2tp报文分析,课程内容,第一章 l2tp协议原理 第二章 l2tp配置命令 强制隧道模式配置命令 自发隧道模式配置命令 第三章 l2tp应用案例,47,第二章 l2tp配置命令,48,实验拓扑(强制隧道模式) 路由及接口配置,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,r1的关键配置 ip route interface fastethernet0/0.12 encapsulation dot1q 12 ip address ,r4的关键配置 interface fastethernet0/0.34 encapsulation dot1q 34 ip address ! interface fastethernet0/0.45 encapsulation dot1q 45 ip address ! router ospf 1 log-adjacency-changes redistribute connected subnets network 55 area 0,r6的关键配置 interface fastethernet0/0.56 encapsulation dot1q 56 ip address router rip version 2 network no auto-summary,rip,r2的关键配置 interface fastethernet0/0.12 encapsulation dot1q 12 ip address router rip version 2 no validate-update-source network no auto-summary,r3的关键配置 interface fastethernet0/0.34 encapsulation dot1q 34 ip address ! router ospf 1 log-adjacency-changes network 55 area 0,r5的关键配置 interface fastethernet0/0.45 encapsulation dot1q 45 ip address interface fastethernet0/0.56 encapsulation dot1q 56 ip address router rip version 2 no validate-update-source network no auto-summary ip route ,lo0:,模拟运营商骨干,第二章 l2tp配置命令,49,实验拓扑(强制隧道模式) 客户端(r2)拨号配置 实验目的是为了观察ppp协商阶段,因此客户端直接使用串口连接lac,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,interface serial3/0 ip address negotiated encapsulation ppp ppp chap hostname ppp chap password 0 ruijie,lo0:,模拟运营商骨干,第二章 l2tp配置命令,50,实验拓扑(强制隧道模式) lac(r3)l2tp相关配置,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,r3的关键配置 vpdn enable /使能vpdn vpdn-group 1 /配置l2tp隧道相关参数的组 request-dialin /让lac接收远程接入客户的ppp会话，并尝试通过隧道将它们延伸到指定的lns protocol l2tp /指定建立隧道时使用vpdn协议为l2tp domain /该命令使得域名为的远程接入用户的ppp会话将通过隧道被 延伸到vpdn组中指定的lns initiate-to ip /指定了隧道另一端的lns的ip地址 l2tp tunnel password 0 ruijie /指定了lns和lac验证对方时使用的共享密钥 interface serial3/0 no ip address encapsulation ppp ppp authentication chap /与客户端所配置的验证类型匹配,lo0:,模拟运营商骨干,第二章 l2tp配置命令,51,实验拓扑(强制隧道模式) lns(r5)l2tp相关配置(part),远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,vpdn enable /使能vpdn ! vpdn-group 1 /配置l2tp隧道相关参数的组 ! default l2tp vpdn group accept-dialin /该命令指定lns接收来自lac的隧道和会话 protocol l2tp /指定vpdn协议，使用protocol l2tp命令指定 virtual-template 1 /该命令导致任何通过隧道来自lac的入站ppp会话都将由虚拟接口接入接 口端接，虚拟接入接口克隆（复制）了虚拟模板接口1的配置。 l2tp tunnel password 0 cisco /指定了lns和lac验证对方时使用的共享密钥,lo0:,模拟运营商骨干,第二章 l2tp配置命令,52,实验拓扑(强制隧道模式) lns(r5)l2tp相关配置(part),远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,username password 0 ruijie /远程客户端的用户名和密码 interface loopback0 ip address 55 interface virtual-template1 ip unnumbered loopback0 /虚模板接口借用lo0地址. peer default ip address pool user /给远程客户端从地址池中分配ip地址 ppp authentication chap /配置ppp验证类型为chap ip local pool user 00 00 /为远程客户分配ip的地址池,lo0:,模拟运营商骨干,第二章 l2tp配置命令,53,实验拓扑(强制隧道模式) l2tp隧道状态查看,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r3#sh vpdn tunnel l2tp l2tp tunnel information total tunnels 1 sessions 1 locid remid remote name state remote address port sessions l2tp class/ vpdn group 35894 1350 r5 est 1701 1 1,只有为est状态,才表示隧道成功建立,本地tunnel id,对端tunnel id,对端主机名,这三个信息包含在sccrq/sccrp中,标识本隧道所包含的数据会话数量,标识本隧道的参数调用的vpdn group,模拟运营商骨干,第二章 l2tp配置命令,54,实验拓扑(强制隧道模式) l2tp隧道中的数据会话状态查看,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r3#sh vpdn session l2tp l2tp session information total tunnels 1 sessions 1 locid remid tunid username, intf/ state last chg uniq id vcid, circuit 8 2 35894 gaozyruijie., se3/0 est 00:19:03 7,远程用户的用户名以及所连接的物理线路,只有为est状态,才表示隧道成功建立,本地session id,对端session id,本地tunnel id,模拟运营商骨干,第二章 l2tp配置命令,55,实验拓扑(强制隧道模式) 远程客户端(r2)的ppp协商结果,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r2#sh ip interface brief interface ip-address ok? method status protocol fastethernet0/0 unassigned yes nvram up up fastethernet0/0.12 yes nvram up up serial3/0 00 yes ipcp up up,r2#sh int serial 3/0 serial3/0 is up, line protocol is up hardware is m4t internet address is 00/32 mtu 1500 bytes, bw 1544 kbit, dly 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 encapsulation ppp, lcp open listen: cdpcp open: ipcp, crc 16, loopback not set keepalive set (10 sec) ,模拟运营商骨干,第二章 l2tp配置命令,56,实验拓扑(强制隧道模式) lac(r3)的ppp协商结果,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r3#sh ip interface brief interface ip-address ok? method status protocol fastethernet0/0 unassigned yes nvram up up fastethernet0/0.34 yes nvram up up serial3/0 unassigned yes nvram up up,r3#sh int se 3/0 serial3/0 is up, line protocol is up hardware is m4t mtu 1500 bytes, bw 1544 kbit, dly 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 encapsulation ppp, lcp open, crc 16, loopback not set keepalive set (10 sec) restart-delay is 0 secs ,模拟运营商骨干,第二章 l2tp配置命令,57,实验拓扑(强制隧道模式) lns(r5)的ppp协商结果,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r5#sh ip interface brief interface ip-address ok? method status protocol fastethernet0/0 unassigned yes nvram up up fastethernet0/0.45 yes nvram up up fastethernet0/0.56 yes nvram up up virtual-access1 unassigned yes unset down down virtual-template1 yes tftp down down virtual-access2 unassigned yes unset up up virtual-access2.1 yes tftp up up loopback0 yes nvram up up,模拟运营商骨干,第二章 l2tp配置命令,58,实验拓扑(强制隧道模式) lns(r5)的ppp协商结果,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r5#sh interfaces virtual-access 2.1 virtual-access2.1 is up, line protocol is up hardware is virtual access interface interface is unnumbered. using address of loopback0 () mtu 1500 bytes, bw 1544 kbit, dly 100000 usec, reliability 255/255, txload 1/255, rxload 1/255 encapsulation ppp, lcp open open: ipcp pppovpdn vaccess, cloned from virtual-template1 vaccess status 0x0 protocol l2tp, tunnel id 3940, session id 3 keepalive set (10 sec) 439 packets input, 10254 bytes 440 packets output, 11340 bytes last clearing of “show interface“ counters never,模拟运营商骨干,第二章 l2tp配置命令,59,实验拓扑(强制隧道模式) 客户端(r2)路由表,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r2#sh ip route /8 is variably subnetted, 4 subnets, 2 masks c /24 is directly connected, fastethernet0/0.12 c /32 is directly connected, serial3/0 r /24 120/1 via , 00:00:04 c 00/32 is directly connected, serial3/0,注:需要在r2的router rip下面配置no validate-update-source的原因是lns更新过来的rip路由条目的源ip地址与se3/0接口不在同一个网段(该接口的ip地址为/32位),模拟运营商骨干,第二章 l2tp配置命令,60,实验拓扑(强制隧道模式) lns(r5)的路由表,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r5#sh ip route c /24 is directly connected, fastethernet0/0.45 /8 is variably subnetted, 4 subnets, 2 masks r /24 120/1 via 00, 00:00:13, virtual-access2.1 c /32 is directly connected, loopback0 c /24 is directly connected, fastethernet0/0.56 c 00/32 is directly connected, virtual-access2.1 s* /0 1/0 via ,模拟运营商骨干,第二章 l2tp配置命令,61,实验拓扑(强制隧道模式) 测试r1访问r6,远程客户端,lac,lns,r1,r2,r3,r4,r5,r6,内网,内网,运营商,f0/0.12 ,f0/0.12 ,se3/0,se3/0,f0/0.34 ,f0/0.34 ,f0/0.45 5.4,f0/0.45 5.5,f0/0.56 ,f0/0.56 ,ospf,rip,lo0:,r1#ping type escape sequence to abort. sending 5, 100-byte icmp echos to , timeout is 2 seconds: ! success rate is 100 percent (5/5), round-trip min/avg/max = 88/160/252 ms,模拟运营商骨干,第二章 l2tp配置命令,62,强制隧道模式关键配置命令总结,1.配置拨号（略） 2.配置ppp验证 ppp chap hostname usernamedomainname ppp chap password password 3.接口ip地址 可本地直接配置、借用（ip unnumber）、也可协商(ip address negotiate),lns配置任务,1.使能vpdn：vpdn enable,客户端（路由器）配置任务,2.创建vpdn group并配置参数,vpdn group groupnumber request-dialin protocol l2tp domain domainname initiate-to ip lns的ip地址 l2tp tunnel password 0 key 若不需要验证，则配置no l2tp tunnel authentication,3.连接远程