HM-044+L2TP协议原理及配置(V4.0).ppt

1、HM-044 VPN协议原理及配置,ISSUE 4.0,2,课程内容,第一章 VPN 概述 第二章 L2TP,3,培训目标,掌握 VPN 的概念和分类 掌握实现 IP VPN 的相关协议 掌握 VPN 的配置,学习完本课程，您应该能够：,4,Internet,VPN的定义,VPN Virtual Private Network,5,VPN的分类,按应用类型分类： Access VPN Intranet VPN Extranet VPN 按实现的层次分类： 二层隧道 VPN 三层隧道 VPN,6,Intranet VPN,Internet/ ISP IP ATM/FR,7,Extranet VP

2、N,Internet/ ISP IP ATM/FR,8,按实现的层次分类,二层隧道VPN L2TP: Layer 2 Tunnel Protocol (RFC 2661) PPTP: Point To Point Tunnel Protocol L2F: Layer 2 Forwarding 三层隧道VPN GRE : General Routing Encapsulation IPSEC : IP Security Protocol,9,课程内容,第一章 VPN 概述 第二章 L2TP,10,L2TP 协议概述,L2TP: Layer 2 Tunnel Protocol 第二层隧道协议,是为

3、在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议. 特性 灵活的身份验证机制以及高度的安全性 多协议传输 支持RADIUS服务器的验证 支持内部地址分配 网络计费的灵活性 可靠性,11,L2TP隧道和会话建立流程,隧道、会话建立流程 L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。 隧道建立流程：三次握手 会话建立流程：三次握手,LACLNS SCCRQ SCCRP SCCCN,LACLNS ICRQ ICRP ICCN,12,L2TP隧道和会话维护和拆除流程,隧道维护流程,LAC/LNSLNS/L

4、AC Hello ZLB,隧道拆除流程,会话拆除流程,LAC/LNSLNS/LAC StopCCN ZLB,LAC/LNSLNS/LAC CDN ZLB,13,L2TP 协议栈结构及数据包的封装过程,私有IP,PPP,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,PPP,IP包(公有IP),UDP,L2TP,PPP,IP包(私有IP),链路层,私有IP,PPP,物理层,L2TP,UDP,公有IP,链路层,物理层,物理层,私有IP,链路层,物理层,Client,LAC,LNS,Server,LAC侧封装过程,LNS侧解封装过程,L2TP协议栈结构,14,L2TP的配置任务及命令(

5、1),LAC 侧的配置 配置AAA认证和本地用户 启用VPDN Quidway l2tp enable 创建VPDN组 Quidway l2tp-group group-number 配置发起L2TP连接请求及LNS地址 Quidway-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | dnis dialed-number | fullusername user-name ,15,L2TP 的配置任务及命令(2),LNS 侧的配置 配置本地VPDN用户 启用VPDN 创建VPDN组 创建虚接口模板并为用户分配IP地

6、址 Quidway interface virtual-template virtual-template-number Quidway-Virtual-Template1 remote address pool pool-name 配置接收呼叫的隧道对端名称 Quidway-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name ,16,Internet,L2TP的配置举例,Quidway local-user vpdnuser password cipher Hello Quidway ip

7、pool 1 192.168.0.2 192.168.0.100 Quidway aaa-enable Quidway aaa authentication-scheme login default local Quidway aaa accounting-scheme optional Quidway interface virtual-template 1 Quidway-Virtual-Template1 ip address 192.168.0.1 255.255.255.0 Quidway-Virtual-Template1 ppp authentication-mode chap

8、Quidway-Virtual-Template1 remote address pool 1 Quidway l2tp enable Quidway l2tp-group 1 Quidway-l2tp1 tunnel name lns-end Quidway-l2tp1 allow l2tp virtual-template 1 remote lac-end Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple quidway,Quidway local-user vpdnuser password

9、cipher Hello Quidway aaa-enable Quidway aaa authentication-scheme ppp default local Quidway aaa accounting-scheme optional Quidway l2tp enable Quidway l2tp-group 1 Quidway-l2tp1 tunnel name lac-end Quidway-l2tp1 start l2tp ip 202.38.160.2 fullusername vpdnuser Quidway-l2tp1 tunnel authentication Qui

10、dway-l2tp1 tunnel password simple quidway,LNS,LAC,PSTN,17,L2TP的可选参数配置(1),可选配的参数 配置本端名称 Quidway-l2tp1 tunnel name name 启用隧道验证及配置密码 Quidway-l2tp1 tunnel authentication Quidway-l2tp1 tunnel password simple | cipher password 配置隧道Hello报文发送时间间隔 Quidway-l2tp1 tunnel timer hello hello-interval 配置域名分隔符及查找顺序

11、Quidway-l2tp1l2tp domain prefix-separator | suffix-separator delimiters,18,L2TP的可选参数配置(2),可选配的参数 配置强制本端CHAP验证 Quidway-l2tp1 mandatory-chap 配置强制LCP重新协商 Quidway-l2tp1 mandatory-lcp 配置隧道流控接收窗口的大小 Quidway-l2tp1 tunnel flow-control receive-window size 配置L2TP最大会话数 Quidway-l2tp1 l2tp session-limit session-

12、number,19,L2TP隧道和会话的验证过程,呼叫建立,PPP LCP 协商通过,LAC CHAP Challenge,用户 CHAP Response,隧道验证(可选),SCCRP (LNS CHAP Response & LNS CHAP Challenge),SCCRQ (LAC CHAP Challenge),SCCCN (LAC CHAP Response),ICCN（用户 CHAP Response & PPP 已经协商好的参数）,LNS CHAP Challenge,可选的第二次验证,用户 CHAP Response,验证通过,20,L2TP的调试,显示当前的L2TP隧道的信

13、息,Quidway display l2tp tunnel LocalIDRemoteID RemName RemAddress Sessions Port 1 8 AS8010 172.168.10.2 1 1701 Total tunnels = 1,显示当前的L2TP会话的信息,Quidway display l2tp session LocalIDRemoteIDTunnelID 112 Total session = 1,打开L2TP调试信息开关 debugging l2tp all | control | error | event | hidden | payload | time-stamp ,21,L2TP 排错,用户登录失败 Tunnel建立失败 在LAC端，LNS的地址配置不正确 LNS（通常为路由器）端没有配置可以接收该通道对端的VPDN组 Tunnel