L2TP网络技术原理

1、L2TP网络技术原理技术创新，变革未来L2TP概述概念术语协议封装协议操作L2TP多实例配置和故障排除小结L2TPLayer Two Tunnel ProtocolRFC 2661隧道传送PPP验证和动态地址分配无加密措施点对网络特性传统拨号接入PSTN/ISDNLANLAN分支机构总部NAS出差员工RADIUS使用L2TP构建VPDNLANLAN分支机构总部LACLNSNAS Router出差员工LAC RADIUSLNS RADIUSPSTN/ISDNL2TP功能组件远程系统（Remote System）LAC（L2TP Access Concentrator）LNS（L2TP Netwo

2、rk Server）NAS（Network Access Server）L2TP术语呼叫（Call）隧道（Tunnel）控制连接（Control Connection）会话（Session）AVP（Attribute Value Pair）呼叫PSTN/ISDNLANLACLNS呼叫LAC RADIUSLNS RADIUS隧道和控制连接PSTN/ISDN控制连接隧道LANLACLNS呼叫LAC RADIUSLNS RADIUS会话PSTN/ISDN控制连接隧道LANLACLNS呼叫LAC RADIUSLNS RADIUS会话L2TP拓扑结构（1）独立LAC方式PSTN/ISDNLANLACLN

3、SL2TP拓扑结构（2）客户LAC方式LANLNSL2TP头格式01234567890123456789012345678901TLSOPVerTunnel IDSession IDNs (opt)Nr (opt)Offset Size (opt)Offset pad. (opt)Length (opt)L2TP协议栈和封装过程私有IPPPPL2TPUDP公有IP链路层物理层物理层私有IPPPPIP包(公有IP)UDPL2TPPPPIP包(私有IP)链路层私有IPPPP物理层L2TPUDP公有IP链路层物理层物理层私有IP链路层物理层ClientLACLNSServerLAC侧封装过程LNS侧

4、解封装过程L2TP协议栈结构L2TP协议操作建立控制连接建立会话转发PPP帧Keepalive关闭会话关闭控制连接建立控制连接LACLNSSCCRQSCCRPSCCCNZLB控制连接的建立由PPP触发任意源端口1701重定位为任意源端口任意目标端口建立会话LACLNSICRQICRPICCNZLB会话的建立以控制连接的建立为前提会话与呼叫有一一对应关系同一个隧道中可以建立多个会话转发PPP帧会话建立后，即可转发PPP帧Tunnel ID和Session ID用于区分不同隧道和不同会话的数据KeepaliveLACLNSHelloHelloL2TP用Hello控制消息维护隧道的状态关闭会话LAC

5、LNSCDNZLB关闭控制连接LACLNSStopCCNZLBL2TP的验证过程呼叫建立PPP LCP 协商通过LAC CHAP Challenge用户 CHAP Response隧道验证(可选)SCCRP (LNS CHAP Response & LNS CHAP Challenge)SCCRQ (LAC CHAP Challenge)SCCCN (LAC CHAP Response)ICCN（用户 CHAP Response & PPP 已经协商好的参数）LNS CHAP Challenge可选的第二次验证用户 CHAP Response验证通过LACLNSPSTN/ISDNL2TP多实例

6、L2TP协议上加入多实例技术，让L2TP支持在一台设备将不同的用户划分在不同的VPN，各个VPN之内的数据可以互通，且在LNS两个不同VPN之间的数据不能互相访问，即使L2TP接入是同一个设备。VPN 1 总部ClientLNSHOSTInternetL2TP TUNNELClientVPN 2总部VPN 1HOSTVPN 210.1.1.*10.1.1.*10.1.2.*10.1.2.*L2TP基本配置任务LAC侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组设置发起L2TP连接请求及LNS地址LNS侧设置用户名、密码及配置用户验证启用L2TP创建L2TP组创建虚接口模板设置本端地

7、址及分配的地址池设置接收呼叫的虚接口模板、通道对端名称和域名L2TP基本配置命令LAC侧 LAC 侧的配置设置用户名、密码及配置用户验证启用L2TPH3C l2tp enable 创建L2TP组 H3C l2tp-group group-number 设置发起L2TP连接请求及LNS地址H3C-l2tp1start l2tp ip ip-address ip ip-address domain domain-name | fullusername user-name L2TP 基本配置命令LNS侧LNS 侧的配置设置用户名、密码及配置用户验证启用L2TP H3C l2tp enable创建L2

8、TP组 H3C l2tp-group group-number创建虚接口模板H3C interface virtual-template virtual-template-number 设置本端地址及为用户分配的地址池 H3C-Virtual-Template1 ip address X.X.X.X netmask H3C-Virtual-Template1 remote address pool pool-number 设置接收呼叫的虚拟接口模板、通道对端名称和域名 L2TP组不为1： H3C-l2tp1 allow l2tp virtual-template virtual-templat

9、e-number remote remote-name domain domain-name L2TP组为1： H3C-l2tp1 allow l2tp virtual-template virtual-template-number remote remote-name domain domain-name L2TP可选配置任务LAC和LNS侧可选配的参数设置本端名称启用隧道验证及设置密码设置通道Hello报文发送时间间隔设置域名分隔符及查找顺序强制挂断通道LNS侧可选配的参数强制本端CHAP认证强制LCP重新协商L2TP的可选配置命令（1）LAC侧和LNS侧可选配的参数设置本端名称 H3C

10、-l2tp1 tunnel name name启用隧道验证及设置密码 H3C-l2tp1 tunnel authentication H3C-l2tp1 tunnel password simple | cipher password 设置通道Hello报文发送时间间隔 H3C-l2tp1 tunnel timer hello hello-interval L2TP的可选配置命令（2）LAC侧和LNS侧可选配的参数配置域名分隔符及查找顺序设置前缀分隔符 H3C-l2tp1 l2tp domain prefix-separator separator 设置后缀分隔符 H3C-l2tp1 l2tp

11、 domain suffix-separator separator 设置查找规则 H3C-l2tp1 l2tp match-order dnis-domain | dnis | domain-dnis | domain 强制挂断通道 reset l2tp tunnel remote-name | tunnel-id L2TP的可选配置命令（3）LNS侧可选配的参数强制本端CHAP验证 H3C-l2tp1 mandatory-chap 强制LCP重新协商 H3C-l2tp1 mandatory-lcp L2TP配置（web方式）启用L2TP功能在导航栏中选择“VPN L2TP L2TP配置”新

12、建L2TP用户组L2TP配置（web方式）L2TP配置（web方式）查看L2TP隧道信息导航栏中选择“VPN L2TP 隧道信息”L2TP配置例子独立LAC方式（1）LACLNSLAC local-user vpdnuserH3C.com LAC-luser-vpdnuserH3C.com password simple HelloLAC domain H3C.comLAC-isp-H3C.com scheme localLAC l2tp enable LAC l2tp-group 1 LAC-l2tp1 tunnel name LAC LAC-l2tp1 start l2tp ip doma

13、in H3C.com LAC-l2tp1 tunnel authenticationLAC-l2tp1 tunnel password simple H3C PSTN/ISDNL2TP配置例子独立LAC方式（2）LNS local-user vpdnuserH3C.com LNS-luser-vpdnuserH3C.com password simple Hello LNS interface virtual-template 1LNS-virtual-template1 ip address LNS-virtual-template1 ppp authentication-mode chap

14、 domain H3C.comLNS domain H3C.comLNS-isp-H3C.com scheme localLNS-isp-H3C.com ip pool 1 00LNS l2tp enable LNS l2tp-group 1 LNS-l2tp1 tunnel name LNS LNS-l2tp1 allow l2tp virtual-template 1 remote LAC LNS-l2tp1 tunnel authenticationLNS-l2tp1 tunnel password simple H3CLACLNSPSTN/ISDNL2TP配置例子 Client-Ini

15、tiated VPN# 配置用户名为vpdnuser、密码为Hello、业务类型为PPP的本地用户。# 使能L2TP功能。在导航栏中选择“VPN L2TP L2TP配置”。选中“启用L2TP功能”前的复选框。单击按钮完成操作。# 新建L2TP用户组。在L2TP配置页面单击按钮。输入L2TP用户组名称为“test”。输入对端隧道名称为“vpdnuser”。输入本端隧道名称为“LNS”。选择隧道验证为“启用”。输入隧道验证密码为“aabbcc”。选择PPP认证方式为“CHAP”。选择ISP域名为“system”（缺省的ISP域）。输入PPP Server地址/掩码为“/”。选择PPP Server

16、所属安全域为“Trust”。单击用户地址的按钮。选择域名为“system”。输入地址池编号为“1”。输入开始地址为“”。输入结束地址为“00”。单击按钮完成地址池的配置，返回到L2TP用户组的配置页面。选择用户地址为“1”。选择强制地址分配为“启用”。单击按钮完成操作。1234L2TP信息显示和调试显示当前的L2TP通道的信息 H3C display l2tp tunnelLocalIDRemoteID RemName RemAddress Sessions Port 1 8 AS8010 1 1701Total tunnels = 1 显示当前的L2TP会话的信息 H3C display l2tp sessionLocalIDRemoteIDTunnelID 112 Total session = 1 打开L2TP调试信息开关 debugging l2tp all | control | dump | error | event | hidden | payload | time-stamp L2TP 故障排除用户登录失败 Tunnel建立失败 在LAC端，LNS的地址设置不