网络工程师-技术培训l2tpgre

培训_L

2

T

P+GR

E协议1L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE2VRP测试组系列培训L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE3VRP测试组系列培训简介的

性的用传企可信物。随着Internet

发展，每个企业都在思考：“利用Internet能为

企业作哪些事呢？”。最初，企业做自己的

，允许人们在Internet

问，从而进行企业形象的宣传、促销、培训、技术支持等等。现在，Internet的潜力似乎是无穷无尽的，大家的目光开始转向电子商务，利用全球可以方便上网

的Internet，使得

户可以容易的访问到企业

统的IT系统中的关键商务程序及数据。为了得到安全保障，提供了非常节省费用的解决方案。如下图所示，出差员工可以利用便携机在内的任何一台可以nternet的计算机，通过隧道业网络，企业以对该用户进行、验证和审计；合作伙伴和分支机构也可以通过组建私有网络，代替传统的昂贵的专线方式，而且具有同样的甚至更高的安全性。虚拟私有网实际上就是将Internet看作一种公有数据网（PublicDataNetwork），这种公有网和PSTN网在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业

息的网络被称为为私有网。至于“虚拟”，则主要是相对现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用

理线路相连的，而虚拟私有网通过隧道技术提供Internet上的虚拟链路在现代社会，信息已经是一个企业能否生存的关键，计算机网络为企业的办公自动化和信息的获取提供强大的构架。随着企业的发展以及移动用户的增多，企业为分支机构提供互连，也为移动用户提供接入功能

在2002年将有90％的企业采用

技术来组建私有网。4VRP测试组系列培训简介(Virtual

Private

Network)技术是一种在公共数据网络上安全的传输用户私有信息的网络技术任何出差员工和外地办事机构都可以通过公共网络

企业

网络资源普通的I

n

t

r

a

n

e

t

各局域网通过租用专门的物理线路相连，而在I

n

t

e

r

n

e

t

上建立一条虚拟链路的实现可以通过M

P

L

S

、虚拟路由器和隧道等技术实现5VRP测试组系列培训简介应用以太网移动用户PSTN/ISDNInternet用户部分ISP及公共网部分总部企业网部分A8010Quidway路由器L2TP

over

IPSECIPSEC或GRE隧道分支机构/合作伙伴企业网部分Quidway路由器以太网6VRP测试组系列培训简介分类共有三种类型的，它们分别是：虚拟专网（Access企业

虚拟专网（Intranet））扩展的企业虚拟专网（Extranet）这三种类型的分别与传统的网络、企业的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet相对应。7VRP测试组系列培训简介PSTN

/

ISDN用户LACInternetLNS虚拟专网-NAS

发起TUNNEL8VRP测试组系列培训简介虚拟专网-用户发起PSTN

/

ISDN用户LACInternetLNSTUNNEL9VRP测试组系列培训简介企业

虚拟专网(扩展)总部纽约Internet10VRP测试组系列培训简介隧道Internet隧道起点隧道终点隧道终点隧道起点隧道起点TCP/IP报文头协议报文头原始报文隧道终点加封装原始报文协议报文头TCP/IP报文头解封装在隧道起点加封装在隧道终点解封装二层隧道协议中封装的是链路层报文三层隧道协议中封装的是网络层报文协议是指用于实现隧道的协议，其中有二层隧道协议L2TP、三层隧道协议IPSEC和GRE。这些协议都是在隧道起点对原始报文进行封装然后在隧道终点进行解封装再得到原始报文，从而达到隧道传输的目的。11VRP测试组系列培训简介二层隧道协议L2TPLayer

2

Tunnel

Protocol二层隧道协议三层隧道协议GREGeneric

Routing

Encapsulation通用路由封装IPSecIP

SecurityIP安全12VRP测试组系列培训L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE13VRP测试组系列培训AAA/RADIUS简介用户PSTN/ISDNInternet用户部分ISP及公共网部分用户RADIUS

serverNASRADIUSRADIUS报文AAA/RADIUS报文交换过程14VRP测试组系列培训L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE15VRP测试组系列培训L2TP协议原理L2TP协议特性L2TP（Layer

Two

Tunneling

Protocol

）协议提供了对PPP链路层数据包的通道和的（Tunneling）传输支持，它结合了另外两个通道协议：Cisco的L2FPPTP的各自优点，将成为IETF有关2层通道协议的工业标准。在一个LNS和LAC对之间存在着两种类型的连接，一种是通道（tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（session）连接，它复用在通道连接之上，用于表示承载在通道连接中的每个PPP会话过程。的与还、、L2TP连接以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于通道连接和会话连接的建立。控制消息中的参数用AVP值对（Attribute

Value

Pair）来表示，使得协议具有很好的扩展性；在控制消息的传输过应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。数据消息用于承载用户的PPP会话数据包。L2TP的报文分为控制报文及数据报文两类。控制报文包括了L2TP通道的建立、拆除，基于通道连接的会话连接的建立

、拆除；数据报文则用户传输PPP报文。16VRP测试组系列培训L2TP协议原理L2TP协议的组成部分的用户，通常是外地用户指通过L2TP协议连入出差员工或办事机构L2TP

集中器(LAC)用户和LNS之间传递数据的设备，通常是当地ISP的接入设备L2TP网络服务器(LNS)L2TP协议的服务器端部分，通常是企业

网的边缘设备17VRP测试组系列培训L2TP协议原理企业网用户PSTN/ISDNInternet用户部分ISP及公共网部分LAC用户会话隧道企业网部分LNSRADIUSPacketRADIUSPacketRADIUS

serverRADIUS

server企业网用户L2TP协议原理示意图18VRP测试组系列培训L2TP协议原理L2TP连接的两种发起方式用户发起连接(Client-initialized)用户通过PSTN/ISDN接入NAS，获得然后直接向远端LNS服务器发起L2TP连接LAC发起连接(LAC-initialized)ternet权限用户通过PSTN/ISDN接入NAS(LAC)，NAS判断如果是户，就向指定的LNS发起L2TP连接19VRP测试组系列培训L2TP协议原理Client-initialized以太网用户PSTN/ISDNNASInternetLNS用户部分ISP及公共网部分企业网部分隧道用户⋯⋯货车，N

A

S

⋯⋯N

A

S

：你可以通行了用户：好的，

把货物送过去20VRP测试组系列培训L2TP协议原理NAS-initialized以太网用户PSTN/ISDNLACLNSInternet用户部分ISP及公共网部分企业网部分隧道用户⋯⋯货车，LAC

⋯⋯托运处LAC：你的货物可以通过，有什么需要帮忙的？用户：请把这些货物托运到X

X

街X

X

号21VRP测试组系列培训L2TP协议原理L2TP连接建立的流程用户发起连接比较简单，用户直接向LNS发送连接请求，不需要LAC

支持LAC发起连接LAC

根据用户指定的地址，向LNS发起连接，流程比较复杂LAC

和LNS之间可以进行验证用户和LNS可进行二次验证和PPP重新协商22VRP测试组系列培训L2TP协议原理以太网用户PSTN/ISDNLACInternet用户部分ISP及公共网部分企业网部分LNS隧道A8010Quidway路由器呼叫建立(1)PPP

LAC建立(2)用户CHAP

Challenge(3)用户CHAP

Response(4)通道验证(5)LAC

CHAP

Challenge(6)LNS

CHAP

Response(7)验证通过(8)LNS

CHAP

Challenge(9)LAC

CHAP

Response(10)验证通过(11)User

CHAP

Response+Response

Identifier+PPP已经协商好的参数(12)验证通过(13)可选的第二次CHAP

Challenge(14)用户CHAP

Response(15)验证通过(16)L

2

TP建立过程23VRP测试组系列培训L2TP协议原理L2TP连接的两种形式通道(Tunnel)连接一个LAC

和一个LNS之间只有一个通道连接会话(Session)连接会话连接复用在通道连接之上，用于表示承载在通道连接中的每个PPP会话过程第一个会话连接导致通道连接建立，最后一个会话连接断开导致通道连接拆除通过L2TP报头中的通道ID和会话ID实现24VRP测试组系列培训L2TP协议原理端L2TP在协议栈中的位置在PPP看来，L2TP就是物理层；L2TP将收到的报文交给

PPP，PPP将要发送的报文交给

L2TP。L2TP调用Socket与通道对端进行接收发送，LNS端使用端1701，LAC

端使用未被使用的随机

。IPPPPL2TPTCP/UDPIPPPP/FR/X.25物理层25VRP测试组系列培训L2TP协议原理L2TP报文控制报文建立和清除L2TP通道和会话L2TP通道(采用错误重传机制数据报文传输用户数据不采用错误重传机制o报文)26VRP测试组系列培训L2TP协议原理L2TP报文控制报文1

(

)2

(SCCRQ)Start-Control-Connection-Request2

(SCCRP)Start-Control-Connection-Reply)3

(4

（Start-Control-Connection-Connected）Stop-Control-Connection-Notification5

(6

()O)o会话报文(

OCRQ)Outgoing-Call-Request(OCRP)Outgoing-Call-Reply9

(

)Outgoing-Call-Connected(ICRQ)ing-Call-Request(ICRP)ing-Call-Reply12

(

)ing-Call-Connected13

(

)14

(

CDN

)Call-Disconnect-Notify27VRP测试组系列培训L2TP协议原理L2TP报文错误报告报文15

(

W

EN) W

AN-Error-NotifyPPP连接控制报文16

(SLI)

Set-Link-InfoO

报文始当隧道空闲一定时间，开

O报文的传输。如果O报文发O报文用来监测隧道出后没有收到对方的应答，隧道将被清除的的连通性。28VRP测试组系列培训控制连接建立过程29VRP测试组系列培训LAC或LNS----------LAC或LNS----------SCCRQ-><-SCCRP-><-ZLBACK（当本端没有数据要发送时）L2TP协议原理L2TP协议原理会话连接建立过程30VRP测试组系列培训LNS---LAC---(CalDetected)

ICRQ-><-ICRP-><-ZLBACK（当本端没有数据要发送时）L2TP协议原理会话清除过程31VRP测试组系列培训LAC或LNSLAC或LNSCDN->(Cleanup)<-ZLBACK(Cleanup)L2TP协议原理隧道清除过程32VRP测试组系列培训LACorLNSLACorLNS->(Cleanup)<-ZLBACK(Wait)(Cleanup)L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE33VRP测试组系列培训L2TP配置User端配置User(config-if-Serial2)#ipaddressnegotiateUser(config-if-Serial2)#ppppapsent-usernamevpdnuser

password01234534VRP测试组系列培训L2TP配置LAC端配置LAC(config)#vpdnenable

LAC(config)#aaaenableLAC(config)#user

vpdnuserpassword012345LAC(config-if-Serial5/1/2)#pppauthenticationpap

vpdnLAC(config)#vpdn-group1LAC(config-vpdn1)#localname

LACLAC(config-vpdn1)#nol2tptunnelauthenticationLAC(config-vpdn1)#requestdialinl2tpip

11.110.1.2fulusername

vpdnuserLAC(config-vpdn1)#exit35VRP测试组系列培训L2TP配置LNS端配置LNS(config)#iplocalpool0192.168.1.1192.168.1.100LNS(config)#uservpdnuserpassword012345

LNS(config-if-Virtual-Template1)#ipaddress100.1.1.1

255.255.0.0LNS(config-if-Virtual-Template1)#peerdefaultipaddress

pool0LNS(config-if-Virtual-Template1)#exitLNS(config)#vpdn-group1LNS(config-vpdn1)#localname

LNSLNS(config-vpdn1)#nol2tptunnelauthenticationLNS(config-vpdn1)#acceptdialinl2tpvirtual-template1

rem

C36VRP测试组系列培训L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE37VRP测试组系列培训GRE协议原理GREGRE（Generic

Routing

Encapsulation)——基本路由封装是对某些网络层协议（如：IP，IPX

，AppleTalk等）的数据报进行封装，使这些被封装的数据报能够在另

一个网络层协议（如IP）中传输。38VRP测试组系列培训乘客协议传输协议头GRE头原始数据包传输协议封装协议GRE协议原理GRE组网图GREIP/IPX/AppleTalk公共网部分企业网部分LNSInternetRouter39VRP测试组系列培训企业网部分Router经过多于15个Internet上的路由器GRE协议原理GRE协议特点机制简单，对隧道两端设备的CPU

负担小不提供数据的加密不对数据源进行验证不保证报文正确到达目的地不提供流量控制和QoS特性多协议的本地网可以通过单一协议的骨干网实现传输将一些不能连续的子网连接起来，用于组建40VRP测试组系列培训GRE协议原理GRE封装Tunnel是一个虚拟的点对点的连接，它提供了一条通路使封装的数据报能够在这个通输，并且在一个Tunnel的两端分别对数据报进行封装及解封。乘客协议运载协议或封装协议协议IPX/IPGREIP链路层协议41VRP测试组系列培训L2TP+GRE)简介AAA/RADIUS简介L2TP协议原理

L2TP配置

GRE协议原理GRE配置VRP与IOS的实现-L2TPVRP与IOS的实现-GRE42VRP测试组系列培训GRE配置GRE一端配置(两端相同)GrePeer(config)#interfaceTunnel1GrePeer(config-if-Tunnel1)#ipaddress100.1.