網(wǎng)絡(luò)技術(shù)培訓(xùn)系列課程：安全技術(shù)-3-L2TP協(xié)議原理與應(yīng)用（二）

L2TP協(xié)議原理與應(yīng)用（二）文檔類型:文檔密級:主送對象: 抄送對象:文檔編號:審核人:

2課程內(nèi)容雙LAC接入雙LNS接入運(yùn)營商雙線接入運(yùn)營商單線接入L2TPKeepalive客戶端接入中常見的問題Client的PPP認(rèn)證Client的IP地址分配Client與LNS之間的LCP重協(xié)商Client與LNS之間的PPPKeepaliveClient與LNS之間路由協(xié)議場景描述不同的Client通過不同的LAC接入進(jìn)LNS，LNS對不同的Client分配不同的IP地址Client_1通過LAC_1接入LNS，其外網(wǎng)接口通過PPP協(xié)商獲取的IP地址為網(wǎng)段Client_2通過LAC_2接入LNS，其外網(wǎng)接口通過PPP協(xié)商獲取的IP地址為網(wǎng)段

3雙LAC接入PSTN/ISDNPSTN/ISDN運(yùn)營商骨干網(wǎng)絡(luò)Client_1LNSClient_2LAC_1LAC_2實(shí)現(xiàn)方法Client與LNS上不同的virtual-template接口進(jìn)行PPP協(xié)商，將不同的地址池配置關(guān)聯(lián)在不同的virtual-template下面實(shí)驗(yàn)拓?fù)?/p>

4雙LAC接入Client_1LNSClient_2LAC_1LAC_2模擬運(yùn)營商骨干網(wǎng)絡(luò)OSPFR1R2R3R4R5R6F0/0.25F0/0.45F0/0.25F0/0.45F0/0.56F0/0.56S1/0S1/0S1/0S1/0實(shí)驗(yàn)拓?fù)浣涌诩奥酚膳渲?/p>

5雙LAC接入R2的配置interfaceFastEthernet0/0.25encapsulationdot1Q25ipaddressrouterospf1network55area0R4的配置interfaceFastEthernet0/0.45encapsulationdot1Q45ipaddressrouterospf1network55area0R5的配置interfaceFastEthernet0/0.25encapsulationdot1Q25ipaddressinterfaceFastEthernet0/0.45encapsulationdot1Q45ipaddressinterfaceFastEthernet0/0.56encapsulationdot1Q56ipaddressrouterospf1network55area0R6的配置interfaceFastEthernet0/0.56encapsulationdot1Q56ipaddressrouterospf1network55area0注，此處僅為簡化配置，在LNS（R6）上運(yùn)行OSPF，實(shí)際情況中，運(yùn)營商一般不會與企業(yè)出口設(shè)備運(yùn)行動態(tài)路由協(xié)議實(shí)驗(yàn)拓?fù)銫lient上的PPP撥號配置

6雙LAC接入R1的配置interfaceSerial1/0ipaddressnegotiatedencapsulationppppppchaphostnamer1@pppchappassword0r1iprouteSerial1/0R3的配置interfaceSerial1/0ipaddressnegotiatedencapsulationppppppchaphostnamer3@pppchappassword0r3iprouteSerial1/0LAC（R2和R4）上的對應(yīng)接口配置interfaceSerial1/0noipaddressencapsulationppppppauthenticationchap實(shí)驗(yàn)拓?fù)銵AC上的L2TP配置

7雙LAC接入R2的配置vpdnenablevpdn-group1request-dialinprotocoll2tpdomaininitiate-toipnol2tptunnelauthenticationR4的配置vpdnenablevpdn-group1request-dialinprotocoll2tpdomaininitiate-toipnol2tptunnelauthentication實(shí)驗(yàn)拓?fù)銵NS上的L2TP配置

8雙LAC接入R6的配置vpdnenable!vpdn-group1accept-dialinprotocoll2tpvirtual-template1terminate-fromhostnamer2nol2tptunnelauthentication!vpdn-group2accept-dialinprotocoll2tpvirtual-template2terminate-fromhostnamer4nol2tptunnelauthenticationusernamer1@password0r1usernamer3@password0r3interfaceLoopback1ipaddress55interfaceLoopback2ipaddress55interfaceVirtual-Template1ipunnumberedLoopback1peerdefaultipaddresspoolPOOL1pppauthenticationchap!interfaceVirtual-Template2ipunnumberedLoopback2peerdefaultipaddresspoolPOOL2pppauthenticationchap!iplocalpoolPOOL20iplocalpoolPOOL10實(shí)驗(yàn)拓?fù)浣Y(jié)果確認(rèn)

9雙LAC接入r6#shvpdnL2TPTunnelandSessionInformationTotaltunnels2sessions2LocIDRemIDRemoteNameStateRemoteAddressPortSessionsVPDNGroup93638102r2est170111LocIDRemIDTunIDIntfUsernameStateLastChgUniqID239363Vi2.1r1@est00:41:351LocIDRemIDRemoteNameStateRemoteAddressPortSessionsVPDNGroup2960454274r4est170112LocIDRemIDTunIDIntfUsernameStateLastChgUniqID3429604Vi2.2r3@est00:41:242實(shí)驗(yàn)拓?fù)浣Y(jié)果確認(rèn)

10雙LAC接入r1#shintse1/0Serial1/0isup,lineprotocolisupHardwareisM8T-X.21Internetaddressis/32MTU1500bytes,BW1544Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationPPP,LCPOpenListen:CDPCPOpen:IPCP,crc16,loopbacknotsetKeepaliveset(10sec)…r3#shintse1/0Serial1/0isup,lineprotocolisupHardwareisM4TInternetaddressis/32MTU1500bytes,BW1544Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationPPP,LCPOpenListen:CDPCPOpen:IPCP,crc16,loopbacknotsetKeepaliveset(10sec)…實(shí)驗(yàn)拓?fù)潢P(guān)鍵配置說明1.需要在LNS上創(chuàng)建2個VPDNGroup2.在兩個VPDNGroup下關(guān)聯(lián)不同的Virtual-Template3.在兩個VPDNGroup下面指定對端LAC的hostname

11雙LAC接入vpdn-group1accept-dialinprotocoll2tpvirtual-template1terminate-fromhostnamer2nol2tptunnelauthenticationvpdn-group2accept-dialinprotocoll2tpvirtual-template2terminate-fromhostnamer4nol2tptunnelauthenticationLAC_1R2與該VPDNGroup下的參數(shù)建立L2TPTunnel，Client_1R1與LNSR6上的interfacevirtual-template進(jìn)行PPP協(xié)商LAC_2R4與該VPDNGroup下的參數(shù)建立L2TPTunnel，Client_2R3與LNSR6上的interfacevirtual-template進(jìn)行PPP協(xié)商

12課程內(nèi)容雙LAC接入雙LNS接入運(yùn)營商雙線接入運(yùn)營商單線接入L2TPKeepalive客戶端接入中常見的問題Client的PPP認(rèn)證Client的IP地址分配Client與LNS之間的LCP重協(xié)商Client與LNS之間的PPPKeepaliveClient與LNS之間路由協(xié)議運(yùn)營商雙線接入場景該企業(yè)使用兩臺LNS雙線接入運(yùn)營商網(wǎng)絡(luò)，采用主備方式當(dāng)LNS_1故障或接入線路故障時，Client通過LNS_2接入企業(yè)內(nèi)網(wǎng)，仍然可以訪問到R6該需求需要在運(yùn)營商的LAC設(shè)備通過配置實(shí)現(xiàn)，即LAC會為同一域名指定兩個下一跳IP（兩個LNS），兩個下一跳IP可以為主備方式，也可以為負(fù)載方式，即當(dāng)接收到客戶端PPP撥入時存在兩種情況：LAC會優(yōu)先于主LNS建立L2TP隧道，并將所有PPP會話用該L2TP隧道承載。只有當(dāng)主LNS故障后，LAC與備LNS建立L2TP隧道。LAC與兩臺LNS分別建立L2TP隧道，將PPP會話隨機(jī)使用其中1條L2TP隧道承載

13雙LNS接入ClientLNS_1LAC模擬運(yùn)營商骨干網(wǎng)絡(luò)OSPFR1R2R3R4F0/0.23F0/0.25F0/0.34S1/0S1/0LNS_2R5F0/0.34F0/0.35F0/0.35內(nèi)網(wǎng)R6F0/0.10/24F0/0.10/24F0/0.10/24實(shí)驗(yàn)拓?fù)浣涌诩奥酚膳渲?/p>

14雙LNS接入注，此處僅為簡化配置，在LNS（R6）上運(yùn)行OSPF，實(shí)際情況中，運(yùn)營商一般不會與企業(yè)出口設(shè)備運(yùn)行動態(tài)路由協(xié)議R2的配置interfaceFastEthernet0/0.23encapsulationdot1Q23ipaddressrouterospf1network55area0R3的配置interfaceFastEthernet0/0.23encapsulationdot1Q23ipaddress!interfaceFastEthernet0/0.34encapsulationdot1Q34ipaddress!interfaceFastEthernet0/0.35encapsulationdot1Q35ipaddressrouterospf1network55area0實(shí)驗(yàn)拓?fù)浣涌诩奥酚膳渲?/p>

15雙LNS接入注，此處僅為簡化配置，在LNS（R6）上運(yùn)行OSPF，實(shí)際情況中，運(yùn)營商一般不會與企業(yè)出口設(shè)備運(yùn)行動態(tài)路由協(xié)議R4的配置interfaceLoopback1ipaddress55interfaceFastEthernet0/0.10encapsulationdot1Q10ipaddressvrrp10ipvrrp10priority150vrrp10track50interfaceFastEthernet0/0.34encapsulationdot1Q34ipaddressrouterospf1router-idnetwork55area0R5的配置interfaceLoopback1ipaddress55interfaceFastEthernet0/0.10encapsulationdot1Q10ipaddressvrrp10ipvrrp10priority120interfaceFastEthernet0/0.35encapsulationdot1Q35ipaddressrouterospf1router-idnetwork55area0實(shí)驗(yàn)拓?fù)銫lient上的PPP撥號配置

16雙LNS接入R1的配置interfaceSerial1/0ipaddressnegotiatedencapsulationppppppchaphostnamer1@pppchappassword0r1iprouteSerial1/0LAC（R2）的對應(yīng)接口配置interfaceSerial1/0noipaddressencapsulationppppppauthenticationchap實(shí)驗(yàn)拓?fù)銵AC上的L2TP配置

17雙LNS接入R2的配置vpdnenable!vpdn-group1request-dialinprotocoll2tpdomaininitiate-toippriority100initiate-toippriority200nol2tptunnelauthentication實(shí)驗(yàn)拓?fù)銵AC上的L2TP配置

18雙LNS接入R2的配置vpdnenable!vpdn-group1request-dialinprotocoll2tpdomaininitiate-toippriority100initiate-toippriority200nol2tptunnelauthenticationpriority數(shù)值越小，越優(yōu)先。即當(dāng)有PPP撥入時，優(yōu)先與priority100的LNS建立L2TP隧道。當(dāng)無法與priority100的LNS建立L2TP隧道時，才會選擇與priority200的LNS建立L2TP隧道。實(shí)驗(yàn)拓?fù)銵NS上的L2TP配置

19雙LNS接入R4的配置vpdnenablevpdn-group1!DefaultL2TPVPDNgroupaccept-dialinprotocoll2tpvirtual-template1nol2tptunnelauthenticationusernamer1@password0r1interfaceLoopback0ipaddress55interfaceVirtual-Template1ipunnumberedLoopback0peerdefaultipaddresspoolPOOLpppauthenticationchapiplocalpoolPOOL0R5的配置vpdnenablevpdn-group1!DefaultL2TPVPDNgroupaccept-dialinprotocoll2tpvirtual-template1nol2tptunnelauthenticationusernamer1@password0r1interfaceLoopback0ipaddress55interfaceVirtual-Template1ipunnumberedLoopback0peerdefaultipaddresspoolPOOLpppauthenticationchapiplocalpoolPOOL0實(shí)驗(yàn)拓?fù)浣Y(jié)果確認(rèn)

20雙LNS接入r2#shvpdnL2TPTunnelandSessionInformationTotaltunnels1sessions1LocIDRemIDRemoteNameStateRemoteAddressPortSessionsVPDNGroup6158747548r4est

170111LocIDRemIDTunIDIntfUsernameStateLastChgUniqID4261587Se1/0r1@est00:57:123LAC（R2）根據(jù)priority的配置，優(yōu)先選擇與LNS（R4）建立L2TP隧道實(shí)驗(yàn)拓?fù)浣Y(jié)果確認(rèn)

21雙LNS接入r1#shintse1/0Serial1/0isup,lineprotocolisupHardwareisM8T-X.21Internetaddressis/32MTU1500bytes,BW1544Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationPPP,LCPOpenListen:CDPCPOpen:IPCP,crc16,loopbacknotsetKeepaliveset(10sec)…r1#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=92/150/364ms實(shí)驗(yàn)拓?fù)浣Y(jié)果確認(rèn)將R4關(guān)機(jī)，并等待一段時間后

22雙LNS接入r2#shvpdnL2TPTunnelandSessionInformationTotaltunnels1sessions1LocIDRemIDRemoteNameStateRemoteAddressPortSessionsVPDNGroup5953759164r5est

170111LocIDRemIDTunIDIntfUsernameStateLastChgUniqID6259537Se1/0r1@est00:01:204當(dāng)priority為100的LNS關(guān)機(jī)后，LAC在一段時間內(nèi)檢測到L2TP隧道異常，因此發(fā)起到達(dá)priority為200的LNS的L2TP隧道協(xié)商實(shí)驗(yàn)拓?fù)潢P(guān)鍵配置說明1.LAC上的關(guān)于LNS的冗余配置在項(xiàng)目中，LAC的配置為運(yùn)營商維護(hù)，因?yàn)榭梢愿鶕?jù)實(shí)際情況來要求運(yùn)營商配置什么樣的LNS冗余配置，是主備方式還是負(fù)載方式2.LNS內(nèi)網(wǎng)口的VRRPTrack功能當(dāng)LNS外網(wǎng)口故障時，L2TP隧道會隨之切換，遠(yuǎn)程接入的客戶端已經(jīng)切換到備份LNS，因此要求內(nèi)網(wǎng)流量也要同時切換到備份LNS。因此當(dāng)L2TP隧道切換時，VRRP也需要同時進(jìn)行切換。

23雙LNS接入運(yùn)營商單線接入場景該企業(yè)使用兩臺LNS，而運(yùn)營商只提供一條專線供企業(yè)接入為了實(shí)現(xiàn)設(shè)備級冗余備份1.企業(yè)在兩臺LNS前面添加了一臺二層交換機(jī)2.需要運(yùn)營商提供至少包含4個IP地址的子網(wǎng)3.兩臺LNS的外網(wǎng)口運(yùn)行VRRP，LAC指定VRRP虛地址為L2TP隧道端點(diǎn)地址

24雙LNS接入ClientLNS_1LACR1R2R4F0/0.23S1/0S1/0LNS_2R5內(nèi)網(wǎng)R6F0/0.10/24F0/0.10/24F0/0.10/24F0/0.9F0/0.9R3F0/0.23F0/0.9模擬運(yùn)營商骨干網(wǎng)絡(luò)OSPF實(shí)驗(yàn)拓?fù)浣涌诩奥酚膳渲?/p>

25雙LNS接入R2的配置interfaceFastEthernet0/0.23encapsulationdot1Q23ipaddressrouterospf1network55area0R3的配置interfaceFastEthernet0/0.9encapsulationdot1Q9ipaddress!interfaceFastEthernet0/0.23encapsulationdot1Q23ipaddressrouterospf1network55area0實(shí)驗(yàn)拓?fù)浣涌诩奥酚膳渲?/p>

26雙LNS接入R4的配置interfaceFastEthernet0/0.9encapsulationdot1Q9ipaddressvrrp9ipvrrp9priority150

vrrp9track50!interfaceFastEthernet0/0.10encapsulationdot1Q10ipaddressvrrp10ipvrrp10priority150

vrrp10track50iprouteR5的配置interfaceFastEthernet0/0.9encapsulationdot1Q9ipaddressvrrp9ipvrrp9priority120!interfaceFastEthernet0/0.10encapsulationdot1Q10ipaddressvrrp10ipvrrp10priority120iproute實(shí)驗(yàn)拓?fù)銫lient的PPP撥號配置

27雙LNS接入R1的配置interfaceSerial1/0ipaddressnegotiatedencapsulationppppppchaphostnamer1@pppchappassword0r1iprouteSerial1/0LAC（R2）上對應(yīng)接口配置interfaceSerial1/0noipaddressencapsulationppppppauthenticationchap實(shí)驗(yàn)拓?fù)銵AC上的L2TP配置

28雙LNS接入R2的配置vpdnenable!vpdn-group1request-dialinprotocoll2tpdomaininitiate-toipnol2tptunnelauthenticationLAC與LNS外網(wǎng)口的VRRP虛地址建立L2TP隧道實(shí)驗(yàn)拓?fù)銵NS上的L2TP配置

29雙LNS接入R4的配置vpdnenablevpdn-group1!DefaultL2TPVPDNgroupaccept-dialinprotocoll2tpvirtual-template1source-ipnol2tptunnelauthentication!usernamer1@password0r1interfaceLoopback0ipaddress55

interfaceVirtual-Template1ipunnumberedLoopback0peerdefaultipaddresspoolPOOLpppauthenticationchap!iplocalpoolPOOL0R5的配置vpdnenablevpdn-group1!DefaultL2TPVPDNgroupaccept-dialinprotocoll2tpvirtual-template1source-ipnol2tptunnelauthentication!usernamer1@password0r1interfaceLoopback0ipaddress55

interfaceVirtual-Template1ipunnumberedLoopback0peerdefaultipaddresspoolPOOLpppauthenticationchap!iplocalpoolPOOL0實(shí)驗(yàn)拓?fù)浣Y(jié)果驗(yàn)證

30雙LNS接入r2#shvpdnL2TPTunnelandSessionInformationTotaltunnels1sessions1LocIDRemIDRemoteNameStateRemoteAddressPortSessionsVPDNGroup1344446936r4est

170111LocIDRemIDTunIDIntfUsernameStateLastChgUniqID19213444Se1/0r1@est01:08:3417LAC（R2）與兩臺LNS（R4、R5）的外網(wǎng)口VRRP虛地址建立L2TP隧道，由于R4為VRRPMaster，因此R2是實(shí)際是與R4建立了L2TP隧道實(shí)驗(yàn)拓?fù)浣Y(jié)果驗(yàn)證

31雙LNS接入r1#shintse1/0Serial1/0isup,lineprotocolisupHardwareisM8T-X.21Internetaddressis/32MTU1500bytes,BW1544Kbit,DLY20000usec,reliability255/255,txload1/255,rxload1/255EncapsulationPPP,LCPOpenListen:CDPCPOpen:IPCP,crc16,loopbacknotsetKeepaliveset(10sec)…r1#pingTypeescapesequencetoabort.Sending5,100-byteICMPEchosto,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=92/150/364ms實(shí)驗(yàn)拓?fù)浣Y(jié)果驗(yàn)證將R4關(guān)機(jī)并等待一段時間后

32雙LNS接入r2#shvpdnL2TPTunnelandSessionInformationTotaltunnels1sessions1LocIDRemIDRemoteNameStateRemoteAddressPortSessionsVPDNGroup4313736590r5est170111LocIDRemIDTunIDIntfUsernameStateLastChgUniqID23443137Se1/0r1@est00:00:2321當(dāng)LAC（R2）檢測到LNS（R4）故障后，會重新發(fā)起L2TP協(xié)商，此時由于R4故障，R5成為VRRPMaster，因此R2與R5最后建立起L2TP隧道實(shí)驗(yàn)拓?fù)潢P(guān)鍵配置說明1.運(yùn)營商LAC指定兩臺LNS外網(wǎng)口VRRP虛地址作為L2TP隧道端點(diǎn)地址L2TP隧道切換的時間取決于LAC上配置的L2TPHello的失效間隔，即是由運(yùn)營商的配置所決定的2.主LNS上的VRRP需要同時開啟VRRPTrack功能，以實(shí)現(xiàn)L2TP隧道切換與內(nèi)網(wǎng)數(shù)據(jù)流向同時切換可以根據(jù)需求調(diào)整VRRP的搶占模式，當(dāng)線路不穩(wěn)定時，防止協(xié)議狀態(tài)持續(xù)切換

33雙LNS接入實(shí)驗(yàn)拓?fù)潢P(guān)鍵配置說明3.LNS的VPDN-Group配置下的source-ip作用

34雙LNS接入R4的配置vpdnenablevpdn-group1!DefaultL2TPVPDNgroupaccept-dialinprotocoll2tpvirtual-template1source-ipnol2tptunnelauthentication默認(rèn)情況下，LNS在發(fā)送L2TP消息時，是以路由表中到達(dá)LAC下一跳對應(yīng)的本地接口作為源IP。在本例中LAC（R2）發(fā)送的L2TP消息的目的IP為，R4收到后默認(rèn)將以作為L2TP消息源地址，這樣可能會導(dǎo)致LAC認(rèn)為這是一個錯誤的回應(yīng)（注，不同廠商的處理可能不一樣）。通過source-ip的配置，可以讓R4以作為所發(fā)送的L2TP消息的源IP。

35課程內(nèi)容雙LAC接入雙LNS接入運(yùn)營商雙線接入運(yùn)營商單線接入L2TPKeepalive客戶端接入中常見的問題Client的PPP認(rèn)證Client的IP地址分配Client與LNS之間的LCP重協(xié)商Client與LNS之間的PPPKeepaliveClient與LNS之間路由協(xié)議功能描述當(dāng)運(yùn)營商LAC與企業(yè)LNS之間的L2TP隧道長時間不發(fā)送數(shù)據(jù)時，即本地長時間沒有從L2TP隧道接收到數(shù)據(jù)，LAC及LNS會發(fā)送L2TPHello消息，來探測對方是否存在若收到對方回應(yīng)一條ZLB消息，說明對方仍然工作正常，兩者之間的L2TP工作正常若在一段時間內(nèi)無法收到ZLB，說明對方設(shè)備或運(yùn)營商網(wǎng)絡(luò)中間出現(xiàn)故障，此時L2TP隧道是無法正常工作的，因此本地將發(fā)送一條StopCCN給對方，同時拆除本地的L2TP隧道

36L2TPKeepalive實(shí)驗(yàn)拓?fù)渑渲谜f明L2TPHello消息的發(fā)送功能默認(rèn)是開啟的，周期為60s發(fā)送一個。注，不同廠家LAC的L2TPHello默認(rèn)配置可能存在不同

37L2TPKeepalive注，本實(shí)驗(yàn)采用與前一實(shí)驗(yàn)完全相同的拓?fù)浼芭渲胷2(config-vpdn)#l2tptunnelhello?<0-1000>seconds,defaultis60實(shí)驗(yàn)拓?fù)浣Y(jié)果驗(yàn)證將R4關(guān)機(jī)，并等待一段時間后LAC（R2）在一段時間內(nèi)沒有通過L2TP隧道接收到LNS（R4）發(fā)送的報(bào)文，因此R2將發(fā)送L2TPHello消息給，此時R5的外網(wǎng)口已經(jīng)成為VRRPMaster，但R5上并沒L2TP相關(guān)的信息，因此不會對R2發(fā)送的L2TPHello進(jìn)行響應(yīng)。當(dāng)R2連續(xù)發(fā)送幾次L2TPHello并沒有收到響應(yīng)后，將發(fā)送一條StopCCN給，同時拆除本地的L2TP隧道，并重新發(fā)起協(xié)商。

38L2TPKeepalive注，本實(shí)驗(yàn)采用與前一實(shí)驗(yàn)完全相同的拓?fù)浼芭渲脤?shí)驗(yàn)拓?fù)浣Y(jié)果驗(yàn)證將R4關(guān)機(jī)，并等待一段時間后

39L2TPKeepalive注，本實(shí)驗(yàn)采用與前一實(shí)驗(yàn)完全相同的拓?fù)浼芭渲?/p>

40課程內(nèi)容雙LAC接入雙LNS接入運(yùn)營商雙線接入運(yùn)營商單線接入L2TPKeepalive客戶端接入中常見的問題Client的PPP認(rèn)證Client的IP地址分配Client與LNS之間的LCP重協(xié)商Client與LNS之間的PPPKeepaliveClient與LNS之間路由協(xié)議Client的PPP認(rèn)證LAC的動作在實(shí)際項(xiàng)目中，運(yùn)營商LAC設(shè)備可能會來自不同廠商，每個廠商LAC在L2TP功能實(shí)現(xiàn)上可能會存在差別。這種功能差別可能會對Client與LNS的認(rèn)證方式產(chǎn)生不同的影響。

41客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34Client的PPP認(rèn)證LAC的動作1.透明代理在Client與LAC完成PPPLCP、部分認(rèn)證協(xié)商后，LAC會將協(xié)商結(jié)果（比如MagicNumber、認(rèn)證方法、LAC產(chǎn)生的隨機(jī)字符串、Client回應(yīng)的HASH值）放置在L2TPICCN消息中發(fā)送給LNS。在該情況下，Client與LAC之間既可以使用CHAP或PAP。在實(shí)際項(xiàng)目中，按照這種方式工作的LAC較為常見參考《L2TP協(xié)議原理與應(yīng)用（一）》的描述

42客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34Client的PPP認(rèn)證LAC的動作2.非透明代理LAC會完全代理Client的PPP驗(yàn)證，即LAC發(fā)送的ICCN報(bào)文中可能不會攜帶密碼相關(guān)的AVP，因此LNS的PPP驗(yàn)證是直接與LAC進(jìn)行的，此時LAC就需要掌握Client密碼。通常LAC為運(yùn)營商設(shè)備，在LAC上是不會配置Client的用戶名和密碼。在這種情況下，只有配置Client的PPP驗(yàn)證為PAP方式，才能夠?qū)⒚魑牡挠脩裘兔艽a發(fā)送給LAC，LAC收到并提取后并與LNS完成PPP驗(yàn)證（LNS的PPP驗(yàn)證方式可以為CHAP或PAP）。注，若在項(xiàng)目中Client與LNS上配置都為正確，但仍出現(xiàn)PPP驗(yàn)證失敗，可以考慮更換下Client的驗(yàn)證方式為PAP進(jìn)行測試。

43客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34Client的IP地址分配問題描述Client的接口IP地址可以有兩種配置方法，一是通過PPP協(xié)商，即LNS從地址池中分配，一是本地接口靜態(tài)配置IP地址（ipaddress或ipunnnumber方式）根據(jù)報(bào)文交互的記錄，Client與LNS的IPCP協(xié)商是發(fā)生在L2TPSession建立成功之后進(jìn)行的，此時LAC是通過L2TP隧道對PPPIPCP報(bào)文進(jìn)行封裝，在Client和LNS之間進(jìn)行傳遞，LAC對PPPIPCP報(bào)文的處理與PPP數(shù)據(jù)報(bào)文的處理動作是相同的。實(shí)際中可能會存在某些廠商的LAC攔截Client與LNS之間的PPPIPCP報(bào)文并進(jìn)行修改，尤其是在Client靜態(tài)配置IP的情況下會出現(xiàn)IPCP協(xié)商失敗。在這種情況下，可以調(diào)整Client的IP地址配置為動態(tài)協(xié)商，也可以讓運(yùn)營商調(diào)整LAC的處理方式。

44客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34Client的IP地址分配

45客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34R1的接口配置interfaceSerial1/0ipaddressencapsulationppppppchaphostnamer1@pppchappassword0r1R4的接口配置interfaceVirtual-Template1ipaddresspppauthenticationchapIPCPCONFREQIP:L2TP隧道L2TP隧道IPCPCONFREQIP:IP:IPCPCONFREJIPCPTerminationREQ由于Client本地配置IP地址，因此LNS的VT接口下沒有配置地址池，當(dāng)LNS收到IPCP為的配置請求時，LNS本地沒有配置地址池給對端分配一個合法IP，因此LNS只能發(fā)送一條終止請求。從而造成PPPIPCP協(xié)商失敗，L2TP隧道及會話也會隨之拆除。Client與LNS之間的LCP重協(xié)商配置命令說明在LAC與LNS建立L2TPSession過程中，LAC會在ICCN報(bào)文中攜帶LAC與Client之間已經(jīng)完成的PPPLCP協(xié)商的結(jié)果，包含Client發(fā)送的LCP配置選項(xiàng)，如MagicNumber、驗(yàn)證方法、HASH值（CHAP），以及LAC發(fā)送的LCP配置選項(xiàng)MagicNumber、驗(yàn)證方法、隨機(jī)字符串（CHAP）。LNS可以直接利用ICCN報(bào)文中的協(xié)商結(jié)果，也可以在LNS上配置LCP重協(xié)商，在L2TPSession建立成功后，LNS與Client重新進(jìn)行PPP協(xié)商。注，當(dāng)Client與LNS之間PPP協(xié)商有問題時，可以嘗試配置LCP重協(xié)商命令。

46客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34r4(config-vpdn)#lcprenegotiationalwaysClient與LNS之間的PPPKeepalive問題描述Client與LNS之間PPP協(xié)商成功后，如果接口上配置了PPPKeepalive，那么Client與LNS每隔一段時間就會發(fā)送PPPLCPEchoRequest，如果在一段時間內(nèi)無法收到對端回應(yīng)的PPPLCPEchoReply，則說明鏈路出現(xiàn)問題，會中斷PPP會話。在實(shí)際中，LAC為不同廠商的設(shè)備，對于PPPKeepalive報(bào)文的處理可能會存在不同。

47客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34Client與LNS之間的PPPKeepalive問題描述1.LAC采用封裝的方式處理Client與LNS間的PPPLCPEchoRequest/Reply當(dāng)LAC收到Client發(fā)出的LCPEchoRequest后，LAC將其封裝在L2TP隧道中并發(fā)送給LAC，即LAC采用普通的PPP數(shù)據(jù)封裝方式來對待Client發(fā)出的PPPLCPEchoRequest。當(dāng)LNS收到后并通過L2TP隧道返回LCPEchoReply，LAC收到后，將L2TP隧道解封裝提取PPP報(bào)文將其發(fā)送給Client

48客戶端接入中常見的問題LNSClientLACOSPFR1R2R4S1/0S1/0R3模擬運(yùn)營商骨干網(wǎng)絡(luò)F0/0.23F0/0.23F0/0.34F0/0.34Client與LNS之間的PPPKeepalive問題描述2.LAC采用代理的方式出來Client與LNS間的PPPLCPEchoRequest/Reply當(dāng)LAC收到Client發(fā)出的LCPEchoRequest后，LAC直接進(jìn)行發(fā)送LCPEchoReply進(jìn)行回應(yīng)。當(dāng)LAC通過L2TP隧道收到LNS發(fā)出的LCPEchoRequest后，LAC直接在L2TP隧道中發(fā)送LCPEchoReply進(jìn)行回應(yīng)。在這種方式下，Client與LNS之間的PPPKeepalive并不是“端到端”的，而是分別于LAC交互了Keepalive報(bào)文。

49客戶端接入中常見