網(wǎng)絡(luò)工程師-技術(shù)培訓(xùn)l2tpgre

培訓(xùn)_L

2

T

P+GR

E協(xié)議1L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE2VRP測試組系列培訓(xùn)L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE3VRP測試組系列培訓(xùn)簡介的

性的用傳企可信物。隨著Internet

發(fā)展，每個企業(yè)都在思考：“利用Internet能為

企業(yè)作哪些事呢？”。最初，企業(yè)做自己的

，允許人們在Internet

問，從而進(jìn)行企業(yè)形象的宣傳、促銷、培訓(xùn)、技術(shù)支持等等?，F(xiàn)在，Internet的潛力似乎是無窮無盡的，大家的目光開始轉(zhuǎn)向電子商務(wù)，利用全球可以方便上網(wǎng)

的Internet，使得

戶可以容易的訪問到企業(yè)

統(tǒng)的IT系統(tǒng)中的關(guān)鍵商務(wù)程序及數(shù)據(jù)。為了得到安全保障，提供了非常節(jié)省費用的解決方案。如下圖所示，出差員工可以利用便攜機(jī)在內(nèi)的任何一臺可以nternet的計算機(jī)，通過隧道業(yè)網(wǎng)絡(luò)，企業(yè)以對該用戶進(jìn)行、驗證和審計；合作伙伴和分支機(jī)構(gòu)也可以通過組建私有網(wǎng)絡(luò)，代替?zhèn)鹘y(tǒng)的昂貴的專線方式，而且具有同樣的甚至更高的安全性。虛擬私有網(wǎng)實際上就是將Internet看作一種公有數(shù)據(jù)網(wǎng)（PublicDataNetwork），這種公有網(wǎng)和PSTN網(wǎng)在數(shù)據(jù)傳輸上沒有本質(zhì)的區(qū)別。因為從用戶觀點來看，數(shù)據(jù)都被正確傳送到了目的地。相對地，企業(yè)在這種公共數(shù)據(jù)網(wǎng)上建立的用以傳輸企業(yè)

息的網(wǎng)絡(luò)被稱為為私有網(wǎng)。至于“虛擬”，則主要是相對現(xiàn)存企業(yè)Intranet的組建方式而言的。通常企業(yè)Intranet相距較遠(yuǎn)的各局域網(wǎng)都是用

理線路相連的，而虛擬私有網(wǎng)通過隧道技術(shù)提供Internet上的虛擬鏈路在現(xiàn)代社會，信息已經(jīng)是一個企業(yè)能否生存的關(guān)鍵，計算機(jī)網(wǎng)絡(luò)為企業(yè)的辦公自動化和信息的獲取提供強(qiáng)大的構(gòu)架。隨著企業(yè)的發(fā)展以及移動用戶的增多，企業(yè)為分支機(jī)構(gòu)提供互連，也為移動用戶提供接入功能

在2002年將有90％的企業(yè)采用

技術(shù)來組建私有網(wǎng)。4VRP測試組系列培訓(xùn)簡介(Virtual

Private

Network)技術(shù)是一種在公共數(shù)據(jù)網(wǎng)絡(luò)上安全的傳輸用戶私有信息的網(wǎng)絡(luò)技術(shù)任何出差員工和外地辦事機(jī)構(gòu)都可以通過公共網(wǎng)絡(luò)

企業(yè)

網(wǎng)絡(luò)資源普通的I

n

t

r

a

n

e

t

各局域網(wǎng)通過租用專門的物理線路相連，而在I

n

t

e

r

n

e

t

上建立一條虛擬鏈路的實現(xiàn)可以通過M

P

L

S

、虛擬路由器和隧道等技術(shù)實現(xiàn)5VRP測試組系列培訓(xùn)簡介應(yīng)用以太網(wǎng)移動用戶PSTN/ISDNInternet用戶部分ISP及公共網(wǎng)部分總部企業(yè)網(wǎng)部分A8010Quidway路由器L2TP

over

IPSECIPSEC或GRE隧道分支機(jī)構(gòu)/合作伙伴企業(yè)網(wǎng)部分Quidway路由器以太網(wǎng)6VRP測試組系列培訓(xùn)簡介分類共有三種類型的，它們分別是：虛擬專網(wǎng)（Access企業(yè)

虛擬專網(wǎng)（Intranet））擴(kuò)展的企業(yè)虛擬專網(wǎng)（Extranet）這三種類型的分別與傳統(tǒng)的網(wǎng)絡(luò)、企業(yè)的Intranet以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對應(yīng)。7VRP測試組系列培訓(xùn)簡介PSTN

/

ISDN用戶LACInternetLNS虛擬專網(wǎng)-NAS

發(fā)起TUNNEL8VRP測試組系列培訓(xùn)簡介虛擬專網(wǎng)-用戶發(fā)起PSTN

/

ISDN用戶LACInternetLNSTUNNEL9VRP測試組系列培訓(xùn)簡介企業(yè)

虛擬專網(wǎng)(擴(kuò)展)總部紐約Internet10VRP測試組系列培訓(xùn)簡介隧道Internet隧道起點隧道終點隧道終點隧道起點隧道起點TCP/IP報文頭協(xié)議報文頭原始報文隧道終點加封裝原始報文協(xié)議報文頭TCP/IP報文頭解封裝在隧道起點加封裝在隧道終點解封裝二層隧道協(xié)議中封裝的是鏈路層報文三層隧道協(xié)議中封裝的是網(wǎng)絡(luò)層報文協(xié)議是指用于實現(xiàn)隧道的協(xié)議，其中有二層隧道協(xié)議L2TP、三層隧道協(xié)議IPSEC和GRE。這些協(xié)議都是在隧道起點對原始報文進(jìn)行封裝然后在隧道終點進(jìn)行解封裝再得到原始報文，從而達(dá)到隧道傳輸?shù)哪康摹?1VRP測試組系列培訓(xùn)簡介二層隧道協(xié)議L2TPLayer

2

Tunnel

Protocol二層隧道協(xié)議三層隧道協(xié)議GREGeneric

Routing

Encapsulation通用路由封裝IPSecIP

SecurityIP安全12VRP測試組系列培訓(xùn)L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE13VRP測試組系列培訓(xùn)AAA/RADIUS簡介用戶PSTN/ISDNInternet用戶部分ISP及公共網(wǎng)部分用戶RADIUS

serverNASRADIUSRADIUS報文AAA/RADIUS報文交換過程14VRP測試組系列培訓(xùn)L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE15VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP協(xié)議特性L2TP（Layer

Two

Tunneling

Protocol

）協(xié)議提供了對PPP鏈路層數(shù)據(jù)包的通道和的（Tunneling）傳輸支持，它結(jié)合了另外兩個通道協(xié)議：Cisco的L2FPPTP的各自優(yōu)點，將成為IETF有關(guān)2層通道協(xié)議的工業(yè)標(biāo)準(zhǔn)。在一個LNS和LAC對之間存在著兩種類型的連接，一種是通道（tunnel）連接，它定義了一個LNS和LAC對；另一種是會話（session）連接，它復(fù)用在通道連接之上，用于表示承載在通道連接中的每個PPP會話過程。的與還、、L2TP連接以及PPP數(shù)據(jù)的傳送都是通過L2TP消息的交換來完成的，這些消息再通過UDP的1701端口承載于TCP/IP之上。L2TP消息可以分為兩種類型，一種是控制消息，另一種是數(shù)據(jù)消息?？刂葡⒂糜谕ǖ肋B接和會話連接的建立?？刂葡⒅械膮?shù)用AVP值對（Attribute

Value

Pair）來表示，使得協(xié)議具有很好的擴(kuò)展性；在控制消息的傳輸過應(yīng)用了消息丟失重傳和定時檢測通道連通性等機(jī)制來保證了L2TP層傳輸?shù)目煽啃浴?shù)據(jù)消息用于承載用戶的PPP會話數(shù)據(jù)包。L2TP的報文分為控制報文及數(shù)據(jù)報文兩類?？刂茍笪陌薒2TP通道的建立、拆除，基于通道連接的會話連接的建立

、拆除；數(shù)據(jù)報文則用戶傳輸PPP報文。16VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP協(xié)議的組成部分的用戶，通常是外地用戶指通過L2TP協(xié)議連入出差員工或辦事機(jī)構(gòu)L2TP

集中器(LAC)用戶和LNS之間傳遞數(shù)據(jù)的設(shè)備，通常是當(dāng)?shù)豂SP的接入設(shè)備L2TP網(wǎng)絡(luò)服務(wù)器(LNS)L2TP協(xié)議的服務(wù)器端部分，通常是企業(yè)

網(wǎng)的邊緣設(shè)備17VRP測試組系列培訓(xùn)L2TP協(xié)議原理企業(yè)網(wǎng)用戶PSTN/ISDNInternet用戶部分ISP及公共網(wǎng)部分LAC用戶會話隧道企業(yè)網(wǎng)部分LNSRADIUSPacketRADIUSPacketRADIUS

serverRADIUS

server企業(yè)網(wǎng)用戶L2TP協(xié)議原理示意圖18VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP連接的兩種發(fā)起方式用戶發(fā)起連接(Client-initialized)用戶通過PSTN/ISDN接入NAS，獲得然后直接向遠(yuǎn)端LNS服務(wù)器發(fā)起L2TP連接LAC發(fā)起連接(LAC-initialized)ternet權(quán)限用戶通過PSTN/ISDN接入NAS(LAC)，NAS判斷如果是戶，就向指定的LNS發(fā)起L2TP連接19VRP測試組系列培訓(xùn)L2TP協(xié)議原理Client-initialized以太網(wǎng)用戶PSTN/ISDNNASInternetLNS用戶部分ISP及公共網(wǎng)部分企業(yè)網(wǎng)部分隧道用戶??貨車，N

A

S

??N

A

S

：你可以通行了用戶：好的，

把貨物送過去20VRP測試組系列培訓(xùn)L2TP協(xié)議原理NAS-initialized以太網(wǎng)用戶PSTN/ISDNLACLNSInternet用戶部分ISP及公共網(wǎng)部分企業(yè)網(wǎng)部分隧道用戶??貨車，LAC

??托運處LAC：你的貨物可以通過，有什么需要幫忙的？用戶：請把這些貨物托運到X

X

街X

X

號21VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP連接建立的流程用戶發(fā)起連接比較簡單，用戶直接向LNS發(fā)送連接請求，不需要LAC

支持LAC發(fā)起連接LAC

根據(jù)用戶指定的地址，向LNS發(fā)起連接，流程比較復(fù)雜LAC

和LNS之間可以進(jìn)行驗證用戶和LNS可進(jìn)行二次驗證和PPP重新協(xié)商22VRP測試組系列培訓(xùn)L2TP協(xié)議原理以太網(wǎng)用戶PSTN/ISDNLACInternet用戶部分ISP及公共網(wǎng)部分企業(yè)網(wǎng)部分LNS隧道A8010Quidway路由器呼叫建立(1)PPP

LAC建立(2)用戶CHAP

Challenge(3)用戶CHAP

Response(4)通道驗證(5)LAC

CHAP

Challenge(6)LNS

CHAP

Response(7)驗證通過(8)LNS

CHAP

Challenge(9)LAC

CHAP

Response(10)驗證通過(11)User

CHAP

Response+Response

Identifier+PPP已經(jīng)協(xié)商好的參數(shù)(12)驗證通過(13)可選的第二次CHAP

Challenge(14)用戶CHAP

Response(15)驗證通過(16)L

2

TP建立過程23VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP連接的兩種形式通道(Tunnel)連接一個LAC

和一個LNS之間只有一個通道連接會話(Session)連接會話連接復(fù)用在通道連接之上，用于表示承載在通道連接中的每個PPP會話過程第一個會話連接導(dǎo)致通道連接建立，最后一個會話連接斷開導(dǎo)致通道連接拆除通過L2TP報頭中的通道ID和會話ID實現(xiàn)24VRP測試組系列培訓(xùn)L2TP協(xié)議原理端L2TP在協(xié)議棧中的位置在PPP看來，L2TP就是物理層；L2TP將收到的報文交給

PPP，PPP將要發(fā)送的報文交給

L2TP。L2TP調(diào)用Socket與通道對端進(jìn)行接收發(fā)送，LNS端使用端1701，LAC

端使用未被使用的隨機(jī)

。IPPPPL2TPTCP/UDPIPPPP/FR/X.25物理層25VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP報文控制報文建立和清除L2TP通道和會話L2TP通道(采用錯誤重傳機(jī)制數(shù)據(jù)報文傳輸用戶數(shù)據(jù)不采用錯誤重傳機(jī)制o報文)26VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP報文控制報文1

(

)2

(SCCRQ)Start-Control-Connection-Request2

(SCCRP)Start-Control-Connection-Reply)3

(4

（Start-Control-Connection-Connected）Stop-Control-Connection-Notification5

(6

()O)o會話報文(

OCRQ)Outgoing-Call-Request(OCRP)Outgoing-Call-Reply9

(

)Outgoing-Call-Connected(ICRQ)ing-Call-Request(ICRP)ing-Call-Reply12

(

)ing-Call-Connected13

(

)14

(

CDN

)Call-Disconnect-Notify27VRP測試組系列培訓(xùn)L2TP協(xié)議原理L2TP報文錯誤報告報文15

(

W

EN) W

AN-Error-NotifyPPP連接控制報文16

(SLI)

Set-Link-InfoO

報文始當(dāng)隧道空閑一定時間，開

O報文的傳輸。如果O報文發(fā)O報文用來監(jiān)測隧道出后沒有收到對方的應(yīng)答，隧道將被清除的的連通性。28VRP測試組系列培訓(xùn)控制連接建立過程29VRP測試組系列培訓(xùn)LAC或LNS----------LAC或LNS----------SCCRQ-><-SCCRP-><-ZLBACK（當(dāng)本端沒有數(shù)據(jù)要發(fā)送時）L2TP協(xié)議原理L2TP協(xié)議原理會話連接建立過程30VRP測試組系列培訓(xùn)LNS---LAC---(CalDetected)

ICRQ-><-ICRP-><-ZLBACK（當(dāng)本端沒有數(shù)據(jù)要發(fā)送時）L2TP協(xié)議原理會話清除過程31VRP測試組系列培訓(xùn)LAC或LNSLAC或LNSCDN->(Cleanup)<-ZLBACK(Cleanup)L2TP協(xié)議原理隧道清除過程32VRP測試組系列培訓(xùn)LACorLNSLACorLNS->(Cleanup)<-ZLBACK(Wait)(Cleanup)L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE33VRP測試組系列培訓(xùn)L2TP配置User端配置User(config-if-Serial2)#ipaddressnegotiateUser(config-if-Serial2)#ppppapsent-usernamevpdnuser

password01234534VRP測試組系列培訓(xùn)L2TP配置LAC端配置LAC(config)#vpdnenable

LAC(config)#aaaenableLAC(config)#user

vpdnuserpassword012345LAC(config-if-Serial5/1/2)#pppauthenticationpap

vpdnLAC(config)#vpdn-group1LAC(config-vpdn1)#localname

LACLAC(config-vpdn1)#nol2tptunnelauthenticationLAC(config-vpdn1)#requestdialinl2tpip

11.110.1.2fulusername

vpdnuserLAC(config-vpdn1)#exit35VRP測試組系列培訓(xùn)L2TP配置LNS端配置LNS(config)#iplocalpool0192.168.1.1192.168.1.100LNS(config)#uservpdnuserpassword012345

LNS(config-if-Virtual-Template1)#ipaddress100.1.1.1

255.255.0.0LNS(config-if-Virtual-Template1)#peerdefaultipaddress

pool0LNS(config-if-Virtual-Template1)#exitLNS(config)#vpdn-group1LNS(config-vpdn1)#localname

LNSLNS(config-vpdn1)#nol2tptunnelauthenticationLNS(config-vpdn1)#acceptdialinl2tpvirtual-template1

rem

C36VRP測試組系列培訓(xùn)L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE37VRP測試組系列培訓(xùn)GRE協(xié)議原理GREGRE（Generic

Routing

Encapsulation)——基本路由封裝是對某些網(wǎng)絡(luò)層協(xié)議（如：IP，IPX

，AppleTalk等）的數(shù)據(jù)報進(jìn)行封裝，使這些被封裝的數(shù)據(jù)報能夠在另

一個網(wǎng)絡(luò)層協(xié)議（如IP）中傳輸。38VRP測試組系列培訓(xùn)乘客協(xié)議傳輸協(xié)議頭GRE頭原始數(shù)據(jù)包傳輸協(xié)議封裝協(xié)議GRE協(xié)議原理GRE組網(wǎng)圖GREIP/IPX/AppleTalk公共網(wǎng)部分企業(yè)網(wǎng)部分LNSInternetRouter39VRP測試組系列培訓(xùn)企業(yè)網(wǎng)部分Router經(jīng)過多于15個Internet上的路由器GRE協(xié)議原理GRE協(xié)議特點機(jī)制簡單，對隧道兩端設(shè)備的CPU

負(fù)擔(dān)小不提供數(shù)據(jù)的加密不對數(shù)據(jù)源進(jìn)行驗證不保證報文正確到達(dá)目的地不提供流量控制和QoS特性多協(xié)議的本地網(wǎng)可以通過單一協(xié)議的骨干網(wǎng)實現(xiàn)傳輸將一些不能連續(xù)的子網(wǎng)連接起來，用于組建40VRP測試組系列培訓(xùn)GRE協(xié)議原理GRE封裝Tunnel是一個虛擬的點對點的連接，它提供了一條通路使封裝的數(shù)據(jù)報能夠在這個通輸，并且在一個Tunnel的兩端分別對數(shù)據(jù)報進(jìn)行封裝及解封。乘客協(xié)議運載協(xié)議或封裝協(xié)議協(xié)議IPX/IPGREIP鏈路層協(xié)議41VRP測試組系列培訓(xùn)L2TP+GRE)簡介AAA/RADIUS簡介L2TP協(xié)議原理

L2TP配置

GRE協(xié)議原理GRE配置VRP與IOS的實現(xiàn)-L2TPVRP與IOS的實現(xiàn)-GRE42VRP測試組系列培訓(xùn)GRE配置GRE一端配置(兩端相同)GrePeer(config)#interfaceTunnel1GrePeer(config-if-Tunnel1)#ipaddress100.1.