M000-0009-L2TP协议基础(中文版V1.0)定稿.doc

《M000-0009-L2TP协议基础(中文版V1.0)定稿.doc》由会员分享，可在线阅读，更多相关《M000-0009-L2TP协议基础(中文版V1.0)定稿.doc（7页珍藏版）》请在咨信网上搜索。

课程XXXX L2TP协议基础（M000 0009） Issue 1.0精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------- -------------------------------------------------------------------------------------------------------------------------------------------- L2TP协议 1.1.1 L2TP协议概述 L2TP协议是由IETF起草，微软、Ascend 、Cisco、 3COM等公司参预制定的2层隧道协议，它结合了PPTP和L2F两种2层隧道协议的优点，为众多公司所接受。 L2TP的特性有： L2TP特别适合单个或少数用户接入企业的情况，其点到网的特性是其承载协议PPP所约定的。 由于L2TP对私有网的数据包进行了封装，因此在Internet上传输数据时，对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配。 与PPP模块配合，支持本地和远端的认证、授权和记费（AAA）功能，对用户的接入也可根据需要采用全用户名，用户域名和用户拨入的特殊服务号码来识别是否为VPN用户。 对数据报文的安全性可采用IPSEC协议，采用该协议即可以在用户发往Internet之前对数据报文加密（即用户控制方式），也可采用在VPN端系统LAC侧加密（即服务提供商控制方式）。 对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。 1.1.2 使用L2TP构建VPDN 如图所示，企业员工或小型的分支机构可以通过多种方式灵活的接入总部的网络： 方式1：员工通过PSTN/ISDN接入IPS的LAC，LAC（L2TP Access Concentrator）是L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧道和会话连接的功能，以及对VPN用户的代理认证功能；它是ISP侧提供VPN服务的接入设备，在物理实现上，它即可以是配置L2TP的路由器或接入服务器，也可以是专用的VPN服务器。由LAC通过 Internet向LNS发起建立隧道连接请求，连接总部的网络。LNS（ L2TP Network Server）是L2TP企业侧的VPN服务器，该服务器完成对用户的最终授权和验证，接收来自LAC的隧道和连接请求，并建立连接LNS和用户的PPP通道。对于用户AAA数据也可以采用RADIUS服务器来保存，该服务器既可以在本地也可以在远端。采用这种方式，员工不需要配置VPN拨号软件。这种方式的好处在于：对用户是透明的，用户只需要登录一次就可以接入企业网络，由企业网进行用户认证和内部地址分配（而不占用公共地址），可由LNS或LAC侧的AAA完成对拨号用户的计费。用户可使用各种平台上网。这种方式需要ISP支持VPDN协议，需要认证系统支持VPDN属性，网关一般使用路由器或VPN专用服务器。 方式2：员工直接连入POP（point of present）点，该POP点提供数据服务，在用户侧配置VPN拨号软件就可以直接与总部建立VPN连接。用户端客户机与VPDN网关建立隧道。由客户机先建立与Internet的连接，再通过专用的客户软件（如Win2000支持的L2TP）与企业网关建立隧道连接。这种方式的好处在于：用户上网的方式和地点没有限制，不需ISP介入，只能由LNS侧的AAA对拨号用户进行计费。这种方式的缺点是：用户需要安装专用的软件（一般都是Win2000平台），限制了用户使用的平台。 L2TP中存在两种消息：控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护及删除；数据消息则用于封装PPP帧并在隧道上传输。 1.1.3 L2TP隧道和会话建立流程 为了在VPN用户和服务器之间传递数据报文，必须在LAC和LNS之间建立传递数据报文的隧道和会话连接，隧道是保证具有相同会话连接特性的一组用户可以共享的连接属性所定义的通道，而会话是针对每个用户与企业VPN服务器建立连接的PPP数据通道。同一对LAC与LNS之间只可建立一个L2TP隧道，多个会话复用在一个隧道连接上。隧道和会话是动态建立与删除的。 会话的建立是由PPP模块触发，如果该会话在建立时没有可用的隧道，那么先建立隧道连接。会话建立完毕后，开始进行数据传输。 隧道的建立是一个三次握手的过程，首先由LAC发起隧道建立请求SCCRQ（Start-Control-Connection-Request），LNS收到请求后进行应答SCCRP（Start-Control-Connection-Reply），LAC在收到应答后返回确认SCCCN（Start-Control-Connection-Connected），隧道建立。 会话建立的过程与隧道类似：首先由LAC发起会话建立请求ICRQ（Incoming-Call-Request），LNS收到请求后返回应答ICRP（Incoming-Call-Reply），LAC收到应答后返回确认ICCN（Incoming-Call-Connected），会话建立。 隧道建立后，一直要等到该隧道所属会话全部下线后才能进行拆除，为了确认对端的隧道依然存在，需要定时发送维护报文，其流程为LAC或LNS发出Hello报文进行查询，对应的LNS或LAC发出ZLB（Zero-Length Body）进行确认。ZLB报文只有一个L2TP的报文头。 隧道拆除流程为，首先由隧道任一端（LAC/LNS）发出拆链通知消息StopCCN （Stop-Control-Connection-Notification），对端返回ZLB确认。 会话的拆除流程为，会话一端发出拆链通知CDN（Call-Disconnect-Notify），对端返ZLB确认。 1.1.4 L2TP协议栈结构及数据包的封装过程 上图说明了数据包在传输过程中所经过的协议栈结构和封装过程。 下面以一个用户侧的IP报文的传递过程来描述VPN工作原理： 从用户侧（Client）向服务器侧（Server）：用户数据为IP报文，先经过PPP封装，在LAC侧的链路层将相同的数据报文作为用户数据传递给L2TP协议，L2TP再封装成UDP报文，UDP再次封装成可以在Internet上传输的IP报文，此时的结果就是IP报文中又有IP报文，但两个IP地址不同，用户报文的IP地址是私有地址，而LAC上的IP地址为公有地址，至此完成了VPN的私有数据的封装。 在LNS侧收到VPN的IP报文后，将IP、UDP、L2TP报文头去掉后就恢复了用户的PPP报文，将PPP报文头去掉就可以得到IP报文，至此用户IP数据报文得到传递。 7 ---------------------------------------------------------精品 文档---------------------------------------------------------------------