CISCOL2TP配置手册.docx

1、CISCOL2TP配置手册L2TP原理及应用目录 11 关于VPN（Virtual Private Networks） 31.1 VPN简介 31.2 VPN网络的结构 41.3 VPN协议的分类 52 关于L2TP 62.1 L2TP简介 62.2 L2TP网络构成 63.2 L2TP协商交互过程 83.2.1 L2TP建立流程 83.2.2 L2TP隧道的维护 93.2.3 L2TP隧道拆除 93.2.4 其他 94 L2TP/VPN的应用（配置与调试信息） 104.1 Intranet VPN应用，这也是最常见的L2TP应用环境： 104.1.1 实验环境： 104.1.2 Config

2、配置！ 104.1.3 L2TP隧道和端口的状态信息（静态）： 114.1.4 L2TP隧道的建立、维护和拆链过程（动态）： 124.2 Access VPN应用： 134.2.1 实验环境： 134.2.2 Config配置： 144.3 Extranet VPN应用： 214.3.1 实验环境： 214.3.2 Config配置： 224.3.3 L2TP建立的交互过程： 224.3.4 分析和说明： 275 L2TP与其他功能模块的结合 275.1 L2TP与NAT 275.2.1 Router-RouterIpsec对L2TP tunnel加密 275.2.2 Router-Route

3、rIpsec对上层数据加密 305.2.3 PC-Router 326 其他： 376.1 L2TP实际案例列举： 371关于VPN（Virtual Private Networks）1.1VPN简介 随着Internet的爆炸性发展，每个企业都在思考：“利用Internet能为我们的企业作哪些事呢？”。最初，企业做自己的网站，允许人们在Internet上访问，从而进行企业形象的宣传、促销、培训、技术支持等等。现在，Internet的潜力似乎是无穷无尽的，大家的目光开始转向电子商务，利用全球可以方便上网访问的Internet，使得授权用户可以容易的访问到企业内部传统的IT系统中的关键商务程序及

4、数据。为了得到安全保障，VPN提供了非常节省费用的解决方案。如下图所示，出差员工可以利用便携机在内的任何一台可以访问Internet的计算机，通过VPN隧道访问企业内部网络，企业内部可以对该用户进行授权、验证和审计；合作伙伴和分支机构也可以通过VPN组建私有网络，代替传统的昂贵的专线方式，而且具有同样的甚至更高的安全性。 虚拟私有网实际上就是将Internet看作一种公有数据网（Public Data Network），这种公有网和PSTN网在数据传输上没有本质的区别。因为从用户观点来看，数据都被正确传送到了目的地。相对地，企业在这种公共数据网上建立的用以传输企业内部信息的网络被称为为私有网。

5、至于“虚拟”，则主要是相对现存企业Intranet的组建方式而言的。通常企业Intranet相距较远的各局域网都是用专用物理线路相连的，而虚拟私有网通过隧道技术提供Internet上的虚拟链路。 在现代社会，信息已经是一个企业能否生存的关键，计算机网络为企业的办公自动化和信息的获取提供强大的构架。随着企业的发展以及移动用户的增多，企业为分支机构提供互连，也为移动用户提供接入功能。预测在2002年将有90的企业采用VPN技术来组建私有网。1.2VPN网络的结构 根据网络结构和应用的不同，VPN可以分为三类，分别为：远程访问虚拟专网（Access VPN/也叫VPDN）、企业内部虚拟专网（Intr

6、anet VPN）和扩展型企业内部虚拟专网（Extranet VPN），下面以他们的拓朴接口来说明。A、远程访问虚拟专网 远程访问VPN又称VPDN（Virtual Private Dialup Network），这种方式的VPN解决了出差员工在异地访问企业内部私有网的问题，提供了身份验证授权和计费的功能，出差员工和外地客户甚至不必拥有本地ISP的上网权限就可以访问企业内部资源，原因是客户端直接与企业内部建立了VPN隧道，这对于流动性很大的出差员工和分布广泛的客户来说是很有意义的。企业开设VPN服务所需的设备很少，只需在资源共享处放置一台支持VPN的路由器就可以了，资源享用者通过PSTN连入所

7、在地NAS服务器后直接呼叫企业的VPN路由器，呼叫的方式和拥有PSTN连接的呼叫方式完全是一样的只需按当地的电话收费标准交付费用。当然也可能是ADSL的接入方式，情况是一样的！B、企业内部虚拟专网 Intranet VPN是适应大中型企业和其在地域上分布不同的机构设置的网络，通过Intranet隧道，企业内部各个机构可以很好的交流信息，通过Internet在公司企业总部和国内国外的企业分支机构建立了虚拟私有网络，这种应用实质上是通过公用网在各个路由器之间建立VPN连接来传输用户的私有网络数据。目前大多数的企业VPN都是这种情况！C、扩展型企业内部虚拟专网 这种情况和Access VPN在硬件结

8、构上非常相象！不过客户端PC上不必配置任何关于VPN的设置或者软件，它需要做的就是拨号上网连接到NAS，而VPN隧道是由NAS来负责与企业内部的Router建立完成的！1.3VPN协议的分类前面讲的几种VPN应用结构中，核心内容就是在合适的位置建立隧道；所以VPN协议是指用于实现隧道的协议，这些协议都是在隧道起点对原始报文进行封装然后在隧道终点进行解封装再得到原始报文，从而达到隧道传输的目的。常见的VPN协议根据层次来划分有：二层隧道协议L2TP、PPTP；三层隧道协议IPSEC、GRE等。 目前，MPLS/VPN也开始发展和成熟起来，尤其是在电信骨干网上面应用的非常广泛！不过本文的重点是介绍

9、L2TP/VPN，所以所以其他的就只简单介绍一下！2关于L2TP2.1L2TP简介L2TP协议是由IETF起草，微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议，它结合了PPTP和L2F两种二层隧道协议的优点，为众多公司所接受，已经成为IETF有关2层通道协议的工业标准。L2TP的主要特性有：L2TP适合单个或少数用户接入企业的情况，其点到网连接的特性是其承载协议PPP所约定的；由于L2TP对私有网的数据包进行了封装因此在Internet上传输数据时对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配；与PPP模块配合，支持本地和远端的AAA功能（认证、授权和记费）

10、对用户的接入也可根据需要采用全用户名，用户域名和用户拨入的特殊服务号码来识别是否为VPN用户。对数据报文的安全性可采用IPSEC协议采用该协议即可以在用户发往Internet之前对数据报文加密即用户控制方式也可采用在VPN端系统LAC侧加密即服务提供商控制方式。对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。2.2 L2TP网络构成前面已经讲到，VPN的应用和组网结构分为三类，当然L2TP也是分为三种接入方式的，请参阅下图：这个图不仅描述了L2TP三种常见的构建模式，而且也指出了组建L2TP网络需要的三要素：LNS、L

11、AC和Client！ LNSL2TP Network Server，为L2TP企业侧的VPN服务器，该服务器完成对用户的最终授权和验证，接收来自LAC的隧道和连接请求，并建立连接LNS和用户的PPP通道。 LACL2TP Access Concentrator，为L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧道和会话连接的功能，以及对VPN用户的代理认证功能，它是ISP侧提供VPN服务的接入设备，在物理实现上，它即可以是配置L2TP的路由器，或接入服务器也可以是专用的VPN服务器。3 L2TP协议3.1 L2TP协议在TCP/IP协议栈中的位置此图说明了L2TP协议在整个TCP/I

12、P层次结构中位置，也指明了ip数据包在传输过程中所经过的协议栈结构和封装过程；我们以一个用户侧的IP报文的传递过程来描述VPN工作原理，黄色标示的IP为需要传递的用户数据！在LAC侧，的链路层将用户数据报文作为加上ppp封装，然后传递给L2TP协议，L2TP再封装成UDP报文，UDP再次封装成可以在Internet上传输的IP报文，此时的结果就是IP报文中又有IP报文，但两个IP地址不同，一般用户报文的IP地址是私有地址，而LAC上的IP地址为公有地址，至此完成了VPN的私有数据的封装；在LNS侧，收到L2TP/VPN的IP报文后将IP、UDP、L2TP报文头去掉后就恢复了用户的PPP报文，将

13、PPP报文头去掉就可以得到IP报文，至此用户IP数据报文得到，从而实现用户ip数据的透明隧道传输，而且整个PPP报头/报文在传递的过程中也保持未变，这也验证了L2TP是一个二层VPN隧道协议！3.2 L2TP协商交互过程为了在VPN用户和服务器之间传递数据报文，必须在LAC和LNS之间建立传递数据报文的隧道和会话连接，隧道是保证具有相同会话连接特性的一组用户可以共享的连接属性所定义的通道，而会话是针对每个用户与企业VPN服务器建立连接的PPP数据通道，多个会话复用在一个隧道连接上隧道和会话是动态建立与删除的。会话的建立是由PPP模块触发，如果该会话在建立时没有可用的隧道结构，那么先建立隧道连接

14、，会话建立完毕后开始进行数据传输！3.2.1 L2TP建立流程L2TP隧道的建立是一个三次握手的过程，首先由LAC发起隧道建立请求SCCRQ，LNS收到请求后进行应答SCCRP，最后LAC在收到应答后再给LNS返回确认SCCCN；隧道建立。会话建立的过程与隧道类似，首先由LAC发起会话建立请求ICRQ，LNS收到请求后返回应答ICRP，LAC收到应答后返回确认ICCN，会话建立！L2TP的会话建立由PPP触发，隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重新建立。3.2.2 L2TP隧道的维护隧道建立后，一直要等到该隧道所属会话全部下线后，再进行

15、拆除，为了确认对端的隧道结构依然存在，需要定时发送与对端的维护报文，其流程为：LAC或LNS发出Hello报文，对应的LNS或LAC发出确认信息！3.2.3 L2TP隧道拆除隧道拆除流程比其建立过程要简单，隧道的任何一端发出拆链通知StopCCN，对端返回确认；会话的拆除流程为：会话一端发出拆链通知CDN，对端返回确认即可！3.2.4 其他L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP报文分为控制报文和数据报文两类。控制报文包括L2TP通道的建立、维护、拆除，基于通道连接的会话连接的建立、维护、拆除，

16、控制消息中的参数用AVP值对（Attribute Value Pair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性；数据报文则用户传输PPP报文。4 L2TP/VPN的应用（配置与调试信息）这里我们就L2TP的几种常见应用模式给出配置举例！4.1 Intranet VPN应用，这也是最常见的L2TP应用环境：4.1.1 实验环境： LNS局域网网关为192.168.100.254/24；LNS外网口地址为10.0.0.1/8 LAC局域网网关为192.168.200.254/24；LAC外网口地址为10.

17、0.0.2/8建立的L2TP隧道在172.16.0.0/16网段！4.1.2 Config配置/配置中删除了无关的内容，且重要部分使用彩色字体标出！ LNS_Config:ip local pool L2POOL 172.16.0.10 50/动态地址池 username l2tp password 0 bdcom/建立CHAP认证数据库interface Virtual-template0/建立虚拟拨号模板ip address 172.16.0.1 255.255.0.0/指定隧道本端地址，也可以Unnumber Loopback端口ppp authentication chap /要求发起

18、CHAP认证ppp chap hostname l2tppeer default ip address pool L2POOL/调用地址池，给LAC分配ip地址interface FastEthernet0/0/LNS连接的中心局域网接口ip address 192.168.100.254 255.255.255.0no ip directed-broadcastinterface Ethernet2/0/LNS的外外网口地址ip address 10.0.0.1 255.0.0.0/LNS外网口地址，一般为公网ipno ip directed-broadcastip route defaul

19、t *.*.*.*/路由器默认网关，实验中没有增加，但实际应用中一般要加上ip route 192.168.200.0 255.255.255.0 Virtual-template/经过L2TP隧道指向对方局域网vpdn enable/启动L2TP/VPDNvpdn-group 1/建立VPDN组accept-dialin/配置为LNS端，接受远端呼叫protocol l2tp/指定使用的二层隧道协议，如果使用PPTP，在这里修改即可！local-name LNSvirtual-template 0/调用前面建立的虚拟拨号模板 LAC_config：username l2tp password

20、 0 bdcom/建立CHAP认证数据库interface Virtual-tunnel0/建立虚拟隧道端口ip address negotiatedno ip directed-broadcastppp chap hostname l2tpinterface FastEthernet0/0/LAC外网口地址，一般为公网ipip address 10.0.0.2 255.0.0.0no ip directed-broadcastinterface FastEthernet0/1/ LAC连接的网点局域网接口ip address 192.168.200.254 255.255.255.0no i

21、p directed-broadcastip route default *.*.*.*/路由器默认网关，实验中没有增加，但实际应用中一般要加上ip route 192.168.100.0 255.255.255.0 Virtual-tunnel0/经过L2TP隧道指向对方局域网vpdn enable/启动L2TP/VPDNvpdn-group 1/建立VPDN组request-dialin/配置为LAC端，发起L2TP隧道建立请求domain /指定VPDN域名，用于触发L2TP隧道建立initiate-to ip 10.0.0.1 priority 1/指定LNS的具体ip地址protoc

22、ol l2tp/指定使用的二层隧道协议，如果使用PPTP，在这里修改即可！ local-name LAC 注意：在BDCOM路由器上，CHAP认证所使用的用户名必须是*.*格式的，另外，在LNS的VPDN-group里面，如果配置了terminate-from *的话，对方LAC的hostname必须和它匹配，否则无法互通，这也一定程度上提供了安全性！4.1.3 L2TP隧道和端口的状态信息（静态）： 前面的配置完成之后，隧道不会自动建立，此时隧道tunnel和链路session的状态都是空的！必须要有数据包配合路由来触发L2TP“拨号”后，才能建立tunnel和session，如下所示：LA

23、C#show l2tp tunnelL2TP Tunnel Information:Total tunnels 1 sessions 1/显示目前隧道和链路的统计信息Local_ID Remote_IDStateRemote_Name Remote_Address UDP_Port Sessions4 1 Est LNS 10.0.0.1 1701 1 红色字体就是显示的当前建立的隧道的详细信息：本地id和远端id分别为4和1，状态为Est（建立），隧道的远端名字为LNS，远端LNS的外网口ip地址为10.0.0.1，L2TP隧道使用额UDP端口为1701（协议默认值），另外这个隧道上面承载的

24、session数量为1个！其中本地id和远端id一般情况下都不会变，从1开始，如果隧道重新建立，id数量就依次递增1！LAC#show l2tp sessionL2TP Session Information:Total tunnels 1 sessions 1/显示目前隧道和链路的统计信息Local_ID Remote_IDStateTunnel_IDInterfaceUsername 1 1 Est 4 vn0 (null) 这里的信息和show l2tp tunnel的信息基本类似，不再赘述，如果一条tunnel上面承载的session有多条，那么此处的输出信息就会有多条！看了L2TP隧

25、道的状态，再来看一下虚拟虚拟接口，比较简单：LAC#show inter virtual-tunnel 0/LAC侧虚接口状态Virtual-tunnel0 is up, line protocol is upHardware is Unknown deviceInternet address is 172.16.0.10/32MTU 1500 bytes, BW 100000 kbit, DLY 10000 usecEncapsulation PPP, loopback not set/封装的二层协议为PPPKeepalive set(10 sec)LCPOpenedCHAP Opened,

26、Message: Welcome to BDCOM RouterIPCP Openedlocal IP address: 172.16.0.10remote IP address: 172.16.0.1LNS#show inter virtual-access 0/LNS侧虚接口状态Virtual-access0 is up, line protocol is upHardware is Virtual access interfaceInterface address is 172.16.0.1/16MTU 1500 bytes, BW 100000 kbit, DLY 10000 usec

27、Encapsulation PPP, loopback not setKeepalive set(10 sec)LCPOpenedCHAP Opened,Message: noneIPCP Opened local IP address: 172.16.0.1remote IP address: 172.16.0.104.1.4 L2TP隧道的建立、维护和拆链过程（动态）：A、先看一下隧道建立的过程：(关键字使用粗体标明，阅读时结合前面的内容！) LAC#ping 192.168.100.254/在LAC上ping远端LNS的局域网地址，触发隧道PING 192.168.100.254 (19

28、2.168.100.254): 56 data bytes2002-1-1 00:54:04 L2TP: tunnel T5 to be created./这里开始的四行为LAC初始化2002-1-1 00:54:04 L2TP T5: state changed into IDLE2002-1-1 00:54:04 L2TP T5: session S1 to be created.2002-1-1 00:54:04 L2TP T5|S1: state changed into IDLE 2002-1-1 00:54:04 L2TP T5: TX - SCCRQ toT0/Tunnel建立的过程2002-1-1 00:54:04 L2TP T5: state changed into WAIT REPLY2002-1-1 00:54:04 L2TP T5: RX - SCCRP from LNS T22002-1-1 00:54:04 L