介紹
虛擬專用撥號網(wǎng)絡(luò) (VPDN) 允許專用網(wǎng)絡(luò)撥入服務(wù)跨越遠(yuǎn)程訪問服務(wù)器(定義為 L2TP 訪問集中器 [LAC])。
當(dāng)點(diǎn)對點(diǎn)協(xié)議 (PPP) 客戶端撥入 LAC 時(shí),LAC 確定應(yīng)將該 PPP 會(huì)話轉(zhuǎn)發(fā)到該客戶端的 L2TP 網(wǎng)絡(luò)服務(wù)器 (LNS)。然后,LNS 對用戶進(jìn)行身份驗(yàn)證并啟動(dòng) PPP 協(xié)商。PPP 設(shè)置完成后,所有幀都將通過 LAC 發(fā)送到客戶端和 LNS。
先決條件
要求
本文檔沒有具體要求。
使用的組件
本文檔不限于特定的軟件和硬件版本。
本文檔中提供的信息是從特定實(shí)驗(yàn)室環(huán)境中的設(shè)備創(chuàng)建的。本文檔中使用的所有設(shè)備都以清除(默認(rèn))配置開始。如果您在實(shí)時(shí)網(wǎng)絡(luò)中工作,請確保在使用任何命令之前了解其潛在影響。
約定
有關(guān)文檔約定的詳細(xì)信息,請參閱思科技術(shù)提示約定。
詞匯表
客戶端:連接到遠(yuǎn)程訪問網(wǎng)絡(luò)的 PC 或路由器,它是呼叫的發(fā)起方。
L2TP:第 2 層隧道協(xié)議。PPP 定義了一種封裝機(jī)制,用于在第 2 層 (L2) 點(diǎn)對點(diǎn)鏈路之間傳輸多協(xié)議數(shù)據(jù)包。通常,用戶使用撥號普通舊電話服務(wù) (POTS)、ISDN 或非對稱數(shù)字用戶線路 (ADSL) 等技術(shù)獲得與網(wǎng)絡(luò)訪問服務(wù)器 (NAS) 的 L2 連接。然后,用戶通過該連接運(yùn)行 PPP。在此類配置中,L2 端點(diǎn)和 PPP 會(huì)話端點(diǎn)駐留在同一物理設(shè)備 (NAS) 上。
L2TP 通過允許 L2 和 PPP 端點(diǎn)駐留在通過網(wǎng)絡(luò)互連的不同設(shè)備上來擴(kuò)展 PPP 模型。使用 L2TP,用戶與接入集中器建立 L2 連接,然后集中器將各個(gè) PPP 幀通過隧道傳輸?shù)?NAS。這允許PPP數(shù)據(jù)包的實(shí)際處理與L2電路的終止分離。
L2F:第 2 層轉(zhuǎn)發(fā)協(xié)議。L2F 是比 L2TP 更早的隧道協(xié)議。
LAC:L2TP 接入集中器。充當(dāng) L2TP 隧道端點(diǎn)的一端并且是 LNS 的對等方的節(jié)點(diǎn)。LAC 位于 LNS 和客戶端之間,并將數(shù)據(jù)包轉(zhuǎn)發(fā)到每個(gè)客戶端和從每個(gè)客戶端轉(zhuǎn)發(fā)數(shù)據(jù)包。從 LAC 發(fā)送到 LNS 的數(shù)據(jù)包需要使用 L2TP 協(xié)議建立隧道。從LAC到客戶端的連接通常通過ISDN或模擬進(jìn)行。
LNS:L2TP網(wǎng)絡(luò)服務(wù)器。充當(dāng) L2TP 隧道端點(diǎn)的一端并且是 LAC 的對等方的節(jié)點(diǎn)。LNS 是 LAC 從客戶端通過隧道傳輸?shù)?PPP 會(huì)話的邏輯終結(jié)點(diǎn)。
家庭網(wǎng)關(guān):與 L2F 術(shù)語中的 LNS 定義相同。
NAS:與 L2F 術(shù)語中的 LAC 定義相同。
隧道:在 L2TP 術(shù)語中,隧道存在于 LAC-LNS 對之間。隧道由一個(gè)控制連接和零個(gè)或多個(gè) L2TP 會(huì)話組成。隧道在 LAC 和 LNS 之間傳輸封裝的 PPP 數(shù)據(jù)報(bào)和控制消息。L2F 的過程相同。
會(huì)話:L2TP 是面向連接的。LNS 和 LAC 為由 LAC 發(fā)起或應(yīng)答的每個(gè)呼叫維護(hù)一個(gè)狀態(tài)。在客戶端和 LNS 之間建立端到端 PPP 連接時(shí),將在 LAC 和 LNS 之間創(chuàng)建 L2TP 會(huì)話。與 PPP 連接相關(guān)的數(shù)據(jù)報(bào)通過 LAC 和 LNS 之間的隧道發(fā)送。已建立的 L2TP 會(huì)話與其關(guān)聯(lián)的呼叫之間存在一對一的關(guān)系。L2F 的過程相同。
VPDN 流程概述
在下面對VPDN流程的描述中,我們使用L2TP術(shù)語(LAC和LNS)。
客戶端呼叫 LAC(通常使用調(diào)制解調(diào)器或 ISDN 卡)。
客戶端和 LAC 通過協(xié)商 LCP 選項(xiàng)(身份驗(yàn)證方法密碼身份驗(yàn)證協(xié)議 [PAP] 或質(zhì)詢握手身份驗(yàn)證協(xié)議 [CHAP]、PPP 多鏈路、壓縮等)來啟動(dòng) PPP 階段。
假設(shè)已在步驟 2 中協(xié)商了 CHAP。LAC 向客戶端發(fā)送 CHAP 質(zhì)詢。
LAC 會(huì)獲取響應(yīng)(例如username@DomainName和密碼)。
根據(jù) CHAP 響應(yīng)中收到的域名或 ISDN 設(shè)置消息中收到的被叫號碼信息服務(wù) (DNIS),LAC 檢查客戶端是否為 VPDN 用戶。它通過使用其本地 VPDN 配置或聯(lián)系身份驗(yàn)證、授權(quán)和記帳 (AAA) 服務(wù)器來執(zhí)行此操作。
由于客戶端是 VPDN 用戶,因此 LAC 會(huì)獲取一些信息(從其本地 VPDN 配置或 AAA 服務(wù)器獲取這些信息),這些信息用于啟動(dòng)與 LNS 的 L2TP 或 L2F 隧道。
LAC 使用 LNS 啟動(dòng) L2TP 或 L2F 隧道。
根據(jù)從 LAC 的請求中收到的名稱,LNS 檢查是否允許 LAC 打開隧道(LNS 檢查其本地 VPDN 配置)。此外,LAC 和 LNS 相互進(jìn)行身份驗(yàn)證(它們使用本地?cái)?shù)據(jù)庫或聯(lián)系 AAA 服務(wù)器)。然后,隧道在兩個(gè)設(shè)備之間啟動(dòng)。在此隧道中,可以承載多個(gè) VPDN 會(huì)話。
對于客戶端username@DomainName,將觸發(fā)從 LAC 到 LNS 的 VPDN 會(huì)話。每個(gè)客戶端有一個(gè) VPDN 會(huì)話。
LAC 將其協(xié)商的 LCP 選項(xiàng)以及從客戶端收到的username@DomainName和密碼轉(zhuǎn)發(fā)給 LNS。
LNS 從 VPDN 配置中指定的虛擬模板克隆虛擬訪問。LNS 采用從 LAC 收到的 LCP 選項(xiàng),并在本地或通過聯(lián)系 AAA 服務(wù)器對客戶端進(jìn)行身份驗(yàn)證。
LNS 向客戶端發(fā)送 CHAP 響應(yīng)。
執(zhí)行 IP 控制協(xié)議 (IPCP) 階段,然后安裝路由:PPP 會(huì)話在客戶端和 LNS 之間啟動(dòng)并運(yùn)行。LAC 只是轉(zhuǎn)發(fā) PPP 幀。PPP 幀在 LAC 和 LNS 之間通過隧道傳輸。
隧道協(xié)議
可以使用第 2 層轉(zhuǎn)發(fā) (L2F) 或第 2 層隧道協(xié)議 (L2TP) 構(gòu)建 VPDN 隧道。
L2F 由思科在征求意見 (RFC) 2341 中引入,也用于轉(zhuǎn)發(fā)多機(jī)箱多鏈路 PPP 的 PPP 會(huì)話。
RFC 2661 中引入的 L2TP 結(jié)合了思科 L2F 協(xié)議和微軟點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP) 的優(yōu)點(diǎn)。此外,L2F 僅支持撥入 VPDN,而 L2TP 同時(shí)支持撥入和撥出 VPDN。
兩種協(xié)議都使用 UDP 端口 1701 通過 IP 網(wǎng)絡(luò)構(gòu)建隧道以轉(zhuǎn)發(fā)鏈路層幀。對于 L2TP,隧道 PPP 會(huì)話的設(shè)置包括兩個(gè)步驟:
在LAC和LNS之間建立隧道。僅當(dāng)兩個(gè)設(shè)備之間沒有活動(dòng)隧道時(shí),才會(huì)發(fā)生此階段。
在 LAC 和 LNS 之間建立會(huì)話。
LAC 決定必須啟動(dòng)從 LAC 到 LNS 的隧道。
LAC 發(fā)送啟動(dòng)-控制-連接-請求 (SCCRQ)。此消息中包含 CHAP 質(zhì)詢和 AV 對。
LNS 使用啟動(dòng)-控制-連接-應(yīng)答 (SCCRP) 進(jìn)行響應(yīng)。此消息中包含 CHAP 質(zhì)詢、對 LAC 質(zhì)詢的響應(yīng)和 AV 對。
LAC 發(fā)送啟動(dòng)-控制-連接連接 (SCCCN)。CHAP 響應(yīng)包含在此消息中。
LNS 以零長度正文確認(rèn) (ZLB ACK) 進(jìn)行響應(yīng)。該確認(rèn)可能會(huì)在另一條消息中攜帶。隧道已啟動(dòng)。
LAC 向 LNS 發(fā)送傳入呼叫請求 (ICRQ)。
LNS 使用傳入-呼叫-回復(fù) (ICRP) 消息進(jìn)行響應(yīng)。
LAC 發(fā)送傳入呼叫連接 (ICCN)。
LNS以ZLB ACK進(jìn)行響應(yīng)。該確認(rèn)也可能在另一條消息中攜帶。
會(huì)話已結(jié)束。
注意:上述用于打開隧道或會(huì)話的消息帶有 RFC 2661 中定義的屬性值對 (AVP)。它們描述屬性和信息(例如持有者帽、主機(jī)名、供應(yīng)商名稱和窗口大小)。一些 AV 對是必需的,而另一些是可選的。
注意:隧道 ID 用于在 LAC 和 LNS 之間多路復(fù)用和解復(fù)用隧道。會(huì)話 ID 用于標(biāo)識與隧道的特定會(huì)話。
對于 L2F,隧道傳輸 PPP 會(huì)話的設(shè)置與 L2TP 相同。它涉及:
在 NAS 和家庭網(wǎng)關(guān)之間建立隧道。僅當(dāng)兩個(gè)設(shè)備之間沒有活動(dòng)隧道時(shí),才會(huì)發(fā)生此階段。
在 NAS 和家庭網(wǎng)關(guān)之間建立會(huì)話。
NAS 決定必須啟動(dòng)從 NAS 到主網(wǎng)關(guān)的隧道。
NAS 會(huì)向家庭網(wǎng)關(guān)發(fā)送L2F_Conf。此消息中包含 CHAP 質(zhì)詢。
家庭網(wǎng)關(guān)以L2F_Conf響應(yīng)。此消息中包含 CHAP 質(zhì)詢。
NAS 發(fā)送L2F_Open。此消息中包含家庭網(wǎng)關(guān)質(zhì)詢的 CHAP 響應(yīng)。
家庭網(wǎng)關(guān)以L2F_Open響應(yīng)。NAS 質(zhì)詢的 CHAP 響應(yīng)包含在此消息中。隧道已啟動(dòng)。
NAS 會(huì)向主網(wǎng)關(guān)發(fā)送L2F_Open。數(shù)據(jù)包包括客戶端的用戶名 (client_name)、NAS 發(fā)送到客戶端的 CHAP 質(zhì)詢 (challenge_NAS) 及其響應(yīng) (response_client)。
家庭網(wǎng)關(guān)通過發(fā)回L2F_OPEN接受客戶端。流量現(xiàn)在可以在客戶端和家庭網(wǎng)關(guān)之間自由地沿任一方向流動(dòng)。
注意:隧道由 CLID(客戶端 ID)標(biāo)識。多路復(fù)用 ID (MID) 標(biāo)識隧道內(nèi)的特定連接。