介绍
虚拟专用拨号网络 (VPDN) 允许专用网络拨入服务跨越远程访问服务器(定义为 L2TP 访问集中器 [LAC])。
当点对点协议 (PPP) 客户端拨入 LAC 时,LAC 确定应将该 PPP 会话转发到该客户端的 L2TP 网络服务器 (LNS)。然后,LNS 对用户进行身份验证并启动 PPP 协商。PPP 设置完成后,所有帧都将通过 LAC 发送到客户端和 LNS。
先决条件
要求
本文档没有具体要求。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中提供的信息是从特定实验室环境中的设备创建的。本文档中使用的所有设备都以清除(默认)配置开始。如果您在实时网络中工作,请确保在使用任何命令之前了解其潜在影响。
约定
有关文档约定的详细信息,请参阅思科技术提示约定。
词汇表
客户端:连接到远程访问网络的 PC 或路由器,它是呼叫的发起方。
L2TP:第 2 层隧道协议。PPP 定义了一种封装机制,用于在第 2 层 (L2) 点对点链路之间传输多协议数据包。通常,用户使用拨号普通旧电话服务 (POTS)、ISDN 或非对称数字用户线路 (ADSL) 等技术获得与网络访问服务器 (NAS) 的 L2 连接。然后,用户通过该连接运行 PPP。在此类配置中,L2 端点和 PPP 会话端点驻留在同一物理设备 (NAS) 上。
L2TP 通过允许 L2 和 PPP 端点驻留在通过网络互连的不同设备上来扩展 PPP 模型。使用 L2TP,用户与接入集中器建立 L2 连接,然后集中器将各个 PPP 帧通过隧道传输到 NAS。这允许PPP数据包的实际处理与L2电路的终止分离。
L2F:第 2 层转发协议。L2F 是比 L2TP 更早的隧道协议。
LAC:L2TP 接入集中器。充当 L2TP 隧道端点的一端并且是 LNS 的对等方的节点。LAC 位于 LNS 和客户端之间,并将数据包转发到每个客户端和从每个客户端转发数据包。从 LAC 发送到 LNS 的数据包需要使用 L2TP 协议建立隧道。从LAC到客户端的连接通常通过ISDN或模拟进行。
LNS:L2TP网络服务器。充当 L2TP 隧道端点的一端并且是 LAC 的对等方的节点。LNS 是 LAC 从客户端通过隧道传输的 PPP 会话的逻辑终结点。
家庭网关:与 L2F 术语中的 LNS 定义相同。
NAS:与 L2F 术语中的 LAC 定义相同。
隧道:在 L2TP 术语中,隧道存在于 LAC-LNS 对之间。隧道由一个控制连接和零个或多个 L2TP 会话组成。隧道在 LAC 和 LNS 之间传输封装的 PPP 数据报和控制消息。L2F 的过程相同。
会话:L2TP 是面向连接的。LNS 和 LAC 为由 LAC 发起或应答的每个呼叫维护一个状态。在客户端和 LNS 之间建立端到端 PPP 连接时,将在 LAC 和 LNS 之间创建 L2TP 会话。与 PPP 连接相关的数据报通过 LAC 和 LNS 之间的隧道发送。已建立的 L2TP 会话与其关联的呼叫之间存在一对一的关系。L2F 的过程相同。
VPDN 流程概述
在下面对VPDN流程的描述中,我们使用L2TP术语(LAC和LNS)。
客户端呼叫 LAC(通常使用调制解调器或 ISDN 卡)。
客户端和 LAC 通过协商 LCP 选项(身份验证方法密码身份验证协议 [PAP] 或质询握手身份验证协议 [CHAP]、PPP 多链路、压缩等)来启动 PPP 阶段。
假设已在步骤 2 中协商了 CHAP。LAC 向客户端发送 CHAP 质询。
LAC 会获取响应(例如username@DomainName和密码)。
根据 CHAP 响应中收到的域名或 ISDN 设置消息中收到的被叫号码信息服务 (DNIS),LAC 检查客户端是否为 VPDN 用户。它通过使用其本地 VPDN 配置或联系身份验证、授权和记帐 (AAA) 服务器来执行此操作。
由于客户端是 VPDN 用户,因此 LAC 会获取一些信息(从其本地 VPDN 配置或 AAA 服务器获取这些信息),这些信息用于启动与 LNS 的 L2TP 或 L2F 隧道。
LAC 使用 LNS 启动 L2TP 或 L2F 隧道。
根据从 LAC 的请求中收到的名称,LNS 检查是否允许 LAC 打开隧道(LNS 检查其本地 VPDN 配置)。此外,LAC 和 LNS 相互进行身份验证(它们使用本地数据库或联系 AAA 服务器)。然后,隧道在两个设备之间启动。在此隧道中,可以承载多个 VPDN 会话。
对于客户端username@DomainName,将触发从 LAC 到 LNS 的 VPDN 会话。每个客户端有一个 VPDN 会话。
LAC 将其协商的 LCP 选项以及从客户端收到的username@DomainName和密码转发给 LNS。
LNS 从 VPDN 配置中指定的虚拟模板克隆虚拟访问。LNS 采用从 LAC 收到的 LCP 选项,并在本地或通过联系 AAA 服务器对客户端进行身份验证。
LNS 向客户端发送 CHAP 响应。
执行 IP 控制协议 (IPCP) 阶段,然后安装路由:PPP 会话在客户端和 LNS 之间启动并运行。LAC 只是转发 PPP 帧。PPP 帧在 LAC 和 LNS 之间通过隧道传输。
隧道协议
可以使用第 2 层转发 (L2F) 或第 2 层隧道协议 (L2TP) 构建 VPDN 隧道。
L2F 由思科在征求意见 (RFC) 2341 中引入,也用于转发多机箱多链路 PPP 的 PPP 会话。
RFC 2661 中引入的 L2TP 结合了思科 L2F 协议和微软点对点隧道协议 (PPTP) 的优点。此外,L2F 仅支持拨入 VPDN,而 L2TP 同时支持拨入和拨出 VPDN。
两种协议都使用 UDP 端口 1701 通过 IP 网络构建隧道以转发链路层帧。对于 L2TP,隧道 PPP 会话的设置包括两个步骤:
在LAC和LNS之间建立隧道。仅当两个设备之间没有活动隧道时,才会发生此阶段。
在 LAC 和 LNS 之间建立会话。
LAC 决定必须启动从 LAC 到 LNS 的隧道。
LAC 发送启动-控制-连接-请求 (SCCRQ)。此消息中包含 CHAP 质询和 AV 对。
LNS 使用启动-控制-连接-应答 (SCCRP) 进行响应。此消息中包含 CHAP 质询、对 LAC 质询的响应和 AV 对。
LAC 发送启动-控制-连接连接 (SCCCN)。CHAP 响应包含在此消息中。
LNS 以零长度正文确认 (ZLB ACK) 进行响应。该确认可能会在另一条消息中携带。隧道已启动。
LAC 向 LNS 发送传入呼叫请求 (ICRQ)。
LNS 使用传入-呼叫-回复 (ICRP) 消息进行响应。
LAC 发送传入呼叫连接 (ICCN)。
LNS以ZLB ACK进行响应。该确认也可能在另一条消息中携带。
会话已结束。
注意:上述用于打开隧道或会话的消息带有 RFC 2661 中定义的属性值对 (AVP)。它们描述属性和信息(例如持有者帽、主机名、供应商名称和窗口大小)。一些 AV 对是必需的,而另一些是可选的。
注意:隧道 ID 用于在 LAC 和 LNS 之间多路复用和解复用隧道。会话 ID 用于标识与隧道的特定会话。
对于 L2F,隧道传输 PPP 会话的设置与 L2TP 相同。它涉及:
在 NAS 和家庭网关之间建立隧道。仅当两个设备之间没有活动隧道时,才会发生此阶段。
在 NAS 和家庭网关之间建立会话。
NAS 决定必须启动从 NAS 到主网关的隧道。
NAS 会向家庭网关发送L2F_Conf。此消息中包含 CHAP 质询。
家庭网关以L2F_Conf响应。此消息中包含 CHAP 质询。
NAS 发送L2F_Open。此消息中包含家庭网关质询的 CHAP 响应。
家庭网关以L2F_Open响应。NAS 质询的 CHAP 响应包含在此消息中。隧道已启动。
NAS 会向主网关发送L2F_Open。数据包包括客户端的用户名 (client_name)、NAS 发送到客户端的 CHAP 质询 (challenge_NAS) 及其响应 (response_client)。
家庭网关通过发回L2F_OPEN接受客户端。流量现在可以在客户端和家庭网关之间自由地沿任一方向流动。
注意:隧道由 CLID(客户端 ID)标识。多路复用 ID (MID) 标识隧道内的特定连接。
