神州數碼路由器上的l2tp實驗。

        學生按照神碼的配置手冊和實驗項目手冊做l2tp，結果又麼有成。還是信任自己，不信任神碼手冊，繼續總結。。

一、什麼是l2tp

        l2tp（Layer 2 Tunneling Protocol第二層隧道協議）

      L2TP是一種虛擬專用網絡協議，已成爲IETF有關二層隧道協議的工業標準。L2TP將PPP（Point-to-Point Protocol）幀封裝後，L2TP使用的是UDP封裝，端口號1701，可通過IP，X.25，幀中繼或ATM等網絡進行傳送。該協議是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡爲IP網絡，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持。

二、l2tp的一些名詞解釋

LAC（L2TP Access Concentrator），L2TP訪問集中器：LAC作爲L2TP隧道的一側端點，是LNS的對端設備。LAC在LNS和遠端系統之間傳遞信息包，將從遠端系統收到的信息包按照L2TP協議進行封裝並送往LNS，將從LNS收到的信息包進行解封裝並送往遠端系統。

LNS（L2TP Network Server），L2TP網絡服務器：LNS作爲L2TP隧道的另一側端點，是LAC的對端設備，是被LAC進行隧道傳輸的PPP會話的邏輯終止端點。

PPP（Point-to-Point Protocol），點對點協議：PPP協議是爲在兩點之間傳輸數據包的簡單鏈路設計的，這些鏈路提供全雙工的同時雙向操作，而且按順序傳送數據包。

Peer，對端設備：在L2TP協議中，對端設備指LAC或LNS中的任意一個。LAC的對端設備是LNS，反之亦然。

Tunnel，隧道：L2TP隧道（Tunnel）建立在LAC和LNS之間，由一個控制連接和n個（n≥0）個會話（Session）組成。控制消息和PPP數據包都在隧道上傳輸。

Session，會話：會話是建立於LAC和LNS之間的邏輯連接，它必須在隧道建立成功之後（包括身份保護、L2TP版本、幀類型、硬件傳輸類型等信息的交換）進行。每個會話連接對應於LAC和LNS之間的一個PPP數據流。

虛端口：用戶配置完一條L2TP隧道的相關參數後，系統自動生成一個虛端口用來傳輸數據，該虛端口只能由該用戶使用，其他用戶不能使用。

監聽：虛端口的一種工作狀態，在該狀態下，LAC和LNS之間並未建立真正的隧道，虛端口一直監聽是否有用戶的數據包需要傳送。

UP：隧道處於連接狀態時，路由狀態爲UP狀態，表示該路由正在被使用。

DOWN：隧道處於未連接狀態時，路由狀態爲DOWN狀態，表示該路由未被使用。

MTU（Maximum Transmission Unit），最大發送單元：物理端口可以發送的最大數據包長度。

MRU（Maximum Receive Unit），最大接收單元：物理端口可以接收的最大數據包長度。

PAP（Password Authentication Protocol），口令驗證協議：PPP協議中對通信雙方身份認證的安全性協議之一，是一種簡單的明文驗證協議。PAP認證僅在PPP連接建立時進行。

CHAP（Challenge Handshake Authentication Protocol），質詢握手驗證協議：PPP協議中對通信雙方身份認證的安全性協議之一，是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。CHAP認證可以在整個通信過程中進行。

MS-CHAP（Microsoft- Challenge Handshake Authentication Protocol），微軟質詢握手驗證協議：PPP協議中對通信雙方身份認證的安全性協議之一，與CHAP類似，它也是一種加密的驗證方式，能夠避免建立連接時傳送用戶的真實密碼。MS-CHAP使用基於MPPE（微軟點對點加密協議）的數據加密。

Fragment，分段：是指在源主機或路由器處，將一個數據包分割成多個數據包的一種過程。經過分段後，每個包都單獨傳送，並在目的地（目標主機）處重組。

Reassemble，重組：在數據目的地（目標主機）把所有分段重新組合起來的過程。

MD5（Message Digest 5），消息摘要版本5：從任意長度信息和16 字節密鑰生成128 位散列（也稱作數字簽名或信息整理）的算法。所生成的散列（如同輸入的指印）用於驗證內容和來源的真實性和完整性。

AAA（Authentication Authorization Accounting），認證授權和記帳：AAA提供了一個用來對認證、授權和記帳這三種安全功能進行配置的一致性框架。

RADIUS（Remote Access Dial-In User Service），遠程訪問撥號用戶服務：RADIUS是一個遠程訪問協議，它通過Internet傳送認證、授權和記帳信息到遠程用戶的主網絡中。

三、具體實驗

       實驗環境中，有兩臺路由器，R1模擬LAC，R2模擬LNS，目的是爲了分支機構和總部之間進行l2tp的通信。192.168.0.0網段爲分支機構內網，192.168.1.0網段模擬internet，192.168.2.0模擬總部內網。172.16.1.0網段爲l2tp隧道利用。

實驗完成後R1的配置文件。

R1_config#      

!version 1.3.3H
service timestamps log date
service timestamps debug date
no service password-encryption
!
hostname R1

!
gbsc group default

!
aaa authentication ppp default local      ；
!
username 123 password 0 123
!
interface Virtual-tunnel0                                              ；
 ip address 172.16.1.2 255.255.255.0
 no ip directed-broadcast
 ppp chap hostname 123
 ppp chap password 0 123
 peer default ip address 172.16.1.1                             ；
!
interface FastEthernet0/0
 ip address 192.168.0.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
!
interface FastEthernet0/3
 ip address 192.168.1.1 255.255.255.0
 no ip directed-broadcast
 ip nat outside
!
interface Serial0/1
 no ip address
 no ip directed-broadcast
!
interface Serial0/2
 no ip address
 no ip directed-broadcast
!
interface Async0/0
 no ip address
 no ip directed-broadcast
!

ip route 192.168.2.0 255.255.255.0 Virtual-tunnel0      ；
!
ip access-list standard 999
 permit any 
!
vpdn enable
!
vpdn-group 0
 request-dialin                                                                   ；
 no domain
 protocol l2tp                                                                       ；
 local-name R1                                                                    ；
 initiate-to ip 192.168.1.2 priority 1                                  ；
!
!
ip nat inside source list 999 interface FastEthernet0/3          ；
!

實驗完成後R2的配置文件。

R2_config#show running-config 
正在收集配置...

當前配置:
!
!version 1.3.3H
service timestamps log date
service timestamps debug date
no service password-encryption
!
hostname R2
!

gbsc group default
!

ip local pool 000 172.16.1.50 50                                          ；
!
aaa authentication ppp default local                                     ；
username 123 password 0 123

!
interface Virtual-template0
 ip address 172.16.1.1 255.255.255.0
 no ip directed-broadcast
 ppp authentication chap                                                         ；
 ppp chap hostname 123
 ppp chap password 0 123
 peer default ip address 172.16.1.2                                            ；
!
interface FastEthernet0/0
 ip address 192.168.2.1 255.255.255.0
 no ip directed-broadcast
 ip nat inside
!
interface FastEthernet0/3
 ip address 192.168.1.2 255.255.255.0
 no ip directed-broadcast
 ip nat outside
!
interface Serial0/1
 no ip address
 no ip directed-broadcast
!
interface Serial0/2
 no ip address
 no ip directed-broadcast
!
interface Async0/0
 no ip address
 no ip directed-broadcast

!
ip route 192.168.0.0 255.255.255.0 Virtual-access0                       ；
!
!
ip access-list standard 999
 permit any 
!
!
!
vpdn enable
!
vpdn-group 0
 accept-dialin                                                    ；
 port Virtual-template0                                  ；
 protocol l2tp                                                        ；
 local-name default                                       ；
 terminate-from R1                                        ；
!
ip nat inside source list 999 interface FastEthernet0/3        ；
!

 

R1：顯示虛擬接口

R1_config#show interface virtual-tunnel 0
Virtual-tunnel0 is up, line protocol is up                                       ；
  Hardware is Unknown device
  MTU 1500 bytes, BW 100000 kbit, DLY 10000 usec
  Interface address is 172.16.1.2/24
  Encapsulation PPP, loopback not set
  Keepalive set(10 sec)
  LCP  Opened
  CHAP Opened, Message: ' Welcome to Digital China Router'
  IPCP Opened
       local IP address: 172.16.1.2  remote IP address: 172.16.1.1                ；
顯示路由表項

R1_config#show ip route 
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
       D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area
       ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
       OE1 - OSPF external type 1, OE2 - OSPF external type 2
       DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2

VRF ID: 0

C      172.16.1.0/24        is directly connected, Virtual-tunnel0                       ；
C      172.16.1.1/32        is directly connected, Virtual-tunnel0
C      192.168.0.0/24       is directly connected, FastEthernet0/0
C      192.168.1.0/24       is directly connected, FastEthernet0/3
S      192.168.2.0/24       is directly connected, Virtual-tunnel0                 ；

R2：

R2_config# show interface virtual-access 0
Virtual-access0 is up, line protocol is up                               ；
  Hardware is Virtual access interface
  MTU 1500 bytes, BW 100000 kbit, DLY 10000 usec
  Interface address is 172.16.1.1/24
  Encapsulation PPP, loopback not set
  Keepalive set(10 sec)
  LCP  Opened
  CHAP Opened, Message: 'Request timeout'
  IPCP Opened
       local IP address: 172.16.1.1  remote IP address: 172.16.1.2        ；

R2_config#show ip route 
Codes: C - connected, S - static, R - RIP, B - BGP, BC - BGP connected
       D - BEIGRP, DEX - external BEIGRP, O - OSPF, OIA - OSPF inter area
       ON1 - OSPF NSSA external type 1, ON2 - OSPF NSSA external type 2
       OE1 - OSPF external type 1, OE2 - OSPF external type 2
       DHCP - DHCP type, L1 - IS-IS level-1, L2 - IS-IS level-2

VRF ID: 0

C      172.16.1.0/24        is directly connected, Virtual-access0            ；
C      172.16.1.2/32        is directly connected, Virtual-access0
S      192.168.0.0/24       is directly connected, Virtual-access0           ；
C      192.168.1.0/24       is directly connected, FastEthernet0/3
C      192.168.2.0/24       is directly connected, FastEthernet0/0

 

未完待續。。。。。。。。。。。