DCNROUTEVPN技术(L2TP)v1.2.pptVIP

* VPN [Virtual Private Network] VPN，即虚拟私有网络/虚拟专网，是指在internet网络上通过一定的隧道技术来虚拟私有网络的技术；其技术/协议种类有非常多，典型的有GRE、L2TP、PPTP、IPSec、MPLS、SSH等；但从网络的组成结构来划分的话，可以分为3种：Access VPN、Intranet VPN、Extranet VPN。 VPDN [Virtual Private Dialup Network] VPDN，顾名思义，就是指拨号性质的VPN网络。 常见的VPDN协议有L2TP、PPTP、L2F等等 * * LNS为L2TP服务器，该服务器完成对client的最终授权和验证，接收来自LAC的隧道和连接请求，并建立连接LNS和用户的PPP通道。 LAC为L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧道和会话连接的功能，以及对VPN用户的代理认证功能，它是ISP侧提供VPN服务的接入设备. * * 正常情况下需要转发的ip报文直接放到DLL（数据链路层）进行封装和转发，但在VPN处理过程中，中间还有更多的细节。 L2tp使用UDP的1701端口 * 当然为建立L2TP还需要使用一个专用的UDP通讯端口（1701）； 还有，在整个封装过程中涉及到两个“IP头”，不过这个不涉及到多个设备的协商问题，只是需要在网络规划的时候需要注意，后面会介绍。 * SCCRQ Start-Control-Connection-Request 请求报文 SCCRP Start-Control-Connection-Reply 回应报文 SCCCN Start-Control-Connection-Connected 确认报文 StopCCN Stop-Control-Connection-Notification ICRQ Incoming-Call-Request ICRP Incoming-Call-Reply ICCN Incoming-Call-Connected Hello CDN Call-Disconnect-Notify * T：消息类型； 0表示数据报文，1表示控制报文 L：报文长度指示；对于控制报文，必须置为1 x：预留，暂无意义；（发出的报文必须置为0，但对接收的报文不作要求） S：序列号；如果置为1，则表示Nx、Nr域有效，对于控制报文S必为1 O：偏移指示；对于控制报文，必须置为0 P：优先级；通常对数据报文有效，所有的控制报文均为0 Ver：版本信息；比为2 Length：表示整个报文的长度； Tunnel ID：L2TP隧道控制（tunnel）的身份 Session ID：L2TP tunnel内session的唯一身份标示符 Ns：标示本报文（发送）的序列号，初始值为0，之后逐个递增 Nr：标示L2TP期望收到的下一个报文的序列号（控制和数据） Offset Size：偏移量；如果有的话，说明本报文跟上一个报文之间偏移的值（xx字节） Offset Pad：具体的偏移内容 * * 由LAC和LNS周期性的护法Hello，然后根据对方的ZLB确认报文来实现。 * 由于建立的时候是包括tunnel和session的，所以拆链的时候也需要两个步骤 * * Client PC在访问远端服务器的时候，其发往LAC的IP数据包可以触发L2TP的相关连接； LAC会分别向LNS发起PPP（包括提供认证信息）和L2TP（tunnel、session）的连接请求； LNS接收来自LAC的连接请求，并建立L2TP和PPP连接；同时完成授权和验证等操作 。 * Client PC在访问远端服务器的时候，通过设置相应的PPP内容，其上层业务数据经过PPP封装之后，先发往LAC，从而触发PPP连接； LAC收到PPP之后，负责跟LNS建立一条L2TP隧道，随后将PPP内容中继到LNS上（包括ppp的交互和认证等信息）； LNS接收来自LAC的连接请求，并建立L2TP；之后同Client建立PPP的相关连接，同时完成授权和验证等操作 。 * Client PC通常需要安装L2TP的客户端软件（windows中一般有内置的，且一个软件中同时包含了L2TP和PPP的相关内容），在访问远端服务器的时候，应用数据会直接触发PPP和L2TP；分别去向LNS建立连接 LNS在收到请求之后，会跟PC完成和维护L2TP中所有的相关内容 。 ★如果采用windows的L2TP客户端，需要注意一下，它内置的L2TP是跟IPSec捆绑在一起的。 –HKEY_LOCAL_MACHIN