《L2TP原理.pptx

L2TP 协议简介PPP 简介Cisco 路由器对串行链路默认使用 HDLC（高级数据链路控制）进行第 2 层的封装。由于各厂商的 HDLC 封装不一致，因此在需要将多厂商的设备通过串行链路对接时，需要在串行链路的接口上封装 PPP 。PPP 是数据链路层协议，可用于异步串行（拨号）介质和同步串（ISDN）介质，PPP 几乎是拨号异步链路上首选的第 2 层封装协议，可应用于 IP、IPX 和 AppleTalk 登网络层协议。PPP 提供身份验证、动态编址和回拨等功能，是替代 HDLC 的最佳封装解决方案。PPP 协商过程PPP 协商过程PPP 协商的两个阶段开始协商· 建立、配置并维护数据链路层（第 2 层）的连接；· 通交换 LCP 分组来动态协商参数，包括认证、压缩和 MLP。LCP（ Link Control Protocol ）· 负责 PPP 和三层网络协议的连接（挂接）· 三层网络协议包括：IP、IPX、 AppleTalk 等NCP（ Network Control Protocol ）协商完成PPP 协商过程PPP 与 OSI 模型IP、IPX 和 AppleTalk第 3 层PPP 网络控制协议（NCP）（针对每种网络层协议）第 2 层PPP 链路控制协议（LCP）物理层（EIA/TIA-232，V.24，V.35 和 ISDN）第 1 层PPP 协商过程PPP 协商的两个阶段LCP 协商阶段认证、压缩 和 MLP 协商NCP 协商阶段获取 IP 地址、DNS、WINS 等Echo-Request Echo-replyPPP LCP 协商阶段PPP LCP 协商阶段LCP（Link Control Protocol，链路控制协议）LCP 为 PPP 提供了多种选项：· 身份验证：提供 PAP 和 CHAP 两种方式；· 压缩：传输数据前对有效负载进行压缩；· 错误检测：使用 Quality 和 Magic Number 确保链路可靠并没有环路；· 多链路· PPP 回拨PPP LCP 协商阶段PPP LCP 协商阶段PPP LCP 协商阶段LCP Config-RequestLCP Config-AckLCP Config-RequestLCP Config-AckPPP LCP 协商阶段· Config-Request 当需要建立 PPP 连接时，会发送 Configure-Request，其中包含了协 商的选项（如压缩、认证方式等）。· Config-Ack 若完全支持对端的 LCP 选项，则回应 Configure-Ack，其中必须协带 对端 Configure-Request 中的全部选项。PPP LCP 协商阶段· Configure-Nak 若支持对端的协商选项，但不认可该项协商的内容，则回应 Configure-Nak 报文，在 Configure-Nak 的选项中填上自己期望的 内容。例如：对端 MRU 值为 1500，而自己期望 MRU 值为 1492， 则在Configure-Nak 报文中埴上自己的期望值 1492。PPP LCP 协商阶段· Configure-Reject 若不能支持对端的协商选项，则回应 Configure-Reject 报文，报文中 携带不能支持的选项，例如 Windows 拨号器会协商 CBCP（被叫回 呼），如果路由器不支持，则回将此选项拒绝掉。PPP LCP 协商阶段PPP LCP 协商阶段示例发送魔术字1发送魔术字2PPP LCP 协商阶段PPP LCP 协商阶段发送协商参数3发送协商参数4PPP LCP 协商阶段PPP LCP 协商后，会持续发送 echo 消息，确保链路双向通信正常。双方对参数达成一致，顺利完成 LCP 阶段的协商，随后通过 echo 消息进行保活PPP 认证PPP 认证PPP PAP 认证采用明文方式，登录的节奏由远程用户控制，是一种不安全的认证方式。PAP 认证步骤如下：接入服务器远程用户 xie当出现提示时输入用户名和密码开始 PPP 协商 本地用户 DB 用户名：xie 密 码：123使用 PAPxie，123Authenticate-ACKCisco：如果认证失败，服务器将响应 NAK，但并不会立刻关闭链路。如果认证 10 次都失败，将关闭链路。PPP 认证PPP CHAP 是一种比 PAP 高级的认证方式，登录的节奏由服务器控制。服务器必需发送一个询问分组。询问分组包含一个随机 ID 和本地路由器的主机名。 CHAP 认证步骤如下：接入服务器远程用户 xie开始 PPP 协商 用户：xie 密码：123使用 CHAP 本地用户 DB 用户名：xie 密 码：123使用询问（随