华为***技术一：L2TP概述

原理
名词解析：
VPDN：VPDN是承载PPP报文的×××，可以为企业、小型ISP、移动办公人员提供接入服务。
NAS：NAS网络接入服务器（Network Access Server）主要由ISP维护，连接拨号网络，是距离PPP终端地理位置最近的接入点。NAS用于传统的拨号网络中，为远程拨号用户提供VPDN服务，和企业总部建立隧道连接。
LAC： L2TP访问集中器LAC（L2TP Access Concentrator）是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息，和LNS建立L2TP隧道连接，将PPP协商延展到LNS。
LNS： L2TP网络服务器LNS（L2TP Network Server）是终止PPP会话的一端，通过LNS的认证，PPP会话协商成功，远程用户可以访问企业总部的资源。对L2TP协商，LNS是LAC的对端设备，即LAC和LNS建立了L2TP隧道；对PPP，LNS是PPP会话的逻辑终止端点，即PPP终端和LNS建立了一条点到点的虚拟链路。

1、L2TP基于PPP协议，仅能对PPP类型的报文进行封装。
2、L2TP隧道是LAC和LNS之间的一条虚拟点到点的连接，在这条L2TP隧道内传输的消息包括对应的控制消息和数据消息。
控制消息：用于L2TP隧道和会话连接的建立、维护和拆除。
数据消息：用于封装PPP数据帧并在隧道上传输。
3、在同一对LAC和LNS之间可以建立多条L2TP隧道，每条隧道可以承载一个或多个L2TP会话。
4、L2TP协议使用UDP端口1701，这个端口号仅用于初始隧道的建立。L2TP隧道发起方任选一个空闲端口向接收方的1701端口发送报文；接收方收到报文后，也任选一个空闲端口，给发起方的选定的端口回送报文。至此，双方的端口选定，并在隧道连通的时间内不再改变。

L2TP报文封装、解封装过程

1、PPP终端：IP数据报文进行PPP（链路层）封装，发送报文。
2、LAC：收到PPP报文后，根据报文携带的用户名或者域名判断接入用户是否为VPDN用户。
是VPDN用户：对PPP报文进行L2TP封装，根据LNS的公网地址，再对L2TP报文进行UDP和IP封装。封装后的报文最外层为公网IP地址，经过公网路由转发到达LNS。
非VPDN用户：对PPP报文进行PPP解封装，此时LAC为PPP会话的终止节点。
3、LNS：收到L2TP报文后，依次解除外层的IP封装、L2TP封装、PPP封装，得到PPP承载的信息，即PPP终端发送的IP数据报文。根据报文中的目的地址，查找路由表使报文达到企业总部的目的主机。
隧道建立过程：
1、PPP建立阶段
PPP建立详细过程请查看笔记： PPPOE论述
2、L2TP隧道建立阶段
LAC收到远程用户的PPP协商请求时，LAC向LNS发起L2TP隧道请求。LAC和LNS之间通过L2TP的控制消息，协商隧道ID、隧道认证等内容，协商成功后则建立起一条L2TP隧道，由隧道ID进行标识。
3、L2TP会话建立阶段
如果L2TP隧道已存在，则在LAC和LNS之间通过L2TP的控制消息，协商会话ID等内容，否则先建立L2TP隧道连接。会话中携带了LAC的LCP协商信息和用户认证信息，LNS对收到的信息认证通过后，则通知LAC会话建立成功。L2TP会话连接由会话ID进行标识。

L2TP OVER IPSEC
拓扑

配置信息
LAC：
####################################################################
[LAC]dis cu
[V200R003C00]
#
l2tp enable
#
acl number 3000
rule 5 permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
#
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm md5
#
ike peer spub v1
pre-shared-key cipher %$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal 5
remote-address 1.1.1.1
#
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer spub
proposal pro1
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
interface Virtual-Template1
ppp chap user huawei
ppp chap password cipher Huawei@1234
ip address ppp-negotiate
l2tp-auto-client enable
#
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.2.1 255.255.255.0
ipsec policy policy1
#
l2tp-group 1
tunnel password cipher huawei
tunnel name lac
start l2tp ip 1.1.1.1 fullusername huawei
#
ip route-static 1.1.1.0 255.255.255.0 1.1.2.2
ip route-static 10.1.2.0 255.255.255.0 Virtual-Template1
#
Return
###############################################################
[LAC]dis ike sa
Conn-ID Peer ××× Flag(s) Phase

    3    1.1.1.1         0     RD                     2     
    2    1.1.1.1         0     RD                     1     

Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

############################################################### [LAC]dis l2tp tunnel

Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 1.1.1.1 42246 1 lns
###############################################################
LNS：
###################################################################
[LNS]dis cu
[V200R003C00]
#
sysname LNS
#
l2tp enable
#
acl number 3000
rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255
#
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm md5
#
ike peer spua v1
pre-shared-key cipher %$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal 5
remote-address 1.1.2.1
#
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer spua
proposal pro1
#
ip pool 1
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<08bmE3Uw}%$%$<br/>local-user admin service-type http<br/>local-user huawei password cipher %$%$G35+X&>RR]`+**l&i|2MB[@%$%$
local-user huawei service-type ppp
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool 1
ip address 10.10.10.1 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 10.1.2.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
ipsec policy policy1
#
l2tp-group 1
allow l2tp virtual-template 1 remote lac
tunnel password cipher %$%$1cAxHh|u:OCGT=H0d1p6,"HF%$%$
tunnel name lns
#
ip route-static 1.1.2.0 255.255.255.0 1.1.1.2
ip route-static 10.1.1.0 255.255.255.0 Virtual-Template1
#
Return
###################################################################
[LNS]dis ike sa
Conn-ID Peer ××× Flag(s) Phase

    2    1.1.2.1         0     RD|ST                  2     
    1    1.1.2.1         0     RD|ST                  1     

Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

################################################################### [LNS]dis l2tp tunnel

Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 1.1.2.1 42246 1 lac
###################################################################

配置步骤
1、配置接口的IP地址和到对端的静态路由，保证两端路由可达。
LAC：
ip route-static 1.1.1.0 255.255.255.0 1.1.2.2
LNS：
ip route-static 1.1.2.0 255.255.255.0 1.1.1.2
2、在LAC上配置L2TP功能，PPP用户通过L2TP隧道向总部发出接入请求，总部认证成功后建立隧道。
LAC：
##使能L2TP
l2tp enable
##配置L2TP组
l2tp-group 1
tunnel name lac ###配置隧道名称，用于发起L2TP连接时，LNS根据LAC的隧道名称接入
start l2tp ip 1.1.1.1 fullusername huawei
tunnel authentication ###使能隧道验证功能，缺省已使能
tunnel password cipher huawei ###配置L2TP隧道的共享密钥
##创建VT虚拟接口模板
interface Virtual-Template1
ppp chap user huawei ###配置CHAP认证用户名、密码
ppp chap password cipher huawei
ip address ppp-negotiate ###配置接口通过PPP协商获取IP地址
3、在LAC上配置到达LNS的路由，使能LAC的自拨号功能。
interface Virtual-Template1 ###触发自动拨号建立L2TP隧道
l2tp-auto-client enable
ip route-static 10.1.2.0 255.255.255.0 Virtual-Template1 ###配置私网路由，使企业分支用户与总部私网互通
4、在LNS上配置L2TP功能及PPP用户，并配置访问公网的路由。
LNS：
##使能L2TP
l2tp enable
##配置AAA认证
aaa
local-user huawei password cipher Huawei@1234
local-user huawei service-type ppp
##配置LNS的IP地址池，为LAC的拨号接口分配IP地址
ip pool 1
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
##创建VT虚拟接口模板，配置PPP协商等参数
interface Virtual-Template1
ppp authentication-mode chap ###配置PPP认证方式为CHAP
remote address pool 1 ###调用地址池
ip address 10.10.10.1 255.255.255.0 ###配置VT接口的私网地址，作为远程用户访问总部网络的网关地址
##配置L2TP组
l2tp-group 1
allow l2tp virtual-template 1 remote lac ###配置响应L2TP隧道建立连接请求
tunnel password cipher huawei ###配置L2TP隧道认证的共享密钥，与LAC一致
tunnel name lns ###配置隧道名称
##在LNS上配置私网路由，使企业总部与企业分支用户私网互通
ip route-static 10.1.1.0 255.255.255.0 Virtual-Template1
5、配置ACL，以定义需要IPSec保护的数据流。
acl number 3000
rule 5 permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
6、配置IPSec安全提议，定义IPSec的保护方法。
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
7、配置IKE对等体，定义对等体间IKE协商时的属性。
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm md5
ike peer spub v1
pre-shared-key cipher huawei
ike-proposal 5
remote-address 1.1.1.1
8、配置安全策略，并引用ACL、IPSec安全提议和IKE对等体，确定对何种数据流采取何种保护方法。
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer spub
proposal pro1
9、在接口上应用安全策略组，使接口具有IPSec的保护功能。
interface GigabitEthernet0/0/1
ip address 1.1.2.1 255.255.255.0
ipsec policy policy1