中国电信内部技术资料--VPN技术telecomvpn

中国电信广西公司如虎添翼、牛气冲天VPN技术交流2中国电信广西公司如虎添翼、牛气冲天目录VPN概述L2TPVPNIPSECVPNMPLSVPN3中国电信广西公司如虎添翼、牛气冲天VPN原理VPN客户端和VPN网关建立一条连接，称为隧道（Tunnel），然后将用户数据包封装成IP报文后通过该隧道传送给VPN网关，VPN网关收到数据包并拆封后就可以读到真正有意义的报文了。反向的处理也一样。隧道两侧可以对报文进行加密处理，使Internet上的其它用户无法读取，因而是安全可靠的隧道可以通过隧道协议来实现，根据是在OSI模型的第二层还是第三层实现隧道，隧道协议分为第二层隧道协议和第三层隧道协议。VPN客户端VPN网关用户终端4中国电信广西公司如虎添翼、牛气冲天第二层隧道协议第二层隧道协议是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有：PPTP（Point-to-PointTunnelingProtocol）：点到点隧道协议，由微软、Ascend和3COM等公司支持。该协议支持点到点PPP协议在IP网络上的隧道封装，PPTP作为一个呼叫控制和管理协议，使用一种增强的GRE（GenericRoutingEncapsulation，通用路由封装）技术为传输的PPP报文提供流控和拥塞控制的封装服务。L2TP（Layer2TunnelingProtocol）：二层隧道协议，由IETF起草，微软等公司参与，并且已经成为标准RFC。L2TP既可用于实现拨号VPN业务，也可用于实现专线VPN业务。5中国电信广西公司如虎添翼、牛气冲天第三层隧道协议现有的第三层隧道协议主要有：GRE（GenericRoutingEncapsulation）协议：这是通用路由封装协议，用于实现任意一种网络层协议在另一种网络层协议上的封装。IPSec（IPSecurity）协议：IPSec协议不是一个单独的协议，它给出了IP网络上数据安全的一整套体系结构，包括AH（AuthenticationHeader）、ESP（EncapsulatingSecurityPayload）、IKE（InternetKeyExchange）等协议。来保证数据报在网络上传输时的完整性、真实性、防重放和私有性、。GRE和IPSec主要用于实现专线VPN业务。BGP/MPLSL3VPN6中国电信广西公司如虎添翼、牛气冲天NASLNS用户终端TUNNELVPN常用类型（一）用户终端发起VPN隧道方式：用户通过PSTN/ISDN接入NAS，获得访问Internet权限然后直接向远端LNS服务器发起VPN连接ADSLinternet7中国电信广西公司如虎添翼、牛气冲天site总部用户终端TUNNELVPN常用类型（二）由site设备发起VPN隧道：site设备判断如果是VPN数据，就向指定的远端设备发起VPN连接internet8中国电信广西公司如虎添翼、牛气冲天目录VPN概述L2TPVPNIPSECVPNMPLSVPN9中国电信广西公司如虎添翼、牛气冲天L2TP（LayerTwoTunnelingProtocol）协议提供了对PPP链路层数据包的通道（Tunneling）传输支持，它结合了另外两个通道协议：Cisco的L2F和Microsoft的PPTP的各自优点，将成为IETF有关2层通道协议的工业标准。在一个LNS和LAC对之间存在着两种类型的连接，一种是通道（tunnel）连接，它定义了一个LNS和LAC对；另一种是会话（session）连接，它复用在通道连接之上，用于表示承载在通道连接中的每个PPP会话过程。L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的，这些消息再通过UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为两种类型，一种是控制消息，另一种是数据消息。控制消息用于通道连接和会话连接的建立与维护。控制消息中的参数用AVP值对（AttributeValuePair）来表示，使得协议具有很好的扩展性；在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了L2TP层传输的可靠性。数据消息用于承载用户的PPP会话数据包。L2TP的报文分为控制报文及数据报文两类。控制报文包括了L2TP通道的建立、维护、拆除，基于通道连接的会话连接的建立、维护、拆除；数据报文则用户传输PPP报文。L2TP协议特性10中国电信广西公司如虎添翼、牛气冲天NASVPN网关用户终端L2TP原理（一）先建立隧道，再有传输数据信息的会话通道遂道(Tunnel)连接只有一个；会话连接复用在通道连接之上，用于表示承载在遂道连接中的每个PPP会话过程。第一个会话连接导致遂道连接建立，最后一个会话连接断开导致遂道连接拆除隧道和会话通道通过L2TP报头中的遂道ID和会话ID实现ADSLinternet11中国电信广西公司如虎添翼、牛气冲天LACLNS用户终端TUNNELL2TPVPN原理（二）ADSLinternet呼叫建立(1)PPPLAC建立(2)用户CHAPResponse(4)用户CHAPChallenge(3)通道验证(5)LACCHAPChallenge(6)LNSCHAPResponse(7)验证通过(8)LNSCHAPChallenge(9)LACCHAPResponse(10)验证通过(11)UserCHAPResponse+ResponseIdentifier+PPP已经协商好的参数(12)验证通过(13)可选的第二次CHAPChallenge(14)用户CHAPResponse(15)验证通过(16)12中国电信广西公司如虎添翼、牛气冲天L2TPVPN原理（三）0(reserved)1(SCCRQ)Start-Control-Connection-Request2(SCCRP)Start-Control-Connection-Reply3(SCCCN)Start-Control-Connection-Connected4（STOPCCN）Stop-Control-Connection-Notification5(reserved)6(HELLO)Hello7(OCRQ)Outgoing-Call-Request8(OCRP)Outgoing-Call-Reply9(OCCN)Outgoing-Call-Connected10(ICRQ)Incoming-Call-Request11(ICRP)Incoming-Call-Reply12(ICCN)Incoming-Call-Connected13(reserved)14(CDN)Call-Disconnect-Notify控制报文建立和清除L2TP通道和会话维护L2TP通道(Hello报文)采用错误重传机制数据报文传输用户数据不采用错误重传机制13中国电信广西公司如虎添翼、牛气冲天L2TPVPN原理（四）在PPP看来，L2TP就是物理层；L2TP将收到的报文交给PPP，PPP将要发送的报文交给L2TP。L2TP调用Socket与通道对端进行接收发送，LNS端使用端口号1701，LAC端使用未被使用的随机端口号。14中国电信广西公司如虎添翼、牛气冲天L2TPVPN配置LNS(config)#l2tpenableLNS(config)#ippool1192.168.0.2192.168.0.254LNS(config)#uservpdnuserservice-typeppppasswordsimplevpdn----------------------------------------------------------------------------------------LNS(config)#interfaceVirtual-Template1LNS(config-if-Virtual-Template1)#link-protocolpppLNS(config-if-Virtual-Template1)#pppauthentication-modechapLNS(config-if-Virtual-Template1)#ipaddress192.168.0.1255.255.255.0LNS(config-if-Virtual-Template1)#remoteaddresspool1LNS(config-if-Virtual-Template1)#exit-----------------------------------------------------------------------------------------LNS(config)#vpdn-group1//DefaultL2TPgroupLNS(config-vpdn1)#localnameLNSLNS(config-vpdn1)#allowl2tpvirtual-template1LNS(config-vpdn1)#mandatory-lcpLNS(config-vpdn1)#tunnelpasswordsimplevpdn15中国电信广西公司如虎添翼、牛气冲天L2TPVPN常见故障1、两个站点之间的终端能够PING通，但业务不能正常使用？该问题一般是由MTU引起，业务系统的数据在传输过程中不允许分割数据包，因此需要调整MTU值。针对于一次拨号的VPDN，在调整MTU值时，需要调整两段的MTU值：用户拨号接入段的MTU值，调小NAS上的拨号MTU值；LAC-LNS段的MTU值，在LNS上调小虚模板的MTU值为1434。针对于二次拨号的VPDN，只需要调整LNS上虚模板的MTU值1434即可。2、VPDN拨号不能成功？LAC端名称与LNS上设置名称不匹配LAC端与LNS端上设置的TUNNEL认证密钥不匹配用户端拨号设置与LNS上设置参数不匹配（用户名、密码、认证方式等）LNS上ACL过滤了1701端口针对于华为设备做LNS时，需要修改注册表，关闭IPSEC功能，缺省微软操作系统是启动IPSEC功能。具体拨不上原因都可以通过debug相关协议来发现16中国电信广西公司如虎添翼、牛气冲天L2TPVPN应用17中国电信广西公司如虎添翼、牛气冲天L2TPVPN应用（续）18中国电信广西公司如虎添翼、牛气冲天目录VPN概述L2TPVPNIPSECVPNMPLSVPN19中国电信广西公司如虎添翼、牛气冲天NASLNS用户终端TUNNELADSLinternetIPSec的基本原理(一）加密后的数据包20中国电信广西公司如虎添翼、牛气冲天IPSec的基本原理（二）IPSec（IPSecurity）由一系列协议组成，它为IP数据报提供了高质量的、可互操作的、基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPSec通过AH（AuthenticationHeader，认证头）和ESP（EncapsulatingSecurityPayload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过IKE（InternetKeyExchange，因特网密钥交换协议）为IPSec提供了自动协商交换密钥、建立和维护安全联盟的服务，以简化IPSec的使用和管理。21中国电信广西公司如虎添翼、牛气冲天安全联盟（SA）：一个安全联盟是一个单向的安全“连接”，该“连接”上的数据流享有安全服务。安全联盟的内容包括安全协议协议、算法（包括加密算法以及验证算法）、算法使用的密钥、隧道对端的IP地址、安全参数索引等。安全策略（cryptomap）：定义了对IP报文提供的服务方式及实现方法。由唯一的名称及安全策略顺序号标识。相同名称不同的安全策略顺序号构成了安全策略组。安全参数索引（SPI）：一个32比特（4个字节长度）的数值。手工配置安全联盟时，需要手工