2_PPPPPPOEL2TP协议解析

ISSUE数通技术支持部PPP/PPPOE/L2tp协议知识1.0华为机密，未经许可不得扩散文档密级：内部公开学习目标掌握PPP/PPPOE/L2TP协议原理及报文格式熟悉掌握PAP/CHAP认证原理及过程了解MP的概念及用途可以正确根据调试信息分析PPP/PPPOE/L2TP链路建立的相关问题学习完本课程，您应该能够：华为机密，未经许可不得扩散文档密级：内部公开课程内容第一章PPP协议原理及报文格式第二章MP介绍及应用第三章PPPOE协议原理及报文格式第四章L2TP协议原理及报文格式第五章PPP/PPPOE问题处理第六章L2TP问题处理华为机密，未经许可不得扩散文档密级：内部公开第一章PPP协议原理及报文格式PPP协议介绍PPP链路建立流程PPP报文格式PAP/CHAP原理介绍华为机密，未经许可不得扩散文档密级：内部公开PPP协议介绍－体系结构华为机密，未经许可不得扩散文档密级：内部公开PPP协议介绍－协议族IPCPIP实体在PPP链路上配置特定于链路的IP参数,如IP地址，DNS地址。PAP/CHAP网络安全方面的验证协议族EAPPPP上一种新的扩展认证协议。LCP:建立、配置及测试数据链路的链路控制协议。它允许通信双方进行协商，以确定不同的选项。建立，拆除和监控PPP数据链路。NCP：针对不同网络层协议的网络控制协议。协商在该数据链路上传输的数据包的格式与类型。华为机密，未经许可不得扩散文档密级：内部公开PPP协议介绍－协议特点◆PPP协议是数据链路层协议◆支持点到点的连接◆物理层可以是同步电路或异步电路◆具有各种NCP协议，如IPCP,IPXCP更好地支持了网络层协议；◆具有验证协议CHAP,PAP，保证了网络的安全性。◆端对端的对等性，不是client/server模式。华为机密，未经许可不得扩散文档密级：内部公开PPP协议介绍－状态机DeadEstablishAuthenticateNetworkTerminateUpOpenedFailSuccess/NoneClosingDownFailLCPPAP?CHAPIPCP华为机密，未经许可不得扩散文档密级：内部公开PPP链路建立流程-LCPLCPConfig_ReqLCPConfig_RejLCPConfig_ReqLCPConfig_NakLCPConfig_ReqLCPConfig_AckLCPConfig_ReqLCPConfig_AckAuthentication_ReqAuthentication_AckChallengeAuthentication_ReqAuthentication_AckConfig-req报文里的属性不支持时，回reject报文，同时把不支持的属性在此报文中带回Config-req报文里的属性支持时，但值不支持时，回nak报文，同时把此属性及属性值在此报文中带回LCP协商成功，响应ack报文LCP协商是双向的Pap认证过程，认证及方式是可选的chap认证过程，认证及方式是可选的华为机密，未经许可不得扩散文档密级：内部公开PAP/CHAP认证过程Authentication_AckChallengeAuthentication_Req(username+ChallengePwd)Authentication_AckAuthentication_Req(username+password)Code=2/3Code=1(username+pwd)Code=2/3Code=1(username+ChallengePwd+challenge)ClientBasRadiusPAPCHAP华为机密，未经许可不得扩散文档密级：内部公开IPCP协商是双向的，协商本端的IP地址，一般是地址池网关NCP及握手过程IPCPConfig_ReqIPCPConfig_NAKIPCPConfig_ReqIPCPConfig_ACKIPCPConfig_ReqLCPConfig_AckEcho_ReqEcho_replyIPCP的协商一般就是IP的协商，也是双向的通过IPCP客户端得到IP地址用户在线后定时握手，握手可以由客户端发起，也可以由服务器发起ClientBas华为机密，未经许可不得扩散文档密级：内部公开PPP报文格式Protocol8/16bitsInformation*FCS16bitsFlag01111110Address11111111Control00000011Flag01111110Data......Code8bitsIdentifier8bitsLength16bitsConfigoptionsformat:Type8bitsLength8bitsData......Type8bitsLength8bitsData............帧格式华为机密，未经许可不得扩散文档密级：内部公开常见字段含义及常用值Protocol0021IP8021IPCPC021LCPC023PAPC223CHAPCode0x01Configure-Request0x02Configure-Ack0x03Configure-Nak0x04Configure-Reject0x05Terminate-Request0x06Terminate-Ack0x09Echo-Request0x10Echo-ReplyType0x01MRU0x05Magic-Number华为机密，未经许可不得扩散文档密级：内部公开第二章MP的介绍及应用随着PPP的广泛应用MP作为PPP功能扩展协议应运而生它可为用户提供更大的带宽实现数据的快速转发同时还可实现对链路资源进行动态分配有效的利用宝贵的资源华为机密，未经许可不得扩散文档密级：内部公开MP链路建立华为机密，未经许可不得扩散文档密级：内部公开第三章PPPoE协议原理及报文格式PPPoE协议介绍PPP链路建立流程PPPoE报文格式华为机密，未经许可不得扩散文档密级：内部公开PPPOE协议介绍主要功能是在以太网上提供点到点的连接使以太网主机通过一个桥接设备连到一个远端的接入集中器上(AC)每个主机都具有PPP协议栈可以实现对用户进行接入控制、计费及其它服务全方位的接入控制用户认证、上网时段、CAR、本地用户互访、实现账号漫游灵活的计费策略PPPOE使用二层广播包可以通过VLAN限制PPPOE二层广播包每个PPPOE主机必需安装PPPOE客户端软件华为机密，未经许可不得扩散文档密级：内部公开PPPoE的两个阶段发现阶段一个主机发现一个接入集中器，发现AC的MAC确定会话标识SessionIDPPP会话阶段主机和接入集中器之间依据PPP协议传送PPP数据，进行PPP的各项协商和数据传输。传输的数据包中必须包含在发现阶段确定的会话标识并保持不变华为机密，未经许可不得扩散文档密级：内部公开一个完整的PPPOE过程PADI，广播，发现ACPADO，应答PADR，接入请求PADS，分配SessionIDLCP认证请求认证认证通过认证通过IPCP访问Internet访问Internet（PPPOE封装）计费信息终结PPP会话通知radius用户下线HostAccessConcentratorRadiusServer发现阶段会话阶段华为机密，未经许可不得扩散文档密级：内部公开PPPOE报文的帧格式DESTINATION_ADDR(6octets)SOURCE_ADDR(6octets)ETHER_TYPE(2octets)payload……VER(4bit)SESSION_ID(2octets)LENGTH(2octets)payload……TYPE(4bit)CODE(1octets)TAG_TYPE(2octets)TAG_LENGTH(2octets)TAG_VALUE…………CHECKSUMTAG_TYPE(2octets)TAG_LENGTH(2octets)TAG_VALUE……发现阶段华为机密，未经许可不得扩散文档密级：内部公开常见CODE值及含义CODE包类型0x09PADI0x07PADO0x19PADR0x65PADS0xa7PADT华为机密，未经许可不得扩散文档密级：内部公开发现阶段常见tag-type值及含义值含义说明0x0000End-Of-List此TAG之后再无别的TAG。长度域为0。是为了向后兼容，不要求必须使用。0x0101Service-Name提供了服务名。可以用它指明服务的级别或质量0x0102AC-Name指接入设备的名称0x0103Host-Uniq主机产生，响应报文不能改变此字段0x0104AC-CookieAC产生，响应报文不能改变此字段0x0105Verdor-Specific厂家信息，一般不解释0x0110Relay-Session-ID中继设备产生，AC和主机都不能改变此字段0x0201Service-Name-Error表示不能支持请求的服务0x0202AC-System-ErrorAC在处理主机的请求时出现错0x0203Generic-Error当出现不可恢复的错误时，并且没有别的合适的告警TAG时使用华为机密，未经许可不得扩散文档密级：内部公开第三章L2TP协议原理及报文格式L2TP协议介绍L2TP原理及实现L2TP报文格式华为机密，未经许可不得扩散文档密级：内部公开二层隧道简介第二层隧道协议是将整个PPP帧封装在内部隧道中。现有的第二层隧道协议有：PPTP（Point-to-PointTunnelingProtocol）L2F（Layer2Forwarding）协议L2TP（Layer2TunnelingProtocol）华为机密，未经许可不得扩散文档密级：内部公开L2TP协议介绍L2TP协议的组成部分：VPN用户指通过L2TP协议连入VPN的用户，通常是外地出差员工或办事机构L2TP访问集中器(LAC)MA5200FVPN用户和LNS之间传递数据的设备，通常是当地ISP的接入设备L2TP网络服务器(LNS)-MA5200GL2TP协议的服务器端部分，通常是企业内部网的边缘设备华为机密，未经许可不得扩散文档密级：内部公开L2TP协议介绍－协议栈包传输网络(UDP,……)L2TP数据通道(不可靠)L2TP数据消息PPP帧L2TP控制通道(可靠)L2TP控制消息华为机密，未经许可不得扩散文档密级：内部公开L2TP协议介绍－会话与隧道tunnelsession1session2session3华为机密，未经许可不得扩散文档密级：内部公开L2TP协议介绍－两种消息L2TP中存在两种消息：控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护以及传输控制；数据消息则用于封装PPP帧并在隧道上传输。控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞控制；而数据消息的传输是不可靠传输，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。控制消息和数据消息共享相同的报文头。L2TP报文头中包含隧道标识符（TunnelID）和会话标识符（SessionID）信息，用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上，报文头中的隧道标识符与会话标识符由对端分配。华为机密，未经许可不得扩散文档密级：内部公开L2TP协议介绍－tunnel建立过程以太网VPN用户PSTN/ISDNLACInternet用户部分ISP及公共网部分企业网部分隧道LNSA8010Quidway路由器呼叫建立(1)PPPLAC建立(2)用户CHAPChallenge(3)用户CHAPResponse(4)通道验证(5)LACCHAPChallenge(6)LNSCHAPResponse(7)验证通过(8)LNSCHAPChallenge(9)LACCHAPResponse(10)验证通过(11)UserCHAPResponse+ResponseIdentifier+PPP已经协商好的参数(1