概述
如下图所示,左边的防火墙是NAS,右边的防火墙是LNS,NAS作为pppoe验证的服务器。
1、NAS
NAS作为PPPoe的LCP的协商者以及PPP的认证者,在NAS的g1/0/0接口上绑定有VT接口,因为NAS的VT接口在PPP的协商过程中仅仅做的工作只有PPP中的LCP协商以及PPP的认证,所以我们在在NAS绑定在用户侧的VT接口上只需要配置PPP认证即可,后续的网络层协商是LNS的工作,LNS进行网络层的协商并下发相关的IP地址。同时为了后续的l2tp的协商,NAS上也要配置l2tp的相关配置,主要的l2tp的相关配置主要就是配置隧道的认证,隧道的密码以及LNS地址的指定和指定使用该l2tp功能组的用户范围,当拨号用户进行拨号后,会带有拨号用户的信息,那么当拨号信息到达NAS后,且在开启了l2tp的情况下,当VT接口接收到相关的PPP报文后,NAS会获取相关的拨号用户的信息,同时去对l2tp功能组中指定的用户范围进行匹对,当匹对后该用户就会使用该l2tp功能组去触发与LNS之间的l2tp隧道的协商,此时用户会将拨号用户的ppp报文的外部封装上l2tp的隧道,然后发送给l2tp功能组中指定的LNS的地址去进行相关的协商与数据传输。
2、NAS到LNS上的流走向
首先NAS作为PPPoe的服务器,它虽说是PPPoe的服务器,但是在pppoe中的工作仅仅是LCP的协商以及PPP身份的认证,网络层的协商是交给LNS进行的。所以在LCP和PPP认证这两个阶段来说,都是NAS与拨号用户之间的交互,当要进行IPCP的协商的时候,需要NAS与LNS之间建立其L2TP的隧道,那么此时NAS就会像LNS发出L2TP的隧道建立请求协商报文,只有NAS与LNS之间的L2TP隧道建立之后才会去封装相关的PPP协商报文并进行发送,如果此时L2TP的隧道以及相关会话没有建立,那么拨号用户与NAS之间会失败在PPP认证的阶段上,也就是说,当拨号用户将相关的认证报文发送给NAS后,NAS会先根据拨号用户的用户信息选择相对应的L2TP的功能组进行L2TP隧道和会话的建立,只有隧道和会话建立后才会响应拨号用户的认证,当隧道和会话建立后,NAS会响应拨号用户的认证,此时可能是认证成功也可能是认证失败,但是如果隧道和会话若没有建立成功,返回的一定是失败,那么当PPP的LCP协商完毕,认证也协商完毕,接下来就是网络层的协商,一般是IPCP的协商,此时拨号用户将IPCP报文发送给NAS,NAS的VT接口会负责接收这个报文,然后打上PPP的头部,然后再发送给L2TP的功能模块进行L2TP的隧道封装最后根据路由表将封装后的报文发送给LNS,LNS接收这个报文后会根据L2TP的隧道封装知道应该将这个报文上交给L2TP的功能模块,于是L2TP功能模块根据接收该报文的隧道信息查找是哪一个L2TP功能组去进行处理,比如是功能组1处理,因为每个LNS的功能组都会绑定一个VT接口,那么对应的l2tp功能组会先将l2tp的隧道封装剥下,然后转交给VT接口,VT接口此时接收到这个IPCP的协商报文,会调用它相关的PPP模块进行处理,然后LNS将会回复一个IPCP的响应报文,然后再转交给该VT接口绑定的l2tp功能组,随后l2tp功能组会打上l2tp的隧道封装,然后查找路由表将该报文转发给NAS,NAS接收到该报文,会根据该报文的端口号将其上交给l2tp功能模块,然后l2tp功能模块再解除相关的l2tp隧道封装后,根据该ppp协商的会话ID转交给相对应的VT接口去处理,VT接口此时会假装自己是LNS将IPCP报文发送给拨号用户,经过这样的几次交互,PPP的IPC最后也协商好了。然后拨号用户获取到自己的IP地址,整个交互其实大致就完成了。
其实在整个协商交互过程中,NAS其实就是一个中介,它将拨号用户的协商报文使用l2tp隧道封装,使其可以远渡重洋到LNS上,同时还假装自己是LNS对拨号用户进行响应,使得拨号用户完全察觉不到整个交互到底发生了什么,好像就是NAS进行整个PPPoe的协商。
3、LNS
LNS因为要承担拨号用户的PPP协议中的网络层协商,所以同样的LNS需要创建VT接口,并配置IP地址,同时LNS需要为拨号用户分配地址,所以LNS的VT接口还需要配置远程地址的分配功能。LNS作为l2tp的协商者之一当然需要配置相关的L2TP配置,其主要就是指定隧道认证,隧道的密码,以及将VT接口与l2tp功能组进行绑定。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
