问答题
[说明]
某企业应用L2TPv2协议部署企业的虚拟专用网(VPN),以方便企业的VIP用户及出差员工通过公共Internet安全地访问企业内部LAN资源,其网络拓扑结构如图5-15所示。该VPN网络结构中,远程客户将访问具有IPSec功能的安全远程访问服务器(SRAS)。该节点既是NAS服务的PPP终端,又是进入企业专用网的安全网关节点。
.6.gif)
某企业应用L2TPv2协议部署企业的虚拟专用网(VPN),以方便企业的VIP用户及出差员工通过公共Internet安全地访问企业内部LAN资源,其网络拓扑结构如图5-15所示。该VPN网络结构中,远程客户将访问具有IPSec功能的安全远程访问服务器(SRAS)。该节点既是NAS服务的PPP终端,又是进入企业专用网的安全网关节点。
问答题
在Internet上捕获并分析如图5-15所示的网络中两个内部网络经由Internet通信的L2TPv2数据帧,请从以下4个选项中选择正确的答案填写到图5-16的(1)~(4)空缺处的相应位置。
[*]
[*]
【正确答案】(1)D,或封装后IP头 (2)C,或UDP头
(3) A,或L2TPv2头 (4)B,或PPP头
(3) A,或L2TPv2头 (4)B,或PPP头
【答案解析】[解析]
这是一道要求读者掌握L2TPv2数据帧封装原理的分析推理题。本题的解答思路如下。
①阅读题目所提供的信息后可知,如图5-16所示的L2TPv2数据帧是在Internet网络中被捕获的,该报文内容是LAC与LNS所建立的隧道中的一个数据帧。
②在图5-16的数据帧结构中,“DMAC”字段是指目的方网卡的物理地址;“SMAC”字段是指信源网卡的物理地址;“0x0800”是指以太网帧类型。
③由于L2TP使用UDP协议将L2TPv2数据报文封装在PPP帧中通过隧道进行传送,因此结合TCP/IP协议簇的层次结构可知,UDP报文经IP头封装后形成IP分组,IP分组被帧头、帧尾封装后形成以太网数据帧,即TCP/IP协议簇的各协议层数据封装结构为“帧头—IP头—TCP/UDP头—应用数据—帧尾”。在图5-16的帧结构中已给出了“封装前IP头”的位置信息,因此该图中的(1)~(4)空缺处应分别填入“封装后IP头”、“UDP头”、“L2TPv2头”、“PPP头”。
这是一道要求读者掌握L2TPv2数据帧封装原理的分析推理题。本题的解答思路如下。
①阅读题目所提供的信息后可知,如图5-16所示的L2TPv2数据帧是在Internet网络中被捕获的,该报文内容是LAC与LNS所建立的隧道中的一个数据帧。
②在图5-16的数据帧结构中,“DMAC”字段是指目的方网卡的物理地址;“SMAC”字段是指信源网卡的物理地址;“0x0800”是指以太网帧类型。
③由于L2TP使用UDP协议将L2TPv2数据报文封装在PPP帧中通过隧道进行传送,因此结合TCP/IP协议簇的层次结构可知,UDP报文经IP头封装后形成IP分组,IP分组被帧头、帧尾封装后形成以太网数据帧,即TCP/IP协议簇的各协议层数据封装结构为“帧头—IP头—TCP/UDP头—应用数据—帧尾”。在图5-16的帧结构中已给出了“封装前IP头”的位置信息,因此该图中的(1)~(4)空缺处应分别填入“封装后IP头”、“UDP头”、“L2TPv2头”、“PPP头”。
问答题
在如图5-15所示的拓扑结构中,LAC(L2TP Access Concentrator)和LNS(L2TP Network Server)的功能分别在哪些设备上实现?
【正确答案】LNS部署在名为SRAS的安全远程访问服务器中
LAC应部署在路由器Router1上
LAC应部署在路由器Router1上
【答案解析】[解析]
这是一道要求读者掌握基于L2TPv2的VPN网络关键设备部署的分析推理题。
解答本题的关键是先要理解L2TP网络服务器(L2TPNetworkServer,LNS)的功能,可以把LNS理解成PPP端系统上用于处理L2TP协议服务器端的软件。
题目中的关键信息“将IPSec SGW和LNS合并成一个系统,即安全远程访问服务器”,以及“远程客户将访问唯一的节点——安全远程访问服务器,该节点既是NAS服务的PPP终端,又是进入企业专用网的安全网关节点”,其中NAS是指网络接入服务器(Network Access Server),是一种远程访问接入设备,能够为远程用户提供访问本地网络的功能。综合这些关键信息可以推断出,在图5-15所示的拓扑结构中, SRAS(Secure Remote Access Server)设备就是安全远程访问服务器。如果远程客户小郭想访问企业内联网Intranet,那么数据包的传输路径是“小郭→Router1→Internet→Router2→SRAS→Intranet”。因此,L2TP网络服务器LNS软件部署在名为SRAS的网络设备中。
L2TP访问集中器(L2TP Access Concentrator,LAC)是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备,它一般就是一个网络接入服务器软件,在远程客户端完成网络接入服务的功能。由于本试题的大背景是VPN环境,在图5-15的拓扑结构中,客户小郭属于该企业网的远程客户,因此L2TP访问集中器(LAC)应部署在路由器Router1上。
这是一道要求读者掌握基于L2TPv2的VPN网络关键设备部署的分析推理题。
解答本题的关键是先要理解L2TP网络服务器(L2TPNetworkServer,LNS)的功能,可以把LNS理解成PPP端系统上用于处理L2TP协议服务器端的软件。
题目中的关键信息“将IPSec SGW和LNS合并成一个系统,即安全远程访问服务器”,以及“远程客户将访问唯一的节点——安全远程访问服务器,该节点既是NAS服务的PPP终端,又是进入企业专用网的安全网关节点”,其中NAS是指网络接入服务器(Network Access Server),是一种远程访问接入设备,能够为远程用户提供访问本地网络的功能。综合这些关键信息可以推断出,在图5-15所示的拓扑结构中, SRAS(Secure Remote Access Server)设备就是安全远程访问服务器。如果远程客户小郭想访问企业内联网Intranet,那么数据包的传输路径是“小郭→Router1→Internet→Router2→SRAS→Intranet”。因此,L2TP网络服务器LNS软件部署在名为SRAS的网络设备中。
L2TP访问集中器(L2TP Access Concentrator,LAC)是一种附属在网络上的具有PPP端系统和L2TPv2协议处理能力的设备,它一般就是一个网络接入服务器软件,在远程客户端完成网络接入服务的功能。由于本试题的大背景是VPN环境,在图5-15的拓扑结构中,客户小郭属于该企业网的远程客户,因此L2TP访问集中器(LAC)应部署在路由器Router1上。
问答题
在图5-15的企业网中,在VPN接入过程中L2TPv2、IPSec各起什么作用?
【正确答案】L2TP提供第2层隧道建立(或封装)及验证功能
IPSec可提供对L2TP隧道的加密,增强了对会话的安全保证
IPSec可提供对L2TP隧道的加密,增强了对会话的安全保证
【答案解析】[解析]
这是一道要求读者将L2TPv2、IPSec的理论知识应用到具体环境中的简答题。本题的分析思路如下。
构建VPN的3要素是认证、加密和封装化。换言之,VPN的工作内容可归纳成3点:确认通信对方的VPN设备是约定设备的认证操作、对数据加密的加密操作、将要发送的分组进行封装并发往Internet的操作。
在TCP/IP协议簇中,利用L2F、PPTP及L2TP协议在数据链路层实现VPN应用;在网络层利用IPSec协议实现VPN应用;利用SSL/TLS协议在传输层与会话层之间实现VPN应用。
在本企业网中,L2TP协议提供隧道建立或封装,以及第二层验证。IPSec完成隧道、认证和加密3大功能,它可提供对L2TP隧道的加密,增强了对会话的安全保证。远程用户可以在隧道模式中自己使用 IPSec功能,但L2TP可以提供更好的用户验证功能。
这是一道要求读者将L2TPv2、IPSec的理论知识应用到具体环境中的简答题。本题的分析思路如下。
构建VPN的3要素是认证、加密和封装化。换言之,VPN的工作内容可归纳成3点:确认通信对方的VPN设备是约定设备的认证操作、对数据加密的加密操作、将要发送的分组进行封装并发往Internet的操作。
在TCP/IP协议簇中,利用L2F、PPTP及L2TP协议在数据链路层实现VPN应用;在网络层利用IPSec协议实现VPN应用;利用SSL/TLS协议在传输层与会话层之间实现VPN应用。
在本企业网中,L2TP协议提供隧道建立或封装,以及第二层验证。IPSec完成隧道、认证和加密3大功能,它可提供对L2TP隧道的加密,增强了对会话的安全保证。远程用户可以在隧道模式中自己使用 IPSec功能,但L2TP可以提供更好的用户验证功能。
问答题
假设在LAC路由器上运行show vpdn命令,路由器软件系统输出的配置信息如图5-17所示。结合图 5-15所示的网络拓扑结构,请将(5)~(9)空缺处填写完整,完成在LAC上对L2TPv2协议的相关配置。
[*]
Router_LAC(config)#vpdn enable
Router_LAC(config)# (5) (创建相应vpdn组,并进入该组的配置模式)
(6) (接受对端发起L2TP通道连接请求,并根据virtual—template 1创建virtual-access接口)
Router_LAC(config-vpdnl)# (7) (启用L2TP通道验证功能)
Router_LAC(config-vpdnl)#12tp tunnel password! abcd1234!
(8)
Router_LAC(config)# (9) (创建并进入相应的L2TP虚接口模板)
(其他配置略)
[*]
Router_LAC(config)#vpdn enable
Router_LAC(config)# (5) (创建相应vpdn组,并进入该组的配置模式)
(6) (接受对端发起L2TP通道连接请求,并根据virtual—template 1创建virtual-access接口)
Router_LAC(config-vpdnl)# (7) (启用L2TP通道验证功能)
Router_LAC(config-vpdnl)#12tp tunnel password! abcd1234!
(8)
Router_LAC(config)# (9) (创建并进入相应的L2TP虚接口模板)
(其他配置略)
【正确答案】(5)vpdn-group 1
(6)Router_LAC(config-vpdn1) #accept-dialin 12tp virtual-template 1
(7)12tp tunnel authentication
(8)Router(config-vpdn1)#exit
(9)interface virtual-template 1
(6)Router_LAC(config-vpdn1) #accept-dialin 12tp virtual-template 1
(7)12tp tunnel authentication
(8)Router(config-vpdn1)#exit
(9)interface virtual-template 1
【答案解析】[解析]
这是一道要求读者在实际网络应用环境中进行L2TPv2配置的实践操作题。本题的分析思路如下。
仔细阅读题目中已给出的配置命令行,并重点注意路由器配置模式是否发生变化。从已知信息中可以判断这部分配置命令主要在“Router_LAC(config)”和“Router_LAC(config-vpdn1)”这两种配置模式下进行。
第一行“vpdn enable”命令行用于完成启用VPDN功能,并进入VPDN组配置模式。“12tp tunnel password!abcd1234!”命令行指定了L2TPv2协议中通道(Tunnel)所使用的密码。
由提示信息“创建相应vpdn组,并进入该组的配置模式”查找如图5-17所示的系统输出的相关信息,在L2TPv2通道信息(L2TP Tunnel Information)中找到“VPDN-Group”值为1,因此(5)空缺处应填入vpdn-group1。并由“进入该组的配置模式”判断(6)空缺处的配置模式是“Router LAC (config-vpdn1)”。
在L2TPv2配置中,完成“接受对端发起L2TP通道连接请求,并根据virtual-template 1创建virtual-access接口”任务的命令是accept-dialin 12tp virtual-template virtual-template-number remoteremote-peer-name。由上一步分析已获知vpdn组号为1,组号为1的VPDN组具有特殊作用,它允许不输入通道对端的名称以表示VPDN组1为默认的VPDN组,通道对端可以以任何名称来发起连接。而virtual-template-number选项用于指定创建新的虚拟访问接口时所用的虚接口模板,该参数在题目中已给出了,即信息“virtual-template 1”中的“1”。因此(6)空缺处可填入Router LAC(config-vpdn1)#accept-dialin 12tp virtual-template 1。
“启用L2TP通道验证功能”说明通道两端都需要对方进行验证,(7)空缺处可使用“12tp tunnel authentication”命令行来完成这一任务。注意系统默认对L2TP通道进行验证,在进行网络连通性测试时可使用“no 12tp tunnel authentication”命令来关闭通道验证。
由于(8)空缺处未给出任何说明信息,因此先考虑(9)空缺处的内容。虚接口模板用于配置路由器在运行过程中动态创建的虚接口的工作参数,系统默认没有创建该模板。在全局配置模式—下,“创建虚接口模板”可使用interface virtual-template virtual-template-number命令行来完成,其中“virtual-template- number”选项用于指定虚接口模板的序号,该参数已在题目(6)空缺处的解释中给出,即序号值为1。因此将“interface virtual-template1”命令行填入(9)空缺处。
注意到(8)空缺处的下一行语句的配置模式是全局配置模式“Router LAC(config)”,它与(8)空缺处上一行的VPDN组配置模式“Router LAC(config-vpdn1)”不同,因此(8)空缺处应完成这两种配置模式的切换,即“Router(config-vpdn1)#exit”是(8)空缺处的答案。
最后给出运行show 12tp命令后系统输出信息(如图5-17所示)相应域的相关解释,如表5-18所示。
.14.gif)
这是一道要求读者在实际网络应用环境中进行L2TPv2配置的实践操作题。本题的分析思路如下。
仔细阅读题目中已给出的配置命令行,并重点注意路由器配置模式是否发生变化。从已知信息中可以判断这部分配置命令主要在“Router_LAC(config)”和“Router_LAC(config-vpdn1)”这两种配置模式下进行。
第一行“vpdn enable”命令行用于完成启用VPDN功能,并进入VPDN组配置模式。“12tp tunnel password!abcd1234!”命令行指定了L2TPv2协议中通道(Tunnel)所使用的密码。
由提示信息“创建相应vpdn组,并进入该组的配置模式”查找如图5-17所示的系统输出的相关信息,在L2TPv2通道信息(L2TP Tunnel Information)中找到“VPDN-Group”值为1,因此(5)空缺处应填入vpdn-group1。并由“进入该组的配置模式”判断(6)空缺处的配置模式是“Router LAC (config-vpdn1)”。
在L2TPv2配置中,完成“接受对端发起L2TP通道连接请求,并根据virtual-template 1创建virtual-access接口”任务的命令是accept-dialin 12tp virtual-template virtual-template-number remoteremote-peer-name。由上一步分析已获知vpdn组号为1,组号为1的VPDN组具有特殊作用,它允许不输入通道对端的名称以表示VPDN组1为默认的VPDN组,通道对端可以以任何名称来发起连接。而virtual-template-number选项用于指定创建新的虚拟访问接口时所用的虚接口模板,该参数在题目中已给出了,即信息“virtual-template 1”中的“1”。因此(6)空缺处可填入Router LAC(config-vpdn1)#accept-dialin 12tp virtual-template 1。
“启用L2TP通道验证功能”说明通道两端都需要对方进行验证,(7)空缺处可使用“12tp tunnel authentication”命令行来完成这一任务。注意系统默认对L2TP通道进行验证,在进行网络连通性测试时可使用“no 12tp tunnel authentication”命令来关闭通道验证。
由于(8)空缺处未给出任何说明信息,因此先考虑(9)空缺处的内容。虚接口模板用于配置路由器在运行过程中动态创建的虚接口的工作参数,系统默认没有创建该模板。在全局配置模式—下,“创建虚接口模板”可使用interface virtual-template virtual-template-number命令行来完成,其中“virtual-template- number”选项用于指定虚接口模板的序号,该参数已在题目(6)空缺处的解释中给出,即序号值为1。因此将“interface virtual-template1”命令行填入(9)空缺处。
注意到(8)空缺处的下一行语句的配置模式是全局配置模式“Router LAC(config)”,它与(8)空缺处上一行的VPDN组配置模式“Router LAC(config-vpdn1)”不同,因此(8)空缺处应完成这两种配置模式的切换,即“Router(config-vpdn1)#exit”是(8)空缺处的答案。
最后给出运行show 12tp命令后系统输出信息(如图5-17所示)相应域的相关解释,如表5-18所示。
问答题
L2TPv2在控制连接建立过程中,在tunne1的两个端点之间进行CHAP安全认证。如果要对PPPoE用户进行重认证,则必须在哪个位置进行设置?通常使用哪条配置命令完成该设置?
【正确答案】在LNS端设置 force-local-char
【答案解析】[解析]
这是一道要求读者掌握VPN网络CHAP安全认证的基本概念题。本题所涉及的知识点是,L2TPv2在控制连接建立过程中,在通道连接的两个端点之间进行CHAP安全认证。如果要对图中的PPPoE用户进行重认证,则必须在LNS端使用“force-local-chap”配置命令完成设置任务。
这是一道要求读者掌握VPN网络CHAP安全认证的基本概念题。本题所涉及的知识点是,L2TPv2在控制连接建立过程中,在通道连接的两个端点之间进行CHAP安全认证。如果要对图中的PPPoE用户进行重认证,则必须在LNS端使用“force-local-chap”配置命令完成设置任务。
问答题
对图5-15的网络首次进行L2TPv2协议配置后,发现tunne1可以建立起来,而session却始终建立不起来。此时应着重从哪些方面检查相关的网络配置?
【正确答案】①发起连接的接口类型是否一致 ②认证设置是否一致
③呼叫类型是否相同 ④vc-id是否相同
③呼叫类型是否相同 ④vc-id是否相同
【答案解析】[解析]
这是一道要求读者掌握基于L2TPv2的VPN网络故障定位的实践分析题。本题的解答思路是,对图 5-15的网络首次进行L2TPv2协议配置后,发现通道连接tunnel可以建立起来,而会话连接session却始终建立不起来。此时应着重检查以下4个关键的网络配置:双方发起连接的接口类型是否一致、双方认证设置是否一致、双方呼叫类型是否相同、双方的Vc-ID值是否相同。
这是一道要求读者掌握基于L2TPv2的VPN网络故障定位的实践分析题。本题的解答思路是,对图 5-15的网络首次进行L2TPv2协议配置后,发现通道连接tunnel可以建立起来,而会话连接session却始终建立不起来。此时应着重检查以下4个关键的网络配置:双方发起连接的接口类型是否一致、双方认证设置是否一致、双方呼叫类型是否相同、双方的Vc-ID值是否相同。