【正确答案】正确答案：(1) D，或封装后IP头(2) C，或UDP头 (3) A，或L2TPv2头(4) B，或PPP头

【答案解析】解析：这是一道要求读者掌握L2TPv2数据帧封装原理的分析推理题。本题的解答思路如下。 1)阅读题目所提供的信息后可知，图8-17所示的L2TPv2数据帧是在Internet网络中被捕获的，该报文内容是LAC与LNS所建立的隧道中的一个数据帧。 2)在图8-17所示的数据帧结构中，“DMAC”字段是指目的方网卡的物理地址；“SMAC”字段是指信源网卡的物理地址：“Ox0800”是指以太网帧类犁。 3)由于L2TP使用UDP协议将L2TPv2数据报文封装在PPP帧中通过隧道进行传送，因此结合TCP/IP协议族的层次结构可知，UDP报文经IP头封装后形成IP分组，IP分组被帧头、帧尾封装后形成以太网数据帧，即TCP/IP协议族的各协议层数据封装结构为“帧头——IP头——TCP/UDP头——应用数据——帧尾”。在图8-17所示的帧结构中已给出了“封装前IP头”的位置信息，因此该图中的(1)～(4)空缺处应分别填入“封装后IP头”、“UDP头”、“L2TPv2头”、“PPP头”。

【正确答案】正确答案：LNS部署在名为SRAS的安全远程访问服务器中

【答案解析】解析：这是一道要求读者掌握基于L2TPv2协议的VPN网络关键设备部署的分析推理题。本题的解答思路如下。 1)解答本题的关键是先要理解L2TP网络服务器(LNS，L2TP Network Server)的功能，可以把LNS理解成PPP端系统上用于处理L2TP协议服务器端的软件。 2)题目中关键信息“将IPSec SGW和LNS合并成一个系统，即安全远程访问服务器”，以及“远程客户将访问唯一的节点——安全远程访问服务器，该节点既是NAS服务的PPP终端，也是进入企业专用网的安全网关节点”，其中NAS是指网络接入服务器(Network Access Server)，是一种远程访问接入设备，具有为远程用户提供访问本地网络的功能。综合这些关键信息可以推理出，在图8-16所示的拓扑结构中 SRAS(Secure Remote Access Server)设备就是安全远程访问服务器。如果远程客户小郭想访问企业内联网Intranet，那么数据包的传输路径是“小郭→Router1→Internet→Router2→SRAS→Intranet”。因此，L2TP网络服务器LNS软件部署在名为SRAS的网络设备中。 3)L2TP坊问集中器(LAC，L2TP Access Concentrator)是一种附属在网络上的具有PPP端系统和 L2TPv2协议处理能力的设备，它一般就是一个网络接入服务器软件，在远程客户端完成网络接入服务的功能。由于本试题的大背景是在VPN环境中讨论问题，在图8-16所示的拓扑结构中，客户小郭属于该企业网的远程客户，因此L2TP访问集中器(LAC)应部署在路由器Router1上。

【正确答案】正确答案：(5)vpdn-group 1 (6)Router_LAC(config-vpdn1)# accept-dialin l2tp virtual-template 1 (7)12tp tunnel authentication (8)Router (config-vpdn1) #exit (9)interface virtual-template 1

【答案解析】解析：这是一道要求读者在实际网络应用环境中进行L2TPv2配置的实践操作题。本题的分析思路如下。 1)仔细阅读题目中已给出的配置命令行，并重点注意路由器配置模式是否发生变化。从已知信息中可以判断这部分配置命令主要在“Router_LAC(config)”和“Router_LAC(config-vpdn1)”这两种配置模式下进行。 2)第一行“vpdn enable”命令行用于完成启用VPDN功能，并进入VPDN组配置模式。“12tp tunnel password !abcd1234!”命令行指定了L2TPv2协议中通道(tunnel)所使用的密码。 3)由提示信息“创建相应vpdn组，并进入该组的配置模式”查找图8-18所示系统输出的相关信息，在L2TPv2通道信息(L2TP Tunnel Information)中找到“VPDN-Group”值为1，因此(5)空缺处应填入 vpdn-group 1。并由“进入该组的配置模式”判断(6)空缺处的配置模式是“Router_LAC (config-vpdn1)”。 4)在L2TPv2配置中，完成“接受对端发起L2TP通道连接请求，并根据virtual-template 1创建 virtual-access接口”任务的命令是accept-dialin 12tp virtual-template virtual-template-number remote remote-peer-name。由上一步分析已获知vpdn组号为1，组号为1的VPDN组具有特殊作用，它允许不输入通道对端的名称以表示VPDN组1为默认的VPDN组，通道对端可以以任何名称来发起连接。而 virtual-template-number选项用于指定用于创建新的虚拟访问接口时所用的虚接口模板，该参数题目中已给出了，即信息“virtual-template 1”中的“1”。因此(6)空缺处可填入Router_LAC(config-vpdn1)#accept-dialin 12tp virtual-template 1。 5)“启用L2TP通道验证功能”说明通道两端都需要对方相互进行验证，(7)空缺处可使用“12tp tunnel authentication”命令行来完成这一任务。注意系统默认对L2TP通道进行验证，在进行网络连通性测试时可使用“no 12tp tunnel authentication”命令来关闭通道验证。 6)由于(8)空缺处未给出任何说明信息，因此先考虑(9)空缺处的内容。虚接口模板是用于配置路由器在运行过程中动态创建的虚接口的工作参数，系统默认没有创建该模板。在全局配置模式下，“创建虚接口模板”可使用interface virtual-template virtual-template-number命令行来完成，其中“virtual-template-number”选项用于指定虚接口模板的序号，该参数已在题目(6)空缺处的解释中给出，即序号值为1。因此将“interface virtual-template 1”命令行填入(9)空缺处。 7)注意到(8)空缺处的下一行语句的配置模式是全局配置模式“Router_LAC(config)”，它与(8)空缺处上一行的VPDN组配置模式“Router_LAC (config-vpdn1)”不同，因此(8)空缺处应完成这两种配置模式的切换，即“Router (config-vpdn1) #exit”是(8)空缺处的答案。 8)最后给出运行show 12tp命令后系统输出信息(见图8-18)相应域的相关解释，见表8-11。

【正确答案】正确答案：在LNS端设置 force-local-chap

【答案解析】解析：这是一道要求读者掌握VPN网络CHAP安全认证的基本概念题。本题所涉及的知识点是，L2TPv2在控制连接建立过程中，在通道连接的两个端点之间进行CHAP安全认证。如果要对图中PPPoE用户进行重认证，必须在LNS端使用“force-local-chap”配置命令完成设置任务。

【正确答案】正确答案：发起连接的接口类型是否一致；认证设置是否一致：呼叫类型是否相同；vc-id是否相同

【答案解析】解析：这是一道要求读者掌握基于L2TPv2协议的VPN网络故障定位的实践分析题。本题的解答思路是，对图8-16所示的网络首次进行L2TPv2协议配置后，发现通道连接tunnel可以建立起来，而会话连接session却始终建立不起来。此时应着重检查以下4个关键的网络配置：①双方发起连接的接口类型是否一致；②双方认证设置是否一致；③双方呼叫类型是否相同：④双方Vc-ID值是否相同。