国际认证-锐捷认证-客户端接入中常见的问题.pptx

职业认证—锐捷认证

客户端接入中常见的问题;版权说明;Client的PPP认证

LAC的动作

在实际项目中，运营商LAC设备可能会来自不同厂商，每个厂商LAC在L2TP功能实现上可能会存在差别。这种功能差别可能会对Client与LNS的认证方式产生不同的影响。;Client的PPP认证

LAC的动作

1.透明代理

在Client与LAC完成PPPLCP、部分认证协商后，LAC会将协商结果（比如MagicNumber、认证方法、LAC产生的随机字符串、Client回应的HASH值）放置在L2TPICCN消息中发送给LNS。

在该情况下，Client与LAC之间既可以使用CHAP或PAP。在实际项目中，按照这种方式工作的LAC较为常见

参考《L2TP协议原理与应用（一）》的描述;Client的PPP认证

LAC的动作

2.非透明代理

LAC会完全代理Client的PPP验证，即LAC发送的ICCN报文中可能不会携带密码相关的AVP，因此LNS的PPP验证是直接与LAC进行的，此时LAC就需要掌握Client密码。通常LAC为运营商设备，在LAC上是不会配置Client的用户名和密码。在这种情况下，只有配置Client的PPP验证为PAP方式，才能够将明文的用户名和密码发送给LAC，LAC收到并提取后并与LNS完成PPP验证（LNS的PPP验证方式可以为CHAP或PAP）。

注，若在项目中Client与LNS上配置都为正确，但仍出现PPP验证失败，可以考虑更换下Client的验证方式为PAP进行测试。;Client的IP地址分配

问题描述

Client的接口IP地址可以有两种配置方法，一是通过PPP协商，即LNS从地址池中分配，一是本地接口静态配置IP地址（ipaddress或ipunnnumber方式）

根据报文交互的记录，Client与LNS的IPCP协商是发生在L2TPSession建立成功之后进行的，此时LAC是通过L2TP隧道对PPPIPCP报文进行封装，在Client和LNS之间进行传递，LAC对PPPIPCP报文的处理与PPP数据报文的处理动作是相同的。

实际中可能会存在某些厂商的LAC拦截Client与LNS之间的PPPIPCP报文并进行修改，尤其是在Client静态配置IP的情况下会出现IPCP协商失败。在这种情况下，可以调整Client的IP地址配置为动态协商，也可以让运营商调整LAC的处理方式。;Client的IP地址分配

;Client与LNS之间的LCP重协商

配置命令说明

在LAC与LNS建立L2TPSession过程中，LAC会在ICCN报文中携带LAC与Client之间已经完成的PPPLCP协商的结果，包含Client发送的LCP配置选项，如MagicNumber、验证方法、HASH值（CHAP），以及LAC发送的LCP配置选项MagicNumber、验证方法、随机字符串（CHAP）。

LNS可以直接利用ICCN报文中的协商结果，也可以在LNS上配置LCP重协商，在L2TPSession建立成功后，LNS与Client重新进行PPP协商。

注，当Client与LNS之间PPP协商有问题时，可以尝试配置LCP重协商命令。

;Client与LNS之间的PPPKeepalive

问题描述

Client与LNS之间PPP协商成功后，如果接口上配置了PPPKeepalive，那么Client与LNS每隔一段时间就会发送PPPLCPEchoRequest，如果在一段时间内无法收到对端回应的PPPLCPEchoReply，则说明链路出现问题，会中断PPP会话。

在实际中，LAC为不同厂商的设备，对于PPPKeepalive报文的处理可能会存在不同。

;Client与LNS之间的PPPKeepalive

问题描述

1.LAC采用封装的方式处理Client与LNS间的PPPLCPEchoRequest/Reply

当LAC收到Client发出的LCPEchoRequest后，LAC将其封装在L2TP隧道中并发送给LAC，即LAC采用普通的PPP数据封装方式来对待Client发出的PPPLCPEchoRequest。当LNS收到后并通过L2TP隧道返回LCPEchoReply，LAC收到后，将L2TP隧道解封装提取PPP报文将其发送给Client

;Client与LNS之间的PPPKeepalive

问题描述

2.LAC采用代理的方式出来Client与LNS间的PPPLCPEchoRequest/Reply

当LAC收到Client发出的LCPEchoRequest后，LAC直接进行发送LCPEchoReply进行回应。当LAC通过L