L2TP-***通用原理取证及在华为防火墙上的实施

课程目标：

ü        系列***课程的起步，通过该课程识别***的典型架构

ü        完整的理解并取证L2TP的工作原理及各种配置方案

ü        为理解其它***比如：IPSec、MPLS-***打下基础

ü        因为各种***在必要时，它们可以借力打力，相互承载

适合人群：希望深入理解各种***的人群、***技术工程人员、华为、思科的安全学员。

课程位置：http://edu.51cto.com/course/course_id-5736.html

课程简介：

理解***的定义及基本架构、是否需要运营商协调、理解***的隧道技术及二次封装过程、演示并取证：GRE隧道及运作原理、关于解读二层***和三层***分类及一直在争论的问题、初识PPTP、L2F、L2TPv2、L2TPv3、IPsec、SSL、理解并取证：L2TP的工作原理及隧道建立、封装过程、演示：由公派出差用户直接初始化L2TP-*** 、何时配置L2TP的域名关联隧道，何时不配（活用L2TP的关键）、演示：由企业防火墙做LAC直接初始化L2TP-***（自由模式）、演示：由运营商的LAC初始化到企业LNS的L2TP-***（强制模式）、由运营商的LAC和LNS承载多个企业的L2TP并隔离重复地址、关于L2TP规划与应用中的典型提问-回答。

具体内容：

第一课：理解***的定义及基本架构、是否需要运营商协调

本课是笔者一系列各种***课程的起步，描述了***的定义、特点、以及常见的几种基础本架构，并说明在一系列的不同架构中，那些是需要运营商协助，那些是用户完全高度自治的***，如何针对自身的情况去选择不同的架构，理解什么是P、PE、CE这三个定义适合于所有的***，并非MPLS-***独有，然后描述了L2TP-***课程的结构及需要演示和取证的实验。

第二课：理解***的隧道技术及二次封装过程

本课程描述了，什么是隧道技术，以及隧道的层次、典型的隧道技术有哪些、及隧道技术对常规包检测的逃逸性。申明出一个关键的问题，隧道的层次并不代表***的层次。并从理论角度描述了隧道二次封装数据的过程和穿过Internet时中间设备转发的过程。

第三课：演示并取证：GRE隧道及运作原理

本课将紧接上一堂课的隧道技术，以分析典型的隧道GRE来取证二次封装过程，相当于是对上堂课的理论进行了证实，并且分别描述了RFC1701和RFC2784的两种GRE报文，并通过实验来举证GRE运载OSPF的过程。强调出为什么GRE严格的讲不是一种完全的***技术。并指出不同隧道与间是可以相互封装的，为深入研究***做出了提示。

第四课：关于解读二层***和三层***分类及一直在争论的问题：

本课描述了典型的二层***和三层***，并指出很多情况下***是建立在三层隧道上的，比如PPTP事实上是基于GRE建立的，但为什么会将PPTP规划到二层***而不是三层，指出识别二层还是三层***的关键区分原则。并在该课程中指出L2TP事实上是属于狭义的二层***，那么广义（广泛）的二层***有哪些。

第五课：初识PPTP、L2F、L2TPv2、L2TPv3、IPsec、SSL

本课重点对狭义的二层***技术PPTP、L2F、L2TPv2及广义的二层***技术L2TPV3及AtoM和三层***的IPsec、SSL的关键特性做了相关描述，并描述了典型的二层***中PPTP、L2F、L2TPv2、L2TPv3它们之间的区别及应用取舍。最后建议出应该掌握的典型***

第六课：理解并取证：L2TP的工作原理及隧道建立、封装过程

    注意本课程的所有内容是L2TP-***的通用原理，主要描述了L2TP典型的架构模型，什么是自主模式与强制模式、L2TP-LAC和LNS的定义、L2TP-***的基本模型、然后描述并取证了强制模式下由运营商的LAC发起初始化的L2TP的工作原理、及隧道建立、封装过程、两次认证过程等、描述为什么PPPOE、L2TP、PPTP都需要使用虚拟模式的原因、并为深度解读L2TP的数据帧做出提示，包括：L2TP的报文分析及AVP分解。

第七课：演示：由公派出差用户直接初始化L2TP-***

本课主要描述并完整演示L2TP的远程拨号到企业的LNS过程，然后总结远程拨号L2TP的通用配置逻辑，分析在远程拨号L2TP-***之间的路由及该环境为什么不需要配置前面理论部分所描述的通过L2TP的域名识别隧道，并为深入理解L2TP的域名做准备。

第八课：何时配置L2TP的域名关联隧道，何时不配（活用L2TP的关键）

本课程主要应解放在工业环境中靠死记指令和套用配置文件上的模板的技术员突破配置模式的限制活用L2TP-***架构而生，其中主要通过描述L2TP域名关联隧道的作用，来解读必须要配置域名与L2TP隧道关联的案例，不需要域名关联隧道的案例，来帮读学习扩展L2TP的灵活使用，以及理解认证域、远程配置文件、隧道之间的关联。

第九课：演示：由企业防火墙做LAC直接初始化L2TP-***（自由模式）

本课完整的演示了由企业防火墙LAC直接初始化到LNS的L2TP-***，相关于是一种Site-to-Site的L2TP-***；并说明该架构中是否需要配置L2TP的域名，总结在该架构下L2TP-***的通用配置逻辑。

第十课：演示：由运营商的LAC初始化到企业LNS的L2TP-***（强制模式）

本课完整的演示由运营商的LAC初始化到企业LNS的L2TP-***（强制模式），在该环境中，首先由企业路由器通过PPPOE拨号到运营商的LAC（NAS），然后由LAC帮助企业用户连接向LNS，在这个过程中企业的拨号用户始终不感知***的存在。然后取证分析了数据报文在PPPOE和L2TP段的不同封装，并描述了在该环境中建议必须配域名的理由，最后总结了该L2TP-***架构下的通用配置原理。

第十一课：由运营商的LAC和LNS承载多个企业的L2TP并隔离重复地址

本课完整的演示了由运营商的LAC和LNS承载多个企业的L2TP并隔离重复地址，这是属于一种用户让运营商完全托管L2TP-***的例子。通过域名与L2TP隧道的关联在LAC侧识别不同的企业流量，然后通过将LNS虚拟化（事实上是一种实例化）虚拟化后的不同实例下配置RD来解决LNS侧的地址冲突，并检测整效果。

第十二课：关于L2TP规划与应用中的典型提问-回答

本课帮助初识L2TP-***技术的用户解答了如下相关问题：现今IPsec、MPLS-***如此之流行，为什么笔者需要对L2TP做如此详细的描述和演示？L2TP的安全性如何保障、为什么不用PPTP去替代L2TP、是否所有厂商都支持L2TP、它们的配置是否相同、在本课L2TP一般应用最为广泛的环境是哪几个、不同厂商之间L2TP是否能互联、事实上L2TP-***是整个***航程的起点。