IPSec增强原理—L2TP over IPSec

最新推荐文章于 2025-03-28 15:49:14 发布
最新推荐文章于 2025-03-28 15:49:14 发布
阅读量9.5k 收藏 28
点赞数 3
分类专栏: # HCIE安全 文章标签: IPSec L2TP VPN 路由交换 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W_TF2017/article/details/109910989
版权

L2TP over IPSec,即先用L2TP封装报文再用IPSec封装,这样可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入总部,也可以用于出差员工接入总部。

分支接入总部网络的L2TP over IPSec的工作原理如图1所示。

图1 L2TP over IPSec报文封装和隧道协商过程

在这里插入图片描述
报文在隧道中传输时先进行L2TP封装再进行IPSec封装。IPSec封装过程中增加的IP头即源地址为IPSec网关应用IPSec安全策略的接口IP地址,目的地址即IPSec对等体中应用IPSec安全策略的接口IP地址。

IPSec需要保护的是从L2TP的起点到L2TP的终点数据流。L2TP封装过程中增加的IP头即源IP地址为L2TP起点地址,目的IP地址为L2TP终点的地址。分支接入总部组网中L2TP起点地址为LAC出接口的IP地址,L2TP终点的地址为LNS入接口的IP地址。

由于L2TP封装时已经增加了一个公网IP头,而隧道模式跟传输模式相比又多增加了一个公网IP头,导致报文长度更长,更容易导致分片。所以推荐采用传输模式L2TP over IPSec。

出差用户远程接入总部网络的组网中L2TP over IPSec的协商顺序和报文封装顺序跟分支接入总部网络的组网中的协商顺序和报文封装顺序是一样的。所不同的是出差用户远程接入总部网络的组网中,用户侧的L2TP和IPSec封装是在客户端上完成的。L2TP起点的地址为客户端将要获取的内网地址,此地址可以是LNS上配置的IP地址池中的任意地址。L2TP终点地址为LNS入接口的地址。

L2TP(Client-initiated模式)over IPSEC远程拨号实验
earthtoearth的博客
07-19 1438
其中L2TPoverIPsec客户端采用windows软终端模式(Cloud3),AR1上将内网LNS(FW1)服务器采用NAT方式向外网进行映射。(二)在R1和FW1上建立ospf宣告内网路由,在R1下发缺省路由,在g0/0/0口通过NAT映射宣告防火墙地址。1、IPSEC配置(注意必须采用传输模式,注意3des及sha1等算法需与Windows系统一致)在FW1(LNS)上验证IPsecL2TP连接情况。(一)在FW1(LNS)服务端上配置。(一)如图所示配置相应接口地址。设置L2TP用户地址。
锐捷防火墙(WEB)——VPN部署场景——L2TP over IPSec
君逍遥o
09-26 2026
如图所示,某公司内部有一台OA服务器,在外移动办公的工作人员需要通过L2TP over IPSEC VPN 拨入到公司内网来对内网服OA服务器进行访问。
L2TP OVER IPSEC原理详解
永远是少年
08-24 8198
今天继续给大家介绍HCIE安全。本文给大家介绍的是L2TP OVER IPSEC的相关内容。 阅读本文,您需要对L2TPIPSEC有一定的了解,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获!!! 推荐阅读: IPSEC VPN简介 L2TP详解(一) L2TP详解(二) 一、L2TP OVER IPSEC原理 L2TP OVER IPSEC,类似于GRE IPSEV,都是先建立IPSEC隧道,然后再IPSEC建立的基础上,建立L2TP隧道,相关体系模式如下: 总部与分部网关已经
L2TP_OVER_IPSEC功能
08-18
H3C L2TP_OVER_IPSEC功能
PPTP、L2TPIPSec
最新发布
A2321161581的博客
03-28 1399
PPTP、L2TPIPSec 是三种常见的 VPN(虚拟专用网络)协议,用于在公共网络上建立安全的通信隧道。它们各有特点,适用于不同的场景。
L2TP/L2TP over IPSec
maimang1001的专栏
02-07 1424
二层隧道协议L2TP ( Layer 2 Tunneling Protocol )是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )隧道协议的一种,扩展了点到点协议PPP ( Point-to-Point Protocol )的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。LAC:L2TP的访问控制中心,隧道发起方,企业分支的出口网关,用于站点到站点建立L2TP VPN,企业分支发起的L2TP VPN建立连接,中间不用经过运营商(场景三)
l2tp over ipsec 报文分析以及传递到防火墙后防火墙的处理
qq_47529104的博客
04-10 1235
l2tp over ipsec推荐使用的封装模式 这是一个l2tp的报文,对于一个l2tp报文来说,它的外壳已经被l2tp隧道所产生的新的IP首部所包围,我们都知道IPsec添加相关加密层的方式,如果是传输模式就直接在旧IP首部后面添加加密首部,如果是隧道模式就重新添加一个新的IP首部以及加密首部。所以在l2tp的这种报文格式加,即便是使用ipsec的传输模式也不会泄露两端的地址信息。所以l2tp over ipsec推荐使用传输模式,避免过多层报文的叠加使得报文数据传输效率低下。 处理流程
L2TP over IPsec复杂吗?有点!所以建议你看看这篇文章
衡水铁头哥的博客
02-05 2103
正文共:666 字 8 图,预估阅读时间:2 分钟我们之前介绍了IPsec(采用IKE野蛮模式建立保护IPv4报文的IPsec隧道),也介绍了L2TP VPN(巧用VSR的L2TP VPN功能实现访问云上业务),我说L2TP over IPsec会稍微复杂一点,但是说到底能有多复杂呢?我们之前操作过GRE over IPsec(GRE和IPsec搭配使用,到底是谁over谁?先看GRE over ...
L2TP over IPSEC(使用IPSEC传输模式保护)
weixin_33692284的博客
08-29 3547
 实验目的: 应用L2TP结合IPSec建立***,实现分remote-client通过虚拟专用网连接,连接到总公司边界路由,进行认证,建立***,实现安全通信。 实验拓扑:   实验配置要点: R1和R2配置IP和OSPF,并且为PC自动下放IP地址,R3配置NAT和IP地址。   R3的配置: vpdn enable ! vpdn-group l2tp ! Defau...
计算机网络-L2TP Over IPSec基础实验
Linux基础知识、计算机网络基础学习分享。
12-30 775
上次我们进行了标准L2TP的配置,但是在最后我们在进行业务流量访问时看到流量是没有进行加密的,这就导致可能得安全风险,所以这里其实可以退像GRE那样调用IPSec框架来进行加密保护。总结:通过在L2TP的基础上,利用ipsec安全框架可以实现业务流量的加密保护,参考前面IPSec的配置,基本上不难。现在需要配置IPSec,然后针对L2TP的流量进行加密,IPSec前面的知识已经讲过了,感兴趣可以去前面翻一下。客户端也需要修改,可以直接修改,也可以新建一个连接配置。二、L2TP Over IPSEC配置。
H3C SecPathF10X0_L2TP over IPSec配置.IOS、Android、Win7、Win10免客户端接入
04-07
H3C防火墙F10X0 V7版本,配置L2tp over ipsec,实现ios和android以及各版本Windows终端,免客户端接入的配置,内含关键配置点说明。
ipsec+l2tp安装配置及插件
06-01
linux下ipsec+l2tp安装配置及插件
前端该知道些密码学和安全上的事儿
dzqxwzoe的博客
01-03 393
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
l2tp over ipsec配置的大概思路
qq_47529104的博客
04-09 1973
l2tp over ipsec的大概思路 先配置l2tp的内容,然后再正常地建立ipsec隧道,将创建后地ipsec policy挂在l2tp隧道的接口上。如果是client发起的,且使用的就是l2tp over ipsec那么从一开始就会在client发出相关请求报文就会包括l2tp隧道建立以及ipsec隧道的建立。如果是NAS发起的,那么pppoe的客户端所有的流量都是先到NAS,然后NAS再将这些流量通过l2tp隧道将流量转发给防火墙,也就是l2tp隧道的对端,那么针对这种网络场景,ipsec的隧道
ENSP L2TP Over IPSec
Shass的博客
10-29 1380
本文拓扑沿用上一篇文章《》,相关配置有差异。
L2TP(Client-initiated模式)over IPSEC远程拨号实验_l2tpl2tp over ipsec
heike_Ch的博客
08-22 317
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
IDEA DataGrip连接sqlserver 提示驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接的解决方法
qq_53058639的博客
02-23 926
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
CentOS 7 搭建 L2TP/Ipsec
热门推荐
weixin_45150603的博客
07-29 1万+
L2TP具体的工作原理这里不再多说(可以自行百度或者GOOGLE),这里把经历过一些碰壁的问题在这里进行下梳理: 针对于阿里云的云服务器要在安全组上要把500、1701和4500的UDP端口放行 阿里云盾的内置服务要关闭。 我用的是foreign云,所以在云上不用做相应的安全策略,只需要加入防火墙策略。 配置文件里有涉及到TAB及空行的地方要注意! 构建环境:l2tp服务端 centos7.4...
l2tp over ipsec
12-30
### L2TP over IPsec 配置教程 #### Cisco ASA 设备上的配置过程 对于Cisco ASA设备,在设置L2TP over IPSec时,创建用于分配给远程用户的IP地址池是一个重要环节。这通过命令`ciscoasa(config)#ip local pool l2tp-ipsec-pool 172.16.40.1-172.16.40.254 mask 255.255.255.0`来实现[^1]。 除了上述提到的地址池设定外,完整的L2TP over IPsec配置还需要完成以下几项工作: - **定义访问列表**:为了控制哪些流量可以通过IPsec隧道传输,需先建立相应的ACL(Access Control List)。例如: ```shell access-list NONAT extended permit ip any host <内部服务器IP> ``` - **配置ISAKMP策略**:这是IKEv1版本下的术语,用来协商安全参数并交换密钥材料。示例如下所示: ```shell crypto isakmp policy 10 encr aes authentication pre-share group 2 ``` - **指定预共享密钥**:确保两端设备能够互相验证身份 ```shell crypto isakmp key cisco address 0.0.0.0 0.0.0.0 ``` - **构建IPsec转换集**:指明加密算法和其他保护措施 ```shell crypto ipsec transform-set MYSET esp-aes esp-sha-hmac ``` - **关联ACL与转换集到虚拟模板接口上** ```shell interface Virtual-Template1 type tunnel peer ip address <远端网关IP> outside ip unnumbered GigabitEthernet0/0 ppp encrypt mppe auto required ppp authentication ms-chap-v2 service-policy output LAN-LAN-POLICY exit crypto map OUTSIDE_MAP 1 match address NONAT crypto map OUTSIDE_MAP 1 set peer <远端网关IP> crypto map OUTSIDE_MAP 1 set transform-set MYSET ``` 以上步骤涵盖了基本的L2TP/IPsec连接所需的主要组件配置。 #### 华为eNSP防火墙上启用ICMP服务的影响 当在华为eNSP防火墙环境中执行命令 `[FW2-GigabitEthernet0/0/0]service-manage ping permit` 后,允许了来自该物理接口的数据包发送ICMP请求报文[^2]。这一操作通常是为了方便网络管理员测试连通性和诊断潜在问题而采取的安全策略调整动作之一。 然而需要注意的是,虽然开放ICMP可以简化某些类型的故障排查活动,但也可能增加遭受特定类型攻击的风险;因此建议仅在网络调试期间临时开启此功能,并且严格限制可发起ping请求的目标范围。 --- ### 常见问题解决方案 针对可能出现的问题及其对应的解决办法列举如下: - 如果遇到无法成功建立L2TP会话的情况,则应检查客户端是否已正确设置了用户名密码认证信息以及所使用的域名是否匹配防火墙侧配置。 - 对于因错误配置而导致的IPsec SA (Security Association)未能正常启动的情形,应当仔细核对双方之间的IKE/IKEv2提议、DH组以及其他相关属性的一致性。 - 当发现数据流经过隧道后丢失或延迟过高时,可能是由于NAT穿越机制未被妥善处理所致——此时可通过引入UDP封装特性或是优化路径选择逻辑来进行改善。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值