l2tp over ipsec推荐使用的封装模式
这是一个l2tp的报文,对于一个l2tp报文来说,它的外壳已经被l2tp隧道所产生的新的IP首部所包围,我们都知道IPsec添加相关加密层的方式,如果是传输模式就直接在旧IP首部后面添加加密首部,如果是隧道模式就重新添加一个新的IP首部以及加密首部。所以在l2tp的这种报文格式加,即便是使用ipsec的传输模式也不会泄露两端的地址信息。所以l2tp over ipsec推荐使用传输模式,避免过多层报文的叠加使得报文数据传输效率低下。
处理流程
发送流程
首先是对于这样一个报文在防火墙上是如何形成的?首先在防火墙上会有相对应的静态路由,也就是去往VT接口的静态路由,VT接口就有点像去l2tp隧道的一个入口,当相关流量被引入至VT接口,VT接口会对其打上PPP首部然后再交由l2tp模块进行处理,l2tp模块会为其打上l2tp模块的头部,然后再发送给l2tp隧道出口的物理接口,由于物理接口上绑定着ipsec 的policy,于是ipsec policy会对这个报文进行最后一步的处理,针对不同的封装模式会进行不同的方式的首部添加。然后就完成了ipsec报文的形成。所以对于LAC发起,针对网络场景安全安全策略的设置必须要有dmz<--->trust区域之间的流量互通,主要原因就是因为VT接口处在dmz区域,在整个报文的流动过程中都会经过VT接口所在的dmz区域,当发送的时候报文从处于trust区域的物理接口到达处于dmz区域的VT接口,在接收的时候也是先到达VT接口将ppp封装拆除然后才发送给trust区域的物理接口,最后才传送给主机。
接收流程
对于接收的防火墙来说,它首先从untrust区域接收到这个层层包裹的报文,所以针对这一步我们就需要放行untrust到local且相关协议是esp,以及l2tp的报文。当接收到加密的报文后,ipsec模块对其进行解封,然后防火墙得到的就是一个udp首部,目的端口为1701,所以要上交至l2tp模块,然后l2tp模块将相关隧道解封再转交给VT接口,在 防火墙内部的功能模块之间的传递并不需要什么安全策略的设置。传递给VT接口后,dmz区域的VT接口对ppp首部进行拆除,然后交给处于trust区域的VT接口,所以我们需要放行dmz区域到trust区域的相关流量,如果要针对相关流这个时候就可以针对源目地址,但是注意这里的源地址是ppp协议分发出去的地址,目的地址是LNS侧的私网主机的地址。因为VT接口将ppp首部解封后会进行安全策略的匹配,注意这个时候进行策略匹配的报文以及没有任何隧道相关的首部以及ppp首部,是一个原生报文,所以我们如果要针对源目地址进行安全策略的制定的时候,针对也是此时的报文的源目地址
9000
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
