华为***技术一:L2TP概述

最新推荐文章于 2023-03-27 10:01:31 发布
最新推荐文章于 2023-03-27 10:01:31 发布
阅读量3k 收藏 4
点赞数 1
文章标签: 网络
原文链接:http://blog.51cto.com/xiaojiejt/2044327
版权

原理
名词解析:
VPDN:VPDN是承载PPP报文的×××,可以为企业、小型ISP、移动办公人员提供接入服务。
NAS:NAS网络接入服务器(Network Access Server)主要由ISP维护,连接拨号网络,是距离PPP终端地理位置最近的接入点。NAS用于传统的拨号网络中,为远程拨号用户提供VPDN服务,和企业总部建立隧道连接。
LAC: L2TP访问集中器LAC(L2TP Access Concentrator)是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧道连接,将PPP协商延展到LNS。
LNS: L2TP网络服务器LNS(L2TP Network Server)是终止PPP会话的一端,通过LNS的认证,PPP会话协商成功,远程用户可以访问企业总部的资源。对L2TP协商,LNS是LAC的对端设备,即LAC和LNS建立了L2TP隧道;对PPP,LNS是PPP会话的逻辑终止端点,即PPP终端和LNS建立了一条点到点的虚拟链路。

1、L2TP基于PPP协议,仅能对PPP类型的报文进行封装。
2、L2TP隧道是LAC和LNS之间的一条虚拟点到点的连接,在这条L2TP隧道内传输的消息包括对应的控制消息和数据消息。
控制消息:用于L2TP隧道和会话连接的建立、维护和拆除。
数据消息:用于封装PPP数据帧并在隧道上传输。
3、在同一对LAC和LNS之间可以建立多条L2TP隧道,每条隧道可以承载一个或多个L2TP会话。
4、L2TP协议使用UDP端口1701,这个端口号仅用于初始隧道的建立。L2TP隧道发起方任选一个空闲端口向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲端口,给发起方的选定的端口回送报文。至此,双方的端口选定,并在隧道连通的时间内不再改变。

L2TP报文封装、解封装过程
华为***技术一:L2TP概述
1、PPP终端:IP数据报文进行PPP(链路层)封装,发送报文。
2、LAC:收到PPP报文后,根据报文携带的用户名或者域名判断接入用户是否为VPDN用户。
是VPDN用户:对PPP报文进行L2TP封装,根据LNS的公网地址,再对L2TP报文进行UDP和IP封装。封装后的报文最外层为公网IP地址,经过公网路由转发到达LNS。
非VPDN用户:对PPP报文进行PPP解封装,此时LAC为PPP会话的终止节点。
3、LNS:收到L2TP报文后,依次解除外层的IP封装、L2TP封装、PPP封装,得到PPP承载的信息,即PPP终端发送的IP数据报文。根据报文中的目的地址,查找路由表使报文达到企业总部的目的主机。
隧道建立过程:
1、PPP建立阶段
PPP建立详细过程请查看笔记: PPPOE论述
2、L2TP隧道建立阶段
LAC收到远程用户的PPP协商请求时,LAC向LNS发起L2TP隧道请求。LAC和LNS之间通过L2TP的控制消息,协商隧道ID、隧道认证等内容,协商成功后则建立起一条L2TP隧道,由隧道ID进行标识。
3、L2TP会话建立阶段
如果L2TP隧道已存在,则在LAC和LNS之间通过L2TP的控制消息,协商会话ID等内容,否则先建立L2TP隧道连接。会话中携带了LAC的LCP协商信息和用户认证信息,LNS对收到的信息认证通过后,则通知LAC会话建立成功。L2TP会话连接由会话ID进行标识。

L2TP OVER IPSEC
拓扑
华为***技术一:L2TP概述

配置信息
LAC:
####################################################################
[LAC]dis cu
[V200R003C00]
#
l2tp enable
#
acl number 3000
rule 5 permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
#
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm md5
#
ike peer spub v1
pre-shared-key cipher %$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal 5
remote-address 1.1.1.1
#
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer spub
proposal pro1
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
interface Virtual-Template1
ppp chap user huawei
ppp chap password cipher Huawei@1234
ip address ppp-negotiate
l2tp-auto-client enable
#
interface GigabitEthernet0/0/0
ip address 10.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.2.1 255.255.255.0
ipsec policy policy1
#
l2tp-group 1
tunnel password cipher huawei
tunnel name lac
start l2tp ip 1.1.1.1 fullusername huawei
#
ip route-static 1.1.1.0 255.255.255.0 1.1.2.2
ip route-static 10.1.2.0 255.255.255.0 Virtual-Template1
#
Return
###############################################################
[LAC]dis ike sa
Conn-ID Peer ××× Flag(s) Phase 

    3    1.1.1.1         0     RD                     2     
    2    1.1.1.1         0     RD                     1

Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

############################################################### [LAC]dis l2tp tunnel

Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 1.1.1.1 42246 1 lns
###############################################################
LNS:
###################################################################
[LNS]dis cu
[V200R003C00]
#
sysname LNS
#
l2tp enable
#
acl number 3000
rule 5 permit ip source 1.1.1.0 0.0.0.255 destination 1.1.2.0 0.0.0.255
#
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
#
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm md5
#
ike peer spua v1
pre-shared-key cipher %$%$}H"z!S,^u*;l(AQmOU4+,.2n%$%$
ike-proposal 5
remote-address 1.1.2.1
#
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer spua
proposal pro1
#
ip pool 1
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<08bmE3Uw}%$%$<br/>local-user admin service-type http<br/>local-user huawei password cipher %$%$G35+X&>RR]`+**l&i|2MB[@%$%$
local-user huawei service-type ppp
#
interface Virtual-Template1
ppp authentication-mode chap
remote address pool 1
ip address 10.10.10.1 255.255.255.0
#
interface GigabitEthernet0/0/0
ip address 10.1.2.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 1.1.1.1 255.255.255.0
ipsec policy policy1
#
l2tp-group 1
allow l2tp virtual-template 1 remote lac
tunnel password cipher %$%$1cAxHh|u:OCGT=H0d1p6,"HF%$%$
tunnel name lns
#
ip route-static 1.1.2.0 255.255.255.0 1.1.1.2
ip route-static 10.1.1.0 255.255.255.0 Virtual-Template1
#
Return
###################################################################
[LNS]dis ike sa
Conn-ID Peer ××× Flag(s) Phase 

    2    1.1.2.1         0     RD|ST                  2     
    1    1.1.2.1         0     RD|ST                  1

Flag Description:
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
HRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP

################################################################### [LNS]dis l2tp tunnel

Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 1 1.1.2.1 42246 1 lac
###################################################################

配置步骤
1、配置接口的IP地址和到对端的静态路由,保证两端路由可达。
LAC:
ip route-static 1.1.1.0 255.255.255.0 1.1.2.2
LNS:
ip route-static 1.1.2.0 255.255.255.0 1.1.1.2
2、在LAC上配置L2TP功能,PPP用户通过L2TP隧道向总部发出接入请求,总部认证成功后建立隧道。
LAC:
##使能L2TP
l2tp enable
##配置L2TP组
l2tp-group 1
tunnel name lac ###配置隧道名称,用于发起L2TP连接时,LNS根据LAC的隧道名称接入
start l2tp ip 1.1.1.1 fullusername huawei
tunnel authentication ###使能隧道验证功能,缺省已使能
tunnel password cipher huawei ###配置L2TP隧道的共享密钥
##创建VT虚拟接口模板
interface Virtual-Template1
ppp chap user huawei ###配置CHAP认证用户名、密码
ppp chap password cipher huawei
ip address ppp-negotiate ###配置接口通过PPP协商获取IP地址
3、在LAC上配置到达LNS的路由,使能LAC的自拨号功能。
interface Virtual-Template1 ###触发自动拨号建立L2TP隧道
l2tp-auto-client enable
ip route-static 10.1.2.0 255.255.255.0 Virtual-Template1 ###配置私网路由,使企业分支用户与总部私网互通
4、在LNS上配置L2TP功能及PPP用户,并配置访问公网的路由。
LNS:
##使能L2TP
l2tp enable
##配置AAA认证
aaa
local-user huawei password cipher Huawei@1234
local-user huawei service-type ppp
##配置LNS的IP地址池,为LAC的拨号接口分配IP地址
ip pool 1
gateway-list 10.10.10.1
network 10.10.10.0 mask 255.255.255.0
##创建VT虚拟接口模板,配置PPP协商等参数
interface Virtual-Template1
ppp authentication-mode chap ###配置PPP认证方式为CHAP
remote address pool 1 ###调用地址池
ip address 10.10.10.1 255.255.255.0 ###配置VT接口的私网地址,作为远程用户访问总部网络的网关地址
##配置L2TP组
l2tp-group 1
allow l2tp virtual-template 1 remote lac ###配置响应L2TP隧道建立连接请求
tunnel password cipher huawei ###配置L2TP隧道认证的共享密钥,与LAC一致
tunnel name lns ###配置隧道名称
##在LNS上配置私网路由,使企业总部与企业分支用户私网互通
ip route-static 10.1.1.0 255.255.255.0 Virtual-Template1
5、配置ACL,以定义需要IPSec保护的数据流。
acl number 3000
rule 5 permit ip source 1.1.2.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
6、配置IPSec安全提议,定义IPSec的保护方法。
ipsec proposal pro1
esp authentication-algorithm sha2-256
esp encryption-algorithm aes-128
7、配置IKE对等体,定义对等体间IKE协商时的属性。
ike proposal 5
encryption-algorithm aes-cbc-128
authentication-algorithm md5
ike peer spub v1
pre-shared-key cipher huawei
ike-proposal 5
remote-address 1.1.1.1
8、配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。
ipsec policy policy1 10 isakmp
security acl 3000
ike-peer spub
proposal pro1
9、在接口上应用安全策略组,使接口具有IPSec的保护功能。
interface GigabitEthernet0/0/1
ip address 1.1.2.1 255.255.255.0
ipsec policy policy1

转载于:https://blog.51cto.com/xiaojiejt/2044327

weixin_33713350
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
华为AR1200路由器配置L2TP ***
weixin_34044273的博客
11-01 2765
因最近配置了一台华为的AR1200路由器,当出口用, 客户要求配置×××,让出差的员工能连接×××访问内部文件服务器!本人困惑了好久, 希望有高手能解决一下,×××客户端无法访问内部网络的问题! 在华为模拟器 主要模拟×××,拓扑简洁如下: 拓扑中 云与我本机相通,模拟外网,本机地址为192.168.145.1 AR1200 配置: <Huawei> system-view[Huawe...
华为L2TP配置
gotonet的专栏
11-10 1万+
1.   PC-LAC-LNSPC通过PSTN拨入LAC,然后由LAC发起和LNS建立L2TP。【Router LAC】 sysname LAC# l2tp enable                                 /使能l2tpl2tp domain suffix-separator @              /domain的分隔符为@/ l2
l2tp协议_在代理IP中的L2TP协议是什么?
weixin_39969298的博客
12-03 1441
什么是L2TP协议? 在IP海代理中的L2TP协议是什么?L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持。L2TP是一个数据链路层协议,基于UDP。其报文分为...
L2TP详解(一)
永远是少年
08-03 1万+
今天继续给大家介绍HCIE安全。本文给大家介绍的是L2TP相关内容,包括L2TP的特点和应用场景。 一、L2TP简介 L2TP是一种二层的VPN技术,它提供了对PPP链路层数据帧的隧道传输支持,允许二层链路端点和PPP会话驻留在不同设备上,扩展了PPP模型。 在L2TP中,用户通过PPP拨号到LAC(L2TP Access Concentrator,L2TP访问集中器)上,LAC通过L2TP隧道将PPP报文透明传输到LNS(L2TP Network Server,L2TP网络服务器),LNS随即与用户建立P
L2TP简介
热门推荐
weixin_41623479的博客
08-13 4万+
一、L2TP介绍 1、基础介绍 L2TP(Layer 2 Tunneling Protocol,二层隧道协议)通过在公共网络(如Internet)上建立点到点的L2TP隧道,将PPP(Point-to-Point Protocol,点对点协议)数据帧封装后通过L2TP隧道传输,使得远端用户(如企业驻外机构和出差人员)利用PPP接入公共网络后,能够通过L2TP隧道与企业内部网络通信,...
华为 ME60 V800R011C10 配置指南 - L2TP接入配置
04-02
**9.1 L2TP接入概述** L2TP协议是IETF制定的一种二层隧道协议标准,它融合了L2F和PPTP协议的优点。L2TP通过在公共网络上建立点对点的隧道,将PPP数据帧封装后传输,使得远程用户能够通过L2TP隧道访问企业内部网络...
华为 ME60 V800R010C10SPC500 配置指南 - L2TP接入配置
04-05
L2TP(Layer 2 Tunneling Protocol)是一种用于在公共网络上建立点对点连接的协议,常用于企业、小型ISP和移动办公人员的远程接入服务。华为ME60多业务控制网关支持L2TP特性,但该特性仅在Admin-VS(虚拟系统)环境...
华为官方HCIE安全培训PPT资料合集.zip
09-01
HC13031063 L2TP VPN.ppt HC13031064 Efficient VPN HC13031065 VPN高可用.ppt HC13031066 DSVPN HC13031067 NAT-T HC13031068 GRE Over IPsec HC13031071 SSL VPN技术原理 HC13031072 SSL VPN功能配置 HC13031073 ...
华为HCIP-Security培训视频教程【共34集】.rar
05-28
目录:网盘文件永久链 ...19. 5-2.L2TP基础技术 20. 5-3.L2TP场景与配置 21. 5-4.IPSec基础 22. 5-5.IKEv1_主模式快速模式 23. 5-6.IKEv1补充 24. 5-7.IPSecNAT-T 25. 6-1.Agile Controller概述 26. 6-2.802.1x_Port...
华为 ME60 V800R011C10 配置指南 - EDSG配置
04-02
此外,EDSG业务不支持L2TP LAC用户或二层专线用户,激活失败。同时,EDSG业务与其他流行为动作如permit、deny、service-class等叠加时,可能会导致限速和统计结果与预期不符。在 Portal 强推功能和配额耗尽重定向...
华为防火墙配置(L2TP
1风天云月的博客
12-19 1万+
目录 前言 一、L2TP概述 1、L2TP介绍 2、NAS-Initiated场景 3、Client-Initiated场景 4、Call-LNS场景 5、LNS对拨号用户进行身份认证 6、NAS-Initiated报文封装 7、NAS-Initiated安全策略 8、隧道协商 9、Client-Initiated报文封装 10、Client-Initiated安全策略 11、Call-LNS报文封装 二、L2TP配置 1、案例 2、配置过程 (1)USG1 (2)AR1
L2TP基本概述
ssslq的博客
03-27 3772
L2TP VPN
L2TP介绍
zhaqiwen的专栏
08-19 1万+
L2TP概述 L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)隧道协议的一种。 VPDN是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而
CLient-Initiated L2TP主机上网问题详解
永远是少年
08-25 1487
今天继续给大家介绍HCIE安全。本文主要介绍一下Client-Initiated L2TP配置中上互联网问题的解决。 阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。 相关文章链接: L2TP详解(一) L2TP详解(二) 本文是L2TP 配置实例——Client-Initiated的补充说明,拓扑和配置与上文完全一致,本文对该篇文章的相关内容不会过多赘述,因此在阅读本文之前,强烈建议您阅读这篇文章。 一、Client-Initiated
L2TPTunnel和Session建立过程
jeromezmzx007的博客
05-30 1195
L2TPTunnel和Session建立过程 ① 1(SCCRQ)Start-Control-Connection-Request 控制链接发起请求,由LAC或LNS向对端发送,用来初始化LAC和LNS之间的tunnel,开始tunnel的建立过程。 ② 2(SCCRP)Strat-Control-Connection-Reply 表示接受了对端的连接请求,tunnel的建立过程可以继续。 ③ ...
华三L2TP配置
qq_47529104的博客
06-06 5937
华三l2tp配置
L2TP详解
u013485792的专栏
03-09 3万+
1.L2TP简介    L2TP(Layer 2 Tunneling Protocol,二层隧道协议)是VPDN(Virtual PrivateDial-up Network,虚拟私有拨号网)隧道协议的一种。VPDN隧道协议主要包括以下三种,目前使用最广泛的是L2TP。    a.PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)    b.L2F
L2TP 配置实例——CALL LNS
永远是少年
08-25 5507
今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器,实现了CALL LNS类型的L2TP 配置。 阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。 相关文章链接: L2TP详解(一) L2TP详解(二) 强烈推荐您阅读以下文章: L2TP 配置实例——Client-Initiated 由于在本实例中LNS端配置与上述实例配置中完全一致,因此在本实例中不会对LNS端配置进行过多介绍,主要给大家介绍LAC端的配置。 一、实验拓扑及目的 二
华为l2tp分支网关配置
最新发布
05-05
以下是华为L2TP分支网关的配置示例: 1. 配置L2TP隧道接口 ``` interface Tunnel0 description L2TP tunnel interface l2tp tunnel password simple password l2tp source 10.1.1.1 l2tp remote 20.1.1.1 l2...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值