隧道技术及L2TP隧道简介
隧道协议有很多种,不同的隧道协议工作在不同的TCP/IP层
隧道协议有很多种,不同的隧道协议工作在不同的TCP/IP层
隧道技术(Tunneling)
隧道技术的基本过程是在源局域网与公网的接口处将数据(可以是ISO 七层模型中的数据链路层或网络层数据)作为负载封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,取出负载。被封装的数据包在互联网上传递时所经过的逻辑路径被称为“隧道”(Tunnel)。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议主要有4种:点到点隧道协议、第二层隧道协议、网络层隧道协议以及SOCKS v5协议。其中,PPTP和L2TP工作在数据链路层,IPSec工作在网络层,SOCK v5工作在会话层。各协议工作在TCP/IP层,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
要使数据顺利地被封装、传送及解封装,通信协议是保证的核心。目前VPN隧道协议主要有4种:点到点隧道协议、第二层隧道协议、网络层隧道协议以及SOCKS v5协议。其中,PPTP和L2TP工作在数据链路层,IPSec工作在网络层,SOCK v5工作在会话层。各协议工作在TCP/IP层,不同的网络环境适合不同的协议,在选择VPN产品时,应该注意选择。
IPSec协议是一个范围广泛、开放的VPN安全协议,工作在OSI模型中的第三层——网络层。
IPSec协议实际上是一套协议而不是一个单个的协议。
IPSecL2TPPPTP
L2TP隧道(L2TP Tunnel)是指在第二层隧道协议(L2TP)端点之间的逻辑链接:LAC(L2TP接入聚合器)和LNS(L2TP网络服务器)。当LNS是服务器时,LAC是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。为了对网络有用,高层协议例如点对点协议(PPP)然后通过L2TP隧道。
l2tp协议综合了pptp协议和l2f(layer 2 forwarding)协议的优点,并且支持多路隧道,这样可以使用户同时访问internet和企业网。
IPSec协议实际上是一套协议而不是一个单个的协议。
IPSecL2TPPPTP
L2TP隧道(L2TP Tunnel)是指在第二层隧道协议(L2TP)端点之间的逻辑链接:LAC(L2TP接入聚合器)和LNS(L2TP网络服务器)。当LNS是服务器时,LAC是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。为了对网络有用,高层协议例如点对点协议(PPP)然后通过L2TP隧道。
l2tp协议综合了pptp协议和l2f(layer 2 forwarding)协议的优点,并且支持多路隧道,这样可以使用户同时访问internet和企业网。
以netscreen SSG5配置L2TP
实验效果图:
实验目的:
通过L2TP方式拨号到IDC机房ssg5,自动获取192.168.24.0/24网段的ip地址,使192.168.24.0/24这个网段能够访问到COMPANY内部网络与IDC机房内部网络,并通过IDC网络环境连接到互联网
创建一个拨号VPN客户端地址段
命名为dial-up-vpn-addr ip段:192.168.24.0/24 zone:trust
创建一个IP地址池
命名ip pool:vpn-ip-pool 从192.168.24.20.20到192.168.24.40
创建一个test1用户,选择L2TP User,并添加user password,并关联IP地址池(vpn-ip-pool)
创建一个L2TP-vpn用户组,并把available members下面test1账号添加到左边group members
修改L2TP隧道的默认设置,关联IP地址池(vpn-ip-pool),选择chap的ppp认证及添加DNS
在tunnel页面选择dialup group并以刚创建的L2TP-vpn作为拨号组,并选择外网端口Ethernet0/0,并关联IP地址池(vpn-ip-pool),Tunnel的name为YS_VPN,由于截图没把name截出来,大家注意一下
创建一条策略from untrust to trust,源地址为Dial-Up VPN,由于拨号进来不只要访问本地网络还有公司网络,所以目的地址:ANY 并在Action修改为:tunnel,L2TP:YS_VPN,然后,在logging 与at session beginning打 √
接下来设置拨号网段与公司网段的策略路由,如下图是在IDC ssg5上设置,COMPANY端也要设置,具体两端基于策略路由设置详见以下网址:
最后设置拨号网段可以访问到互联网,如下图,指定拨号网段与目标地址为any
拨号连接并测试是否ping通本地
1. 本人pc的os是win2008,不需要设置任何选项可以直接拨号上去并ping通本地ip
测试结果:
说明已经成功生效了
2. 如果os是xp win7 win2003 需要设置注册表并
重新启动设备
直接把以下代码复制到文本另存为.reg后缀名并运行,或者运行附件L2TP.reg就OK
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
72,00,61,00,73,00,6d,00,61,00,6e,00,73,00,2e,00,64,00,6c,00,6c,00,00,00
"Medias"=hex(7):72,00,61,00,73,00,74,00,61,00,70,00,69,00,00,00,00,00
"CustomDLL"=hex(7):43,00,3a,00,5c,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,\
20,00,46,00,69,00,6c,00,65,00,73,00,5c,00,4d,00,53,00,4e,00,5c,00,4d,00,53,\
00,4e,00,43,00,6f,00,72,00,65,00,46,00,69,00,6c,00,65,00,73,00,5c,00,63,00,\
75,00,73,00,74,00,64,00,69,00,61,00,6c,00,2e,00,64,00,6c,00,6c,00,00,00,00,\
00
"ServiceDllUnloadOnStop"=dword:00000001
"AllowL2TPWeakCrypto"=dword:00000000
"AllowPPTPWeakCrypto"=dword:00000000
"KeepRasConnections"=dword:00000000
"ProhibitIpSec"=dword:00000001
"AllocatedLuids"=hex:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters\Quarantine]
"AutoRefreshEnabled"=dword:00000000
"AutoRefreshTimeout"=dword:01808580
"Enabled"=dword:00000001
"WorkItemTimeout"=dword:00000bb8
接着在设置vpn属性--安全—高级—设置
数据加密:可选加密或者加密
质询握手身份验证协议(CHAP):打勾
Win7 还要选择L2TP/IPSEC
注意事项:
1.后期多添加了几个IDC机房网段,发现拨号获取的ip ping不到192.168.31.0网段,配置没错,查看了策略的配置如下:
后来调整了策略ID 15与18 就OK
2.拨号上来的ip发现上不了网,之前一直都正常,后来改了个DNS的ip为8.8.8.8就OK
本文转自viong 51CTO博客,原文链接:http://blog.51cto.com/viong/477275,如需转载请自行联系原作者