L2TP VPN:
二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。
L2TP不支持加密
L2TP使用的端口号1701
L2TP协议以UDP头部封装
目的:
出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址,并供总部对出差员工进行身份认证。但PPP报文受其协议自身的限制无法在Internet上直接传输。于是,PPP报文的传输问题成为了制约出差员工远程办公的技术瓶颈。L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。将PPP封装在L2TP中,无论出差员工是通过传统拨号方式接入Internet,还是通过以太网方式接入Internet,L2TP VPN都可以向其提供远程接入服务。
IP网络和以太网不支持认证服务,所以要使用PPP协议
PPP协议不能跨越互联网,使用L2TP隧道承载PPP协议,借助L2TP在以太网/Internet上传递,方便认证。
L2TP封装:
PPP:工作在数据链路层
PPP支持认证,有PAP,CHAP用于认证
PAP:明文传输用户名和密码
CHAP:明文传输用户名,密文传输密码
PPP工作步骤:LCP协商(链路层协商),认证(PAP,CHAP),NCP协商(网络层协商)
NAS:网络接入服务器,运营商发起的L2TP VPN建立连接(场景一)
LNS:L2TP网络服务器,企业总部出口网关
LAC:L2TP的访问控制中心,隧道发起方,企业分支的出口网关,用于站点到站点建立L2TP VPN,企业分支发起的L2TP VPN建立连接,中间不用经过运营商(场景三)
L2TP VPN应用场景:
第一种:
NAS(运营商提供)和LNS之间建立L2TP VPN隧道
NAS设备在这个案例中充当PPPoE服务器
2.第二种:
移动办公用户直接和LNS建立L2TP VPN隧道
3.第三种:
站点到站点(分支到总部)
没有运营商参与
LAC部署
将网关设备作为pppoe服务器,客户端通过pppoe服务器进行L2TP VPN的建立
客户端作为LAC直接与总部建立L2TP VPN
L2TP工作过程·
第二种原理:移动办公用户通过客户端软件直接与总部建立VPN连接
隧道连接和会话连接不是一个概念,隧道连接是指的隧道起点和终点,会话连接是指隧道起点和终点身后的网络,一条隧道可以承载多个会话
移动用户发送一个icmp是如何封装的
报文封装:
安全策略,移动办公用户属于DMZ区域,还需要做隧道分离,比如客户端需要访问百度
L2TP报文结构
实验:移动办公用户远程访问总部(直接与总部之间建立L2TP VPN )
拓扑图:
配置FW上的静态路由
创建用户jack,用于远程访问,密码huawei@123
将FW配置为L2TP服务器:
新建地址池:
配置安全策略,分别为untrust_local,dmz_trust,trust_dmz:
win7客户端使用L2TP客户端软件进行拨号
安装客户端软件:
安装完成后打开软件
输入用户名密码登录
查看抓包
查看ping包
客户端ping外网13.13.13.1不通是因为没有做隧道分离,访问外网的流量也走隧道导致的
开启隧道分离,只有访问内网时走隧道
现在可以访问外网
保证数据的机密性需要使用ipsec
防火墙上配置l2tp over ipsec
新建策略local_untrust,因为防火墙要和对端协商
L2TP客户端配置,其他的默认不用改
此时客户端访问内网抓包查看到的报文都是经过ESP加密的
此时客户端访问外网不通,需要修改客户端软件上的一个配置,修改过以后可以访问外网
此时在AR1的G0/0/0口抓包,报文未被加密
使用win7自带的拨号软件进行连接
高级设置里
客户端查看IP