L2TP VPN:
二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。
二层隧道协议L2TP ( Layer 2 Tunneling Protocol )是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )隧道协议的一种,扩展了点到点协议PPP ( Point-to-Point Protocol )的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
VPDN有以下三种常用的隧道技术:
(1)点到点隧道协议PPTP
(2)二层转发L2F
(3)二层隧道协议L2TP
L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数远程终端通过公共网络接入企业内联网的需求
L2TP不支持加密
L2TP使用的端口号1701
L2TP协议以UDP头部封装
目的:
出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址,并供总部对出差员工进行身份认证。但PPP报文受其协议自身的限制无法在Internet上直接传输。于是,PPP报文的传输问题成为了制约出差员工远程办公的技术瓶颈。L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。将PPP封装在L2TP中,无论出差员工是通过传统拨号方式接入Internet,还是通过以太网方式接入Internet,L2TP VPN都可以向其提供远程接入服务。
L2TP优点:
( 1)灵活的身份验证机制以及高度的安全性
a.L2TP使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认证。
b.L2TP定义了控制消息的加密传输方式,支持L2TP隧道的认证。
c.L2TP对传输的数据不加密,但可以和因特网协议安全协议IPSec结合应用,为数据传输提供高度的安全保证。
( 2)多协议传输:L2TP传输PPP数据包,PPP可以传输多种协议报文。
( 3)支持RADIUS服务器的验证:L2TP对接入用户不仅支持本地认证,还支持将拨号接入的用户名和密码发往RADIUS服务器进行认证,为企业管理接入用户提供了更多的选择。
(4)支持私网地址分配︰应用L2TP的企业总部网关,可以为远程用户动态分配私网地址。
( 5 )可靠性∶L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以与备份LNS建立连接,增强了VPN服务的可靠性。
L2TP基本概念:
1.VPDN :VPDN是承载PPP报文的VPN,可以为企业、小型ISP、移动办公人员提供接入服务。PPP终端接入拨号网络,拨号到NAS。NAS收到PPP报文后进行L2TP封装,最外层的IP报头经过公网路由转发后到达LNS。LNS收到报文后解封装,还原PPP报文,完成了PPP报文在公共网络上的透明传输,从而在PPP终端和LNS之间建立了VPDN连接。随着以太网络的普及,PPP终端不再受限于传统的拨号网络,使用PPPoE技术,即可通过以太网络接入LAC。
2.PPP终端:L2TP应用中,PPP终端指发起拨号,将数据封装为PPP类型的设备,如远程用户PC、企业分支网关等。
3.NAS∶NAS网络接入服务器( Network Access Server )主要由ISP维护,连接拨号网络,是距离PPP终端地理位置最近的接入点。NAS用于传统的拨号网络中,为远程拨号用户提供VPDN服务,和企业总部建立隧道连接。
4.LAC∶L2TP访问集中器LAC ( L2TP Access Concentrator)是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧道连接,将PPP协商延展到LNS。
5.隧道和会话:在LAC和LNS的L2TP交互过程中存在两种类型的连接。
(1)隧道(Tunnel)连接:L2TP隧道在LAC和LNS之间建立,一对LAC和LNS可以建立多个L2TP隧道,一个L2TP隧道可以包含多个L2TP会话。
(2)会话(Session )连接:L2TP会话发生在隧道连接成功之后,L2TP会话表示承载在隧道连接中的一个PPP会话过程。
LAC部署:
IP网络和以太网不支持认证服务,所以要使用PPP协议
PPP协议不能跨越互联网,使用L2TP隧道承载PPP协议,借助L2TP在以太网/Internet上传递,方便认证。
L2TP封装:
UDP使用1701端口表示它承载的是L2TP报文
PPP:工作在数据链路层
PPP支持认证,有PAP,CHAP用于认证
PAP:明文传输用户名和密码
CHAP:明文传输用户名,密文传输密码
PPP工作步骤:LCP协商(链路层协商),认证(PAP,CHAP),NCP协商(网络层协商)
NAS:网络接入服务器,运营商发起的L2TP VPN建立连接(场景一)
LNS:L2TP网络服务器,企业总部出口网关
LAC:L2TP的访问控制中心,隧道发起方,企业分支的出口网关,用于站点到站点建立L2TP VPN,企业分支发起的L2TP VPN建立连接,中间不用经过运营商(场景三)
L2TP VPN应用场景:
第一种:
NAS(运营商提供)和LNS之间建立L2TP VPN隧道
NAS设备在这个案例中充当PPPoE服务器
2.第二种:
移动办公用户直接和LNS建立L2TP VPN隧道
3.第三种:
站点到站点(分支到总部)
没有运营商参与
LAC部署
将网关设备作为pppoe服务器,客户端通过pppoe服务器进行L2TP VPN的建立
客户端作为LAC直接与总部建立L2TP VPN
L2TP工作过程·
第二种原理:移动办公用户通过客户端软件直接与总部建立VPN连接
隧道连接和会话连接不是一个概念,隧道连接是指的隧道起点和终点,会话连接是指隧道起点和终点身后的网络,一条隧道可以承载多个会话
移动用户发送一个icmp是如何封装的
报文封装:
安全策略,移动办公用户属于DMZ区域,还需要做隧道分离,比如客户端需要访问百度
L2TP报文结构
实验:配置LAC自拨号发起L2TP隧道连接
拓扑:
AR1和AR3配置静态路由
在LNS(AR3)设备上配置地址池,用来给LAC自拨号连接时分配IP
在LNS(AR3)设备上配置AAA,创建本地用户名密码用于ppp服务
在LNS(AR3)设备上配置虚拟模板1,配置IP,对端地址从本地地址池pool1中拿,ppp的认证模式为chap
在LNS(AR3)设备上配置使能L2TP服务,创建一个L2TP组
在LNS(AR3)设备上配置本端隧道名称以及指定LAC(AR1)的隧道名称
在LNS(AR3)设备上配置启用隧道认证功能并设置密码为huawei123
在LNS(AR3)设备上配置将流量引入隧道
在LAC(AR1)设备上配置使能L2TP服务,创建一个L2TP组
在LAC(AR1)设备上配置启用隧道认证功能并设置密码为huawei123
在LAC(AR1)设备上配置找AR3来拨号,用jack这个用户
在LAC(AR1)设备上配置虚拟模板1
在LAC(AR1)设备上配置将流量引入隧道
查看隧道建立情况
抓包测试
在AR2的G0/0/0抓包
pc2 ping pc1
明文传输,没有加密,需要使用IPSec加密
配置L2TP over IPSec对数据进行加密
AR1上配置ACL定义加密数据流
AR1配置IPSec
AR3上配置ACL定义加密数据流
AR3配置IPSec
这时抓包数据包被加密,由于模拟器bug,显示回包未加密
6577
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
