2021年06月16日 返回>>
L2TP VPN簡(jiǎn)介
L2TP基本概念:
L2TP(Layer 2 Tunneling Protocol) VPN是一種用于承載PPP報(bào)文的隧道技術(shù),該技術(shù)主要應(yīng)用在遠(yuǎn)程辦公場(chǎng)景中為出差員工遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)。
目的:
L2TP VPN技術(shù)出現(xiàn)以后,使用L2TP VPN隧道“承載”PPP報(bào)文在Internet上傳輸成為了解決上述問(wèn)題的一種途徑。無(wú)論出差員工是通過(guò)傳統(tǒng)撥號(hào)方式接入Internet,還是通過(guò)以太網(wǎng)方式接入Internet,L2TP VPN都可以向其提供遠(yuǎn)程接入服務(wù)。
L2TP VPN的優(yōu)點(diǎn):
身份驗(yàn)證機(jī)制
支持本地認(rèn)證。
支持Radius服務(wù)器等認(rèn)證方式
多協(xié)議傳輸
L2TP傳輸PPP數(shù)據(jù)包,PPP本身可以傳輸多協(xié)議,而不僅僅是IP可以在PPP數(shù)據(jù)包內(nèi)封裝多種協(xié)議
計(jì)費(fèi)認(rèn)證地址分配
可在LAC和LNS兩處同時(shí)計(jì)費(fèi),即ISP處(用于產(chǎn)生賬單)及企業(yè)網(wǎng)關(guān)(用于付費(fèi)及審計(jì))。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)、字節(jié)數(shù)以及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù),可根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)
LNS可放置于企業(yè)網(wǎng)的USG之后,對(duì)遠(yuǎn)端用戶地址進(jìn)行動(dòng)態(tài)分配和管理,可支持私有地址應(yīng)用
不受NAT限制穿越
支持遠(yuǎn)程接入
靈活的身份驗(yàn)證及時(shí)以及高度的安全性
L2TP協(xié)議本身并不提供連接的安全性,但它可以依賴于PPP提供的認(rèn)證(CHAP、PAP等),因此具有PP所具有的所有安全特性。
L2TP隧道可以與IPSec結(jié)合,使通過(guò)L2TP所傳輸?shù)臄?shù)據(jù)更難被攻擊。
可根據(jù)特定的網(wǎng)絡(luò)安全要求,在L2TP之上采用通道加密技術(shù)、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。
可靠性
L2TP協(xié)議支持備份LNS,當(dāng)一個(gè)主LNS不可達(dá)之后,LAC可以重新與備份LNS建立連接,增加了VPN服務(wù)的可靠性和容錯(cuò)性
L2TP VPN的原理
L2TP VPN的主要應(yīng)用場(chǎng)景:
LAC和LNS介紹:
LAC是附屬在交換網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備,主要用于為PPP類型的用戶提供接入服務(wù)
LAC位于LNS和用戶之間,用于在LNS和用戶之間傳遞信息包,它把用戶收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS,同時(shí)也將從LNS收到的信息包進(jìn)行解封裝并送往用戶。LAC與用戶之間采用本地連接或PPP鏈路,VPDN應(yīng)用中通常為PPP鏈路。
LNS既是PPP端系統(tǒng),又是L2TP協(xié)議的服務(wù)器端,通常作為一個(gè)企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。
LNS作為L2TP隧道的另一側(cè)端點(diǎn),是LAC的對(duì)端設(shè)備 ,是LAC進(jìn)行隧道傳輸?shù)?span style="font-family: Calibri;">PPP會(huì)話的邏輯終止端點(diǎn)。通過(guò)在公網(wǎng)中建立LAC隧道,將用戶的PPP連接的另一端由原來(lái)的LAC在邏輯上延伸了企業(yè)網(wǎng)內(nèi)部的LNS。
L2TP VPN主要有三種應(yīng)用場(chǎng)景。分別是:
NAS-Initiated場(chǎng)景(撥號(hào)用戶訪問(wèn)企業(yè)內(nèi)網(wǎng))
NAS(Network Access Server):是運(yùn)營(yíng)商用來(lái)向撥號(hào)用戶提供PPP/PPPoE接入服務(wù)的服務(wù)器,撥號(hào)用戶通過(guò)NAS訪問(wèn)外部網(wǎng)絡(luò)。
LNS(L2TP Network Server)是企業(yè)總部的出口網(wǎng)關(guān)。
用戶通過(guò)PPPoE撥入LAC(L2TP Access Concentrator),觸發(fā)LAC和LNS之間建立隧道。接入用戶地址由LNS分配,對(duì)接入用戶的認(rèn)證可由LAC側(cè)的代理完成,也可兩側(cè)都對(duì)接入用戶做認(rèn)證。當(dāng)所有L2TP用戶都下線時(shí),隧道自動(dòng)拆除以節(jié)省資源,直至再有用戶接入時(shí),重新建立隧道。
此組網(wǎng)適用于分支機(jī)構(gòu)用戶向總部發(fā)起連接,且一般用于分支機(jī)構(gòu)的用戶不經(jīng)常訪問(wèn)企業(yè)總部的情況。
LAC自動(dòng)撥號(hào)
LAC與LNS之間建立一條永久性L2TP會(huì)話??蛻舳瞬挥?span style="font-family: Calibri;">PPP撥號(hào),而通過(guò)IP連接即可在隧道中傳輸數(shù)據(jù)。
用戶通過(guò)配置觸發(fā)建立LAC與LNS之間的永久性L2TP會(huì)話。LAC使用存儲(chǔ)在本地的用戶名和LNS建立一個(gè)永久存在的L2TP隧道,此時(shí)的L2TP隧道就相當(dāng)于一個(gè)物理連接。用戶與LAC之間的連接就不受限于PPP連接,而只需IP連接,LAC即可將用戶的IP報(bào)文轉(zhuǎn)發(fā)到LNS。
這種組網(wǎng)也適用于分支機(jī)構(gòu)接入總部,用于分支機(jī)構(gòu)員工訪問(wèn)總部頻率較高的情況。與NAS-Initiated VPN場(chǎng)景相比:
分支機(jī)構(gòu)員工感知不到隧道存在,不需要使用用戶名接入。LAC為分支機(jī)構(gòu)的多個(gè)用戶提供L2TP服務(wù),免去了每個(gè)用戶使用L2TP都需要先撥號(hào)的麻煩。
這種組網(wǎng)下,LNS只對(duì)LAC進(jìn)行認(rèn)證。其缺點(diǎn)為:分支機(jī)構(gòu)用戶只要能夠連接LAC即可使用L2TP隧道接入總部,而不需被認(rèn)證。存在一定的安全隱患。此時(shí)用戶接入總部以通過(guò)設(shè)備的用戶認(rèn)證功能對(duì)接入總部的用戶進(jìn)行認(rèn)證,從而提高安全性。
Client-Initiated場(chǎng)景(移動(dòng)辦公用戶訪問(wèn)企業(yè)內(nèi)網(wǎng))
直接由接入用戶(可為支持L2TP協(xié)議的PC)發(fā)起連接。此時(shí)接入用戶可直接向LNS發(fā)起隧道連接請(qǐng)求,無(wú)需再經(jīng)過(guò)一個(gè)單獨(dú)的LAC設(shè)備。接入用戶地址的分配由LNS來(lái)完成。
由于LNS端需要為每個(gè)遠(yuǎn)程用戶建立一條隧道,與NAS-Initiated VPN場(chǎng)景相比,LNS端配置更復(fù)雜一些。與其他兩種場(chǎng)景相比,其優(yōu)點(diǎn)在于接入用戶不受地域限制。
此場(chǎng)景適用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器,實(shí)現(xiàn)移動(dòng)辦公。
L2TP VPN的認(rèn)證:
L2TP支持使用PAP和CHAP兩種方式進(jìn)行PPP認(rèn)證。
VT(Virtual-Template)接口:
PPP、Ethernet都是二層協(xié)議,它們之間不能直接互相承載。當(dāng)用戶配置PPPoE等二層協(xié)議時(shí),這些二層協(xié)議之間需要通過(guò)虛擬訪問(wèn)接口VA(Virtual-Access)進(jìn)行通信。前面已經(jīng)提到,L2TP中會(huì)使用PPPoE協(xié)議。VT接口是用于配置虛擬訪問(wèn)接口的模板。在L2TP會(huì)話連接建立之后,LAC、LNS均需要?jiǎng)?chuàng)建虛擬訪問(wèn)接口用于和對(duì)端(即用戶)交換數(shù)據(jù)。此時(shí),系統(tǒng)將按照用戶的配置,選擇VT接口,根據(jù)該模板的配置參數(shù)(包括接口IP地址、PPP認(rèn)證方式等)動(dòng)態(tài)地創(chuàng)建虛擬訪問(wèn)接口。
命令行配置中,VT接口下可選擇CHAP或PAP認(rèn)證方式來(lái)對(duì)用戶進(jìn)行PPP認(rèn)證。Web配置中不支持手工配置認(rèn)證方式,系統(tǒng)優(yōu)先選擇CHAP方式,其次選擇PAP方式。
LAC自主撥號(hào)場(chǎng)景:
LAC自主撥號(hào)場(chǎng)景中,LAC側(cè)不對(duì)用戶進(jìn)行認(rèn)證,只在LNS側(cè)對(duì)LAC配置的用戶進(jìn)行PPP認(rèn)證(PAP或CHAP)。在命令行配置中,體現(xiàn)在VT接口下配置的PPP認(rèn)證方式。
Client-Initiated VPN場(chǎng)景:
Client-Initiated VPN場(chǎng)景中,在LNS側(cè)對(duì)用戶進(jìn)行PPP認(rèn)證(PAP或CHAP)。在命令行配置中,體現(xiàn)在VT接口下配置的PPP認(rèn)證方式。
NAS-Initiated VPN場(chǎng)景:
NAS-Initiated VPN場(chǎng)景中,L2TP可對(duì)用戶進(jìn)行兩次PPP認(rèn)證:第一次發(fā)生在LAC側(cè),第二次發(fā)生在LNS側(cè)。只有一種情況LNS側(cè)不對(duì)接入用戶進(jìn)行二次認(rèn)證:?jiǎn)⒂?span style="font-family: Calibri;">LCP重協(xié)商后,不在相應(yīng)的VT接口上配置認(rèn)證。這時(shí),用戶只在LAC側(cè)接受一次認(rèn)證。
另外,不論對(duì)于LAC或LNS,如果其配置的用戶認(rèn)證方式為“不認(rèn)證”,則不論VT接口中使用何種認(rèn)證方式,都不對(duì)用戶進(jìn)行認(rèn)證。
以下對(duì)于認(rèn)證方式的描述都是基于配置的用戶認(rèn)證方式不為“不認(rèn)證”的情況。
LAC端認(rèn)證方式
LAC端可對(duì)用戶進(jìn)行PAP或CHAP認(rèn)證。在命令行配置中,使用VT接口下配置的PPP認(rèn)證方式。
LNS端認(rèn)證方式
LNS對(duì)用戶的認(rèn)證方式除由PPP認(rèn)證方式?jīng)Q定外,還取決于配置的L2TP認(rèn)證方式。L2TP認(rèn)證方式有三種:代理認(rèn)證、強(qiáng)制CHAP認(rèn)證和LCP重協(xié)商。其中,LCP重協(xié)商的優(yōu)先級(jí)最高,代理認(rèn)證優(yōu)先級(jí)最低。
LCP重協(xié)商
如果需要在LNS側(cè)進(jìn)行比LAC側(cè)更嚴(yán)格的認(rèn)證,或者LNS側(cè)需要直接從用戶獲取某些信息(當(dāng)LNS與LAC是不同廠商的設(shè)備時(shí)可能發(fā)生這種情況),則可以配置LNS與用戶間進(jìn)行LCP重協(xié)商。LCP重協(xié)商使用相應(yīng)VT接口配置的認(rèn)證方式。此時(shí)將忽略LAC側(cè)的代理認(rèn)證信息。
強(qiáng)制CHAP認(rèn)證
如果只配置強(qiáng)制CHAP認(rèn)證,則LNS對(duì)用戶進(jìn)行CHAP認(rèn)證,如果認(rèn)證不通過(guò),會(huì)話就不能建立成功。
代理認(rèn)證
代理認(rèn)證就是LAC將它從用戶得到的所有認(rèn)證信息及LAC配置的認(rèn)證方式傳給LNS,LNS會(huì)利用這些信息和LAC端傳來(lái)的認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。
NAS-Initiated VPN中,在PPP會(huì)話開始時(shí),用戶先和LAC進(jìn)行PPP協(xié)商。若協(xié)商通過(guò),則由LAC初始化L2TP隧道連接,并將用戶信息、認(rèn)證信息等傳遞給LNS,由LNS根據(jù)收到的代理認(rèn)證信息判斷用戶是否合法。
代理認(rèn)證與VT接口的PPP認(rèn)證方式的關(guān)系:
LNS的PPP認(rèn)證方式不能比LAC復(fù)雜。例如,如果LAC端配置的認(rèn)證方式為PAP,而LNS配置的PPP認(rèn)證方式為CHAP,則由于LNS要求的CHAP認(rèn)證級(jí)別高于LAC能夠提供的PAP認(rèn)證,認(rèn)證將無(wú)法通過(guò),會(huì)話也就不能正確建立。
其他情況下,如果LNS與LAC的認(rèn)證方式不一致,LNS將采用LAC發(fā)送過(guò)來(lái)的認(rèn)證方式進(jìn)行協(xié)商,忽略VT接口配置的認(rèn)證方式。
三種組網(wǎng)模式的對(duì)比
三種組網(wǎng)對(duì)比:
Client-Initiated VPN:其優(yōu)點(diǎn)在于接入用戶不受地域限制。此場(chǎng)景適用于員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器,實(shí)現(xiàn)移動(dòng)辦公。
NAS-Initiated VPN:接入用戶(PC)通過(guò)PPPoE撥入LAC,由LAC通過(guò)Internet向LNS發(fā)起建立隧道連接請(qǐng)求。接入用戶地址由LNS分配,對(duì)接入用戶的認(rèn)證可由LAC側(cè)代理完成,也可兩側(cè)都對(duì)接入用戶做認(rèn)證。當(dāng)所有L2TP用戶都下線時(shí),隧道自動(dòng)拆除以節(jié)省資源,直至再有用戶接入時(shí),重新建立隧道。此組網(wǎng)適用于分支機(jī)構(gòu)用戶向總部發(fā)起連接,且一般用于分支機(jī)構(gòu)的用戶不經(jīng)常訪問(wèn)企業(yè)總部的情況。
LAC-Auto:分支機(jī)構(gòu)員工感知不到隧道存在,不需要使用用戶接入。LAC為分支機(jī)構(gòu)的多個(gè)用戶提供L2TP服務(wù),免去了每個(gè)用戶使用L2TP都需要先拔號(hào)的麻煩
這種組網(wǎng)下,LNS只對(duì)LAC進(jìn)行認(rèn)證。其缺點(diǎn)為:分支機(jī)構(gòu)用戶只要能夠連接LAC即可使用L2TP隧道接入總部,而不需被認(rèn)證。存在一定的安全隱患。此時(shí)用戶接入總部以通過(guò)設(shè)備的用戶認(rèn)證功能對(duì)接入總部的用戶進(jìn)行認(rèn)證,從而提高安全性.
聯(lián)系人:朱
電話:18570559852
QQ:813700068
工作時(shí)間 9:00-24:00