L2TP VPN簡(jiǎn)介

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一種用于承載PPP報(bào)文的隧道技術(shù)，該技術(shù)主要應(yīng)用在遠(yuǎn)程辦公場(chǎng)景中為出差員工遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)。

目的：

L2TP VPN技術(shù)出現(xiàn)以后，使用L2TP VPN隧道“承載”PPP報(bào)文在Internet上傳輸成為了解決上述問(wèn)題的一種途徑。無(wú)論出差員工是通過(guò)傳統(tǒng)撥號(hào)方式接入Internet，還是通過(guò)以太網(wǎng)方式接入Internet，L2TP VPN都可以向其提供遠(yuǎn)程接入服務(wù)。

L2TP VPN的優(yōu)點(diǎn)：

身份驗(yàn)證機(jī)制

支持本地認(rèn)證。

支持Radius服務(wù)器等認(rèn)證方式

多協(xié)議傳輸

L2TP傳輸PPP數(shù)據(jù)包，PPP本身可以傳輸多協(xié)議，而不僅僅是IP可以在PPP數(shù)據(jù)包內(nèi)封裝多種協(xié)議

計(jì)費(fèi)認(rèn)證地址分配

可在LAC和LNS兩處同時(shí)計(jì)費(fèi)，即ISP處（用于產(chǎn)生賬單）及企業(yè)網(wǎng)關(guān)（用于付費(fèi)及審計(jì)）。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)、字節(jié)數(shù)以及連接的起始、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)，可根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)

LNS可放置于企業(yè)網(wǎng)的USG之后，對(duì)遠(yuǎn)端用戶地址進(jìn)行動(dòng)態(tài)分配和管理，可支持私有地址應(yīng)用

不受NAT限制穿越

支持遠(yuǎn)程接入

靈活的身份驗(yàn)證及時(shí)以及高度的安全性

L2TP協(xié)議本身并不提供連接的安全性，但它可以依賴于PPP提供的認(rèn)證（CHAP、PAP等），因此具有PP所具有的所有安全特性。

L2TP隧道可以與IPSec結(jié)合，使通過(guò)L2TP所傳輸?shù)臄?shù)據(jù)更難被攻擊。

可根據(jù)特定的網(wǎng)絡(luò)安全要求，在L2TP之上采用通道加密技術(shù)、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來(lái)提高數(shù)據(jù)的安全性。

可靠性

L2TP協(xié)議支持備份LNS，當(dāng)一個(gè)主LNS不可達(dá)之后，LAC可以重新與備份LNS建立連接，增加了VPN服務(wù)的可靠性和容錯(cuò)性

L2TP VPN的原理

L2TP VPN的主要應(yīng)用場(chǎng)景：

LAC和LNS介紹：

LAC是附屬在交換網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備，主要用于為PPP類型的用戶提供接入服務(wù)
LAC位于LNS和用戶之間，用于在LNS和用戶之間傳遞信息包，它把用戶收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS，同時(shí)也將從LNS收到的信息包進(jìn)行解封裝并送往用戶。LAC與用戶之間采用本地連接或PPP鏈路，VPDN應(yīng)用中通常為PPP鏈路。

LNS既是PPP端系統(tǒng)，又是L2TP協(xié)議的服務(wù)器端，通常作為一個(gè)企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。
LNS作為L2TP隧道的另一側(cè)端點(diǎn)，是LAC的對(duì)端設(shè)備 ，是LAC進(jìn)行隧道傳輸?shù)?span style="font-family: Calibri;">PPP會(huì)話的邏輯終止端點(diǎn)。通過(guò)在公網(wǎng)中建立LAC隧道，將用戶的PPP連接的另一端由原來(lái)的LAC在邏輯上延伸了企業(yè)網(wǎng)內(nèi)部的LNS。

L2TP VPN主要有三種應(yīng)用場(chǎng)景。分別是：

NAS-Initiated場(chǎng)景（撥號(hào)用戶訪問(wèn)企業(yè)內(nèi)網(wǎng)）

NAS（Network Access Server）:是運(yùn)營(yíng)商用來(lái)向撥號(hào)用戶提供PPP/PPPoE接入服務(wù)的服務(wù)器，撥號(hào)用戶通過(guò)NAS訪問(wèn)外部網(wǎng)絡(luò)。

LNS（L2TP Network Server）是企業(yè)總部的出口網(wǎng)關(guān)。

用戶通過(guò)PPPoE撥入LAC（L2TP Access Concentrator），觸發(fā)LAC和LNS之間建立隧道。接入用戶地址由LNS分配，對(duì)接入用戶的認(rèn)證可由LAC側(cè)的代理完成，也可兩側(cè)都對(duì)接入用戶做認(rèn)證。當(dāng)所有L2TP用戶都下線時(shí)，隧道自動(dòng)拆除以節(jié)省資源，直至再有用戶接入時(shí)，重新建立隧道。

此組網(wǎng)適用于分支機(jī)構(gòu)用戶向總部發(fā)起連接，且一般用于分支機(jī)構(gòu)的用戶不經(jīng)常訪問(wèn)企業(yè)總部的情況。

LAC自動(dòng)撥號(hào)

LAC與LNS之間建立一條永久性L2TP會(huì)話?？蛻舳瞬挥?span style="font-family: Calibri;">PPP撥號(hào)，而通過(guò)IP連接即可在隧道中傳輸數(shù)據(jù)。

用戶通過(guò)配置觸發(fā)建立LAC與LNS之間的永久性L2TP會(huì)話。LAC使用存儲(chǔ)在本地的用戶名和LNS建立一個(gè)永久存在的L2TP隧道，此時(shí)的L2TP隧道就相當(dāng)于一個(gè)物理連接。用戶與LAC之間的連接就不受限于PPP連接，而只需IP連接，LAC即可將用戶的IP報(bào)文轉(zhuǎn)發(fā)到LNS。

這種組網(wǎng)也適用于分支機(jī)構(gòu)接入總部，用于分支機(jī)構(gòu)員工訪問(wèn)總部頻率較高的情況。與NAS-Initiated VPN場(chǎng)景相比：

分支機(jī)構(gòu)員工感知不到隧道存在，不需要使用用戶名接入。LAC為分支機(jī)構(gòu)的多個(gè)用戶提供L2TP服務(wù)，免去了每個(gè)用戶使用L2TP都需要先撥號(hào)的麻煩。

這種組網(wǎng)下，LNS只對(duì)LAC進(jìn)行認(rèn)證。其缺點(diǎn)為：分支機(jī)構(gòu)用戶只要能夠連接LAC即可使用L2TP隧道接入總部，而不需被認(rèn)證。存在一定的安全隱患。此時(shí)用戶接入總部以通過(guò)設(shè)備的用戶認(rèn)證功能對(duì)接入總部的用戶進(jìn)行認(rèn)證，從而提高安全性。

Client-Initiated場(chǎng)景（移動(dòng)辦公用戶訪問(wèn)企業(yè)內(nèi)網(wǎng)）

直接由接入用戶（可為支持L2TP協(xié)議的PC）發(fā)起連接。此時(shí)接入用戶可直接向LNS發(fā)起隧道連接請(qǐng)求，無(wú)需再經(jīng)過(guò)一個(gè)單獨(dú)的LAC設(shè)備。接入用戶地址的分配由LNS來(lái)完成。

由于LNS端需要為每個(gè)遠(yuǎn)程用戶建立一條隧道，與NAS-Initiated VPN場(chǎng)景相比，LNS端配置更復(fù)雜一些。與其他兩種場(chǎng)景相比，其優(yōu)點(diǎn)在于接入用戶不受地域限制。

此場(chǎng)景適用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公。

L2TP VPN的認(rèn)證：

L2TP支持使用PAP和CHAP兩種方式進(jìn)行PPP認(rèn)證。

VT（Virtual-Template）接口：

PPP、Ethernet都是二層協(xié)議，它們之間不能直接互相承載。當(dāng)用戶配置PPPoE等二層協(xié)議時(shí)，這些二層協(xié)議之間需要通過(guò)虛擬訪問(wèn)接口VA（Virtual-Access）進(jìn)行通信。前面已經(jīng)提到，L2TP中會(huì)使用PPPoE協(xié)議。VT接口是用于配置虛擬訪問(wèn)接口的模板。在L2TP會(huì)話連接建立之后，LAC、LNS均需要?jiǎng)?chuàng)建虛擬訪問(wèn)接口用于和對(duì)端（即用戶）交換數(shù)據(jù)。此時(shí)，系統(tǒng)將按照用戶的配置，選擇VT接口，根據(jù)該模板的配置參數(shù)（包括接口IP地址、PPP認(rèn)證方式等）動(dòng)態(tài)地創(chuàng)建虛擬訪問(wèn)接口。

命令行配置中，VT接口下可選擇CHAP或PAP認(rèn)證方式來(lái)對(duì)用戶進(jìn)行PPP認(rèn)證。Web配置中不支持手工配置認(rèn)證方式，系統(tǒng)優(yōu)先選擇CHAP方式，其次選擇PAP方式。

LAC自主撥號(hào)場(chǎng)景：

LAC自主撥號(hào)場(chǎng)景中，LAC側(cè)不對(duì)用戶進(jìn)行認(rèn)證，只在LNS側(cè)對(duì)LAC配置的用戶進(jìn)行PPP認(rèn)證（PAP或CHAP）。在命令行配置中，體現(xiàn)在VT接口下配置的PPP認(rèn)證方式。

Client-Initiated VPN場(chǎng)景：

Client-Initiated VPN場(chǎng)景中，在LNS側(cè)對(duì)用戶進(jìn)行PPP認(rèn)證（PAP或CHAP）。在命令行配置中，體現(xiàn)在VT接口下配置的PPP認(rèn)證方式。

NAS-Initiated VPN場(chǎng)景：

NAS-Initiated VPN場(chǎng)景中，L2TP可對(duì)用戶進(jìn)行兩次PPP認(rèn)證：第一次發(fā)生在LAC側(cè)，第二次發(fā)生在LNS側(cè)。只有一種情況LNS側(cè)不對(duì)接入用戶進(jìn)行二次認(rèn)證：?jiǎn)⒂?span style="font-family: Calibri;">LCP重協(xié)商后，不在相應(yīng)的VT接口上配置認(rèn)證。這時(shí)，用戶只在LAC側(cè)接受一次認(rèn)證。

另外，不論對(duì)于LAC或LNS，如果其配置的用戶認(rèn)證方式為“不認(rèn)證”，則不論VT接口中使用何種認(rèn)證方式，都不對(duì)用戶進(jìn)行認(rèn)證。

以下對(duì)于認(rèn)證方式的描述都是基于配置的用戶認(rèn)證方式不為“不認(rèn)證”的情況。

LAC端認(rèn)證方式

LAC端可對(duì)用戶進(jìn)行PAP或CHAP認(rèn)證。在命令行配置中，使用VT接口下配置的PPP認(rèn)證方式。

LNS端認(rèn)證方式

LNS對(duì)用戶的認(rèn)證方式除由PPP認(rèn)證方式?jīng)Q定外，還取決于配置的L2TP認(rèn)證方式。L2TP認(rèn)證方式有三種：代理認(rèn)證、強(qiáng)制CHAP認(rèn)證和LCP重協(xié)商。其中，LCP重協(xié)商的優(yōu)先級(jí)最高，代理認(rèn)證優(yōu)先級(jí)最低。

LCP重協(xié)商

如果需要在LNS側(cè)進(jìn)行比LAC側(cè)更嚴(yán)格的認(rèn)證，或者LNS側(cè)需要直接從用戶獲取某些信息（當(dāng)LNS與LAC是不同廠商的設(shè)備時(shí)可能發(fā)生這種情況），則可以配置LNS與用戶間進(jìn)行LCP重協(xié)商。LCP重協(xié)商使用相應(yīng)VT接口配置的認(rèn)證方式。此時(shí)將忽略LAC側(cè)的代理認(rèn)證信息。

強(qiáng)制CHAP認(rèn)證

如果只配置強(qiáng)制CHAP認(rèn)證，則LNS對(duì)用戶進(jìn)行CHAP認(rèn)證，如果認(rèn)證不通過(guò)，會(huì)話就不能建立成功。

代理認(rèn)證

代理認(rèn)證就是LAC將它從用戶得到的所有認(rèn)證信息及LAC配置的認(rèn)證方式傳給LNS，LNS會(huì)利用這些信息和LAC端傳來(lái)的認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證。

NAS-Initiated VPN中，在PPP會(huì)話開始時(shí)，用戶先和LAC進(jìn)行PPP協(xié)商。若協(xié)商通過(guò)，則由LAC初始化L2TP隧道連接，并將用戶信息、認(rèn)證信息等傳遞給LNS，由LNS根據(jù)收到的代理認(rèn)證信息判斷用戶是否合法。

代理認(rèn)證與VT接口的PPP認(rèn)證方式的關(guān)系：

LNS的PPP認(rèn)證方式不能比LAC復(fù)雜。例如，如果LAC端配置的認(rèn)證方式為PAP，而LNS配置的PPP認(rèn)證方式為CHAP，則由于LNS要求的CHAP認(rèn)證級(jí)別高于LAC能夠提供的PAP認(rèn)證，認(rèn)證將無(wú)法通過(guò)，會(huì)話也就不能正確建立。

其他情況下，如果LNS與LAC的認(rèn)證方式不一致，LNS將采用LAC發(fā)送過(guò)來(lái)的認(rèn)證方式進(jìn)行協(xié)商，忽略VT接口配置的認(rèn)證方式。

三種組網(wǎng)模式的對(duì)比

三種組網(wǎng)對(duì)比： 

Client-Initiated VPN：其優(yōu)點(diǎn)在于接入用戶不受地域限制。此場(chǎng)景適用于員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公。

NAS-Initiated VPN：接入用戶（PC）通過(guò)PPPoE撥入LAC，由LAC通過(guò)Internet向LNS發(fā)起建立隧道連接請(qǐng)求。接入用戶地址由LNS分配，對(duì)接入用戶的認(rèn)證可由LAC側(cè)代理完成，也可兩側(cè)都對(duì)接入用戶做認(rèn)證。當(dāng)所有L2TP用戶都下線時(shí)，隧道自動(dòng)拆除以節(jié)省資源，直至再有用戶接入時(shí)，重新建立隧道。此組網(wǎng)適用于分支機(jī)構(gòu)用戶向總部發(fā)起連接，且一般用于分支機(jī)構(gòu)的用戶不經(jīng)常訪問(wèn)企業(yè)總部的情況。

LAC-Auto：分支機(jī)構(gòu)員工感知不到隧道存在，不需要使用用戶接入。LAC為分支機(jī)構(gòu)的多個(gè)用戶提供L2TP服務(wù)，免去了每個(gè)用戶使用L2TP都需要先拔號(hào)的麻煩
這種組網(wǎng)下，LNS只對(duì)LAC進(jìn)行認(rèn)證。其缺點(diǎn)為：分支機(jī)構(gòu)用戶只要能夠連接LAC即可使用L2TP隧道接入總部，而不需被認(rèn)證。存在一定的安全隱患。此時(shí)用戶接入總部以通過(guò)設(shè)備的用戶認(rèn)證功能對(duì)接入總部的用戶進(jìn)行認(rèn)證，從而提高安全性.