【SPOTO思博网络】【网工入门知识】VPN——L2TP VPN

思博网络

L2TP是啥

L2TP是一种二层的VPN技术，它提供了对PPP链路层数据帧的隧道传输支持，允许二层链路端点和PPP会话驻留在不同设备上，扩展了PPP模型。

在L2TP中，用户通过PPP拨号到LAC（L2TP Access Concentrator，L2TP访问集中器）上，LAC通过L2TP隧道将PPP报文透明传输到LNS（L2TP Network Server，L2TP网络服务器），LNS随即与用户建立PPP链接。

在L2TP中，存在三种角色：用户（Client）、LAC和LNS，LAC和LNS分别对用户进行验证，从而大大提高了用户接入安全性。

L2TP特点

L2TP技术有以下特点：

1、灵活 身份验证机制以及高度的安全性。（注：L2TP本身没有验证，但是它可以借助PPP协议提供认证功能）

2、多协议传输。

3、支持RADIUS服务器的验证。

4、支持内部地址分配。

5、可靠性强。

L2TP应用场景

L2TP一共有三种典型的应用场景，分别是NAS-Initiated VPN、LAC-Auto-Initiated VPN和Client-Initiated VPN。

NAS-Initiated VPN

在此模式中，用户通过PPPoE拨入LAC，触发LAC和LNS之间建立隧道，一般用于分支不经常访问总部的情况。

NAS-Initiated VPN典型架构如下所示：

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC36E.tmp.jpg

LAC-Auto-Initiated VPN

在此模式中，LAC和LNS之间建立一条永久性L2TP会话。客户端不用PPP拨号，而是通过IP链接即可在隧道中传输数据。

这种组网也适用于分支机构接入总部，用于分支机构访问总部频率较高的情况。

LAC-Auto-Initiated VPN典型架构与NAS-Initiated VPN单就架构上来说基本相同，在这里就不过多赘述了。

Client-Initiated VPN

在此模式中，支持L2TP拨号的客户端直接向LNS发起隧道链接请求，无需再经过一个单独的LAC设备。

此场景适用于出差员工使用PC、手机等移动设备接入总部服务器的情况，实现了移动办公。

Client-Initiated VPN典型架构如下所示：

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC36F.tmp.jpg

L2TP隧道和会话建立过程

在LAC和LNS之间存在着两种类型的链接：隧道链接和会话链接。

隧道链接定义了互相通信的两个实体——LAC和LNS。并且在一对LAC和LNS之间可以建立多个L2TP隧道，隧道由一个控制链接和至少以下会话组成。

L2TP首先需要建立L2TP隧道，然后再L2TP隧道上建立会话链接，最后建立PPP链接。所有的L2TP需要承载的数据信息都是在PPP链接中进行传递的。

会话链接复用在隧道链接之上，用于表示承载在隧道链接中的每个PPP链接过程，会话是有方向的，从LAC向LNS发起的会话叫做Incoming会话，从LNS向LAC发起的会话叫做Outgoing会话。

总得来看，在L2TP中，总是先有隧道，后有会话。LAC和LNS之间可以建立多条隧道，每一条隧道又可以承载多条会话。

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC370.tmp.jpg
L2TP三种场景区别

在上文中，我们介绍了L2TP三种场景，分别是是NAS-Initiated VPN、LAC-Auto-Initiated VPN和Client-Initiated VPN。

这三种场景区别如下：

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC371.tmp.jpg

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC382.tmp.jpg

L2TP控制消息和数据消息

在L2TP隧道和会话的建立过程中，存在控制消息和数据消息两种大的消息类型。

控制消息用于隧道和会话连接的建立、维护以及传输控制，位于隧道和会话建立过程中。

控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞控制。

控制消息又分为控制报文和会话报文，控制报文用于建立、拆除和维护隧道，会话报文用于建立和拆除会话。

数据消息用于承载用户的PPP链接数据报文，并在隧道上进行传输。数据消息的传输是不可靠的，若数据报文丢失，不予重传，也不支持对数据消息的流量控制和拥塞控制。

L2TP各种类型的控制消息和数据消息如下表所示：

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC383.tmp.jpg

L2TP认证方式

NAS-Initiated VPN

在NAS-Initiated VPN中，L2TP可以对用户进行两次PPP认证，第一次发生在LAC侧，第二次发生在LNS侧。只有一种情况LNS侧不对接入用户进行二次认证，即启用LCP重协商后，不再相应的VT接口上配置认证。这时，用户只在LAC侧接受一次认证。

LAC-Auto-Initiated VPN

在LAC-Auto-Initiated VPN场景中，LAC侧不对用户进行认证，只在LNS侧对LAC配置的用户进行PPP认证。

Client-Initiated VPN

在Client-Initiated VPN场景中，在LNS侧对用户进行PPP认证。

LNS二次认证方式

对于LNS设备而言，对LAC用户信息的处理有以下三种方式：

LAC代理认证：

相信LAC是可靠的，直接在LAC发来的用户信息进行认证。

强制CHAP认证：

不相信LAC，要求重新对用户进行认证。

LCP重协商：

不仅不相信LAC，还要重新发起LCP协商，协商MRU参数和认证方式。

在上述三种方式，后两种方式被称为LNS二次认证，若LNS配置二次认证而PPPoE Client不支持二次认证，将会导致L2TP VPN无法建立。

文章来源：内容来自CSDN，由本号梳理成文。因觉优质，特此分享，侵删。

进入全国网络工程师交流群 ，请扫描下方二维码↓↓↓
群里有行业大咖、实战分享、技术交流、技术咨询、企业内推等机会
若群满，请添加老杨微信（spotoa），邀你进群