雏鹰部落

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 449|回复: 0

[学习/资料] 【SPOTO思博网络】【网工入门知识】VPN——L2TP VPN

[复制链接]
发表于 2022-2-15 15:01:19 | 显示全部楼层 |阅读模式
L2TP是啥


L2TP是一种二层的VPN技术,它提供了对PPP链路层数据帧的隧道传输支持,允许二层链路端点和PPP会话驻留在不同设备上,扩展了PPP模型。


在L2TP中,用户通过PPP拨号到LAC(L2TP Access Concentrator,L2TP访问集中器)上,LAC通过L2TP隧道将PPP报文透明传输到LNS(L2TP Network Server,L2TP网络服务器),LNS随即与用户建立PPP链接。


在L2TP中,存在三种角色:用户(Client)、LAC和LNS,LAC和LNS分别对用户进行验证,从而大大提高了用户接入安全性。



L2TP特点


L2TP技术有以下特点:


1、灵活 身份验证机制以及高度的安全性。(注:L2TP本身没有验证,但是它可以借助PPP协议提供认证功能)

2、多协议传输。

3、支持RADIUS服务器的验证。

4、支持内部地址分配。

5、可靠性强。


L2TP应用场景


L2TP一共有三种典型的应用场景,分别是NAS-Initiated VPN、LAC-Auto-Initiated VPN和Client-Initiated VPN。


NAS-Initiated VPN


在此模式中,用户通过PPPoE拨入LAC,触发LAC和LNS之间建立隧道,一般用于分支不经常访问总部的情况。


NAS-Initiated VPN典型架构如下所示:


file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC36E.tmp.jpg

LAC-Auto-Initiated VPN


在此模式中,LAC和LNS之间建立一条永久性L2TP会话。客户端不用PPP拨号,而是通过IP链接即可在隧道中传输数据。


这种组网也适用于分支机构接入总部,用于分支机构访问总部频率较高的情况。


LAC-Auto-Initiated VPN典型架构与NAS-Initiated VPN单就架构上来说基本相同,在这里就不过多赘述了。


Client-Initiated VPN


在此模式中,支持L2TP拨号的客户端直接向LNS发起隧道链接请求,无需再经过一个单独的LAC设备。


此场景适用于出差员工使用PC、手机等移动设备接入总部服务器的情况,实现了移动办公。


Client-Initiated VPN典型架构如下所示:


file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC36F.tmp.jpg

L2TP隧道和会话建立过程


在LAC和LNS之间存在着两种类型的链接:隧道链接和会话链接。


隧道链接定义了互相通信的两个实体——LAC和LNS。并且在一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制链接和至少以下会话组成。


L2TP首先需要建立L2TP隧道,然后再L2TP隧道上建立会话链接,最后建立PPP链接。所有的L2TP需要承载的数据信息都是在PPP链接中进行传递的。


会话链接复用在隧道链接之上,用于表示承载在隧道链接中的每个PPP链接过程,会话是有方向的,从LAC向LNS发起的会话叫做Incoming会话,从LNS向LAC发起的会话叫做Outgoing会话。


总得来看,在L2TP中,总是先有隧道,后有会话。LAC和LNS之间可以建立多条隧道,每一条隧道又可以承载多条会话。


file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC370.tmp.jpg
L2TP三种场景区别


在上文中,我们介绍了L2TP三种场景,分别是是NAS-Initiated VPN、LAC-Auto-Initiated VPN和Client-Initiated VPN。


这三种场景区别如下:

file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC371.tmp.jpg


file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC382.tmp.jpg

L2TP控制消息和数据消息


在L2TP隧道和会话的建立过程中,存在控制消息和数据消息两种大的消息类型。


控制消息用于隧道和会话连接的建立、维护以及传输控制,位于隧道和会话建立过程中。


控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制。


控制消息又分为控制报文和会话报文,控制报文用于建立、拆除和维护隧道,会话报文用于建立和拆除会话。


数据消息用于承载用户的PPP链接数据报文,并在隧道上进行传输。数据消息的传输是不可靠的,若数据报文丢失,不予重传,也不支持对数据消息的流量控制和拥塞控制。


L2TP各种类型的控制消息和数据消息如下表所示:


file:///C:/Users/SPOTO/AppData/Local/Temp/ksohtml/wpsC383.tmp.jpg


L2TP认证方式


NAS-Initiated VPN


在NAS-Initiated VPN中,L2TP可以对用户进行两次PPP认证,第一次发生在LAC侧,第二次发生在LNS侧。只有一种情况LNS侧不对接入用户进行二次认证,即启用LCP重协商后,不再相应的VT接口上配置认证。这时,用户只在LAC侧接受一次认证。


LAC-Auto-Initiated VPN


在LAC-Auto-Initiated VPN场景中,LAC侧不对用户进行认证,只在LNS侧对LAC配置的用户进行PPP认证。


Client-Initiated VPN


在Client-Initiated VPN场景中,在LNS侧对用户进行PPP认证。


LNS二次认证方式


对于LNS设备而言,对LAC用户信息的处理有以下三种方式:


LAC代理认证:

相信LAC是可靠的,直接在LAC发来的用户信息进行认证。


强制CHAP认证:

不相信LAC,要求重新对用户进行认证。


LCP重协商:

不仅不相信LAC,还要重新发起LCP协商,协商MRU参数和认证方式。


在上述三种方式,后两种方式被称为LNS二次认证,若LNS配置二次认证而PPPoE Client不支持二次认证,将会导致L2TP VPN无法建立。




文章来源:内容来自CSDN,由本号梳理成文。因觉优质,特此分享,侵删。

进入全国网络工程师交流群 ,请扫描下方二维码↓↓↓
群里有行业大咖、实战分享、技术交流、技术咨询、企业内推等机会
若群满,请添加老杨微信(spotoa),邀你进群




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|熊猫同学技术论坛|小黑屋| 网络工程师论坛 ( 沪ICP备09076391 )

GMT+8, 2024-12-22 22:36 , Processed in 0.084515 second(s), 19 queries , Gzip On.

快速回复 返回顶部 返回列表