L2TP VPN :
用于远程访问C/S结构的第2层VPN。 L2TPVPN是一种用于承载PPP消息的隧道技术,主要用于为远程办公室场景中的出差员工提供远程访问企业网络资源的访问服务。
双层隧道协议第2层隧道协议(L2TP )是虚拟专用拨号网络VPN (虚拟专用网)隧道协议的一种,点
VDN有三种常见的隧道技术:
(1)点对点隧道协议PPTP
)2)二楼转发L2F
(3)双层隧道协议L2TP
L2TP汇集了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用于单个或少数远程终端通过公共网络接入企业内部网络的需求
L2TP不支持加密
L2TP使用的端口号1701
L2TP协议用UDP报头封装
目的:
出差员工通过互联网远程访问内部网络资源时,必须使用PPP协议向企业总部申请内部网络IP地址,然后总公司对出差员工进行认证。 但是,由于该协议自身的限制,PPP消息无法在因特网上直接传输。 因此,PPP消息的传输问题成为制约出差人员远程办公的技术瓶颈。 L2TP VPN技术问世后,使用L2TP VPN隧道在互联网上“托管”PPP消息成为解决上述问题的一种方法。 将PPP封装为L2TP后,无论出差员工是通过传统的拨号方式访问互联网,还是通过以太网方式访问互联网,L2TP VPN都可以提供远程访问服务。
L2TP的好处:
)1)灵活的认证机制和高级安全
a.L2TP使用PPP (如PPP和CHAP )提供的安全特性验证访问用户。
b.L2TP定义控制消息的加密传输方案并支持L2TP隧道认证。
c.L2TP不加密传输的数据,但可以与互联网协议安全协议IPSec结合使用,为数据传输提供高级安全保证。
)2)多协议传输:L2TP传输PPP分组,PPP可以携带多种协议消息。
)3) :L2TP支持RADIUS服务器认证,不仅支持对访问用户进行本地认证,还支持将拨号访问用户名和密码发送到RADIUS服务器进行认证,企业可以对访问用户进行认证
)4)应用L2TP (支持私有网络地址分配)的企业总部网关能够动态地为远程用户分配私有网络地址。
)5)可靠性) (L2TP协议支持备份LNS,主LNS无法到达后,LAC可以与备份LNS连接,提高VPN服务的可靠性。
L2TP的基本概念:
1.VPDN :VPDN是一个承载PPP消息的VPN,可以为企业、小型ISP和移动工作人员提供接入服务。 PP终端接入拨号网络,并拨打NAS。 NAS在接收到PPP消息后进行L2TP封装,最外层的IP报头通过公共网络传输后到达LNS。 LNS收到消息后,解除封装,恢复PPP消息,完成PPP消息在公共网络上的透明传输,在PPP终端和LNS之间建立了VPDN连接。 随着以太网的普及,PPP终端不再受限于传统的拨号网络,而是可以使用PPPoE技术通过以太网访问LAC。
2 .在PPP终端: L2TP APP应用中,PPP终端指的是拨号,并将数据封装在PPP类型的设备中,诸如远程用户PC、企业分支网关等。
3.nas网络接入服务器(nas )主要由ISP维护,连接到拨号网络,是最接近PPP终端地理位置的接入点。 NAS用于传统的拨号网络,为远程拨号用户提供VPDN服务,并与企业总部建立隧道连接。
4.LACL2TP接入集中器lac )是一种具有交换网络上的PPP和L2TP处理能力的设备。 LAC根据PPP消息中包含的用户名或域名信息,与LNS建立L2TP隧道连接,将PPP协商扩展到LNS。
5 .隧道和会话:在LAC和LNS L2TP交互期间存在两种类型的连接。
(1)隧道)连接:L2TP隧道可以建立在LAC和LNS之间,一对LAC和LNS可以建立多个L2TP隧道,其中,一个L2TP隧道可以包括多个L2TP会话。
)会话)会话连接:L2TP会话隧道连接成功之后,该L2TP会话代表承载在隧道连接上的PPP会话过程。
局域网部署:
IP网络和以太网不支持认证服务,因此使用PPP协议
PP协议不能跨越互联网。 使用L2TP隧道承载PPP协议,并通过L2TP在以太网/互联网上分发,以方便认证。
L2TP软件包:
UDP表示使用1701端口承载L2TP消息
PPP :我在数据链路层工作
PP支持认证,有PAP,CHAP用于认证
PAP :用明文传输用户名和密码
CHAP :用明文发送用户名,密文发送密码
PP工作流程: LCP协商(链路层协商)、身份验证(PAP、CHAP )、NCP协商)、网络层协商)。
NAS :互联网接入服务器、运营商提供的L2TP V
PN建立连接(场景一)LNS:L2TP网络服务器,企业总部出口网关
LAC:L2TP的访问控制中心,隧道发起方,企业分支的出口网关,用于站点到站点建立L2TP VPN,企业分支发起的L2TP VPN建立连接,中间不用经过运营商(场景三)
L2TP VPN应用场景:
第一种:
NAS(运营商提供)和LNS之间建立L2TP VPN隧道
NAS设备在这个案例中充当PPPoE服务器
2.第二种:
移动办公用户直接和LNS建立L2TP VPN隧道
3.第三种:
站点到站点(分支到总部)
没有运营商参与
LAC部署
将网关设备作为pppoe服务器,客户端通过pppoe服务器进行L2TP VPN的建立
客户端作为LAC直接与总部建立L2TP VPN
L2TP工作过程·
第二种原理:移动办公用户通过客户端软件直接与总部建立VPN连接
隧道连接和会话连接不是一个概念,隧道连接是指的隧道起点和终点,会话连接是指隧道起点和终点身后的网络,一条隧道可以承载多个会话
移动用户发送一个icmp是如何封装的
报文封装:
安全策略,移动办公用户属于DMZ区域,还需要做隧道分离,比如客户端需要访问百度
L2TP报文结构
实验:配置LAC自拨号发起L2TP隧道连接
拓扑:
AR1和AR3配置静态路由
在LNS(AR3)设备上配置地址池,用来给LAC自拨号连接时分配IP
在LNS(AR3)设备上配置AAA,创建本地用户名密码用于ppp服务
在LNS(AR3)设备上配置虚拟模板1,配置IP,对端地址从本地地址池pool1中拿,ppp的认证模式为chap
在LNS(AR3)设备上配置使能L2TP服务,创建一个L2TP组
在LNS(AR3)设备上配置本端隧道名称以及指定LAC(AR1)的隧道名称
在LNS(AR3)设备上配置启用隧道认证功能并设置密码为huawei123
在LNS(AR3)设备上配置将流量引入隧道
在LAC(AR1)设备上配置使能L2TP服务,创建一个L2TP组
在LAC(AR1)设备上配置启用隧道认证功能并设置密码为huawei123
在LAC(AR1)设备上配置找AR3来拨号,用jack这个用户
在LAC(AR1)设备上配置虚拟模板1
在LAC(AR1)设备上配置将流量引入隧道
查看隧道建立情况
抓包测试
在AR2的G0/0/0抓包
pc2 ping pc1
明文传输,没有加密,需要使用IPSec加密
配置L2TP over IPSec对数据进行加密
AR1上配置ACL定义加密数据流
AR1配置IPSec
AR3上配置ACL定义加密数据流
AR3配置IPSec
这时抓包数据包被加密,由于模拟器bug,显示回包未加密