当前位置:
  1. 首页
  2. 生活百科
  3. 正文

限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410

一、什么是L2TP VPN

L2TP(2层隧道协议):是“Layer 2 Tunneling Protocol”首字母的组合,L2TP是IETF有关二层隧道协议的工业标准,源自ppp隧道协议cisco的layer2 forwarding protocol l2f和微软的pptp,L2tp自身不提供安全机制。基于L2TP协议的 L2TP VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工或在家远程访问企业内网资源提供接入服务。

二、L2TP VPN原理

LAC(L2TP Access Concentrator接入汇聚点)是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,主要用于为PPP类型的用户提供接入服务。

LNS(L2TP Network Server网络服务器)既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。LNS作为L2TP隧道的另一侧端点,是LAC的对端设备 ,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立LAC隧道,将用户的PPP连接的另一端由原来的LAC在逻辑上延伸了企业网内部的LNS。

LAC位于LNS和用户之间,用于在LNS和用户之间传递信息包,它把用户收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往用户,LAC与用户之间采用本地连接或PPP链路。

智能客户端无法连接_inode智能客户端连接不上

图1L2TP VPN通信流程图

从图1可见,在LNS和LAC对之间存在着两种类型的连接:隧道连接和会话连接。L2TP首先需要建立L2TP隧道,然后在L2TP隧道上建立会话连接,最后建立PPP连接。所有的L2TP需要承载的数据信息都是在PPP连接中进行传递的。

隧道(Tunnel)连接:它定义了互相通信的两个实体LNS和LAC。在一对LAC和LNS之间可以建立多条隧道。隧道由一个控制连接和至少一个会话组成。

会话(Session)连接:它复用在隧道连接之上,用于表示承载隧道连接中的每个PPP连接过程。会话是有方向的,从LAC向LNS发起的会话叫做Incoming会话,从LNS向LAC发起的会话叫做Outgoing会话。

三、L2TP VPN应用场景

L2TP VPN主要有三种应用场景:

(1)NAS-Initiated场景(拨号用户访问企业内网)

该场景主要适用于分支机构用户向总部发起连接,且一般用于分支机构的用户不经常访问企业总部的情况。

NAS(Network Access Server):是运营商用来向拨号用户提供PPP/PPPoE接入服务的服务器,拨号用户通过NAS访问外部网络。

LNS(L2TP Network Server)是企业总部的出口网关。

用户通过PPPoE拨入LAC(L2TP Access Concentrator),触发LAC和LNS之间建立隧道。接入用户地址由LNS分配,对接入用户的认证可由LAC侧的代理完成,也可两侧都对接入用户做认证。当所有L2TP用户都下线时,隧道自动拆除以节省资源,直至再有用户接入时,重新建立隧道。

inode智能客户端连接不上_智能客户端无法连接

图2L2TP VPN的NAS-Initiated应用场景示意图

(2)LAC自动拨号

该场景可以适用于分支机构接入总部,用于分支机构员工访问总部频率较高的情况。其主要原理是:在LAC与LNS之间建立一条永久性L2TP会话。客户端不用PPP拨号,而通过IP连接即可在隧道中传输数据。

用户通过配置触发建立LAC与LNS之间的永久性L2TP会话。LAC使用存储在本地的用户名和LNS建立一个永久存在的L2TP隧道,此时的L2TP隧道就相当于一个物理连接。用户与LAC之间的连接就不受限于PPP连接,而只需IP连接,LAC即可将用户的IP报文转发到LNS。

与NAS-Initiated VPN场景相比:

分支机构员工感知不到隧道存在,不需要使用用户名接入。LAC为分支机构的多个用户提供L2TP服务,免去了每个用户使用L2TP都需要先拨号的麻烦。

这种组网下,LNS只对LAC进行认证。其缺点为:分支机构用户只要能够连接LAC即可使用L2TP隧道接入总部,而不需被认证。存在一定的安全隐患。此时用户接入总部以通过设备的用户认证功能对接入总部的用户进行认证,从而提高安全性。

inode智能客户端连接不上_智能客户端无法连接

图3L2TP VPN的自主拨号应用场景示意图

(3)Client-Initiated场景

此场景适用于出差员工使用PC、手机等移动设备接入总部服务器,直接由接入用户(可为支持L2TP协议的PC)发起连接,实现移动办公,即移动办公用户终端访问企业内网的情形。此时接入用户可直接向LNS发起隧道连接请求inode智能客户端连接不上,无需再经过一个单独的LAC设备,接入用户地址的分配由LNS来完成。

由于LNS端需要为每个远程用户建立一条隧道,与NAS-Initiated VPN场景相比,LNS端配置更复杂一些。与其他两种场景相比,其优点在于接入用户不受地域限制。

inode智能客户端连接不上_智能客户端无法连接

图4L2TP VPN的Client-Initiated应用场景示意图

四、配置示例

下面以Client-Initiated应用场景为例,以L2TP VPN 客户LAC模式(本示例来自一个实际的需求),进行配置说明。网络拓扑如下图5所示:红色虚线框内模拟移动用户在外网通过Internet访问位于FW1防火墙的企业内网资源。

智能客户端无法连接_inode智能客户端连接不上

图5L2TP VPN配置Client-Initiated应用场景网络拓扑图

图中所示,FW1为内网出口设备,提供NAT转换服务,同时为LNS端点,SW1为内网服务设备。

(1)模拟环境:

模拟电脑操作系统:win7x64专业版

网络仿真软件:H3C公司网络仿真软件HCL 2.1.1版本

R1:MSR36-20 路由器

FW1:F1060 防火墙

SW1:S5820V2-54QS-GE

(2)配置步骤:

1).按照拓扑配置ip地址

2).SW1开启web功能,并创建帐户

3).FW1配置NAT,默认路由指向R1

4).FW1开启L2TP VPN

(3)配置:

a)SW1:

# sysname SW1#按照拓扑配置SW1 的 ip地址interface GigabitEthernet1/0/1 port link-mode route ip address 10.30.1.1 24#按照拓扑配置SW1 的 默认路由 ip route-static 0.0.0.0 0 10.30.1.254# ip http enable ip https enable

b)R1:

# sysname R1#按照拓扑配置R1 的 ip地址interface GigabitEthernet0/0 ip address 61.140.182.254 30#interface GigabitEthernet0/2 ip address 61.28.113.169 30

c)FW1:

# sysname FW1#按照拓扑配置FW1 的 ip地址interface GigabitEthernet1/0/2 ip address 61.28.113.170 30#interface GigabitEthernet1/0/3 ip address 10.30.1.254 24# ip route-static 0.0.0.0 0 61.28.113.169#security-zone name Trust import interface GigabitEthernet1/0/3#security-zone name Untrust import interface GigabitEthernet1/0/2#acl basic 2001 rule 0 permit#按照拓扑配置FW1 的 出口的NATinterface GigabitEthernet1/0/2 nat outbound 2001#zone-pair security source Local destination Trust packet-filter 2001#zone-pair security source Local destination Untrust packet-filter 2001#防火墙域间策略全放开(调试时可用,实际生产环境,请按业务规则配置)zone-pair security source Trust destination Local packet-filter 2001#zone-pair security source Trust destination Untrust packet-filter 2001#zone-pair security source Untrust destination Local packet-filter 2001#zone-pair security source Untrust destination Trust packet-filter 2001
#L2TP VPN LNS配置# 创建l2tp拨号账号local-user test class network password cipher test service-type ppp authorization-attribute user-role network-operator#domain system authentication ppp local# ip pool test 172.16.1.2 172.16.1.254 ip pool test gateway 172.16.1.1 #interface Virtual-Template1 ppp authentication-mode chap domain system remote address pool test ip address 172.16.1.1 24#security-zone name Untrust import interface Virtual-Template1 # l2tp enable#l2tp-group 1 mode lns allow l2tp virtual-template 1 undo tunnel authentication tunnel name LNS 

4)测试

a.修改物理机IP地址为61.140.182.253,如下图所示:

智能客户端无法连接_inode智能客户端连接不上

物理机能PING通FW1的外网地址:61.28.113.170,PING不通私网地址:10.30.1.254

inode智能客户端连接不上_智能客户端无法连接

c.打开iNode智能客户端,点击连接右边的小三角inode智能客户端连接不上,如图:

在弹出的“属性设置”对话框中,设置LNS服务器的IP地址为FW1的外网地址:61.28.113.170,如下图所示:

inode智能客户端连接不上_智能客户端无法连接

输入用户名、密码(FW1中创建的test/test)点击连接:

inode智能客户端连接不上_智能客户端无法连接

连接成功:

智能客户端无法连接_inode智能客户端连接不上

此时物理机已经可以PING通FW1的私网地址:10.30.1.254,SW1的地址:10.30.1.1

智能客户端无法连接_inode智能客户端连接不上

同时也可以打开SW1的WEB服务:

inode智能客户端连接不上_智能客户端无法连接

此时,在FW1的配置界面,可查看FW1的L2TP和分配的IP信息

说明:

1.该配置示例,本需求来自之前一个单位的业务应用需求,主要是满足在不增加设备的条件下,满足移动远程内网办公和少量信息交互需求。如果为了增强安全考虑结合IPSec协议进行安全加密通信(此略,如留言区有需求再专门开讲一个)。

2.由于PPTP功能和L2TP重叠,且应用较窄,在此文中不作介绍。

3.文中所用软件均可网上公开下载,如需帮助,在留言超过100条后,公开文中所需软件及安装使用说明。

限 时 特 惠: 本站每日持续更新海量各大内部创业教程,一年会员只需98元,全站资源免费下载 点击查看详情
站 长 微 信: muyang-0410

上一篇 批量下载网页上的图片-如何把文章一键分发到多个平台?内容分发网络如何更高效?
下一篇 矩阵的1范数-一种易于实现的快速计算有序加权 ℓ₁ 范数球上投影的算法

相关文章