五、L2TPv2 VPN

L2TPv2 VPN

  • 1、L2TPv2概述
    • 1.1.目的
    • 1.2.特点
  • 2、L2TP原理
    • 2.1.基本概念
    • 2.2.工作原理
      • 2.2.1.协议架构
      • 2.2.2.报文结构
      • 2.2.3.报文封装
      • 2.2.4.报文传输
  • 3、工作过程
  • 4、应用场景
    • 4.1、远程拨号用户发起L2TP隧道连接
    • 4.2、LAC接入拨号请求发起L2TP隧道连接
    • 4.3、LAC接入PPPoE用户发起L2TP隧道连接
    • 4.4、L2TP Client发起L2TP隧道连接
    • 4.5、LAC接入多域用户发起L2TP隧道连接
    • 4.6、RADIUS服务器认证VPDN用户
    • 4.7、L2TP使用IPSec封装建立安全隧道连接
    • 4.8、IPSec使用L2TP封装建立安全隧道连接

——————————————————————————————————————————————————

1、L2TPv2概述

二层隧道协议L2TP是虚拟私有拨号网VPDN隧道协议的一种,扩展了点到点协议PPP的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。L2TP通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。

PPPoE技术更是扩展了L2TP的应用范围,通过以太网络连接Internet,建立远程移动办公人员到企业总部的L2TP隧道。

——————————————————————————————————————————————————

1.1.目的

在不同地域成立的分支机构和出差的员工,需要和总部建立快速、安全和可靠的网络连接。为了方便远程用户的接入,产生了基于拨号网络的VPN,即VPDN。通过VPDN技术,远程用户和企业总部网关之间建立了一条点到点虚拟链路。

VPDN有以下3种常用的隧道技术:

点到点隧道协议PPTP
二层转发L2F
二层隧道协议L2TP

L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数远程终端通过公共网络接入企业内联网的需要。

——————————————————————————————————————————————————

1.2.特点

L2TP对PPP报文进行封装,在公共网络上建立虚拟链路传输企业的私有数据,节省了租用物理专线的高额费用。同时将企业从复杂和专业的网络维护中解放出来,只需要维护私有网络和远程接入的用户,降低了维护成本。

灵活的身份验证机制以及高度的安全性

1、使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认证。

2、定义了控制消息的加密传输方式,支持L2TP隧道的认证。

3、对传输的数据不加密,但可以和IPSec结合应用,为数据传输提供高度的安全保证。

多协议传输

L2TP传输PPP数据包,PPP可以传输多种协议报文,所以L2TP可以在IP网络上使用。

支持Radius服务器的验证

接入用户不仅支持本地认证,还支持将拨号接入的用户名和密码发往RADIUS服务器进行认证。

支持私网地址分配

应用L2TP的企业总部网关,可以为远程用户动态分配私网地址。

可靠性

支持备份LNS,当一个主LNS不可达之后,LAC可以与备份LNS建立连接,增强了VPN服务的可靠性。

——————————————————————————————————————————————————

2、L2TP原理

——————————————————————————————————————————————————

2.1.基本概念

在这里插入图片描述

VPDN:承载PPP报文的VPN,可以为企业、小型ISP、移动办公人员提供接入服务。

PPP终端接入拨号网络,拨号到NAS。NAS收到PPP报文后进行L2TP封装,最外层的IP报头经过公网路由转发后到达LNS。LNS收到报文后解封装,还原PPP报文,完成了PPP报文在公共网络上的透明传输,从而在PPP终端和LNS之间建立了VPDN连接。随着以太网络的普及,PPP终端不再受限于传统的拨号网络,使用PPPoE技术,即可通过以太网络接入LAC。

PPP终端:L2TP应用中,PPP终端指发起拨号,将数据封装为PPP类型的设备,如远程用户PC、企业分支网关等。

NAS:网络接入服务器,主要由ISP维护,连接拨号网络,NAS用于传统的拨号网络中,为远程拨号用户提供VPDN服务,和企业总部建立隧道连接。

LAC:访问集中器,是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧道连接,将PPP协商延展到LNS。

在不同的组网环境中,LAC可以是不同的设备:

在传统的拨号网络中,ISP在NAS上部署LAC。
在这里插入图片描述

在企业分支的以太网络中,为PPP终端配备网关设备,网关作为PPPoE服务器,同时部署为LAC。

在这里插入图片描述

出差人员使用PC终端接入Internet,在PC上安装L2TP拨号软件,则PC终端为LAC。

在这里插入图片描述

LAC可以发起建立多条L2TP隧道使数据流之间相互隔离,即LAC可以承载多条VPDN连接。

LNS:网络服务器,终止PPP会话的一端,通过LNS的认证,PPP会话协商成功,远程用户可以访问企业总部的资源。对L2TP协商,LNS是LAC的对端设备,即LAC和LNS建立了L2TP隧道;对PPP,LNS是PPP会话的逻辑终止端点,即PPP终端和LNS建立了一条点到点的虚拟链路。

**隧道和会话:**在LAC和LNS的L2TP交互过程中存在两种类型的连接,隧道连接和会话连接。

1、L2TP隧道在LAC和LNS之间建立,一对LAC和LNS可以建立多个L2TP隧道,一个L2TP隧道可以包含多个L2TP会话。

2、L2TP会话发生在隧道连接成功之后,L2TP会话表示承载在隧道连接中的一个PPP会话过程。

——————————————————————————————————————————————————

2.2.工作原理

——————————————————————————————————————————————————

2.2.1.协议架构

L2TP协议包含两种类型的消息,控制消息和数据消息,消息的传输在LAC和LNS之间进行。

控制消息

用于L2TP隧道和会话连接的建立、维护和拆除。控制消息承载在L2TP控制通道上,控制通道实现了控制消息的可靠传输,将控制消息封装在L2TP报头内,再经过IP网络传输。

数据消息

用于封装PPP数据帧并在隧道上传输。数据消息是不可靠的传输。不重传丢失的数据报文,不支持对数据消息的流量控制和拥塞控制。

L2TP协议使用UDP端口1701,仅用于初始隧道的建立。隧道发起方任选一个空闲端口向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲端口,给发起方的选定的端口回送报文。

——————————————————————————————————————————————————

2.2.2.报文结构

远程用户拨号产生的PPP报文经L2TP封装后的报文格式:

在这里插入图片描述

L2TP报文进行了多次封装,比原始报文多出38个字节(如果需要携带序列号信息,则比原始报文多出42个字节),封装后报文的长度可能会超出接口的MTU值,协议本身不支持报文分片功能,这时需要设备支持对IP报文的分片功能,还原时进行L2TP报文重组。

——————————————————————————————————————————————————

2.2.3.报文封装

如果组网中只应用PPP,则PPP终端发起的拨号,最远只能到达拨号网络的边缘节点NAS,此时NAS可以称为PPP会话的终止节点。

应用L2TP,则可以使PPP报文在公网透传,到达企业总部的LNS,此时LNS相当于PPP会话的终止节点。

在这里插入图片描述

如图,企业分支发送报文到企业总部过程:

1、PPP终端:IP数据报文进行PPP(链路层)封装,发送报文。

2、LAC:收到PPP报文后,根据报文携带的用户名或者域名判断接入用户是否为VPDN用户。

是VPDN用户,对PPP报文进行L2TP封装,根据LNS的公网地址,再对L2TP报文进行UDP和IP封装。封装后的报文最外层为公网IP地址,经过公网路由转发到达LNS。

不是VPDN用户,对PPP报文进行PPP解封装,此时LAC为PPP会话的终止节点。

3、LNS:收到L2TP报文后,依次解除外层的IP封装、L2TP封装、PPP封装,得到PPP承载的信息,即PPP终端发送的IP数据报文。

企业总部回应分支用户时,回应报文到达LNS后查找路由表,根据转发接口进行L2TP处理,报文封装的过程和分支到总部一致。

——————————————————————————————————————————————————

2.2.4.报文传输

L2TP传输PPP报文前,需要建立L2TP隧道和会话的连接。首次发起连接流程:

1、建立L2TP隧道连接

LAC收到远程用户的PPP协商请求时,LAC向LNS发起L2TP隧道请求。通过L2TP的控制消息,协商隧道ID、隧道认证等内容,协商成功后则建立起一条L2TP隧道,由隧道ID进行标识。

2、建立L2TP会话连接

如果L2TP隧道已存在,则在LAC和LNS之间通过L2TP的控制消息,协商会话ID等内容,否则先建立L2TP隧道连接。会话中携带了LAC的LCP协商信息和用户认证信息,LNS对收到的信息认证通过后,则通知LAC会话建立成功。L2TP会话连接由会话ID进行标识。

3、传输PPP报文

L2TP会话建立成功后,PPP终端将数据报文发送至LAC,LAC根据L2TP隧道和会话ID等信息,进行L2TP报文封装,并发送到LNS,LNS进行L2TP解封装处理,根据路由转发表发送至目的主机,完成报文的传输。

——————————————————————————————————————————————————

3、工作过程

VPDN连接在远程用户和LNS之间建立。ISP将距离远程用户地理位置最近的NAS部署为LAC,LAC和LNS之间建立L2TP隧道连接。

1、远程用户在电话网络中拨号,发起PPP连接到ISP部署的本地NAS。

2、NAS接入远程用户的呼叫,和远程用户进行PPP协商。

3、NAS作为LAC,根据远程用户拨号的用户名或者域,判断接入的用户是否为VPDN用户。如果接入用户是VPDN用户,则交由L2TP模块进行封装处理,将PPP报文通过L2TP隧道发送到LNS;

4、LNS从L2TP隧道收到远程用户的接入请求,对远程用户认证后,为远程用户分配IP地址,通过隧道和LAC发送到远程用户。

5、远程用户获取IP地址,向总部主机发送报文进行通信。

6、LNS收到经由隧道传输的报文后,查找路由表,转发报文到内部目的主机。

在这里插入图片描述

——————————————————————————————————————————————————

4、应用场景

——————————————————————————————————————————————————

4.1、远程拨号用户发起L2TP隧道连接

企业出差员工的地理位置经常发生移动,并且随时需要和总部通信和访问总部内网资源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入的用户进行辨别和管理,这时将总部网关部署为LNS,出差员工在PC终端上使用L2TP拨号软件,则可以在出差员工和总部网关之间建立虚拟的点到点连接。LNS可以对接入用户进行身份验证,分配私网地址,如果部署ACL还可以管理接入用户的访问权限。

在这里插入图片描述

——————————————————————————————————————————————————

4.2、LAC接入拨号请求发起L2TP隧道连接

企业总部在其他城市设有分支机构,分支机构位于传统的拨号网络。分支用户需要和总部用户建立VPDN连接,于是分支向ISP申请L2TP服务,ISP将NAS部署为LAC,将分支用户的拨号连接通过Internet延展到LNS。企业将总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关之间的VPDN连接。

在这里插入图片描述
——————————————————————————————————————————————————

4.3、LAC接入PPPoE用户发起L2TP隧道连接

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部用户需要和分支用户通信,由总部统一管理分支用户的接入,于是使用L2TP功能将总部网关部署为LNS。分支用户的拨号报文无法直接在以太网络中传输,需要使用PPPoE拨号软件部署为PPPoE客户端,而分支网关则作为PPPoE服务器和LAC,使分支用户的呼叫请求到达总部。

在这里插入图片描述
——————————————————————————————————————————————————

4.4、L2TP Client发起L2TP隧道连接

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。总部允许分支的任意用户接入,则只对分支网关认证,此时总部网关部署为LNS,分支网关部署为L2TP Client,并在分支网关创建虚拟拨号,触发到总部的L2TP隧道连接。通过L2TP Client的方式,在L2TP Client和LNS之间建立虚拟的点到点连接,分支用户的IP报文到达L2TP Client后路由转发到虚拟拨号接口,报文送至LNS后经路由转发到达目的主机。

在这里插入图片描述

——————————————————————————————————————————————————

4.5、LAC接入多域用户发起L2TP隧道连接

企业总部和旗下子公司有业务往来,不同的子公司需要访问的总部的不同部门,总部为不同子公司的员工提供接入服务,使用L2TP功能和子公司建立VPDN连接。因接入用户较多,可以配置子公司的网关设备按照域名判断接入用户是否VPDN用户,简化VPDN的部署。子公司之间使用不同的L2TP隧道,获取不同网段的IP地址。子公司用户发起到总部的连接时,因为源地址和目的地址都由总部分配,所以总部可以配置ACL实现对子公司访问权限的管理。

在这里插入图片描述

——————————————————————————————————————————————————

4.6、RADIUS服务器认证VPDN用户

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。企业将分支网关部署为LAC,总部网关部署为LNS,建立VPDN连接。同时将分支网关部署为PPPoE服务器,和PPPoE客户端(分支用户)在以太网络交换PPP报文。LAC和LNS都可以对分支用户进行认证,但接入用户数目较多时,不便于在设备本地维护,可以部署RADIUS服务器认证接入用户。LAC侧的RADIUS服务器需要支持L2TP认证,判断用户是否为VPDN用户,并反馈结果给LAC。

在这里插入图片描述

——————————————————————————————————————————————————

4.7、L2TP使用IPSec封装建立安全隧道连接

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。在企业总部和分支上部署L2TP功能建立VPDN连接,使分支用户可以访问总部。当企业对数据和网络的安全性要求较高时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据,有效避免数据被截取或攻击。在LAC上将数据报文先进行IPSec封装,再进L2TP封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式保护原始的数据报文,可根据需要对接入用户提供保护。

在这里插入图片描述

——————————————————————————————————————————————————

4.8、IPSec使用L2TP封装建立安全隧道连接

企业出差用户和总部通信,使用L2TP功能建立VPDN连接,总部部署为LNS对接入的用户进行认证。当出差用户需要向总部传输高机密信息时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据。在出差用户的PC终端上运行拨号软件,将数据报文先进行L2TP封装,再进行IPSec封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式IPSec功能会对所有源地址为LAC、目的地址为LNS的报文进行保护。

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/139978.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

远程运维的定义以及优点详细讲解-行云管家

对于IT运维小伙伴而言,远程运维是最平常不过的一件事情了。比如下班了需要工作,可以远程运维就好了;比如帮助用户远程安装远程运维软件等等。今天我们就一起来简单聊聊远程运维的定义以及优点,顺便看看市面上哪款远程运维软件好用…

开发企业微信群机器人,实现定时提醒

大家好,我是鱼皮,今天分享一个用程序解决生活工作问题的真实案例。 说来惭愧,事情是这样的,在我们公司,每天都要轮流安排一名员工(当然也包括我)去楼层中间一个很牛的饮水机那里接水。但由于大…

深耕智慧物流夯实竞争优势,极智嘉(Geek+)斩获多项大奖

全球仓储机器人引领者极智嘉(Geek),一直以来致力于为仓储与制造场景提供高效柔性的智能物流解决方案,强劲的发展实力备受认可。而近段时间,极智嘉更是频频传来好消息,不仅斩获了英国机器人与自动化仓储创新大奖,获评胡…

RT-DETR算法优化改进:一种新颖的动态稀疏注意力(BiLevelRoutingAttention) | CVPR2023

💡💡💡本文独家改进: 提出了一种新颖的动态稀疏注意力(BiLevelRoutingAttention),以实现更灵活的计算分配和内容感知,使其具备动态的查询感知稀疏性 1)代替RepC3进行使用; 2)BiLevelRoutingAttention直接作为注意力进行使用; 推荐指数:五星 RT-DETR魔术师专栏介…

睿登RD6012P数控可调电源简单开箱评测

睿登RD6012P恒压恒流数控直流可调电源简单开箱评测,测试了一下 空载功耗和效率测试、恒流输出精度和电流回读精度测试、恒压输出精度和电压回读精度测试、输出纹波,还有简单分析了一下用到的芯片(背面可看到的芯片,没有拆开看里面…

Flutter实践二:repository模式

1.repository 几乎所有的APP,从简单的到最复杂的,在它们的架构里几乎都包括状态管理和数据源这两部分。状态管理常见的有Bloc、Cubit、Provider、ViewModel等,数据源则是一些直接和数据库或者网络客户端进行交互,取得相应的数据&…

Spring的Redis客户端

如何在Spring中操作redis 在创建springboot项目的时候引入redis的依赖. 在配置文件里指定redis主机的地址和端口,此处我们配置了ssh隧道,所以连接的就是本机的8888端口. 创建一个controller类,注入操作redis的对象. 前面使用jedis,是通过jedis对象里的各种方法来操作redis的,此…

python用pychart库,实现将经纬度信息在地图上显示

python使用pyecharts对给到的经纬度数据进行位置标注,下面是批量更新。给入数据,将地图生成。实验数据在下面附件。 from pyecharts import options as opts from pyecharts.charts import Geo import osfolder_path F:\\GPS file_names os.listdir(f…

腾讯小程序音视频 TRTC live-pusher 黑屏等各种问题

微信小程序进行音视频开发, 主要会用到live-player live-pusher,这两个媒体组件. 在开发的过程中,会遇到各种各样的问题,其中最直接的就是黑屏问题, 以下就这个问题进行整理. 文档: https://developers.weixin.qq.com/miniprogram/dev/component/live-player.html https://dev…

【Python】jupyter notebook(学习笔记)

Jupyter Notebook初见 1、Jupyter Notebook介绍 web版的ipython 编程、写文档、记笔记、展示 格式.ipynb 2、为什么使用Jupyter Notebook? 画图方面的优势:图像的生成不会堵塞后面代码的执行数据展示方面的优势:生成的数据可以保存在文件中 3、J…

Springboot细节补充

一、Bean是怎么装配的? 1、bean扫描 在之前的ssm中,spring要么用标签的形式来扫描包,要么使用注解ComponentScan来扫描 但是在Springboot中,启动类上默认有一个注解SpringBootApplication,里面就包含了ComponentScan…

CCF ChinaSoft 2023 论坛巡礼 | 云原生与智能化运维论坛

2023年CCF中国软件大会(CCF ChinaSoft 2023)由CCF主办,CCF系统软件专委会、形式化方法专委会、软件工程专委会以及复旦大学联合承办,将于2023年12月1-3日在上海国际会议中心举行。 本次大会主题是“智能化软件创新推动数字经济与社…

[原创]仅需小小的改变,B++ Builder 12的代码完成提示即可完美工作.

[简介] 常用网名: 猪头三 出生日期: 1981.XX.XXQQ: 643439947 个人网站: 80x86汇编小站 编程生涯: 2001年~至今[共22年] 职业生涯: 20年 开发语言: C/C、80x86ASM、PHP、Perl、Objective-C、Object Pascal、C#、Python 开发工具: Visual Studio、Delphi、XCode、Eclipse、C Bui…

隔离在高可用架构中的使用

写作目的 最近看到了河北王校长隔离的视频,结合自己在工作中的应用,分享常见的隔离落地方案。 隔离落地方案 服务环境隔离 因为我们的项目服务于整个国内的多条产品线,也服务于国外。为了低成本所以使用一套代码。在产品线之间隔离&#…

14.求n!和1!+2!+...+20!和2^1+2^2+……++2^20和2^1+2^3+……++2^19

文章目录 前言一、题目描述 二、题目分析 三、解题 程序运行代码 四、举一反三一、题目描述:求1!2!...20! 二、题目分析 三、解题 程序运行代码1程序运行代码2 一、题目描述:求求2^1^2^2^……2^20^二、解题 程序运行代码 一、题目…

大数据毕业设计选题推荐-消防监控平台-Hadoop-Spark-Hive

✨作者主页:IT毕设梦工厂✨ 个人简介:曾从事计算机专业培训教学,擅长Java、Python、微信小程序、Golang、安卓Android等项目实战。接项目定制开发、代码讲解、答辩教学、文档编写、降重等。 ☑文末获取源码☑ 精彩专栏推荐⬇⬇⬇ Java项目 Py…

通过百度翻译API完成Java中的中英文翻译

因为要做英文文献索引分词,所以对于索引词汇必须得是英文,将表中的中文都转换成英文 这里用到百度的翻译API 首先需要注册成为百度翻译开发者:百度翻译开放平台 注册成为个人开发者就可以, 这里可以完善相关信息,要记…

每日互动(个推)全新推出AITA智选人群工具,助力品牌营销升级

11月9日,在2023年世界互联网大会“新产品新技术特色场景发布活动”上,数据智能服务商每日互动(个推)全新打造的AITA智选人群工具首次正式对外发布。作为每日互动在品牌营销领域的大模型应用最新成果,AITA智选人群工具将…

《数据结构、算法与应用C++语言描述》-代码实现键值有序链表跳表

跳表 定义 在一个用有序链表描述的 n 个数对的字典中进行查找,至多需要 n 次关键字比较。如果在链表的中部节点加一个指针,则比较次数可以减少到 n/21。这时,为了查找一个数对,首先与中间的数对比较。如果查找的数对关键字比较小…

【数据仓库】数仓分层方法

文章目录 一. 数仓分层的意义1. 清晰数据结构。2. 减少重复开发3. 方便数据血缘追踪4. 把复杂问题简单化5. 屏蔽原始数据的异常6. 数据仓库的可维护性 二. 如何进行数仓分层?1. ODS层2. DW层2.1. DW层分类2.2. DWD层2.3. DWS 3. ADS层 4、层次调用规范 一. 数仓分层…