华为二层隧道协议L2TP介绍(二)
首页 > HuaWei > VPN   作者:圈哥  2016年11月14日 12:21 星期一  热度:230°  字号:   评论:0 条
时间:2016-11-14 12:21   热度:230°  评论:0 条 

华为二层隧道协议L2TP介绍(二)

华为二层隧道协议L2TP介绍(一):http://www.023wg.com/vpn/379.html

4L2TP工作过程

VPDN连接在远程用户和LNS之间建立。ISP将距离远程用户地理位置最近的NAS部署为LACLACLNS之间建立L2TP隧道连接。

1、远程用户在电话网络中拨号,发起PPP连接到ISP部署的本地NAS

2NAS接入远程用户的呼叫,和远程用户进行PPP协商。

3NAS作为LAC,根据远程用户拨号的用户名或者域,判断接入的用户是否为VPDN用户。如果接入用户是VPDN用户,则交由L2TP模块进行封装处理,将PPP报文通过L2TP隧道发送到LNS;如果不是VPDN用户,则正常处理和转发PPP报文。

4LNSL2TP隧道收到远程用户的接入请求,对远程用户认证后,为远程用户分配IP地址,通过隧道和LAC发送到远程用户。

5、远程用户获取IP地址,向总部主机发送报文进行通信。

6LNS收到经由隧道传输的报文后,查找路由表,转发报文到内部目的主机。

 L2TP隧道的呼叫建立流程.png

                      1 L2TP隧道的呼叫建立流程

经过L2TP处理,远程用户使用拨号建立到LNS的点到点连接,其中LACInternet对用户透明。具体报文处理过程如上图1所示,LACLNS均使用远程认证。

1、远程用户PC发起呼叫连接请求到LAC

2PC机和LAC进行PPP LCP协商。

3LACPC机提供的用户信息进行CHAP认证。

4LAC将用户信息(用户名和密码)发送给RADIUS服务器进行认证。

5RADIUS服务器认证通过则返回对该用户认证的结果。

6、当LAC上指定LNS为域名时,LAC检查该LNS域名是否解析,如未解析则根据域名向DNS服务器请求解析对应的IP。如果LNSIP地址解析成功,则触发建立隧道过程;否则用户上线失败。

7LACLNS之间建立L2TP隧道连接。

8LACLNS之间建立L2TP会话连接。

9LNS处理在会话连接中收到的PPP协商信息。

10LNS将接入请求信息发送给RADIUS服务器进行认证。

11RADIUS服务器认证通过则返回响应信息。如果RADIUS服务器上为该用户配置了Frame-IPFrame-Route属性或者指定了地址池名称,响应报文中会携带该Frame-IPFrame-Route或者指定的地址池名称。

12、可选择是否对远程用户CHAP重认证,在LNS完成二次认证。

13LNS将二次认证信息发送给RADIUS服务器进行认证。

14RADIUS服务器认证通过则返回响应信息。

15LNS处理响应报文中携带的信息,保存分配给该用户的Frame-IPFrame-Route或者指定的地址池名称。L2TP连接成功,为远程用户分配IP地址。

16、远程用户和总部通信,LNS相当于远程用户的网关。

选择执行步骤12时,需要执行步骤1314,否则不需要执行。

 

5L2TP应用场景

1、远程拨号用户发起L2TP隧道连接

  远程拨号用户发起L2TP隧道连接图.png

               1 远程拨号用户发起L2TP隧道连接图

企业出差员工的地理位置经常发生移动,并且随时需要和总部通信和访问总部内网资源,直接通过Internet网络虽然可以访问总部网关,但总部网关无法对接入的用户进行辨别和管理,这时将总部网关部署为LNS,出差员工在PC终端上使用L2TP拨号软件,则可以在出差员工和总部网关之间建立虚拟的点到点连接。LNS可以对接入用户进行身份验证,分配私网地址,如果部署ACL还可以管理接入用户的访问权限。

2LAC接入拨号请求发起L2TP隧道连接

 LAC接入拨号请求发起L2TP隧道连接图.png

                      2 LAC接入拨号请求发起L2TP隧道连接图

企业总部在其他城市设有分支机构,分支机构位于传统的拨号网络。分支用户需要和总部用户建立VPDN连接,于是分支向ISP申请L2TP服务,ISPNAS部署为LAC,将分支用户的拨号连接通过Internet延展到LNS。企业将总部的网关部署为LNS,为分支用户提供接入服务,实现分支用户和总部网关之间的VPDN连接。

3LAC接入PPPoE用户发起L2TP隧道连接

 LAC接入PPPoE用户发起L2TP隧道连接图.png

          3 LAC接入PPPoE用户发起L2TP隧道连接图

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部用户需要和分支用户通信,由总部统一管理分支用户的接入,于是使用L2TP功能将总部网关部署为LNS。分支用户的拨号报文无法直接在以太网络中传输,需要使用PPPoE拨号软件部署为PPPoE客户端,而分支网关则作为PPPoE服务器和LAC,使分支用户的呼叫请求到达总部。

4LAC自拨号发起L2TP隧道连接

 LAC自拨号发起L2TP隧道连接图.png

                         4 LAC自拨号发起L2TP隧道连接图

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。总部允许分支的任意用户接入,则只对分支网关认证,此时总部网关部署为LNS,分支网关部署为LAC,并在分支网关创建虚拟拨号,触发到总部的L2TP隧道连接。通过LAC自拨号的方式,在LACLNS之间建立虚拟的点到点连接,分支用户的IP报文到达LAC后路由转发到虚拟拨号接口,报文送至LNS后经路由转发到达目的主机。

5LAC接入多域用户发起L2TP隧道连接

 LAC接入多域用户发起L2TP隧道连接.png

                    5 LAC接入多域用户发起L2TP隧道连接

企业总部和旗下子公司有业务往来,不同的子公司需要访问的总部的不同部门,总部为不同子公司的员工提供接入服务,使用L2TP功能和子公司建立VPDN连接。因接入用户较多,可以配置子公司的网关设备按照域名判断接入用户是否VPDN用户,简化VPDN的部署。子公司之间使用不同的L2TP隧道,获取不同网段的IP地址。子公司用户发起到总部的连接时,因为源地址和目的地址都由总部分配,所以总部可以配置ACL实现对子公司访问权限的管理。

6RADIUS服务器认证VPDN用户

 RADIUS服务器认证VPDN用户图.png

                         6 RADIUS服务器认证VPDN用户图

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立VPDN连接。企业将分支网关部署为LAC,总部网关部署为LNS,建立VPDN连接。同时将分支网关部署为PPPoE服务器,和PPPoE客户端(分支用户)在以太网络交换PPP报文。LACLNS都可以对分支用户进行认证,但接入用户数目较多时,不便于在设备本地维护,可以部署RADIUS服务器认证接入用户。LAC侧的RADIUS服务器需要支持L2TP认证,判断用户是否为VPDN用户,并反馈结果给LAC

7 RADIUS服务器为L2TP用户分配Frame-IPFrame-Route和指定地址池

  RADIUS服务器为L2TP用户分配Frame-IP、Frame-Route和指定地址池.png

    7 RADIUS服务器为L2TP用户分配Frame-IPFrame-Route和指定地址池

为了方便管理和降低企业用户信息维护成本,越来越多的企业使用RADIUS服务器对用户信息进行统一管理。通过在RADIUS为每个用户配置Frame-IPFrame-Route或指定地址池等参数,在该用户上线时,通过LNS为其分配已经规划好的IP地址。

8L2TP使用IPSec封装建立安全隧道连接

 L2TP使用IPSec封装建立安全隧道连接图.png

                L2TP使用IPSec封装建立安全隧道连接图

企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入Internet。在企业总部和分支上部署L2TP功能建立VPDN连接,使分支用户可以访问总部。

当企业对数据和网络的安全性要求较高时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据,有效避免数据被截取或攻击。

LAC上将数据报文先进行IPSec封装,再进L2TP封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式保护原始的数据报文,可根据需要对接入用户提供保护。

 9IPSec使用L2TP封装建立安全隧道连接

 IPSec使用L2TP封装建立安全隧道连接图.png

            IPSec使用L2TP封装建立安全隧道连接图 

企业出差用户和总部通信,使用L2TP功能建立VPDN连接,总部部署为LNS对接入的用户进行认证。当出差用户需要向总部传输高机密信息时,L2TP无法为报文传输提供足够的保护,这时可以和IPSec功能结合使用,保护传输的数据。在出差用户的PC终端上运行拨号软件,将数据报文先进行L2TP封装,再进行IPSec封装,发往总部。在总部网关,部署IPSec策略,最终还原数据。这种方式IPSec功能会对所有源地址为LAC、目的地址为LNS的报文进行保护。

华为二层隧道协议L2TP配置教程:http://www.023wg.com/vpn/384.html

 您阅读这篇文章共花了: 
捐赠支持:如果觉得这篇文章对您有帮助,请“扫一扫”鼓励作者!
二维码加载中...
技术交流:欢迎在本文下方留言或加入QQ群:481294053/474079428 互相学习。     
本文地址:http://www.023wg.com/vpn/382.html
版权声明:若无注明,本文皆为“重庆网管”原创,转载请保留文章出处。

返回顶部    首页    捐赠支持   
版权所有:重庆网管    圈哥