L2TP/L2TP over IPSec
L2TP VPN:
二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。
二层隧道协议L2TP ( Layer 2 Tunneling Protocol )是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )隧道协议的一种,扩展了点到点协议PPP ( Point-to-Point Protocol )的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。
VPDN有以下三种常用的隧道技术:
(1)点到点隧道协议PPTP
(2)二层转发L2F
(3)二层隧道协议L2TP
L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数远程终端通过公共网络接入企业内联网的需求
L2TP不支持加密
L2TP使用的端口号1701
L2TP协议以UDP头部封装
目的:
出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址,并供总部对出差员工进行身份认证。但PPP报文受其协议自身的限制无法在Internet上直接传输。于是,PPP报文的传输问题成为了制约出差员工远程办公的技术瓶颈。L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。将PPP封装在L2TP中,无论出差员工是通过传统拨号方式接入Internet,还是通过以太网方式接入Internet,L2TP VPN都可以向其提供远程接入服务。
L2TP优点:
( 1)灵活的身份验证机制以及高度的安全性
a.L2TP使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认证。
b.L2TP定义了控制消息的加密传输方式,支持L2TP隧道的认证。
c.L2TP对传输的数据不加密,但可以和因特网协议安全协议IPSec结合应用,为数据传输提供高度的安全保证。
( 2)多协议传输:L2TP传输PPP数据包,PPP可以传输多种协议报文。
( 3)支持RADIUS服务器的验证:L2TP对接入用户不仅支持本地认证,还支持将拨号接入的用户名和密码发往RADIUS服务器进行认证,为企业管理接入用户提供了更多的选择。
(4)支持私网地址分配︰应用L2TP的企业总部网关,可以为远程用户动态分配私网地址。
( 5 )可靠性∶L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以与备份LNS建立连接,增强了VPN服务的可靠性。
L2TP基本概念:
1.VPDN :VPDN是承载PPP报文的VPN,可以为企业、小型ISP、移动办公人员提供接入服务。PPP终端接入拨号网络,拨号到NAS。NAS收到PPP报文后进行L2TP封装,最外层的IP报头经过公网路由转发后到达LNS。LNS收到报文后解封装,还原PPP报文,完成了PPP报文在公共网络上的透明传输,从而在PPP终端和LNS之间建立了VPDN连接。随着以太网络的普及,PPP终端不再受限于传统的拨号网络,使用PPPoE技术,即可通过以太网络接入LAC。
2.PPP终端:L2TP应用中,PPP终端指发起拨号,将数据封装为PPP类型的设备,如远程用户PC、企业分支网关等。
3.NAS∶NAS网络接入服务器( Network Access Server )主要由ISP维护,连接拨号网络,是距离PPP终端地理位置最近的接入点。NAS用于传统的拨号网络中,为远程拨号用户提供VPDN服务,和企业总部建立隧道连接。
4.LAC∶L2TP访问集中器LAC ( L2TP Access Concentrator)是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧道连接,将PPP协商延展到LNS。
5.隧道和会话:在LAC和LNS的L2TP交互过程中存在两种类型的连接。
(1)隧道(Tunnel)连接:L2TP隧道在LAC和LNS之间建立,一对LAC和LNS可以建立多个L2TP隧道,一个L2TP隧道可以包含多个L2TP会话。
(2)会话(Session )连接:L2TP会话发生在隧道连接成功之后,L2TP会话表示承载在隧道连接中的一个PPP会话过程。
LAC部署:
IP网络和以太网不支持认证服务,所以要使用PPP协议
PPP协议不能跨越互联网,使用L2TP隧道承载PPP协议,借助L2TP在以太网/Internet上传递,方便认证。
L2TP封装:
UDP使用1701端口表示它承载的是L2TP报文
PPP:工作在数据链路层
PPP支持认证,有PAP,CHAP用于认证
PAP:明文传输用户名和密码
CHAP:明文传输用户名,密文传输密码
PPP工作步骤:LCP协商(链路层协商),认证(PAP,CHAP),NCP协商(网络层协商)
NAS:网络接入服务器,运营商发起的L2TP VPN建立连接(场景一)
LNS:L2TP网络服务器,企业总部出口网关
LAC:L2TP的访问控制中心,隧道发起方,企业分支的出口网关,用于站点到站点建立L2TP VPN,企业分支发起的L2TP VPN建立连接,中间不用经过运营商(场景三)
L2TP VPN应用场景:
第一种:
NAS(运营商提供)和LNS之间建立L2TP VPN隧道
NAS设备在这个案例中充当PPPoE服务器
2.第二种:
移动办公用户直接和LNS建立L2TP VPN隧道
3.第三种:
站点到站点(分支到总部)
没有运营商参与
LAC部署
将网关设备作为pppoe服务器,客户端通过pppoe服务器进行L2TP VPN的建立
客户端作为LAC直接与总部建立L2TP VPN
L2TP工作过程·
第二种原理:移动办公用户通过客户端软件直接与总部建立VPN连接
隧道连接和会话连接不是一个概念,隧道连接是指的隧道起点和终点,会话连接是指隧道起点和终点身后的网络,一条隧道可以承载多个会话
移动用户发送一个icmp是如何封装的
报文封装:
安全策略,移动办公用户属于DMZ区域,还需要做隧道分离,比如客户端需要访问百度
L2TP报文结构
实验:配置LAC自拨号发起L2TP隧道连接
拓扑:
AR1和AR3配置静态路由
在LNS(AR3)设备上配置地址池,用来给LAC自拨号连接时分配IP
在LNS(AR3)设备上配置AAA,创建本地用户名密码用于ppp服务
在LNS(AR3)设备上配置虚拟模板1,配置IP,对端地址从本地地址池pool1中拿,ppp的认证模式为chap
在LNS(AR3)设备上配置使能L2TP服务,创建一个L2TP组
在LNS(AR3)设备上配置本端隧道名称以及指定LAC(AR1)的隧道名称
在LNS(AR3)设备上配置启用隧道认证功能并设置密码为huawei123
在LNS(AR3)设备上配置将流量引入隧道
在LAC(AR1)设备上配置使能L2TP服务,创建一个L2TP组
在LAC(AR1)设备上配置启用隧道认证功能并设置密码为huawei123
在LAC(AR1)设备上配置找AR3来拨号,用jack这个用户
在LAC(AR1)设备上配置虚拟模板1
在LAC(AR1)设备上配置将流量引入隧道
查看隧道建立情况
抓包测试
在AR2的G0/0/0抓包
pc2 ping pc1
明文传输,没有加密,需要使用IPSec加密
配置L2TP over IPSec对数据进行加密
AR1上配置ACL定义加密数据流
AR1配置IPSec
AR3上配置ACL定义加密数据流
AR3配置IPSec
这时抓包数据包被加密,由于模拟器bug,显示回包未加密
L2TP/L2TP over IPSec相关推荐
- cisco 模拟器安装及交换机的基本配置实验心得_软考网络工程师级配置题总结 | 交换机配置、路由器配置、广域网接入配置、L2TP配置、IPSec配置、PIX防火墙配置...
软考网络工程师级配置题总结 一. 交换机配置 1. 交换机的基本配置 Enable 进入特权模式 Config terminal 进入配置模式 Enable password cisco 设置enab ...
- 华为防火墙L2TP/L2TP over IPSec
L2TP VPN: 二层VPN,用于远程访问C/S结构,L2TP VPN是一种用于承载PPP报文的隧道技术,主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务. L2TP不支持加密 L ...
- 配置×××服务器使用L2TP/IPSEC协议
配置×××服务器使用L2TP/IPSEC协议<?XML:NAMESPACE PREFIX = O /> 在ISA2006中配置了×××地址池,选择了×××协议,创建了防火墙策略,检 ...
- 工业级4G工业路由器USR-G806与TP-LINK实现局域网中L2TP over Ipsec连接
本文档参数仅供参考,实际配置以真实参数为准! PC网页输入192.168.2.107,登录TP-LINK的内置网页: 点击 VPN--用户管理--IP地址池--新增,添加L2TP地址池: 点击VPN- ...
- Juniper防火墙 L2TP ××× 配置
关于L2TP ××× 介绍请参考 [第二层隧道协议(Layer 2 Tunneling Protocol)L2TP ××× 介绍] L2TP ××× 虽然没有IPsec ×××安全,但是配置简单,不像 ...
- Window10连接L2TP相关网络问题汇总
Window10连接L2TP网络问题 1,Window10:不能建立到远程计算机的连接.你可能需要更改此连接的网络设置. 2,无法建立计算机与VPN服务器之间的网络连接,Nat 连接出现809错误 防 ...
- win10使用L2TP连接远程服务器失败的问题
链接错误的提示: 因是L2TP连接需要IPSec加密,远程服务器未响应说明IPSec加密被禁用了,需要在注册表启用它,具体步骤如下: 1.以管理员账号身份打开CMD,win10 是 win+x键 2. ...
- 虚拟隧道协议(L2TP)识别及实现
L2TP于1999年正式发布,是点对点隧道协议(PPTP)的扩展.它是两种协议的合并,一种来自Microsoft(PPTP),另一种来自Cisco. 今天我们使用L2TP构建VPDN,对L2TP流量进 ...
- 企业路由器配置L2TP 站点到站点模式Virtual Private Network指南_3(外网访问内网资源)
应用场景: 企业路由器提供多类VPN功能.其中L2TP VPN可以实现企业站点之间搭建安全的数据传输通道,将接入Internet的企业分支机构与总部网络通过安全隧道互联,实现资源.信息共享. 资源说 ...
- L2TP客户端之Strongswan移植(三)
说明 上一篇已经移植完strongswan的全套工具,以及内核模块也做了支持.接下来就是移植的工具在开发板的部署了. 资源部署 1.文件放置 有了内核的支持,现在要做的就是把L2TP/IPsec的工具 ...
最新文章
- js 后台调用前台的JS
- 225. Implement Stack using Queues
- 背景全透明 background: transparent
- 第三章计算机试题,计算机等级考试二级VB测试题(第三章)
- 数学--数论--快速乘法+快速幂
- LaTex ——P2 源文件的基本结构
- linux之正则匹配命令学习笔记
- CentOS8-Tomcat7安装并设置开机自启动
- 《Redis视频教程》(p20)
- 一个据说可以让瑞星ravmond.exe崩溃的网站
- 【html】网页常用分享代码大全(前端必备)
- win7 计算机无法搜索,Win7笔记本电脑无法搜索无线网络_计算机的基本知识_IT /计算机_信息...
- # CF #808 Div.2(A - C)
- session和token鉴权
- 苹果 iOS 15 正式发布
- 联发科技2023届提前批IC笔试(题目)
- js中数组和字符串的常用方法
- 初中科学计算机使用,350MS 82MS科学计算器使用方法(初中).doc
- 查询QQ号码是否在线
- SpeedFan 4.20