L2TP VPN簡(jiǎn)介
L2TP基本概念:
L2TP(Layer 2 Tunneling Protocol) VPN是一種用于承載PPP報(bào)文的隧道技術(shù)����,該技術(shù)主要應(yīng)用在遠(yuǎn)程辦公場(chǎng)景中為出差員工遠(yuǎn)程訪問企業(yè)內(nèi)網(wǎng)資源提供接入服務(wù)��。
目的:
L2TP VPN技術(shù)出現(xiàn)以后��,使用L2TP VPN隧道“承載”PPP報(bào)文在Internet上傳輸成為了解決上述問題的一種途徑���。無論出差員工是通過傳統(tǒng)撥號(hào)方式接入Internet��,還是通過以太網(wǎng)方式接入Internet����,L2TP VPN都可以向其提供遠(yuǎn)程接入服務(wù)�����。
L2TP VPN的優(yōu)點(diǎn):
身份驗(yàn)證機(jī)制
支持本地認(rèn)證�����。
支持Radius服務(wù)器等認(rèn)證方式
多協(xié)議傳輸
L2TP傳輸PPP數(shù)據(jù)包��,PPP本身可以傳輸多協(xié)議,而不僅僅是IP可以在PPP數(shù)據(jù)包內(nèi)封裝多種協(xié)議
計(jì)費(fèi)認(rèn)證地址分配
可在LAC和LNS兩處同時(shí)計(jì)費(fèi)����,即ISP處(用于產(chǎn)生賬單)及企業(yè)網(wǎng)關(guān)(用于付費(fèi)及審計(jì))。L2TP能夠提供數(shù)據(jù)傳輸?shù)某鋈氚鼣?shù)��、字節(jié)數(shù)以及連接的起始�����、結(jié)束時(shí)間等計(jì)費(fèi)數(shù)據(jù)���,可根據(jù)這些數(shù)據(jù)方便地進(jìn)行網(wǎng)絡(luò)計(jì)費(fèi)
LNS可放置于企業(yè)網(wǎng)的USG之后�,對(duì)遠(yuǎn)端用戶地址進(jìn)行動(dòng)態(tài)分配和管理�,可支持私有地址應(yīng)用
不受NAT限制穿越
支持遠(yuǎn)程接入
靈活的身份驗(yàn)證及時(shí)以及高度的安全性
L2TP協(xié)議本身并不提供連接的安全性����,但它可以依賴于PPP提供的認(rèn)證(CHAP、PAP等)���,因此具有PP所具有的所有安全特性����。
L2TP隧道可以與IPSec結(jié)合,使通過L2TP所傳輸?shù)臄?shù)據(jù)更難被攻擊��。
可根據(jù)特定的網(wǎng)絡(luò)安全要求���,在L2TP之上采用通道加密技術(shù)����、端對(duì)端數(shù)據(jù)加密或應(yīng)用層數(shù)據(jù)加密等方案來提高數(shù)據(jù)的安全性�����。
可靠性
L2TP協(xié)議支持備份LNS����,當(dāng)一個(gè)主LNS不可達(dá)之后,LAC可以重新與備份LNS建立連接��,增加了VPN服務(wù)的可靠性和容錯(cuò)性
L2TP VPN的原理
L2TP VPN的主要應(yīng)用場(chǎng)景:
LAC和LNS介紹:
LAC是附屬在交換網(wǎng)絡(luò)上的具有PPP端系統(tǒng)和L2TP協(xié)議處理能力的設(shè)備����,主要用于為PPP類型的用戶提供接入服務(wù)
LAC位于LNS和用戶之間,用于在LNS和用戶之間傳遞信息包����,它把用戶收到的信息包按照L2TP協(xié)議進(jìn)行封裝并送往LNS���,同時(shí)也將從LNS收到的信息包進(jìn)行解封裝并送往用戶。LAC與用戶之間采用本地連接或PPP鏈路�,VPDN應(yīng)用中通常為PPP鏈路。
LNS既是PPP端系統(tǒng)�����,又是L2TP協(xié)議的服務(wù)器端����,通常作為一個(gè)企業(yè)內(nèi)部網(wǎng)的邊緣設(shè)備。
LNS作為L(zhǎng)2TP隧道的另一側(cè)端點(diǎn)���,是LAC的對(duì)端設(shè)備 ��,是LAC進(jìn)行隧道傳輸?shù)腜PP會(huì)話的邏輯終止端點(diǎn)���。通過在公網(wǎng)中建立LAC隧道����,將用戶的PPP連接的另一端由原來的LAC在邏輯上延伸了企業(yè)網(wǎng)內(nèi)部的LNS。
L2TP VPN主要有三種應(yīng)用場(chǎng)景。分別是:
NAS-Initiated場(chǎng)景(撥號(hào)用戶訪問企業(yè)內(nèi)網(wǎng))
NAS(Network Access Server):是運(yùn)營(yíng)商用來向撥號(hào)用戶提供PPP/PPPoE接入服務(wù)的服務(wù)器�,撥號(hào)用戶通過NAS訪問外部網(wǎng)絡(luò)。
LNS(L2TP Network Server)是企業(yè)總部的出口網(wǎng)關(guān)�����。
用戶通過PPPoE撥入LAC(L2TP Access Concentrator)����,觸發(fā)LAC和LNS之間建立隧道。接入用戶地址由LNS分配��,對(duì)接入用戶的認(rèn)證可由LAC側(cè)的代理完成�,也可兩側(cè)都對(duì)接入用戶做認(rèn)證。當(dāng)所有L2TP用戶都下線時(shí)���,隧道自動(dòng)拆除以節(jié)省資源����,直至再有用戶接入時(shí)���,重新建立隧道�����。
此組網(wǎng)適用于分支機(jī)構(gòu)用戶向總部發(fā)起連接�,且一般用于分支機(jī)構(gòu)的用戶不經(jīng)常訪問企業(yè)總部的情況。
圖:NAS-Initiated VPN隧道組網(wǎng)圖
LAC自動(dòng)撥號(hào)
LAC與LNS之間建立一條永久性L2TP會(huì)話�����?����?蛻舳瞬挥肞PP撥號(hào)���,而通過IP連接即可在隧道中傳輸數(shù)據(jù)�����。
用戶通過配置觸發(fā)建立LAC與LNS之間的永久性L2TP會(huì)話��。LAC使用存儲(chǔ)在本地的用戶名和LNS建立一個(gè)永久存在的L2TP隧道���,此時(shí)的L2TP隧道就相當(dāng)于一個(gè)物理連接。用戶與LAC之間的連接就不受限于PPP連接�,而只需IP連接����,LAC即可將用戶的IP報(bào)文轉(zhuǎn)發(fā)到LNS���。
這種組網(wǎng)也適用于分支機(jī)構(gòu)接入總部,用于分支機(jī)構(gòu)員工訪問總部頻率較高的情況�。與NAS-Initiated VPN場(chǎng)景相比:
分支機(jī)構(gòu)員工感知不到隧道存在,不需要使用用戶名接入����。LAC為分支機(jī)構(gòu)的多個(gè)用戶提供L2TP服務(wù),免去了每個(gè)用戶使用L2TP都需要先撥號(hào)的麻煩����。
這種組網(wǎng)下,LNS只對(duì)LAC進(jìn)行認(rèn)證����。其缺點(diǎn)為:分支機(jī)構(gòu)用戶只要能夠連接LAC即可使用L2TP隧道接入總部,而不需被認(rèn)證���。存在一定的安全隱患����。此時(shí)用戶接入總部以通過設(shè)備的用戶認(rèn)證功能對(duì)接入總部的用戶進(jìn)行認(rèn)證����,從而提高安全性�。
圖:LAC自動(dòng)撥號(hào)組網(wǎng)示例
Client-Initiated場(chǎng)景(移動(dòng)辦公用戶訪問企業(yè)內(nèi)網(wǎng))
直接由接入用戶(可為支持L2TP協(xié)議的PC)發(fā)起連接��。此時(shí)接入用戶可直接向LNS發(fā)起隧道連接請(qǐng)求�����,無需再經(jīng)過一個(gè)單獨(dú)的LAC設(shè)備����。接入用戶地址的分配由LNS來完成。
由于LNS端需要為每個(gè)遠(yuǎn)程用戶建立一條隧道���,與NAS-Initiated VPN場(chǎng)景相比�����,LNS端配置更復(fù)雜一些��。與其他兩種場(chǎng)景相比����,其優(yōu)點(diǎn)在于接入用戶不受地域限制���。
此場(chǎng)景適用于出差員工使用PC���、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器,實(shí)現(xiàn)移動(dòng)辦公�����。
圖:Client-Initiated組網(wǎng)示意圖
隧道和會(huì)話建立原理:
隧道和會(huì)話的概念:
在LNS和LAC對(duì)之間存在著兩種類型的連接���。
隧道(Tunnel)連接:它定義了互相通信的兩個(gè)實(shí)體LNS和LAC��。
在一對(duì)LAC和LNS之間可以建立多條隧道����。隧道由一個(gè)控制連接和至少一個(gè)會(huì)話組成����。
L2TP首先需要建立L2TP隧道,然后在L2TP隧道上建立會(huì)話連接���,最后建立PPP連接�����。所有的L2TP需要承載的數(shù)據(jù)信息都是在PPP連接中進(jìn)行傳遞的�����。
會(huì)話(Session)連接:它復(fù)用在隧道連接之上�����,用于表示承載隧道連接中的每個(gè)PPP連接過程�。
會(huì)話是有方向的,從LAC向LNS發(fā)起的會(huì)話叫做Incoming會(huì)話�,從LNS向LAC發(fā)起的會(huì)話叫做Outgoing會(huì)話。
隧道和會(huì)話的關(guān)系:
NAS-Initiated VPN場(chǎng)景中���,一對(duì)LAC和LNS的鏈接可以存在多條隧道��;一條隧道中可承載多條會(huì)話����。即:多個(gè)用戶可以共用一條隧道����。
LAC自動(dòng)撥號(hào)場(chǎng)景中,LAC和LNS建立永久的隧道。且僅承載一條永久的L2TP會(huì)話和PPP連接�����。
Client-Initiated VPN場(chǎng)景中��,每個(gè)接入用戶和LNS之間均建立一條隧道����;每條隧道中僅承載一臺(tái)L2TP會(huì)話和PPP連接���。
控制消息和數(shù)據(jù)消息:
**控制消息:**控制消息用于隧道和會(huì)話連接的建立�、維護(hù)以及傳輸控制���;位于隧道和會(huì)話建立過程中����?��?刂葡⒌膫鬏斒强煽總鬏?,并且支持對(duì)控制消息的流量控制和擁塞控制���;主要的控制消息包括控制報(bào)文����、會(huì)話報(bào)文等。
控制報(bào)文用于建立和拆除�����、維持隧道���,主要包括:
SCCRQ(Start-Control-Connection-Request):控制連接發(fā)啟請(qǐng)求���。由LAC或者LNS向?qū)Χ税l(fā)送,用來初始化LAC和LNS之間的隧道�,開始隧道的建立過程。NGFW的應(yīng)用場(chǎng)景中����,一般都是由LAC向LNS發(fā)起請(qǐng)求。
SCCRP(Start-Control-Connection-Reply):表示接受了對(duì)端的連接請(qǐng)求��,隧道的建立過程可以繼續(xù)�����。
SCCCN(Start-Control-Connection-Connected):對(duì)SCCRP的回應(yīng),完成隧道的建立����。
StopCCN(Stop-Control-Connection-Notification):由LAC或者LNS發(fā)出,通知對(duì)端隧道將要停止�,控制連接將要關(guān)閉。另外�����,所有活動(dòng)的會(huì)話都會(huì)被清除����。
HELLO:隧道?;羁刂葡?��。L2TP使用Hello報(bào)文來檢測(cè)隧道的連通性�。LAC和LNS定時(shí)向?qū)Χ税l(fā)送Hello報(bào)文�����,如果在一段時(shí)間內(nèi)未收到Hello報(bào)文的應(yīng)答����,隧道將被清除�。
會(huì)話報(bào)文用于建立和拆除會(huì)話�,主要包括:
ICRQ(Incoming-Call-Request):當(dāng)LAC檢測(cè)到有用戶撥入電話的時(shí)候,向LNS發(fā)送ICRQ����,請(qǐng)求在已經(jīng)建立的隧道中建立會(huì)話。
ICRP(Incoming-Call-Reply):用來回應(yīng)ICRQ����,表示ICRQ成功,LNS也會(huì)在ICRP中標(biāo)識(shí)L2TP會(huì)話必要的參數(shù)���。
ICCN(Incoming-Call-Connected):用來回應(yīng)ICRP�,L2TP會(huì)話建立完成��。
CDN(Call-Disconnect-Notify):由LAC或者LNS發(fā)出�����,通知對(duì)端會(huì)話將要停止��。
數(shù)據(jù)消息:用于承載用戶的PPP連接數(shù)據(jù)報(bào)文����,并在隧道上進(jìn)行傳輸��。數(shù)據(jù)消息的傳輸是不可靠傳輸���,若數(shù)據(jù)報(bào)文丟失,不予重傳�����。不支持對(duì)數(shù)據(jù)消息的流量控制和擁塞控制���。
NAS-Initiated VPN隧道和會(huì)話建立過程:
圖:NAS-Initiated VPN隧道和會(huì)話建立過程
建立PPPoE連接
LAC對(duì)用戶進(jìn)行認(rèn)證。
建立L2TP隧道
L2TP數(shù)據(jù)以UDP報(bào)文形式發(fā)送�。L2TP注冊(cè)了UDP端口1701,但是這個(gè)端口僅用于初始的隧道建立過程���。L2TP隧道發(fā)起方(LAC)任選一個(gè)空閑端口(未必是1701)向接收方(LNS)的1701端口發(fā)送報(bào)文;LNS收到報(bào)文后���,使用1701端口給LAC的指定端口回送報(bào)文�。至此���,雙方的端口選定�,并在隧道保持連通的時(shí)間段內(nèi)不再改變����。
LAC檢查用戶的LCP協(xié)商中的認(rèn)證信息(Domain��、Username等)�����,查找能夠匹配的L2TP組���,根據(jù)L2TP組的配置對(duì)某個(gè)LNS進(jìn)行L2TP呼叫建立L2TP隧道���。如果此時(shí)LAC發(fā)現(xiàn)L2TP隧道已經(jīng)建立,則LAC發(fā)起會(huì)話連接��,否則首先建立L2TP隧道����。
LAC端向指定的LNS發(fā)送CHAP challenge信息�,LNS回送該challenge響應(yīng)消息CHAP response����,并發(fā)送LNS側(cè)的CHAP challenge���,LAC返回該challenge的響應(yīng)消息CHAP response�。
LAC和LNS之間通過SCCRQ�����、SCCRP和SCCCN消息完成L2TP隧道的建立�,并且雙方都知道對(duì)方的Tunnel ID等信息����,后續(xù)的數(shù)據(jù)報(bào)文都會(huì)添加Peer的Tunnel ID信息,這樣接收者就可以知道收到的L2TP報(bào)文屬于本地的哪個(gè)隧道���。
建立L2TP會(huì)話
LAC和LNS使用ICRQ�、ICRP和ICCN消息建立L2TP會(huì)話���,這些消息都在前面建立的L2TP隧道中傳遞�����,并且都會(huì)添加隧道對(duì)端的Tunnel ID信息。
在ICCN消息中���,LAC端將用戶CHAP response����、response identifier和PPP協(xié)商參數(shù)傳送給LNS����,以便后續(xù)LNS與用戶建立PPP連接。
LNS根據(jù)用戶名����、密碼等信息對(duì)用戶進(jìn)行認(rèn)證。
LNS對(duì)用戶進(jìn)行二次認(rèn)證(可選)
LNS對(duì)用戶在此認(rèn)證(可選)
用戶與LNS之間建立PPP連接���。
完成了L2TP會(huì)話以后,LAC會(huì)將Client的相關(guān)PPP參數(shù)通過L2TP會(huì)話轉(zhuǎn)發(fā)給LNS���,LNS和用戶進(jìn)行PPP的認(rèn)證��。
LNS向用戶分配地址然后建立PPP連接��,注意此時(shí)的PPP連接在用戶和LNS之間建立����,并不是在LAC和LNS之間。
此時(shí)的LAC也保持著和用戶的PPP連接��,用于將來自LNS的L2TP數(shù)據(jù)報(bào)文解封裝以后通過PPP連接傳遞給Client�����。
用戶訪問內(nèi)網(wǎng)資源��。
LAC自動(dòng)撥號(hào)隧道和會(huì)話的建立:
與觸發(fā)建立隧道的方式不同����,LAC自動(dòng)撥號(hào)場(chǎng)景是無需觸發(fā)的永久隧道。一旦配置完畢����,即可建立永久隧道,并承載唯一的一條永久會(huì)話����。LAC為L(zhǎng)NS的唯一的客戶端。
圖:LAC自動(dòng)撥號(hào)的隧道和會(huì)話建立過程
Client-Initiated VPN隧道和會(huì)話的建立:
Client-Initiated VPN場(chǎng)景下����,隧道建立過程與NAS-Initiated VPN相似。與NAS-Initiated VPN場(chǎng)景相比��,Client-Initiated VPN場(chǎng)景相當(dāng)于將Client和LAC合為了一個(gè)整體�����。
圖:Client-Initiated VPN隧道和會(huì)話建立過程
L2TP VPN的報(bào)文封裝:
NAS-Initiated VPN組網(wǎng)數(shù)據(jù)封裝過程:
圖:NAS-Initiated VPN場(chǎng)景組網(wǎng)報(bào)文封裝過程
NAS-Initiated VPN組網(wǎng)中����,接入用戶訪問內(nèi)網(wǎng)服務(wù)器時(shí):
當(dāng)隧道和會(huì)話均建立完成后,接入用戶已獲取LNS分配的地址��,并用此地址來訪問內(nèi)網(wǎng)服務(wù)器�����。
接入用戶向LAC發(fā)起PPPoE撥號(hào)�����,為數(shù)據(jù)添加私有IP�����、PPP報(bào)文頭和PPPoE報(bào)文頭,并添加太網(wǎng)頭后��,發(fā)送給LAC���。
LAC收到報(bào)文后�,依次剝離以太網(wǎng)頭��、PPPoE報(bào)文頭�,并對(duì)報(bào)文依次封裝L2TP報(bào)文頭、UDP報(bào)文頭����,并添加公網(wǎng)IP,發(fā)送給LNS����。
LNS收到報(bào)文后,首先對(duì)報(bào)文進(jìn)行L2TP解封裝�����,依次剝離公網(wǎng)IP����、UDP報(bào)文頭��、L2TP報(bào)文頭�。之后進(jìn)行PPP解封裝�����,剝離PPP報(bào)文頭����。最后添加以太網(wǎng)頭���,并根據(jù)私有IP的目的地址將報(bào)文發(fā)送給內(nèi)網(wǎng)服務(wù)器�����。
服務(wù)器接收?qǐng)?bào)文后�����,獲取報(bào)文數(shù)據(jù)����,并將響應(yīng)報(bào)文發(fā)送給LNS。
LAC自動(dòng)撥號(hào)組網(wǎng)數(shù)據(jù)封裝過程:
圖:LAC自動(dòng)撥號(hào)場(chǎng)景組網(wǎng)報(bào)文封裝過程
LAC自動(dòng)撥號(hào)組網(wǎng)中�,PPP封裝和L2TP封裝僅限于LAC和LNS之間的報(bào)文交互。
Client-Initiated VPN組網(wǎng)數(shù)據(jù)封裝過程:
圖:Client-Initiated VPN場(chǎng)景組網(wǎng)報(bào)文封裝過程
L2TP VPN的認(rèn)證:
L2TP支持使用PAP和CHAP兩種方式進(jìn)行PPP認(rèn)證�����。
VT(Virtual-Template)接口:
PPP�、Ethernet都是二層協(xié)議,它們之間不能直接互相承載��。當(dāng)用戶配置PPPoE等二層協(xié)議時(shí)����,這些二層協(xié)議之間需要通過虛擬訪問接口VA(Virtual-Access)進(jìn)行通信。前面已經(jīng)提到���,L2TP中會(huì)使用PPPoE協(xié)議���。VT接口是用于配置虛擬訪問接口的模板。在L2TP會(huì)話連接建立之后�����,LAC���、LNS均需要?jiǎng)?chuàng)建虛擬訪問接口用于和對(duì)端(即用戶)交換數(shù)據(jù)���。此時(shí)��,系統(tǒng)將按照用戶的配置��,選擇VT接口���,根據(jù)該模板的配置參數(shù)(包括接口IP地址��、PPP認(rèn)證方式等)動(dòng)態(tài)地創(chuàng)建虛擬訪問接口����。
命令行配置中,VT接口下可選擇CHAP或PAP認(rèn)證方式來對(duì)用戶進(jìn)行PPP認(rèn)證�����。Web配置中不支持手工配置認(rèn)證方式�����,系統(tǒng)優(yōu)先選擇CHAP方式�����,其次選擇PAP方式。
LAC自主撥號(hào)場(chǎng)景:
LAC自主撥號(hào)場(chǎng)景中�,LAC側(cè)不對(duì)用戶進(jìn)行認(rèn)證,只在LNS側(cè)對(duì)LAC配置的用戶進(jìn)行PPP認(rèn)證(PAP或CHAP)����。在命令行配置中,體現(xiàn)在VT接口下配置的PPP認(rèn)證方式�。
Client-Initiated VPN場(chǎng)景:
Client-Initiated VPN場(chǎng)景中,在LNS側(cè)對(duì)用戶進(jìn)行PPP認(rèn)證(PAP或CHAP)���。在命令行配置中�����,體現(xiàn)在VT接口下配置的PPP認(rèn)證方式�����。
NAS-Initiated VPN場(chǎng)景:
NAS-Initiated VPN場(chǎng)景中�,L2TP可對(duì)用戶進(jìn)行兩次PPP認(rèn)證:第一次發(fā)生在LAC側(cè)�,第二次發(fā)生在LNS側(cè)。只有一種情況LNS側(cè)不對(duì)接入用戶進(jìn)行二次認(rèn)證:?jiǎn)⒂肔CP重協(xié)商后��,不在相應(yīng)的VT接口上配置認(rèn)證。這時(shí)����,用戶只在LAC側(cè)接受一次認(rèn)證。
另外����,不論對(duì)于LAC或LNS,如果其配置的用戶認(rèn)證方式為“不認(rèn)證”�,則不論VT接口中使用何種認(rèn)證方式,都不對(duì)用戶進(jìn)行認(rèn)證����。
以下對(duì)于認(rèn)證方式的描述都是基于配置的用戶認(rèn)證方式不為“不認(rèn)證”的情況��。
LAC端認(rèn)證方式
LAC端可對(duì)用戶進(jìn)行PAP或CHAP認(rèn)證��。在命令行配置中����,使用VT接口下配置的PPP認(rèn)證方式。
LNS端認(rèn)證方式
LNS對(duì)用戶的認(rèn)證方式除由PPP認(rèn)證方式?jīng)Q定外���,還取決于配置的L2TP認(rèn)證方式���。L2TP認(rèn)證方式有三種:代理認(rèn)證�����、強(qiáng)制CHAP認(rèn)證和LCP重協(xié)商�����。其中��,LCP重協(xié)商的優(yōu)先級(jí)最高�,代理認(rèn)證優(yōu)先級(jí)最低��。
LCP重協(xié)商
如果需要在LNS側(cè)進(jìn)行比LAC側(cè)更嚴(yán)格的認(rèn)證�,或者LNS側(cè)需要直接從用戶獲取某些信息(當(dāng)LNS與LAC是不同廠商的設(shè)備時(shí)可能發(fā)生這種情況),則可以配置LNS與用戶間進(jìn)行LCP重協(xié)商���。LCP重協(xié)商使用相應(yīng)VT接口配置的認(rèn)證方式���。此時(shí)將忽略LAC側(cè)的代理認(rèn)證信息。
強(qiáng)制CHAP認(rèn)證
如果只配置強(qiáng)制CHAP認(rèn)證����,則LNS對(duì)用戶進(jìn)行CHAP認(rèn)證�,如果認(rèn)證不通過���,會(huì)話就不能建立成功�����。
代理認(rèn)證
代理認(rèn)證就是LAC將它從用戶得到的所有認(rèn)證信息及LAC配置的認(rèn)證方式傳給LNS����,LNS會(huì)利用這些信息和LAC端傳來的認(rèn)證方式對(duì)用戶進(jìn)行認(rèn)證�。
NAS-Initiated VPN中,在PPP會(huì)話開始時(shí)�����,用戶先和LAC進(jìn)行PPP協(xié)商�。若協(xié)商通過����,則由LAC初始化L2TP隧道連接,并將用戶信息�、認(rèn)證信息等傳遞給LNS,由LNS根據(jù)收到的代理認(rèn)證信息判斷用戶是否合法�。
代理認(rèn)證與VT接口的PPP認(rèn)證方式的關(guān)系:
LNS的PPP認(rèn)證方式不能比LAC復(fù)雜����。例如�,如果LAC端配置的認(rèn)證方式為PAP,而LNS配置的PPP認(rèn)證方式為CHAP�,則由于LNS要求的CHAP認(rèn)證級(jí)別高于LAC能夠提供的PAP認(rèn)證,認(rèn)證將無法通過�,會(huì)話也就不能正確建立。
其他情況下���,如果LNS與LAC的認(rèn)證方式不一致���,LNS將采用LAC發(fā)送過來的認(rèn)證方式進(jìn)行協(xié)商,忽略VT接口配置的認(rèn)證方式�����。
三種組網(wǎng)模式的對(duì)比
三種組網(wǎng)對(duì)比:
Client-Initiated VPN:其優(yōu)點(diǎn)在于接入用戶不受地域限制�����。此場(chǎng)景適用于員工使用PC�����、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器,實(shí)現(xiàn)移動(dòng)辦公����。
NAS-Initiated VPN:接入用戶(PC)通過PPPoE撥入LAC,由LAC通過Internet向LNS發(fā)起建立隧道連接請(qǐng)求����。接入用戶地址由LNS分配,對(duì)接入用戶的認(rèn)證可由LAC側(cè)代理完成���,也可兩側(cè)都對(duì)接入用戶做認(rèn)證���。當(dāng)所有L2TP用戶都下線時(shí),隧道自動(dòng)拆除以節(jié)省資源����,直至再有用戶接入時(shí),重新建立隧道����。此組網(wǎng)適用于分支機(jī)構(gòu)用戶向總部發(fā)起連接��,且一般用于分支機(jī)構(gòu)的用戶不經(jīng)常訪問企業(yè)總部的情況。
LAC-Auto:分支機(jī)構(gòu)員工感知不到隧道存在���,不需要使用用戶接入�。LAC為分支機(jī)構(gòu)的多個(gè)用戶提供L2TP服務(wù)�,免去了每個(gè)用戶使用L2TP都需要先拔號(hào)的麻煩
這種組網(wǎng)下,LNS只對(duì)LAC進(jìn)行認(rèn)證���。其缺點(diǎn)為:分支機(jī)構(gòu)用戶只要能夠連接LAC即可使用L2TP隧道接入總部�����,而不需被認(rèn)證��。存在一定的安全隱患�����。此時(shí)用戶接入總部以通過設(shè)備的用戶認(rèn)證功能對(duì)接入總部的用戶進(jìn)行認(rèn)證�����,從而提高安全性
L2TP和PPTP區(qū)別:
L2TP:公有協(xié)議����、UDP1701、支持隧道驗(yàn)證�,支持多個(gè)協(xié)議,多個(gè)隧道�,壓縮字節(jié),支持三種模式
PPTP:私有協(xié)議�、TCP1723、不支持隧道驗(yàn)證���,只支持IP�、只支持點(diǎn)到點(diǎn)
PPTP:
點(diǎn)對(duì)點(diǎn)隧道協(xié)議(PPTP)是由包括Microsoft和3com等公司組成的PPTP論壇開發(fā)的����,一種點(diǎn)對(duì)點(diǎn)隧道協(xié)議,基于拔號(hào)使用的PPP協(xié)議使用PAP或CHAP之類的加密算法�,或者使用Microsoft的點(diǎn)對(duì)點(diǎn)加密算法MPPE。
L2TP:
第二層隧道協(xié)議(L2TP)是IETF基于L2F(Cisco的2層轉(zhuǎn)發(fā)協(xié)議)開發(fā)的PPTP后續(xù)版本�,是一種工業(yè)標(biāo)準(zhǔn)Internet隧道協(xié)議。
兩者的主要區(qū)別主要有以下幾點(diǎn):
PPTP只能在兩端間建立單一隧道����,L2TP支持在兩端點(diǎn)間使用多隧道,這樣可以針對(duì)不同的用戶創(chuàng)建不同的服務(wù)質(zhì)量
L2TP可以提供隧道驗(yàn)證機(jī)制�����,而PPTP不能提供這樣的機(jī)制,但當(dāng)L2TP或PPTP與IPSec共同使用時(shí)����,可以由IPSec提供隧道驗(yàn)證���,不需要在第二層協(xié)議上提供隧道驗(yàn)證機(jī)制
PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)��,而L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對(duì)點(diǎn)連接���,L2TP可以在IP(使用UDP),F(xiàn)R�,ATM,x.25網(wǎng)絡(luò)上使用
L2TP可以提供包頭壓縮�。當(dāng)壓縮包頭時(shí),系統(tǒng)開銷(voerhead)占用4個(gè)字節(jié)�����,而PPTP協(xié)議下要占用6個(gè)字節(jié)
L2TP什么情況下需要強(qiáng)制認(rèn)證�?
在NAS模式下。且LNS不信任LAC�����,配置了強(qiáng)制認(rèn)證的情況下
L2TP,L2TP VPN,L2TP基本原理,L2TP,L2TP VPN,L2TP基本原理
