1、L2TP简介* }: v% N: b2 Q% U6 z
二层地道协定L2TP(Layer 2Tunneling Protocol)是虚拟私有拨号网VPDN(Virtual Private Dial-up Network)地道协定的一种,扩大了点到点协定PPP(Point-to-PointProtocol)的利用,是长途拨号用户接进企业总部收集的一种主要VPN技巧。
/ q3 v1 c* @ f; ^5 q L2TP经由过程拨号收集,基于PPP的协商,树立企业分支用户到企业总部的地道,使长途用户可以接进企业总部。PPPoE(PPP over Ethernet)技巧更是扩大了L2TP的利用范畴,经由过程以太收集衔接Internet,树立长途移动办公职员到企业总部的L2TP地道。( ], B: j# o! U) N
点击查看原图
% _! G9 D1 v. g1 h, S- y 图1 L2TP典范组网图 + ^ S$ ?) H1 y& A+ j$ f
如上图1所示,展示应用L2TP技巧组建VPDN收集的典范场景。
' C! g% F- ]; U, r; P5 V 跟着企业的成长和营业的增添,在分歧地区成立的分支机构和出差的员工,须要和总部树立快速、平安和靠得住的收集衔接。" Z+ v' e) Y; ? S/ ^& d
传统的拨号收集须要租用因特网办事供给商ISP(Internet Service Provider)的德律风线路,申请公共的号码或IP地址,不仅发生高额的用度,并且无法为长途用户尤其是出差员工供给方便的接进办事。为了更好的应用拨号收集,便利长途用户的接进,发生了基于拨号收集的VPN,即VPDN。经由过程VPDN技巧,长途用户和企业总部网关之间树立了一条点到点虚拟链路。
8 G; O; E9 r' `# s% k9 m3 w) P9 P VPDN有以下3种常用的地道技巧:/ \5 D- m/ V! ~' y
点到点地道协定PPTP(Point-to-PointTunneling Protocol);二层转发L2F(Layer 2 Forwarding);二层地道协定L2TP(Layer 2 Tunneling Protocol)。
/ w+ a; v2 c$ Z7 {1 W& J* o0 B; M L2TP聚集了PPTP和L2F两种协定的长处,今朝已被普遍接收,重要利用在单个或少数长途终端经由过程公共收集接进企业内联网的须要。/ J4 W9 E5 Z& E5 _! G b) n
L2TP对PPP报文进行封装,在公共收集上树立虚拟链路传输企业的私稀有据,节俭了租用物理专线的高额用度。同时将企业从庞杂和专业的收集保护中解放出来,只须要保护私有收集和长途接进的用户,下降了保护本钱。6 @+ f% K4 X: C4 D
L2TP还具有如下特色,可认为企业供给便利、平安和靠得住的长途用户接进办事。
9 i6 ^, `; s% O6 [3 M! o 1、 机动的身份验证机制以及高度的平安性/ V& i, i1 Y, l* B- L
L2TP应用PPP供给的平安特征(如PAP、CHAP),对接进用户进行身份认证;L2TP界说了把持新闻的加密传输方法,支撑L2TP地道的认证;L2TP对传输的数据不加密,但可以和因特网协定平安协定IPSec(Internet Protocol Security)联合利用,为数据传输供给高度的平安包管。
" @' \0 ]3 _ v- j 2、多协定传输( a' o: k8 O: G8 H: f; T
L2TP传输PPP数据包,PPP可以传输多种协定报文,所以L2TP可以在IP收集,帧中继永远虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs收集上应用。
3 h! ?3 `6 b, M& Y4 H* a+ o 3、支撑RADIUS(Remote Authentication Dial-in User Service)办事器的验证
" x, Q1 y8 y6 \ L2TP对接进用户不仅支撑当地认证,还支撑将拨号接进的用户名和暗码发往RADIUS办事器进行认证,为企业治理接进用户供给了更多的选择。9 j* }) Z* e5 O2 H* F
4、 支撑私网地址分派; s" V0 T& l! V. \
利用L2TP的企业总部网关,可认为长途用户动态分派私网地址。* B% H! D7 k! Z9 ^5 h
5、 靠得住性# \# P" h/ R! t0 l0 l+ f2 c! a
L2TP协定支撑备份LNS,当一个主LNS不成达之后,LAC可以与备份LNS树立衔接,加强了VPN办事的靠得住性。" x2 f2 U" B. u
# K& S: ]2 I$ _: Y8 Q" s
2、L2TP基础概念' _# I0 z( t& _6 b
点击查看原图
/ Q; ?9 ]; }) H6 `) [% P3 H& A8 Z 图1 L2TP组网图
3 B/ {+ e$ I' m# }7 g) {$ P 如图1所示为L2TP的典范组网,以下为L2TP的相干的概念。
1 `( @# Z7 ]: W& ~ 1、VPDN2 [1 h7 }4 n. _' M8 O- E; ?
VPDN是承载PPP报文的VPN,可认为企业、小型ISP、移动办公职员供给接进办事。- t9 f) x5 B) m" N0 s% m
PPP终端接进拨号收集,拨号到NAS。NAS收到PPP报文落后行L2TP封装,最外层的IP报头颠末公网路由转发后达到LNS。LNS收到报文后解封装,还原PPP报文,完成了PPP报文在公共收集上的透明传输,从而在PPP终端和LNS之间树立了VPDN衔接。
. k- q9 |9 L6 L3 ]3 X# r 跟着以太收集的普及,PPP终端不再受限于传统的拨号收集,应用PPPoE技巧,即可经由过程以太收集接进LAC。/ n; B, Q3 n: D# ?
2、PPP终端$ N; C% o# s$ N9 d$ X( H( n' m% f
L2TP利用中,PPP终端指倡议拨号,将数据封装为PPP类型的装备,如长途用户PC、企业分支网关等。% A/ @; H$ M$ D) e* O# f
3、NAS
- V1 m3 p% c2 p) I+ O7 P NAS收集接进办事器(Network Access Server)重要由ISP保护,衔接拨号收集,是间隔PPP终端地舆地位比来的接进点。NAS用于传统的拨号收集中,为长途拨号用户供给VPDN办事,和企业总部树立地道衔接。
6 Q& G: R" m8 l7 \4 b; s 4、LAC. n6 j) Z3 V; ?6 a& C
L2TP拜访集中器LAC(L2TP Access Concentrator)是交流收集上具有PPP和L2TP处置才能的装备。LAC依据PPP报文中所携带的用户名或者域名信息,和LNS树立L2TP地道衔接,将PPP协商延展到LNS。
. m1 h8 {7 O/ ~7 g( Y/ Y' ~ 在分歧的组网情况中,LAC可所以分歧的装备:
$ g! L' S- {0 o/ Z" U
点击查看原图
1 b/ {2 ~2 q8 ?( r( J+ K 在传统的拨号收集中,ISP在NAS上安排LAC。
+ ` ?, A6 x! r- V7 @" F* ]
点击查看原图
4 z4 g3 L8 I' Z' ~; p5 ?6 y4 T0 H( m 在企业分支的以太收集中,为PPP终端配备网关装备,网关作为PPPoE办事器,同时安排为LAC。
4 j/ n* l0 V! P9 ~
点击查看原图
* ]5 T# C/ O0 F/ |( x在出差职员应用PC终端接进Internet,在PC上安装L2TP拨号软件,则PC终端为LAC。
# ^* Y( V9 w" a$ B, pLAC可以倡议树立多条L2TP地道使数据流之间彼此隔离,即LAC可以承载多条VPDN衔接。6 d+ m8 q; G' W# f: H8 D) x, X, q8 }
LAC在LNS和PPP终端之间传递数据。即LAC从PPP终端收到报文落后行L2TP封装发送至LNS,从LNS收到报文落后行解封装并发送至PPP终端。
, t% ?( H% m. g9 V; b. h 5、LNS* e5 z8 k* y* F1 g2 J
L2TP收集办事器LNS(L2TP Network Server)是终止PPP会话的一端,经由过程LNS的认证,PPP会话协商胜利,长途用户可以拜访企业总部的资本。
D/ o; p% I* v2 J7 ]4 {2 J 对L2TP协商,LNS是LAC的对端装备,即LAC和LNS树立了L2TP地道;对PPP,LNS是PPP会话的逻辑终止端点,即PPP终端和LNS树立了一条点到点的虚拟链路。, Z* l3 ^8 g- M w, @2 b8 @0 K
LNS位于企业总部私网与公网鸿沟,凡是是企业总部的网关装备。需要时,LNS还兼有收集地址转换(NAT)功效,对企业总部收集内的私有IP地址与公共IP地址进行转换。" ?, |1 r X8 n0 n+ D
6、地道和会话! y, H* |2 S$ T+ V5 ^1 P9 k
在LAC和LNS的L2TP交互进程中存在两种类型的衔接。% Q: K' b# a9 e! _" Q- M$ g( ^3 L
6.1、地道(Tunnel)衔接4 s, W0 p8 v- M' E4 k( l, }
L2TP地道在LAC和LNS之间树立,一对LAC和LNS可以树立多个L2TP地道,一个L2TP地道可以包括多个L2TP会话。0 _/ U! U5 j2 y3 U0 H, x
6.2、会话(Session)衔接
6 \! l$ b( o c j2 U L2TP会话产生在地道衔接胜利之后,L2TP会话表现承载在地道衔接中的一个PPP会话进程。" u' r' N3 B8 `, V3 l0 x+ G
/ t {# B) m/ p4 X! H' a% s( r5 f, C
3、L2TP工作道理2 h, B. C* i# ]
1、L2TP协定架构
" N7 Y" G, S6 V/ T' ^ L2TP协定包括两种类型的新闻,把持新闻和数据新闻,新闻的传输在LAC和LNS之间进行。L2TP协定经由过程这两种新闻,扩大了PPP的利用。
6 `4 u3 l5 g- ~7 v6 v" ~/ H% o- A 1.1、把持新闻4 f5 B8 b6 c7 B m3 z, Z4 z0 G
用于L2TP地道和会话衔接的树立、保护和拆除。在把持新闻的传输进程中,应用新闻丧失重传和按时检测地道连通性等机制来包管把持新闻传输的靠得住性,支撑对把持新闻的流量把持和拥塞把持。
/ Q8 c7 }9 w* Q* B+ d. p0 ^- w3 R 1.2、数据新闻
: c5 f8 @8 o7 k9 g 用于封装PPP数据帧并在地道上传输。数据新闻是不成靠的传输,不重传丧失的数据报文,不支撑对数据新闻的流量把持和拥塞把持。9 ]0 i' q: C7 N/ O- u- ^
点击查看原图
; |; g4 X5 {3 H5 ?
图1 L2TP协定架构
; [2 p# |" J& ~! I 上图1阐明了PPP报文、把持新闻和数据新闻在L2TP协定架构中的地位和关系。
/ F- s- ~$ S/ e# U3 @8 p* M 把持新闻承载在L2TP把持通道上,把持通道实现了把持新闻的靠得住传输,将把持新闻封装在L2TP报头内,再颠末IP收集传输。( W; O4 W% S9 `
数据新闻携带PPP帧承载在不成靠的数据通道上,对PPP帧进行L2TP封装,再颠末IP收集传输。
0 N4 @/ s; j7 m# W L2TP协定应用UDP端口1701,这个端标语仅用于初始地道的树立。L2TP地道倡议方任选一个余暇端口向接受方的1701端口发送报文;接受方收到报文后,也任选一个余暇端口,给倡议方的选定的端口回送报文。至此,两边的端口选定,并在地道连通的时光内不再转变。3 H8 r( h" x9 b
2、L2TP报文构造
4 h7 d+ I4 \" m) `' U9 ?
点击查看原图
4 R# V W3 m( a8 i" |# t; q
图2 L2TP报文格局
: g0 y9 l! M% Q' Q ~ 长途用户拨号发生的PPP报文经L2TP封装后的报文格局如上图2所示。( U# S/ z7 b$ Z A
L2TP报文进行了多次封装,比原始报文多出38个字节(假如须要携带序列号信息,则比原始报文多出42个字节),封装后报文的长度可能会超越接口的MTU值,而L2TP协定自己不支撑报文分片功效,这时须要装备支撑对IP报文的分片功效。
, D: Q4 M, D# E/ z2 P 当L2TP报文长度超越发送接口的MTU值时,在发送接口进行报文分片处置,接受端对收到分片报文进行还原,重组为L2TP报文。
! s: M r8 I% Q8 M/ N2 D 3、L2TP报文封装& h Y) D: u: b8 O V
L2TP是PPP的扩大,使PPP报文可以经由过程地道方法在公网收集中传输。
/ j! V" i! V2 d9 V$ n- C 假如组网中只利用PPP,则PPP终端倡议的拨号,最远只能达到拨号收集的边沿节点NAS,此时NAS可以称为PPP会话的终止节点。而利用L2TP,则可以使PPP报文在公网透传,达到企业总部的LNS,此时LNS相当于PPP会话的终止节点。
5 L( c J6 ~4 \, C8 m) I- g
点击查看原图
' ]4 R" {+ @ C( Q, p i. j
图3 L2TP报文封装图 0 ]! @, ]* ~# J& k5 r3 t& f( z9 d
如上图3所示,企业分支发送报文到企业总部,有以下进程:4 _3 g, r* n& t- c! Z
3.1、PPP终端:IP数据报文进行PPP(链路层)封装,发送报文。
" t' V9 _9 `8 N 3.2、LAC:收到PPP报文后,依据报文携带的用户名或者域名判定接进用户是否为VPDN用户。
! A* x" X: ]/ y) N3 s$ R) S 是VPDN用户:对PPP报文进行L2TP封装,依据LNS的公网地址,再对L2TP报文进行UDP和IP封装。封装后的报文最外层为公网IP地址,颠末公网路由转发达到LNS。非VPDN用户:对PPP报文进行PPP解封装,此时LAC为PPP会话的终止节点。, H1 s6 P7 U+ l& Z& z
3.3、LNS:收到L2TP报文后,依次解除外层的IP封装、L2TP封装、PPP封装,获得PPP承载的信息,即PPP终端发送的IP数据报文。依据报文中的目标地址,查找路由表使报文到达企业总部的目标主机。3 ?( I7 I% s5 i0 i: e
企业总部回应分支用户时,回应报文达到LNS后查找路由表,依据转发接口进行L2TP处置,报文封装的进程和分支到总部一致。
5 y, I H/ S% G" c6 K+ n 4、L2TP报文传输# [) z& }. ` @. G: ?4 D6 k9 ~5 k
L2TP传输PPP报文前,须要树立L2TP地道和会话的衔接。对于初次倡议的L2TP衔接,有如下贱程:
( u) G% T I8 ]# |* | u9 W 4.1、树立L2TP地道衔接# x2 U0 }6 V. X7 m/ {+ n+ \* ^" M" V
LAC收到长途用户的PPP协商恳求时,LAC向LNS倡议L2TP地道恳求。LAC和LNS之间经由过程L2TP的把持新闻,协商地道ID、地道认证等内容,协商胜利后则树立起一条L2TP地道,由地道ID进行标识。1 s) }: ~( j* b$ Q3 V# _
4.2、树立L2TP会话衔接* i* ~2 D3 P; c4 i! J
假如L2TP地道已存在,则在LAC和LNS之间经由过程L2TP的把持新闻,协商会话ID等内容,不然先树立L2TP地道衔接。会话中携带了LAC的LCP协商信息和用户认证信息,LNS对收到的信息认证经由过程后,则通知LAC会话树立胜利。L2TP会话衔接由会话ID进行标识。
; }0 I0 J2 x4 m1 n3 d$ L: H 4.3、传输PPP报文
' e* @1 A0 Y4 \: T `% I3 A5 y6 m L2TP会话树立胜利后,PPP终端将数据报文发送至LAC,LAC依据L2TP地道和会话ID等信息,进行L2TP报文封装,并发送到LNS,LNS进行L2TP解封装处置,依据路由转颁发发送至目标主机,完成报文的传输。 |
|
所有IT类厂商认证考试题库下载
【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器
