3,314 Views
1.6.3 L2TP VPN技术
二层隧道协议(Layer Two Tunneling Protocol,简称L2TP),L2TP是为了分支机构或者是出差用户可以通过Internet网络和总部服务器之间进行透明传输PPP报文而设计的隧道协议。
L2TP VPN主要由接入集中器以及网络服务器组成,早期网络应用中,是由运营商来建立LAC,集中为企业用户提供L2TP VPN服务中,同时配套提供认证以及计费等功能。随着互联网环境的变化,依靠运营商建立LAC已经被淘汰,企业可以绕开运营商自建L2TP VPN网络,极大的降低了成本。
- L2TP接入集中器(L2TP Access Concentrator,简称LAC):LAC是L2TP VPN接入的汇聚点,可以为PPP用户提供接入服务;
- L2TP网络服务器(L2TP Network Server,简称LNS):LNS是部署在企业总部出口的网络服务器,既可以是PPP端系统,也可能是L2TP协议服务器端。
L2TP VPN属于二层VPN协议,其封装和解封闭过程如下:
- 封装过程:客户端PPP报文到达LAC时,封装L2TP头(包含用于标识该消息的隧道ID以及会话ID)、UDP头(用于标识上层应用,LNS收到该报文时可以识别是L2TP报文)、公网IP头(用于该报文在Internet网络转发);
- 解封装过程:当LNS收到L2TP报文后,首先检查公网IP头和UDP头信息,再检查L2TP头信息,如果与已建立成功的L2TP隧道ID以及会话ID相同则解封装,如果不相同则丢弃,继续检查PPP头信息是否正确,对PPP头进行解封装,最后得到原始的报文,将报文送入上层进行处理。
L2TP VPN比较常见用的方式是基于客户端直接拨号的L2TP VPN以及基于LAC拨号的L2TP VPN。
- 客户端直接拨号L2TP VPN(Client-Initialized VPN):客户端接入Internet网络,通过Windows系统自带的L2TP VPN拨号软件或者使用华为VPN拨号软件拨号到LNS服务器,LNS为其分配内部网络地址,允许客户接入内部网络,此方案适用于出差人员访问总部网络;
- 基于LAC拨号L2TP VPN(NAS- Initialized VPN): 基于LAC拨号比客户端直接拨号L2TP VPN略为复杂一些,客户通过L2TP VPN拨号软件向LAC设备发起PPP或PPPoE连接,LAC来判断客户是否是L2TP用户,如果确定是,则判断客户具体与哪个LNS发起隧道连接,最后由LNS为其分配内部网络地址,允许客户接入内部网络,此方案适用于分支机构连接至总部网络。