防火墙——L2TP基础知识
L2TP是一种用于承载PPP报文的二层隧道技术,为是应用层协议,端口号为UDP1701。L2TP属于V P D N(虚拟专有拨号网络)中的一种技术,主要应用在远程办公场景种为出差员工远程访问企业内网资源提供接入服务。
目录
Client-Initiated(移动办公用户访问企业内网)
NAS-Initiated(拨号用户访问LAC触发L2TP)
基本概念
简介
L2TP是一种用于承载PPP报文的二层隧道技术,为是应用层协议,端口号为UDP1701。
L2TP属于V P D N(虚拟专有拨号网络)中的一种技术,
主要应用在远程办公场景种为出差员工远程访问企业内网资源提供接入服务
VPDN技术
目前主要有三种V P D N技术
PPTP —— 微软开发的协议
L2F —— 思科开发的协议
L2TP —— IETF起草制定的协议(结合了PPTP和L2F的优点)
L2TP涉及到的两种角色
LAC:L2TP接入集中器。具有PPP端系统和L2TP协议处理能力的设备,为PPP类型用户提供接入服务。(可以是网络设备,也可以是软件客户端)
LNS:L2TP网络服务器。既是PPP端系统,又是L2TP协议的服务器端。
用户通过拨号到LAC上,LAC通过L2TP隧道将PPP报文传输到LNS,LNS与用户建立PPP连接
L2TP报文
L2TP消息类型
L2TP主要由控制消息与数据消息两种类型
控制消息
主要用于隧道和会话连接的建立、维护以及传输控制。用来承载控制报文和会话报文
控制报文
建立、拆除、维护隧道连接
SCCRQ 由LAC或LNS向对端发送控制连接请求
用来初始化LAC和LNS之间的Tunnel,开始Tunnel的建立过程SCCRP 接收对端的连接请求,Tunnel的建立过程可以继续 SCCCN 对SCCRP的回应,完成Tunnel的建立 StopCCN 由LAC或LNS向对端发送,通知对端隧道将要停止 Hello 隧道保活控制消息 会话报文
建立、拆除会话连接
ICRQ 当LAC检测由用户拨入的时候,向LNS发送ICRQ
请求在已建立的Tunnel中建立SessionICRP 回应ICRQ,标识ICRQ请求成功
LNS会在ICRP中表示L2TP Session必要的参数ICCN 回应ICRP,表示L2TP会话建立成功 CDN 由LAC或LNS向对端发送,通知对端会话将要终止
数据消息
用于承载用户的ppp链路数据报文,并在隧道上进行传输
L2TP应用场景
L2TP有三大应用场景
L2TP分配地址有两种方式---指定IP地址分配、创建地址池随机分配
以下三种应用场景建立隧道、会话的过程都同下图
Client-Initiated(移动办公用户访问企业内网)
由用户(支持L2TP协议的PC或者移动终端)直接向LNS发起连接
用户的验证和计费由LNS侧完成
用户的私网地址从LNS侧获取
隧道协商
当有多个拨号用户时,建立多个隧道,多个会话
报文封装
NAS-Initiated(拨号用户访问LAC触发L2TP)
通过LAC建立L2TP又可以细分为两种方式
1、 LAC在用户侧接入用户的呼叫请求,根据接入用户的名称或者域,发起到LNS的L2TP连接
此时LAC与LNS建立L2TP不需要配置虚拟接口2、LAC自身自动拨号,需要创建虚拟接口,发起到LNS的L2TP连接
即LAC作为PPP拨号端用户通过PPPoE拨号拨入LAC(NAS),由LAC发起L2TP隧道连接
用户的验证与计费可以仅由LAC完成,也可以由LAC与LNS侧一起完成(二次认证)
用户的私网地址从LNS侧获取
LNS侧三种认证方式
代理认证——仅使用LAC进行用户认证(通过PPPoE认证)
强制CHAP认证——LNS进行二次认证,用户重新使用CHAP方式与LNS进行认证(通过PPP连接的CHAP认证)
LCP重协商——LNS进行二次认证,LNS不信任LAC的认证结果,用户重新与LNS进行LCP协商(通过PPP连接的LCP协商认证)
隧道协商过程
当有多个拨号用户时会建立多个会话,只建立一个隧道(一个拨号一个会话,所有会话共用一个通道)
报文解封装
Call-LNS(通过LAC自主拨号实现企业内网互联)
Call-LNS场景下的L2TP实验配置_多谢思考的博客-CSDN博客
https://blog.csdn.net/m0_49864110/article/details/125027260
LAC自主拨号向LNS建立L2TP隧道
LAC从LNS获取私网地址,用户直接通过L2TP隧道进行传输
LAC身份的验证和计费由LNS侧完成
隧道协商
报文封装
腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。
更多推荐
2
0- 0
已为社区贡献11条内容
所有评论(0)