- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
25-L2TP
本章节下载 (726.25 KB)
本模块的支持情况与具体的设备型号有关,请以设备的实际情况为准。
VPDN(Virtual Private Dial-up Network,虚拟私有拨号网)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。
VPDN采用专用的网络通信协议,在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN隧道协议主要包括以下三种:
l PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)
l L2F(Layer 2 Forwarding,二层转发)
l L2TP(Layer 2 Tunneling Protocol,二层隧道协议)
目前使用最广泛的是L2TP。
使用L2TP协议构建的VPDN应用的典型组网如图1-1所示。
图1-1 应用L2TP构建的VPDN服务
在L2TP构建的VPDN中,网络组件包括以下三个部分:
l 远端系统
远端系统是要接入VPDN网络的远地用户和远地分支机构,通常是一个拨号用户的主机或私有网络的一台路由设备。
l LAC(L2TP Access Concentrator,L2TP访问集中器)
LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC位于LNS和远端系统之间,用于在LNS和远端系统之间传递信息包。它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端系统。
LAC与远端系统之间采用本地连接或PPP链路,VPDN应用中通常为PPP链路。
l LNS(L2TP Network Server,L2TP网络服务器)
LNS既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。
LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立L2TP隧道,将远端系统的PPP连接的另一端由原来的LAC在逻辑上延伸到了企业网内部端的LNS。
PPP定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,当用户与NAS之间运行PPP协议时,二层链路端点与PPP会话点驻留在相同硬件设备(NAS)上。
L2TP(RFC 2661)是一种对PPP链路层数据包进行隧道传输的技术,允许二层链路端点(LAC)和PPP会话点(LNS)驻留在通过分组交换网络连接的不同设备上,从而扩展了PPP模型,使得PPP会话可以跨越帧中继或Internet等网络。
L2TP结合了L2F和PPTP的各自优点,成为IETF有关二层隧道协议的工业标准。
图1-2描述了PPP帧和控制通道以及数据通道之间的关系。PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
图1-2 L2TP协议结构
图1-3描述了LAC与LNS之间的L2TP数据报文的封装结构。通常L2TP数据以UDP报文的形式发送。L2TP注册了UDP 1701端口,但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
图1-3 L2TP报文封装结构图
在一个LNS和LAC对之间存在着两种类型的连接。
l 隧道(Tunnel)连接:它对应了一个LNS和LAC对。
l 会话(Session)连接:它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制消息和PPP数据报文都在隧道上传输。L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,隧道断开。
L2TP中存在两种消息:控制消息和数据消息。
l 控制消息用于隧道和会话连接的建立、维护以及传输控制。它的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制。
l 数据消息用于封装PPP帧,并在隧道上传输。它的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据消息共享相同的报文头。L2TP报文头中包含隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上。报文头中的隧道标识符与会话标识符由对端分配。
L2TP隧道的建立包括以下两种典型模式。
l NAS-Intiated
如图1-4所示,由LAC端(指NAS)发起L2TP隧道连接。远程系统的拨号用户通过PPPoE/ISDN拨入LAC,由LAC通过Internet向LNS发起建立隧道连接请求。拨号用户的私网地址由LNS分配;对远程拨号用户的验证与计费既可由LAC侧的代理完成,也可在LNS侧完成。
l Client-Initiated
如图1-5所示,直接由LAC客户(指本地支持L2TP协议的用户)发起L2TP隧道连接。LAC客户获得Internet访问权限后,可直接向LNS发起隧道连接请求,无需经过一个单独的LAC设备建立隧道。LAC客户的私网地址由LNS分配。
在Client-Initiated模式下,LAC客户需要具有公网地址,能够直接通过Internet与LNS通信。
图1-5 Client-Initiated L2TP隧道模式
L2TP应用的典型组网如图1-6所示。
图1-6 L2TP应用的典型组网
下面以NAS-Initiated模式的L2TP隧道为例,介绍L2TP的呼叫建立流程。
图1-7 L2TP隧道的呼叫建立流程
如图1-7所示,L2TP隧道的呼叫建立流程过程为:
(1) 远端系统Host发起呼叫连接请求。
(2) Host和LAC端(Device A)进行PPP LCP协商。
(3) LAC对Host提供的用户信息进行PAP或CHAP认证。
(4) LAC将认证信息(用户名、密码)发送给RADIUS服务器进行认证。
(5) RADIUS服务器认证该用户,如果认证通过,LAC准备发起Tunnel连接请求。
(6) LAC端向指定LNS发起Tunnel连接请求。
(7) 在需要对隧道进行认证的情况下,LAC端向指定LNS发送CHAP challenge信息,LNS回送该challenge响应消息CHAP response,并发送LNS侧的CHAP challenge,LAC返回该challenge的响应消息CHAP response。
(8) 隧道验证通过。
(9) LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS。
(10) LNS将接入请求信息发送给RADIUS服务器进行认证。
(11) RADIUS服务器认证该请求信息,如果认证通过则返回响应信息。
(12) 若用户在LNS侧配置强制本端CHAP认证,则LNS对用户进行认证,发送CHAP challenge,用户侧回应CHAP response。
(13) LNS再次将接入请求信息发送给RADIUS服务器进行认证。
(14) RADIUS服务器认证该请求信息,如果认证通过则返回响应信息。
(15) 验证通过,LNS端会给远端用户分配一个企业网内部IP地址,用户即可以访问企业内部资源。
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。L2TP可与IPSec结合起来实现数据安全,这使得通过L2TP所传输的数据更难被攻击。L2TP还可根据特定的网络安全要求在L2TP之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。
L2TP传输PPP数据包,在PPP数据包内可以封装多种协议。
LAC和LNS可以将用户名和密码发往RADIUS服务器进行验证申请,RADIUS服务器负责接收用户的验证请求,完成验证。
LNS可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管理,可支持私有地址应用(RFC 1918)。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费。
L2TP协议支持备份LNS,当主LNS不可达之后,LAC可以与备份LNS建立连接,增加了VPN服务的可靠性和容错性。
与L2TP相关的协议规范有:
l RFC1661:The Point-to-Point Protocol (PPP)
l RFC1918:Address Allocation for Private Internets
l RFC2661:Layer Two Tunneling Protocol "L2TP"
Web目前仅支持对LNS端的配置。
LNS端L2TP配置的推荐步骤如表1-1所示。
表1-1 LNS端的L2TP配置步骤
|
步骤 |
配置任务 |
说明 |
|
1 |
必选 缺省情况下,L2TP功能处于关闭状态 |
|
|
2 |
必选 新建L2TP用户组,并配置L2TP用户组中的相关参数 缺省情况下,不存在任何L2TP组 |
|
|
3 |
可选 查看L2TP隧道的信息 |
在导航栏中选择“VPN > L2TP > L2TP配置”,进入如图1-8所示的页面。页面上半部分可以进行L2TP功能启用状态的配置。
启用L2TP功能的详细配置如表1-2所示。
表1-2 启用L2TP功能的详细配置
|
配置项 |
说明 |
|
启用L2TP功能 |
设置是否在全局启用L2TP功能 |
可点击返回“表1-1 LNS端的L2TP配置步骤”。
在导航栏中选择“VPN > L2TP> L2TP配置”,进入如图1-8所示的页面。页面下半部分可以对L2TP用户组进行查看和配置。单击<新建>按钮,进入新建L2TP用户组的配置页面,如图1-9所示。
图1-9 新建L2TP用户组
新建L2TP用户组的详细配置如表1-3所示。
表1-3 新建L2TP用户组的详细配置
|
配置项 |
说明 |
|
|
L2TP用户组名称 |
设置L2TP用户组的名称 |
|
|
对端隧道名称 |
设置对端的隧道名称 |
|
|
本端隧道名称 |
设置本端的隧道名称 |
|
|
隧道验证 |
设置是否在该组中启用L2TP隧道验证功能,当选择启用隧道验证时需要设置隧道验证密码 隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致并且不为空的情况下,隧道才能建立;否则本端将自动将隧道连接断开。若隧道两端都配置了禁止隧道验证,隧道验证的密码一致与否将不起作用
l 为了保证隧道安全,建议用户最好不要禁用隧道验证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道验证 l 如果要修改隧道验证密码,请在隧道完全拆除后进行,否则修改的密码不生效 |
|
|
隧道验证密码 |
||
|
PPP认证配置 |
PPP认证方式 |
设置本端对PPP用户进行认证的认证方式 认证方法可以选择PAP或CHAP,选择空表示不进行认证 |
|
ISP域名 |
设置用户认证采用的ISP域的名称 单击<新建>按钮,可以进入如图1-10所示的新建ISP域的配置页面,详细配置如表1-4所示;选择一个ISP域,单击<修改>按钮,可以进入修改该ISP域的配置页面,详细配置参见表1-4;选择一个ISP域,单击<删除>按钮,可以将该ISP域删除 l 如果设置了ISP域,则使用指定域进行认证,地址分配必须使用该域下配置的地址池(详见“用户地址”参数) l 如果没有设置ISP域,则判断用户名中是否带有域名信息。如果用户名中带有域名信息,则以用户名中的域名为准(若该域名不存在,则认证被拒绝);如果用户名中不带域名,则使用系统缺省的域(默认为system) |
|
|
PPP地址配置 |
PPP Server地址/掩码 |
设置本端的IP地址和掩码 |
|
用户地址 |
设置给对端分配地址所用的地址池或直接给对端分配指定的IP地址 若在PPP认证配置中指定了ISP域名,则下拉框中为该ISP域下的地址池;单击<新建>按钮,可以进入如图1-11所示的新建地址池的配置页面,详细配置如表1-5所示;选择一个地址池,单击<修改>按钮,可以进入修改该地址池的配置页面,详细配置参见表1-5;选择一个地址池,单击<删除>按钮,可以将该地址池删除 |
|
|
强制分配地址 |
设置是否强制对端使用本端为其分配的IP地址,即不允许对端使用自行配置的IP地址 |
|
|
高级 |
Hello报文间隔 |
设置发送Hello报文的时间间隔 为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送3次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要在LAC和LNS之间重新建立隧道连接 在LNS和LAC侧,可以分别配置不同的Hello报文间隔 |
|
AVP数据隐藏 |
设置是否采用隐藏方式传输AVP(Attribute Value Pair,属性值对)数据 L2TP协议的一些参数是通过AVP数据来传输的,如果用户对这些数据的安全性要求高,可以将AVP数据的传输方式配置成为隐藏传输,即对AVP数据进行加密 该配置项仅在LAC端配置有效 |
|
|
流量控制 |
设置是否启用L2TP隧道流量控制功能 L2TP隧道的流量控制功能应用在数据报文的接收与发送过程中。启用流量控制功能后,会对接收到的乱序报文进行缓存和调整 |
|
|
强制本端CHAP认证 |
设置LNS侧的用户验证 当LAC对用户进行认证后,为了增强安全性,LNS可以再次对用户进行认证,只有两次认证全部成功后,L2TP隧道才能建立。在L2TP组网中,LNS侧的用户认证方式有三种:强制本端CHAP认证、强制LCP重协商和代理认证 l 强制本端CHAP认证:启用此功能后,对于由NAS初始化(NAS-Initiated)隧道连接的VPN用户端来说,会经过两次认证。一次是用户端在接入服务器端的认证,另一次是用户端在LNS端的CHAP认证 l 强制LCP重协商:对由NAS初始化隧道连接的PPP用户端,在PPP会话开始时,用户先和NAS进行PPP协商。若协商通过,则由NAS初始化L2TP隧道连接,并将用户信息传递给LNS,由LNS根据收到的代理验证信息,判断用户是否合法。但在某些特定的情况下(如在LNS侧也要进行认证与计费),需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理认证信息 l 代理认证:如果强制本端CHAP认证和强制LCP重协商功能都不启用,则LNS对用户进行的是代理认证。在这种情况下,LAC将它从用户得到的所有认证信息及LAC端本身配置的认证方式发送给LNS
l 三种认证方式中,强制LCP重协商的优先级最高,如果在LNS上同时启用强制LCP重协商和强制本端CHAP认证,L2TP将使用强制LCP重协商,并采用L2TP用户组中配置的PPP认证方式 l 一些PPP用户端可能不支持进行第二次认证,这时,本端的CHAP认证会失败 l 启用强制LCP重协商时,如果L2TP用户组中配置的PPP认证方式为不进行认证,则LNS将不对接入用户进行二次认证(这时用户只在LAC侧接受一次认证),直接将全局地址池的地址分配给PPP用户端 l LNS侧使用代理验证,且LAC发送给LNS的用户验证信息合法时,如果L2TP用户组配置的验证方式为PAP,则代理验证成功,允许建立会话;如果L2TP用户组配置的验证方式为CHAP,而LAC端配置的验证方式为PAP,则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证,代理验证失败,不允许建立会话 |
|
|
强制LCP重协商 |
||
表1-4 新建ISP域的详细配置
|
配置项 |
说明 |
||
|
ISP域名称 |
设置ISP域的名称 |
||
|
PPP认证方案 |
主用方案 |
服务器类型 |
设置PPP用户的认证服务器类型 l HWTACACS:表示采用HWTACACS认证 l Local:表示采用本地认证 l None:表示不认证,即对用户非常信任,不进行合法性检查,一般情况下不采用此方法 l RADIUS:表示采用RADIUS认证 l 选择空表示采用ISP域缺省的认证方案,缺省认证方案默认为Local |
|
方案名称 |
当服务器类型选择HWTACACS或RADIUS时,显示主用认证方案的名称,固定为“system” |
||
|
备选方案 |
设置是否启用备选认证方案 |
||
|
PPP授权方案 |
主用方案 |
服务器类型 |
设置PPP用户的授权服务器类型 l HWTACACS:表示采用HWTACACS授权 l Local:表示采用本地授权 l None:表示直接授权,即对用户非常信任,直接授权通过,此时用户权限为系统默认权限 l RADIUS:表示采用RADIUS授权 l 选择空表示采用ISP域缺省的授权方案,缺省授权方案默认为Local |
|
方案名称 |
当服务器类型选择HWTACACS或RADIUS时,显示主用授权方案的名称,固定为“system” |
||
|
备选方案 |
设置是否启用备选授权方案 |
||
|
PPP计费方案 |
计费 |
设置是否启用计费可选功能 在对用户实施计费时,如果发现没有可用的计费服务器或与计费服务器通信失败时,若启用了计费可选功能,则用户可以继续使用网络资源,且系统不再为其向服务器发送实时计费更新报文,否则用户连接将被切断 |
|
|
主用方案 |
服务器类型 |
设置PPP用户的计费服务器类型 l HWTACACS:表示采用HWTACACS计费 l Local:表示采用本地计费 l None:表示不计费 l RADIUS:表示采用RADIUS计费 l 选择空表示采用ISP域缺省的计费方案,缺省计费方案默认为Local |
|
|
方案名称 |
当服务器类型选择HWTACACS或RADIUS时,显示主用计费方案的名称,固定为“system” |
||
|
备选方案 |
设置是否启用备选计费方案 |
||
|
最大用户数 |
设置ISP域可容纳接入用户数的最大值,不设置时表示不限制ISP域可容纳的接入用户数 由于接入用户之间会发生资源的争用,因此适当地设置最大用户数可以使属于该ISP域的用户获得可靠的性能保障 |
||
|
配置项 |
说明 |
|
域名 |
设置要配置的地址池所在的ISP域 |
|
地址池编号 |
设置地址池的编号 若指定地址池编号为1,则该地址池的名称为pool1 |
|
开始地址 |
设置地址池的开始IP地址和结束IP地址 开始和结束地址之间的地址数不能超过1024;如果只指定开始地址,则表示该地址池中只有开始地址一个IP地址 |
|
结束地址 |
可点击返回“表1-1 LNS端的L2TP配置步骤”。
在导航栏中选择“VPN > L2TP > 隧道信息”,进入L2TP隧道信息的显示页面,如图1-12所示。
L2TP隧道信息的详细说明如表1-6所示。
表1-6 L2TP隧道信息的详细说明
|
标题项 |
说明 |
|
本端隧道编号 |
本端唯一标识一个隧道的数值 |
|
对端隧道编号 |
对端唯一标识一个隧道的数值 |
|
对端隧道端口 |
对端隧道的端口 |
|
对端隧道IP地址 |
对端隧道的IP地址 |
|
会话数目 |
该隧道上的会话数目 |
|
对端隧道名称 |
对端隧道的名称 |
VPN用户访问公司总部过程如下:
(1) 用户首先连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。
(2) 在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。
(3) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。
图1-13 Client-Initiated VPN配置组网图
(1) 配置用户侧
在用户侧主机上利用Windows系统创建虚拟专用网络连接,或安装L2TP的客户端软件,如WinVPN Client,通过拨号方式连接到Internet。用户侧主机的IP地址为2.1.1.1。配置路由,使得用户侧主机与LNS(IP地址为1.1.2.2)之间路由可达。
在用户侧主机上进行如下配置(设置的过程与相应的客户端软件有关,以下为设置的内容):
l 在用户侧设置VPN用户名为vpdnuser,密码为Hello。
l 将LNS的IP地址设为安全网关的Internet接口地址(本例中LNS侧与隧道相连接的以太网接口的IP地址为1.1.2.2)。
l 修改连接属性,将采用的协议设置为L2TP,将加密属性设为自定义,并选择CHAP验证。
(2) 配置LNS侧
在进行下面的配置前,需先配置接口的IP地址,并保证LNS与用户侧主机之间路由可达。
# 配置本地用户(用户名为vpdnuser,密码为Hello,业务类型为PPP)。
l 在导航栏中选择“系统管理 > 用户管理”,单击“创建用户”页签,进行如下配置,如图1-14所示。
l 输入用户名为“vpdnuser”。
l 选择访问等级为“Configure”。
l 输入密码为“Hello”。
l 输入确认密码为“Hello”。
l 选择服务类型为“PPP服务”。
l 点击<应用>按钮完成操作。
# 启用L2TP功能。
l 在导航栏中选择“VPN > L2TP > L2TP配置”,进行如下配置,如图1-15所示。
l 选中“启用L2TP功能”前的复选框。
l 单击<确定>按钮完成操作。
# 新建L2TP用户组。
l 在L2TP配置页面单击<新建>按钮,进行如下配置。
l 输入L2TP用户组名称为“test”。
l 输入对端隧道名称为“vpdnuser”。
l 输入本端隧道名称为“LNS”。
l 选择隧道验证为“禁用”。
l 选择PPP认证方式为“CHAP”。
l 选择ISP域名为“system”(缺省的ISP域)。
l 单击ISP域的<修改>按钮,进行如下配置,如图1-16所示。
图1-16 配置对VPN用户采用本地认证
l 选择PPP认证方案的主用方案服务器类型为“Local”。
l 单击<确定>按钮完成ISP域的配置,返回到L2TP用户组的配置页面。
l 输入PPP Server地址/掩码为“192.168.0.1/255.255.255.0”。
l 单击用户地址的<新建>按钮,进行如下配置,如图1-17所示。
l 选择域名为“system”。
l 输入地址池编号为“1”。
l 输入开始地址为“192.168.0.2”。
l 输入结束地址为“192.168.0.100”。
l 单击<确定>按钮完成地址池的配置,返回到L2TP用户组的配置页面。
l 选择用户地址为“pool1”。
l 选择强制地址分配为“启用”。
l 完成上述配置后的页面如图1-18所示,单击<确定>按钮完成操作。
图1-18 新建L2TP用户组
# 在用户侧主机上开启L2TP连接。连接成功后,用户主机获取到IP地址192.168.0.2,并可以ping通LNS的私网地址192.168.0.1。
# 在LNS的导航栏中选择“VPN > L2TP > 隧道信息”,可以查看到建立的L2TP隧道的信息,如图1-19所示。
图1-19 L2TP隧道信息
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
