华为 L2TP vpn配置详解

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

1L2TP配置关于本章L2TP连接建立在LAC和LNS之间,通过在不同场景下配置LAC和LNS,使远程用户使用L2TP隧道访问总部。1.1L2TP简介介绍L2TP的定义、目的和受益。1.2原理描述介绍L2TP的实现原理。1.3应用场景介绍L2TP的应用场景。1.4缺省配置介绍L2TP的缺省配置。1.5配置L2TP介绍L2TP配置的详细过程。1.6维护L2TP如何强制中断L2TP连接、监控L2TP运行状况。1.7配置举例介绍L2TP的配置举例。1.8常见配置错误介绍L2TP配置中容易出现的错误。1.9FAQ介绍L2TP的相关FAQ。1.10参考信息介绍L2TP的参考标准和协议。HuaweiAR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-VPN配置(通过命令行)1L2TP配置文档版本06(2016-09-15)华为专有和保密信息版权所有©华为技术有限公司11.1L2TP简介介绍L2TP的定义、目的和受益。定义二层隧道协议L2TP(Layer2TunnelingProtocol)是虚拟私有拨号网VPDN(VirtualPrivateDial-upNetwork)隧道协议的一种,扩展了点到点协议PPP(Point-to-PointProtocol)的应用,是远程拨号用户接入企业总部网络的一种重要VPN技术。L2TP通过拨号网络,基于PPP的协商,建立企业分支用户到企业总部的隧道,使远程用户可以接入企业总部。PPPoE(PPPoverEthernet)技术更是扩展了L2TP的应用范围,通过以太网络连接Internet,建立远程移动办公人员到企业总部的L2TP隧道。如图1-1所示,展现使用L2TP技术组建VPDN网络的典型场景。图1-1L2TP典型组网图移动办公人员(L2TP拨号软件)RADIUS服务器RADIUS服务器NAS(LAC)LNSL2TP隧道拨号用户VPDNL2TP隧道PCPC企业分支拨号网络InternetPCPC企业总部目的随着企业的发展和业务的增加,在不同地域成立的分支机构和出差的员工,需要和总部建立快速、安全和可靠的网络连接。传统的拨号网络需要租用因特网服务提供商ISP(InternetServiceProvider)的电话线路,申请公共的号码或IP地址,不仅产生高额的费用,而且无法为远程用户尤其是出差员工提供便利的接入服务。为了更好的利用拨号网络,方便远程用户的接入,产生了基于拨号网络的VPN,即VPDN。通过VPDN技术,远程用户和企业总部网关之间建立了一条点到点虚拟链路。VPDN有以下3种常用的隧道技术:l点到点隧道协议PPTP(Point-to-PointTunnelingProtocol)l二层转发L2F(Layer2Forwarding)l二层隧道协议L2TP(Layer2TunnelingProtocol)L2TP集合了PPTP和L2F两种协议的优点,目前已被广泛接受,主要应用在单个或少数远程终端通过公共网络接入企业内联网的需要。HuaweiAR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-VPN配置(通过命令行)1L2TP配置文档版本06(2016-09-15)华为专有和保密信息版权所有©华为技术有限公司2受益L2TP对PPP报文进行封装,在公共网络上建立虚拟链路传输企业的私有数据,节省了租用物理专线的高额费用。同时将企业从复杂和专业的网络维护中解放出来,只需要维护私有网络和远程接入的用户,降低了维护成本。L2TP还具有如下特点,可以为企业提供方便、安全和可靠的远程用户接入服务。l灵活的身份验证机制以及高度的安全性–L2TP使用PPP提供的安全特性(如PAP、CHAP),对接入用户进行身份认证。–L2TP定义了控制消息的加密传输方式,支持L2TP隧道的认证。–L2TP对传输的数据不加密,但可以和因特网协议安全协议IPSec(InternetProtocolSecurity)结合应用,为数据传输提供高度的安全保证。l多协议传输L2TP传输PPP数据包,PPP可以传输多种协议报文,所以L2TP可以在IP网络,帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATMVCs网络上使用。l支持RADIUS(RemoteAuthenticationDial-inUserService)服务器的验证L2TP对接入用户不仅支持本地认证,还支持将拨号接入的用户名和密码发往RADIUS服务器进行认证,为企业管理接入用户提供了更多的选择。l支持私网地址分配应用L2TP的企业总部网关,可以为远程用户动态分配私网地址。l可靠性L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以与备份LNS建立连接,增强了VPN服务的可靠性。相关资料视频:lARG3系列路由器VPN相关培训l华为AR路由器L2TP特性介绍1.2原理描述介绍L2TP的实现原理。1.2.1基本概念如图1-2所示为L2TP的典型组网,以下为L2TP的相关的概念。lVPDNlPPP终端lNASlLAClLNSl隧道和会话HuaweiAR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-VPN配置(通过命令行)1L2TP配置文档版本06(2016-09-15)华为专有和保密信息版权所有©华为技术有限公司3图1-2L2TP组网图PPP终端L2TP会话IPUDPL2TPPPPDATARADIUS服务器RADIUS服务器NAS(LAC)LNSL2TP隧道VPDN企业分支拨号网络InternetPCPC企业总部VPDNVPDN是承载PPP报文的VPN,可以为企业、小型ISP、移动办公人员提供接入服务。PPP终端接入拨号网络,拨号到NAS。NAS收到PPP报文后进行L2TP封装,最外层的IP报头经过公网路由转发后到达LNS。LNS收到报文后解封装,还原PPP报文,完成了PPP报文在公共网络上的透明传输,从而在PPP终端和LNS之间建立了VPDN连接。随着以太网络的普及,PPP终端不再受限于传统的拨号网络,使用PPPoE技术,即可通过以太网络接入LAC。PPP终端L2TP应用中,PPP终端指发起拨号,将数据封装为PPP类型的设备,如远程用户PC、企业分支网关等。NASNAS网络接入服务器(NetworkAccessServer)主要由ISP维护,连接拨号网络,是距离PPP终端地理位置最近的接入点。NAS用于传统的拨号网络中,为远程拨号用户提供VPDN服务,和企业总部建立隧道连接。LACL2TP访问集中器LAC(L2TPAccessConcentrator)是交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP报文中所携带的用户名或者域名信息,和LNS建立L2TP隧道连接,将PPP协商延展到LNS。在不同的组网环境中,LAC可以是不同的设备:l在传统的拨号网络中,ISP在NAS上部署LAC。PPP终端NAS(LAC)LNSL2TP隧道企业分支拨号网络InternetPCPC企业总部HuaweiAR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-VPN配置(通过命令行)1L2TP配置文档版本06(2016-09-15)华为专有和保密信息版权所有©华为技术有限公司4l在企业分支的以太网络中,为PPP终端配备网关设备,网关作为PPPoE服务器,同时部署为LAC。LAC(PPPoE服务器)PPP终端(PPPoE客户端)LNSL2TP隧道企业分支InternetPCPC企业总部PPPoEl出差人员使用PC终端接入Internet,在PC上安装L2TP拨号软件,则PC终端为LAC。LAC(L2TP拨号软件)LNSL2TP隧道InternetPCPC企业总部LAC可以发起建立多条L2TP隧道使数据流之间相互隔离,即LAC可以承载多条VPDN连接。LAC在LNS和PPP终端之间传递数据。即LAC从PPP终端收到报文后进行L2TP封装发送至LNS,从LNS收到报文后进行解封装并发送至PPP终端。LNSL2TP网络服务器LNS(L2TPNetworkServer)是终止PPP会话的一端,通过LNS的认证,PPP会话协商成功,远程用户可以访问企业总部的资源。对L2TP协商,LNS是LAC的对端设备,即LAC和LNS建立了L2TP隧道;对PPP,LNS是PPP会话的逻辑终止端点,即PPP终端和LNS建立了一条点到点的虚拟链路。LNS位于企业总部私网与公网边界,通常是企业总部的网关设备。必要时,LNS还兼有网络地址转换(NAT)功能,对企业总部网络内的私有IP地址与公共IP地址进行转换。隧道和会话在LAC和LNS的L2TP交互过程中存在两种类型的连接。l隧道(Tunnel)连接L2TP隧道在LAC和LNS之间建立,一对LAC和LNS可以建立多个L2TP隧道,一个L2TP隧道可以包含多个L2TP会话。l会话(Session)连接L2TP会话发生在隧道连接成功之后,L2TP会话表示承载在隧道连接中的一个PPP会话过程。HuaweiAR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&AR3600系列企业路由器配置指南-VPN配置(通过命令行)1L2TP配置文档版本06(2016-09-15)华为专有和保密信息版权所有©华为技术有限公司51.2.2工作原理L2TP协议架构L2TP协议包含两种类型的消息,控制消息和数据消息,消息的传输在LAC和LNS之间进行。L2TP协议通过这两种消息,扩展了PPP的应用。l控制消息用于L2TP隧道和会话连接的建立、维护和拆除。在控制消息的传输过程中,使用消息丢失重传和定时检测隧道连通性等机制来保证控制消息传输的可靠性,支持对控制消息的流量控制和拥塞控制。l数据消息用于封装PPP数据帧并在隧道上传输。数据消息是不可靠的传输,不重传丢失的数据报文,不支持对数据消息的流量控制和拥塞控制。图1-3说明了PPP报文、控制消息和数据消息在L2TP协议架构中的位置和关系。图1-3L2TP协议架构包传输网络L2TP数据消息L2TP控制消息PPP帧L2TP控制通道(可靠)L2TP数据通道(不可靠)控制消息承载在L2TP控制通道上,控制通道实现了控制消息的可靠传输,将控制消息封装在L2TP报头内,再经过IP网络传输。数据消息携带PPP帧承载在不可靠的数据通道上,对PPP帧进行L2TP封装,再经过IP网络传输。L2TP协议使用UDP端口1701,这个端口号仅用于初始隧道的建立。L2TP隧道发起方任选一个空闲端口向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲端口,给发起方的选定的端口回送报文。至此,双方的端口选定,并在隧道连通的时间内不再改变。L2TP报文结构远程用户拨号产生的PPP报文经L2TP封装后的报文格式如图1-4所示。图1-4L2TP报文格式20bytes8bytes6bytes4bytes20bytesNewIPHeaderUDPHeaderL2TPHeaderPPPHeaderOriginalIPHeaderDataL2TP报文进行了多次封装,比原始报文多出38个字节(如果需要携带序列号信息,则比原始报文多出42个字节),封装后报文的长度可能会超出接口的MTU值,而L2TP协议本身不支持报文分片功能,这时需要设备支持对IP报文的分片功能。当L2TP报文长度超出发送接口的MTU值时,在发送接口进行报文分片处理,接收端对收到分片报文进行还原,重组为L2TP报文。HuaweiAR120&AR150&AR160&AR200&AR500&AR510&AR1200&AR2200&AR3200&

1 / 75
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功