解决方案
在计算机网络中,L2TP(第二层隧道协议)是种隧道协议,用于支持 VPN 或作为 ISP 提供服务的组成部分。L2TP 允许创建 VPDN,通过使用共享基础设施(可以是“Internet”或“服务提供商的网络”)将远程客户端连接到其公司网络;
IETF 的开放标准 L2TP 协议结合 L2F 和 PPTP 协议的优点,特别适合组建远程接入方式的 VPN,已经成为事实上的工业标准,是 IETF 有关二层隧道协议的工业标准;
L2TP 是 VPDN 隧道协议的一种,它扩展 PPP 的应用,是种在远程办公场景中为出差员工或企业分支远程访问企业内网资源提供接入服务的 VPN;
在 1999 年,作为提议的标准 RFC 2661 发布,L2TP 主要源于用于点对点通信的两种较旧的隧道协议:思科的第二层转发协议(L2F);微软的点对点隧道协议(PPTP);
在 2005 年,该协议的新版本 L2TPv3 出现,作为提议的标准(RFC 3931)。L2TPv3 提供额外的安全功能,改进封装,以及通过 IP Network 携带 Data Link 的能力(例如帧中继、以太网、ATM 等等),而不仅仅是携带点对点协议(PPP);
原理简述
/VPN_(Virtual_Private_Network)/1996_L2TP_(Layer_2_Tunneling_Protocol)/pasted_image.png)
通常在 L2TP Tunnel 内承载 PPP 会话;
通过 UDP 数据报发送整个 L2TP 数据包(包括有效负载和 L2TP 报头);
通过 UDP 传输的一个优点是它避免“TCP 崩溃问题”;
特性说明
传输安全:
但请注意,L2TP 只是一种隧道协议,既不提供加密也不保证隐私,因此一般与 IPsec 配合使用。它本身不提供任何加密或保密,相反,它依赖于它在隧道内传递的加密协议来提供隐私。IPsec 通常用于通过提供机密性、身份验证、完整性,能够用来保护 L2TP 数据包。这两种协议的组合通常称为 L2TP over IPsec(后面将讨论相关内容);
身份认证:L2TP 本身也不提供强身份验证,仅支持隧道认证,而用户身份认证需要内部的 PPP 协议支持;
多种协议:上层能够承载多种协议;
地址分配:也属于 PPP 的特性
网络计费:
高可靠性:这里指 LNS 支持双机热备;
支持 RADISU Server 认证
应用场景
在远程办公场景中,为出差员工或企业分支远程访问企业内网资源提供接入服务;
企业互联
L2TP 被作为常用的企业互联技术之一,使用 L2TP 需要配合 AAA 服务器,当需要构建 L2VPN 时,L2TP 是非常好的选择;
/VPN_(Virtual_Private_Network)/1996_L2TP_(Layer_2_Tunneling_Protocol)/pasted_image001.png)
分支站点之间也可以使用 L2TP 链接,但 L2TP 没有办法传递组播数据,无法在总公司和分公司之间传递路由;
远程用户接入
企业出差员工的地理位置经常发生移动,并且随时需要和总部通信和访问总部内网资源,直接通过 Internet 网络虽然可以访问总部网关,但总部网关无法对接入的用户进行辨别和管理,
这时将总部网关部署为 LNS,出差员工在 PC 终端上使用 L2TP 拨号软件来连接公司内网,LNS 可以对接入用户进行身份验证,分配私网地址,如果部署 ACL 还可以管理接入用户的访问权限,然后在出差员工和总部网关之间建立虚拟的点到点连接;
/VPN_(Virtual_Private_Network)/1996_L2TP_(Layer_2_Tunneling_Protocol)/pasted_image003.png)
在现网中,使用最多的是 L2TP over IPsec 来实现出差内网用户远程接入:
/VPN_(Virtual_Private_Network)/1996_L2TP_(Layer_2_Tunneling_Protocol)/pasted_image002.png)
分公司员工与总部互联
分公司内部员工使用 PPPoE 拨号软件连接总公司网络,而分支网关则作为 PPPoE 服务器和 LAC,使分支用户的呼叫请求到达总部;
/VPN_(Virtual_Private_Network)/1996_L2TP_(Layer_2_Tunneling_Protocol)/pasted_image005.png)
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入 Internet。总部用户需要和分支用户通信,由总部统一管理分支用户的接入,于是使用 L2TP 功能将总部网关部署为 LNS。分支用户的拨号报文无法直接在以太网络中传输,需要使用 PPPoE 拨号软件部署为 PPPoE 客户端,而分支网关则作为 PPPoE 服务器和 LAC,使分支用户的呼叫请求到达总部;
分公司与总部互联(较少使用)
企业总部在其他城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入 Internet。总部为分支用户提供接入服务,需要在分支和总部网关之间建立 VPDN 连接。总部允许分支的任意用户接入,则只对分支网关认证,此时总部网关部署为 LNS,分支网关部署为 L2TP Client,并在分支网关创建虚拟拨号,触发到总部的 L2TP 隧道连接。
企业内部自建 VPN,连接分公司网络和总部网络,分支用户的 IP 报文到达 L2TP Client 后路由转发到虚拟拨号接口;
通过 L2TP Client 的方式,在 L2TP Client 和 LNS 之间建立虚拟的点到点连接,分支用户的 IP 报文到达 L2TP Client 后,路由转发到虚拟拨号接口,报文送至 LNS 后经路由转发到达目的主机;
/VPN_(Virtual_Private_Network)/1996_L2TP_(Layer_2_Tunneling_Protocol)/pasted_image004.png)
参考文献
Wikipedia/Layer 2 Tunneling Protocol
PPP Session Establishment