北京志远天辰科技有限公司-旗下
首页 » 产品教程 » 华为防火墙配置(L2TP)

华为防火墙配置(L2TP)

作者:钉钉硬件分类: 产品教程 时间:2022-2-21 15:06浏览:653次
简介: L2TP概述、L2TP介绍、NAS-Initiated场景、Client-Initiated场景、Call-LNS场景、LNS对拨号用户进行身份认证、NAS-Initiated报文封装、NAS-Initiated安全策略、地道洽谈、Client-Initiated报文封装、Client-Initiated安全策略、Call-LNS报文封装、L2TP装备、事例、装备进程、测验

前言

     L2TP是由IETF起草的第2层地道协议,结合了PPTP和L2F的长处,L2TP协议本身不供给加密与可靠性验证的功用,能够和安全协议调配运用,然后实现数据的加密传输,常常与L2TP协议调配的加密协议是IPsec,当这两个协议调配运用时,通常合称L2TP over IPSec

一、L2TP概述

1、L2TP介绍

     L2TP(Layer 2 Tunneling Protocol)是一种用于承载PPP报文的地道技能,该技能主要应用在长途工作场景中为出差职工长途拜访企业内网资源供给接入服务,出差职工跨越Internet长途拜访企业内网资源时需求运用PPP协议向企业总部恳求内网IP地址,并供总部对出差职工进行身份认证,但PPP报文受其协议本身的约束无法在Internet上直接传输,所以,PPP报文的传输问题成为了制约出差职工长途工作的技能瓶颈,L2TP VPN技能呈现今后,运用L2TP地道“承载”PPP报文在Internet上传输成为了处理上述问题的一种途径,不管出差职工是经过传统拨号方法接入Internet,还是经过以太网方法接入Internet,L2TP都能够向其供给长途接入服务

     L2TP是虚拟私有拨号网VPDN(Virtual Private Dial-up Network)地道协议的一种,扩展了点到点协议PPP(Point-to-Point Protocol)的应用,是长途拨号用户接入企业总部网络的一种重要技能

2、NAS-Initiated场景

     企业职工经过拨号方法接入Internet

  • NAS(Network Access Server)是运营商用来向拨号用户供给PPP/PPPoE接入服务的服务器,拨号用户经过NAS拜访外部网络
  • LNS(L2TP Network Server)是企业总部的出口网关

     在L2TP呈现以前,拨号用户长途拜访企业总部内网资源时,需求依托PPP协议向LNS恳求总部内网地址,但受PPP协议本身的约束,拨号用户宣布的PPP报文会被率先终结在NAS设备,无法跨越Internet抵达LNS,L2TP技能呈现今后,运营商会配合企业在NAS和LNS间布置L2TP地道,拨号用户宣布的PPP报文抵达NAS时,NAS会经过L2TP地道把PPP报文封装成L2TP报文,然后让L2TP报文在Internet上传输,LNS收到NAS发来的L2TP报文今后,再经过解封装的方法将报文还原成PPP报文,然后处理了PPP报文无法跨越Internet的传输问题,实现了出差职工长途工作的需求

     跟着Internet的开展,PPP接入方法逐渐被淘汰,取而代之的是更为先进的PPPoE接入方法,L2TP VPN相同支持PPPoE拨号用户长途拜访企业总部,拨号用户宣布的PPPoE报文会被NAS处理成PPP报文今后,再经过L2TP地道进行传输

3、Client-Initiated场景

     因为IP网络的普及,以拨号方法接入Internet的用户逐渐削减,越来越多的用户挑选直接经过以太网方法接入Internet,接入方法的变化,使得出差职工长途拜访企业内网资源的方法也发生了变化,移动工作用户(即出差职工)经过以太网方法接入Internet,LNS是企业总部的出口网关,移动工作用户能够经过移动终端上的软件与LNS设备直接树立L2TP地道,而无需再经过一个独自的NAS设备,移动工作用户拜访企业内网时,PPP报文会经过两者间的L2TP地道抵达LNS设备,该场景下,用户长途拜访企业内网资源能够不受地域约束,使得长途工作更为灵敏方便

4、Call-LNS场景

     L2TP除了能够为出差职工供给长途接入服务以外,还能够进行企业分支与总部的内网互联,实现分支用户与总部用户的互访,LAC(L2TP Access Concentrator)是企业分支的出口网关,LNS是企业总部的出口网关,LAC和LNS布置了L2TP今后,LAC设备会主动向LNS发起L2TP地道树立恳求,地道树立完成后,分支用户拜访总部的流量直接经过L2TP地道传输到对端,该场景下,L2TP地道树立在LAC与LNS之间,地道对于用户是通明的,用户感知不到地道的存在

5、LNS对拨号用户进行身份认证

     在NAS-Initiated场景中,用户身份认证有两种方案,一种是仅运用NAS对用户做身份认证,另一种是NAS和LNS分别对用户做身份认证(也叫二次认证),认证方案的挑选由LNS侧的装备控制,LNS侧有如下三种身份认证方法

  • 署理认证表明仅运用NAS进行用户认证,LNS不再对用户进行二次身份认证,例如,拨号用户与NAS树立PPPoE衔接时,NAS已经运用PAP/CHAP方法对拨号用户做了身份认证,则此处LNS将不做二次认证
  • 强制CHAP认证表明NAS认证完用户身份今后,LNS要求用户运用CHAP方法从头进行身份认证,该方法属于二次身份认证
  • LCP重洽谈表明LNS不信任NAS的认证成果,要求用户从头与LNS进行LCP洽谈并进行身份认证,该方法属于二次身份认证

     LNS默认运用的是署理认证方法,即不对用户做二次认证

6、NAS-Initiated报文封装

  • 拨号用户宣布的原始数据经过PPP头和PPPoE头封装后发往NAS设备,因为PPPoE是点到点衔接,PPPoE衔接树立今后,拨号用户本地PC不必进行路由挑选,直接将封装后的报文发送给NAS设备
  • NAS设备运用VT(Virtual-Template)接口撤除报文的PPPoE头,再进行L2TP封装,然后依照到Internet的公网路由将封装后的数据发送出去
  • LNS设备接收到报文今后,撤除报文的L2TP头和PPP头,然后依照到企业内网的路由进行报文转发
  • 企业总部服务器收到拨号用户的报文后,向拨号用户返回呼应报文

7、NAS-Initiated安全策略

(1)NAS设备上报文所经过的安全域间

     拨号用户拜访企业内网的进程中,经过NAS的流量分为以下2类,对应流量的安全策略处理准则如下

  • NAS收到的拨号用户发来的PPPoE报文,此处的PPPoE报文既包括拨号用户与NAS间树立PPPoE衔接时的洽谈报文,也包括拨号用户拜访企业总部内网事务数据被封装后的PPPoE报文,因为PPPoE广播报文不受安全策略控制,因而NAS上无需为该流量装备安全策略
  • 由NAS宣布的L2TP报文,此处的L2TP报文既包括NAS与LNS树立地道时的L2TP洽谈报文,也包括拨号用户拜访企业总部内网事务数据被封装后的L2TP报文,这些L2TP报文会经过Local—>Untrust区域

(2)LNS设备上报文所经过的安全域间

     拨号用户拜访企业内网的进程中,经过LNS的流量分为以下2类,对应流量的安全策略处理准则如下

  • NAS与LNS间的L2TP报文,此处的L2TP报文既包括NAS与LNS树立地道时的L2TP洽谈报文,也包括拨号用户拜访企业总部内网事务数据被解封装前的L2TP报文,这些L2TP报文会经过Untrust—>Local区域
  • 拨号用户拜访企业总部内网的事务报文,LNS经过VT接口将拨号用户拜访企业总部内网的事务报文解封装今后,这些报文经过的安全域间为DMZ->Trust,DMZ区域为LNS上VT接口地点的安全区域,Trust为LNS衔接总部内网接口地点的安全区域

8、地道洽谈

     移动工作用户在拜访企业总部服务器之前,需求先经过L2TP软件与LNS树立L2TP地道,进程如下

  • 移动工作用户与LNS树立L2TP VPN地道
  • 移动工作用户与LNS树立L2TP会话
  • 移动工作用户与LNS树立PPP衔接
  • 移动工作用户发送事务报文拜访企业总部服务器

9、Client-Initiated报文封装

  • 移动工作用户向企业总部服务器发送事务报文,事务报文进行PPP封装和L2TP封装,然后依照移动工作用户PC的本地路由转发给LNS
  • LNS接收到报文今后,运用VT接口撤除报文的L2TP头和PPP头,然后依照到企业内网的路由将报文转发给企业总部服务器
  • 企业总部服务器收到移动工作用户的报文后,向移动工作用户返回呼应报文

10、Client-Initiated安全策略

     移动工作用户拜访企业总部服务器的进程中,经过LNS的流量分为以下2类,对应流量的安全策略处理准则如下

  • 移动工作用户与LNS间的L2TP报文,此处的L2TP报文既包括移动工作用户与LNS树立地道时的L2TP洽谈报文,也包括移动工作用户拜访企业总部服务器被解封装前的事务报文,这些L2TP报文会经过Untrust—>Local区域
  • 移动工作用户拜访企业总部内网服务器的事务报文,LNS经过VT接口将移动工作用户拜访企业总部服务器的事务报文解封装今后,这些报文经过的安全域间为DMZ->Trust,DMZ区域为LNS上VT接口地点的安全区域,Trust为LNS衔接总部内网接口地点的安全区域

11、Call-LNS报文封装

  • 企业分支职工向总部内网服务器发送拜访恳求,分支职工的PC依照本地路由将恳求报文转发给LAC
  • LAC收到报文后运用VT(Virtual-Template)接口对此报文进行PPP封装和L2TP封装,报文封装完成后,LAC再依照到Internet的公网路由将封装好的报文发送出去
  • LNS设备接收到报文今后,运用VT接口撤除报文的L2TP头和PPP头,然后依照到企业内网的路由将报文转发给总部内网服务器
  • 企业总部服务器收到分支职工的报文后,向分支职工返回呼应报文

二、L2TP装备

1、事例

2、装备进程

(1)USG1

(2)AR1

(3)AR2

(4)运用客户端衔接总公司

(5)在总公司上树立简单web服务

3、测验

(1)移动用户拜访总公司

(2)移动用户拜访web服务

结语

     L2TP经过拨号网络,基于PPP的洽谈,树立用户到企业总部的地道,使长途用户能够接入企业总部,PPPoE技能更是扩展了L2TP的应用范围,经过以太网络衔接Internet,树立长途移动工作人员到企业总部的L2TP地道