【防火墙技术连载24】强叔侃墙 VPN篇 L2TP LAC-Auto-Initiated VPN

[复制链接]
发表于 : 2014-6-19 11:53:59 最新回复:2014-11-10 14:16:21
13773 6
强叔侃墙
强叔侃墙 官方号

LAC-Auto-Initiated VPN也叫做LAC自动拨号VPN,顾名思义,在LAC上配置完成后,LAC会自动向LNS发起拨号,建立L2TP隧道和会话,不需要分支机构用户拨号来触发。对于分支机构用户来说,访问总部网络就跟访问自己所在的分支机构网络一样,完全感觉不到自己是在远程接入。但是这种方式下LNS只对LAC进行认证,分支机构用户只要能连接LAC即可以使用L2TP隧道接入总部,与NAS-Initiated VPN相比安全性要差一些。

LAC-Auto-Initiated VPN的配置也不复杂,以下面这个组网为例:

 

LACLNS上的配置如下:

LAC

LNS

interface Virtual-Template 1

 ppp authentication-mode chap

 ppp chap user lac

 ppp chap password cipher Password1

 ip address ppp-negotiate 

 call-lns local-user lac binding l2tp-group 1   //LACLNS发起拨号

l2tp-group 1

 tunnel authentication

tunnel password cipher Password1

 tunnel name lac

 start l2tp ip 1.1.1.2 fullusername lac      //指定隧道对端地址

l2tp enable

ip route-static 192.168.0.0 255.255.255.0 Virtual-Template 1          //配置去往总部网络的静态路由,此处与Client-Initiated VPN以及NAS-Initiated VPN不同,LAC上必须配置该条路由,指引分支机构用户访问总部网络的报文进入L2TP隧道

interface Virtual-Template 1

 ppp authentication-mode chap

 ip address 10.1.1.1 255.255.255.0

 remote address pool 1

l2tp-group 1

tunnel authentication

 tunnel password cipher Password1

 tunnel name lns

allow l2tp virtual-template 1 remote lac     //允许远端接入

l2tp enable

aaa

local-user lac password Password1

  local-user lac service-type ppp

ip pool 1 10.1.1.2

ip route-static 172.16.0.0 255.255.255.0 Virtual-Template 1          //配置去往分支机构网络的静态路由,如果LAC上配置了源NAT,则无需配置该条路由,详细情况后文介绍

 

LAC-Auto-Initiated VPN的建立过程与Client-Initiated VPN类似,只不过在LAC-Auto-Initiated VPN中,LAC取代了Client-Initiated VPNL2TP Client的角色。

 

各个阶段的建立过程与Client-Initiated VPN的建立过程大同小异,大家可以温习VPN篇 L2TP Client-Initiated VPN,强叔在这里就不多说了。需要注意的一点是,在阶段3中,LNS只对LAC进行验证,验证通过后为LAC的VT接口分配IP地址,而不是为分支机构用户分配IP地址。虽然LNS不为分支机构分配IP地址,但是并不代表分支机构的IP地址可以随意配置。

为了保证分支机构网络与总部网路之间正常访问,请为分支机构网络和总部网络规划各自独立的私网网段,要求二者的网段地址不能重叠。

总结一下LAC-Auto-Initiated VPN的特点:

LAC-Auto-Initiated VPN场景中,LAC和LNS之间建立一条永久的隧道,且仅承载一条永久的L2TP会话和PPP连接。L2TP会话和PPP连接只存在于LAC和LNS之间。

 

LAC-Auto-Initiated VPNPPP封装和L2TP封装仅限于LACLNS之间的报文交互:

 

 

另外,还有一个需要重点关注的问题是回程报文如何进入隧道。与Client-Initiated VPN以及NAS-Initiated VPN不同,在LAC-Auto-Initiated VPN中,LNS只下发了一条目的地址为LACVT接口地址的UNR路由,并没有去往分支机构网络的路由。对此LNS振振有词:“我只对我分配出去的IP地址负责,所以保证可以到达对端LACVT接口。分支机构网络的地址不是我分配的,我甚至都不知道它们的地址是什么,因此只能说抱歉。”

那么如何解决这个问题呢?最简单方法就是在LNS手动配置一条去往分支机构网络的静态路由,指引回程报文进入隧道:

ip route-static 172.16.0.0 255.255.255.0 Virtual-Template 1

除了配置静态路由之外,还有没有其他方法呢?强叔突然灵光一现,还记得我们之前讲过的NAT吧!既然LNS只认他分配的IP地址,那我们就在LAC上配置源NAT功能,把分支机构用户访问总部网络报文的源地址都转换成VT接口的地址,即easy-IP方式的源NATLNS收到回程报文后,发现目的地址是LACVT接口的IP地址,就会按照UNR路由进入隧道转发,这样就无需在LNS上配置静态路由了。

字不如图,下面强叔就以实际组网为例,介绍一下LAC上配置了源NAT后,分支机构用户访问总部服务器时的报文封装与解封装全过程:

 

 

1、  LAC收到分支机构用户访问总部服务器的原始报文后,根据目的地址查找路由,命中我们手动配置的静态路由,将报文发送至VT接口。

2、  LACVT接口对原始报文进行NAT转换,将源地址转换成VT接口的地址,然后为报文封装PPP头、L2TP头和公网地址。LAC根据公网目的地址查找路由,将封装后的报文发送至LNS

3、  LNS收到报文后,剥离掉PPP头、L2TP头,根据目的地址查找路由(此处为直连路由),然后将报文发送至总部服务器。

4、  LNS收到总部服务器的回程报文后,根据目的地址查找路由,命中LNS自动下发的UNR路由,将报文发送至VT接口。

5、  报文在VT接口封装PPP头、L2TP头和公网地址,LNS根据公网目的地址查找路由,将封装后的报文发送至LAC

6、  LAC收到报文后,剥离掉PPP头、L2TP头,将报文的目的地址转换成分支机构用户的地址,然后将报文发送至分支机构用户。

LAC上配置easy-IP方式源NAT的示例如下(假设在LAC上连接分支机构网络的接口属于Trust区域,VT接口属于Untrust区域):

nat-policy interzone trust untrust outbound                                    

 policy 1                                                                      

  action source-nat                                                            

  policy source 172.16.0.0 0.0.0.255

easy-ip Virtual-Template 1

 

至此,强叔用三期的篇幅介绍了三种L2TP VPN,下面我们再来对这三种L2TP VPN做一下总结:

项目

Client-Initiated VPN

NAS-Initiated VPN

LAC-Auto-Initiated VPN

协商方式

L2TP ClientLNS协商建立L2TP隧道和L2TP会话、建立PPP连接

接入用户使用PPPoE拨号触发LACLNS之间协商建立L2TP隧道和L2TP会话,接入用户和LNS协商建立PPP连接

LAC主动拨号,和LNS协商建立L2TP隧道和L2TP会话、建立PPP连接

隧道和会话关系

每个L2TP ClientLNS之间均建立一条L2TP隧道,每条隧道中仅承载一条L2TP会话和PPP连接

LACLNS的连接可存在多条L2TP隧道,一条L2TP隧道中可承载多条L2TP会话

LACLNS之间建立一条永久的L2TP隧道,且仅承载一条永久的L2TP会话和PPP连接

安全性

LNSL2TP Client进行PPP认证(PAPCHAP),安全性较高

LAC对接入用户进行认证,LNS对接入用户进行二次认证(可选),安全性最高

LAC不对用户进行认证,LNSLAC配置的用户进行PPP认证(PAPCHAP),安全性低

回程路由配置

LNS上会自动下发UNR路由,指导回程报文进入L2TP隧道,无需手动配置

LNS上会自动下发UNR路由,指导回程报文进入L2TP隧道,无需手动配置

LNS上需要手动配置目的地址为网段的静态路由,或者在LAC上配置easy-IP方式的源NAT

 

L2TP VPN就告一段落了,需要注意的是,无论是哪种方式的L2TP VPN,都不支持加密功能,数据在隧道传输过程中面临安全风险。接下来强叔将为大家介绍功能强大配置复杂安全性高的IPSec VPN,希望大家继续关注强叔系列技术贴。

 

 

上一篇 VPN篇 L2TP NAS-Initiated VPN

下一篇 VPN篇 Internet危机四伏,IPSec闪亮登场

汇总贴

本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
DoubleDong
DoubleDong   发表于 2014-6-25 11:27:30 已赞(0) 赞(0)

学习,感谢分享!
  • x
  • 常规:

点评 回复

liang-m
liang-m   发表于 2014-9-15 22:09:42 已赞(0) 赞(0)

强叔,我又来冒泡了。
  • x
  • 常规:

点评 回复

周中斌
周中斌   发表于 2014-9-17 11:59:58 已赞(0) 赞(0)

感谢分享!对L2TP有了更深层次的理解

  • x
  • 常规:

点评 回复

Sophoni
Sophoni  版主 发表于 2014-6-19 13:34:03 已赞(0) 赞(0)

学习!!!

  • x
  • 常规:

点评 回复

wangbenlie
wangbenlie   发表于 2014-6-20 14:09:57 已赞(0) 赞(0)

感谢分享!!
  • x
  • 常规:

点评 回复

user_1913555
user_1913555   发表于 2014-11-10 14:16:21 已赞(0) 赞(0)

全让了之,九阳神功,天下无敌。灰常感谢

  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录