-
技术点详解
---L2TP VPN
L2TP
VPN
的原生使用环境
第
9<
/p>
期专栏讲的是
VPN
的起源,这一期讲讲
VPN
中的
VPDN
< br>(
Virtual Private Dial Network
虚
拟拨号专线网络)的主力技术
L2TP
(
Layer 2 Tunnel Protocol
二层隧道协议
l
),上图说明了
VP
DN
的一些特点,出差员工或者外出员工通过拨特定号码的方式接入到企业内部网络:<
/p>
1.
2.
3.
运营商对外提供
L2TP
VPN
服务
有远程拨入需要的企业想运营商提出申请,交费,开通
企业要对运营商提供一个
L2TP
LNS
(
L2TP Network Server
网络服务器)作为企业内部
网络入口
4.
运营商提供一个
L2TP
LAC
(
L2TP
Access
Concentrator
接入汇聚点)
,LAC
要和企业
L
NS
之间跨越运营商
IP
网络建立
L2TP
隧道,同时运营商将一个电话号码
15400
分配给
LAC
,以供出
差员工拨入
5.
当出差员工或者外出员工使用<
/p>
Modem
或者特制手机拨打号码
154
00
,此时
Modem
就连接
到
LAC
6.
L2TP
是收费服务,而且企业不可能让任何人拨入这个网络,所以安全性肯定要考虑,结
合上
期网络身份保护的内容,
LAC
对拨入用户要进行身份确认,<
/p>
典型的身份确认方式就是用户名、
密码验证,这个身份信息列表由
企业提供,运营商执行
7.
8.
9.
LAC
确认身份无误后就把这次呼叫封装到
L2TP
隧道里送给
LNS
<
/p>
LNS
再对用户进行一次身份验证,验证通过后对远端用户分配<
/p>
IP
地址
远
端用户获得
IP
地址后,就可以访问企业内部网络了
具体处理流程如下
:
从上图可以发现,出差员工和<
/p>
LAC
之间只有
PPP
< br>会话,没有任何
L2TP
的内容,
L2TP
隧道、会话
只存在于
LAC
和
LNS
之间:
1.
2.
3.
L2TP
使用的是
UDP
封装,端口号
1701
L2TP
隧道在
LAC
和
LNS
之间只有
1
个,协商
隧道时可以使用身份确认
L2TP
会话在隧道内部可以有多个,一个会话对应一个
PPP
会话,<
/p>
即有多少个出差员工拨
号,就会有多少个
L2TP
会话
所以,如果一个出差
员工拨号到
LAC
时,
LAC
检查到
LNS
的
L2T
P
隧道已经建立,那么
LAC
直接
和
LNS
协商一个新会话;当一个隧道内没
有任何会话时,隧道才会被拆除。
L2TP
原生应用场景
的数据封装流程如下图所示:
可以
发现出差员工发送的是纯
PPP
数据,到了
LAC
之后则增加了
L2TP
隧道
封装,得以穿越运营
商内部的
IP
网络
,这样企业私有数据不会暴露到运营商
IP
网络之中。
L2TP
隧道封装数据到了
LNS
之后,
LNS
进行
VPN<
/p>
数据剥离,反向流量封装顺序将流程逆转、源目的调换即可。
运营商使用
1
个
LAC
同时为多个企业服务
< br>
从
LAC
命名来说,
我们可以知道这个东西必定价格不菲,
运营商肯定不可能为每个企业单独
设置
一台
LAC
和一个号码,因为这么
做成本很高,赚不到钱,运营商的想法是只用
1
个
LAC
、
1
个号
码同时为多个企业服务: