[转载]L2TP VPN

easy

L2TP VPN的原生使用环境


本文讲讲 VPN 中的 VPDN（Virtual Private Dial Network虚拟拨号专线网络）的主力技术 L2TP（Layer 2 Tunnel Protocol 二层隧道协议l），上图说明了 VPDN 的一些特点，出差员工或者外出员工通过拨特定号码的方式接入到企业内部网络：

1. 运营商对外提供 L2TP VPN 服务

2. 有远程拨入需要的企业想运营商提出申请，交费，开通

3. 企业要对运营商提供一个L2TP LNS（L2TP Network Server网络服务器）作为企业内部网络入口

4. 运营商提供一个 L2TP LAC（L2TP Access Concentrator接入汇聚点）, LAC 要和企业 LNS 之间跨越运营商IP网络建立 L2TP 隧道，同时运营商将一个电话号码 15400 分配给 LAC，以供出差员工拨入

5. 当出差员工或者外出员工使用 Modem 或者特制手机拨打号码 15400，此时 Modem 就连接到 LAC

6. L2TP 是收费服务，而且企业不可能让任何人拨入这个网络，所以安全性肯定要考虑，结合上期网络身份保护的内容，LAC 对拨入用户要进行身份确认，典型的身份确认方式就是用户名、密码验证，这个身份信息列表由企业提供，运营商执行

7. LAC 确认身份无误后就把这次呼叫封装到 L2TP 隧道里送给 LNS

8. LNS 再对用户进行一次身份验证，验证通过后对远端用户分配 IP 地址

9. 远端用户获得 IP 地址后，就可以访问企业内部网络了

具体处理流程如下:


从上图可以发现，出差员工和 LAC 之间只有 PPP 会话，没有任何 L2TP 的内容，L2TP 隧道、会话只存在于 LAC 和 LNS 之间：

1. L2TP 使用的是UDP封装，端口号 1701

2. L2TP 隧道在 LAC 和 LNS 之间只有 1 个，协商隧道时可以使用身份确认

3. L2TP 会话在隧道内部可以有多个，一个会话对应一个 PPP 会话，即有多少个出差员工拨号，就会有多少个 L2TP 会话

所以，如果一个出差员工拨号到 LAC 时，LAC 检查到 LNS 的 L2TP 隧道已经建立，那么 LAC 直接和 LNS 协商一个新会话；当一个隧道内没有任何会话时，隧道才会被拆除。L2TP 原生应用场景的数据封装流程如下图所示：


运营商使用1个 LAC 同时为多个企业服务

从 LAC 命名来说，我们可以知道这个东西必定价格不菲，运营商肯定不可能为每个企业单独设置一台 LAC 和一个号码，因为这么做成本很高，赚不到钱，运营商的想法是只用1个 LAC、1 个号码同时为多个企业服务：

如上图所示，该LAC同时为弯曲评论、华三通信、惠普三家企业同时提供L2TP VPN接入服务，这是怎么做到的呢？答案很简单：

1. 我们在第一节中讲到了 LAC 要对拨入用户进行身份验证，可以在这里做文章

2. 不同企业的用户肯定不一样，在身份验证时，根据不同的用户名找到不同的 LNS 即可

3. 由于不同企业的人用户名有可能相同，所以这时的身份是带域名的用户名，比如弯曲评论的员工用户名是 abc@tektalk.org，而华三的员工则是 abc@h3c.com，惠普员工则是 @hp.com

有了后缀域名，运营商只要少量的LAC，创造的收入就很紧实了。

新网络时代的 L2TP VPN
随着 ADSL 等高速接入技术的普及（xDSL下行最高速度可以达到 12M），而普通的Modem接入速度只有 56k，在这种情况下，高速 L2TP VPN 接入需求变得很迫切：


如上图所示，新网络时代的 L2TP VPN 基本上没有运营商什么事，因为没有 LAC了，L2TP 跨越的网络直接就是互联网：

1. 企业总部还是要提供 L2TP LNS，对互联网上的出差员工提供接入

2. 该 LNS 最好要有一个固定都IP地址，如60.1.99.140，如果地址是变动的，那么需要实用DDNS和一个固定域名如 l2tp.tektalk.org 绑定起来，为什么呢，如果没有这个地址或域名，你让出差员工拨入到哪呢，这个地址和域名的作用就相当于原生 L2TP VPN 中的LAC 电话号码 15400

3. LAC 功能（或者叫 L2TP 客户端）一般集成在出差员工PC上，如 Windows XP 系统自带 L2TP 客户端

4. 出差员工通过设置拨号连接的IP地址或域名，开始向总部 LNS 发起连接

5. 建立 L2TP 隧道后协商 L2TP 会话

6. L2TP 会话协商结束，开始进行 PPP 参数协商，主要是身份确认和地址分配

7. 获得地址后就算是连接到企业内部网络了，VPN 建立成功

8. L2TP 会话结束，立刻拆除隧道，因为在这种模式中，每个客户端都需要和 LNS 建立隧道，而这个隧道中只有 1 个 PPP 会话

具体处理流程如下图所示：


很多时候出差员工是在宾馆上网，而宾馆客房网络通常都是通过 NAT 接入到互联网的，比如前图所示有 2 个出差员工的PC地址都是 192.168.1.2，那么可以正常连接到 LNS 吗？

由于 L2TP 使用 UDP 1701 端口封装隧道，所以根据《互联网穿越NAT》里的介绍，它可以穿越出差员工的 NAT 网关，经过 NAT 转换后，两名员工的连接地址分别变成 2.17.2.1和 6.24.1.1，LNS可以做出正确的区分，L2TP VPN 显然可以轻松应对这种条件。