H3C 防火墻 L2TP Tunnel搭建-魔扣目錄

一、H3C VPDN

VPDN（Virtual Private Dial-up Network，虛擬專用撥號網絡）是指利用公共網絡（如ISDN或PSTN）的撥號功能接入公共網絡，實現虛擬專用網，從而為企業、小型ISP、移動辦公人員等提供接入服務。即VPDN為遠端用戶與私有企業網之間提供了一種經濟而有效的點到點連接方式。

二、LAC、LNS

L2TP: Layer 2 Tunnel Protocol 二層隧道協議,是為在用戶和企業的服務器之間透明傳輸PPP報文而設置的隧道協議.

特性:

靈活的身份驗證機制以及高度的安全性
多協議傳輸
支持RADIUS服務器的驗證
支持內部地址分配
網絡計費的靈活性
可靠性

VPDN采用隧道協議在公共網絡上為企業建立安全的虛擬專網。企業駐外機構和出差人員可從遠程經由公共網絡，通過虛擬隧道實現和企業總部之間的網絡連接，而公共網絡上其它用戶則無法穿過虛擬隧道訪問企業網內部的資源。

VPDN隧道協議主要包括以下三種：

· PPTP（Point-to-Point Tunneling Protocol，點到點隧道協議）

· L2F（Layer 2 Forwarding，二層轉發）

· L2TP（Layer 2 Tunneling Protocol，二層隧道協議）

L2TP結合了L2F和PPTP的各自優點，是目前使用最為廣泛的VPDN隧道協議。

L2TP（RFC 2661）是一種對PPP鏈路層數據包進行封裝，并通過隧道進行傳輸的技術。L2TP允許連接用戶的二層鏈路端點和PPP會話終點駐留在通過分組交換網絡連接的不同設備上，從而擴展了PPP模型，使得PPP會話可以跨越分組交換網絡，如Internet。

L2TP發起遠程連接有兩種，一種是用戶發起連接，另外一種是LAC NAS發起連接。

　　比較簡單，用戶直接向ＬＮＳ發起連接請求，不需要LAC的支持

LAC發起連接。

　　LAC根據ＶＰＮ用戶指定的地址，向LNS發起連接，流程比較復雜

LAC 和LNS之間可以進行驗證。

LAC: L2TP Access Concentrator L2TP的接入集中器

NAS服務器發起VPDN連接

NAS（Network Access Sever，網絡接入服務器）通過使用VPDN隧道協議，將客戶的PPP連接直接連接到企業的VPDN網關上，從而與VPDN網關建立隧道。NAS與VPDN網關建立虛擬隧道對于用戶是透明的。用戶只需要登錄到NAS就可以通過虛擬隧道接入企業內部網絡。用戶只能在連接到NAS以下的網絡中，有地點限制。

用戶發起VPDN連接

客戶端一VPDN網關建立隧道。這種方式由客戶端先與intenet聯網，然后通過專用的軟件或支持L2TP的客戶端與VPND網關建立隧道連接。用戶上網方式和地點沒有限制。

VPDN網關，一般使用的是路由器或VPN專用服務器。

LNS: L2TP Network Server L2TP的網絡服務器

LNS是具有PPP和L2TP協議處理能力設備，通常位于企業內部邊緣。

LNS作為L2TP隧道的另一側端點，是LAC通過隧道傳輸PPP會話的邏輯終點。L2TP通過在公共網絡中建立L2TP隧道，將遠端系統的PPP連接由原來的NAS延伸到了企業內部網絡的LNS設備。

遠端系統

遠端系統是要接入企業內部網絡的用戶和遠端分支機構，通常是一個撥號用戶電腦或私有網絡中的一臺路由器或服務器。

三、實施過程

VPN用戶訪問公司總部過程如下：

(1) 用戶首先連接Internet，之后直接由用戶向LNS發起Tunnel連接的請求。

(2) 在LNS接受此連接請求之后，VPN用戶與LNS之間就建立了一條虛擬的L2TP tunnel。