路由器l2tp是什么意思(小米mini路由器支持l2tp吗)

1.L2TP简介

第二层隧道协议L2TP(Layer 2 Tunneling Protocol)是一种虚拟专用拨号网络(VPDN)隧道协议,扩展了点对点协议PPP(点对点协议)的应用,是远程拨号用户访问企业总部网络的重要VPN技术。

L2TP通过拨号网络,基于PPP协商,建立一个从企业分支用户到企业总部的隧道,以便远程用户可以访问企业总部。PPPoE(PPP over Ethernet)技术扩大了L2TP的应用范围,通过以太网连接互联网,建立了远程移动办公人员到企业总部的L2TP隧道。

图1 L2TP典型网络图

如上图1所示,它展示了使用L2TP技术构建VPDN网络的典型场景。

随着企业的发展和业务的增加,不同地区的分支机构和员工需要与总部建立快速、安全、可靠的网络连接。

传统的拨号网络需要租用互联网服务提供商(ISP)的电话线,申请一个公众号或IP地址,不仅成本高,而且无法为远程用户特别是企业员工提供便捷的接入服务。为了更好地利用拨号网络,方便远程用户的访问,基于拨号网络的VPN,即VPDN应运而生。通过VPDN技术,在远程用户和公司总部的网关之间建立了点对点的虚拟链路。

VPDN有以下三种常用的隧道技术:

点对点隧道协议(PPTP);第二层转发L2F(第二层转发);第二层隧道协议L2TP(第二层隧道协议)。

L2TP结合了PPTP和L2F的优点,目前已被广泛接受,主要用于满足单个或少数远程终端通过公网访问内部网的需求。

L2TP封装PPP报文,在公网上建立虚拟链路传输企业的私有数据,省去了租用物理专线的高额成本。同时将企业从复杂、专业的网络维护中解放出来,只需要维护专网和远程访问用户,降低了维护成本。

L2TP还具有以下特点,可以为企业提供便捷、安全、可靠的远程用户访问服务。

1.灵活的认证机制和高安全性

L2TP使用PPP提供的安全功能(如PAP和CHAP)对接入用户进行身份验证;L2TP定义了控制消息的加密传输模式,并支持L2TP隧道的认证。L2TP不对传输的数据进行加密,但它可以与互联网协议安全(IPSec)相结合,为数据传输提供高度的安全保障。

2.多协议传输

L2TP传输PPP包,PPP可以传输多种协议报文,所以L2TP可以用于IP网络、帧中继永久虚电路(PVCs)、X.25虚电路(VCs)或者ATM VCs网络。

3.支持RADIUS(远程认证拨入用户服务)服务器的认证

L2TP不仅支持对接入用户进行本地认证,还支持将拨号接入的用户名和密码发送到RADIUS服务器进行认证,为企业管理接入用户提供了更多的选择。

4.支持私有网络地址分配。

使用L2TP的企业总部网关可以为远程用户动态分配私有网络地址。

5.可靠性

L2TP协议支持备用LNS。当主LNS不可达时,LAC可以与备份LNS建立连接,这增强了VPN服务的可靠性。

2.L2TP的基本概念

图1 L2TP网络图

图1显示了L2TP的典型网络,以下是L2TP的相关概念。

1、VPDN

VPDN是一种承载PPP报文的VPN,可以为企业、小型ISP和移动办公人员提供接入服务。

PPP终端访问拨号网络并拨号到NAS。NAS收到PPP报文后,用L2TP封装,最外层的IP头经过公网路由转发后到达LNS。LNS收到报文后,解封装并恢复PPP报文,完成PPP报文在公网上的透明传输,从而建立PPP终端与LNS之间的VPDN连接。

随着以太网的普及,PPP终端不再受传统拨号网络的限制,可以使用PPPoE技术通过以太网访问LAC。

2.PPP终端

在L2TP应用中,PPP终端是指发起拨号并将数据封装成PPP类型的设备,如远程用户PC、企业分支网关等。

3、NAS

网络接入服务器(NAS)主要由ISP维护,连接拨号网络,是离PPP终端最近的接入点。NAS用于传统的拨号网络,为远程拨号用户提供VPDN服务,并与公司总部建立隧道连接。

4、LAC

L2TP接入集中器LAC(L2TP接入集中器)是一种在交换网络上具有PPP和L2TP处理能力的设备。LAC根据PPP消息中携带的用户名或域名信息与LNS建立L2TP隧道连接,并将PPP协商扩展到LNS。

在不同的网络环境中,LAC可以是不同的设备:

在传统的拨号网络中,ISP在NAS上部署LAC。

在企业分公司的以太网中,PPP终端配备网关设备,作为PPPoE服务器,部署为LAC。

当商务旅行者使用PC终端访问互联网并在他们的PC上安装L2TP拨号软件时,PC终端是LAC。

LAC可以发起建立多个L2TP隧道,将数据流相互隔离,即LAC可以承载多个VPDN连接。

LAC在LNS和PPP终端之间传输数据。即LAC封装来自PPP终端的报文并发送给LNS,解封装来自LNS的报文并发送给PPP终端。

5、移民

L2TP网络服务器LNS(L2TP网络服务器)是终止PPP会话的终端。通过LNS的认证,PPP会话协商成功,远程用户可以访问公司总部的资源。

对于L2TP谈判,LNS是LAC的对面设备,即LAC和LNS建立了L2TP隧道;对于PPP来说,LNS是PPP会话的逻辑端点,即在PPP终端和LNS之间建立一条点对点的虚拟链路。

LNS位于企业总部私网和公网的边界,通常是企业总部的网关设备。必要时,LNS还具有网络地址转换(NAT)功能,可以转换公司总部网络中的私有IP地址和公有IP地址。

6.隧道和会话

在LAC和LNS之间的L2TP相互作用中有两种类型的连接。

6.1.隧道连接

L2TP隧道在LAC和LNS之间建立。一对LAC和LNS可以建立多个L2TP隧道,一个L2TP隧道可以包含多个L2TP会话。

6.2.会话连接

L2TP会话发生在隧道连接成功之后,L2TP会话代表隧道连接中承载的PPP会话过程。

3.L2TP的工作原理

1.L2TP协议体系结构

L2TP协议包含两种类型的消息,控制消息和数据消息,消息的传输发生在LAC和LNS之间。L2TP协议通过这两条消息扩展了PPP的应用。

1.1.控制信号

用于建立、维护和拆除L2TP隧道和会话连接。在控制消息的传输过程中,采用消息丢失重传、定时检测隧道连通等机制来保证控制消息传输的可靠性,并支持控制消息的流量控制和拥塞控制。

1.2.数据报文

用于封装PPP数据帧并在隧道中传输。数据为不可靠传输,丢失的数据报文不进行重传,不支持数据报文的流量控制和拥塞控制。

图1 L2TP协议架构

图1说明了PPP消息、控制消息和数据消息在L2TP协议体系结构中的位置和关系。

控制消息承载在L2TP控制信道上,实现了控制消息的可靠传输。控制消息被封装在L2TP报头中,然后通过IP网络传输。

该消息在不可靠的数据信道上携带PPP帧,由L2TP封装,然后通过IP网络传输。

L2TP协议使用UDP端口1701,该端口仅用于初始隧道建立。L2TP隧道的发起方选择一个空空闲端口向接收方的1701端口发送报文;接收到消息后,接收方也可以选择空的空闲端口将消息发回发起方选择的端口。此时,双方的端口被选中,在隧道连接时间内不会改变。

2.L2TP消息结构

图2 L2TP消息格式

L2TP封装后远程拨号生成的PPP报文的报文格式如上图2所示。

L2TP报文经过多次封装,比原报文多38个字节(如果需要序列号信息,比原报文多42个字节),封装后的报文长度可能超过接口的MTU值。但是L2TP协议本身不支持报文分片功能,所以设备需要支持IP报文分片功能。

当L2TP报文的长度超过发送接口的MTU值时,在发送接口对报文进行分片,接收端将接收到的分片报文恢复并重组为L2TP报文。

3.L2TP分组封装

L2TP是PPP的扩展,它使PPP消息能够通过隧道在公共网络中传输。

如果组网只应用PPP,PPP终端发起的拨号只能到达拨号网络的边缘节点NAS,可以称为PPP会话的终止节点。使用L2TP,PPP消息可以通过公共网络传输,到达公司总部的LNS,相当于PPP会话的终止节点。

图3 L2TP数据包封装图

如上面的图3所示,企业分支机构向企业总部发送消息有以下过程:

3.1.PPP终端:IP数据报文封装在PPP(链路层)中发送。

3.2.LAC:收到PPP报文后,根据报文中携带的用户名或域名判断接入用户是否为VPDN用户。

VPDN用户:用L2TP封装PPP报文,然后根据LNS的公网地址用UDP和IP封装L2TP报文。封装消息的最外层是公网的IP地址,通过公网路由转发给LNS。非VPDN用户:解封装PPP消息,LAC是PPP会话的终止节点。

3.3.LNS:接收到L2TP报文后,依次去除外层的IP封装、L2TP封装和PPP封装,得到PPP携带的信息,即PPP终端发送的IP数据报文。根据报文中的目的地址,查找路由表,使报文到达公司总部的目的主机。

总部响应分支用户时,响应报文到达LNS,然后查找路由表,根据转发接口进行L2TP处理。数据包封装过程与分支机构到总部的过程相同。

4.L2TP信息传输

在L2TP传输PPP消息之前,需要建立L2TP隧道和会话之间的连接。对于第一次发起的L2TP连接,有以下过程:

4.1.建立L2TP隧道连接

当LAC收到来自远程用户的PPP协商请求时,LAC向LNS发起L2TP隧道请求。LAC和LNS通过L2TP控制消息协商隧道ID和隧道认证。协商成功后,建立了一个L2TP隧道,由隧道ID标识。

4.2.建立L2TP会话连接

如果L2TP隧道已经存在,LAC和LNS将通过L2TP控制消息协商会话ID,否则,将首先建立L2TP隧道连接。该会话携带LCP协商信息和LAC的用户认证信息。在LNS认证了接收到的信息之后,它通知LAC会话已经成功建立。L2TP会话连接由会话ID标识。

4.3.PPP消息的传输

L2TP会话成功建立后,PPP终端向LAC发送数据报文,LAC根据L2TP隧道、会话ID等信息封装L2TP报文,发送给LNS,LNS根据路由转发表解封装L2TP发送给目的主机,完成报文的传输。

以上就是由优质生活领域创作者 人世间生活网小编 整理编辑的,如果觉得有帮助欢迎收藏转发~

请登录后发表评论

    没有回复内容