NAS-Initiated场景中的L2TP VPN原理

NAS-Initiated场景中的L2TP VPN原理
介绍L2TP VPN在NAS-Initiated场景中的工作原理。
隧道协商
拨号用户在向企业内网发送业务数据以前,要先协商好传输数据所需的隧道信息。图1所示是拨号用户从发起访问请求,到NAS和LNS协商完成L2TP VPN隧道,直至最后成功访问企业内网资源的完整过程。
图1 NAS-Initiated场景下L2TP VPN隧道建立过程

图片.png

(1)拨号用户与NAS建立PPPoE连接。
拨号用户发出PPPoE广播报文寻找NAS接入设备,找到的NAS设备是其随后访问企业总部内网资源的隧道入口。

图片.png

图片.png

图片.png

(2)NAS与LNS建立L2TP VPN隧道。
PPPoE连接建立完成后,会触发NAS与LNS间协商L2TP VPN隧道,具体过程如下。

图片.png

图片.png

(3)NAS与LNS建立L2TP会话。
拨号用户在第4步会与LNS间建立PPP连接,L2TP会话用来记录和管理它们之间的PPP连接状态。因此,在建立PPP连接以前,隧道双方需要为PPP连接预先协商出一个L2TP会话。

图片.png

图片.png

(4)拨号用户与LNS建立PPP连接。
1、拨号用户通过与LNS建立PPP连接获取LNS分配的企业内网IP地址。
 可选:LNS对拨号用户进行身份认证。
在NAS-Initiated场景中,用户身份认证有两种方案,一种是仅使用NAS对用户做身份认证,另一种是NAS和LNS分别对用户做身份认证(也叫二次认证)。认证方案的选择由LNS侧的配置控制,LNS侧有如下三种身份认证方式。
代理认证
表示仅使用NAS进行用户认证,LNS不再对用户进行二次身份认证。例如,步骤1中,拨号用户与NAS建立PPPoE连接时,NAS已经使用PAP/CHAP方式对拨号用户做了身份认证,则此处LNS将不做二次认证。
强制CHAP认证
表示NAS认证完用户身份以后,LNS要求用户使用CHAP方式重新进行身份认证,该方式属于二次身份认证。
LCP重协商
表示LNS不信任NAS的认证结果,要求用户重新与LNS进行LCP协商并进行身份认证,该方式属于二次身份认证。
LNS默认使用的是代理认证方式,即不对用户做二次认证。
2、身份认证完成后,拨号用户向LNS发送IPCP Request消息,请求LNS向其分配企业内网IP地址。
3、LNS向拨号用户返回IPCP ACK消息,此消息中携带了为拨号用户分配的企业内网IP地址(即LNS地址池中的IP地址),PPP连接建立完成。例如下图中,LNS为拨号用户分配的内网地址为172.16.1.51。

图片.png

(5)拨号用户发送业务报文访问企业总部。
从下图可以看到,拨号用户使用企业分配的内网地址172.16.1.51访问内网服务器192.168.1.1,报文经过NAS和LNS的加解封装后到达对端。有关报文的封装细节请参见报文封装。

图片.png

报文封装
报文的封装和解封装过程如图2所示。
图2 NAS-Initiated场景下报文的封装过程

图片.png

1、拨号用户发出的原始数据经过PPP头和PPPoE头封装后发往NAS设备。
2、由于PPPoE是点到点连接,PPPoE连接建立以后,拨号用户本地PC不用进行路由选择,直接将封装后的报文发送给NAS设备。
3、NAS设备使用VT(Virtual-Template)接口拆除报文的PPPoE头,再进行L2TP封装,然后按照到Internet的公网路由将封装后的数据发送出去。
4、 LNS设备接收到报文以后,拆除报文的L2TP头和PPP头,然后按照到企业内网的路由进行报文转发。
5、企业总部服务器收到拨号用户的报文后,向拨号用户返回响应报文。

安全策略
图3所示为NAS设备上报文所经过的安全域间。
 拨号用户访问企业内网的过程中,经过NAS的流量分为以下2类,对应流量的安全策略处理原则如下。
  NAS收到的拨号用户发来的PPPoE报文。
此处的PPPoE报文既包含拨号用户与NAS间建立PPPoE连接时的协商报文,也包含拨号用户访问企业总部内网业务数据被封装后的PPPoE报文。由于PPPoE广播报文不受安全策略控制,因此NAS上无需为该流量配置安全策略。
 由NAS发出的L2TP报文。
此处的L2TP报文既包含NAS与LNS建立隧道时的L2TP协商报文,也包含拨号用户访问企业总部内网业务数据被封装后的L2TP报文,这些L2TP报文会经过Local—>Untrust区域。
图3 NAS上的安全域间
图片.png

图4所示为LNS设备上报文所经过的安全域间。
拨号用户访问企业内网的过程中,经过LNS的流量分为以下2类,对应流量的安全策略处理原则如下。
    NAS与LNS间的L2TP报文。
    此处的L2TP报文既包含NAS与LNS建立隧道时的L2TP协商报文,也包含拨号用户访问企业总部内网业务数据被解封装前的L2TP报文,这些L2TP报文会经过Untrust—>Local区域。
    拨号用户访问企业总部内网的业务报文。
LNS通过VT接口将拨号用户访问企业总部内网的业务报文解封装以后,这些报文经过的安全域间为DMZ->Trust。DMZ区域为LNS上VT接口所在的安全区域,Trust为LNS连接总部内网接口所在的安全区域。
图4 LNS上的安全域间

图片.png

综上所述,NAS和LNS上应配置的安全策略匹配条件如表1所示。
表1 NAS和LNS的安全策略匹配条件

图片.png



1、本站资源长期持续更新,可加入VIP会员、资源全免费。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » NAS-Initiated场景中的L2TP VPN原理

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!