Client-Initiated场景中的L2TP VPN原理

Client-Initiated场景中的L2TP VPN原理
从隧道协商、报文封装、安全策略这3个方面介绍Client-Initiated场景中L2TP VPN的工作原理。
隧道协商
移动办公用户在访问企业总部服务器之前,需要先通过L2TP VPN软件与LNS建立L2TP VPN隧道。图1所示是移动办公用户与LNS协商建立L2TP VPN隧道,直至最后成功访问企业内网资源的完整过程。
图1 Client-Initiated场景下L2TP VPN隧道的建立过程

图片.png

(1)移动办公用户与LNS建立L2TP VPN隧道。 

图片.png

图片.png

(2)移动办公用户与LNS建立L2TP会话。
移动办公用户在第3步会与LNS间建立PPP连接,L2TP会话用来记录和管理它们之间的PPP连接状态。因此,在建立PPP连接以前,隧道双方需要为PPP连接预先协商出一个L2TP会话。

图片.png

图片.png

(3)移动办公用户与LNS建立PPP连接。
移动办公用户通过与LNS建立PPP连接获取LNS分配的企业内网IP地址。

图片.png

图片.png

(4)移动办公用户发送业务报文访问企业总部服务器。
从下图可以看到,移动办公用户使用企业分配的内网地址172.16.1.51访问内网服务器192.168.1.1,报文经过加解封装后到达对端。有关报文封装的细节请参见报文封装。

图片.png

报文封装
报文的封装和解封装过程如图2所示。
图2 Client-Initiated场景下报文的封装过程

图片.png

(1)移动办公用户向企业总部服务器发送业务报文。
    业务报文进行PPP封装和L2TP封装,然后按照移动办公用户PC的本地路由转发给LNS。
(2)LNS接收到报文以后,完成身份认证和报文的解封装,去掉PPP头、L2TP头、UDP头和外层IP头,还原为原始报文,然后按照到企业内网的路由将报文转发给企业总部服务器。
(3)企业总部服务器收到移动办公用户的报文后,向移动办公用户返回响应报文。

安全策略
    图3所示为LNS设备上报文所经过的安全域间。
    移动办公用户访问企业总部服务器的过程中,经过LNS的流量分为以下2类,对应流量的安全策略处理原则如下。
        移动办公用户与LNS间的L2TP报文。
        此处的L2TP报文既包含移动办公用户与LNS建立隧道时的L2TP协商报文,也包含移动办公用户访问企业总部服务器被解封装前的业务报文,这些L2TP报文会经过Untrust—>Local区域。
        移动办公用户访问企业总部内网服务器的业务报文。
LNS通过VT接口将移动办公用户访问企业总部服务器的业务报文解封装以后,这些报文经过的安全域间为DMZ->Trust。DMZ区域为LNS上VT接口所在的安全区域,Trust为LNS连接总部内网接口所在的安全区域。
图3 LNS上的安全域间

图片.png

综上所述,LNS上应配置的安全策略匹配条件如表1所示。
表1 LNS的安全策略匹配条件

图片.png

*:此处的应用与具体的业务类型有关,可以根据实际情况配置,如tcp、udp等。


1、本站资源长期持续更新,可加入VIP会员、资源全免费。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » Client-Initiated场景中的L2TP VPN原理

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他
加载中~

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!