Call-LNS场景中的L2TP VPN原理

Call-LNS场景中的L2TP VPN原理
从隧道协商、报文封装、安全策略和LAC的源NAT地址转换这4个方面介绍Call-LNS场景中L2TP VPN的工作原理。
隧道协商
Call-LNS场景中,LAC和LNS配置完L2TP VPN以后,LAC会主动向LNS发起隧道协商请求,图1所示是隧道协商的完整过程。
图1 Call-LNS场景下L2TP VPN隧道的建立过程

图片.png

(1)LAC与LNS建立L2TP VPN隧道。
图片.png

图片.png

(2)LAC与LNS建立L2TP会话。
LAC在第3步会与LNS间建立PPP连接,L2TP会话用来记录和管理它们之间的PPP连接状态。因此,在建立PPP连接以前,隧道双方需要为PPP连接预先协商出一个L2TP会话。

图片.png

图片.png

(3)LAC与LNS建立PPP连接。
LAC通过与LNS建立PPP连接获取LNS分配的企业内网IP地址。

图片.png

图片.png

(4)企业分支员工发送访问企业总部服务器的业务报文,报文经过LAC和LNS的加解封装后到达对端,有关报文的封装细节请参见报文封装。
报文封装
报文的封装和解封装过程如图2所示。
图2 Call-LNS场景下报文的封装过程

图片.png

(1)企业分支员工向总部内网服务器发送访问请求。
    分支员工的PC按照本地路由将请求报文转发给LAC。
(2)LAC收到报文后使用VT(Virtual-Template)接口对此报文进行PPP封装和L2TP封装。
    报文封装完成后,LAC再按照到Internet的公网路由将封装好的报文发送出去。
(3)LNS设备接收到报文以后,使用VT接口拆除报文的L2TP头和PPP头,然后按照到企业内网的路由将报文转发给总部内网服务器。
(4)企业总部服务器收到分支员工的报文后,向分支员工返回响应报文。
安全策略
    图3所示为LAC设备上报文所经过的安全区域。
    企业分支员工访问企业总部服务器的过程中,经过LAC的流量分为以下2类,对应流量的安全策略处理原则如下。
        企业分支员工访问企业总部服务器的业务报文。
业务报文会从Trust区域进入LAC,然后再通过DMZ区域的VT接口进行封装,其经过的安全区域为Trust—>DMZ区域。Trust和DMZ仅为示例,Trust代表LAC连接分支内网接口所在的安全区域,DMZ代表LAC上VT接口所在的安全区域。
由LAC发出的L2TP报文。
此处的L2TP报文既包括建立L2TP VPN隧道时的协商报文,也包括经过L2TP封装以后的业务报文,这些L2TP报文会经过Local—>Untrust区域。
图3 LAC上的安全域间

图片.png

图4所示为LNS设备上报文所经过的安全域间。
企业分支员工访问企业总部服务器的过程中,经过LNS的流量分为以下2类,对应流量的安全策略处理原则如下。
    LNS收到的L2TP报文。
    此处的L2TP报文既包含LAC与LNS建立隧道时的L2TP协商报文,也包含分支员工访问企业总部服务器的业务数据被解封装前的L2TP报文,这些L2TP报文会经过Untrust—>Local区域。
    企业分支员工访问企业总部服务器的业务报文。
    LNS的VT接口会对L2TP报文解封装,解封装后的业务报文送往总部内网服务器所在的Trust区域,该报文经过的安全区域为DMZ—>Trust区域。
图4 LNS上的安全域间

图片.png

综上所述,LAC和LNS上应配置的安全策略匹配条件如表1所示。
表1 LAC和LNS的安全策略匹配条件
图片.png

*:此处的应用与具体的业务类型有关,可以根据实际情况配置,如tcp、udp、icmp等。
LAC上的源NAT地址转换
在本场景中,LAC上需要配置一个源NAT策略,没有配置源NAT策略会造成用户业务访问失败,但源NAT策略不影响L2TP VPN隧道的建立。如图5所示,LAC与LNS之间已经建立了L2TP隧道。LAC侧VT口的名称是VT1,VT1接口从LNS侧获取到的IP地址是172.16.1.1/24;LNS侧VT口的名称是VT2,VT2的IP地址此处没有用到,无需关注。
图5 LAC上的源NAT地址转换
图片.png

结合上图分支员工访问企业总部服务器的过程,可以帮助理解LAC侧源NAT策略在报文转发过程中的作用。
(1)分支员工向企业总部服务器发起访问请求,该报文的源地址是10.1.1.1,目的地址是192.168.1.1。
    LAC收到报文以后,查找目的地址为192.168.1.0/24这条路由转发此报文。
(2)LAC发现该报文的出接口是VT1口,于是对该报文进行L2TP封装。封装后的报文源地址是1.1.1.1,目的地址是2.2.2.2。
(3)LAC对封装后的L2TP报文继续查找路由,然后按照目的地址为0.0.0.0/0这条缺省路由将报文转发到Internet。
(4)L2TP报文到达LNS侧以后,LNS进行L2TP解封装,并将解封装后的报文发送给企业总部服务器。然后,总部服务器向LNS返回响应报文,响应报文的源地址是192.168.1.1,目的地址是10.1.1.1。
(5)LNS收到响应报文后,查找路由进行报文转发。
    由于LNS上并没有一条目的地址是10.1.1.0/24网段的路由,于是该响应报文将无法进入L2TP隧道返回给分支员工。最后该报文只能匹配缺省路由被转发至Internet,直至被Internet丢弃。
LAC上源NAT策略的作用是将分支员工发出的报文源地址10.1.1.1转换为LAC上VT1口的地址172.16.1.51。如此一来,企业总部服务器返回的响应报文的目的地址也就变成了172.16.1.51,该响应报文到达LNS以后,就可以命中LNS上的UNR路由,确保这个响应报文能够进入L2TP隧道,并返回给分支员工。
此处源NAT的配置方法如下。

[LAC] nat-policy
[LAC-policy-nat] rule name policy1
[LAC-policy-nat-rule-policy1] egress-interface Virtual-Template vt1
[LAC-policy-nat-rule-policy1] source-address 10.1.1.0 24
[LAC-policy-nat-rule-policy1] action source-nat easy-ip
[LAC-policy-nat-rule-policy1] quit
[LAC-policy-nat] quit

该问题不建议采取在LNS上手动添加一条到分支内网路由的方法来解决,原因如下。
    如果分支侧子网较多,则LNS上添加到分支子网的路由就会增多,这对于网络维护将会是一个很大的负担。
    分支子网的地址有可能会发生变化,LNS侧就要根据分支侧子网地址的变化同步修改路由,这同样会给网络维护带来麻烦。


VPN配置案例汇总、VPN汇总(列表、list、全)vpnlist
http://www.zh-cjh.com/wenzhangguilei/1193.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » Call-LNS场景中的L2TP VPN原理

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!