L2TP VPN简介

L2TP基本概念：

L2TP（Layer 2 Tunneling Protocol） VPN是一种用于承(cheng)载(zai)PPP报文(wen)的隧道(dao)技术(shu)，该技术(shu)主要应用在远程办公(gong)场景(jing)中为出差(cha)员工远程访问企业(ye)内网(wang)资源提供接入服务(wu)。


目的：


L2TP VPN技(ji)术出(chu)现以(yi)后(hou)，使用L2TP VPN隧道“承载(zai)”PPP报文在Internet上传输成为(wei)了(le)解决上述问题的一种途径。无(wu)论出(chu)差(cha)员工(gong)是通过(guo)传统拨号方(fang)式(shi)接入Internet，还是通过(guo)以(yi)太网方(fang)式(shi)接入Internet，L2TP VPN都(dou)可以(yi)向其提供(gong)远程接入服务。

L2TP VPN的(de)优(you)点：

身份验证机制


支持本地认证。


支(zhi)持Radius服务器(qi)等认(ren)证(zheng)方式


多协(xie)议传输


L2TP传(chuan)输(shu)(shu)PPP数据包，PPP本身可(ke)(ke)以(yi)传(chuan)输(shu)(shu)多协议(yi)，而不仅仅是IP可(ke)(ke)以(yi)在PPP数据包内封装多种协议(yi)


计费认证地址分(fen)配


可(ke)在LAC和(he)LNS两处(chu)同(tong)时计(ji)费，即ISP处(chu)（用于(yu)产生账单）及企业网(wang)关（用于(yu)付费及审计(ji)）。L2TP能够提供(gong)数(shu)(shu)据传输的出入包数(shu)(shu)、字(zi)节数(shu)(shu)以及连接的起始(shi)、结束时间等计(ji)费数(shu)(shu)据，可(ke)根据这些(xie)数(shu)(shu)据方便(bian)地(di)进行网(wang)络(luo)计(ji)费


LNS可(ke)放置于企业网的USG之后(hou)，对远端用户地(di)(di)址进行动态分配(pei)和管理，可(ke)支持私有地(di)(di)址应用


不受NAT限制穿越(yue)


支(zhi)持(chi)远(yuan)程接(jie)入


灵活的身(shen)份验证及(ji)时以及(ji)高(gao)度的安(an)全性(xing)


L2TP协议本身(shen)并不(bu)提供连接的(de)(de)安全性，但它可(ke)以依赖(lai)于PPP提供的(de)(de)认证（CHAP、PAP等），因此具有(you)PP所具有(you)的(de)(de)所有(you)安全特性。


L2TP隧(sui)道可以(yi)与IPSec结合，使(shi)通过(guo)L2TP所(suo)传(chuan)输(shu)的数(shu)据更难被攻击。


可根据特定的网络安全要求(qiu)，在L2TP之上(shang)采用通道加密技术(shu)、端(duan)对端(duan)数据加密或(huo)应(ying)用层(ceng)数据加密等方(fang)案来提高数据的安全性。


可靠性(xing)


L2TP协议支持备份(fen)LNS，当一个(ge)主LNS不(bu)可(ke)达之后，LAC可(ke)以(yi)重(zhong)新(xin)与备份(fen)LNS建立(li)连接，增加了VPN服务的可(ke)靠(kao)性(xing)和容错性(xing)

L2TP VPN的原理

L2TP VPN的主要应用场(chang)景：

LAC和LNS介绍：


LAC是(shi)附属在交(jiao)换网络(luo)上的(de)(de)具(ju)有PPP端系统和L2TP协议(yi)处理能力的(de)(de)设备，主要用(yong)于为PPP类型的(de)(de)用(yong)户(hu)提供接入服务
LAC位(wei)于LNS和(he)用户(hu)(hu)之(zhi)间，用于在LNS和(he)用户(hu)(hu)之(zhi)间传递信(xin)息(xi)(xi)包(bao)(bao)，它(ta)把(ba)用户(hu)(hu)收到(dao)的信(xin)息(xi)(xi)包(bao)(bao)按照L2TP协议进(jin)行封装并(bing)送往LNS，同(tong)时也将从LNS收到(dao)的信(xin)息(xi)(xi)包(bao)(bao)进(jin)行解封装并(bing)送往用户(hu)(hu)。LAC与用户(hu)(hu)之(zhi)间采用本地连接或PPP链(lian)路(lu)，VPDN应用中(zhong)通常为PPP链(lian)路(lu)。

LNS既是(shi)PPP端系统(tong)，又是(shi)L2TP协议的服务器(qi)端，通(tong)常(chang)作(zuo)为一(yi)个企业内部网的边缘设备(bei)。

LNS作为L2TP隧道的(de)另(ling)一侧端(duan)点，是LAC的(de)对端(duan)设(she)备 ，是LAC进(jin)行(xing)隧道传输的(de)PPP会话(hua)的(de)逻辑终止端(duan)点。通过在公网(wang)中建(jian)立LAC隧道，将用(yong)户的(de)PPP连接的(de)另(ling)一端(duan)由(you)原(yuan)来的(de)LAC在逻辑上延(yan)伸了企业网(wang)内部的(de)LNS。


L2TP VPN主要(yao)有三(san)种(zhong)应(ying)用场景。分别是：


NAS-Initiated场景(jing)（拨号用户访问(wen)企业内网）


NAS（Network Access Server）:是(shi)运营商(shang)用(yong)来向(xiang)拨号用(yong)户(hu)提(ti)供PPP/PPPoE接入(ru)服(fu)务的服(fu)务器，拨号用(yong)户(hu)通过NAS访问(wen)外部(bu)网络。
LNS（L2TP Network Server）是企(qi)业总部的(de)出口网关(guan)。
用(yong)户通过PPPoE拨入LAC（L2TP Access Concentrator），触发LAC和LNS之间建(jian)立隧道。接入用(yong)户地址由LNS分(fen)配，对接入用(yong)户的认证(zheng)可(ke)由LAC侧的代理完成，也可(ke)两(liang)侧都(dou)对接入用(yong)户做(zuo)认证(zheng)。当所有(you)L2TP用(yong)户都(dou)下线时(shi)(shi)，隧道自动(dong)拆(chai)除以(yi)节省资(zi)源，直至再有(you)用(yong)户接入时(shi)(shi)，重新建(jian)立隧道。


此组网适用(yong)于(yu)分支(zhi)机构用(yong)户(hu)向总部发起连接，且一般用(yong)于(yu)分支(zhi)机构的用(yong)户(hu)不(bu)经常访问企(qi)业(ye)总部的情况。




图(tu)：NAS-Initiated VPN隧道组网图(tu)
LAC自动拨号


LAC与LNS之(zhi)间建立一条永久(jiu)性L2TP会(hui)话。客户端(duan)不用PPP拨号(hao)，而通(tong)过(guo)IP连接即可在隧道中(zhong)传(chuan)输数据。


用(yong)户通过(guo)配置(zhi)触(chu)发(fa)建立(li)LAC与LNS之间的(de)永(yong)久(jiu)性L2TP会(hui)话。LAC使用(yong)存储在本地的(de)用(yong)户名和LNS建立(li)一(yi)个永(yong)久(jiu)存在的(de)L2TP隧(sui)道(dao)，此时的(de)L2TP隧(sui)道(dao)就相当于一(yi)个物理连接(jie)。用(yong)户与LAC之间的(de)连接(jie)就不受限于PPP连接(jie)，而(er)只需IP连接(jie)，LAC即可(ke)将用(yong)户的(de)IP报(bao)文(wen)转发(fa)到LNS。


这种组网(wang)也适(shi)用(yong)于(yu)分(fen)支机构(gou)接入总部，用(yong)于(yu)分(fen)支机构(gou)员工访问总部频率较高(gao)的情(qing)况(kuang)。与NAS-Initiated VPN场景相比(bi)：


分(fen)支机(ji)构员工感知不到隧道存在，不需要使用(yong)用(yong)户(hu)(hu)名(ming)接入(ru)。LAC为分(fen)支机(ji)构的(de)多个用(yong)户(hu)(hu)提供L2TP服(fu)务(wu)，免去了每个用(yong)户(hu)(hu)使用(yong)L2TP都需要先拨号的(de)麻烦(fan)。
这种组网(wang)下，LNS只对LAC进(jin)行(xing)认(ren)(ren)(ren)证(zheng)。其缺点(dian)为：分支机构用(yong)户只要能够连接(jie)(jie)LAC即可使用(yong)L2TP隧道接(jie)(jie)入(ru)总(zong)(zong)部，而不需(xu)被认(ren)(ren)(ren)证(zheng)。存在一定(ding)的(de)安全隐患(huan)。此时用(yong)户接(jie)(jie)入(ru)总(zong)(zong)部以(yi)通过(guo)设备的(de)用(yong)户认(ren)(ren)(ren)证(zheng)功能对接(jie)(jie)入(ru)总(zong)(zong)部的(de)用(yong)户进(jin)行(xing)认(ren)(ren)(ren)证(zheng)，从而提高安全性(xing)。




图(tu)：LAC自动(dong)拨号组(zu)网(wang)示例(li)
Client-Initiated场景（移(yi)动办公用户访问企业(ye)内网）


直接(jie)(jie)(jie)(jie)由接(jie)(jie)(jie)(jie)入用户（可为(wei)支持L2TP协议的PC）发起连接(jie)(jie)(jie)(jie)。此时接(jie)(jie)(jie)(jie)入用户可直接(jie)(jie)(jie)(jie)向(xiang)LNS发起隧道连接(jie)(jie)(jie)(jie)请求，无(wu)需再经(jing)过一个单独(du)的LAC设备(bei)。接(jie)(jie)(jie)(jie)入用户地址(zhi)的分(fen)配由LNS来(lai)完成。


由于LNS端需(xu)要为每个远程用(yong)户建立一(yi)条隧道，与NAS-Initiated VPN场景(jing)相比(bi)，LNS端配置更复杂一(yi)些。与其(qi)(qi)他两种场景(jing)相比(bi)，其(qi)(qi)优点在(zai)于接入用(yong)户不受地域限制。


此(ci)场景适用于(yu)出差员(yuan)工使(shi)用PC、手机等移动设备接入总(zong)部(bu)服(fu)务(wu)器，实现移动办(ban)公(gong)。






图(tu)(tu)：Client-Initiated组(zu)网示意图(tu)(tu)

隧道和(he)会话建立原(yuan)理：

隧道和会(hui)话的(de)概念：

在LNS和(he)LAC对之(zhi)间存在着(zhe)两种类型的连(lian)接。


隧道（Tunnel）连接：它定义了互相(xiang)通信(xin)的两个实(shi)体LNS和LAC。


在一对(dui)LAC和LNS之(zhi)间可以建立多条隧道。隧道由一个(ge)控制(zhi)连接和至少(shao)一个(ge)会话(hua)组(zu)成。


L2TP首先需要建(jian)立(li)(li)L2TP隧道(dao)，然后在(zai)L2TP隧道(dao)上建(jian)立(li)(li)会话(hua)连(lian)接，最后建(jian)立(li)(li)PPP连(lian)接。所(suo)有(you)的L2TP需要承载的数据信息都是在(zai)PPP连(lian)接中进行传递的。


会话（Session）连接(jie)：它复用在隧道连接(jie)之上，用于表示承载隧道连接(jie)中的每个(ge)PPP连接(jie)过程。


会(hui)话是(shi)有(you)方向的(de)，从(cong)(cong)LAC向LNS发(fa)起的(de)会(hui)话叫做Incoming会(hui)话，从(cong)(cong)LNS向LAC发(fa)起的(de)会(hui)话叫做Outgoing会(hui)话。
隧道和会话的关系(xi)：


NAS-Initiated VPN场景中，一对LAC和LNS的(de)链(lian)接可以(yi)存在(zai)多条(tiao)隧道(dao)；一条(tiao)隧道(dao)中可承载多条(tiao)会话(hua)。即：多个(ge)用户可以(yi)共用一条(tiao)隧道(dao)。




LAC自动(dong)拨(bo)号场景中(zhong)，LAC和(he)LNS建立永久的(de)隧道。且仅(jin)承载一条永久的(de)L2TP会(hui)话和(he)PPP连(lian)接。




Client-Initiated VPN场(chang)景中(zhong)，每个接入用户(hu)和LNS之间(jian)均建立(li)一条隧(sui)道(dao)；每条隧(sui)道(dao)中(zhong)仅承载一台(tai)L2TP会话(hua)和PPP连(lian)接。




控制消(xiao)息和(he)数据消(xiao)息：


**控(kong)制(zhi)(zhi)消(xiao)息(xi)：**控(kong)制(zhi)(zhi)消(xiao)息(xi)用于(yu)隧道(dao)和会(hui)话连接的(de)(de)建立(li)、维护以及(ji)传(chuan)(chuan)输(shu)控(kong)制(zhi)(zhi)；位于(yu)隧道(dao)和会(hui)话建立(li)过程中。控(kong)制(zhi)(zhi)消(xiao)息(xi)的(de)(de)传(chuan)(chuan)输(shu)是可靠传(chuan)(chuan)输(shu)，并且(qie)支(zhi)持对控(kong)制(zhi)(zhi)消(xiao)息(xi)的(de)(de)流(liu)量控(kong)制(zhi)(zhi)和拥塞控(kong)制(zhi)(zhi)；主(zhu)要的(de)(de)控(kong)制(zhi)(zhi)消(xiao)息(xi)包括控(kong)制(zhi)(zhi)报(bao)文、会(hui)话报(bao)文等。


控(kong)制报文用于(yu)建立(li)和拆除、维持隧道，主要(yao)包括：


SCCRQ（Start-Control-Connection-Request）：控制连接发启请求。由(you)LAC或者LNS向(xiang)(xiang)对端(duan)发送，用来初始化(hua)LAC和LNS之间的隧道，开始隧道的建立过程(cheng)。NGFW的应用场景中，一般都(dou)是(shi)由(you)LAC向(xiang)(xiang)LNS发起请求。
SCCRP（Start-Control-Connection-Reply）：表示接受了(le)对端的(de)连接请求，隧道的(de)建立过程可(ke)以继续(xu)。
SCCCN（Start-Control-Connection-Connected）：对SCCRP的(de)回应(ying)，完成隧道的(de)建立。
StopCCN（Stop-Control-Connection-Notification）：由LAC或者LNS发出(chu)，通(tong)知对端隧道将(jiang)要停止，控制连接将(jiang)要关闭。另(ling)外，所有(you)活动的会(hui)话都(dou)会(hui)被清除。
HELLO：隧(sui)道保(bao)活控制(zhi)消息(xi)。L2TP使用Hello报(bao)文来(lai)检测隧(sui)道的连通(tong)性。LAC和LNS定时(shi)向对端发(fa)送(song)Hello报(bao)文，如果(guo)在一段(duan)时(shi)间内未收(shou)到(dao)Hello报(bao)文的应(ying)答，隧(sui)道将被清除。
会(hui)话报文用(yong)于建立和(he)拆(chai)除会(hui)话，主要包括：


ICRQ（Incoming-Call-Request）：当LAC检测到有(you)用户拨(bo)入电话的时候，向LNS发送ICRQ，请求在已经建(jian)立的隧道(dao)中建(jian)立会话。
ICRP（Incoming-Call-Reply）：用来回应ICRQ，表(biao)示ICRQ成功(gong)，LNS也会在ICRP中标识L2TP会话必要的参数。
ICCN（Incoming-Call-Connected）：用来(lai)回应ICRP，L2TP会话建(jian)立完成。
CDN（Call-Disconnect-Notify）：由LAC或者(zhe)LNS发(fa)出，通知对端会话将要停止。
数(shu)据(ju)消息(xi)：用于(yu)承(cheng)载(zai)用户的(de)PPP连接数(shu)据(ju)报文，并(bing)在隧道(dao)上进行(xing)传(chuan)输(shu)。数(shu)据(ju)消息(xi)的(de)传(chuan)输(shu)是不(bu)可(ke)靠(kao)传(chuan)输(shu)，若数(shu)据(ju)报文丢失(shi)，不(bu)予重传(chuan)。不(bu)支持(chi)对数(shu)据(ju)消息(xi)的(de)流量控(kong)制和拥塞控(kong)制。


NAS-Initiated VPN隧道(dao)和会话建立过程：






图：NAS-Initiated VPN隧(sui)道和会(hui)话建立过(guo)程(cheng)
建立PPPoE连接


LAC对(dui)用户进行认证(zheng)。

建立(li)L2TP隧道

L2TP数据以(yi)UDP报(bao)文形式发送(song)。L2TP注册了UDP端(duan)口1701，但是这(zhei)个端(duan)口仅用于初(chu)始的(de)(de)隧道建立过程(cheng)。L2TP隧道发起方(fang)（LAC）任选一个空(kong)闲端(duan)口（未必(bi)是1701）向接收方(fang)（LNS）的(de)(de)1701端(duan)口发送(song)报(bao)文；LNS收到报(bao)文后(hou)，使(shi)用1701端(duan)口给(ji)LAC的(de)(de)指定端(duan)口回(hui)送(song)报(bao)文。至此，双方(fang)的(de)(de)端(duan)口选定，并在隧道保持连通的(de)(de)时间段内不再改变。


LAC检查用户的(de)(de)LCP协(xie)商中的(de)(de)认证信息(xi)（Domain、Username等），查找能够匹配(pei)的(de)(de)L2TP组，根据L2TP组的(de)(de)配(pei)置对某个LNS进(jin)行L2TP呼叫建(jian)立(li)L2TP隧(sui)道(dao)。如(ru)果此时LAC发现L2TP隧(sui)道(dao)已(yi)经(jing)建(jian)立(li)，则(ze)LAC发起(qi)会话连接，否则(ze)首先建(jian)立(li)L2TP隧(sui)道(dao)。


LAC端(duan)向(xiang)指定的LNS发送CHAP challenge信息，LNS回送该challenge响(xiang)应消息CHAP response，并发送LNS侧(ce)的CHAP challenge，LAC返回该challenge的响(xiang)应消息CHAP response。


LAC和(he)LNS之间通(tong)过SCCRQ、SCCRP和(he)SCCCN消(xiao)息完(wan)成L2TP隧道的建立(li)，并(bing)且双方都(dou)知道对方的Tunnel ID等信息，后续的数据报文都(dou)会添加(jia)Peer的Tunnel ID信息，这样接(jie)收者就(jiu)可以(yi)知道收到的L2TP报文属于本地的哪个隧道。

建立L2TP会话

LAC和LNS使用ICRQ、ICRP和ICCN消(xiao)息建立L2TP会话，这些(xie)消(xiao)息都在前(qian)面(mian)建立的L2TP隧道(dao)中传(chuan)递，并且(qie)都会添加隧道(dao)对端的Tunnel ID信息。


在(zai)ICCN消息中，LAC端将用(yong)户CHAP response、response identifier和(he)PPP协商参数传送给LNS，以便后续LNS与用(yong)户建立PPP连接。


LNS根据用户名、密码等信息对用户进行认证。


LNS对用户进行(xing)二次认(ren)证（可选）


LNS对用户在此认(ren)证（可选）


用户(hu)与LNS之间(jian)建立PPP连接。


完成(cheng)了(le)L2TP会话(hua)以(yi)后，LAC会将Client的(de)相关PPP参数通过(guo)L2TP会话(hua)转(zhuan)发(fa)给LNS，LNS和用户(hu)进行PPP的(de)认证。


LNS向用户分配(pei)地址然后建(jian)立PPP连(lian)(lian)接(jie)，注意(yi)此(ci)时的PPP连(lian)(lian)接(jie)在(zai)用户和LNS之(zhi)间(jian)建(jian)立，并不是在(zai)LAC和LNS之(zhi)间(jian)。


此时(shi)的(de)LAC也保持着和用(yong)(yong)户的(de)PPP连接，用(yong)(yong)于(yu)将来自LNS的(de)L2TP数据报文解封装以后通(tong)过PPP连接传递(di)给Client。


用(yong)户访问内网资源。

LAC自动(dong)拨号隧道和会话的建立：

与触(chu)发建立隧(sui)道的方式不同，LAC自动拨号场(chang)景是(shi)无(wu)需触(chu)发的永(yong)久隧(sui)道。一(yi)(yi)旦配置完(wan)毕，即可建立永(yong)久隧(sui)道，并承载唯一(yi)(yi)的一(yi)(yi)条永(yong)久会话。LAC为LNS的唯一(yi)(yi)的客(ke)户端(duan)。

图：LAC自动拨号的隧道和会话建立过(guo)程(cheng)

Client-Initiated VPN隧道和(he)会话的建立：

Client-Initiated VPN场(chang)(chang)景下(xia)，隧道建立过程与(yu)NAS-Initiated VPN相(xiang)似。与(yu)NAS-Initiated VPN场(chang)(chang)景相(xiang)比(bi)，Client-Initiated VPN场(chang)(chang)景相(xiang)当于将Client和LAC合为了一个整体(ti)。






图：Client-Initiated VPN隧(sui)道和会话建立过程

L2TP VPN的报(bao)文封装：

NAS-Initiated VPN组(zu)网数据封装过(guo)程：

图：NAS-Initiated VPN场景组网报文封装过程

NAS-Initiated VPN组网中，接入用户访问内网服务器时：

当隧道和会话均建立完成后，接入用户(hu)已获取LNS分配的地(di)(di)址(zhi)，并(bing)用此地(di)(di)址(zhi)来(lai)访问内网服务器。
接入(ru)用户(hu)向LAC发(fa)起PPPoE拨号，为数据添(tian)加私(si)有IP、PPP报文头和PPPoE报文头，并添(tian)加太网头后，发(fa)送给LAC。

LAC收(shou)到报(bao)文(wen)(wen)后(hou)，依次剥离以太(tai)网头、PPPoE报(bao)文(wen)(wen)头，并对报(bao)文(wen)(wen)依次封装L2TP报(bao)文(wen)(wen)头、UDP报(bao)文(wen)(wen)头，并添加公网IP，发送给LNS。

LNS收到报文(wen)后，首先对报文(wen)进行L2TP解封装(zhuang)，依次剥离公网IP、UDP报文(wen)头(tou)、L2TP报文(wen)头(tou)。之后进行PPP解封装(zhuang)，剥离PPP报文(wen)头(tou)。最(zui)后添加以太网头(tou)，并(bing)根据私(si)有(you)IP的目的地址(zhi)将(jiang)报文(wen)发送给内网服务器(qi)。

服务器(qi)接收报文(wen)后，获取(qu)报文(wen)数据，并将(jiang)响应报文(wen)发(fa)送给LNS。

LAC自(zi)动(dong)拨号组网数(shu)据封装过程(cheng)：

图(tu)：LAC自动拨号场景组(zu)网报文封装(zhuang)过程
LAC自动(dong)拨号(hao)组网中(zhong)，PPP封(feng)装(zhuang)和(he)L2TP封(feng)装(zhuang)仅限于LAC和(he)LNS之间的报文交互(hu)。


Client-Initiated VPN组网数据封装过程：





图：Client-Initiated VPN场(chang)景组网报文封装过程(cheng)
L2TP VPN的认证：


L2TP支持使用PAP和CHAP两种方式进行PPP认(ren)证。


VT（Virtual-Template）接口(kou)：


PPP、Ethernet都是二(er)层协(xie)议，它们之(zhi)间不能直接(jie)(jie)互相承载。当用(yong)(yong)户配(pei)(pei)置PPPoE等(deng)(deng)二(er)层协(xie)议时，这些二(er)层协(xie)议之(zhi)间需要(yao)通过虚(xu)(xu)拟(ni)访(fang)(fang)问接(jie)(jie)口VA（Virtual-Access）进行通信。前面已经(jing)提到，L2TP中会使(shi)用(yong)(yong)PPPoE协(xie)议。VT接(jie)(jie)口是用(yong)(yong)于配(pei)(pei)置虚(xu)(xu)拟(ni)访(fang)(fang)问接(jie)(jie)口的(de)模板(ban)。在(zai)L2TP会话连接(jie)(jie)建(jian)立(li)之(zhi)后，LAC、LNS均需要(yao)创(chuang)(chuang)建(jian)虚(xu)(xu)拟(ni)访(fang)(fang)问接(jie)(jie)口用(yong)(yong)于和对(dui)端（即用(yong)(yong)户）交换数(shu)据(ju)。此时，系(xi)统将按照用(yong)(yong)户的(de)配(pei)(pei)置，选择VT接(jie)(jie)口，根据(ju)该模板(ban)的(de)配(pei)(pei)置参数(shu)（包括接(jie)(jie)口IP地址、PPP认证方式等(deng)(deng)）动态地创(chuang)(chuang)建(jian)虚(xu)(xu)拟(ni)访(fang)(fang)问接(jie)(jie)口。


命令行配(pei)置(zhi)中，VT接口下可(ke)选(xuan)择(ze)(ze)CHAP或PAP认证(zheng)(zheng)方(fang)式(shi)(shi)来(lai)对(dui)用户进行PPP认证(zheng)(zheng)。Web配(pei)置(zhi)中不支持手工配(pei)置(zhi)认证(zheng)(zheng)方(fang)式(shi)(shi)，系统优先选(xuan)择(ze)(ze)CHAP方(fang)式(shi)(shi)，其次选(xuan)择(ze)(ze)PAP方(fang)式(shi)(shi)。


LAC自(zi)主拨号场景：


LAC自主拨(bo)号场(chang)景中，LAC侧不对用户(hu)进行(xing)(xing)认(ren)证(zheng)，只(zhi)在(zai)LNS侧对LAC配(pei)置的用户(hu)进行(xing)(xing)PPP认(ren)证(zheng)（PAP或CHAP）。在(zai)命令行(xing)(xing)配(pei)置中，体现在(zai)VT接口下配(pei)置的PPP认(ren)证(zheng)方式。


Client-Initiated VPN场景：


Client-Initiated VPN场景中，在(zai)LNS侧对用户进行PPP认证(zheng)（PAP或CHAP）。在(zai)命令行配置(zhi)中，体现(xian)在(zai)VT接(jie)口下配置(zhi)的PPP认证(zheng)方(fang)式(shi)。


NAS-Initiated VPN场(chang)景：


NAS-Initiated VPN场景中，L2TP可对(dui)用户进(jin)行两次(ci)(ci)(ci)PPP认证：第(di)一(yi)(yi)次(ci)(ci)(ci)发(fa)(fa)生(sheng)在(zai)(zai)(zai)(zai)LAC侧(ce)(ce)(ce)，第(di)二(er)次(ci)(ci)(ci)发(fa)(fa)生(sheng)在(zai)(zai)(zai)(zai)LNS侧(ce)(ce)(ce)。只(zhi)有一(yi)(yi)种情(qing)况LNS侧(ce)(ce)(ce)不对(dui)接(jie)入用户进(jin)行二(er)次(ci)(ci)(ci)认证：启用LCP重协商后(hou)，不在(zai)(zai)(zai)(zai)相应(ying)的VT接(jie)口上配(pei)置认证。这时(shi)，用户只(zhi)在(zai)(zai)(zai)(zai)LAC侧(ce)(ce)(ce)接(jie)受一(yi)(yi)次(ci)(ci)(ci)认证。


另外，不(bu)论(lun)对于LAC或LNS，如果其(qi)配置的(de)用户(hu)认证(zheng)方式为(wei)“不(bu)认证(zheng)”，则不(bu)论(lun)VT接口中使用何(he)种认证(zheng)方式，都不(bu)对用户(hu)进行(xing)认证(zheng)。


以下对于认(ren)证(zheng)方式的描述都是基于配置的用户(hu)认(ren)证(zheng)方式不为(wei)“不认(ren)证(zheng)”的情况。


LAC端认证方式


LAC端可对用户进行PAP或CHAP认(ren)(ren)证。在(zai)命(ming)令行配置(zhi)中(zhong)，使用VT接口(kou)下配置(zhi)的PPP认(ren)(ren)证方(fang)式。


LNS端认证方式


LNS对用户(hu)的认(ren)证方(fang)式(shi)除由PPP认(ren)证方(fang)式(shi)决(jue)定外，还(hai)取决(jue)于配置的L2TP认(ren)证方(fang)式(shi)。L2TP认(ren)证方(fang)式(shi)有三种：代(dai)(dai)理认(ren)证、强制CHAP认(ren)证和LCP重协(xie)商。其中，LCP重协(xie)商的优先级最高，代(dai)(dai)理认(ren)证优先级最低。


LCP重协商


如果需要在LNS侧(ce)进行比LAC侧(ce)更(geng)严(yan)格的(de)认(ren)证(zheng)，或者LNS侧(ce)需要直接(jie)从用户(hu)获取某些信息(xi)（当LNS与LAC是不同厂(chang)商的(de)设备时(shi)可能发生这种情况），则(ze)可以配(pei)置LNS与用户(hu)间进行LCP重协商。LCP重协商使用相(xiang)应VT接(jie)口配(pei)置的(de)认(ren)证(zheng)方式。此时(shi)将忽略LAC侧(ce)的(de)代(dai)理(li)认(ren)证(zheng)信息(xi)。


强(qiang)制(zhi)CHAP认证


如果(guo)只配置强制(zhi)CHAP认证，则LNS对用户进行CHAP认证，如果(guo)认证不通(tong)过，会话就不能建(jian)立成功。


代理认(ren)证


代理认(ren)证(zheng)就是LAC将它从用(yong)户(hu)得到的(de)所有认(ren)证(zheng)信息及LAC配置(zhi)的(de)认(ren)证(zheng)方式传给(ji)LNS，LNS会(hui)利(li)用(yong)这些信息和LAC端传来(lai)的(de)认(ren)证(zheng)方式对用(yong)户(hu)进行认(ren)证(zheng)。


NAS-Initiated VPN中，在PPP会话开始时，用户先和LAC进(jin)行PPP协商。若协商通过，则由LAC初始化L2TP隧道连(lian)接，并将用户信(xin)息、认(ren)(ren)证(zheng)信(xin)息等传递给(ji)LNS，由LNS根据(ju)收到的代理认(ren)(ren)证(zheng)信(xin)息判断(duan)用户是否(fou)合法。


代理认证与VT接口的PPP认证方式的关系(xi)：


LNS的PPP认证(zheng)(zheng)方(fang)式不能(neng)比LAC复杂。例如，如果LAC端配(pei)置的认证(zheng)(zheng)方(fang)式为PAP，而LNS配(pei)置的PPP认证(zheng)(zheng)方(fang)式为CHAP，则由(you)于LNS要求的CHAP认证(zheng)(zheng)级别(bie)高于LAC能(neng)够提供的PAP认证(zheng)(zheng)，认证(zheng)(zheng)将无(wu)法通(tong)过(guo)，会话(hua)也就(jiu)不能(neng)正确建立。

其他情况(kuang)下，如果LNS与LAC的认(ren)证方(fang)(fang)式不一(yi)致，LNS将采用LAC发送(song)过来的认(ren)证方(fang)(fang)式进行协(xie)商，忽略VT接口配置的认(ren)证方(fang)(fang)式。

三种组网模式(shi)的对(dui)比

三种组网对比(bi)：

Client-Initiated VPN：其优点在于接(jie)入用(yong)户不受地域(yu)限制。此场(chang)景适用(yong)于员工使用(yong)PC、手机等移动(dong)设备接(jie)入总部服务器，实现(xian)移动(dong)办(ban)公。
NAS-Initiated VPN：接入用(yong)户(hu)（PC）通(tong)过PPPoE拨入LAC，由LAC通(tong)过Internet向LNS发(fa)起(qi)建(jian)立隧道(dao)连(lian)接请求。接入用(yong)户(hu)地址由LNS分配，对接入用(yong)户(hu)的(de)(de)认(ren)证(zheng)可由LAC侧代理完成，也可两侧都对接入用(yong)户(hu)做认(ren)证(zheng)。当所(suo)有(you)L2TP用(yong)户(hu)都下(xia)线时(shi)，隧道(dao)自动(dong)拆除以节省资(zi)源，直至(zhi)再有(you)用(yong)户(hu)接入时(shi)，重新建(jian)立隧道(dao)。此组网适用(yong)于分支机构(gou)用(yong)户(hu)向总部(bu)发(fa)起(qi)连(lian)接，且一(yi)般用(yong)于分支机构(gou)的(de)(de)用(yong)户(hu)不经常访问企业(ye)总部(bu)的(de)(de)情况。
LAC-Auto：分支机(ji)(ji)构员工(gong)感知不到(dao)隧(sui)道存在(zai)，不需(xu)要(yao)使用用户接(jie)入。LAC为分支机(ji)(ji)构的(de)多个用户提供L2TP服务，免去了每个用户使用L2TP都需(xu)要(yao)先拔号的(de)麻烦(fan)

这种组网(wang)下(xia)，LNS只(zhi)对(dui)LAC进行认(ren)证(zheng)(zheng)。其缺点为：分支机构用(yong)户只(zhi)要(yao)能够连接(jie)LAC即可使用(yong)L2TP隧(sui)道接(jie)入总部，而(er)不需被认(ren)证(zheng)(zheng)。存(cun)在一定(ding)的(de)安全(quan)隐患(huan)。此时用(yong)户接(jie)入总部以(yi)通过设备的(de)用(yong)户认(ren)证(zheng)(zheng)功能对(dui)接(jie)入总部的(de)用(yong)户进行认(ren)证(zheng)(zheng)，从而(er)提高安全(quan)性(xing)

L2TP和PPTP区别：

L2TP：公有(you)协议、UDP1701、支持(chi)隧(sui)道验证，支持(chi)多个(ge)协议，多个(ge)隧(sui)道，压缩字节(jie)，支持(chi)三(san)种模式
PPTP：私有协议、TCP1723、不支(zhi)持(chi)隧(sui)道验证，只支(zhi)持(chi)IP、只支(zhi)持(chi)点到点
PPTP：


点对(dui)点隧道协(xie)(xie)议（PPTP）是由(you)包括Microsoft和3com等公司组(zu)成的PPTP论坛开发的，一(yi)种点对(dui)点隧道协(xie)(xie)议，基于拔号使(shi)用的PPP协(xie)(xie)议使(shi)用PAP或CHAP之类的加密(mi)(mi)算法，或者使(shi)用Microsoft的点对(dui)点加密(mi)(mi)算法MPPE。


L2TP：


第二(er)层隧道(dao)协议(yi)（L2TP）是IETF基于L2F（Cisco的2层转(zhuan)发协议(yi)）开发的PPTP后续版本，是一种工业标准Internet隧道(dao)协议(yi)。


两(liang)者的主(zhu)要(yao)(yao)区别(bie)主(zhu)要(yao)(yao)有以(yi)下几点(dian)：


PPTP只能在两端间建立单一隧道，L2TP支(zhi)持(chi)在两端点间使用(yong)多隧道，这(zhei)样(yang)可以针对不同的用(yong)户(hu)创建不同的服务(wu)质(zhi)量(liang)
L2TP可以提(ti)供(gong)隧道(dao)验(yan)证机(ji)制，而PPTP不(bu)能提(ti)供(gong)这(zhei)样的机(ji)制，但当L2TP或PPTP与(yu)IPSec共(gong)同使用(yong)时，可以由IPSec提(ti)供(gong)隧道(dao)验(yan)证，不(bu)需要在(zai)第二层协议上提(ti)供(gong)隧道(dao)验(yan)证机(ji)制
PPTP要求(qiu)互联网(wang)络为IP网(wang)络，而L2TP只(zhi)要求(qiu)隧道媒介提供面向数(shu)据包的点(dian)(dian)对点(dian)(dian)连接，L2TP可以在(zai)IP（使用UDP），FR，ATM，x.25网(wang)络上使用
L2TP可以提供包头(tou)压(ya)缩。当压(ya)缩包头(tou)时，系(xi)统开销（voerhead）占用4个(ge)字节(jie)，而PPTP协议下要占用6个(ge)字节(jie)
L2TP什么情(qing)况下(xia)需要强制认证？


在NAS模式下。且LNS不信任(ren)LAC，配置了强制(zhi)认证(zheng)的情况下


L2TP,L2TP VPN,L2TP基本原理,L2TP,L2TP VPN,L2TP基本原理