本文关键词:pptp知识,l2tp原理,飞蚁代理
VPDN虚拟专用拨号网络
VPDN隧道协议主要包括三种:PPTP(点到点隧道协议)、L2F(二层转发)、L2TP(二层隧道协议)
L2TP代理协议结合了PPTP和L2F各自的优点,成了二层隧道协议的工业标准
VPDN是指利用公共网络(如ISDN、PSTN)的拨号功能接入公共网络,实现虚拟专用网
适用场合:企业、小型ISP、移动办公人员等提供接入服务
VPDN为远端用户与私有企业之间提供一种经济适用点对点连接方式
VPDN采用专用的网络通信协议,在公共网络上为企业建立安全的虚拟专网
NAS使用VPDN隧道协议,将客户PPP连接直连到企业的边界网关上,从而与企业网关建立隧道
LAC(L2TP Access Concentrator)是直接接受用户呼叫的一端,也是PPP二层链路一端。NAS可以和用户合并为一个LAC端点,也可以单独作为LAC端点,说白了就是一台交换机
LNS(L2TP Network Server)端是接受PPP会话的一端,一般位于私网与公网边界,通过LNS,用户就可以登录到私网上,访问私网资源,L2TP隧道端点分别位于LAC和LNS两端
L2TP使用hello包检测隧道连通性
LNS和LAC两种类型的连接
隧道连接:也叫控制连接,它定义了一个LNS和LAC对
会话连接:它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行。一个会话连接对应于一个用户和LNS之间的PPP数据流
LNS上可以配置代理验证、强制CHAP验证及LCP重协商
L2TP协议存在以下不足:
1、L2TP隧道内封装了整个PPP帧,在L2TP封装后还要进行UDP头和IP头的封装,开销很大,可能产生传输效率问题
2、PPP会话贯穿整个隧道并终止在用户侧设备上,导致用户侧网关需要保存大量PPP会话状态与信息,对系统负荷产生较大的影响,也影响到系统的扩展性。
3、由于PPP的LCP及NCP协商对时间敏感,隧道效率降低会造成PPP对话超时等问题
路由器上配置步骤:
第一步:开启L2tp
l2tp enable 开启l2tp
第二步:定义拨号地址段
interface Virtual-Template10 创建虚拟模板(逻辑接口类似于vlan)
ppp authentication-mode chap ppp认证方式为chap
remote address pool 1 远程地址池
ip address 192.168.100.1 255.255.255.0 定义远程拨号网关地址
ip pool 1 192.168.100.2 192.168.100.10 创建用户分配的地址池
第三步:创建本地登录用户
local-user nihao1 class network 建立用户nihao1
password cipher 123 密码123
service-type ppp 服务类型ppp
authorization-attribute user-role network-operator 认证属性 用户角色、网络操作
第四步:设置LNS接收L2TP连接请求
l2tp-group 1 mode lns 创建L2TP组模式为lns,创建VPDN组
allow l2tp virtual-template 10 调用虚拟模板10
undo tunnel authentication 关闭隧道认证
windows连接***设置
1. 单击“开始”,单击“运行”,键入“regedit”,然后单击“确定”
2. 找到下面的注册表子项,然后单击它:
HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Rasman\Parameters
3. 在“编辑”菜单上,单击“新建”->“DWORD值”
4. “名称”框中,键入“ProhibitIpSec”
5. 在“数值数据”框中,键入“1”,然后单击“确定”
6. 退出注册表编辑器,然后重新启动计算机
display l2tp session 查看会话
LNS在收到报文后将会检查UDP目的端口号1701,交给L2TP处理模块进行后续处理,如果不是则按照正常的IP报文进行处理
L2TP的配置中,对于Tunnel Name 只具有本地意义
L2TP默认不支持加密,需要结合IPsec使用
故障排除步骤:
第一步:检查网络连通性
第二步:检查LAC和LNS端L2TP是否开启
第三步、检查验证信息用户名密码
第四步:检查隧道名称配置信息
第五步:检查客户端PC和LNS上设置的PPP验证模式
第六步:检查用户是否分配到IP地址