H3C 防火墙 L2TP Tunnel搭建 _H3C

一、H3C VPDN
VPDN（Virtual Private Dial-up Network，虚拟专用拨号网络）是指利用公共网络（如ISDN或PSTN）的拨号功能接入公共网络，实现虚拟专用网，从而为企业、小型ISP、移动办公人员等提供接入服务。即VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。
二、LAC、LNS
L2TP: Layer 2 Tunnel Protocol 二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.
特性:

灵活的身份验证机制以及高度的安全性
多协议传输
支持RADIUS服务器的验证
支持内部地址分配
网络计费的灵活性
可靠性

VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN隧道协议主要包括以下三种：
· PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议）
· L2F（Layer 2 Forwarding，二层转发）
· L2TP（Layer 2 Tunneling Protocol，二层隧道协议）
L2TP结合了L2F和PPTP的各自优点，是目前使用最为广泛的VPDN隧道协议。
L2TP（RFC 2661）是一种对PPP链路层数据包进行封装，并通过隧道进行传输的技术。L2TP允许连接用户的二层链路端点和PPP会话终点驻留在通过分组交换网络连接的不同设备上，从而扩展了PPP模型，使得PPP会话可以跨越分组交换网络，如Internet 。

文章插图

L2TP发起远程连接有两种，一种是用户发起连接，另外一种是LAC NAS发起连接。
比较简单，用户直接向ＬＮＳ发起连接请求，不需要LAC的支持
LAC发起连接。
LAC根据ＶＰＮ用户指定的地址，向LNS发起连接，流程比较复杂
LAC 和LNS之间可以进行验证。
LAC: L2TP Access Concentrator L2TP的接入集中器
NAS服务器发起VPDN连接
NAS（Network Access Sever，网络接入服务器）通过使用VPDN隧道协议，将客户的PPP连接直接连接到企业的VPDN网关上，从而与VPDN网关建立隧道。NAS与VPDN网关建立虚拟隧道对于用户是透明的。用户只需要登录到NAS就可以通过虚拟隧道接入企业内部网络。用户只能在连接到NAS以下的网络中，有地点限制。
用户发起VPDN连接
客户端一VPDN网关建立隧道。这种方式由客户端先与intenet联网，然后通过专用的软件或支持L2TP的客户端与VPND网关建立隧道连接。用户上网方式和地点没有限制。
VPDN网关，一般使用的是路由器或VPN专用服务器。
LNS: L2TP Network Server L2TP的网络服务器
LNS是具有PPP和L2TP协议处理能力设备，通常位于企业内部边缘。
LNS作为L2TP隧道的另一侧端点，是LAC通过隧道传输PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道，将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。
远端系统
远端系统是要接入企业内部网络的用户和远端分支机构，通常是一个拨号用户电脑或私有网络中的一台路由器或服务器。
三、实施过程
VPN用户访问公司总部过程如下：
(1) 用户首先连接Internet，之后直接由用户向LNS发起Tunnel连接的请求。
(2) 在LNS接受此连接请求之后，VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel 。
(3) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。