L2TP/L2TP over IPSec

L2TP VPN：
二层VPN，远程访问C/S结构，L2TP VPN用于承载PPP隧道技术主要用于为出差员工在远程办公场景中远程访问企业内网资源提供接入服务。
二层隧道协议L2TP ( Layer 2 Tunneling Protocol ）是虚拟私有拨号网VPDN ( Virtual Private Dial-up Network )一种隧道协议扩展了点到点协议PPP ( Point-to-Point Protocol )的应用，是远程拨号用户访问企业总部网络的重要组成部分VPN技术。

VPDN有三种常用的隧道技术：
(1)点到点隧道协议PPTP
(2)二层转发L2F
(3)二层隧道协议L2TP
L2TP集合了PPTP和L2F目前，这两种协议的优势已被广泛接受，主要应用于单个或少数远程终端通过公共网络接入企业内部网络的需求

L2TP不支持加密
L2TP端口号1701
L2TP协议以UDP头部封装

目的：
出差员工跨越Internet企业内网资源的远程访问需要使用PPP协议向企业总部申请内网IP地址供总部认证出差员工。但PPP受其协议本身的限制，报纸无法受到其协议本身的限制Internet直接上传。于是，PPP报纸的传输已成为限制出差员工远程办公的技术瓶颈。L2TP VPN技术出现后，使用L2TP VPN隧道承载PPP报文在Internet上传已成为解决上述问题的一种方式。将PPP封装在L2TP中，无论出差员工是通过传统拨号方式接入Internet，或者通过以太网接入Internet，L2TP VPN可提供远程接入服务。

L2TP优点：
( 1)身份验证机制灵活，安全性高
a.L2TP使用PPP提供的安全特性(如PAP、CHAP)，身份认证接入用户。
b.L2TP定义控制信息的加密传输模式，支持L2TP隧道认证。
c.L2TP传输的数据不加密，但可与因特网达成安全协议IPSec结合应用，为数据传输提供高度的安全保障。
( 2)多协议传输：L2TP传输PPP数据包，PPP各种协议报文可以传输。
( 3）支持RADIUS服务器验证：L2TP接入用户不仅支持本地认证，还支持发送拨号接入用户名和密码RADIUS服务器认证为企业管理接入用户提供了更多的选择。
(4)支持私网地址分配︰应用L2TP企业总部网关可为远程用户动态分配私网地址。
( 5 ）可靠性∶L2TP协议支持备份LNS，当一个主LNS不可达之后，LAC可以与备份LNS建立连接，增强VPN服务的可靠性。

L2TP基本概念：
1.VPDN :VPDN是承载PPP报文的VPN，可以是企业，小ISP、移动办公人员提供接入服务。PPP终端接入拨号网络，拨号到NAS。NAS收到PPP报文后进行L2TP封装，最外层IP报头通过公网转发后到达LNS。LNS收到报纸后解封装，恢复PPP报文，完成了PPP报纸在公共网络上的透明传输PPP终端和LNS之间建立了VPDN连接。随着以太网络的普及，PPP终端不再局限于传统的拨号网络，使用PPPoE技术可以通过以太网接入LAC。
2.PPP终端:L2TP应用中，PPP终端指发起拨号，将数据封装为PPP远程用户等类型设备PC、企业分支网关等。
3.NAS∶NAS网络接入服务器( Network Access Server ）主要由ISP维护，连接拨号网络，是距离PPP最近终端地理位置的接入点。NAS用于传统拨号网络，为远程拨号用户提供服务VPDN与企业总部建立隧道连接。
4.LAC∶L2TP访问集中器LAC ( L2TP Access Concentrator)是交换网络上具有PPP和L2TP处理能力设备。LAC根据PPP报文中携带的用户名或域名信息，以及LNS建立L2TP隧道连接，将PPP协商延展到LNS。
5.隧道和会话:在LAC和LNS的L2TP交互过程中有两种连接。
(1）隧道（Tunnel)连接:L2TP隧道在LAC和LNS建立，一对LAC和LNS多个可以建立L2TP隧道，一个L2TP隧道可包括多个L2TP会话。
(2）会话(Session )连接:L2TP隧道连接成功后会话，L2TP会话表示隧道连接中承载的一个PPP会话过程。

LAC部署：

IP网络和以太网不支持认证服务，因此需要使用PPP协议
PPP协议不能跨越互联网，使用L2TP隧道承载PPP协议，借助L2TP在以太网/Internet上传，便于认证。

L2TP封装：

UDP使用1701端口表示承载L2TP报文

PPP：在数据链路层工作
PPP支持认证，是的PAP,CHAP用于认证
PAP：用户名和密码明确传输
CHAP：用户名明文传输，密文传输密码
PPP工作步骤：LCP协商（链路层协商），认证（PAP，CHAP），NCP协商(网络层协商)

NAS：运营商发起的网络接入服务器L2TP VPN建立连接(场景一)
LNS：L2TP企业总部出口网关网络服务器
LAC：L2TP访问控制中心、隧道发起人、企业分支出口网关，用于建立站点到站点L2TP VPN，由企业分支发起L2TP VPN无需通过运营商(场景3)在中间建立连接

L2TP VPN应用场景：

第一种：
NAS和LNS之间建立L2TP VPN隧道
NAS在这种情况下，设备在这种情况下起作用PPPoE服务器

2.第二种：
直接办公用户直接和LNS建立L2TP VPN隧道

3.第三种：
站点到站点(分支到总部)
没有运营商参与

LAC部署

以网关设备为例pppoe客户端通过服务器pppoe服务器进行L2TP VPN的建立

客户端作为LAC与总部直接建立L2TP VPN

L2TP工作过程·
第二个原则：移动办公用户通过客户端软件直接与总部建立VPN连接
隧道连接和会话连接不是一个概念。隧道连接是指隧道的起点和终点。会话连接是指隧道起点和终点背后的网络。一条隧道可以携带多个会话

移动用户发送一个icmp如何包装

报文封装：

移动办公用户属于安全策略DMZ该区域还需要隧道分离。例如，客户需要访问百度


L2TP报文结构

实验：配置LAC自拨号发起L2TP隧道连接
拓扑：

AR1和AR3配置静态路由



在LNS（AR3）设备上配置地址池，用来给LAC自拨号连接时分配IP
在LNS（AR3)设备配置AAA，创建本地用户名密码ppp服务

在LNS（AR3)设备配置虚拟模板1IP，对端地址来自当地地址池pool1中拿，ppp认证模式为chap

在LNS（AR3)设备配置使能L2TP创建一个服务L2TP组

在LNS（AR3)设备配备本端隧道名称和指定LAC（AR1)隧道名称

在LNS（AR3)设备配置启用隧道认证功能，并设置密码huawei123

在LNS（AR3)设备配置将流量引入隧道

在LAC（AR1)设备配置使能L2TP创建一个服务L2TP组

在LAC（AR1)设备配备启用隧道认证功能，并设置密码huawei123

在LAC（AR1)找到设备上的配置AR3来拨号，用jack这个用户

在LAC（AR1)设备配置虚拟模板1

在LAC（AR1）设备上配置将流量引入隧道

检查隧道建设情况

抓包测试
在AR2的G0/0/0抓包
pc2 ping pc1

无加密的明文传输需要使用IPSec加密

配置L2TP over IPSec加密数据
AR1上配置ACL定义加密数据流
AR1配置IPSec

AR3上配置ACL定义加密数据流

AR3配置IPSec

这时抓包数据包被加密，由于模拟器bug，显示回包未加密