強叔侃牆_第5章_GRE L2TP VPN_3
5.5 L2TP NAS-Initiated VPN
上節中我們講過,Client-Initiated VPN 可以讓企業員工像都授權一樣穿越“蟲洞”,來去自如地訪問總部網路。而企業分支機構就沒有幸運,它位一般通過撥號網路接入Internet,面對浩瀚的Internet海洋,沒有能力找到“蟲洞”的入口,只能望洋興嘆。即便撥號網路演進到乙太網,也只是解決了本地接入Internet的問題,無法訪問總部網路。難道分支分支機構使用者註定與總部網路無緣嗎?
幸好LAC橫空出世,幫助分支機構解決了這一難題。一方面,LAC作為PPPoE Server,分支機構使用者作業PPPoE Client與LAC建立PPPoE連線,讓PPP歡快地跑在乙太網上;另一方面,LAC作為LNS的“中介”,為分支機構提供“蟲洞”的入口,在分支機構使用者看來,通過LAC這扇傳送門就可以到達總部網路。
因為在VPDN裡LAC還有一個別名叫作NAS,所以這種L2TP VPN也稱為NAS-Initiated VPN.可能把NAS-Initiated VPN改為LAC VPN 大家更習慣些,因為組網圖中明明標的是LAC,卻非得忠一個已經擱置不用的“曾用名”,這對於後來者而言確定有點不明所以。
NAS-Initiated VPN 的建立過程有點小複雜,為了便於記憶強叔給大家畫了一張簡圖,如圖5-27所示,方便後續對著這張圖一一道來。
為突出重點,PPPoE Client、LAC、LNS、內網伺服器之間都是直連,省去了路由配置。使用者認證也採用了比較簡單的本地認證。另外,內網伺服器上要配置閘道器,保證迴應給PPPoE Client的報文能夠發磅到LNS。
5.5.1 階段1 建立PPPoE連線:撥號口呼喚VT口
PPP屈尊落戶乙太網變為PPPoE後,為了在乙太網上模擬PPP的撥號過程 ,PPPoE發明了兩個虛擬介面------Dialer 介面和VT介面。防火牆作為執行PPPoE時也用到了這兩個介面,防火牆作為PPPoE Client時用到了Dialer介面,防火牆作為PPPoE Server時用到了VT介面,在這兩個介面上配置PPPoE相關引數,如表5-8所示。
表5-8 配置NAS-Initiated VPN 的PPPoE部分
| PPPoE client | PPPoE Server(LAC) |
|
interface dialer 1 dialer user user1 dialer-group 1 dialer bundle 1 ip address ppp-negotiate //協商模式下實現IP地址動態分配 ppp chap user user1 //PPPoE Client的使用者名稱 ppp chap password cipher Password1 //PPPoE Client 的密碼 dialer-rule 1 ip permit interface GigabitEthernet0/0/1 pppoe-client dia1-bundle-number 1 //在物理介面上啟用PPPoE Client並繫結dial-bundle |
interface Virtual-Template 1 ppp authentication -mode chap interface GigabitEthernet 0/0/1 pppoe-server bind virtual-template 1 //在物理介面上啟用PPPoE Server 並繫結VT介面 aaa local-user user1 password Password1 local-user user1 service-type ppp |
PPPoE Server (LAC) 上的VT介面只完成了PPPoE的本職工作,為PPPoE Server 提供PPP認證功能,沒有肩負與L2TP的合作職能。
有L2TP中,使用者的IP地址都是由總部(LNS或AAA伺服器)統一進行分配的,所以LAC上不需要配置地址池(即使配置了地址池,在L2TP隧道已經建立的情況下,也會優先使用總部的地址進行地址分配),而普通的PPPoE撥號則必須在PPPoE Server 上配置地址池。
下面通過抓包來分析PPPoE連線的建立過程。