说到L2TP VPN必须先将镜头切到互联网发展初期,我们还通过电话线上网的那个时代(那时候强叔就已经扎入数通领域了,呵呵,能猜出强叔的年纪了吧?)。那个时代个人用户和企业用户大都通过电话线上网,当然企业分支机构和出差用户一般也通过“电话网络” ( 学名叫PSTN(Public Switched Telephone Network)/ISDN(integrated services digital network))来访问总部网络,人们将这种基于PSTN/ISDN的VPN命名为VPDN(Virtual Private Dial Network)。L2TP VPN是VPDN技术的一种,其它的VPDN技术已经逐步退出历史舞台了,这里强叔就不给大家添乱了。 在传统的基于PSTN/ISDN的L2TP VPN中,企业需要向运营商申请L2TP服务(运营商提供接入号xxxxx,当然是要收费的)。当分支机构和出差员工拨接入号时,接入modem通过PPP协议与运营商的LAC设备(在VPDN里称为NAS,Network Access Server)建立PPP会话;当然为了安全起见,协商过程中运营商会对用户进行身份认证。认证通过LAC向LNS发起L2TP隧道和会话协商,总部再次验证用户身份,验证通过后用户就可以访问总部网络了。 说明:LAC和LNS是L2TP协议里的概念,NAS是VPDN里的概念,在L2TP VPN中LAC实际上就是NAS。 随着IP网络的普及,PSTN/ISDN网络逐渐退出数据通信领域。企业和个人用户都可以自由通过以太网直接接入Internet了,此时L2TP VPN也悄悄地向前“迈了两小步”——看似只有两小步,但这两小步却让L2TP VPN这个过气明星留在了风云变化的IP舞台上。(强叔感叹,在通信领域,不学习、不进步只能被拍死在沙滩上啊!) 现在L2TP VPN常用场景如下图所示。 - 两小步之一——PPP屈尊落户以太网:这是拨号网络向以太网演进过程中的必经之路,并非专门为L2TP VPN设计,但L2TP VPN确实是最大的受益者。分支机构用户安装PPPoE Client,在以太网上触发PPPoE拨号,在PPPoE Client和LAC(PPPoE Server)之间建立PPPoE会话。LAC和LNS之间的L2TP VPN建立过程没有变化。
- 两小步之二——L2TP延伸到用户PC:这种场景下,PC可以通过系统自带的L2TP客户端或第三方L2TP客户端软件直接拨号与LNS建立L2TP VPN。L2TP Client直接摒弃了LAC这位“掮客”,直接跟总部建立合作关系。看来这种事情在哪里都会发生啊!
这两种场景跟初始L2TP VPN场景相比有一个共同特征,就是VPN借用了“运营商管道(Internet)”,但避开了运营商收费。要么企业用户自己部署LAC,要么企业为员工安装客户端,总之用户的帐算得也很清楚(后续出现的VPN技术都是这种思路)。为区分这两种L2TP VPN,前者(基于LAC拨号的L2TP VPN)被称为NAS-Initiated VPN,后者(客户端直接拨号的L2TP VPN)被称为Client-Initiated VPN。 下期强叔侃墙介绍Client-Initiated VPN,将结合实例讲解L2TP VPN的隧道建立过程,请大家继续关注。
|