华为防火墙L2TP/L2TP over IPSec_l2tp 云服务开启入站还是出站开放端口_读者，的博客-程序员宅基地

L2TP VPN：
二层VPN，用于远程访问C/S结构，L2TP VPN是一种用于承载PPP报文的隧道技术，主要用于在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。
L2TP不支持加密
L2TP使用的端口号1701
L2TP协议以UDP头部封装

目的：
出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址，并供总部对出差员工进行身份认证。但PPP报文受其协议自身的限制无法在Internet上直接传输。于是，PPP报文的传输问题成为了制约出差员工远程办公的技术瓶颈。L2TP VPN技术出现以后，使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。将PPP封装在L2TP中，无论出差员工是通过传统拨号方式接入Internet，还是通过以太网方式接入Internet，L2TP VPN都可以向其提供远程接入服务。

IP网络和以太网不支持认证服务，所以要使用PPP协议
PPP协议不能跨越互联网，使用L2TP隧道承载PPP协议，借助L2TP在以太网/Internet上传递，方便认证。

L2TP封装：
在这里插入图片描述
PPP：工作在数据链路层
PPP支持认证，有PAP,CHAP用于认证
PAP：明文传输用户名和密码
CHAP：明文传输用户名，密文传输密码
PPP工作步骤：LCP协商（链路层协商），认证（PAP，CHAP），NCP协商（网络层协商）

NAS：网络接入服务器，运营商发起的L2TP VPN建立连接（场景一）
LNS：L2TP网络服务器，企业总部出口网关
LAC：L2TP的访问控制中心，隧道发起方，企业分支的出口网关，用于站点到站点建立L2TP VPN，企业分支发起的L2TP VPN建立连接，中间不用经过运营商（场景三）

L2TP VPN应用场景：
在这里插入图片描述

第一种：
NAS（运营商提供）和LNS之间建立L2TP VPN隧道
NAS设备在这个案例中充当PPPoE服务器
在这里插入图片描述

2.第二种：
移动办公用户直接和LNS建立L2TP VPN隧道
在这里插入图片描述

3.第三种：
站点到站点（分支到总部）
没有运营商参与
在这里插入图片描述

LAC部署
在这里插入图片描述

将网关设备作为pppoe服务器，客户端通过pppoe服务器进行L2TP VPN的建立
在这里插入图片描述

客户端作为LAC直接与总部建立L2TP VPN
在这里插入图片描述

L2TP工作过程·
第二种原理：移动办公用户通过客户端软件直接与总部建立VPN连接
隧道连接和会话连接不是一个概念，隧道连接是指的隧道起点和终点，会话连接是指隧道起点和终点身后的网络，一条隧道可以承载多个会话
在这里插入图片描述

在这里插入图片描述

移动用户发送一个icmp是如何封装的
Eth Ip（公网1.1—2.2） udp L2tp ppp Ip(私网172--192) Icmp
在这里插入图片描述

报文封装：
在这里插入图片描述

安全策略，移动办公用户属于DMZ区域，还需要做隧道分离，比如客户端需要访问百度
在这里插入图片描述

L2TP报文结构
在这里插入图片描述

实验：移动办公用户远程访问总部（直接与总部之间建立L2TP VPN ）
拓扑图：
在这里插入图片描述
配置FW上的静态路由

创建用户jack，用于远程访问，密码huawei@123

将FW配置为L2TP服务器：

新建地址池：

配置安全策略，分别为untrust_local，dmz_trust，trust_dmz：

win7客户端使用L2TP客户端软件进行拨号
安装客户端软件：
在这里插入图片描述

在这里插入图片描述

安装完成后打开软件

输入用户名密码登录

查看抓包

查看ping包

客户端ping外网13.13.13.1不通是因为没有做隧道分离，访问外网的流量也走隧道导致的

开启隧道分离，只有访问内网时走隧道
在这里插入图片描述

现在可以访问外网

保证数据的机密性需要使用ipsec
防火墙上配置l2tp over ipsec

新建策略local_untrust，因为防火墙要和对端协商

L2TP客户端配置，其他的默认不用改

此时客户端访问内网抓包查看到的报文都是经过ESP加密的
在这里插入图片描述

此时客户端访问外网不通，需要修改客户端软件上的一个配置，修改过以后可以访问外网

此时在AR1的G0/0/0口抓包，报文未被加密

使用win7自带的拨号软件进行连接

高级设置里

在这里插入图片描述

客户端查看IP

本文链接：https://blog.csdn.net/weixin_45123715/article/details/118991424

原作者删帖不实内容删帖广告或垃圾文章投诉

智能推荐

java访问redis，对象存储之序列化与反序列化工具包_syy363250763的博客-程序员宅基地

public class RedisUtil { /** * 将obj对象保存到redis * @param key * @param obj */ public static void save(String key,Object obj){ Jedis jedis = new Jedis("localhost",6379); //保存 byte[] valu...

【SpringBoot JPA】打印JPA执行的SQL语句与参数_spring jpa 打印sql 参数_后端研发Marion的博客-程序员宅基地

一、参考文档Hibernate在控制台打印sql语句以及参数_spring jpa 打印sql 参数

网上人才招聘系统(php+mysql)_php招聘系统demo_+微 bishe2022的博客-程序员宅基地

网上人才招聘系统(php+mysql) (毕业论文14842字以上,共61页,程序代码,MySQL数据库)全套代码下载【项目包含内容】【文档包含内容】【项目功能介绍】该课题主要利用PHP和MySql等相关技术，设计与实现基于PHP的学术团队人员管理选题，主要包括一下内容：系统管理员：浏览相关信息、负责管理个人和企业用户。系统管理员通过登录系统可以浏览相关信息如招聘信息、求职信息、还可以删除违规操作的用户信息。个人用户：可以在线填写个人基本情况、发布求职信息、浏览新闻..._php招聘系统demo

【Qt开发】QDate类_qdate addmonths_码农code之路的博客-程序员宅基地

QDate为开发者提供日期的类，函数也很丰富常用方法介绍1.QDate addDays(qint64 ndays) const当前日期添加n天，n可以为负2.QDate addMonths(int nmonths) const当前日期添加n月，n可以为负3.QDate addYears(int nyears) const当前日期添加n年，n..._qdate addmonths

vb.net 接口POST方式传参数提交返回值_chinaherolts2008的博客-程序员宅基地

Try Dim WebClientObj As New System.Net.WebClient() Dim PostVars As New System.Collections.Specialized.NameValueCollection() 'URL

ubuntu下scrapyd部署爬虫项目_lxshen的博客-程序员宅基地

Scrapyd是一个部署和运行Scrapy爬虫的应用程序。它使你能够通过JSON API部署（上传）工程，并且控制工程中的爬虫。scrapyd部署爬虫的优势：1、方便监控爬虫的实时运行状态，也可以通过接口调用开发自己的监控爬虫的页面2、方便统一管理，可以同时启动或关闭多个爬虫3、拥有版本控制，如果爬虫出现了不可逆的错误，可以通过接口恢复到之前的任意版本注意：在安装scrapyd之前要确保你的