IPSec增強原理過程—L2TP over IPSec

L2TP over IPSec，即先用L2TP封裝報文再用IPSec封裝，這樣可以綜合兩種VPN的優(yōu)勢，通過L2TP實現(xiàn)用戶驗證和地址分配，并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入總部，也可以用于出差員工接入總部。

分支接入總部網(wǎng)絡(luò)的L2TP over IPSec的工作原理如圖1所示。

圖1 L2TP over IPSec報文封裝和隧道協(xié)商過程

報文在隧道中傳輸時先進行L2TP封裝再進行IPSec封裝。IPSec封裝過程中增加的IP頭即源地址為IPSec網(wǎng)關(guān)應(yīng)用IPSec安全策略的接口IP地址，目的地址即IPSec對等體中應(yīng)用IPSec安全策略的接口IP地址。

IPSec需要保護的是從L2TP的起點到L2TP的終點數(shù)據(jù)流。L2TP封裝過程中增加的IP頭即源IP地址為L2TP起點地址，目的IP地址為L2TP終點的地址。分支接入總部組網(wǎng)中L2TP起點地址為LAC出接口的IP地址，L2TP終點的地址為LNS入接口的IP地址。

由于L2TP封裝時已經(jīng)增加了一個公網(wǎng)IP頭，而隧道模式跟傳輸模式相比又多增加了一個公網(wǎng)IP頭，導(dǎo)致報文長度更長，更容易導(dǎo)致分片。所以推薦采用傳輸模式L2TP over IPSec。

出差用戶遠程接入總部網(wǎng)絡(luò)的組網(wǎng)中L2TP over IPSec的協(xié)商順序和報文封裝順序跟分支接入總部網(wǎng)絡(luò)的組網(wǎng)中的協(xié)商順序和報文封裝順序是一樣的。所不同的是出差用戶遠程接入總部網(wǎng)絡(luò)的組網(wǎng)中，用戶側(cè)的L2TP和IPSec封裝是在客戶端上完成的。L2TP起點的地址為客戶端將要獲取的內(nèi)網(wǎng)地址，此地址可以是LNS上配置的IP地址池中的任意地址。L2TP終點地址為LNS入接口的地址。

華為交換機忘記密碼、修改密碼、重置密碼

【華為】某中小型企業(yè)網(wǎng) 組網(wǎng)案例—總公司+分公司模式

juniper網(wǎng)絡(luò)設(shè)備如何開cas？非常簡單！

山石網(wǎng)科Hillstone防火墻基礎(chǔ)上網(wǎng)配置_CLI命令行（最新版

山石網(wǎng)科Hillstone防火墻雙機熱備HA AA主主模式詳細配置步驟（官方最新版）

審核編輯：劉清