說到L2TP VPN必須先將鏡頭切到互聯網發展初期,我們還通過電話線上網的那個時代(那時候強叔就已經扎入數通領域了,呵呵,能猜出強叔的年紀了吧?)。那個時代個人用戶和企業用戶大都通過電話線上網,當然企業分支機構和出差用戶一般也通過“電話網絡(學名叫PSTN(Public Switched Telephone Network)/ISDN(integrated services digital network))”來訪問總部網絡,人們將這種基於PSTN/ISDN的VPN命名爲VPDN(Virtual Private Dial Network)。L2TP VPN是VPDN技術的一種,其它的VPDN技術已經逐步退出歷史舞臺了,這裏強叔就不給大家添亂了。
在傳統的基於PSTN/ISDN的L2TP VPN中,運營商在PSTN/ISDN和IP網絡之間部署LAC(在VPDN裏稱爲NAS,Network Access Server),集中爲多個企業用戶提供L2TP VPN專線服務,配套提供認證和計費功能。當分支機構和出差員工撥打L2TP VPN專用接入號時,接入modem通過PPP協議與LAC建立PPP會話,同時啓動認證和計費。認證通過後LAC向LNS發起L2TP隧道和會話協商,企業總部的LNS出於安全考慮,再次認證接入用戶身份,認證通過後分支機構和出差員工就可以訪問總部網絡了。
說明:LAC和LNS是L2TP協議裏的概念,NAS是VPDN裏的概念,在L2TP VPN中LAC實際上就是NAS。
隨着IP網絡的普及,PSTN/ISDN網絡逐漸退出數據通信領域。企業和個人用戶都可以自由通過以太網直接接入Internet了,此時L2TP VPN也悄悄地向前“邁了兩小步”——看似只有兩小步,但這兩小步卻讓L2TP VPN這個過氣明星留在了風雲變化的IP舞臺上。(強叔感嘆,在通信領域,不學習、不進步只能被拍死在沙灘上啊!)
現在L2TP VPN常用場景如下圖所示。
- 兩小步之一——PPP屈尊落戶以太網:這是撥號網絡向以太網演進過程中的必經之路,並非專門爲L2TP VPN設計,但L2TP VPN確實是最大的受益者。分支機構用戶安裝PPPoE Client,在以太網上觸發PPPoE撥號,在PPPoE Client和LAC(PPPoE Server)之間建立PPPoE會話。LAC和LNS之間的L2TP VPN建立過程沒有變化。
- 兩小步之二——L2TP延伸到用戶PC:這種場景下,PC可以通過系統自帶的L2TP客戶端或第三方L2TP客戶端軟件直接撥號與LNS建立L2TP VPN。L2TP Client摒棄了LAC這位“掮客”跟總部直接建立合作關係,看來這種事情在哪裏都會發生啊!
這兩種場景跟初始L2TP VPN場景相比有一個共同特徵,就是企業借用了“運營商管道(Internet)” 自建VPN,避開了運營商VPN專線業務收費。爲區分這兩種L2TP VPN,前者(基於LAC撥號的L2TP VPN)被稱爲NAS-Initiated VPN,後者(客戶端直接撥號的L2TP VPN)被稱爲Client-Initiated VPN。
下期強叔先介紹比較簡單一點的Client-Initiated VPN,由淺入難,如順水行舟,日行千里呀!