精华内容
下载资源
问答
  • (速途网专栏 作者:派代)笔者以前自己开过TP公司,给TP公司做过顾问,也认识不少做TP跟开TP公司的朋友,对TP这个行业有所了解。篇幅有限,这里也只是简单介绍下TP公司的现状跟模式,以供探讨。这里所说的TP不包括...

     (速途网专栏 作者:派代)笔者以前自己开过TP公司,给TP公司做过顾问,也认识不少做TP跟开TP公司的朋友,对TP这个行业有所了解。篇幅有限,这里也只是简单介绍下TP公司的现状跟模式,以供探讨。这里所说的TP不包括软件TP跟视觉TP,主要以运营TP跟培训TP为主。由于所知所写均是笔者所知,难免会有少许偏差,请见谅。

      笔者自己把TP公司分为两大类五小类:

      第一大类,硬TP公司。

      介绍:所谓硬TP公司就是以采购跟包销为主要模式的TP公司。主要运营方法就是跟厂商承诺一年销售多少交易额的货物,然后厂商要给予低价供货支持、销售返点跟推广广告费支持。

      优势:这样从厂商的角度容易接受,因为羊毛出在羊身上,厂商会计算供货的利润跟广告支持的利润比例基本可以保证稳赚不亏。这种模式主要出现在品牌比较强势的公司,以家电、手机、3C等标准化产品为主。

      劣势:这种模式的弊端是TP公司起步阶段必须接到的就是品牌知名度很高的项目,这样才能快速打开市场做高交易额,而以此为标版才能谈到更多的高品牌知名度的项目。所以这类TP公司本身门槛较高,一般以厂商代理发展来的为主。因为厂商代理本来就有线下渠道帮厂商销货,也是最容易以这种模式跟厂商谈TP合作的人。另外厂商代理更了解所代理品牌的产品跟市场,也更容易成功。另外一个劣势就是,这类项目多集中在家电、手机、3C等标准化利润偏低的产品,所以TP方虽然交易额可以做较高,但是相对利润偏低。而且一旦完成的销售额达不到厂商期望值容易造成货物挤压或者厂商解约。

      第二大类,软TP公司

      第1小类,以天猫为主的纯托管运营TP

      介绍:这类TP以收取厂商服务费跟销售提成扣点为主要收入跟模式,基本承包厂商开店、装修、客服、运营、推广等全部工作。目前这类TP的收费分为几种,月8k到1万,月2万到3万,月6万到8万。收费多少视厂商交易额要求、厂商知名度、tp公司本身知名度等多种因素影响。

      优势:门槛低,3、5个人就可以开一个TP公司,能收到一个项目就能支撑基本运营,然后因为是收服务费跟销售额提成所以本身项目做的好坏并无经济损失,所谓口碑损失又有多少开这种TP公司的人是真正在乎呢。

      劣势:8k到1万每月并没有推广费用的,多半是后期无法做起的(试问一个推广加2个客服加一个美工8K够吗?)。但是由于市场混杂,大部分厂商对电子商务市场了解不深,所以也有大量厂商接受这种报价的TP公司。某XXXX公司就是靠这种报价每年接几百家托管,公司发展到逾千人,但是95%以上的项目都是开了店就挂着旺旺不管了,然后合同找专业律师撰写,厂商找来也要不回钱,而且此公司目前还发展迅速,宣称N年内上市。电商的悲哀。

      第2小类,培训加天猫运营为主的TP公司

      介绍:此类公司创始人多为阿里巴巴、腾讯拍拍、职业培训师背景。他们抓住了电商市场快速兴起,大部分厂商急于学习但是无路可走的机遇。成立了大大小小的以电商总裁培训、运营培训、推广培训、客服培训等名目繁多的培训。然后在培训的过程中寻找目标客户做成托管项目。所谓培训、托管赚钱两不误。

      优势:培训是稳赚不赔的行业,有几个讲师跟前公司背景的客户人脉即可成行。而且由于培训所接触的面积大、公司影响力拓展速度快,所以接TP项目更加容易省事。

      劣势:现在大多人都知阿里巴巴、淘宝等公司出来的人,大部分其实都是不懂真正店铺运营的,因为他们自己根本没开过店、做过运营。所以他们这些背景的人所开的公司往往遇到培训也只能讲皮毛等问题。虽然可以外聘讲师来解决这个问题,但其实所谓职业讲师有几个是一线运营呢?如果运营做的成功谁又会去做职业讲师呢?他们大部分了解的都是理论、数据,而不是实操跟经验。对行业、跟类目产品的了解更是知识甚少。当然这里不是一棍子打死所有人,有极少数懂运营的阿里人或者懂运营的职业讲师这是肯定存在的。因为这样的原因,大部分这样的公司最后都会面临所培训内容没起到真正作用而做坏口碑的宿命,当然其托管的项目也大部分很难成功。

      第3小类,以线上渠道为主的TP公司

      介绍:这里的线上渠道指的是,京东、唯品会、银泰、俏物等B2C平台为主的销售渠道。

      优势:这类渠道一个统一特点就是基本不收取任何前期推广费用,而是以销售额点数抽成为收费模式。所以这样对厂商来说更容易接受。另外这类模式除了京东、当当、1号店的pop平台,其他特卖平台大部分都是入仓模式,而入仓就省去了自己单件发货的麻烦。而且这类平台普遍不需要售前、售后客服,一个平台甚至多个平台有1、2个对口人加美工、运营配合即可。极其节省人力,并且谈判门槛低。此类项目多数以线下传统品牌为主,因为渠道也是有入准门槛的,特别唯品这类特卖平台不是谁都能进的。

      劣势:由于这类模式不存在太多的运营端的门槛,导致厂商自己也容易快速成立团队来接手项目。所以如何长期能跟厂商利益达到平衡各得所需是个难题。

      第4小类,以品牌共建为主的TP公司

      介绍:这是最新的一种模式,一个朋友发明的,目前以这种模式去做的TP公司应该不多。所谓品牌共建就是帮厂商解决线上的店铺定位、产品定位,以厂商的名义帮厂商组建团队(厂商开工资),完成团队前期的培训跟运营指导(半年到一年),然后团队归还给厂商自己管理,TP方后期只负责基本的定期培训跟技术支持。

      优势:很多厂商都担心TP即使帮我做起了这个项目,但是项目合同到期后没谈妥,那么团队换了厂商会很被动。那么项目共建就解决了这个问题。特别对一些有野心最终想自己把线上做大的厂商来说更容易接受这种模式。而且以厂商的名义去招人,要比以TP公司的名义招人要容易的多。

      劣势:品牌共建前期蜜月期没什么问题,但是一旦项目做的不好或者太好,都容易造成厂商收回项目跟团队。所以这类项目后期所面临的问题如何解决将是个难题。

      总结:

      说了那么多,最后说下TP公司所普遍面临的几大难题。

      第一,其实TP公司跟厂商即是共赢又是博弈的关系。因为TP方收取的是托管费用跟交易额提成,所以如何做高交易额是关键。最简单的方法就是谈更多的额外推广费用跟更低的产品价格。而对于厂商来说,如何盈利才是关键。所以双方是有基本利益冲突的。所以在双方沟通配合上会出现很多摩擦跟问题。这也就是为何大部分TP项目不能长久的根本原因。而由于软TP门槛低,所以也造成TP公司大部分运营水平低下,一个做电商1年的人就敢出来开TP公司,最终造成了大部分TP公司口碑极差,导致很多厂商对TP望而却步。

      第二,TP公司由于是帮厂商做嫁衣,大部分TP公司口碑又不好。所以对于需要存在感的运营、推广等人员来说,都不愿意去TP公司工作,所以导致TP公司招人难,特别是真正高水平的运营、推广人员。

      第三,3到5年后,也许大部分公司电子商务部都会变成标配,不排除还有少量做的好的TP生存下来,但是到那时大部分TP公司何去何从?

       原文链接:http://bbs.paidai.com/topic/124215

    展开全文
  • 批发和零售贸易行业研究:丽人丽妆过会,美妆TP上市公司再添一将.pdf
  • TP900S技术手册.pdf

    2020-07-06 20:46:43
    ThinPad900S 数据采集终端是振中公司推出的最新一款机型。主要适用于在各种流动性强的 领域中,进行数据采集和现场数据分析处理的工作,例如:在电力、水力、煤气行业的抄表收费, 地质勘探部门的野外数据采集与分析...
  • L2TP抓包分析pcapng

    2020-10-16 10:12:49
    L2TP协议简介 Layer 2 Tunneling ...L2TP协议是由IETF起草,微软、Ascend、Cisco、3COM等公司参予制定的二层隧道协议,它结合了PPTP和L2F两种二层隧道协议的优点,为众多公司所接受,已经成为IETF有关2层通道协议
  • TPlink 公司RD部门入职前知识储备
  • 因为公司要实现SSO单点登录的效果,最近在网上找了一些资料,但是都没有好用的, 所以自己用PHP 使用TP5.0 实现了SSO单点登录,可以跨多个域名。 下载后在本地配置好 A,B,C 3个网站,就可以模拟效果了。
  • 基于ThinkPHP5.0框架开发的通用企业网站PHP源码,底层是基于ThinkPHP5.0.10框架开发的一套企业站管理系统,适合拿来建立属于自己的企业网站源码,基于tp5开发的一套开源无加密企业网站源码带后台,通用后台权限管理...
  • tp5 企业站后台源码

    2018-11-16 14:05:08
    thinkphp5 企业站点开发 ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布
  • tp3.2框架下载

    2018-03-01 11:01:27
    tp3.2上海顶想信息科技有限公司(TOPThink Inc.)是国内领先的WEB应用和服务提供商致力于WEB应用平台、产品和应用的研发和服务,为企事业单位提供基于WEB的应用开发快速解决方案和产品。公司成立于2008年9月,是一家...
  • 经过实际测试,外网电脑通过L2TP访问内网的过程如下。 1外网电脑首先通过L2TP协议与内网L2TP服务器建立隧道,这时候外网电脑会虚拟出一个L2TP连接, 内网L2TP服务器是Linux系统,会看到一个虚拟的网卡,好像是pppXX...

    经过实际测试,外网电脑通过L2TP访问内网的过程如下。

    1外网电脑首先通过L2TP协议与内网L2TP服务器建立隧道,这时候外网电脑会虚拟出一个L2TP连接, 内网L2TP服务器是Linux系统,会看到一个虚拟的网卡,好像是pppXX什么的,

    比如下面我的服务器就自动建立了一个ppp301的虚拟连接, p t p协议 对方是192.168.10.1

    2 服务器会分配给外网电脑一个IP地址,网段是事先分配好的。

    3,外网电脑增加默认路由,

    4.最重要的, 外网电脑其实是以内网服务器的IP来访问内网其它主机的,我通过网络助手可以清晰的观察到。这个过程L2TP服务器还起到NAT路由的功能。  外网电脑之所以能访问内网,关键就在这,内网电脑根本感觉不到是外网来访问它了,

    展开全文
  • 摘要:TPIC6B273是美国TI公司生产的集8位数据锁存、功率驱动为一体的新型复合功能器件它是一种8通道D型触发器锁存、功率输出器件。文中用硬件电路原理图的形式给出了利用该器件设计的3种LED显示...
  • L2TP基本原理

    万次阅读 多人点赞 2019-08-31 20:40:20
    L2TP VPN简介 L2TP基本概念: L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。 目的: L2TP VPN技术出现...

    L2TP VPN简介

    L2TP基本概念:

    L2TP(Layer 2 Tunneling Protocol) VPN是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。

    目的:

    L2TP VPN技术出现以后,使用L2TP VPN隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径。无论出差员工是通过传统拨号方式接入Internet,还是通过以太网方式接入Internet,L2TP VPN都可以向其提供远程接入服务。

    L2TP VPN的优点:

    • 身份验证机制

      支持本地认证。

      支持Radius服务器等认证方式

    • 多协议传输

      L2TP传输PPP数据包,PPP本身可以传输多协议,而不仅仅是IP可以在PPP数据包内封装多种协议

    • 计费认证地址分配

      可在LAC和LNS两处同时计费,即ISP处(用于产生账单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据,可根据这些数据方便地进行网络计费

      LNS可放置于企业网的USG之后,对远端用户地址进行动态分配和管理,可支持私有地址应用

    • 不受NAT限制穿越

    • 支持远程接入

    • 灵活的身份验证及时以及高度的安全性

      L2TP协议本身并不提供连接的安全性,但它可以依赖于PPP提供的认证(CHAP、PAP等),因此具有PP所具有的所有安全特性。

    • L2TP隧道可以与IPSec结合,使通过L2TP所传输的数据更难被攻击。

      可根据特定的网络安全要求,在L2TP之上采用通道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

    • 可靠性

      L2TP协议支持备份LNS,当一个主LNS不可达之后,LAC可以重新与备份LNS建立连接,增加了VPN服务的可靠性和容错性

    L2TP VPN的原理

    L2TP VPN的主要应用场景:

    LAC和LNS介绍:

    LAC是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,主要用于为PPP类型的用户提供接入服务
    LAC位于LNS和用户之间,用于在LNS和用户之间传递信息包,它把用户收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往用户。LAC与用户之间采用本地连接或PPP链路,VPDN应用中通常为PPP链路。

    LNS既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。
    LNS作为L2TP隧道的另一侧端点,是LAC的对端设备 ,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立LAC隧道,将用户的PPP连接的另一端由原来的LAC在逻辑上延伸了企业网内部的LNS。

    L2TP VPN主要有三种应用场景。分别是:

    1. NAS-Initiated场景(拨号用户访问企业内网)

      NAS(Network Access Server):是运营商用来向拨号用户提供PPP/PPPoE接入服务的服务器,拨号用户通过NAS访问外部网络。

      LNS(L2TP Network Server)是企业总部的出口网关。

      用户通过PPPoE拨入LAC(L2TP Access Concentrator),触发LAC和LNS之间建立隧道。接入用户地址由LNS分配,对接入用户的认证可由LAC侧的代理完成,也可两侧都对接入用户做认证。当所有L2TP用户都下线时,隧道自动拆除以节省资源,直至再有用户接入时,重新建立隧道。

      此组网适用于分支机构用户向总部发起连接,且一般用于分支机构的用户不经常访问企业总部的情况。

    在这里插入图片描述

    图:NAS-Initiated VPN隧道组网图
    1. LAC自动拨号

      LAC与LNS之间建立一条永久性L2TP会话。客户端不用PPP拨号,而通过IP连接即可在隧道中传输数据。

      用户通过配置触发建立LAC与LNS之间的永久性L2TP会话。LAC使用存储在本地的用户名和LNS建立一个永久存在的L2TP隧道,此时的L2TP隧道就相当于一个物理连接。用户与LAC之间的连接就不受限于PPP连接,而只需IP连接,LAC即可将用户的IP报文转发到LNS。

      这种组网也适用于分支机构接入总部,用于分支机构员工访问总部频率较高的情况。与NAS-Initiated VPN场景相比:

      • 分支机构员工感知不到隧道存在,不需要使用用户名接入。LAC为分支机构的多个用户提供L2TP服务,免去了每个用户使用L2TP都需要先拨号的麻烦。
      • 这种组网下,LNS只对LAC进行认证。其缺点为:分支机构用户只要能够连接LAC即可使用L2TP隧道接入总部,而不需被认证。存在一定的安全隐患。此时用户接入总部以通过设备的用户认证功能对接入总部的用户进行认证,从而提高安全性。

    在这里插入图片描述

    图:LAC自动拨号组网示例
    1. Client-Initiated场景(移动办公用户访问企业内网)

      直接由接入用户(可为支持L2TP协议的PC)发起连接。此时接入用户可直接向LNS发起隧道连接请求,无需再经过一个单独的LAC设备。接入用户地址的分配由LNS来完成。

      由于LNS端需要为每个远程用户建立一条隧道,与NAS-Initiated VPN场景相比,LNS端配置更复杂一些。与其他两种场景相比,其优点在于接入用户不受地域限制。

      此场景适用于出差员工使用PC、手机等移动设备接入总部服务器,实现移动办公。

    在这里插入图片描述

    图:Client-Initiated组网示意图

    隧道和会话建立原理:

    隧道和会话的概念:

    在LNS和LAC对之间存在着两种类型的连接。

    隧道(Tunnel)连接:它定义了互相通信的两个实体LNS和LAC。

    • 在一对LAC和LNS之间可以建立多条隧道。隧道由一个控制连接和至少一个会话组成。

    • L2TP首先需要建立L2TP隧道,然后在L2TP隧道上建立会话连接,最后建立PPP连接。所有的L2TP需要承载的数据信息都是在PPP连接中进行传递的。

    会话(Session)连接:它复用在隧道连接之上,用于表示承载隧道连接中的每个PPP连接过程。

    • 会话是有方向的,从LAC向LNS发起的会话叫做Incoming会话,从LNS向LAC发起的会话叫做Outgoing会话。

    隧道和会话的关系:

    • NAS-Initiated VPN场景中,一对LAC和LNS的链接可以存在多条隧道;一条隧道中可承载多条会话。即:多个用户可以共用一条隧道。

    在这里插入图片描述

    • LAC自动拨号场景中,LAC和LNS建立永久的隧道。且仅承载一条永久的L2TP会话和PPP连接。

    在这里插入图片描述

    • Client-Initiated VPN场景中,每个接入用户和LNS之间均建立一条隧道;每条隧道中仅承载一台L2TP会话和PPP连接。

    在这里插入图片描述

    控制消息和数据消息:

    **控制消息:**控制消息用于隧道和会话连接的建立、维护以及传输控制;位于隧道和会话建立过程中。控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;主要的控制消息包括控制报文、会话报文等。

    控制报文用于建立和拆除、维持隧道,主要包括:

    • SCCRQ(Start-Control-Connection-Request):控制连接发启请求。由LAC或者LNS向对端发送,用来初始化LAC和LNS之间的隧道,开始隧道的建立过程。NGFW的应用场景中,一般都是由LAC向LNS发起请求。
    • SCCRP(Start-Control-Connection-Reply):表示接受了对端的连接请求,隧道的建立过程可以继续。
    • SCCCN(Start-Control-Connection-Connected):对SCCRP的回应,完成隧道的建立。
    • StopCCN(Stop-Control-Connection-Notification):由LAC或者LNS发出,通知对端隧道将要停止,控制连接将要关闭。另外,所有活动的会话都会被清除。
    • HELLO:隧道保活控制消息。L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,如果在一段时间内未收到Hello报文的应答,隧道将被清除。

    会话报文用于建立和拆除会话,主要包括:

    • ICRQ(Incoming-Call-Request):当LAC检测到有用户拨入电话的时候,向LNS发送ICRQ,请求在已经建立的隧道中建立会话。
    • ICRP(Incoming-Call-Reply):用来回应ICRQ,表示ICRQ成功,LNS也会在ICRP中标识L2TP会话必要的参数。
    • ICCN(Incoming-Call-Connected):用来回应ICRP,L2TP会话建立完成。
    • CDN(Call-Disconnect-Notify):由LAC或者LNS发出,通知对端会话将要停止。

    数据消息:用于承载用户的PPP连接数据报文,并在隧道上进行传输。数据消息的传输是不可靠传输,若数据报文丢失,不予重传。不支持对数据消息的流量控制和拥塞控制。

    NAS-Initiated VPN隧道和会话建立过程:

    在这里插入图片描述

    图:NAS-Initiated VPN隧道和会话建立过程
    1. 建立PPPoE连接

    2. LAC对用户进行认证。

    3. 建立L2TP隧道

      L2TP数据以UDP报文形式发送。L2TP注册了UDP端口1701,但是这个端口仅用于初始的隧道建立过程。L2TP隧道发起方(LAC)任选一个空闲端口(未必是1701)向接收方(LNS)的1701端口发送报文;LNS收到报文后,使用1701端口给LAC的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。

      1. LAC检查用户的LCP协商中的认证信息(Domain、Username等),查找能够匹配的L2TP组,根据L2TP组的配置对某个LNS进行L2TP呼叫建立L2TP隧道。如果此时LAC发现L2TP隧道已经建立,则LAC发起会话连接,否则首先建立L2TP隧道。

      2. LAC端向指定的LNS发送CHAP challenge信息,LNS回送该challenge响应消息CHAP response,并发送LNS侧的CHAP challenge,LAC返回该challenge的响应消息CHAP response。

        LAC和LNS之间通过SCCRQ、SCCRP和SCCCN消息完成L2TP隧道的建立,并且双方都知道对方的Tunnel ID等信息,后续的数据报文都会添加Peer的Tunnel ID信息,这样接收者就可以知道收到的L2TP报文属于本地的哪个隧道。

    4. 建立L2TP会话

      LAC和LNS使用ICRQ、ICRP和ICCN消息建立L2TP会话,这些消息都在前面建立的L2TP隧道中传递,并且都会添加隧道对端的Tunnel ID信息。

      在ICCN消息中,LAC端将用户CHAP response、response identifier和PPP协商参数传送给LNS,以便后续LNS与用户建立PPP连接。

    5. LNS根据用户名、密码等信息对用户进行认证。

    6. LNS对用户进行二次认证(可选)

    7. LNS对用户在此认证(可选)

    8. 用户与LNS之间建立PPP连接。

      完成了L2TP会话以后,LAC会将Client的相关PPP参数通过L2TP会话转发给LNS,LNS和用户进行PPP的认证。

      LNS向用户分配地址然后建立PPP连接,注意此时的PPP连接在用户和LNS之间建立,并不是在LAC和LNS之间。

      此时的LAC也保持着和用户的PPP连接,用于将来自LNS的L2TP数据报文解封装以后通过PPP连接传递给Client。

    9. 用户访问内网资源。

    LAC自动拨号隧道和会话的建立:

    与触发建立隧道的方式不同,LAC自动拨号场景是无需触发的永久隧道。一旦配置完毕,即可建立永久隧道,并承载唯一的一条永久会话。LAC为LNS的唯一的客户端。

    在这里插入图片描述

    图:LAC自动拨号的隧道和会话建立过程

    Client-Initiated VPN隧道和会话的建立:

    Client-Initiated VPN场景下,隧道建立过程与NAS-Initiated VPN相似。与NAS-Initiated VPN场景相比,Client-Initiated VPN场景相当于将Client和LAC合为了一个整体。

    在这里插入图片描述

    图:Client-Initiated VPN隧道和会话建立过程

    L2TP VPN的报文封装:

    NAS-Initiated VPN组网数据封装过程:

    在这里插入图片描述

    图:NAS-Initiated VPN场景组网报文封装过程

    NAS-Initiated VPN组网中,接入用户访问内网服务器时:

    1. 当隧道和会话均建立完成后,接入用户已获取LNS分配的地址,并用此地址来访问内网服务器。
    2. 接入用户向LAC发起PPPoE拨号,为数据添加私有IP、PPP报文头和PPPoE报文头,并添加太网头后,发送给LAC。
    3. LAC收到报文后,依次剥离以太网头、PPPoE报文头,并对报文依次封装L2TP报文头、UDP报文头,并添加公网IP,发送给LNS。
    4. LNS收到报文后,首先对报文进行L2TP解封装,依次剥离公网IP、UDP报文头、L2TP报文头。之后进行PPP解封装,剥离PPP报文头。最后添加以太网头,并根据私有IP的目的地址将报文发送给内网服务器。
    5. 服务器接收报文后,获取报文数据,并将响应报文发送给LNS。

    LAC自动拨号组网数据封装过程:

    在这里插入图片描述

    图:LAC自动拨号场景组网报文封装过程

    LAC自动拨号组网中,PPP封装和L2TP封装仅限于LAC和LNS之间的报文交互。

    Client-Initiated VPN组网数据封装过程:

    在这里插入图片描述

    图:Client-Initiated VPN场景组网报文封装过程

    L2TP VPN的认证:

    L2TP支持使用PAP和CHAP两种方式进行PPP认证。

    VT(Virtual-Template)接口:

    PPP、Ethernet都是二层协议,它们之间不能直接互相承载。当用户配置PPPoE等二层协议时,这些二层协议之间需要通过虚拟访问接口VA(Virtual-Access)进行通信。前面已经提到,L2TP中会使用PPPoE协议。VT接口是用于配置虚拟访问接口的模板。在L2TP会话连接建立之后,LAC、LNS均需要创建虚拟访问接口用于和对端(即用户)交换数据。此时,系统将按照用户的配置,选择VT接口,根据该模板的配置参数(包括接口IP地址、PPP认证方式等)动态地创建虚拟访问接口。

    命令行配置中,VT接口下可选择CHAP或PAP认证方式来对用户进行PPP认证。Web配置中不支持手工配置认证方式,系统优先选择CHAP方式,其次选择PAP方式。

    LAC自主拨号场景:

    LAC自主拨号场景中,LAC侧不对用户进行认证,只在LNS侧对LAC配置的用户进行PPP认证(PAP或CHAP)。在命令行配置中,体现在VT接口下配置的PPP认证方式。

    Client-Initiated VPN场景:

    Client-Initiated VPN场景中,在LNS侧对用户进行PPP认证(PAP或CHAP)。在命令行配置中,体现在VT接口下配置的PPP认证方式。

    NAS-Initiated VPN场景:

    NAS-Initiated VPN场景中,L2TP可对用户进行两次PPP认证:第一次发生在LAC侧,第二次发生在LNS侧。只有一种情况LNS侧不对接入用户进行二次认证:启用LCP重协商后,不在相应的VT接口上配置认证。这时,用户只在LAC侧接受一次认证。

    另外,不论对于LAC或LNS,如果其配置的用户认证方式为“不认证”,则不论VT接口中使用何种认证方式,都不对用户进行认证。

    以下对于认证方式的描述都是基于配置的用户认证方式不为“不认证”的情况。

    • LAC端认证方式

      LAC端可对用户进行PAP或CHAP认证。在命令行配置中,使用VT接口下配置的PPP认证方式。

    • LNS端认证方式

      LNS对用户的认证方式除由PPP认证方式决定外,还取决于配置的L2TP认证方式。L2TP认证方式有三种:代理认证、强制CHAP认证和LCP重协商。其中,LCP重协商的优先级最高,代理认证优先级最低。

      • LCP重协商

        如果需要在LNS侧进行比LAC侧更严格的认证,或者LNS侧需要直接从用户获取某些信息(当LNS与LAC是不同厂商的设备时可能发生这种情况),则可以配置LNS与用户间进行LCP重协商。LCP重协商使用相应VT接口配置的认证方式。此时将忽略LAC侧的代理认证信息。

      • 强制CHAP认证

        如果只配置强制CHAP认证,则LNS对用户进行CHAP认证,如果认证不通过,会话就不能建立成功。

      • 代理认证

        代理认证就是LAC将它从用户得到的所有认证信息及LAC配置的认证方式传给LNS,LNS会利用这些信息和LAC端传来的认证方式对用户进行认证。

        NAS-Initiated VPN中,在PPP会话开始时,用户先和LAC进行PPP协商。若协商通过,则由LAC初始化L2TP隧道连接,并将用户信息、认证信息等传递给LNS,由LNS根据收到的代理认证信息判断用户是否合法。

        代理认证与VT接口的PPP认证方式的关系:

        • LNS的PPP认证方式不能比LAC复杂。例如,如果LAC端配置的认证方式为PAP,而LNS配置的PPP认证方式为CHAP,则由于LNS要求的CHAP认证级别高于LAC能够提供的PAP认证,认证将无法通过,会话也就不能正确建立。
        • 其他情况下,如果LNS与LAC的认证方式不一致,LNS将采用LAC发送过来的认证方式进行协商,忽略VT接口配置的认证方式。

    三种组网模式的对比

    三种组网对比:

    在这里插入图片描述

    • Client-Initiated VPN:其优点在于接入用户不受地域限制。此场景适用于员工使用PC、手机等移动设备接入总部服务器,实现移动办公。
    • NAS-Initiated VPN:接入用户(PC)通过PPPoE拨入LAC,由LAC通过Internet向LNS发起建立隧道连接请求。接入用户地址由LNS分配,对接入用户的认证可由LAC侧代理完成,也可两侧都对接入用户做认证。当所有L2TP用户都下线时,隧道自动拆除以节省资源,直至再有用户接入时,重新建立隧道。此组网适用于分支机构用户向总部发起连接,且一般用于分支机构的用户不经常访问企业总部的情况。
    • LAC-Auto:分支机构员工感知不到隧道存在,不需要使用用户接入。LAC为分支机构的多个用户提供L2TP服务,免去了每个用户使用L2TP都需要先拔号的麻烦
      这种组网下,LNS只对LAC进行认证。其缺点为:分支机构用户只要能够连接LAC即可使用L2TP隧道接入总部,而不需被认证。存在一定的安全隐患。此时用户接入总部以通过设备的用户认证功能对接入总部的用户进行认证,从而提高安全性

    L2TP和PPTP区别:

    • L2TP:公有协议、UDP1701、支持隧道验证,支持多个协议,多个隧道,压缩字节,支持三种模式
    • PPTP:私有协议、TCP1723、不支持隧道验证,只支持IP、只支持点到点

    PPTP:

    点对点隧道协议(PPTP)是由包括Microsoft和3com等公司组成的PPTP论坛开发的,一种点对点隧道协议,基于拔号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用Microsoft的点对点加密算法MPPE。

    L2TP:

    第二层隧道协议(L2TP)是IETF基于L2F(Cisco的2层转发协议)开发的PPTP后续版本,是一种工业标准Internet隧道协议。

    两者的主要区别主要有以下几点:

    1. PPTP只能在两端间建立单一隧道,L2TP支持在两端点间使用多隧道,这样可以针对不同的用户创建不同的服务质量
    2. L2TP可以提供隧道验证机制,而PPTP不能提供这样的机制,但当L2TP或PPTP与IPSec共同使用时,可以由IPSec提供隧道验证,不需要在第二层协议上提供隧道验证机制
    3. PPTP要求互联网络为IP网络,而L2TP只要求隧道媒介提供面向数据包的点对点连接,L2TP可以在IP(使用UDP),FR,ATM,x.25网络上使用
    4. L2TP可以提供包头压缩。当压缩包头时,系统开销(voerhead)占用4个字节,而PPTP协议下要占用6个字节

    L2TP什么情况下需要强制认证?

    在NAS模式下。且LNS不信任LAC,配置了强制认证的情况下


    参考文档:华为HedEx文档。


    展开全文
  • TP LINK GRE L2TP介绍

    2020-09-08 08:19:51
    PPTP与L2TP区别: PPTP与L2TP适用于经常有流动人员远程办公的环境,出差员工利用Internet可以很方便的和公司的VPN网关建立私有的隧道连接。PPTP、L2TP提供认证加密功能,可提高网络的安全性。如下图所示,出差员工...

     

    (Virtual Private Network, 虚拟专用网络)是一个建立在公用网(通常是因特网)上的专用网络,但因为这个专用网络只是逻辑存在并没有实际物理线路,故称为虚拟专用网。

    随着因特网的发展壮大,越来越多的数据需要在因特网上进行传输共享,当企业将自身网络接入因特网时,各地的办事处等外部站点可以很方便地访问企业网络,但同时也把企业内部的私有数据暴露给因特网上的其他用户。于是在这种开放的网络环境上搭建专用线路的需求日益强烈,VPN应运而生。

    VPN通过隧道技术在两个站点间建立一条虚拟的专用线路,使用端到端的认证和加密保证数据的安全性。典型拓扑如下图所示:

    封装与隧道:

    封装是指将一种协议承载在另一种协议中进行传输的技术,如PPTP就是将PPP报文封装在GRE协议中。协议B为被承载协议,GRE为承载协议。

    隧道指被承载协议的传输通道。

    PPTP

    点对点隧道协议,是在PPP协议的基础上开发的一种新的增强型安全协议,可以使远程用户安全方便的访问企业网络。PPTP属于二层隧道协议。

    L2TP

    二层隧道协议(L2TP(Layer 2 Tunneling Protocol),是由IETF起草,微软、Cisco等公司参予制定的二层隧道协议。

    PPTP与L2TP区别:

    PPTP与L2TP适用于经常有流动人员远程办公的环境,出差员工利用Internet可以很方便的和公司的VPN网关建立私有的隧道连接。PPTP、L2TP提供认证加密功能,可提高网络的安全性。如下图所示,出差员工通过PPTP VPN连接至总部网络。

    IPsec VPN

    IPsec(IP安全)是一系列服务和协议的集合,是由IETF制定的三层隧道加密协议,它为Internet上数据的传输提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式,可以保证双方数据的完整性与机密性。

    数据完整性:IPSec接收方对发送方发送来的包进行认证,以确保数据的完整性。

    数据机密性:IPSec发送方在通过网络传输包前对数据包进行加密,可以保证数据的安全性。

    数据来源认证:IPSec接收方可以认证IPSec报文的发送方是否合法。

    为了实现安全的通信,通信双方的IPsec协议必须协商用于编码数据的具体算法,数据格式的安全提议,并通过IKE交换解密编码数据所需的密钥。

    IPsec中有两个重要的安全协议,AH(Authentication Header)和ESP(Encapsulating Security Payload)。

    AH

    AH是认证头协议,主要提供的功能有数据源认证、数据完整性校验和防报文重放功能,可选择的认证算法有MD5、SHA-1等。AH报文头插在标准IP包头后面,保证数据包的完整性和真实性,防止黑客截获数据包或向网络中插入伪造的数据包。

    ESP

    ESP是报文安全封装协议,与AH协议不同的是,ESP将需要保护的用户数据进行加密后封装到IP包中,可以保证数据的机密性。

    常见的加密算法有DES、3DES、AES等。

    可以选择MD5、SHA-1算法保证报文的完整性和真实性。

    AH和ESP可以单独使用,也可以配合使用。设备支持的AH和ESP联合使用的方式为:先对报文进行ESP封装,再对报文进行AH封装,封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。

    目前TL-ER6120支持AH或者ESP,不支持“AH+ESP”。

    验证算法

    AH和 ESP都能够对 IP报文的完整性进行验证, 以判别报文在传输过程中是否被篡改。验证算法是通过 Hash函数。Hash函数是一种能够接受任意长的消息输入,并产生固定长度输出的算法,该输出称为消息摘要。IPsec 对等体计算摘要,如果两个摘要是相同的,则表示报文是完整未经篡改的。IPsec 使用两种验证算法:

    MD5:MD5通过输入任意长度的消息,产生 128bit的消息摘要。

    SHA-1:SHA-1通过输入长度小于 2的 64次方比特的消息,产生 160bit的消息摘要。

    加密算法

    ESP能够对 IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。

    IPsec常用的三种加密算法:

    DES:使用 56bit的密钥对每个 64bit的明文块进行加密。

    3DES:使用三个 56bit的 DES密钥(共 168bit密钥)对明文进行加密。3DES具有更高的安全性,但其加密数据的速度要比 DES慢。

    AES(Advanced Encryption Standard):可以实现 128bit、192bit和 256bit密钥长度的 AES算法。

    IKE

    在 IPsec VPN中,为了保证信息的私密性,通信双方需要使用彼此都知道的信息来对数据进行加密和解密,所以在通信建立之初双方需要协商安全性密钥,这一过程便由 IKE (Internet Key Exchange, 互联网密钥交换)协议完成。

    IKE 其实并非一个单独的协议,而是三个协议的混合体。这三个协议分别是 ISAKMP (Internet Security Association and Key Management Protocol, 互联网安全性关联和密钥管理协议),该协议为交换密钥和 SA (Security Association, 安全联盟)协商提供了一个框架;Oakley 密钥确定协议,该协议描述了密钥交换的具体机制;SKEME安全密钥交换机制,该协议描述了与 Oakley 不同的另一种密钥交换机制。

    整个 IKE 协商过程被分为两个阶段。第一阶段,通信双方将协商交换验证算法、加密算法等安全提议,并建立一个 ISAKMP SA,用于在第二阶段中安全交换更多信息。第二阶段,使用第一阶段中建立的 ISAKMP SA 为 IPsec的安全性协议协商参数,创建 IPsec SA,用于对双方的通信数据进行保护。

    IKE为IPSec提供自动协商交换密钥、建立和维护SA的服务,以简化IPSec的使用和管理。IPSec所使用的策略和算法等可以手工协商,IKE并不是必须的。

    DH(Diffie-Hellman)交换及密钥分发 :Diffie-Hellman 算法是以蒂夫-海曼的名字命名的一种公共密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥。加密的前提是交换加密数据的双方必须要有共享的密钥。

    PFS(Perfect Forward Secrecy)完善的前向安全性: PFS特性是一种安全特性,由于密钥间没有派生关系,即使一个密钥被破解,并不影响其他密钥的安全性。

    IPSec主要用在站点到站点(分支结构到分支机构)的方案中。如下图,总部与分支机构各部署一台VPN网关,做好相应配置后,分支机构与总部的内网间可实现透明互访,又可保证通信的安全性。

    展开全文
  • 因为公司买了一个服务器,主机都在服务器上面,还剩下几台可以分配,所以最开始打算在服务器上面装一个Centos系统来配置vpn,但是看到tplink路由器上有写vpn,所以就不用再造轮子了。 1.首先必须先配置ip地址池,...
  • L2TP

    2019-01-08 05:43:45
    gt;> ...L2TP ...L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包...L2TP提供包头压缩...
  • 1‐2‐3 与其他公司的PLC的通信............................................................................................................. 13  1‐3 系统构成............................................
  • L2TP over IPSEC配置实例

    2021-08-22 16:37:16
    本文以华为eNSP模拟器,实现了L2TP over ipsec架构配置。 阅读本文,您需要对L2TP 有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。 关于Client-Initiated L2TP配置,请...
  • TP-Link公司推出ADSL路由器TD-8830.pdf
  • 电容TP的测试方法

    2012-01-12 10:11:20
    公司购买的电容屏测试软件,测试比较直观
  • TP-LINK实现远程办公

    千次阅读 2020-07-03 17:02:33
      远程办公指的是工作人员在非工作地域(比如说在家里),通过互联网通讯技术,实现原本在公司地域所实现的办公工作。 远程办公的优缺点 远程办公的优点   远程办公由于省去了办公场地等的开支,因而运营成本更...
  • TPLINK笔试面试心得

    千次阅读 2017-04-03 10:15:00
    TPLINK笔试面试心得笔试是机考,10个选择题,2个看程序写答案,3到编程题。...找一个链表的中间点对应的数面试:TP是我目前见到的唯一一个要带成绩单去面试的公司,所以大家选TP之前先看一下自己的成绩单。。。。
  • 最近在使用TP4054锂电充电芯片时遇到一个奇怪的问题,充满电后指赤灯有时会灭有时不会灭只是亮度降低,让我很迷惑,后面经过分析与测量最终解决此问题。造面此问题的原因是此芯片的CHRG(引脚1)脚在充满电时为高阻...
  • 本文以华为eNSP模拟器,实现了Client-Initiated类型的L2TP VPN配置。 阅读本文,您需要对L2TP VPN有一定的了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获。 相关文章链接: L2TP...
  • TP-Link公司Java笔试面试.zip_面试资料下载
  • 小程序商城带后台tp5

    2018-12-03 14:18:00
    + 控制面板,计划任务、插件、图片、地区、消息、店铺配置、支付方式、配送方式、物流公司管理。信任登录插件、阿里云OSS插件、阿里云短信插件、微信消息模板插件、分销功能 + 门店管理,门店列表。门店核销、店员...
  • L2TP 连接公司内网 L2TP/IPSec协商所需的安全参数配置错误 坑啊。太难搞了。 用iNOde智能客户端,配置能连接到公司的内网。但是用win10自己带的VPN。怎么都配置不进去。
  • TPIC6B595与LED大屏幕.pdf

    2019-05-28 14:23:35
    摘要 : 文章介绍 T I 仪器公司 DMOS 器件 TP IC6B595 , 以及利用 TP IC6B595 构成 L ED 显示器的 方法。 该显示器可用于各种单色显示。
  • EIB-TP-UART数据手册

    2013-09-17 11:34:15
    西门子公司EIB-TP-UART数据手册
  • TPLINK TLSG1024T交换机怎么样?公司需要交换机,入手了一台TPLINK SG1024T交换机,下面我们就来看看sg1024t开箱测评以及优缺点介绍,需要的朋友可以参考下
  • C5TP家庭实验室说明

    2018-11-06 14:09:09
    C5TP家庭实验室说明。GW48系列EDA实验开发系统完全配套教材,除含EDA软件平台是ALTERA QuartusII6.0,示例硬件平台为Cyclone和CycloneII FPGA,及VHDL内容外,还含最新版MTLAB/DSP Builder设计及CPU设计等内容,含...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 19,497
精华内容 7,798
关键字:

tp公司