L2TP協議
L2TP(Layer 2 Tunneling Protocol) 第二層隧道協議。該協議是工業標准的Internet隧道協議。
L2TP實現的兩種方式
LAC (L2TP Access Concentrator L2TP訪問集中器)是附屬在交換機網絡中具有PPP端系統和L2TP協議處理能力的設備。LAC一般是一個網絡接入服務器NAS(Network Access Server),主要用於通過PSTN/ISDN網絡為用戶提供接入服務。
LNS (L2TP Network Server L2TP網絡服務器)是PPP端系統上用於處理L2TP協議服務器端部分的設備。
VPDN (virtual Private Dial Network,虛擬私有撥號網) 指利用公共網絡(如ISDN,PSDN)的編號功能及接入網來實現虛擬專用網。
(1)PC機和LNS直連
(2)PC機通過LAC撥號連接到LNS
L2TP封裝
PC機的報文在PPP內網環境中發送到LAC,由LAC封裝L2TP,再通過外網的報文正常轉發給LNS的報文封裝過程。
隧道和會話
LAC和LNS之間存在兩種連接,隧道連接(一對LAC和LNS之間可以有多個L2TP隧道)和會話連接(復用在隧道連接之上,用於表示承載在隧道連接中的每個PPP會話進程)
隧道由一個控制連接和一個或多個會話連接組成。會話必須在隧道建立(包括身份保護、L2TP版本、幀類型、硬件傳輸類型等信息的交換)成功之后進行,每個會話連接對應於LAC和LNS之間的一個PPP數據流。控制消息和PPP數據報文都在隧道上傳輸。
L2TP使用Hello報文來檢測隧道的連通性。LAC和LNS定時向對端發送Hello報文,若在一段時間內未收到Hello報文的應答,該隧道連接將被斷開。
L2TP報文頭中包含隧道標識符(Tunnel ID)和會話標識符(Session ID)信息,用來標識不同的隧道和會話。隧道標識相同、會話標識不同的報文將被復用在一個隧道上,報文頭中的隧道標識符與會話標識符由對端分配。
消息類型
L2TP是數據鏈路層協議,報文分為數據消息和控制消息。數據消息用PPP幀,該幀作為L2TP報文的數據區,L2TP不保證數據消息的可靠投遞,若報文丟失,不予重傳,不支持對數據消息的流量控制和擁塞控制。
控制消息用以建立、維護和終止控制連接及會話,L2TP確保其可靠投遞,並支持對控制消息的流量控制和擁塞控制。
L2TP/IPSec
通常,L2TP會和IPSec結合使用,IPSec提供加密功能,此時數據封裝形式為:
L2TP vs PPTP
(1)PPTP要求互聯網絡為IP網絡,L2TP只要求隧道媒介提供面向數據包的點對點連接。L2TP可以在IP(使用UDP),幀中繼永久虛擬電路,ATM 虛擬電路網絡上使用
(2)PPTP只能在兩端點之間建立單一隧道,L2TP支持在兩端點見使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道
(3)L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷占用4個字節,而PPTP協議要用6個字節
(4)PPTP依靠MPPE提供加密服務,而L2TP依靠IPSec提供加密服務