M0000009L2TP协议基础(中文版V1.0)定稿.docVIP

L2TP协议 L2TP协议概述 L2TP协议是由IETF起草，微软、Ascend 、Cisco、 3COM等公司参预制定的2层隧道协议，它结合了PPTP和L2F两种2层隧道协议的优点，为众多公司所接受。 L2TP的特性有： L2TP特别适合单个或少数用户接入企业的情况，其点到网的特性是其承载协议PPP所约定的。 由于L2TP对私有网的数据包进行了封装，因此在Internet上传输数据时，对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配。 与PPP模块配合，支持本地和远端的认证、授权和记费（AAA）功能，对用户的接入也可根据需要采用全用户名，用户域名和用户拨入的特殊服务号码来识别是否为VPN用户。 对数据报文的安全性可采用IPSEC协议，采用该协议即可以在用户发往Internet之前对数据报文加密（即用户控制方式），也可采用在VPN端系统LAC侧加密（即服务提供商控制方式）。 对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。 使用L2TP构建VPDN 如图所示，企业员工或小型的分支机构可以通过多种方式灵活的接入总部的网络： 方式1：员工通过PSTN/ISDN接入IPS的LAC，LAC（L2TP Access Concentrator）是L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧道和会话连接的功能，以及对VPN用户的代理认证功能；它是ISP侧提供VPN服务的接入设备，在物理实现上，它即可以是配置L2TP的路由器或接入服务器，也可以是专用的VPN服务器。由LAC通过 Internet向LNS发起建立隧道连接请求，连接总部的网络。LNS（ L2TP Network Server）是L2TP企业侧的VPN服务器，该服务器完成对用户的最终授权和验证，接收来自LAC的隧道和连接请求，并建立连接LNS和用户的PPP通道。对于用户AAA数据也可以采用RADIUS服务器来保存，该服务器既可以在本地也可以在远端。采用这种方式，员工不需要配置VPN拨号软件。这种方式的好处在于：对用户是透明的，用户只需要登录一次就可以接入企业网络，由企业网进行用户认证和内部地址分配（而不占用公共地址），可由LNS或LAC侧的AAA完成对拨号用户的计费。用户可使用各种平台上网。这种方式需要ISP支持VPDN协议，需要认证系统支持VPDN属性，网关一般使用路由器或VPN专用服务器。 方式2：员工直接连入POP（point of present）POP点提供数据服务，在用户侧配置VPN拨号软件就可以直接与总部建立VPN连接。用户端客户机与VPDN网关建立隧道。由客户机先建立与Internet的连接，再通过专用的客户软件（如Win2000支持的L2TP）与企业网关建立隧道连接。这种方式的好处在于：用户上网的方式和地点没有限制，不需ISP介入，只能由LNS侧的AAA对拨号用户进行计费。这种方式的缺点是：用户需要安装专用的软件（一般都是Win2000平台），限制了用户使用的平台。 L2TP中存在两种消息：控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护及删除；数据消息则用于封装PPP帧并在隧道上传输。 L2TP隧道和会话建立流程 为了在VPN用户和服务器之间传递数据报文，必须在LAC和LNS之间建立传递数据报文的隧道和会话连接，隧道是保证具有相同会话连接特性的一组用户可以共享的连接属性所定义的通道，而会话是针对每个用户与企业VPN服务器建立连接的PPP数据通道。同一对LAC与LNS之间只可建立一个L2TP隧道，多个会话复用在一个隧道连接上。隧道和会话是动态建立与删除的。 会话的建立是由PPP模块触发，如果该会话在建立时没有可用的隧道，那么先建立隧道连接。会话建立完毕后，开始进行数据传输。 隧道的建立是一个三次握手的过程，首先由LAC发起隧道建立请求SCCRQ（Start-Control-Connection-Request），LNS收到请求后进行应答SCCRP（Start-Control-Connection-Reply），LAC在收到应答后返回确认SCCCN（Start-Control-Connection-Connected），隧道建立。 会话建立的过程与隧道类似：首先由LAC发起会话建立请求ICRQ（Incoming-Call-Request），LNS收到请求后返回应答ICRP（Incoming-Call-Reply），LAC收到应答后返回确认ICCN（Incoming-Call-Connected），会话建立。  隧道建立后，一直要等到该隧道所属会话全部下线后才能进行拆除，为了确认对端的隧道依然存在，需要定时发送维护报文，其流程为LAC或LNS发出Hel