L2TP 协议介绍L2TP 协议介绍.doc

L2TP 协议介绍 1. 协议背景??? ppp 协议定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，这时，用户与nas 之间运行ppp 协议，二层链路端点与ppp 会话点驻留在相同硬件设备上。??? l2tp 协议提供了对ppp 链路层数据包的通道（tunnel）传输支持，允许二层链路端点和ppp 会话点驻留在不同设备上，并且采用包交换网络技术进行信息交互，从而扩展了ppp模型。l2tp 协议结合了l2f 协议和pptp协议的各自优点，成为ietf有关二层隧道协议的工业标准。??? 2. 典型l2tp 组网应用??? 使用l2tp协议构建的vpdn应用的典型组网如图2-1所示：??? ??? 其中，lac 表示l2tp 访问集中器（l2tp access concentrator），是附属在交换网络上的具有ppp 端系统和l2tp 协议处理能力的设备。lac 一般是一个网络接入服务器nas，主要用于通过pstn/isdn 网络为用户提供接入服务。lns 表示l2tp网络服务器（l2tp network server），是ppp 端系统上用于处理l2tp 协议服务器端部分的设备。??? lac 位于lns 和远端系统（远地用户和远地分支机构）之间，用于在lns 和远端系统之间传递信息包，把从远端系统收到的信息包按照l2tp 协议进行封装并送往lns，将从lns 收到的信息包进行解封装并送往远端系统。lac 与远端系统之间可以采用本地连接或ppp 链路，vpdn 应用中通常为ppp 链路。lns 作为l2tp 隧道的另一侧端点，是lac 的对端设备，是被lac 进行隧道传输的ppp 会话的逻辑终止端点。??? 3. l2tp 协议的技术细节??? (1) l2tp 协议结构??? ??? 上图所示l2tp 协议结构描述了ppp 帧和控制通道以及数据通道之间的关系。ppp帧在不可靠的l2tp 数据通道上进行传输，控制消息在可靠的l2tp 控制通道内传输。??? 通常l2tp 数据以udp 报文的形式发送。l2tp 注册了udp 1701 端口，但是这个端口仅用于初始的隧道建立过程中。l2tp 隧道发起方任选一个空闲的端口（未必是1701）向接收方的1701 端口发送报文；接收方收到报文后，也任选一个空闲的端口（未必是1701），给发送方的指定端口回送报文。至此，双方的端口选定，并在隧道保持连通的时间段内不再改变。??? (2) 隧道和会话的概念??? 在一个lns 和lac 对之间存在着两种类型的连接，一种是隧道（tunnel）连接，它定义了一个lns 和lac 对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个ppp 会话过程。在同一对lac 和lns 之间可以建立多个l2tp 隧道，隧道由一个控制连接和一个或多个会话（session）组成。会话连接必须在隧道建立（包括身份保护、l2tp 版本、帧类型、硬件传输类型等信息的交换）成功之后进行，每个会话连接对应于lac 和lns 之间的一个ppp数据流。控制消息和ppp 数据报文都在隧道上传输。??? l2tp 使用hello 报文来检测隧道的连通性。lac 和lns 定时向对端发送hello 报文，若在一段时间内未收到hello 报文的应答，该隧道连接将被断开。??? (3) 控制消息和数据消息的概念??? l2tp 中存在两种消息：控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护以及传输控制；数据消息则用于封装ppp 帧并在隧道上传输。控制消息的传输是可靠传输，并且支持对控制消息的流量控制和拥塞控制；而数据消息的传输是不可靠传输，若数据报文丢失，不予重传，不支持对数据消息的流量控制和拥塞控制。??? 控制消息和数据消息共享相同的报文头。l2tp 报文头中包含隧道标识符（tunnel id）和会话标识符（session id）信息，用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上，报文头中的隧道标识符与会话标识符由对端分配。??? 4. 两种典型的l2tp 隧道模式??? 远端系统或lac客户端（运行l2tp协议的主机）与lns之间的隧道模式如图2-3所示：??? ??? (1) 由远程拨号用户发起。远程系统通过pstn/isdn 拨入lac，由lac 通过internet 向lns 发起建立通道连接请求。拨号用户地址由lns 分配；对远程拨号用户的验证与计费既可由lac 侧的代理完成，也可在lns 侧完成。??? (2) 直接由lac 客户（指可在本地支持l2tp 协议的用户）发起。lac