vpn3分析和总结分析和总结.docx

一、第二层隧道协议 L2TP 和 IP 安全 IPSec 第二层隧道协议 L2TP（Layer Two Tunneling Protocol）是PPTP 和第二层转发 L2F 两种技术的结合，后者是由Cisco 公司提出的隧道技术。为了避免PPTP 和 L2F 两种互不兼容的隧道技术在市场上彼此竞争从而给用户造成困惑，带来不方便，IETF 要求将两种技术结合在单一隧道协议中，并在该协议中糅合 PPTP 和 L2F 两者的优点，由此产生了 L2TP。有关L2TP 协议标准详见 RFC 2661。 L2TP 协议将 PPP 帧封装后，可通过 IP，X.25，帧中继或 ATM 等网络进行传送。目前， 仅定义了基于 IP 网络的 L2TP。在 IP 网络中 L2TP 采用用户数据报协议UDP 封装和传送PPP 帧。L2TP 隧道协议可用于 Internet，也可用于其他企业专用 Intranet 中。 IP 网上的 L2TP 不仅采用 UDP 封装用户数据，还通过 UDP 消息对隧道进行维护。PPP 帧的有效载荷即用户传输数据，可以经过加密、压缩或两者的混合处理，但需要指出的是， 与 PPTP 不同，在 Windows 2000 中，L2TP 客户机不采用 MPPE 对 L2TP 连接进行加密，L2TP连接加密由 IPSec ESP 提供。 在 Windows 2000 中，创建一条未经 IPSec 加密的 L2TP 连接是有可能的，但在这种情形下，由于用户私有数据没有经过加密处理，因此该 L2TP 连接不属于 VPN 连接。非加密L2TP 连接一般用于临时性的对基于 IPSec 的 L2TP 连接进行故障诊断和排除，在这种情况下，可以省略 IPSec 认证和协商过程。 与 PPTP 类似，L2TP 协议假定在 L2TP 客户机和 L2TP 服务器之间有连通且可用的 IP 网络。因此如果 L2TP 客户机本身已经是某 IP 网络的组成部分，那么即可通过该 IP 网络与L2TP 服务器取得连接；而如果 L2TP 客户机尚未连入网络，譬如在 Internet 拨号用户的情形下，L2TP 客户机必须首先拨打 NAS 建立 IP 连接。这里所说的 L2TP 客户机也就是使用 L2TP隧道协议和 IPSec 安全协议的 VPN 客户机，而 L2TP 服务器亦即使用 L2TP 隧道协议和IPSec 安全协议的 VPN 服务器。 创建 L2TP 隧道时必须使用与 PPP 连接相同的认证机制，诸如 EAP，MS?CHAP，CHAP， SPAP，和 PAP。基于 Internet 的 L2TP 服务器亦即使用 L2TP 协议的拨号服务器，它的一个接口在外部网络 Internet 上，另一个接口在目标专用网络 Intranet 上。 L2TP 隧道维护控制消息和隧道化用户传输数据具有相同的包格式。二、基于 L2TP 控制消息的隧道维护 与 PPTP 不同，L2TP 不是通过一条单独的 TCP 连接来进行隧道维护。L2TP 客户机和 服务器之间的呼叫控制和管理均以发送UDP 消息的方式进行。在 Windows 2000 中，L2TP 客户机和服务器都使用 UDP1701 端口。 注：在 Windows 2000 中， L2TP 客户机和服务器始终使用 UDP1701 端口，但 Windows 2000 L2TP 服务器也支持使用非 1701 UDP 端口的 L2TP 客户机。 IP 网上的 L2TP 控制消息以 UDP 数据报形式发送。在 Windows 2000 实现中，L2TP 控 制消息即UDP 数据报经过IPSec ESP 的加密，见下图： 图十一、L2TP 控制消息 由于 UDP 提供的是无连接的数据包服务，因此L2TP 采用将消息序列化的方式来保证L2TP 消息的按序递交。在 L2TP 控制消息中，Next-Received 字段（类似于TCP 中的确认字段）和Next-Sent 字段（类似于TCP 中序列号字段）用于维持控制消息的序列化。无序数据包将被丢弃。Next-Received 字段和Next-Sent 字段同样用于用户传输数据的按序递交和流控制。 L2TP 支持一条隧道内的多路呼叫。在L2TP 的控制消息中以及L2TP 数据帧的报头内， Tunnel ID 标识了一条隧道而Call ID 标识了该隧道内的一路呼叫。 下表列出了一些主要的L2TP 控制消息。表二、L2TP 控制消息 L2TP 控制消息的确切格式，请参阅L2TP Internet 草案。 三、L2TP 数据封装 L2TP 用户传输数据的隧道化过程采用多层封装的方法。图十二显示了封装后在隧道中传输的基于IPSec 的 L2TP 数据包格式。 图十二、L2TP 数据包封装