第二层隧道协议L2TP详解 .pdfVIP

第二层隧道协议L2TP详解

1、引言

隧道技术是建立安全VPN的基本技术之一，类似于点对点连接技术，在公用网建立一条数

据遂道，让数据包通过这条隧道传输。隧道是由隧道协议形成的，分为第二、三层隧道协议。

第二层隧道协议有L2F、PPTP和L2TP等，是先把各种网络协议封装到PPP中，再把整个数

据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第三层隧道

协议有GRE、IPSEC等。第二层隧道协议和第三层隧道协议的本质区别在于在隧道内用户的

数据包是被封装在哪种数据包中进行传输的。

L2TP隧道协议是典型的被动式隧道协议，它结合了L2F和PPTP的优点，可以让用户从客户

端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、

帧中继中进行隧道传输的封装协议。

L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成，LAC支持客户

端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点，LNS终止所有的

PPP流。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸

到LNS。

L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP

地址。L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个

NAS(NetworkAccessServer)，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终

结点为同一个物理设备。L2TP还支持信道认证，并提供了差错和流量控制。

L2TP利用IPsec增强了安全性，支持数据包的认证、加密和密钥管理。L2TP/IPSec因此能为

远程用户提供设计精巧并有互操作性的安全隧道连接。这对安全的远程访问和安全的网关之

间连接来说，它是一个很好的解决方案。因此，安全的VPN需要同时解决好L2TP和IPSec

这两个不同的问题。L2TP协议解决了穿过IP网络的不同用户协议的转换问题；IPSec协议（加

密/解密协议）解决了通过公共网络传输信息的保密问题。

2、应用L2TP技术的网络拓扑结构

该网络结构中将IPSecSGW(安全网关)和LNS合并成一个系统，即安全远程访问服务器SRAS

（SecureRemoteAccessServer）。这样，远程访问客户将访问唯一的节点SRAS，该节点既是

NAS服务的PPP终端，也是进入企业的安全网关节点。

至于远程访问，好处是对于穿过Internet的端到端IP包，将IPSec安全性当作适合企业请求

的可信任模型。这样，你可以简单地使用AH，它不存在对外来窃听的担心，你只需要验证

包数据（包括包的来源）；你也可以使用ESP（包括ESP验证），它不考虑对网络的信任以及

任何人对公司活动窃听的问题。

SRAS的操作要求配置防火墙允许UDP包进入SRAS节点，该节点将依次只处理L2TP包并丢

弃其它包。而且，SRAS将要求所有嵌入在PPP内的IP包封装成AH和ESP包之一，并指向

它自身。另外，为了执行IKE协商和动态生成IPSec密钥，SRAS也将允许IKEUDP包指向它

自身。企业通过只允许安全远程访问包进入企业来实施安全策略，它将丢弃所有其它嵌入

PPP内的IP包。当一个PPP会话被丢弃时，与远程访问用户相关的IPSec和ISAKMP的SAs

（安全关联）也从SRAS内被丢弃。这样，在捆绑SRAS后，SGW和LNS相分离的网络结构

的所有缺点都不存在了。图1给出了应用L2TP技术的网络拓扑结构。

3、L2TP报头格式

L2TP使用两种类型的消息：控制消息和数据消息。控制消息用于隧道和呼叫的建立、维护

和清除，它使用L2TP内的可靠控制通道来保证传送。数据消息用于封装隧道传输的PPP帧，

当发生包丢失时不再传送数据消息。

PPP帧先由L2TP报头封装，再由一种包传输机制（如UDP、帧中继、ATM等）封装之后在

一个不可靠的数据通道上传输。但是，控制消息在一个可靠的L2TP控制通道上传送，这个

控制通道在同一包传输机制上传送包。在所有的控制消息中都需要有序列号，序列号还用于

提供控制通道上的可靠传送。数据消息可以使用序列号来重新排序数据包和检测包的