l2tp是什么意思？l2tp协议概念与术语

概述介绍

使用 UDP 数据报 发送整个 L2TP数据包 （包括 有效负载 和 L2TP报头 ）。通过 UDP 传输的一个优点是它避免“TCP 崩溃问题”。通常在 L2TP Tunnel 内承载 PPP 会话。 L2TP本身不提供机密性或强身份验证。IPsec通常用于通过提供机密性、身份验证、完整性，来保护L2TP数据包。这两种协议的组合通常称为L2TP over IPsec（下面讨论）。

L2TP 允许创建 VPDN，通过使用共享基础设施（可以是“Internet”或“服务提供商的网络”）将远程客户端连接到其公司网络。

组网架构

在 L2TP 组网架构中，包括 LAC（L2TP Access Concentrator，L2TP访问集中器）和LNS（L2TP Network Server，L2TP网络服务器）

L2TP Tunnel 的两个端点称为 LAC（L2TP Access Concentrator） 和 LNS（L2TP Network Server） 。LNS 等待新的隧道。建立隧道后，对等体间的网络流量是双向的。为了对网络有用，然后通过 L2TP Tunnel 来运行更高级别的协议。为了促进这一点，在隧道内，为每个更高级别的协议（例如PPP）建立 L2TP会话 （或称为“call”）。 LAC 或 LNS 可以发起会话。每个会话的流量由L2TP隔离，因此可以在单个隧道中设置多个虚拟网络。在实施L2TP时应考虑 MTU 。

LAC 是网络上具有PPP和L2TP协议处理能力的设备。LAC负责和LNS建立L2TP隧道连接。在不同的组网环境中，LAC可以是不同的设备，可以是一台网关设备，也可以是一台终端设备。LAC可以发起建立多条L2TP隧道使数据流之间相互隔离。

LNS 是LAC的对端设备，即LAC和LNS建立了L2TP隧道；LNS位于企业总部私网与公网边界，通常是企业总部的网关设备。

隧道模型

L2TP Tunnel 能够延伸到整个 PPP 会话，也可以只延伸到两段会话的一个段。

这可以用四种不同的隧道模型来表示，即：
1）自愿隧道
2）强制隧道 – 进入拨号（接收）
3）强制隧道 – 远程拨号（发送）
4）L2TP多跳连接

后面会进行介绍。

消息类型

在 LAC 和 LNS 间（即 L2TP Tunnel 内）交换的数据包被分类为：
1）控制包（Control Data）：用于 Tunnel 和 Session 的建立、维护、拆除；
2）数据包（Traffic Data）：用于封装PPP数据帧并在隧道上传输；

控制消息：
1）在控制消息的传输过程中，使用消息丢失重传和定时检测隧道连通性等机制来保证控制消息传输的可靠性，支持对控制消息的流量控制和拥塞控制。
2）控制消息承载在L2TP控制通道上，控制通道实现了控制消息的可靠传输，将控制消息封装在L2TP报头内，再经过IP网络传输。

数据消息：
1）数据消息是不可靠的传输，不重传丢失的数据报文，不支持对数据消息的流量控制和拥塞控制。可靠性必须由隧道的嵌套协议来提供。
2）数据消息携带PPP帧承载在不可靠的数据通道上，对PPP帧进行L2TP封装，再经过IP网络传输。

应用场景

L2TP主要可分为以下三种工作场景，其工作过程并不相同：
1）NAS-Initiated：拨号用户通过NAS访问企业内网；
2）Client-Initiated：移动办公用户访问企业内网
3）Call-LNS：通过LAC自主拨号实现企业内网互连；内网无需PPP拨号，而是由 LAC 主动拨号，形成一条隧道。推荐。

NAS-Initiated

工作原理：
1）由远程拨号用户发起，远程系统通过 PSTN/ISDN 拨入 LAC 设备，
2）再由 LAC 通过网络向 LNS 发起建立隧道连接请求。

特性特征：
1）用户必须采用PPP的方式接入到互联网，也可以是PPPoE等协议。
2）运营商的接入设备（主要是BAS设备）需要开通相应的VPN服务。用户需要到运营商处申请该业务。
3）L2TP隧道两端分别驻留在LAC侧和LNS侧，且一个L2TP隧道可以承载多个会话。
4）拨号用户地址由 LNS 分配；
4）对远程拨号用户的验证与计费既可由 LAC 侧的代理完成，也可在 LNS 完成。

Client-Initialized

工作原理：
0）用户需要安装 L2TP 的拔号软件（部分操作系统自带L2TP客户端软件）；客户需要知道LNS的IP地址；
1）直接由LAC客户（指可在本地支持L2TP协议的用户）发起。LAC客户可直接向 LNS 发起隧道连接请求，无需再经过一个单独的 LAC 设备。
2）在LNS设备上收到了LAC客户的请求之后，根据用户名、密码进行验证，并且给LAC客户分配私有IP地址。

原理细节：
1）移动办公用户与LNS建立L2TP隧道。
2）移动办公用户与LNS建立L2TP会话：移动办公用户在第3步会与LNS间建立PPP连接，L2TP会话用来记录和管理它们之间的PPP连接状态。因此，在建立3）PPP连接以前，隧道双方需要为PPP连接预先协商出一个L2TP会话。会话中携带了移动办公用户的LCP协商信息和用户认证信息，LNS对收到的信息认证通过后，通知移动办公用户会话建立成功。L2TP会话连接由会话ID进行标识。
4）移动办公用户与LNS建立PPP连接。移动办公用户通过与LNS建立PPP连接获取LNS分配的企业内网IP地址。
5）移动办公用户发送业务报文访问企业总部服务器。

特性特征：
1）用户上网的方式和地点没有限制，不需ISP介入。
2）L2TP 隧道两端分别驻留在用户侧和 LNS 侧，一个L2TP隧道承载一个L2TP会话。

Call-LNS

L2TP 除了可以为出差员工提供远程接入服务以外，还可以进行企业分支与总部的内网互联，实现分支用户与总部用户的互访。

一般是由分支路由器充当LAC与LNS建立L2TP隧道，这样就可实现分支与总部网络之间的数据通过L2TP隧道互通。