L2TP VPN简介

L2TP （Layer Two Tunneling Protocol，第二层通道协议）是VPDN（虚拟专用拨号网络）技术的一种，专门用来进行第二层数据的通道传送，即将第二层数据单元，如点到点协议（PPP）数据单元，封装在IP或UDP载荷内，以顺利通过包交换网络（如Internet），抵达目的地。

VPDN是指利用公共网络（如ISDN或PSTN）的拨号功能接入公共网络，实现虚拟专用网，从而为企业、小型ISP、移动办公人员等提供接入服务。即，VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

VPDN采用专用的网络通信协议，在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络，通过虚拟隧道实现和企业总部之间的网络连接，而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

L2TP VPN应用示例

某公司员工通过 PPP拨入公司本地的网络访问服务器（NAS），以此接入公司内部网络，获取IP地址并访问相应权限的网络资源；该员工出差到外地，此时他想如同在公司本地一样以内网IP地址接入内部网络，操作相应网络资源，他的做法是向当地ISP申请L2TP服务，首先拨入当地ISP，请求ISP与公司NAS建立 L2TP会话，并协商建立L2TP隧道，然后ISP将他发送的PPP数据通道化处理，通过L2TP隧道传送到公司NAS，NAS就从中取出PPP数据进行相应的处理，如此该员工就如同在公司本地那样通过NAS接入公司内网。

如上图所示，远程用户通过PPPoE/ISDN等互联网接入方式通过远程呼叫 LNS（L2TP Network Server，L2TP网络服务器）请求接入内部网络，通过建立L2TP Tunneling使用内部网络资源。

L2TP协议的特点

1. 灵活的身份验证机制以及高度的安全性

L2TP协议本身并不提供连接的安全性，但它可依赖于PPP提供的认证（比如CHAP、PAP等），因此具有PPP所具有的所有安全特性。L2TP可与IPsec结合起来实现数据安全，这使得通过L2TP所传输的数据更难被攻击。L2TP还可根据特定的网络安全要求在L2TP之上采用隧道加密技术、端对端数据加密或应用层数据加密等方案来提高数据的安全性。

2. 多协议传输

L2TP传输PPP数据包，在PPP数据包内可以封装多种协议。

3. 支持RADIUS服务器的验证

LAC和LNS可以将用户名和密码发往RADIUS服务器进行验证申请，RADIUS服务器负责接收用户的验证请求，完成验证。

4. 支持内部地址分配

LNS可放置于企业网的防火墙之后，它可以对远端用户的地址进行动态的分配和管理，可支持私有地址应用。为远端用户所分配的地址不是Internet地址而是企业内部的私有地址，这样方便了地址的管理并可以增加安全性。

5. 网络计费的灵活性

可在LAC和LNS两处同时计费，即ISP处（用于产生帐单）及企业网关（用于付费及审计）。L2TP能够提供数据传输的出入包数、字节数以及连接的起始、结束时间等计费数据，可根据这些数据方便地进行网络计费。

6. 可靠性

L2TP协议支持备份LNS，当主LNS不可达之后，LAC可以与备份LNS建立连接，增加了VPN服务的可靠性和容错性。

L2TP协议与IPsec协议的对比

关于IPsec协议请参考 [IPSec VPN的详细介绍]

L2TP本质上是一种隧道传输协议，它使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。在安全性考虑上，L2TP仅定义了控制消息的加密传输方式，对传输中的数据并不加密。

IPsec（IP Security），顾名思义，是保障IP层安全的网络技术，它并不是指某一项具体的协议，而是指用于实现IP层安全的协议套件集合。IPsec实质上也是一种隧道传输技术，它将IP分组或IP上层载荷封装在IPsec报文内，并根据需要进行加密和完整性保护处理，以此保证数据在公共网络中传输过程的安全。

L2TP VPN与IPsec VPN的一个最大的不同在于L2TP VPN不对隧道传输中的数据进行加密，从而没法保证数据传输过程中的安全。

转载请注明：

本文转自：http://www.liusuping.com/juniper/l2tp-layer2-tenneling-protocol.html