一、L2TP介绍
1、基础介绍
双层隧道协议(L2TP )是通过在公共网络(例如互联网)上建立点对点L2TP隧道来实现的允许远程用户(如企业驻外机构和差旅人员)使用PPP访问公共网络后,可以通过L2TP隧道与企业内部网络进行通信,访问企业内部网络资源,远程用户可以访问私有网络
L2TP隧道和会话
一个LNS和LAC对之间存在两种类型的连接。 一个是隧道连接,一对LNS和LAC对可以有多个L2TP隧道。 另一个是会话连接,复用在隧道连接上,并且代表承载在隧道连接上的每个PPP会话过程。
(1)隧道由一个控制连接和一个或多个会话(Session )组成。 会话连接必须在隧道建立成功后进行,包括id保护、L2TP版本、帧类型和硬件传输类型等信息交换。 每个会话连接都对应于LAC和LNS之间的PPP数据流。 控制消息和PPP数据消息都在隧道中传输。
L2TP使用Hello消息检测隧道连接。 LAC和LNS定时向对方发送问候消息,如果暂时没有回复问候消息,该隧道连接就会断开。
) L2TP报头包含隧道标识符(Tunnel ID )和会话标识符(SessionID )信息,用于标识不同的隧道和会话。 在一个隧道中复用具有相同隧道标识符和不同会话标识符的消息,且对方在消息标头中分配隧道标识符和会话标识符。
)3)可以将“隧道”(tunnel )和“会话”(session )之间的关系想象为会话建立在隧道中。 请把隧道想象成10车道的高速公路。 拨号PC的数据流是一个会话,它占用了车道。 (传达道路上有哪个车道是由设备规定的。 这条车道只能开载这台电脑信息的卡车。 例如,一种型号的设备每个隧道最多支持1000个会话。
二、典型组网
上述网络主要由三个部分组成:远程系统、LAC、LNS
1、远程系统
远程系统是访问企业网络的远程用户和远程分支机构,通常是拨号用户的主机或专用网络中的设备。
2、lac(L2TPaccessconcentrator、L2TP接入集中器) )。
LAC是具有PPP和L2TP协议处理能力的设备,通常是本地ISP的网络访问服务器(nas ),主要用于为PPP类型的用户提供访问服务。
LAC作为L2TP隧道的端点,位于LNS和远程系统之间,用于在LNS和远程系统之间交换消息。 根据L2TP协议对从远程系统接收到的消息进行封装并发送到LNS,同时对从LNS接收到的消息进行解封装并发送到远程系统。
3、LNS(L2TPnetworkserver、L2TP网络服务器) )。
LNS是一种具有PPP和L2TP协议处理能力的设备,通常位于企业网络的边缘。
LNS是LAC通过隧道传输的PPP会话的逻辑终点,作为L2TP隧道的另一个端点。 L2TP通过在公共网络上建立L2TP隧道,将远程系统的PPP连接从原来的NAS扩展到企业内部网络的LNS设备。
三. L2TP消息类型和包结构
L2TP协议定义了两种类型的消息:
1、控制消息:用于L2TP隧道和L2TP会话的建立、维护和拆除。 控制消息的传输可靠,支持流控制和拥塞控制。
2、数据消息:用于封装PPP帧。 其格式如下图所示。 数据消息的传输不可靠。 如果数据消息丢失,则不进行重发。 数据消息支持流量控制。 这意味着它支持对乱序数据消息进行排序L2TP。 控制消息和L2TP数据消息都封装在UDP消息中。
封装结构如下图所示。
以ping操作为例,如果icmp消息封装在l2tp中:
四. L2TP的建立、维护和拆除过程
1、L2TP建立流程
)1) L2TP隧道的建立是三次握手过程,首先LAC发起隧道建立请求SCCRQ,LNS接收到请求后响应SCCRP,最后LAC接收到响应后向LNS返回确认SCCCN; 修建隧道。
)会话建立过程类似于隧道,首先LAC发起会话建立请求ICRQ,LNS接收到请求时返回响应ICRP,LAC接收到响应时返回确认ICCN,然后建立会话。
)3) L2TP的会话建立由PPP触发,隧道建立由会话触发。 由于可以将多个会话复用到一个隧道中,因此只要在会话建立之前建立了隧道,就不需要重新建立隧道。
与隧道建立会话的每条消息如下:
SCCRQ :
SCCRP :
SCCCN :
ICRQ :
ICRP :
ICCN :
2、L2TP维护流程
隧道建立后,等待该隧道所属的会话全部脱机,再进行拆除。 为了确认对方隧道依然存在,需要定时发送与对方的维护消息。 它的流程是LAC或LNS发送问候消息,对应的LNS或LAC发送确认消息。
3、L2TP撤机流程
隧道拆除流程比其建立过程要简单,隧道的任何一端发出拆链通知StopCCN,对端返回确认;会话的拆除流程为:会话一端发出拆链通知CDN,对端返回确认即可。五、L2TP特点
1、灵活的身份验证机制以及高度的安全性
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP、PAP等),因此具有PPP所具有的所有安全特性。
L2TP还可以与IPsec结合起来实现数据安全,使得通过L2TP所传输的数据更难被攻击。
2、多协议传输
L2TP传输PPP数据包,在PPP数据包内可以封装多种协议。
3、支持RADIUS服务器的认证
LAC和LNS可以将用户名和密码发往RADIUS服务器,由RADIUS服务器对用户身份进行认证。
4、支持内部地址分配
LNS可以对远端系统的地址进行动态的分配和管理,可支持私有地址应用(RFC 1918)。为远端系统分配企业内部的私有地址,可以方便地址的管理并增加安全性。
5、网络计费的灵活性
可在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业网关(用于付费及审计)。L2TP能够提供数据传输的出/入包数、字节数以及连接的起始、结束时间等计费数据,AAA服务器可根据这些数据方便地进行网络计费。
6、可靠性
L2TP协议支持备份LNS,当主LNS不可达之后,LAC可以与备份LNS建立连接,增加了L2TP服务的可靠性。
7、支持由RADIUS服务器为LAC下发隧道属性
L2TP隧道采用NAS-Initiated模式时,LAC上的L2TP隧道属性可以通过RADIUS服务器来下发。此时,在LAC上只需开启L2TP服务,并配置采用AAA远程认证方式对PPP用户进行身份验证,无需进行其他L2TP配置。
当L2TP用户拨入LAC时,LAC作为RADIUS客户端将用户的身份信息发送给RADIUS服务器。RADIUS服务器对L2TP用户的身份进行验证。RADIUS服务器将验证结果返回给LAC,并将该用户对应的L2TP隧道属性下发给LAC。LAC根据下发的隧道属性,创建L2TP隧道和会话。