M0000009L2TP协议基础(中文版V1.0)定稿

PL2TP:Layer2TunnelProtocol第二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.特性灵活的身份验证机制以及高度的安全性多协议传输支持RADIUS服务器的验证支持内部地址分配网络计费的灵活性可靠性今今今今今今L2TP特别适合单个或少数用户接入企业的情况，其点到网的特性是其承载协议LTP进行了封装，因此在Internet上传输数据时，对数据包的网络地址是透明的，并支持接入用户的内部动态地址分配。与PPP模块配合，支持本地和远端的认证、授权和记费(AAA)功能，对用户的接入也可根据需要采用全用户名，用户域名和用户拨入的特殊服务号码来识别之前对数据报文加密(即用户控制方式)，也可采用在VPN端系统LAC侧加密(即服务提供商控制方式)。对于拨号用户可以配置相应的VPN拨号软件，发起由用户直接对企业私有网的连接，这样用户在上网时可以灵活选择是否需要VPN服务。出差员工LAC总部NALL2TPAccessConcentratorL2TP的接入集中器L2TPNetworkServerL2TP的网络服务器LAC/LNSRadius:LAC/LNS的远端验证服务器LAC:LNS:L2TP消息LACRADIUSLNSRADIUSPSTN/ISDNNSAL如图所示，企业员工或小型的分支机构可以通过多种方式灵活的接入总部的网方式1：员工通过PSTN/ISDN接入IPS的LAC，LAC(L2TPAccessConcentrator)是L2TP的接入设备，它提供各种用户接入的AAA服务，发起隧VPN服务器。由LAC通过Internet向LNS发起建立隧道连接LNSLTPNetworkServerLTP的VPN服务器，该服务器完成对用户的最终授权和验证，接收来自LAC的隧道和连接请求，并建立连接LNS和用户的PPP通道。对于用户AAA数据也可以采用RADIUS服务器来保存，该服务器既可以在本地也可以在远端。采用这种方式，员工不需要配置VPN拨号软件。这种方式的好处在于：对用户是透明的，用户只需要登录一次就可以接入企业网络，由企业网进行用户认证和内部地址分配 户可使用各种平台上网。这种方式需要ISP支持VPDN协议，需要认证系统支N平台)，限制了用户使用的平台。L2TP中存在两种消息：控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护及删除；数据消息则用于封装PPP帧并在隧道上传输。隧道和会话建立流隧道和会话建立流程隧道、会话建立流程L2TP的会话建立由PPP触发,隧道建立由会话触发。由于多个会话可以复用在一条隧道上，如果会话建立前隧道已经建立，则隧道不用重隧道建立流程：三次握手会话建立流程：三次握手ICRQICRPICCNLACLAC今今为了在VPN用户和服务器之间传递数据报文，必须在LAC和LNS之间建立传递数据报文的隧道和会话连接，隧道是保证具有相同会话连接特性的一组用户可以共享的连接属性所定义的通道，而会话是针对每个用户与企业VPN服务器建个会话复用在一个隧道连接上。隧道和会话是动态建立与删除的。会话的建立是由PPP模块触发，如果该会话在建立时没有可用的隧道，那么先建立隧道连接。会话建立完毕后，开始进行数据传输。隧道的建立是一个三次握手的过程，首先由LAC发起隧道建立请求SCCRQ(Start-Control-Connection-Request)，LNS收到请求后进行应答SCCRP(Start-Control-Connection-Reply)，LAC在收到应答后返回确认SCCCN(Start-Control-Connection-Connected)，隧道建立。(Incoming-Call-Request)，LNS收到请求后返回应答ICRP(Incoming-Call-Reply)，LAC收到应答后返回确认ICCN(Incoming-Call-Connected)，会话建立。隧道维护流程LAC/LNSo隧道拆除流程LAC/LNSStopCNN会话维护流程LAC/LNSCDNLNS/LACZLBLNS/LACZLBLNS/LACZLB隧道建立后，一直要等到该隧道所属会话全部下线后才能进行拆除，为了确认对端的隧道依然存在，需要定时发送维护报文，其流程为LAC或LNS发出Hello报文进行查询，对应的LNS或LAC发出ZLB(Zero-LengthBody)进行确认。隧道拆除流程为，首先由隧道任一端(LAC/LNS)发出拆链通知消息StopCCN(Stop-Control-Connection-Notification)，对端返回ZLB确认。会话的拆除流程为，会话一端发出拆链通知CDN(Call-Disconnect-Notify)，对私有IP物理层私有IPL2TP物理层公有IP链路层物理层LAC私有IPL2TPUDP链路层公有IP链路层物理层物理层私有IP链路层物理层LTP结构LAC侧封装过程IP包(私有I