目錄
- L2TP簡介
- L2TP建構圖解
-
- L2TP建立及拆除流程
-
- L2TP隧道的建立
- L2TP會話的建立
- L2TP隧道和會話維護和拆除流程
- L2TP協定棧結構及資料包的封裝過程
- L2TP隧道和會話的驗證過程
- L2TP和PPTP的差別
L2TP簡介
第二層隧道協定(L2TP)是一種虛拟隧道協定,是為在使用者和企業的伺服器之間透明傳輸PPP封包而設定的隧道協定。L2TP協定本身不提供加密與可靠性驗證的功能,可以和安全協定搭配使用,進而實作資料的加密傳輸。
L2TP建構圖解
L2TP隧道建立在LAC和LNS之間,由一條控制連接配接和至少一個L2TP會話組成。在一對LAC和LNS之間可以建立多條L2TP隧道。
會話連接配接的建立必須在隧道(控制連接配接)成功建立之後進行。每個會話連接配接對應于LAC和LNS之間的一個PPP資料流。與隧道的建立過程不同,會話連接配接的建立是有方向性的。
LAC請求LNS接受一個對應于“入呼叫”的會話,或者LNS請求LAC接受一個對應于“出呼叫”的請求。
L2TP封包頭中包含隧道辨別(TunnelID)和會話辨別(Session ID)資訊,用來辨別不同的隧道和會話。隧道辨別與會話辨別是由對端配置設定的,隻對接收端有意義,對發送端沒有意義。
L2TP建立及拆除流程
L2TP的會話建立由PPP觸發,隧道建立由會話觸發。由于多個會話可以複用在一條隧道上,如果會話建立前隧道已經建立,則隧道不用重建立立。
L2TP隧道的建立
L2TP隧道的建立是一個三次握手的過程。
SCCRQ(Start-Control-Connection-Request):控制連接配接發啟請求。由LAC或者LNS向對端發送,用來初始化LAC和LNS之間的隧道,開始隧道的建立過程。NGFW(下一代防火牆)的應用場景中,一般都是由LAC向LNS發起請求。
SCCRP(Start-Control-Connection-Reply):表示接受了對端的連接配接請求,隧道的建立過程可以繼續。
SCCCN(Start-Control-Connection-Connected):對SCCRP的回應,完成隧道的建立。
L2TP會話的建立
會話的建立與隧道類似,也是一個三次握手的過程。
ICRQ(Incoming-Call-Request):當LAC檢測到有使用者撥入電話的時候,向LNS發送ICRQ,請求在已經建立的隧道中建立會話。
ICRP(Incoming-Call-Reply):用來回應ICRQ,表示ICRQ成功,LNS也會在ICRP中辨別L2TP會話必要的參數。
ICCN(Incoming-Call-Connected):用來回應ICRP,L2TP會話建立完成。
L2TP隧道和會話維護和拆除流程
維護和拆除的過程比較簡單,都是一方送出請求,一方确認就好了。
StopCCN(Stop-Control-Connection-Notification):由LAC或者LNS發出,通知對端隧道将要停止,控制連接配接将要關閉。另外,所有活動的會話都會被清除。
HELLO:隧道保活控制消息。L2TP使用Hello封包來檢測隧道的連通性。LAC和LNS定時向對端發送Hello封包,如果在一段時間内未收到Hello封包的應答,隧道将被清除。
CDN(Call-Disconnect-Notify):由LAC或者LNS發出,通知對端會話将要停止。
L2TP協定棧結構及資料包的封裝過程
L2TP隧道和會話的驗證過程
LCP:負責鍊路的建立,維護以及拆除
CHAP:對用戶端進行身份認證
IPCP:負責協商IP位址以及DNS等資訊
L2TP和PPTP的差別
PPTP隻能在兩端間建立單一隧道,L2TP支援在兩端點間使用多隧道,這樣可以針對不同的使用者建立不同的服務品質
L2TP可以提供隧道驗證機制,而PPTP不能提供這樣的機制,但當L2TP或PPTP與IPSec共同使用時,可以由IPSec提供隧道驗證,不需要在第二層協定上提供隧道驗證機制
PPTP要求網際網路絡為IP網絡,而L2TP隻要求隧道媒介提供面向資料包的點對點連接配接,L2TP可以在IP(使用UDP),FR,ATM,x.25網絡上使用
L2TP可以提供標頭壓縮。當壓縮標頭時,系統開銷(voerhead)占用4個位元組,而PPTP協定下要占用6個位元組