隧道技術(shù)是建立安全VPN的基本技術(shù)之一，類似于點(diǎn)對(duì)點(diǎn)連接技術(shù)，在公用網(wǎng)建立一條數(shù)據(jù)遂道，讓數(shù)據(jù)包通過(guò)這條隧道傳輸。隧道是由隧道協(xié)議形成的，分為第二、三層隧道協(xié)議。第二層隧道協(xié)議有L2F、PPTP和L2TP等，是先把各種網(wǎng)絡(luò)協(xié)議封裝到PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。這種雙層封裝方法形成的數(shù)據(jù)包靠第二層協(xié)議進(jìn)行傳輸。第三層隧道協(xié)議有GRE、IPSEC等。第二層隧道協(xié)議和第三層隧道協(xié)議的本質(zhì)區(qū)別在于在隧道內(nèi)用戶的數(shù)據(jù)包是被封裝在哪種數(shù)據(jù)包中進(jìn)行傳輸?shù)摹?br>L2TP隧道協(xié)議是典型的被動(dòng)式隧道協(xié)議，它結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或訪問(wèn)服務(wù)器端發(fā)起VPN連接。L2TP是把鏈路層PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施如IP、ATM、幀中繼中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議。
L2TP主要由LAC(L2TP Access Concentrator) 和LNS(L2TP Network Server) 構(gòu)成，LAC支持客戶端的L2TP，用于發(fā)起呼叫、接收呼叫和建立隧道；LNS是所有隧道的終點(diǎn)，LNS終止所有的PPP流。在傳統(tǒng)的PPP連接中，用戶撥號(hào)連接的終點(diǎn)是LAC，L2TP使得PPP協(xié)議的終點(diǎn)延伸到LNS。
L2TP的好處在于支持多種協(xié)議，用戶可以保留原有的IPX、Appletalk等協(xié)議或公司原有的IP地址。L2TP還解決了多個(gè)PPP鏈路的捆綁問(wèn)題，PPP鏈路捆綁要求其成員均指向同一個(gè)NAS(Network Access Server)，L2TP可以使物理上連接到不同NAS的PPP鏈路，在邏輯上的終結(jié)點(diǎn)為同一個(gè)物理設(shè)備。L2TP還支持信道認(rèn)證，并提供了差錯(cuò)和流量控制。
L2TP利用IPsec增強(qiáng)了安全性，支持?jǐn)?shù)據(jù)包的認(rèn)證、加密和密鑰管理。L2TP/IPSec因此能為遠(yuǎn)程用戶提供設(shè)計(jì)精巧并有互操作性的安全隧道連接。這對(duì)安全的遠(yuǎn)程訪問(wèn)和安全的網(wǎng)關(guān)之間連接來(lái)說(shuō)，它是一個(gè)很好的解決方案。因此，安全的VPN需要同時(shí)解決好L2TP和IPSec這兩個(gè)不同的問(wèn)題。L2TP協(xié)議解決了穿過(guò)IP網(wǎng)絡(luò)的不同用戶協(xié)議的轉(zhuǎn)換問(wèn)題；IPSec協(xié)議（加密/解密協(xié)議）解決了通過(guò)公共網(wǎng)絡(luò)傳輸信息的保密問(wèn)題。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 應(yīng)用L2TP技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)＝＝＝＝＝＝＝＝＝＝＝＝＝＝
該網(wǎng)絡(luò)結(jié)構(gòu)中將IPSec SGW(安全網(wǎng)關(guān))和LNS合并成一個(gè)系統(tǒng)，即安全遠(yuǎn)程訪問(wèn)服務(wù)器SRAS（Secure Remote Access Server）。這樣，遠(yuǎn)程訪問(wèn)客戶將訪問(wèn)唯一的節(jié)點(diǎn)SRAS，該節(jié)點(diǎn)既是NAS服務(wù)的PPP終端，也是進(jìn)入企業(yè)的安全網(wǎng)關(guān)節(jié)點(diǎn)。
至于遠(yuǎn)程訪問(wèn)，好處是對(duì)于穿過(guò)Internet的端到端IP包，將IPSec安全性當(dāng)作適合企業(yè)請(qǐng)求的可信任模型。這樣，你可以簡(jiǎn)單地使用AH，它不存在對(duì)外來(lái)竊聽(tīng)的擔(dān)心，你只需要驗(yàn)證包數(shù)據(jù)（包括包的來(lái)源）；你也可以使用ESP（包括ESP驗(yàn)證），它不考慮對(duì)網(wǎng)絡(luò)的信任以及任何人對(duì)公司活動(dòng)竊聽(tīng)的問(wèn)題。
SRAS的操作要求配置防火墻允許UDP包進(jìn)入SRAS節(jié)點(diǎn)，該節(jié)點(diǎn)將依次只處理L2TP包并丟棄其它包。而且，SRAS將要求所有嵌入在PPP內(nèi)的IP包封裝成AH和ESP包之一，并指向它自身。另外，為了執(zhí)行IKE協(xié)商和動(dòng)態(tài)生成IPSec密鑰，SRAS也將允許IKE UDP包指向它自身。企業(yè)通過(guò)只允許安全遠(yuǎn)程訪問(wèn)包進(jìn)入企業(yè)來(lái)實(shí)施安全策略，它將丟棄所有其它嵌入PPP內(nèi)的IP包。當(dāng)一個(gè)PPP會(huì)話被丟棄時(shí)，與遠(yuǎn)程訪問(wèn)用戶相關(guān)的IPSec和ISAKMP的SAs（安全關(guān)聯(lián)）也從SRAS內(nèi)被丟棄。這樣，在捆綁SRAS后，SGW和LNS相分離的網(wǎng)絡(luò)結(jié)構(gòu)的所有缺點(diǎn)都不存在了。圖1給出了應(yīng)用L2TP技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝L2TP報(bào)頭格式＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
L2TP使用兩種類型的消息：控制消息和數(shù)據(jù)消息?？刂葡⒂糜谒淼篮秃艚械慕ⅰ⒕S護(hù)和清除，它使用L2TP內(nèi)的可靠控制通道來(lái)保證傳送。數(shù)據(jù)消息用于封裝隧道傳輸?shù)腜PP幀，當(dāng)發(fā)生包丟失時(shí)不再傳送數(shù)據(jù)消息。
PPP幀先由L2TP報(bào)頭封裝，再由一種包傳輸機(jī)制（如UDP、幀中繼、ATM等）封裝之后在一個(gè)不可靠的數(shù)據(jù)通道上傳輸。但是，控制消息在一個(gè)可靠的L2TP控制通道上傳送，這個(gè)控制通道在同一包傳輸機(jī)制上傳送包。在所有的控制消息中都需要有序列號(hào)，序列號(hào)還用于提供控制通道上的可靠傳送。數(shù)據(jù)消息可以使用序列號(hào)來(lái)重新排序數(shù)據(jù)包和檢測(cè)包的丟失。
控制通道和數(shù)據(jù)通道的L2TP數(shù)據(jù)包的報(bào)頭格式相同（如圖2所示）。在該報(bào)頭格式中，當(dāng)一個(gè)可選字段未被選中時(shí)，在消息中不為這個(gè)字段預(yù)留空間。注意：當(dāng)數(shù)據(jù)消息的可選項(xiàng)Ns在消息中出現(xiàn)（即被選中）則可選項(xiàng)Nr必須出現(xiàn)在所有控制消息中。

T：消息類型，1 bit。 0 數(shù)據(jù)消息；1 控制消息。
L：長(zhǎng)度字段出現(xiàn),1 bit，可選.如果設(shè)置了這一位,則長(zhǎng)度字段出現(xiàn).控制消息中必須設(shè)置這一位.
S：序列號(hào)出現(xiàn)，1 bit。 如果設(shè)置了這一位，則Ns和Nr字段出現(xiàn)。控制消息中必須設(shè)置這一位。
O：偏移字段出現(xiàn),1 bit, 如果設(shè)置了這一位,則 Offset Size字段出現(xiàn).控制消息中必須設(shè)置這一位。

P：優(yōu)先權(quán)，1 bit。 這一特征只是對(duì)數(shù)據(jù)消息而言，控制消息都必須設(shè)置這一位。如果設(shè)置了這一位，則在本地排隊(duì)和傳輸中將優(yōu)先處理這個(gè)數(shù)據(jù)消息。
Version：4 bits. 指明L2TP協(xié)議的版本,必須被設(shè)置為2。保留值1用作允許對(duì)L2F數(shù)據(jù)包的檢測(cè)，判斷是否與L2TP數(shù)據(jù)包一起到達(dá)。當(dāng)接收到一個(gè)版本值未知的數(shù)據(jù)包時(shí)，必須丟棄這個(gè)數(shù)據(jù)包。
Length：16 bits。 指明消息的總長(zhǎng)度，用字節(jié)表示。
Tunnel ID：16 bits。指明控制連接的標(biāo)識(shí)符。L2TP遂道由只有本地意義的標(biāo)識(shí)符命名；即，同一隧道在隧道的每一端都有不同的Tunnel IDs。每一個(gè)消息中的Tunnel ID 都是預(yù)定接收者而不是發(fā)送者的Tunnel ID。在隧道創(chuàng)建期間，Tunnel IDs的選擇和交換都是作為Assigned Tunnel ID AVPs（Attribute-Value Pair）進(jìn)行的。
Session ID，16 bits。 指明一個(gè)隧道內(nèi)的一次會(huì)話的標(biāo)識(shí)符 。L2TP 會(huì)話由只有本地意義的標(biāo)識(shí)符命名；即，同一個(gè)會(huì)話在會(huì)話的每一端有不同的Session IDs。每一個(gè)消息中的Tunnel ID 都是預(yù)定接收者而不是發(fā)送者的Session ID。在會(huì)話創(chuàng)建期間，Session IDs的選擇和交換都是作為AssignedSession ID AVPs進(jìn)行的。
Ns：16 bits，可選。 指明數(shù)據(jù)消息或控制消息的序列號(hào)。從0開(kāi)始每發(fā)送一個(gè)消息加1。
Nr：16 bits，可選。 表明所要收到的下一個(gè)控制消息中"預(yù)定"的序列號(hào)0。因此，Nr被設(shè)為所接收到的最后一個(gè)消息的Ns加1。若在數(shù)據(jù)消息中保留Nr，則接收時(shí)必須忽略。
Offset Size：16 bits，可選。 如果出現(xiàn)，則指定了L2TP報(bào)頭之后的字節(jié)數(shù)，因?yàn)檩d荷數(shù)據(jù)從這里開(kāi)始（即載荷數(shù)據(jù)的字節(jié)數(shù)）。如果offset字段出現(xiàn)，則L2TP header在offset padding的最后一個(gè)字節(jié)之后結(jié)束。
Offset Pad：偏移填充，可變長(zhǎng)度，可選。
Data：可變長(zhǎng)度。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 相關(guān)技術(shù)與應(yīng)用＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
4.1 用L2TP控制消息維護(hù)隧道
與PPTP不同，L2TP隧道的維護(hù)不在獨(dú)立的TCP連接上進(jìn)行。L2TP呼叫控制和管理業(yè)務(wù)在L2TP客戶和服務(wù)器之間以UDP消息的形式發(fā)送。在Windows 2000中，L2TP客戶和服務(wù)器都使用UDP端口1701。值得注意的是，Windows 2000的 L2TP服務(wù)器也支持使用的其他UDP端口（UDP端口不為1701）的L2TP客戶。
IP上的 L2TP控制消息以UDP數(shù)據(jù)包的形式發(fā)送。在 Windows 2000實(shí)現(xiàn)中，這樣的L2TP控制消息作為IPSec ESP的加密載荷發(fā)送， 如圖3所示：
                         
因?yàn)闆](méi)有使用TCP連接，L2TP使用消息序列確保L2TP消息的傳輸。L2TP控制消息中，Nr和Ns字段都用于保持控制消息的次序，違反次序的數(shù)據(jù)包將被丟棄。Nr和Ns字段也可用于隧道數(shù)據(jù)的順序傳送和流控制。
L2TP的每一個(gè)隧道都支持多個(gè)呼叫。L2TP控制消息和報(bào)頭中有隧道數(shù)據(jù)的Tunnel ID--用于指定隧道和Call ID--用于指定這個(gè)隧道中的一次呼叫。
4.2 L2TP數(shù)據(jù)的隧道傳輸

L2TP數(shù)據(jù)的隧道傳輸是通過(guò)多級(jí)封裝實(shí)現(xiàn)的。圖4為IPSec隧道數(shù)據(jù)進(jìn)行L2TP封裝之后產(chǎn)生的結(jié)構(gòu)。

其中，Data-Link Layer封裝是為了在LAN或 WAN 連接上傳送，IP數(shù)據(jù)包用數(shù)據(jù)鏈路層的報(bào)頭和報(bào)尾封裝。例如，以太網(wǎng)接口上發(fā)送的IP數(shù)據(jù)報(bào)用以太網(wǎng)報(bào)頭和報(bào)尾封裝。當(dāng)IP數(shù)據(jù)報(bào)在點(diǎn)到點(diǎn)WAN鏈路（如模擬電話線或 ISDN）上傳送時(shí)，IP數(shù)據(jù)報(bào)用一個(gè)PPP報(bào)頭和報(bào)尾來(lái)封裝。
接收到L2TP封裝的IPSec隧道數(shù)據(jù)后，L2TP客戶或L2TP服務(wù)器將進(jìn)行L2TP的分離處理，過(guò)程如下：
處理并剝?nèi)?shù)據(jù)鏈路層報(bào)頭和報(bào)尾；
處理并剝?nèi)P header；
使用IPSec ESP Auth trailer認(rèn)證IP載荷和IPSec ESP報(bào)頭；
使用IPSec ESP header解密數(shù)據(jù)包的加密部分；
處理UDP header并將L2TP數(shù)據(jù)包發(fā)給L2TP；
L2TP使用L2TP header 中的Tunnel ID和Call ID確定特定的L2TP遂道；
使用PPP header確定PPP載荷，并將它轉(zhuǎn)發(fā)給適當(dāng)?shù)膮f(xié)議驅(qū)動(dòng)器進(jìn)行處理。
4.3 在Windows 2000網(wǎng)絡(luò)體系結(jié)構(gòu)中利用L2TP技術(shù)實(shí)現(xiàn)VPN
圖5說(shuō)明了隧道傳輸數(shù)據(jù)在Windows 2000網(wǎng)絡(luò)體系結(jié)構(gòu)中從一個(gè)VPN客戶使用一個(gè)模擬MODEM在遠(yuǎn)程訪問(wèn)VPN經(jīng)過(guò)的過(guò)程：
              
一個(gè)IP數(shù)據(jù)報(bào)、IPX 數(shù)據(jù)報(bào)、或NetBEUI幀由適當(dāng)?shù)膮f(xié)議發(fā)送到虛擬接口上，使用NDIS（網(wǎng)絡(luò)驅(qū)動(dòng)器接口標(biāo)準(zhǔn)）表示VPN連接。
NDIS向NDISWAN提交一個(gè)數(shù)據(jù)包（可以是壓縮過(guò)的）并提供一個(gè)只包含PPP協(xié)議ID字段的PPP報(bào)頭，不添加Flag和FCS字段。

NDISWAN向L2TP協(xié)議驅(qū)動(dòng)器提供PPP幀，由L2TP協(xié)議驅(qū)動(dòng)器用一個(gè)L2TP報(bào)頭封裝PPP幀。在L2TP報(bào)頭中，將Tunnel ID和Call ID設(shè)置成適當(dāng)?shù)闹狄源_定L2TP隧道。
然后L2TP協(xié)議驅(qū)動(dòng)器向TCP/IP協(xié)議驅(qū)動(dòng)器提交產(chǎn)生的數(shù)據(jù)包，同時(shí)還要提交將L2TP數(shù)據(jù)包以UDP消息形式從UDP端口1701發(fā)送到UDP端口1701，同時(shí)提交的還有VPN客戶和服務(wù)器的IP地址。
TCP/IP協(xié)議驅(qū)動(dòng)器用適當(dāng)?shù)腎P報(bào)頭和UDP報(bào)頭構(gòu)建一個(gè)IP數(shù)據(jù)包；然后IPSec分析這個(gè)IP數(shù)據(jù)包找出與之相匹配的 IPSec。IPSec根據(jù)這個(gè)策略的設(shè)置，使用適當(dāng)?shù)腅SP 報(bào)頭和報(bào)尾封裝和加密IP數(shù)據(jù)包中的UDP消息部分；將Protocol字段設(shè)為50的源IP header添加到ESP數(shù)據(jù)包前面。
然后TCP/IP協(xié)議驅(qū)動(dòng)器向使用UDIS表示到本地ISP的撥號(hào)連接的接口提交所產(chǎn)生的數(shù)據(jù)包。
NDIS向NDISWAN提交這個(gè)數(shù)據(jù)包。
NSIDWAN提供PPP報(bào)頭和報(bào)尾，并將產(chǎn)生的PPP幀提交給適當(dāng)?shù)摹⒈硎緭芴?hào)硬件的WAN miniport驅(qū)動(dòng)器。
應(yīng)當(dāng)注意到，撥號(hào)連接可以和ISP協(xié)商一個(gè)加密的PPP連接，但是不必要也不推薦這樣做，因?yàn)樗l(fā)送的專用數(shù)據(jù)或隧道傳輸?shù)腜PP幀已經(jīng)用IPSec加密了，不需要其他層的加密，而且這些加密會(huì)影響性能。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝ 結(jié)束語(yǔ)＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
L2TP定義了利用公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施（如IP網(wǎng)絡(luò)、ATM和幀中繼網(wǎng)絡(luò)）封裝傳輸鏈路層PPP幀的方法。現(xiàn)在，Internet中的撥號(hào)網(wǎng)絡(luò)只支持IP協(xié)議，而且必須使用注冊(cè)IP地址，而L2TP可以讓撥號(hào)用戶支持多種協(xié)議，如IP、IPX、AppleTalk，且可以使用保留網(wǎng)絡(luò)地址，包括保留IP地址?？梢?jiàn)，L2TP的應(yīng)用前景廣泛，尤其是在VPN建設(shè)方面