请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

搜索
热搜: 邮件服务器

【原创】L2TPv2原理

已有 307 次阅读2020-1-9 12:45 |个人分类:security|系统分类:分享| L2TP

L2TP的原理:

概述

  L2TPLayer 2 Tunnel Protocol),在RFC2661中定义,用于虚拟专用拨号网(VPDNVirtual Private Dial-up Network),相比较其他的VPN来说,有如下异同:

  1. 都是将用户网络的私有数据,进行封装在公网上传输。
  2. 与三层的IPSec VPN或者GRE不同,L2TP是将来自用户网络的私有数据从二层PPP开始进行封装,而三层的VPN是从用户网络的IP头部进行封装。
  3. L2TP只能对PPP数据帧进行封装,并将其封装在UDP(目的端口为1701)报文中,源端口由实现商决定,通常和目的端口1701一样。
L2TP的两个重要组件
  1. LACL2TP Access Concentrator):L2TP访问集中器
  2. LNSL2TP Network Server):L2TP网络服务器

         LAC的对端就是LNSLAC位于远端用户和LNS之前,接收来自用户的拨入请求,并和LNS建立并维护L2TP连接,LAC在远程用户和LNS之间充当的是转发的角色。LAC一般是运营商的设备,而LNS一般位于企业网络的边缘或者防火墙后面。LAC根据用户的拨号送上来的用户名判断是否是VPDN用户,一般它只会进行部分认证,不会给用户返回认证结果。


两种隧道模式
1、强制隧道模式

该模式LAC接收并终结来自远程客户的呼叫,并通过中间网络通过隧道的方式将PPP会话延伸到LNS端,目前这种模式多用于3G或者4G的拨号网络。远程用户不需要了解L2TP,只需要拨号到LAC即可。

2、自发隧道模式

该模式需要在客户端上运行L2TP软件,充当L2TP模型中的LAC,这样的情况将客户端称为LAC客户,PPP帧直接通过L2TP隧道在客户和LNS之间进行转发。

报文格式
L2TP有两种报文,一种是控制报文,另一种是数据报文,这两种报文都是使用UDP封装,目的端口1701,源端口不作限制

L2TPV2控制报文分为一下4种:连接控制,呼叫控制,出错控制、PPP会话控制。

连接控制报文:SCCRQSCCRPSCCCNStopCCN HELLO

呼叫控制报文:ICRQICCNOCRQ OCRPOCCNCDN

出错控制报文:WEN

PPP会话控制报文:SLI

控制消息格式:

数据消息格式:

用户的原有数据,使用PPP来承载: