L2TP

第二層隧道協議（英語：Layer Two Tunneling Protocol，縮寫為L2TP）是一種虛擬隧道協議，通常用於虛擬專用網。L2TP協議自身不提供加密與可靠性驗證的功能，可以和安全協議搭配使用，從而實現數據的加密傳輸。經常與L2TP協議搭配的加密協議是IPsec，當這兩個協議搭配使用時，通常合稱L2TP/IPsec。

L2TP支持包括IP、ATM、幀中繼、X.25在內的多種網絡。在IP網絡中，L2TP協議使用註冊端口UDP 1701。因此，在某種意義上，儘管L2TP協議的確是一個數據鏈路層協議，但在IP網絡中，它又的確是一個會話層協議。 ^[1] 

L2TP協議提供瞭如下功能。

（1）L2TP是用來整合多協議撥號服務至現有的Intemet 服務提供商點。PPP定義了多協議跨越第2層點對點鏈接的一個封裝機制。特別地，用户通過使用眾多技術之一（如撥號POTS，ISDN，ADSL等）獲得第2層連接到網絡訪問服務器（NAS），然後在此連接上運行PPP。在這樣的配置中，第2層終端點和PPP會話終點處於相同的物理設備中（如NAS）。

（2）L2TP擴展了PPP模型，允許第2層和PPP終點處於不同的由包交換網絡相互連接的設備中。

通過L2TP，用户在第2層連接到一個訪問集中器（如調制解調器池、ADSL，DSLAM等），然後這個集中器將單獨得的PPP幀隧道到NAS。這樣，可以把PPP包的實際處理過程與第2層連接的終點分離開來。

（3）對於這樣的分離，其明顯的一個好處是，第2層連接可以在一個（本地）電路集中器上終止，然後通過共享網絡如幀中繼電路或Intermet擴展邏輯PPP會話，而不用在NAS上終止。從用户角度看。

直接在NAS上終止第2層連接與使用L2TP沒有什麼功能上的區別。L2TP協議也用來解決“多連接聯選組分離”問題。多鏈接PPP，一般用來集中ISDNB通道，需要構成多鏈接捆綁的所有通道在一個單網絡訪問服務器（NAS）上組合。因為L2TP使得PPP會話可以出現在接收會話的物理點之外的位置，它用來使所有的通道出現在單個的NAS上，並允許多鏈接操作，即使是在物理呼叫分散在不同物理位置的NAS 上的情況下。

（4）L2TP使用以下兩種信息類型，即控制信息和數據信息。控制信息用於隧道和呼叫的建立、維持和清除。數據信息用於封裝隧道所攜帶的PPP幀。控制信息利用L2TP中的一個可靠控制通道來確保發送。當發生包丟失時，不轉發數據信息。 ^[2] 

L2TP是基於連接的協議，建立一條隧道傳遞PPP會話的過程包括兩步。

（1）建立一條隧道的控制連接。

（2）根據入流/出流呼叫的請求，觸發建立一個會話（Session）。

L2TP隧道建立在LAC和LNS之間，由一條控制連接和至少一個L2TP會話組成。在一對LAC和LNS之間可以建立多條L2TP隧道。

L2TP會話也建立在LAC與LNS之間，但必須在L2TP能夠通過隧道傳遞PPP幀之前，隧道建立成功之後才能建立。會話與呼叫是一一對應的。呼叫狀態由LAC和LNS維護。一條L2TP隧道中可以建立多個會話。

控制連接的建立包括對端的身份驗證以及對端的L2TP版本號識別、幀類型和硬件承載能力等信息的協商交換。在控制連接的建立過程中，L2TP的隧道驗證功能是可選的，如果使用，則在LAC和LNS之間必須存在唯一的共享認證密鑰。

會話連接的建立必須在隧道（控制連接）成功建立之後進行。每個會話連接對應於LAC和LNS之間的一個PPP數據流。與隧道的建立過程不同，會話連接的建立是有方向性的。

LAC請求LNS接受一個對應於“入呼叫”的會話，或者LNS請求LAC接受一個對應於“出呼叫”的請求。

L2TP報文頭中包含隧道標識（TunnelID）和會話標識（Session ID）信息，用來標識不同的隧道和會話。隧道標識相同而會話標識不同的報文複用在同一條隧道上，隧道標識與會話標識是由對端分配的，只對接收端有意義，對發送端沒有意義。 ^[3] 

L2TP的協議結構如表1所示。

L2TP協議中相關字段的含義如下：

·T—T位表示信息類型。若是數據信息，該值為0；若是控制信息，該值為1。

·L—當設置該字段時，説明Length字段存在，表示接收數據包的總長。對於控制信息，必須設置該值。

·X—X位為將來擴展預留使用。在導出信息中所有預留位被設置為0，導入信息中該值忽路。

·S——如果設置S位，那麼Nr字段和Ns字段都存在。對於控制信息，S位必須設置。

·O——當設置該字段時，表示在有效負載信息中存在Offct Size字段。對於控制信息，該字段值設為0。

·P—如果P（Priority）位值為1，表示該數據信息在其本地排隊和傳輸中將會得到優先處理。

·版本（Ver）——Ver位的值總為002。它表示一個版本L2TP信息。

·長度（Length）信息總長，包括頭、信息類型AVP以及另外的與特定控制信息類型相關的AVPs。

·隧道ID（Tunnel ID）——識別控制信息應用的隧道。如果對等結構還沒有接收到分配的Tunnel ID，那麼TunnelID必須設置為0。一旦接收到分配的TunnelID，所有更遠的數據包必須和Tunnel ID一起被髮送。

·會話ID（Call ID）——識別控制信息應用的隧道中的用户會話。如果控制信息在隧道中不應用單用户會話（例如，一個Stop-Control-Connection-Notification 信息），Call ID必須設置為0。

·Nr——期望在下一個控制信息中接收到的序列號。

·Ns—數據或控制信息的序列號。

·偏移量大小和填充（Ofset Size&Pad）——該字段規定通過L2F協議頭的字節數，協議頭是有效負載數據起始位置。Offset Padding中的實際數據並沒有定義。如果Offset字段當前存在，那麼L2TP頭Offset Padding的最後8位字節後結束。 ^[2] 

通常所講的L2TP都是指L2TPv2，之後又推出了一個新版本L2TPv3。現在對L2TPv2和L2TPv3作一個比較。

L2TPv3的前身是Cisco公司的專有協議——通用隧道接口（Universal Tunnel Interface，UTI）。UTI能夠在IP網絡上提供簡單而高速的透明傳輸L2業務的能力，但缺乏信令能力以及大規模商用必須的標準化支持。L2TPv3提供了與UTI類似和增強的功能，以標準化和信令的方式替代UTI。L2TPv3能夠很好地實現代碼重用、互操作性經驗，以及在演進之間保持平衡。與L2TPv2類似，L2TPv3也由控制平面和數據平面兩個基本單元組成。

與L2TPv2相比，L2TPv3進行了兩點改進。

（1）分離所有與PPP相關的AVP和引用，包括專門針對PPP的L2TP數據頭的部分。將PPP相關部分、ATMAAL5封裝，以及以太網封裝等內容專門在其他文檔中進行規定。

（2）為了適應大規模應用的擴展性要求，將原來16比特的Session ID和Tunnel ID，擴展為32比特。

從用途上來説，二者也明顯不同。L2TPv2可用於在IP網絡上傳輸PPP流量，一般用於零售和批發的遠程接入VPN業務。而L2TPv3可用於在IP網絡上傳輸PPP、以太網、幀中繼和ATM等二層流量，可用於零售和批發的專線VPN業務。

L2TPv3可以讓運營商將所有類型的業務流量都匯聚到單一的IP網絡基礎設施上，充分利用IP通信的全球可達性，使得企業客户可以享受到更低費用的服務。 ^[3] 

L2TP協議是目前IETF的標準，由IETF融合PPTP與L2F而形成。兩者都使用PPP協議對數據進行封裝，然後添加附加包頭用於數據在互聯網絡上的傳輸。儘管兩個協議非常相似，但是仍存在以下幾方面的不同。

（1）PPTP要求互聯網絡為IP網絡，L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP（使用UDP）、幀中繼永久虛擬電路（PVCs）、X.25虛擬電路（VCs）或ATMVCs網絡上使用。

（2）PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP，用户可以針對不同的服務質量創建不同的隧道。

（3）L2TP可以提供包頭壓縮。當壓縮包頭時，系統開銷佔用4個字節，而PPTP協議下要佔用6個字節。

（4）L2TP可以提供隧道驗證，而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSec共同使用時，可以由IPSec提供隧道驗證，而不需要在第2層協議上驗證隧道。 ^[2]