L2TP(Layer Two Tunneling Protocol第二层通道协议)是一种VPN(虚拟专用网络)技术,专门用于第二层数据的通道传输,即第二层数据单元,如点对点协议(PPP)数据单元,封装在IP或UDP有效载荷中,通过分组交换网络(如互联网)成功到达目的地。
L2TP提供了一种远程访问控制的方法。其典型应用场景是:某公司员工通过PPP拨入公司的局域网接入服务器(NAS),从而接入公司内部网络,获取IP地址,并以相应权限访问网络资源;该员工正在外地出差。这时候他想用内网的IP地址接入内网,运营相应的网络资源。他的方法是通过L2TP隧道传输到公司的NAS,NAS会从中取出PPP数据进行相应的处理,让员工可以像在公司本地一样通过NAS访问公司的内网。
从以上应用场景可以看出,LAC和LNS之间建立了L2TP隧道,LAC可以由电脑主机或路由拨号设备提供,LNS是公司总部的L2TP网络服务器(即VPN设备)。LAC支持客户端的L2TP,用于发起呼叫、接收呼叫和建立隧道,而LNS是所有隧道的终点。
L2TP本质上是一个隧道协议,它使用两种类型的消息:控制消息和数据隧道消息。控制消息负责创建、维护和终止L2TP隧道,而数据隧道消息则负责用户数据的真实传输。L2TP支持标准安全功能CHAP和PAP,并且可以对用户进行身份验证。在安全性方面,L2TP只定义了控制消息的加密传输方式对传输中的数据并不加密。所以说,L2TP的安全性一般。
L2TP VPN和PPTP VPN有几个区别:
1.PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP(使用UDP),帧中继永久虚拟电路(PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
2.PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP,用户可以针对不同的服务质量创建不同的隧道。
3.L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节。
4.L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道
5.L2TP访问集中器(L2TP Access Concentrator,LAC)是一种附属在网络上的具有PPP端系统和L2Tpv2协议处理能力的设备,它一般就是一个网络接入服务器软件,在远程客户端完成网络接入服务的功能。
6.L2TP网络服务器(L2TP Network Server,LNS)是用于处理L2TP协议服务器端的软件。