VPN協議：L2TP/IPSEC

如示例所示，此使第2層網絡身份能夠跨距離進行通信. 遠程工作站和中央服務器可以建立一個安全的單隧道，用於傳輸機密數據和工作流程.

第二層隧道協議（L2TP）

第2層隧道協議（L2TP）用於跨公共網絡安全，快速地傳輸信息. 該協議有很多用例，但最著名的是虛擬專用網絡（VPN）的一部分.

L2TP由Microsoft和Cisco Technicians在2000年創建，以替代較舊的點對點隧道協議（PPTP）. 新標准給了代碼RFC 2661，並結合了兩個元素：PPTP和Cisco的第2層轉發協議（LTF）. 這兩個組件共同創建 OSI模型層的穩定點對點連接.

2005年，最初的L2TP標準升級到L2TPV3. 此新更新改善了協議的封裝功能，並提高了其速度. 從那以後，L2TP已成為 VPN網絡的常規功能, 通常與IPSEC安全和身份驗證協議結合.

本文將更詳細地研究L2TP，包括快速分析其工作原理，可以使用的方法以及L2TP在核心領域的表現。.

L2TP協議和組件

第2層隧道協議實際上包括兩個協議：Microsoft的PPTP和Cisco的LTF. 實際上，通過L2TP創建的隧道有兩個端點：L2TP訪問集中器（LAC）和L2TP網絡服務器（LNS）：

L2TP訪問集中器

LAC從遠程設備接收數據，並將其安全路由到LNS. LAC協商點對點（PPP）連接以傳輸數據幀. 它可以居住在公司數據中心，但是LAC也可以集成到ISP中，以通過Internet路由L2TP流量.

L2TP網絡服務器

LNS位於L2TP隧道的另一端，並且功能作為PPP會話的終止點. 它充當公共網絡和專用網絡之間的網關，允許加密的流量訪問網絡資產.

L2TP如何工作?

L2TP運載OSI第2層跨第3層網絡的流量. 它在三階段的過程中實現了這一目標.

首先，L2TP必須 創建連接 在LAC和LN之間. LNS和LAC用作點對點隧道的終點，它們必須在傳輸任何數據之前協商它們之間的關係. 鏈中的每個設備將分配一個IP地址.

第二階段涉及談判轉移. L2TP必須啟用PPP鏈接層，為數據傳輸創造條件. 然後將數據幀封裝並準備轉移.

最後，L2TP 創建隧道. 通常，這是遠程工作站與其本地互聯網服務提供商（ISP）的LAC之間的直接鏈接. LAC接受隧道並分配網絡插槽. LNS創建一個虛擬PPP接口，並在端點之間傳播框架. 然後，LNS刪除封裝信息，並將每個單獨的IP數據包作為常規幀傳遞到本地網絡服務器.

如示例所示，此使第2層網絡身份能夠跨距離進行通信. 遠程工作站和中央服務器可以建立一個安全的單隧道，用於傳輸機密數據和工作流程.

IPSEC如何與L2TP一起使用

L2TP不單獨工作. 協議本身 缺乏加密和身份驗證 功能，附加協議必須提供兩個安全功能. 在大多數情況下，Internet協議安全性（IPSEC）提供了這些數據保護服務，這就是為什麼我們通常使用名稱L2TP/IPSEC.

IPSEC使L2TP可以用作具有端到端安全性的VPN連接. 這兩個協議通過256位AES加密和Internet密鑰交換（IKE）握手加密有效載荷和IP標頭. 數據通過UDP端口500，還準備作為封裝的安全有效載荷（ESP）轉移.

ESP允許LAC和LNS確定數據有效載荷的起源，並驗證轉移. 加密多協議數據包和IP標頭隱藏有關實際數據的信息，並允許通過虛擬網絡進行路由. L2TP充當隧道劑, 設置連接以發送此加密數據.

什麼是L2TP?

L2TP的最初目的是 更換撥號連接 對於遠程網絡. 公司需要一種連接工人，中央辦公室和分支機構的方法，而不會產生大型撥號賬單. 第2層的隧道設置使通過公共互聯網連接變得更加容易，從而降低了交流的成本. 它還建立在較舊的隧道協議上，添加了新的安全功能.

自2000年以來，該協議在商業世界中發現了許多用途. 這只是一些常見的用例，這些案例顯示了多功能L2TP的多種用例：

L2TP作為VPN

L2TP不能單獨用作VPN協議. 要創建VPN連接，必須將其與其他協議配對 – 以交付最終安全性和匿名性. 此伴侶協議通常是IPSEC.

第2層VPN隧道是將遠程設備連接到中央辦公室的有效選擇. 遠程工人可以安裝L2TP/IPSEC客戶端，並通過L2TP VPN服務器路由流量. L2TP協議為第2層流量創建了直接隧道，而IPSEC提供了加密和認證. ESP還將IP信息和數據包裝在另一層加密中，創建一種非常適合VPN路由的格式.

L2TP/IPSEC VPN連接很少需要安裝新軟件. 客戶內置在Microsoft Windows，MacOS和Linux中. 該協議還提供iOS和Android兼容性，完成了極寬的設備覆蓋範圍.

L2TP擴展LAN

公司可以使用L2TP擴展其基於LAN的公司網絡以包括遠程設備. 這是用於工作中的工作安排和現場遠程工作的有用功能.

該協議在遠程設備和中央LAN之間創建穩定的隧道. L2TP隧道也可以將各種LAN捆綁在一起. 這是將分支機構或公司部門鏈接在一起的好方法.

每個位置中的LCCE端點使LAN擴展與L2TP成為可能. LCCE中心充當橋樑，將本地以太網數據與L2TP有效載荷聯繫起來. iPSEC在頂部添加，加密不同的LAN之間的通信.

L2TP作為ISP網絡的一部分

ISP使用LAN為私人客戶轉售其能力的部分和路由流量. 例如，具有備用容量的ISP可能會將帶寬出售給其他提供商的交通流量. 買方擁有的第2層隧道可以從客戶路由流量匯總，而無需干擾主機ISP.

在這種情況下，批發ISP運行lac，客戶租賃安全連接. L2TP隧道上方的IPSEC加密可確保批發ISP不可見流量，使客戶IP地址信息私有.

公共訪問Wi-Fi網絡中的L2TP

L2TP隧道定期用於構建和保護公共Wi-Fi網絡. 這是大型組織（例如大學，學校，圖書館或機場）擁有的網絡的共同特徵.

組織維護Wi-Fi訪問點網絡. 客戶設備與各個訪問點連接，該訪問點創建L2TP會話.

第2層隧道協議吸引了許多組織，因為它降低了向各種訪問點提供互聯網的成本. 不必在每個訪問點安排單個連接. 可以通過隧道協議將流量牢固地路由到單個提供商.

L2TP的好處和缺點

L2TP/IPSEC是創建VPN系統的流行手段. 但這不是唯一的協議，也不是沒有缺陷的. 讓我們快速瀏覽一些利弊，以了解L2TP適合更寬的圖片.

L2TP VPN服務的優勢：

IPSEC的強大安全性. 當第2層隧道協議與IPSEC結合時，數據應保持安全和私有. IPSEC提供了強大的加密，實際上是不可分解的. 有傳言稱NSA破解了IPSEC，但沒有確切的證據表明該協議已妥協.

便於使用. 設置L2TP VPN連接很簡單. 隧道協議內置在主要操作系統中. 例如，用戶可以通過Microsoft Windows中的網絡設置在幾秒鐘內設置L2TP VPN.

L2網絡的靈活性. 第2級連接性比3級VPN具有一些優勢. 公司可以更輕鬆地在不同位置之間共享基礎架構. 根據需要將虛擬機基礎架構轉移在物理設備之間也更容易. L2TP也可以使用各種隧道媒體，與PPTP不同，PPTP只能處理IP隧道.

速度. 第2層隧道協議以其速度而聞名. 在許多情況下，使用L2TP與未加密連接一樣快.

L2TP的缺點：

防火牆問題. L2TP在端口500上運行，這可能會導致橫穿防火牆和NAT網關時的問題. 在大多數情況下，需要L2TP傳遞，以便在防火牆上透明傳輸多個協議.

速度下降與IPSEC. 應用IPSEC加密時，RAW L2TP的速度優勢可能會消失. 當在VPN連接上使用雙重封裝時尤其如此.

不穩定. 防火牆和一般連通性問題意味著使用L2TP/IPSEC通常不如替代VPN協議（例如Wiredguard或OpenVPN）穩定.

L2TP使用什麼端口?

大多數L2TP連接都使用UDP 500端口來連接設備. 當需要IKE加密鍵時，UDP 500與IPSEC一起使用. UDP端口4500可用於NAT遍歷，而L2TP服務器使用端口1701，並且未接收入站流量.

L2TP是否自行提供加密?

不. 這是使用L2TP的重要事實. L2TP本身就是在設備之間創建穩定的隧道. 該協議不應用強大的加密來使數據有效載荷不可讀. 它也不會在每個IP數據包之間進行驗證，因為它在設備之間傳遞，並且數據包的IP地址也將在Transit中暴露. L2TP不提供足夠的保障措施來確保數據完整性和保護用戶數據免受攻擊. 這就是為什麼Ipsec通常伴隨L2TP，兩個協議一起使用.

了解L2TP隧道

L2TP在網絡和設備之間提供2層隧道. 它與LAN之間有很多用途，而L2TP與IPSEC配對時也是虛擬專用網絡服務的流行組成. 回顧一下，讓我們瀏覽我們對協議的優勢和劣勢的了解.

L2TP必須與提供加密和數據身份驗證的額外協議一起使用. 該協議通常是IPSEC.

L2TP在OSI第2層工作，非常適合鏈接本地網絡和在分支位置之間形成橋樑.

L2TP嵌入在Microsoft Windows，MacOS，Linux和移動操作系統中. 它可以與大多數設備一起使用，並且易於配置.

L2TP/IPSEC是一個安全的VPN協議，可提供相對快速的速度. 它可以將遠程工人與中央辦公室聯繫起來，並鎖定在公共互聯網上的數據傳輸.

使用L2TP時，公司可能會遇到防火牆和NAT網關問題. 可能需要傳遞方法以確保光滑遍歷. 結果，其他隧道協議可能是可取的.