L2TP是什么？它是一种第二层隧道协议。

L2TP通常作为虚拟专用网络（VPN）的一部分来使用。那么，L2TP究竟是什么呢？它是在VPN设置中使用的技术，它能够与其他协议协同工作，从而建立安全的连接。

L2TP和PPTP都是由微软和思科共同开发的协议。L2TP被设计为比旧的PPTP协议更安全的替代方案。它结合了PPTP的特性和思科提出的二层转发协议，从而在OSI模型的第二层建立点对点连接。在2005年，L2TP被升级为L2TPv3版本，这一升级提升了其传输速度和封装能力。如今，L2TP已成为VPN中的标准协议，通常与IPSec一起使用以实现加密和安全保护。

主要要点/关键信息

• L2TP是一种隧道协议，为了确保安全性，它必须与IPSec一起使用。
• L2TP/IPSec结合了强大的加密功能与稳定的第二层隧道技术，因此非常适合用于虚拟专用网络、局域网扩展以及互联网服务提供商的基础设施中。
• 该隧道协议在LAC和LNS端点之间创建隧道，将数据帧封装起来，使其能够通过公共网络进行传输。
• L2TP在Windows、macOS、Linux、iOS和Android等多种操作系统上得到了广泛支持，因此无需进行额外的安装步骤。
• 虽然 L2TP/IPSec 具有快速且灵活的特点，但它可能会遇到防火墙相关的问题。此外，由于需要双重封装的过程，其传输速度也可能相对较慢。
• 像 IKEv2、WireGuard 或 OpenVPN 这样的替代方案，根据具体的使用环境，可能会提供更好的稳定性或性能。

L2TP到底是什么？

L2TP是一种VPN协议，它能够为网络中的两个节点之间传输数据创建一条安全的通道。虽然L2TP本身并不具备数据加密功能，但它通常与诸如IPSec这样的加密协议结合使用。L2TP主要用于在公共网络上建立安全连接。

L2TP到底是什么？

L2TP是一种VPN协议，它能够为网络中的两个节点之间传输数据创建一条安全的通道。虽然L2TP本身并不具备数据加密功能，但它通常与诸如IPSec这样的加密协议结合使用。L2TP主要用于在公共网络上建立安全连接。

L2TP协议与组件

Layer 2 Tunneling Protocol实际上包含两种协议：微软的PPTP和思科的LTF。在实际应用中，通过L2TP创建的隧道有两个端点：L2TP接入集中器（LAC）和L2TP网络服务器（LNS）。

L2TP接入集中器

LAC从远程设备中接收数据，然后将这些数据安全地传输到LNS。LAC通过协商建立点对点连接（PPP连接）来传输数据帧。LAC可以位于公司的数据中心内，但也可以被集成到ISP系统中，以便将L2TP流量通过互联网进行传输。

L2TP网络服务器

LNS位于L2TP隧道的另一端，它充当PPP会话的终止点。它作为公共网络与私有网络之间的网关，使得加密后的流量能够访问网络资源。

L2TP是如何工作的呢？

L2TP能够在第3层网络中传输OSI第二层的流量。这一过程分为三个阶段来实现。

• 首先，L2TP必须建立LAC与LNS之间的连接。LNS和LAC分别作为点对点隧道的端点，它们在传输任何数据之前，必须先协商好彼此之间的关系。链路中的每台设备都会被分配一个IP地址。
• 第二阶段涉及对传输过程的协商。L2TP必须能够支持PPP链路层的功能，从而为数据传输创造必要条件。之后，数据帧会被封装起来，为传输做好准备。
• 最后，L2TP会创建这条隧道。通常，这条隧道是远程工作站与当地互联网服务提供商处的LAC之间的直接连接。LAC会接受这条隧道，并为其分配一个网络端口。然后，LNS会创建一个虚拟的PPP接口，使得数据能够在各个端点之间传输。之后，LNS会移除封装信息，并将每个IP数据包作为普通的数据帧传递给本地网络服务器。

如示例所示，这种方式使得第二层网络中的各个节点能够跨越长距离进行通信。远程工作站和中央服务器可以共同建立一条安全的通道，用于传输机密数据和工作流程信息。

IPSec如何与L2TP协同工作？

L2TP并不能单独使用。该协议本身缺乏加密和认证功能，因此需要另一种协议来提供这些安全功能。在大多数情况下，互联网协议安全（IPSec）能够提供这些数据保护功能。因此，我们通常会使用L2TP/IPSec这个组合名称来描述这种协议。

IPSec使得L2TP能够作为具有端到端安全性的VPN连接来使用。这两种协议都通过256位AES加密技术对数据负载和IP头部进行加密，同时采用Internet Key Exchange（IKE）机制来确保通信的安全性。数据通过UDP端口500进行传输，同时也可以以封装安全载荷的形式进行传输。

ESP使得LAC和LNS能够确定数据负载的来源，并验证传输过程的真实性。通过对多协议数据包和IP头部进行加密处理，可以隐藏实际数据的信息，从而让数据能够通过虚拟网络进行传输。L2TP则充当隧道代理的角色，负责建立连接以发送经过加密的数据。

L2TP是用来做什么的？

L2TP最初的目的是替代拨号连接，以用于远程网络通信。企业需要一种方式来连接员工、总部以及分支机构，同时避免支付高昂的拨号费用。二层隧道技术使得通过公共互联网进行连接变得更加容易，从而降低了通信成本。此外，L2TP还基于现有的隧道协议，因此能够增加新的安全功能。

自2000年以来，该协议在商业领域得到了广泛应用。以下是几个常见的应用场景，这些例子充分说明了L2TP的多样用途：

作为VPN技术的L2TP

L2TP不能作为独立的VPN协议来使用。为了建立有效的VPN连接，它需要与另一种协议结合使用，这样才能实现端到端的安全性和匿名性。这种配套使用的协议通常是IPSec。

二层VPN隧道是一种有效的方式，可以将远程设备连接到中心办公室。远程工作人员可以安装L2TP/IPSec客户端，并通过L2TP VPN服务器来路由流量。L2TP协议为二层流量创建了一个直接的传输通道，而IPSec则负责提供加密和身份验证功能。此外，ESP还将在IP信息和数据上再一层加密处理，从而创造出一种非常适合VPN路由的格式。

使用 L2TP/IPSec VPN 连接时，通常不需要安装任何新的软件。这些功能已经内置在 Microsoft Windows、macOS 和 Linux 系统中。此外，该协议还支持 iOS 和 Android 平台，因此能够覆盖非常广泛的设备类型。

L2TP用于扩展局域网的范围。

企业可以使用L2TP技术来扩展其基于局域网的企业网络，从而将远程设备也纳入到网络中。这一功能对于在家办公以及现场远程工作来说非常有用。

该协议能够在远程设备与中央局域网之间建立稳定的连接通道。此外，通过L2TP隧道，多个局域网也可以被连接在一起。这是一种将不同位置的分支机构或部门相互连接的良好方式。

每个位置的LCCE端点都支持通过L2TP协议进行局域网扩展。LCCE中心充当桥梁的角色，将本地以太网数据与L2TP数据包连接起来。此外，还使用了IPSec协议来加密不同局域网之间的通信内容。

作为ISP网络的一部分的L2TP

互联网服务提供商利用局域网来转售部分带宽，从而为私人客户提供网络服务。例如，那些拥有剩余带宽的互联网服务提供商可以将这些带宽出售给其他提供商，以便为自身的客户提供服务。由买家拥有的第二层隧道可以负责将流量从客户处传输出去，而不会干扰互联网服务提供商的正常运行。

在这种情况下，由批发服务提供商来负责运行LAC，而客户则租用安全连接。通过在L2TP隧道之上使用IPSec加密技术，可以确保流量不会被批发服务提供商看到，从而保护客户的IP地址信息不被泄露。

在公共Wi-Fi网络中使用L2TP协议

L2TP隧道协议常被用于构建和保障公共Wi-Fi网络的稳定性。这种技术常见于由大学、学校、图书馆或机场等大型机构所拥有的网络中。

这些组织维护着由无线接入点构成的网络。客户设备通过各个接入点与这些接入点连接，从而建立起L2TP会话。

二层隧道协议很受许多组织的青睐，因为它能够降低为各种接入点提供互联网连接的成本。无需在每个接入点都单独建立连接。流量可以通过隧道协议安全地传输到单一的供应商处。

L2TP的优缺点

L2TP/IPSec是一种常用的VPN系统构建方式。不过，它并非唯一可用的协议，而且它也有其不足之处。让我们简要地了解一下L2TP的一些优缺点，从而更清楚地了解它在整体解决方案中的位置。

L2TP VPN服务的优势

• 采用 IPSec 技术，确保强大的安全性。当二层隧道协议与IPSec结合使用时，数据仍然能够保持安全性和私密性。IPSec提供了非常强大的加密功能，几乎无法被破解。虽然有传闻称美国国家安全局成功破解了IPSec，但并没有确凿的证据表明该协议确实存在漏洞。
• 易于使用。建立 L2TP VPN 连接非常简单。这种隧道协议已经被集成到大多数操作系统中。例如，用户可以通过 Microsoft Windows 的“网络设置”功能，在几秒钟内就建立好 L2TP VPN 连接。
• L2网络的灵活性。二级连接方式相比三级VPN有一些优势。企业可以更轻松地在不同地点之间共享基础设施。此外，根据需求，还可以轻松地在不同的物理设备之间切换虚拟机的基础设施。与仅能处理IP隧道的PPTP不同，L2TP可以使用多种隧道传输方式。
• 速度。Layer 2隧道协议以其高速传输能力而著称。在许多情况下，使用L2TP的连接速度与非加密连接相当。

L2TP的缺点/不利之处

• 防火墙相关的问题。L2TP通过端口500进行通信，这可能会导致在穿越防火墙和NAT网关时出现问题。在大多数情况下，为了实现多个协议在防火墙上的透明传输，需要使用L2TP穿透功能。
• 使用 IPSec 时，速度会下降。当使用 IPSec加密技术时，原始 L2TP 协议的传输速度优势可能会消失。这一点在 VPN 连接中采用双重封装方式时尤为明显。
• 不稳定。防火墙以及一般的连接问题导致，使用L2TP/IPSec的可靠性通常不如其他VPN协议，比如WireGuard或OpenVPN。

L2TP使用的是哪个端口？

大多数L2TP连接都使用UDP的500端口来进行设备之间的连接。当需要使用IKE加密密钥时，就会使用UDP的500端口。而UDP的4500端口则可以用于NAT穿越。至于L2TP服务器，它使用的是1701端口，并且不会接收任何入站流量。

L2TP本身是否具备加密功能呢？

不。 这是使用L2TP时的一个重要事实。 L2TP本身只是用于在设备之间建立稳定连接通道的工具而已。 该协议并不采用强加密方式来使数据内容无法被读取。 此外，该系统也不会在各个设备之间传输的每个IP数据包上进行身份验证。因此，在传输过程中，这些数据包的IP地址也会暴露出来。 L2TP并不能提供足够的保护措施来确保数据的完整性，也无法有效保护用户数据免受攻击。 这就是为什么IPSec通常会与L2TP一起使用，这两种协议可以协同工作。

L2TP与PPTP的比较

L2TP（第2层隧道协议）相比PPTP来说，安全性更高。因为L2TP使用IPSec进行加密处理，而PPTP则依赖于相对较弱的加密方式。对于那些需要强大数据保护的应用程序来说，L2TP更为合适。不过，PPTP虽然传输速度更快，但安全性却相对较低。例如，一家需要为员工提供安全远程访问服务的公司，很可能会选择L2TP而不是PPTP来保障敏感信息的安全。

L2TP与IKEv2的比较

在比较L2TP和IKEv2时，L2TP是一种使用IPsec来实现数据安全的VPN协议。不过，由于采用了双重封装机制，其传输速度可能会相对较慢。而IKEv2则同样使用IPsec作为加密方式，但它具有更快的传输速度、更高的稳定性以及自动重新连接的功能。例如，由于IKEv2能够在连接中断时快速重新建立连接，因此它在移动设备上更为受欢迎。

VPN协议的比较：L2TP与PPTP以及IKEv2

功能/标准

L2TP/IPSec

PPTP

IKEv2/IPSec

安全性

速度