L2TP,GRE二三层隧道协议解说

第二层隧道协议L2TP详解1、引言隧道技术是建立安全VPN的基本技术之一，类似于点对点连接技术，在公用网建立一条数据遂道，让数据包通过这条隧道传输。

隧道是由隧道协议形成的，分为第二、三层隧道协议。

第二层隧道协议有L2F、PPTP和L2TP等，是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。

这种双层封装方法形成的数据包靠第二层协议进行传输。

第三层隧道协议有GRE、IPSEC等。

第二层隧道协议和第三层隧道协议的本质区别在于在隧道内用户的数据包是被封装在哪种数据包中进行传输的。

L2TP隧道协议是典型的被动式隧道协议，它结合了L2F和PPTP的优点，可以让用户从客户端或访问服务器端发起VPN连接。

L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。

L2TP主要由LAC(L2TP Access Concentrator) 和LNS(L2TP Network Server) 构成，LAC支持客户端的L2TP，用于发起呼叫、接收呼叫和建立隧道；LNS是所有隧道的终点，LNS终止所有的PPP流。

在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。

L2TP的好处在于支持多种协议，用户可以保留原有的IPX、Appletalk等协议或公司原有的IP 地址。

L2TP还解决了多个PPP链路的捆绑问题，PPP链路捆绑要求其成员均指向同一个NAS(Network Access Server)，L2TP可以使物理上连接到不同NAS的PPP链路，在逻辑上的终结点为同一个物理设备。

L2TP还支持信道认证，并提供了差错和流量控制。

L2TP利用IPsec增强了安全性，支持数据包的认证、加密和密钥管理。

L2TP/IPSec因此能为远程用户提供设计精巧并有互操作性的安全隧道连接。

这对安全的远程访问和安全的网关之间连接来说，它是一个很好的解决方案。

隧道公网覆盖解决方案隧道协议选择是隧道公网覆盖解决方案的第一步。

常用的隧道协议有IPSec、GRE、L2TP等。

IPSec是一种广泛应用的隧道协议，它提供了强大的加密和认证功能，可以保证数据的机密性和完整性。

GRE是一种基于IP 隧道的协议，可以在IPv4和IPv6之间传输数据，具有较高的可伸缩性。

L2TP是一种基于PPP和IP隧道的协议，支持跨网段传输，适用于企业内部或不同地域之间的隧道连接。

选择合适的隧道协议需要考虑网络规模、安全性要求、性能等因素。

隧道设备选择是隧道公网覆盖解决方案的关键环节。

常见的隧道设备包括路由器、防火墙、VPN网关等。

路由器是网络中的核心设备，可以实现隧道连接的转发和控制功能。

防火墙可以对隧道传输进行过滤和安全监控，增强系统的安全性。

VPN网关是一种专门用于隧道连接的设备，可以提供高性能的数据传输和安全保证。

在选择隧道设备时，需要考虑设备的性能、可靠性、管理功能以及对应的技术支持与服务。

隧道配置与管理是隧道公网覆盖解决方案的核心内容。

隧道配置包括隧道的建立、参数的设置、安全策略的配置等。

在建立隧道时，需要确定隧道的两端地址、加密算法、密钥协商方式等参数。

在设置安全策略时，需要定义允许通过隧道的内网地址范围、限制隧道流量的带宽、设置访问控制列表等。

隧道管理包括对隧道的监控、故障诊断和性能优化等。

通过对隧道设备和隧道流量的监控，可以及时发现和解决问题，确保隧道公网覆盖的稳定性和可靠性。

隧道公网覆盖解决方案还需要考虑网络拓扑结构和路由配置。

网络拓扑结构包括星型、环形、全网状等，不同的拓扑结构对隧道公网覆盖的性能和可靠性有不同的影响。

路由配置则涉及到隧道设备之间的路由表设置，以实现数据包的正确转发。

此外，隧道公网覆盖解决方案还需要考虑网络安全。

在建立隧道连接之前，需要进行密钥协商和身份认证，以确保数据传输的安全性。

同时，还需要对隧道设备和隧道流量进行监控和管理，及时发现和防止安全威胁。

Keywords 关键词：VPN GRE 隧道PDSN WAPGWAbstract 摘要：在传统的VPN组网场合中，GRE隧道技术得到了广泛的应用。

本文介绍了GRE基本原理以及GRE的应用等，可供使用GRE技术的人员参考。

List of abbreviations 缩略语清单：一、概述在传统的VPN 组网场合中，GRE 隧道技术得到了广泛的应用。

本文介绍了GRE 基本原理以及GRE 的应用等，可供使用GRE 技术的人员参考。

二、VPN 简介VPN（Virtual Private Network，虚拟专用网）是一种基于公共数据网的服务，它依靠ISP （Internet Service Provider）和NSP（Network Service Provider），在公共网络中建立虚拟专用通信网络。

VPN 可以极大地降低用户的费用，并且提供比传统专线方式更强的安全性和可靠性。

1. 隧道技术在VPN 中广泛使用了各种各样的隧道技术，有二层隧道技术，也有三层隧道技术。

那么，什么是隧道呢？隧道是一种封装技术，它利用一种网络协议来传输另一种网络协议，即利用一种网络传输协议，将其他协议产生的数据报文封装在它自己的报文中，然后在网络中传输。

实际上隧道可以看作一个虚拟的点到点连接。

例如，GRE 隧道仅支持点到点的业务接入。

隧道技术简单地说就是：原始报文在A 地进行封装，到达B 地后把封装去掉，还原成原始报文，这样就形成了一条由A 到B 的通信隧道。

隧道技术就是指包括数据封装、传输和解封装在内的全过程。

隧道是通过隧道协议实现的，隧道协议规定了隧道的建立，维护和删除规则，以及怎样将原始数据封装在隧道中进行传输。

2. 隧道协议分类隧道协议可分为：（1）第二层隧道协议，如PPTP、L2TP（2）第三层隧道协议，如GRE、IPsec三、GRE 简介GRE（Generic Routing Encapsulation，通用路由封装协议）是由Cisco 和Net Smiths 公司于1994 年提交给IETF，标号为RFC 1701、RFC 1702。

L2TP,GRE二三层隧道协议解说
二三层隧道协议
一直知道L2TP是第二层隧道协议，GRE是第三层隧道协议，可是一直不是太明白，今天总结一下自己理解的。

L2TP是用于三层网络上承载二层协议报文的隧道协议，是用于在三层网络上跑PPP 的。

GRE是通用路由封装协议，内部能封装二层，三层，MPLS……它能封装的报文类型很多，但一般都用于封装三层报文，所以也有叫三层隧道协议的，但这个说法也不严谨。

例如：GRE能封装MPLS，ISIS 等，这些都不是三层报文。

Gre over ipsec就是通过GRE将广播，组播，非IP报文通过GRE 封装变成单播IP报文，然后再用IPSEC封装加密，IPSEC是个标准的三层隧道协议，它只能承载单播IP报文。

VPN的典型隧道协议隧道技术是一种通过使用互联网络的基础设施在网络之间传递数据的方式。

使用隧道传递的数据（或负载）可以是不同协议的数据桢（此字不正确）或包。

隧道协议将这些其它协议的数据桢或包重新封装在新的包头中发送。

新的包头提供了路由信息，从而使封装的负载数据能够通过互联网络传递。

被封装的数据包在隧道的两个端点之间通过公共互联网络进行路由。

被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。

一旦到达网络终点，数据将被解包并转发到最终目的地。

注意隧道技术是指包括数据封装，传输和解包在内的全过程。

1、点对点隧道协议(PPTP)点对点隧道协议(PPTP,Point-to-point Tunneling Protocol)是一种用于让远程用户拨号连接到本地ISP，通过因特网安全远程访问公司网络资源的新型技术。

PPTP对PPP协议本身并没有做任何修改，只是使用PPP拨号连接，然后获取这些PPP包，并把它们封装进GRE头中。

PPTP使用PPP协议的PAP或CHAP(MS-CHAP)进行认证，另外也支持Microsoft公司的点到点加密技术（MPPE）。

PPTP支持的是一种客户-LAN型隧道的VPN实现。

传统网络接入服务器(NAS) 执行以下功能：它是PSTN或ISDN的本地接口，控制着外部的MODEM或终端适配器：它是PPP链路控制协议会话的逻辑终点；它是PPP认证协议的执行者；它为PPP多链路由协议进行信道汇聚管理；它是各种PPP网络控制协议的逻辑终点。

PPTP 协议将上述功能分解成由两部分即PAC(PPTP接入集中器)和PNS(PPTP网络服务器)来分别执行。

这样一来，拨号PPP链路的终点就延伸至PNS。

PPTP协议正是利用了“NAS功能的分解”这样的机制支持在因特网上的VPN实现。

ISP的NAS 将执行PPTP协议中指定的PAC的功能。

而企业VPN中心服务器将执行PNS的功能，通过PPTP，远程拥护首先拨号到本地ISP的NAS，访问企业的网络和应用，而不再需要直接拨号至企业的网络，这样，由GRE将PPP报文封装成IP报文就可以在PAC－PNS之间经由因特网传递，即在PAC和PNS之间为用户的PPP会话建立一条PPTP隧道。

GRE、PPTP、L2TP隧道协议在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前，GRE被用来提供Internet上的VPN功能。

GRE将用户数据包封装到携带数据包中。

因为支持多种协议，多播，点到点或点到多点协议，如今，GRE仍然被使用。

在GRE隧道中，路由器会在封装数据包的IP头部指定要携带的协议，并建立到对端路由器的虚拟点对点连接∙Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).∙Carrier: 封装passenger protocol的GRE协议，插入到transport和passenger 包头之间, 在GRE包头中定义了传输的协议∙Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).GRE的特点：∙GRE是一个标准协议∙支持多种协议和多播∙能够用来创建弹性的VPN∙支持多点隧道∙能够实施QOSGRE的缺点：∙缺乏加密机制∙没有标准的控制协议来保持GRE隧道（通常使用协议和keepalive）∙隧道很消耗CPU∙出现问题要进行DEBUG很困难∙MTU和IP分片是一个问题配置：这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。

两端配置的tunnel ID必须配置相同。

在Cisco IOS versions 12.2(8)T允许配置keepalive，定期发送报文检测对端是否还活着GRE隧道GRE建立的是简单的（不进行加密）VPN隧道，他通过在物理链路中使用ip地址和路由穿越普通网络。

大部分协议都没有内建加密机制，所以携带他们穿越网络的很常见的方法就是使用加密（如使用IPSec）的GRE隧道，这样可以为这些协议提供安全性。

（相关配置请参看GRE over IPSec）网状连接（Full-Mesh）由于GRE是建立点对点的隧道，如果要多个端点的网状互联，则必须采用这种Hub-and-spoke的拓扑形式但是可以通过使用NHRP（Next-Hop Resolution Protocol）来自动建立全网状拓扑。

隧道技术是VPN的基本技术类似于点对点连接技术，它在公用网建立一条数据通道（隧道），让数据包通过这条隧道传输。

隧道是由隧道协议形成的，分为第二、三层隧道协议。

第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装入隧道协议中。

这种双层封装方法形成的数据包靠第二层协议进行传输。

第二层隧道协议有L2F、PPTP、L2TP等。

L2TP协议是目前IETF的标准，由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输。

第三层隧道协议有VTP、IPSec等。

IPSec（IP Security）是由一组RFC文档组成，定义了一个系统来提供安全协议选择、安全算法，确定服务所使用密钥等服务，从而在IP层提供安全保障。

GRE、PPTP、L2TP隧道协议在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前，GRE被用来提供Internet上的VPN功能。

GRE将用户数据包封装到携带数据包中。

因为支持多种协议，多播，点到点或点到多点协议，如今，GRE仍然被使用。

在GRE隧道中，路由器会在封装数据包的IP头部指定要携带的协议，并建立到对端路由器的虚拟点对点连接∙Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).∙Carrier: 封装passenger protocol的GRE协议，插入到transport和passenger 包头之间, 在GRE包头中定义了传输的协议∙Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).GRE的特点：∙GRE是一个标准协议∙支持多种协议和多播∙能够用来创建弹性的VPN∙支持多点隧道∙能够实施QOSGRE的缺点：∙缺乏加密机制∙没有标准的控制协议来保持GRE隧道（通常使用协议和keepalive）∙隧道很消耗CPU∙出现问题要进行DEBUG很困难∙MTU和IP分片是一个问题配置：这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。

第二层隧道协议L2TP的技术解析第二层隧道协议（L2TP）是一种用于在IP网络上传输数据的隧道协议。

它结合了点对点协议（PPP）和L2F（Layer 2 Forwarding）协议的优点，可以用于在公共网络上建立安全的虚拟专用网络（VPN）连接。

L2TP主要用于远程访问服务，如远程办公和远程终端访问。

L2TP的基本原理是在IP数据报中封装PPP数据包。

它使用UDP端口1701进行通信。

当建立L2TP连接时，主机之间会建立一个控制通道和一个数据通道。

控制通道用于建立、维护和终止连接，而数据通道用于传输实际的数据。

L2TP可以通过支持PPPoE（PPP over Ethernet）或PPTP （Point-to-Point Tunneling Protocol）等协议进行身份验证和数据传输。

L2TP具有以下特点和优势：1. 安全性：L2TP可以使用IPsec（Internet Protocol Security）协议进行安全传输，以加密数据和验证连接的安全性。

这样可以防止数据被窃听、篡改和伪装。

2. 兼容性：L2TP可以与多种VPN协议结合使用，如IPsec、PPTP和L2F。

这使得L2TP成为一个通用的隧道协议，可以在不同的网络环境中使用。

3. 网络透明性：L2TP在网络层上进行封装，这意味着它可以通过各种网络设备和协议传输数据。

这样可以确保数据可靠地传输，并且可以穿越NAT（Network Address Translation）和防火墙。

4. 可扩展性：L2TP可以集成各种认证和授权机制，如RADIUS （Remote Authentication Dial-In User Service）和LDAP（Lightweight Directory Access Protocol）。

这使得L2TP可以适应不同的用户和组织需求。

5.管理灵活性：L2TP支持强大的管理功能，可以通过配置参数和策略来控制和监视连接。

二层和三层隧道协议隧道协议的类型随着VPN技术的不断发展和在企业中的广泛应用，隧道技术也在不断的得到了完善，目前较为成熟的隧道技术主要有以下几各种。

（1）IP网络上的SNA隧道技术当系统网络结构（System Network Architecture）的数据流通过企业IP网络传送时，SNA数据包将被封装在UDP和IP协议包头中。

（2）IP网络上的Novell NetWare 隧道技术当一个IPX数据包被发送到NetWare服务器或IPX路由器时，服务器或路由器用UDP和IP包头将其重新封装打包后再通过IP网络发送。

另一端的IP-TO-IPX路由器在去除UDP和IP包头之后，把数据包转发到IPX目的地。

（3）点对点隧道协议（PPTP）PPTP协议允许对IP、IPX或NetBEUI数据流进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络发送。

（4）第2层隧道协议（L2TP）L2TP协议允许对IP、IPX、或NetBEUI数据流进行加密，然后通过支持点对点的数据包传递的任意网络发送，如IP、X.25、帧中继或ATM等。

（5）安全IP（IPSec）隧道模式IPSec隧道模式允许对IP数据进行加密，然后封装在IP包头中通过企业IP网络或公共互联网络（如因特网）发送。

为创建隧道，隧道的客户机和服务器双方必须使用相同的网络隧道协议。

目前能够应用在虚拟专用网中的隧道协议比较多，但根据开放系统互联（OSI）的参考模型，可以分为二层隧道协议和三层隧道协议两种类型。

其中第二层协议对应OSI模型中的数据链路层，它使用帧作为数据的交换单位，也就是说将数据封装在点对点协议（PPP）帧中，通过互联网发送。

而第三层隧道协议对应OSI模型中的网络层，1 二层隧道协议用于传输二层网络协议的隧道协议称为二层隧道协议，目前，这种二层隧道协议主要有以下3种。

PPTP协议：PPTP（Point to Point Tunneling Protocol，点对点隧道协议）协议是一种点对点的隧道协议，得到了Microsoft、Ascend、3COM等公司支持的，如Windows NT 4.0以上版本的Microsoft操作系统中都增加了对该协议的支持。

GRE、PPTP、L2TP隧道协议介绍(转)在IPSec 和Multiprotocol Label Switching (MPLS) VPN出现前，GRE被用来提供Internet上的VPN功能。

GRE将用户数据包封装到携带数据包中。

因为支持多种协议，多播，点到点或点到多点协议，如今，GRE仍然被使用。

在GRE隧道中，路由器会在封装数据包的IP头部指定要携带的协议，并建立到对端路由器的虚拟点对点连接∙Passenger: 要封装的乘客协议 (IPX, AppleTalk, IP, IPSec, DVMRP, etc.).∙Carrier: 封装passenger protocol的GRE协议，插入到transport和passenger 包头之间, 在GRE包头中定义了传输的协议∙Transport: IP协议携带了封装的passenger protocol. 这个传输协议通常实施在点对点的GRE连接中(GRE是无连接的).GRE的特点：∙GRE是一个标准协议∙支持多种协议和多播∙能够用来创建弹性的VPN∙支持多点隧道∙能够实施QOSGRE的缺点：∙缺乏加密机制∙没有标准的控制协议来保持GRE隧道（通常使用协议和keepalive）∙隧道很消耗CPU∙出现问题要进行DEBUG很困难∙MTU和IP分片是一个问题配置：这里配置对端的IP地址和tunnel ID (tunnel key 2323)来进行简单的认证。

两端配置的tunnel ID必须配置相同。

在Cisco IOS versions 12.2(8)T允许配置keepalive，定期发送报文检测对端是否还活着GRE隧道GRE建立的是简单的（不进行加密）VPN隧道，他通过在物理链路中使用ip地址和路由穿越普通网络。

大部分协议都没有内建加密机制，所以携带他们穿越网络的很常见的方法就是使用加密（如使用IPSec）的GRE隧道，这样可以为这些协议提供安全性。

VPN技术描述隧道协议中最为经典有IPSEC、L2TP、GRE、PPTP、L2F等。

其中GRE、IPSEC属于第三层隧道协议，L2TP、PPTP、L2F属于第二层隧道协议。

第二层隧道和第三层隧道本质区分在于用户IP数据包是被封装在何种数据包中在隧道里传输。

现在，在虚拟专网很多协议中，最引人注目标两个协议是L2TP和IPSEC。

其中IPSEC已基础完成了标准化工作。

L2TP能够让拨号用户支持多个协议，如IP、IPX、AppleTalk，且能够使用保留网络地址，包含保留IP地址。

利用L2TP提供拨号VPN服务对最终用户、企业和服务提供商全部很有意义，它能够让更多用户群共享拨号接入和骨干IP 网络设施，为拨号用户节省长途通信费用。

同时，因为L2TP支持多个网络协议，企业在非IP网络和应用上投资不至于浪费。

L2TP带来另一个好处是它能够支持多个链路捆绑使用。

IPSec是在传输层(TCP,UDP)之下，所以对应用透明。

无须改变用户或服务器系统上软件。

IPSec能够对最终用户透明。

无须训练用户。

IPSEC定义了怎样在IP数据包中增加字段来确保IP包完整性、私有性和真实性，它要求了怎样加密数据包，并将多个安全技术结合形成一个完整体系。

IPSEC使用安全技术包含：密钥交换技术、非对称加密算法；大数据量加密算法；带密钥安全算法；用于身份认证和密钥发放CA技术等。

IPSEC定义了两个新数据包头增加到IP包中，这些数据包头用于确保IP数据包安全性。

这两个数据包头是AH和ESP。

AH插到标准IP包头后面，它确保数据包完整性和真实性，预防黑客截断数据包或向网络中插入伪造数据包。

ESP将需要保护用户数据进行加密后再封装到IP包中，ESP也能够确保数据完整性、真实性和私有性。

IPSEC 有隧道和传送两种工作方法。

在隧道方法中，用户整个IP数据包被用来计算ESP 头，且被加密，ESP头和加密用户数据被封装在一个新IP数据包中；在传送方法中，只是传输层数据被用来计算ESP头，ESP头和被加密传输层数据被放置在原IP包头后面。

1.L2TP简介L2TP（Layer 2 Tunneling Protocol，二层隧道协议）是VPDN（Virtual Private Dial-up Network，虚拟私有拨号网）隧道协议的一种。

VPDN 隧道协议主要包括以下三种，目前使用最广泛的是L2TP。

●PPTP（Point-to-Point Tunneling Protocol，点到点隧道协议）●L2F（Layer 2 Forwarding，二层转发）●L2TPL2TP的网络拓扑图如下所示：1）远端系统远端系统是要接入VPDN 网络的远地用户和远地分支机构，通常是一个拨号用户的主机或私有网络的一台路由设备。

2）LAC（L2TP Access Concentrator，L2TP 访问集中器）LAC 是附属在交换网络上的具有PPP 端系统和L2TP 协议处理能力的设备，通常是一个当地ISP的NAS，主要用于为PPP 类型的用户提供接入服务。

LAC 位于LNS 和远端系统之间，用于在LNS 和远端系统之间传递信息包。

它把从远端系统收到的信息包按照L2TP 协议进行封装并送往LNS，同时也将从LNS 收到的信息包进行解封装并送往远端系统。

LAC 与远端系统之间采用本地连接或PPP 链路，VPDN 应用中通常为PPP 链路。

3）LNS（L2TP Network Server，L2TP 网络服务器）LNS 既是PPP 端系统，又是L2TP 协议的服务器端，通常作为一个企业内部网的边缘设备。

LNS 作为L2TP 隧道的另一侧端点，是LAC 的对端设备，是LAC 进行隧道传输的PPP 会话的逻辑终止端点。

通过在公网中建立L2TP 隧道，将远端系统的PPP 连接的另一端由原来的LAC 在逻辑上延伸到了企业网内部的LNS。

隧道和会话的概念在一个LNS和LAC对之间存在着两种类型的连接，一种是隧道（Tunnel）连接，一对LAC和LNS中可以有多个L2TP隧道；另一种是会话（Session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个PPP会话过程。