什么是第二层隧道协议(L2TP)?
第二层隧道协议(L2TP)是虚拟专用网(VPN)和ISP网络提供商使用的隧道协议。VPN服务利用其强大的连通性,而ISP网络提供商则利用它来促进VPN操作。L2TP是两个旧协议结合的结果;分别是微软点对点隧道协议和思科第二层转发协议。L2TP采用了上面提到的协议特性和功能,并对它们进行了显着的改良。它在20世纪之末发表,取代了上面列出的协议,成为标准的RF C26661。
关于L2TP你需要了解的内容
- L2TP需要与其他协议一起使用以获得最大的使用效益。
- 它主要与IPSec协议一起使用,后者负责数据有效负载的安全性。
- L2TP与IPSec的结合使用带来了无限的安全可能性,最佳的加密密钥算法(如AES 256位和3DES算法)也可使用。
- 虽然L2TP的双重封装提供了更高的安全性,但它也需要更多的资源。
- 通常,L2TP使用TCP 1701端口。但是一旦它与IPSec配合使用,它就会使用不同的端口:互联网密钥交换(IKE)方面,使用UDP 500端口;NAT方面,使用4500端口; L2TP流量方面,使用1701端口。
下面是L2TP数据包结构的概览:
- IP头档
- IPSec ESP头档
- UDP头档
- L2TP头档
- PPP头档
- PPP有效载荷
- IPSec ESP尾档
- IPSec身份验证尾档
L2TP是如何运作的?
L2TP在互联网上有两个端点:L2TP访问集中器(LAC)和L2TP网络服务器(LNS)。这些点之间就是透过L2TP隧道连接。
建立L2TP隧道的第一步是在上面列出的两个端点之间建立连接。当这个连接被激活时,PPP层被启用并封装。这是后来在网络上移动的东西。
下一步是使用ISP启动PPP连接。接下来,LAC会接受连接,建立PPP链路。然后在网络隧道中分配一个空闲插槽,并将请求传递给LNS。
当连接接受完整的身份验证且被接受时,将创建一个虚拟的PPP接口。一旦这样的步骤完成之后,就可以自由通过隧道。L2TP最后一个步骤是在LNS端点。这是框架被接受后的处理过程,L2TP封装被移除。
L2TP和IPSec之间有什么关系?
在本文中,你一定多次遇到这个缩写词IPSec。它代表互联网协议安全。它为从一台计算机传递到另一台计算机的数据提供加密安全性。将L2TP与IPSec结合可以实现更安全的连接。L2TP独立运作效果不是最好的。当与IPSec结合使用时,它变得更稳壮、更可靠、更高效。
这种结合是如何进行的?
下面是L2TP和IPSec之间的配对连接的工作原理:
- 首先,协商IPSec安全协作。这是网络之间就安全属性达成的协议。这通过IKE并通过UDP端口500进行。
- 然后,建立封装安全有效负载(ESP)流程作为传输模式。这是通过IP协议150实现的。一旦建立了ESP,在客户机和VPN服务器之间就存在一个安全的通道。重要的是要注意到还没有出现隧道。
- L2TP协议主要负责网络端点之间的隧道。使用TCP端口1701,L2TP设置了一条隧道。这种协作过程使用IPSec加密进行。
L2TP有多快?
如果它是独立的,L2TP会非常快。但是L2TP独立版本并不可靠,因为它不提供安全加密性。单独使用它会使用户数据易受攻击。但是,由于该协议主要是与IPSec结合使用的,因此我们将考虑它的速度。
当与IPSec结合使用时,该协议可以提供不错的速度。但是,我们建议使用快速的宽带连接(100mbps或更高)和高效的中央处理器(CPU)。有了这些条件,你应该会有畅顺的体验。
L2TP 优点与缺点
对线上安全世界有什么好处或坏处?看看下面的分析。
优点
- 当与IPSec结合使用时,它创建了极佳的线上安全性。
- 它内置在Windows和MacOS中。它在其他设备和操作系统上也运行良好。
- 设置起来很容易。L2TP/IPSec配对也很容易设置。
缺点
- L2TP作为一个独立个体时十分弱,因为它没有自己的加密。
- 据斯诺登报道,美国国家安全局已经破解了协议。虽然没有证据支持这一点,但安全总比后悔好。
- 双重封装特性功能使L2TP更加耗费资源,而且速度稍慢。
- 如果没有手动配置绕过NAT防火墙,它会被拦截。
结论
L2TP使用起来相对安全,只是它要与另一种协议结合使用。它不能成为一个优秀的独立选项,单独使用也不安全。最好就是结合协议使用。它可以在大多数平台上使用,易于设置和使用。在适当的情况下,它也是可以非常快的。总之,如果使用方法正确,L2TP协议是一个很好的选择。