L2TP是VPDN（虚拟专用拨号网络）技术的一种，专门用来进行第二层数据的通道传送，即将第二层数据单元，如点到点协议（PPP）数据单元，封装在IP或UDP载荷内，以顺利通过包交换网络（如Internet），抵达目的地。

　　L2TP（Layer Two Tunneling Protocol，第二层通道协议）是VPDN（虚拟专用拨号网络）技术的一种，专门用来进行第二层数据的通道传送，即将第二层数据单元，如点到点协议（PPP）数据单元，封装在IP或UDP载荷内，以顺利通过包交换网络（如Internet），抵达目的地。

　　L2TP提供了一种远程接入访问控制的手段，其典型的应用场景是：某公司员工通过PPP拨入公司本地的网络访问服务器（NAS），以此接入公司内部网络，获取IP地址并访问相应权限的网络资源；该员工出差到外地，此时他想如同在公司本地一样以内网IP地址接入内部网络，操作相应网络资源，他的做法是向当地ISP申请L2TP服务，首先拨入当地ISP，请求ISP与公司NAS建立L2TP会话，并协商建立L2TP隧道，然后ISP将他发送的PPP数据通道化处理，通过L2TP隧道传送到公司NAS，NAS就从中取出PPP数据进行相应的处理，如此该员工就如同在公司本地那样通过NAS接入公司内网。

　　从上述应用场景可以看出L2TP隧道是在ISP和NAS之间建立的，此时ISP就是L2TP访问集中器（LAC），NAS也就是L2TP网络服务器（LNS）。LAC支持客户端的L2TP，用于发起呼叫，接收呼叫和建立隧道，LNS则是所有隧道的终点。在传统的PPP连接中，用户拨号连接的终点是LAC，L2TP使得PPP协议的终点延伸到LNS。
　　L2TP本质上是一种隧道传输协议，它使用两种类型的消息：控制消息和数据隧道消息。控制消息负责创建、维护及终止L2TP隧道，而数据隧道消息则负责用户数据的真正传输。L2TP支持标准的安全特性CHAP和PAP，可以进行用户身份认证。在安全性考虑上，L2TP仅定义了控制消息的加密传输方式，对传输中的数据并不加密。

　　IPsec（IP Security），顾名思义，是保障IP层安全的网络技术，它并不是指某一项具体的协议，而是指用于实现IP层安全的协议套件集合。IPsec实质上也是一种隧道传输技术，它将IP分组或IP上层载荷封装在IPsec报文内，并根据需要进行加密和完整性保护处理，以此保证数据在公共网络中传输过程的安全。

　　IPsec支持两种协议标准，鉴别首部（Authenticaion Header，AH）和封装安全有效载荷（Encapsulation Security Payload，ESP）：

　　AH可证明数据的起源地（数据来源认证）、保障数据的完整性以及防止相同的数据包不断重播（抗重放攻击）；

　　ESP能提供的安全服务则更多，除了上述AH所能提供的安全服务外，还能提供数据机密性，这样可以保证数据包在传输过程中不被非法识别；

　　AH与ESP提供的数据完整性服务的差别在于，AH验证的范围还包括数据包的外部IP头。

　　为正确实施IPsec封装及解封装IP数据包，必须建立IPsec隧道，也就是需要定义加密或鉴别算法、算法使用的密钥、密钥保持有效的生命期以及授权可用的数据访问策略等信息，这也被称为"安全联盟（Security Association，SA）"。
·IT产品报价大全