【原創(chuàng)】L2TP封裝詳解

L2TP端口為UDP17011.L2TP控制報(bào)文IP網(wǎng)上的L2TP控制消息以UDP數(shù)據(jù)報(bào)形式發(fā)送。在Windows2000實(shí)現(xiàn)中，L2TP控制消息即UDP數(shù)據(jù)報(bào)經(jīng)過IPSecESP的加密，見下圖：由于UDP提供的是無連接的數(shù)據(jù)包服務(wù)，因此L2TP采用將消息序列化的方式來保證L2TP消息的按序遞交。在L2TP控制消息中，Next-Received字段（類似于TCP中的確認(rèn)字段）和Next-Sent字段（類似于TCP中序列號字段）用于維持控制消息的序列化。無序數(shù)據(jù)包將被丟棄。Next-Received字段和Next-Sent字段同樣用于用戶傳輸數(shù)據(jù)的按序遞交和流控制。L2TP支持一條隧道內(nèi)的多路呼叫。在L2TP的控制消息中以及L2TP數(shù)據(jù)幀的報(bào)頭內(nèi)，TunnelID標(biāo)識了一條隧道而CallID標(biāo)識了該隧道內(nèi)的一路呼叫。2.L2TP協(xié)商參數(shù)過程：L2TP的PPPLCP協(xié)商報(bào)文結(jié)構(gòu)：3.L2TP數(shù)據(jù)報(bào)文封裝結(jié)構(gòu)L2TP用戶傳輸數(shù)據(jù)的隧道化過程采用多層封裝的方法。下圖顯示了封裝后在隧道中傳輸?shù)幕贗PSec的L2TP數(shù)據(jù)包格式。1）L2TP封裝初始PPP有效載荷如IP數(shù)據(jù)報(bào)、IPX數(shù)據(jù)報(bào)或NetBEUI幀等首先經(jīng)過PPP報(bào)頭和L2TP報(bào)頭的封裝。2）UDP封裝L2TP幀進(jìn)一步添加UDP報(bào)頭進(jìn)行UDP封裝，在UDP報(bào)頭中，源端和目的端端口號均設(shè)置為1701。3）IPSec封裝基于IPSec安全策略，UDP消息通過添加IPSec封裝安全負(fù)載ESP報(bào)頭、報(bào)尾和IPSec認(rèn)證報(bào)尾（Authtrailer），進(jìn)行IPSec加密封裝。4）IP封裝在IPSec數(shù)據(jù)報(bào)外再添加IP報(bào)頭進(jìn)行IP封裝，IP報(bào)頭中包含VPN客戶機(jī)和服務(wù)器的源端和目的端IP地址。5）數(shù)據(jù)鏈路層封裝數(shù)據(jù)鏈路層封裝是L2TP幀多層封裝的的最后一層，依據(jù)不同的外發(fā)物理網(wǎng)絡(luò)再添加相應(yīng)的數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾。例如，如果L2TP幀將在以太網(wǎng)上傳輸，則用以太網(wǎng)報(bào)頭和報(bào)尾對L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝；如果L2TP幀將在點(diǎn)-點(diǎn)WAN上傳輸，如模擬電話網(wǎng)或ISDN等，則用PPP報(bào)頭和報(bào)尾對L2TP幀進(jìn)行數(shù)據(jù)鏈路層封裝。6）基于IPSec的L2TP隧道化數(shù)據(jù)的解封裝過程在接收到L2TP幀后，L2TP客戶機(jī)或服務(wù)器將做如下解封裝處理：1．處理并去除數(shù)據(jù)鏈路層報(bào)頭和報(bào)尾2．處理并去除IP報(bào)頭3．用IPSecESP認(rèn)證報(bào)尾對IP有效載荷和IPSecESP報(bào)頭進(jìn)行認(rèn)證4．用IPSecESP報(bào)頭對數(shù)據(jù)報(bào)的加密部分進(jìn)行解密5．處理UDP報(bào)頭并將數(shù)據(jù)報(bào)提交給L2TP協(xié)議6．L2TP協(xié)議依據(jù)L2TP報(bào)頭中TunnelID和CallID分解出某條特定的L2TP隧道7．依據(jù)PPP報(bào)頭分解出PPP有效載荷，并將它轉(zhuǎn)發(fā)至相關(guān)的協(xié)議驅(qū)動程序做進(jìn)一步處理L2TP數(shù)據(jù)的封裝具體步驟如下：1．IP數(shù)據(jù)報(bào)、IPX數(shù)據(jù)報(bào)或NetBEUI幀由各自協(xié)議提交給對應(yīng)于VPN連接的虛擬接口。該接口符合網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范NDIS。2．NDIS將數(shù)據(jù)報(bào)提交給NDISWAN，NDISWAN可選擇對數(shù)據(jù)進(jìn)行壓縮處理后，添加PPP報(bào)頭進(jìn)行第一步封裝。該P(yáng)PP報(bào)頭僅含一個(gè)PPP協(xié)議標(biāo)識域，不附加任何幀校正序列FCS或其他標(biāo)記。3．NDISWAN將PPP幀提交給L2TP協(xié)議驅(qū)動程序，該驅(qū)動程序負(fù)責(zé)在PPP幀外添加L2TP報(bào)頭進(jìn)行第二步封裝。在L2TP報(bào)頭中，TunnelID和CallID的組合標(biāo)識了一條隧道。4．L2TP協(xié)議驅(qū)動程序再將封裝后的數(shù)據(jù)報(bào)提交給TCP/IP協(xié)議驅(qū)動程序，并告之驅(qū)動程序，將L2TP數(shù)據(jù)報(bào)作為UDP消息發(fā)送，兩端UDP端口號均為1701。5．TCP/IP協(xié)議驅(qū)動程序?qū)?bào)文添加IP報(bào)頭和UDP報(bào)頭。然后由IPSec對報(bào)文進(jìn)行分析，選擇與之相匹配的安全策略，并在此安全策略的基礎(chǔ)上，給數(shù)據(jù)報(bào)的UDP消息部分添加相應(yīng)的ESP報(bào)頭、報(bào)尾，進(jìn)行IPSec加密、封裝。完成IPSec封裝后，將原先的IP報(bào)頭中協(xié)議字段值設(shè)置為50，同時(shí)將該IP報(bào)頭添加在ESP報(bào)文外。之后，TCP/IP協(xié)議驅(qū)動程序?qū)⒔Y(jié)果報(bào)文提交給撥往本地ISP的撥號連接接口，該接口符合網(wǎng)絡(luò)驅(qū)動程序接口