L2TP协议自身是不支持身份认证和隧道认证的

L2TP协议自身是不支持身份认证和隧道认证的L2TP协议封装PPP协议在LAC和LNS之间建立隧道。L2TP不支持pap和ChapPPP协议支持隧道认证，使用pap或chap。上图可见LCP连接建立是通过PPP完成 在 LAC（L2TP访问集中器L2TP Access Concentrator）侧的链路层将用户数据报文作为PPP封装，然后传递给L2TP协议，L2TP再封装成UDP报文，UDP再次封装成可以在Internet上传输的IP报文。此时的结果就是IP报文中又有IP报文，但两个IP地址不同，一般用户报文的IP地址是私有地址，而LAC上的IP地址为公有地址，至此完成了VPN的私有数据的封装。在LNS（L2TP网络服务器L2TP Network Server）侧，收到L2TP/VPN的IP报文后将IP 、UDP、L2TP报文头去掉后就恢复了用户的PPP报文，将PPP报文头去掉就可以得到IP报文，至此用户IP数据报文得到，从而实现用户IP数据的透明隧道传输，而且整个PPP报头在传递的过程中也保持不变。这也验证了L2TP是一个二层VPN隧道协议！L2TP在运用身份认证和隧道认证时容易混淆是应为L2TP要能够很好的工作，是需要多种协议支持的，下面通过数据包的格式就可以看出。T：消息类型，1bit。Length：长度字段出现，1bit，可选。S：序列号出现，1bit。O：偏移字段出现，1bit。P：优先权，1bit。这一特征只是对数据消息而言，控制消息都必须设置这一位。如果设置了这一位，则在本地排队和传输中将优先处理这个数据消息。Version：4bits。指明L2TP协议的版本，必须被设置为2。保留值1用作允许对L2F数据包的检测，判断是否与L2TP数据包一起到达。当接收到一个版本值未知的数据包时，必须丢弃这个数据包。Length：16bits。指明消息的总长度，用字节表示。TunnelID：16bits。指明控制连接的标识符。L2TP遂道由只有本地意义的标识符命名；即，同一隧道在隧道的每一端都有不同的TunnelIDs。每一个消息中的TunnelID都是预定接收者而不是发送者的TunnelID。在隧道创建期间，TunnelIDs的选择和交换都是作为AssignedTunnelIDAVPs（Attribute-ValuePair）进行的。SessionID，16bits。指明一个隧道内的一次会话的标识符。L2TP会话由只有本地意义的标识符命名；即，同一个会话在会话的每一端有不同的SessionIDs。每一个消息中的TunnelID都是预定接收者而不是发送者的SessionID。在会话创建期间，SessionIDs的选择和交换都是作为AssignedSessionIDAVPs进行的。Ns：16bits，可选。指明数据消息或控制消息的序列号。从0开始每发送一个消息加1。Nr：16bits，可选。OffsetSize：16bits，可选。如果出现，则指定了L2TP报头之后的字节数，因为载荷数据从这里开始（即载荷数据的字节数）。如果offset字段出现，则L2TPheader在offsetpadding的最后一个字节之后结束。OffsetPad：偏移填充，可变长度，可选。Data：可变长度。由此可见：L2TP协议字段中并没有出现任何密钥交换字