大连海事大学计费系统整体方案

1、大连海事大学方案介绍大连海事大学方案介绍 1 1PPPOE 概述概述 .3 1.1技术背景.3 1.2技术优点.3 1.3PPPOE 技术实现方案.4 1.3.1PPPoE组网结构.4 1.3.2PPPoE报文格式.5 1.4PPPOE 工作过程.6 1.4.1Discovery阶段.7 1.4.2Session阶段.8 1.4.3Terminate阶段.9 2 2QINQ 概述概述.10 2.1QINQ 的产生背景 .10 2.2QINQ 的作用及原理 .10 2.3QINQ 的报文结构 .11 2.4QINQ 的实现方式 .12 3BRAS 应用简介应用简介.12 3.1MX960 应用于

2、以太网环境.14 3.2企业和集团用户.14 3.3小区和住宅用户.15 4大连海事大学部署方案大连海事大学部署方案.16 4.1方案整体介绍.16 4.2PPPOE 拨号实现过程.18 4.3L2TP 应用 .20 4.3.1L2TP协议背景.20 4.3.2L2TP协议结构.20 4.3.3隧道和会话.21 4.3.4控制消息和数据消息.21 4.3.5L2TP 部署.22 1 1PPPoE概述概述 1.11.1技术背景技术背景 人们想通过相同的接入设备来连接到远程站点上的多个主机，同时接入设备能够提供 与拨号上网类似的访问控制和计费功能。在众多的接入技术中，把多个主机连接到接入设 备的最

3、经济的方法就是以太网，而 PPP 协议可以提供良好的访问控制和计费功能，于是产 生了在以太网上传输 PPP 的方法，即 PPPoE。 PPPoE 协议的提出解决了用户上网收费等实际应用问题，得到了宽带接入运营商的认 可并广为采用。 1.21.2技术优点技术优点 对于用户来说，PPPoE 的优点如下： 沿袭传统的拨号上网方式，依旧使用他们熟悉的硬件以及类似的软件进 行 Internet 的接入。 兼容现有的所有 xDSL Modem，不需要对客户端的 xDSL Modem 进行复 杂的配置。 使用以太网网卡连接 PC 和 xDSL Modem，允许多台 PC 同时共享 xDSL 线路，可以节约用

4、户投资。 对于运营商来说，PPPoE 的优点如下： 运营商可以通过数字用户线、电缆调制解调器或无线连接等方式提供支 持多用户的宽带接入服务。 运营商可以利用可靠和熟悉的技术来加速部署高速互联网业务，对现有 网络部署影响小。 运营商可以通过访问控制功能对用户的身份进行确认，通过计费功能对 用户进行计费，同时对用户的网络行为进行监控，保证了网络安全。 终端用户可同时接入多个运营商，这种动态服务选择的功能可以使运营 商容易创建和提供新的业务。 1.3 PPPoE 技术实现方案技术实现方案 1.3.1 PPPoE 组网结构组网结构 PPPoE 使用 Client/Server 模型，PPPoE 的客户

5、端为 PPPoE Client，PPPoE 的服务器端 为 PPPoE Server。PPPoE Client 向 PPPoE Server 发起连接请求，两者之间会话协商通过后， PPPoE Server 向 PPPoE Client 提供接入控制、认证等功能。 根据 PPP 会话的起止点所在位置的不同，有两种组网结构： 第一种方式在设备之间建立 PPP 会话，所有主机通过同一个 PPP 会话传送数据，主机 上不用安装 PPPoE 客户端拨号软件，一般是一个企业（公司）共用一个账号（图中 PPPoE Client 位于企业/公司内部，PPPoE Server 是运营商的设备） 。 图 1 P

6、PPoE 组网结构图 1 第二种部署方式，PPP 会话建立在 Host 和运营商的路由器之间，为每一个 Host 建立 一个 PPP 会话，每个 Host 都是 PPPoE Client，每个 Host 一个帐号，方便运营商对用户进 行计费和控制。Host 上必须安装 PPPoE 客户端拨号软件。 Modem Modem RAS tylerRouters paul ISP1 ISP2 PPP Session RADIUS RADIUS 图 2 PPPoE 组网结构图 2 1.3.2 PPPoE 报文格式报文格式 PPPoE 报文的格式就是在以太网帧中携带 PPP 报文，如图 3 所示。 图 3

7、 报文格式 各个字段解释如下： Destination_address 域：一个以太网单播目的地址或者以太网广播地址 （0 xffffffff） 。对于 Discovery 数据包来说，该域的值是单播或者广播地址，PPPoE Client 寻 找 PPPoE Server 的过程使用广播地址，确认 PPPoE Server 后使用单播地址。对于 Session 阶段来说，该域必须是 Discovery 阶段已确定的通信对方的单播地址。 Source_address 域：源设备的以太网 MAC 地址。 Ether_type：设置为 0 x8863（Discovery 阶段或拆链阶段）或者 0 x

8、8864（Session 阶段） 。 Ver 域：4bits，PPPoE 版本号，值为 0 x1。 Type 域：4bits，PPPoE 类型，值为 0 x1。 Code 域：8bits，PPPoE 报文类型。Code 域为 0 x00，表示会话数据。Code 域为 0 x09，表示 PADI 报文；Code 域为 0 x07，表示 PADO 或 PADT 报文；Code 域为 0 x19，表 示 PADR 报文；Code 域为 0 x65，表示 PADS 报文。报文的具体情况请参见附录部分。 Session_ID 域：16bits，对于一个给定的 PPP 会话，该值是一个固定值，并且与 以太

9、网 Source_address 和 Destination_address 一起实际地定义了一个 PPP 会话。值 0 xffff 为 将来的使用保留，不允许使用。 Length 域：16bits，定义 PPPoE 的 Payload 域长度。不包括以太网头部和 PPPoE 头部的长度。 1.4 PPPoE 工作过程工作过程 PPPoE 的协商过程如图 4 所示： 图 4 PPPoE 协商过程 PPPoE 可分为三个阶段，即 Discovery 阶段、Session 阶段和 Terminate 阶段。 1.4.1 Discovery 阶段阶段 Discovery 阶段由四个过程组成。完成之后

10、通信双方都会知道 PPPoE 的 Session_ID 以 及对方以太网地址，它们共同确定了唯一的 PPPoE Session。 Copyright 2002, Juniper Networks, Inc. Life of a Packet - PPPoE Discovery Stage DSL Modem DSLAM ATM Switch diane tim ATM ISP2 ISP1 ISP2 MX960 MAC=X MAC=A DA=FF SA=A Type=Disc PPP Services PPPoE Active Discovery Initiation PADI PPPoE Ac

11、tive Discovery Offer PADO DA=A SA=X Type=Disc PPP SessionID= 0000 PPPoE Active Discovery Request PADR DA=X SA=A Type=Disc PPP SessionID= 0000 PPPoE Active Discovery Session Confirmation PADS DA=A SA=X Type=Disc PPP SessionID= 1234 U (1) PPPoE Client 广播发送一个 PADI 报文，在此报文中包含 PPPoE Client 想要得 到的服务类型信息。

12、(2) 所有的 PPPoE Server 收到 PADI 报文之后，将其中请求的服务与自己能够提供 的服务进行比较，如果可以提供，则单播回复一个 PADO 报文。 (3) 根据网络的拓扑结构，PPPoE Client 可能收到多个 PPPoE Server 发送的 PADO 报文，PPPoE Client 选择最先收到的 PADO 报文对应的 PPPoE Server 做为自己的 PPPoE Server，并单播发送一个 PADR 报文。 (4) PPPoE Server 产生一个唯一的会话 ID（SESSION ID） ，标识和 PPPoE Client 的 这个会话，通过发送一个 PADS

13、 报文把会话 ID 发送给 PPPoE Client，如果没有错误，会话 建立后便进入 PPPoE Session 阶段。 1.4.2 Session 阶段阶段 PPPoE Discovery 阶段的工作为 PPPoE Client 和 PPPoE 之间建立了 Session，之后 PPPoE 便进入了 Session 阶段，Session 阶段可划分为两部分，一是 PPP 协商阶段，二是 PPP 报文传输阶段。 PPPoE Session 上的 PPP 协商和普通的 PPP 协商方式一致，分为 LCP、认证、NCP 三 个阶段。 Copyright 2002, Juniper Network

14、s, Inc. DSL Modem DSLAM ATM Switch diane tim ATM ISP2 ISP1 ISP2 MX960 MAC=X MAC=A PPP LCP DA=X SA=A Type=PPP PPP SessionID= 1234 PPP LCP DA=A SA=X Type=PPP PPP SessionID= 1234 Life of a Packet - PPPoE PPP Session Stage PPP data sent like any other PPP session. U (1) LCP 阶段主要完成建立、配置和检测数据链路连接。 (2) LCP

15、 协商成功后，开始进行认证工作，认证协议类型由 LCP 协商结果（CHAP 或者 PAP）决定。 (3) 认证成功后，PPP 进入 NCP 阶段，NCP 是一个协议族，用于配置不同的网络 层协议，常用的是 IP 控制协议（IPCP） ，它负责配置用户的 IP 和 DNS 等工作。 PPPoE Session 的 PPP 协商成功后，其上就可以承载 PPP 数据报文。 在 PPPoE Session 阶段所有的以太网数据包都是单播发送的。 1.4.3 Terminate 阶段阶段 PPP 通信双方应该使用 PPP 协议自身（比如 PPP 终结报文）来结束 PPPoE 会话，但在 无法使用 PPP

16、 协议结束会话时可以使用 PADT 报文。 进入 PPPoE Session 阶段后，PPPoE Client 和 PPPoE Server 都可以通过发送 PADT 报 文的方式来结束 PPPoE 连接。PADT 数据包可以在会话建立以后的任意时刻单播发送。在 发送或接收到 PADT 后，就不允许再使用该会话发送 PPP 流量了，即使是常规的 PPP 结束 数据包也不允许发送。 2 2 QinQ 概述概述 2.12.1 QinQ 的产生背景的产生背景 IEEE802.1Q 中定义的 VLAN Tag 域中只有 12 个比特位用于表示 VLAN ID，所以设备 最多可以支持 4094 个 VL

17、AN。在实际应用中，尤其是在城域网中，需要大量的 VLAN 来 隔离用户，4094 个 VLAN 远远不能满足需求。 2.2 QinQ 的作用及原理的作用及原理 设备提供的端口 QinQ 特性是一种简单、灵活的二层 VPN 技术，它通过在运营商网络 边缘设备上为用户的私网报文封装外层 VLAN Tag，使报文携带两层 VLAN Tag 穿越运营 商的骨干网络（公网） 。 在公网中，设备只根据外层 VLAN Tag 对报文进行转发，并将报文的源 MAC 地址表 项学习到外层 Tag 所在 VLAN 的 MAC 地址表中，而用户的私网 VLAN Tag 在传输过程中 将被当作报文中的数据部分来进行

18、传输。 QinQ 特性使得运营商可以用一个 VLAN 为含有多个 VLAN 的用户网络服务。如图 1- 1 所示，用户网络 A 的私网 VLAN 为 VLAN 110，用户网络 B 的私网 VLAN 为 VLAN 120。运营商为用户网络 A 分配的 VLAN 为 VLAN 3，为用户网络 B 分配的 VLAN 为 VLAN 4。当用户网络 A 的带 VLAN Tag 的报文进入运营商网络时，报文外面会被封装上 一层 VLAN ID 为 3 的 VLAN Tag；当用户网络 B 的带 VLAN Tag 的报文进入运营商网络 时，报文外面会被封装上一层 VLAN ID 为 4 的 VLAN Ta

19、g。这样，不同用户网络的报文在 公网传输时被完全分开，即使两个用户网络的 VLAN 范围存在重叠，在公网传输时也不会 产生混淆。 图 1-1 QinQ 功能示意图 QinQ 特性使网络最多可以提供 4094X4094 个 VLAN，满足城域网对 VLAN 数量的需 求，它主要解决了如下几个问题： 缓解日益紧缺的公网 VLAN ID 资源问题。 用户可以规划自己的私网 VLAN ID，不会导致和公网 VLAN ID 冲突。 为小型城域网或企业网提供一种较为简单的二层 VPN 解决方案。 2.3 QinQ 的报文结构的报文结构 QinQ 报文在公网传输时带有双层 VLAN Tag，内层 VLAN

20、Tag 为用户私网 VLAN Tag，外层 VLAN Tag 为运营商分配给用户的 VLAN Tag，报文结构如图 1-2 所示。 图 1-2 QinQ 的报文结构 2.4 QinQ 的实现方式的实现方式 QinQ 可分为两种：基本 QinQ 和灵活 QinQ。 (1) 基本 QinQ 基本 QinQ 是基于端口方式实现的。开启端口的基本 QinQ 功能后，当该端口接收到报 文，设备会为该报文打上本端口缺省 VLAN 的 VLAN Tag。如果接收到的是已经带有 VLAN Tag 的报文，该报文就成为双 Tag 的报文；如果接收到的是不带 VLAN Tag 的报文， 该报文就成为带有端口缺省

21、VLAN Tag 的报文。 (2) 灵活 QinQ 灵活 QinQ 是对 QinQ 的一种更灵活的实现，它是基于端口与 VLAN 相结合的方式实 现的。除了能实现所有基本 QinQ 的功能外，对于同一个端口接收的报文还可以根据不同 的 VLAN 做不同的动作，可以实现以下功能： 为具有不同内层 VLAN ID 的报文添加不同的外层 VLAN Tag。 根据报文的原有内层 VLAN 的 802.1p 优先级标记外层 VLAN 报文的 802.1p 优先级。 可以在添加外层 VLAN Tag 的同时对内层用户 VLAN ID 进行修改。 3 BRAS 应用简介应用简介 MX960 是一款具有线速转

22、发的高性能和多业务支持能力的边缘产品。它在网络中的主 要作为 BRAS（宽带远程接入服务器）来对用户进行认证，计费，管理；同时提供高性能 的边缘路由功能，比如强大的 VPN 支持。 MX960 的特点在于它在运营商的网络上引入了具有业务生成和业务管理能力的运营平 台。一个可运营的网络是盈利的前提。MX960 的作用就在于使得现有网络真正可以成为可 运营和可盈利的网络。 MX960 具有不同规格的产品，其中包括：MX960，MX480，MX240。这个产品系列 涵盖从 480G，1.4Tbps，2.6Tbps 的各种容量，以适应不同网络规模的需要。其中应用的最 多的为 MX960 MX960 是

23、一个综合的接入管理平台，可以同时对以太网集团用户，以太网小区用户， DSL 集团用户，DSL 小区用户，传统专线用户等多种接入用户进行管理。MX960 支持当 前最为成熟，应用最为广泛的 PPP 方式。MX960 为运营商提供了丰富多彩的运营方式。 MX960 的系统设计采用分布式处理结构和业界领先的设计理念，做到了转发 Internet 短包时的线速性能。并且在对每个用户加载策略的情况下，仍然能够做到对每个数据包进 行线速的转发。 MX960 不仅可以满足现在的网络对汇聚设备或者说边缘设备的要求，并且充分考虑到 了未来下一代网络的要求。MX960 支持多队列，可以对高优先级的数据包进行优先转

24、发， 而且还可以根据数据包的协议类型，端口号等信息，对语音，视频等要求实时传送的数据 流优先处理，并打上高优先级的标签，便于骨干核心路由器进行适当的处理。MX960 支持 Diffserv，支持 MPLS，支持多 QoS 队列，满足了 NGN（下一代网络）对 IP 网设备的要求。 在现在的网络中部署 MX960，方便了运营商向集成了语音、数据、视频等所有业务的下一 代网络平滑演进。 3.1 MX960 应用于以太网环境应用于以太网环境 如上图所示，是 MX960 在以太网环境下的应用情况。企业用户通过楼内以太网上连 到运营商的接入层交换机，通过上一级交换机进行汇聚，最终通过 MX960 进入到

25、核心网 络。对于企业和集团用户来讲，他们所属于的 VLAN 将终结在 MX960 上。对于个人和住 宅用户，首先通过小区内局域网，上连到运营商接入交换机，再通过上一级交换机进行汇 聚，通过 MX960 访问 Internet。小区和个人用户的 PPP 回话，终结在 MX960 上。 ERX 对接入层若干大楼和小区进行汇聚，然后通过千兆等高速接口上连到核心以太网 交换机或者核心路由器。 3.2 企业和集团用户企业和集团用户 对于企业和集团用户，一般不会采用按时长收费的以太网接入方式，往往采用包月或 者按照流量的收费方式。由于以太网的带宽共享性，集团用户无法得知其可以享受的带宽 是否是运营商所承诺

26、的带宽，于是很多集团用户提出了按照流量计费的要求，尤其对于一 些中小集团用户，计流量的要求更为迫切。此时，ERX 就将实现对每个集团用户出口统计 流量的功能，从而提高客户的满意度。 另外，集团用户对服务质量有着较高的要求。一般的以太网交换机产品无法对某些用 户采取 QoS 策略，例如用户的带宽控制，带宽承诺等。即便有些以太网交换机具有类似的 功能，但是由于以太网交换机数量比较大，分布比较分散。如果在这种量大，分布广的设 备上来实现诸如 QoS 保证等服务，将对运营商的网络维护能力提出非常大的挑战。可以说， 在如此分布的设备上实现复杂的业务，基本是不可行的。此时，MX960 将在汇聚的层面上，

27、对每个集团用户的端口加载策略，并实现相应的 QoS 要求。 企业用户对安全性有较高的要求，不同用户之间必然要通过 VLAN 将其进行隔离。 MX960 此时的作用在于，首先，终结 VLAN，按照虚拟端口对企业用户进行区分。在虚拟 端口上实现 ACL，对流入和流出企业的流量进行控制。例如，不允许某些用户访问特定的 网站或者网段，等等。这对于整个网络的安全性也是非常必要的。 对于一些大企业用户，往往会提出 VPN 的要求，对于运营商而言，VPN 也将是非常 重要的盈利业务之一。在这种应用中，MX960 的作用在于将企业的 VLAN 端口和其 VPN 互相映射，从而实现所谓的远程局域网互联。 3.3

28、 小区和住宅用户小区和住宅用户 小区和住宅以太网用户接入的盈利是一个经常令运营商头疼的问题。往往是网络铺设 下去了，但是用户的开通率太低，无法达到基本的盈利点。通过一些措施提高了开通率之 后，由于用户的增加，用户之间互相干扰，争抢带宽，互相攻击等问题又会大大的增加网 络维护的投入，结果往往还是入不敷出。ERX 在这种环境中的作用，就是在于提高用户满 意度以提高开通率，并且对每个用户进行良好的控制和管理，保证每个合法用户的正常上 网。 MX960 支持 PPP 的认证方式，避免了 DHCP 环境下的地址盗用，服务器仿冒等影响 用户上网的问题。由于 DHCP 服务器内嵌在 Windows 2000

29、，Windows NT，Windows XP 等 主流操作系统中，所以，任何一个使用上述操作系统的用户都有可能开启 DHCP 服务器的 功能。无论有意无意，这都将导致同一网络中所有的用户都无法获得正确的和合法的 IP 地 址，从而无法上网。而这种情况，却是运营商所无法控制的。所以，采用以太网进行用户 接入的时候，一定要尽量避免采用 DHCP 的方式来分配 IP 地址。 在 PPP 的方式下，用户和 MX960 之间是面向连接的，具有更好的安全性和可管理性。 由于用户和 MX960 之间是有连接的，那么 MX960 就可以对用户进行个性化的控制，例如， 用户可以自己选择带宽，选择服务优先级等等，

30、同时，运营商可以对不同的服务级别进行 不同的收费。由于 PPP 的面向连接性，MX960 可以通过将 PPP 回话映射到 VPN 的方式来 实现所谓的 VPDN。远程用户可以通过其特定的用户名和密码，通过 MX960 访问到相应 的 VPN。 PPP 具有完善的 Keep alive （session time out, idle time out）功能，可以随时检测到用 户断网或者死机等情况，及时停止计费。如果不是面向连接的协议，那么很难对网络故障 或者终端故障进行检测。例如基于 Web 方式的认证，就是没有连接的，此时，服务器端很 难知道用户是否断网。当然，这里也有一些办法来解决，但都是要

31、牺牲安全性的解决方法。 例如，在网页中内嵌一个 JAVA 程序，来和服务器端握手。这种方法当然可以解决 Keep alive 的问题，但是，用户的防火墙或者安全策略必须允许嵌在网页中的 JAVA 脚本程序运 行，这就为黑客提供了一个再方便不过的漏洞。 采用 PPP 方式可以对用户 IP 地址进行动态分配，并且，采用 PPP 来进行 IP 地址动态 分配比 DHCP 具有更好的可控制性和可靠性。 MX960 支持组播，并且由于在 PPP 的方式下，组播流是在 MX960 上进行复制,如果不 采用 PPP，那么组播流为了达到最高效率，也许最终要在三层以太网交换机上进行复制。 在这种情况下，组播的效

32、率会高一些，相对而言，得不偿失。 4 大连海事大学部署方案大连海事大学部署方案 4.1方案整体介绍方案整体介绍 大连海事大学 PPPoE 部署方案如下图： 3 Copyright 2009 Juniper Networks, Inc. 海海事事大大学学建建议议方方案案：P PP PP PO OE E接接入入方方式式 特点：基于VLAN隔离的用户接入控制，实现按角色进行地址分配和计费。 PPPOE 通通过过Q Q- -i in n- -Q Q实实现现每每用用户户V VL LA AN N 通通过过P PP PP PO OE E实实现现认认证证计计费费 核心网核心网 宿舍区宿舍区 办公区办公区 运运

33、营营商商运运营营商商CERNETCERNET CERNET2CERNET2 互联网区互联网区 数据中心数据中心 Radius server Q-in-QQ-in-Q PPPOE接接入入 源源地地址址策策略略路路由由 NAT+Firewall PPPOE 认认证证流流 数数据据流流 核心 核心采用高性能路由器 PPPOE 接入方式，核心路由器终结 PPPOE 和 QinQ 通过 Domain-map 实现不同的 Domain 进入不同的 VR，实现不同的 IP 地址分配 汇聚 汇聚采用高性能交换机 为每一台接入交换机封装不同的第二层标签，汇聚交换机实现 QinQ 封装 接入 每用户一个 VLAN

34、，标记第一层标签，支持 Trunk 上联 Rudius 用户采用 pppoe 拨号，Rudius 服务器根据用户名密码分配不同属性 Rudius 返回 Framed-pool 属性，决定分配 IP 地址 IPv6 支持 核心路由器和汇聚交换机双栈转发 对于 PPPOE 用户，通过核心路由器动态分配 IPv6 地址 对于 VLAN 用户，可以通过核心路由器或者汇聚交换机 ND 协议动 态分配地址 组播 三层网络运行组播路由协议 核心和汇聚运行 IGMP 协议 对于 PPPOE 用户，组播复制选择在核心路由器完成 对于 VLAN 用户，可以选择在核心或者汇聚进行组播复制 4.2PPPoE 拨号实现

35、过程拨号实现过程 5 Copyright 2009 Juniper Networks, Inc. PPPoE拨拨号号过过程程（一一） Radius server 学生通过电脑上的PPPoE拨 号软件进行拨号。 接入交换机为每个用户配置 一个VLAN，认证流到达接入 交换机后封装第一层TAG。 学生通过 PC 机的 PPPOE 拨号软件进行拨号。 接入交换机配置 Access 模式，为不同用户配置不同的 VLAN。 接入交换机实现第一层 TAG 封装 6 Copyright 2009 Juniper Networks, Inc. PPPoE拨拨号号过过程程（二二） Radius server 接

36、入交换机上联配置Trunk。 汇聚交换机配置QinQ。 认证流到达汇聚交换机后封 装第二层TAG Q-in-Q PPPOE接接入入 接入交换机上联口配置 Trunk 模式。 汇聚交换机配置 QinQ。 认证流到达汇聚交换机后封装第二层 TAG。 7 Copyright 2009 Juniper Networks, Inc. PPPoE拨拨号号过过程程（三三） Radius server Radius Server根据用户名 密码返回给BRAS Framed- pool属性，分配地址 。 BRAS实现按角色进行地址 分配和计费 Q-in-Q PPPOE接接入入 BRAS 终结 PPPoE 和 Q

37、inQ Radius Server 根据用户名密码返回给 BRAS Framed-pool 属性 。 BRAS 实现按角色进行地址分配和计费 8 Copyright 2009 Juniper Networks, Inc. PPPoE拨拨号号过过程程（四四） Radius server 用户通过认证后，可以连通 访问Internet。 Q-in-Q PPPOE接接入入 用户通过认证后可以访问 Internet。 4.3L2TP 应用应用 4.3.1 L2TP 协议背景协议背景 PPP 定义了一种封装技术，可以在二层的点到点链路上传输多种协议数据包，当用户 与 NAS 之间运行 PPP 协议时，二

38、层链路端点与 PPP 会话点驻留在相同硬件设备（NAS） 上。 L2TP（RFC 2661）是一种对 PPP 链路层数据包进行隧道传输的技术，允许二层链路 端点（LAC）和 PPP 会话点（LNS）驻留在通过分组交换网络连接的不同设备上，从而扩 展了 PPP 模型，使得 PPP 会话可以跨越帧中继或 Internet 等网络。 L2TP 结合了 L2F 和 PPTP 的各自优点，成为 IETF 有关二层隧道协议的工业标准。 4.3.2 L2TP 协议结构协议结构 图 2 描述了控制通道以及 PPP 帧和数据通道之间的关系。PPP 帧在不可靠的 L2TP 数 据通道上进行传输，控制消息在可靠的 L2TP 控制通道内传输。 图 2 L2TP 协议结构 图 3 描述了 LAC 与 LNS 之间的 L2TP 数据报文的封装结构。通常 L2TP 数据以 UDP 报文的形式发送。L2TP 注册了 UDP 17