Соединения L2TP, которые иногда называются виртуальными линиями, - это сравнительно недорогой способ подключения удаленных пользователей, при котором IP-адресами удаленных пользователей управляет корпоративная система, подключенная к сети. С помощью средств защиты IP (IPSec) можно обеспечить защиту данных, передаваемых по соединениям L2TP.
Протокол L2TP поддерживает туннели двух типов: обязательные и необязательные. Основное различие между этими туннелями состоит в том, какая система играет роль конечной точки туннеля. Конечной точкой необязательного туннеля является удаленный клиент, а конечной точкой обязательного туннеля - провайдер услуг Internet (ISP).
В случае обязательного туннеля L2TP удаленный хост устанавливает соединение со своим провайдером Internet (ISP). После этого ISP устанавливает соединение L2TP между удаленным пользователем и корпоративной сетью. При этом пользователь может самостоятельно выбрать необходимые средства защиты данных, предоставляемые функцией VPN. Для применения обязательного туннеля провайдер Internet должен поддерживать протокол LT2P.
В случае необязательного туннеля L2TP соединение устанавливается удаленным пользователем. Обычно для этого применяется клиент туннелей L2TP. Удаленный пользователь отправляет пакеты L2TP своему ISP, который пересылает их в корпоративную сеть. Для применения необязательного туннеля не требуется, чтобы провайдер Internet поддерживал протокол L2TP. В сценарии Защита необязательного туннеля L2TP с помощью приведен пример настройки соединения между сервером, принадлежащим филиалу фирмы, и корпоративной сетью. Соединение устанавливается через шлюз системы и туннель L2TP, защищенный с помощью VPN.
Вы можете просмотреть визуальное представление концепции необязательного туннеля L2TP, защищенного с помощью IPSec. Для этого необходим Встраиваемый модуль Flash. Вы также можете просмотреть эту презентацию в формате HTML.
Протокол L2TP является версией протокола инкапсуляции IP. При передаче данных по туннелю L2TP кадр L2TP помещается в пакет UDP, который, в свою очередь, помещается в пакет IP. В качестве адресов отправителя и получателя этого пакета указываются конечные точки соединения. Для защиты составного пакета IP могут применяться протоколы IPSec. С их помощью можно обеспечить защиту данных, передаваемых по туннелю L2TP. При работе с таким соединением можно напрямую применять протоколы AH, ESP и IKE.