L2TP over IPSec，即先用L2TP封裝報(bào)文再用IPSec封裝，這樣可以綜合兩種VPN的優(yōu)勢，通過L2TP實(shí)現(xiàn)用戶驗(yàn)證和地址分配，并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入總部，也可以用于出差員工接入總部。

分支接入總部網(wǎng)絡(luò)的L2TP over IPSec的工作原理如圖1所示。

圖1 L2TP over IPSec報(bào)文封裝和隧道協(xié)商過程

報(bào)文在隧道中傳輸時(shí)先進(jìn)行L2TP封裝再進(jìn)行IPSec封裝。IPSec封裝過程中增加的IP頭即源地址為IPSec網(wǎng)關(guān)應(yīng)用IPSec安全策略的接口IP地址，目的地址即IPSec對(duì)等體中應(yīng)用IPSec安全策略的接口IP地址。

IPSec需要保護(hù)的是從L2TP的起點(diǎn)到L2TP的終點(diǎn)數(shù)據(jù)流。L2TP封裝過程中增加的IP頭即源IP地址為L2TP起點(diǎn)地址，目的IP地址為L2TP終點(diǎn)的地址。分支接入總部組網(wǎng)中L2TP起點(diǎn)地址為LAC出接口的IP地址，L2TP終點(diǎn)的地址為LNS入接口的IP地址。

由于L2TP封裝時(shí)已經(jīng)增加了一個(gè)公網(wǎng)IP頭，而隧道模式跟傳輸模式相比又多增加了一個(gè)公網(wǎng)IP頭，導(dǎo)致報(bào)文長度更長，更容易導(dǎo)致分片。所以推薦采用傳輸模式L2TP over IPSec。

出差用戶遠(yuǎn)程接入總部網(wǎng)絡(luò)的組網(wǎng)中L2TP over IPSec的協(xié)商順序和報(bào)文封裝順序跟分支接入總部網(wǎng)絡(luò)的組網(wǎng)中的協(xié)商順序和報(bào)文封裝順序是一樣的。所不同的是出差用戶遠(yuǎn)程接入總部網(wǎng)絡(luò)的組網(wǎng)中，用戶側(cè)的L2TP和IPSec封裝是在客戶端上完成的。L2TP起點(diǎn)的地址為客戶端將要獲取的內(nèi)網(wǎng)地址，此地址可以是LNS上配置的IP地址池中的任意地址。L2TP終點(diǎn)地址為LNS入接口的地址。

華為交換機(jī)忘記密碼、修改密碼、重置密碼

【華為】某中小型企業(yè)網(wǎng) 組網(wǎng)案例—總公司+分公司模式

juniper網(wǎng)絡(luò)設(shè)備如何開cas？非常簡單！

山石網(wǎng)科Hillstone防火墻基礎(chǔ)上網(wǎng)配置_CLI命令行（最新版

山石網(wǎng)科Hillstone防火墻雙機(jī)熱備HA AA主主模式詳細(xì)配置步驟（官方最新版）

審核編輯：劉清