L2TP 协议提供了对PPP链路层数据包的通道(Tunnel)传输支持,允许二层链路
端点和PPP 会话点驻留在不同设备上并且采用包交换网络技术进行信息交互。

     l2tp组网中,通常包含LAC和LNS,LAC 表示L2TP 访问集中器(L2TP Access Concentrator),是附属在交换网络上的具有PPP 端系统和 L2TP 协议处理能力的设备。LAC 一般是一个网络接入服务器NAS,主要用于通过 PSTN/ISDN网络为用户提供接入服务。LNS 表示L2TP网络服务器(L2TP Network Server ),是PPP 端系统上用于处理L2TP 协议服务器端部分的设备。
LAC 位于LNS 和远端系统(远地用户和远地分支机构)之间,用于在 LNS 和远端
系统之间传递信息包,把从远端系统收到的信息包按照L2TP 协议进行封装并送往
LNS ,将从 LNS 收到的信息包进行解封装并送往远端系统。LAC 与远端系统之间可
以采用本地连接或PPP链路,VPDN 应用中通常为PPP链路。LNS 作为L2TP 隧
道的另一侧端点,是 LAC 的对端设备,是被 LAC 进行隧道传输的PPP 会话的逻辑
终止端点。

      通常L2TP 数据以UDP报文的形式发送。在一个LNS 和LAC 对之间存在着两种类型的连接,一种是隧道(Tunnel)连接,它定义了一个LNS 和LAC 对;另一种会话(Session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每PPp会话过程。在同一对 LAC 和LNS 之间可以建立多个L2TP 隧道,隧道由一个控制连接和一个或多个会话(Session)组成。会话连接必须在隧道建立(包括身份保护、L2TP 版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC 和LNS 之间的一个PPP数据流。控制消息和PPP 数据报文都在隧道上传输。
      L2TP 使用Hello报文来检测隧道的连通性。LAC 和LNS 定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,该会话将被清除。L2TP 中存在两种消息:控制消息和数据消息。控制消息用于隧道和会话连接的建立、维护以及传输控制;数据消息则用于封装 PPP 帧并在隧道上传输。控制消息的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制;而数据消息的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。控制消息和数据消息共享相同的报文头。L2TP 报文头中包含隧道标识符(Tunnel ID)和会话标识符(Session ID)信息,用来标识不同的隧道和会话。隧道标识相同、会话标识不同的报文将被复用在一个隧道上,报文头中的隧道标识符与会话标
识符由对端分配。

      L2TP 协议的特点 
    灵活的身份验证机制以及高度的安全性
L2TP协议本身并不提供连接的安全性,但它可依赖于PPP提供的认证(比如CHAP 、
PAP等),因此具有 PPP 所具有的所有安全特性。L2TP 可与 IPSec 结合起来实现
数据安全,这使得通过 L2TP 所传输的数据更难被***。L2TP 还可根据特定的网络
安全要求在L2TP 之上采用通道加密技术、端对端数据加密或应用层数据加密等方
案来提高数据的安全性。 
    多协议传输
L2TP 传输PPP 数据包,这样就可以在 PPP 数据包内封装多种协议。 
    支持RADIUS 服务器的验证
LAC 端将用户名和密码发往RADIUS 服务器进行验证申请,RADIUS 服务器负责接
收用户的验证请求,完成验证。 
    支持内部地址分配
LNS 可放置于企业网的防火墙之后,它可以对远端用户的地址进行动态的分配和管
理,可支持私有地址应用(RFC1918)。为远端用户所分配的地址不是Internet 地
址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。 
    网络计费的灵活性 
可在LAC 和LNS 两处同时计费,即ISP 处(用于产生帐单)及企业网关(用于付
费及审计)。L2TP 能够提供数据传输的出入包数、字节数以及连接的起始、结束时
间等计费数据,可根据这些数据方便地进行网络计费。 
    可靠性
L2TP 协议支持备份LNS ,当一个主LNS 不可达之后,LAC 可以重新与备份LNS
建立连接,这样增加了×××服务的可靠性和容错性。