L2TP over IPSec，即先用L2TP封裝報文再用IPSec封裝，這樣可以綜合兩種VPN的優勢，通過L2TP實現用戶驗證和地址分配，并利用IPSec保障通信的安全性。L2TP over IPSec既可以用于分支接入總部，也可以用于出差員工接入總部。

分支接入總部網絡的L2TP over IPSec的工作原理如圖1所示。

圖1 L2TP over IPSec報文封裝和隧道協商過程

報文在隧道中傳輸時先進行L2TP封裝再進行IPSec封裝。IPSec封裝過程中增加的IP頭即源地址為IPSec網關應用IPSec安全策略的接口IP地址，目的地址即IPSec對等體中應用IPSec安全策略的接口IP地址。

IPSec需要保護的是從L2TP的起點到L2TP的終點數據流。L2TP封裝過程中增加的IP頭即源IP地址為L2TP起點地址，目的IP地址為L2TP終點的地址。分支接入總部組網中L2TP起點地址為LAC出接口的IP地址，L2TP終點的地址為LNS入接口的IP地址。

由于L2TP封裝時已經增加了一個公網IP頭，而隧道模式跟傳輸模式相比又多增加了一個公網IP頭，導致報文長度更長，更容易導致分片。所以推薦采用傳輸模式L2TP over IPSec。

出差用戶遠程接入總部網絡的組網中L2TP over IPSec的協商順序和報文封裝順序跟分支接入總部網絡的組網中的協商順序和報文封裝順序是一樣的。所不同的是出差用戶遠程接入總部網絡的組網中，用戶側的L2TP和IPSec封裝是在客戶端上完成的。L2TP起點的地址為客戶端將要獲取的內網地址，此地址可以是LNS上配置的IP地址池中的任意地址。L2TP終點地址為LNS入接口的地址。

華為交換機忘記密碼、修改密碼、重置密碼

【華為】某中小型企業網 組網案例—總公司+分公司模式

juniper網絡設備如何開cas？非常簡單！

山石網科Hillstone防火墻基礎上網配置_CLI命令行（最新版

山石網科Hillstone防火墻雙機熱備HA AA主主模式詳細配置步驟（官方最新版）

審核編輯：劉清