WO2015131609A1 - 一种实现L2TP over IPsec接入的方法 - Google Patents

Abstract

一种实现L2TP over IPsec接入的方法，应用于LNS，包括：在与L2TP over IPsec用户进行IKE协商过程中确定存在NAT设备时，将用户的私网IP地址和经过NAT转换后的公网IP地址作为安全策略库的索引；接收入向IPsec加密报文并进行解密，在确定报文为L2TP报文且经过了NAT设备时，对用户的私网IP地址进行保存；向L2TP over IPsec接入用户发送L2TP报文前，如查找到用户的私网IP地址，则用用户的私网IP地址和报文的目的IP地址作为索引去匹配安全策略库。

Description

一种实现L2TP over IPsec接入的方法 技术领域

本发明涉及通信技术领域，尤其涉及的是一种实现L2TP over IPsec接入的方法和L2TP网络服务器(L2TP Network Server，LNS)。

背景技术

IPsec(Internet协议安全性)是IETF(Internet Engineering Task Force，Internet工程任务组)的IPsec小组建立的一组IP安全协议集。IPsec定义了在网络层使用的安全服务，其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。

L2TP(二层隧道协议)作为一种移动用户接入企业内部网络的方法被广泛应用。但L2TP本身不提供对数据的加密保护，报文在网络的传递过程中容易被窃取和篡改。所以在实际的应用中，通常用IPsec来保护L2TP的协商和用户数据。

在实际的网络环境中，会存在NAT(Network Address Translation，网络地址转换)设备，NAT与IPsec存在兼容性问题。在穿越NAT时，NAT设备需要修改报文的传输层端口号来复用公网IP地址。当报文被IPsec保护时，该操作无法进行。IETF定义了一种IPsec报文的UDP封装方式，其主要设计思想是在IPsec头部之前封装端口号为4500的UDP包头，用于帮助IPsec报文穿越NAT设备。

IPsec对报文的封装有两种模式，隧道模式和传输模式。隧道模式对IP头部和有效负载进行加密，并在之前新增一个IP头部的封装。传输模式保留原有的IP头部，只对有效负载部分进行加密。L2TP over IPsec使用的是传输模式。

如图1所示，L2TP网络服务器(L2TP Network Server，LNS)与多个CPE(Customer Premise Equipment，客户终端设备)下的UE建立L2TP over IPsec连接，不同的CPE可能具有相同的私网地址空间。在CPE设备上进行NAT 处理，将私网IP转换成公网IP。

如图2所示，报文在CPE设备上进行NAT处理后，不同的私网IP会被转换成相同的公网IP。这样的报文到达LNS，IPsec头部被解封装后，不同的UE的L2TP报文的三层和四层特征可能是一样的，LNS无法区分。比如，对于同一个CPE下的两个用户设备：UE1(IP4)和UE2(IP5)，IPsec处理前，UE1的IP头部(IP Head1)包括：IP1(目标IP地址)和IP4(源IP地址)，UE2的IP头部(IP Head1)包括：IP1(目标IP地址)和IP5(源IP地址)；IPsec处理后，IP头部保持不变，经过NAT转换后，UE1和UE2的IP头部(IP Head1)变为新的IP头部(IP Head2)，其中目的IP地址保持不变(还是IP1)，源IP地址均变为公网IP地址(IP2)。因此，LNS无法区分同一个CPE下的不同用户终端。

发明内容

本发明实施例提供一种实现L2TP over IPsec接入的方法和L2TP网络服务器，能够在存在NAT设备的组网中实现L2TP网络服务器(L2TP Network Server，LNS)对不同L2TP over IPsec接入用户的区分。

一种实现L2TP over IPsec接入的方法，应用于L2TP网络服务器，该方法包括：

在与L2TP over IPsec接入用户进行互联网密钥交换(IKE)协商过程中确定用户侧存在网络地址转换(NAT)设备时，将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引；

接收入向IPsec加密报文并进行解密，在确定所述入向IPsec加密报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存；

向所述用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

可选地，

所述L2TP网络服务器包括IPsec模块和L2TP模块；

接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存，包括：

所述IPsec模块接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时，将所述用户的私网IP地址和解密后的报文一起发送给所述L2TP模块；

所述L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后，对所述用户的私网IP地址进行保存。

可选地，

所述IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块，包括：

所述IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。

可选地，

所述L2TP模块对所述用户的私网IP地址进行保存，包括：所述L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。

可选地，

向L2TP over IPsec接入用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库，包括：

所述L2TP模块向L2TP over IPsec接入用户发送L2TP报文前，从L2TP会话表中读取所述用户的私网IP地址，如果成功读取到，则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块；

所述IPsec模块在接收到所述L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后，用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

一种L2TP网络服务器，包括：

协商装置，其设置为：在与基于网络协议安全性的二层隧道协议(L2TP over IPsec)接入用户进行互联网密钥交换(IKE)协商过程中确定用户侧存在网络地址转换(NAT)设备时，将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引；

入向报文处理装置，其设置为：接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存；

出向报文处理装置，其设置为：向所述用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

可选地，

所述入向报文处理装置和出向报文处理装置均包括IPsec模块和L2TP模块；

所述入向报文处理装置中，

所述IPsec模块设置为：接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时，将所述用户的私网IP地址和解密后的报文一起发送给所述L2TP模块；

所述L2TP模块设置为：在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后，对所述用户的私网IP地址进行保存。

可选地，

cookie和解密后的报文一起发送给L2TP模块。

可选地，

所述L2TP模块是设置为将所述用户的私网IP地址保存在L2TP会话表中。

可选地，

所述出向报文处理装置中，

所述L2TP模块设置为：向L2TP over IPsec接入用户发送L2TP报文前，从L2TP会话表中读取所述用户的私网IP地址，如果成功读取到，则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给所述IPsec模块；

所述IPsec模块设置为：在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后，用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

本发明实施例还提供一种计算机程序，包括程序指令，当该程序指令被L2TP网络服务器执行时，使得该L2TP网络服务器可执行上面所述的方法。

本发明实施例一种存储所述计算机程序的计算机可读存储介质。

本发明实施例能够在存在NAT设备的组网中实现L2TP网络服务器(L2TP Network Server，LNS)对不同L2TP over IPsec接入用户的区分。

附图概述

图1是相关技术中L2TP over IPsec的典型组网图。

图2是相关技术中L2TP报文在经过IPsec和NAT转换前后的IP报文格式。

图3为本发明实施例的一种实现L2TP over IPsec接入的方法的流程图。

图4为本发明实施例的LNS结构示意图。

图5是L2TP over IPsec用户接入的IKE协商流程。

图6是LNS对入向报文进行处理的流程图。

图7是LNS发送出向报文时的流程图。

本发明的较佳实施方式

下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在 不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

如图3所示，本发明实施例提供了一种实现L2TP over IPsec接入的方法，应用于二层隧道协议L2TP网络服务器，该方法包括：

S10，在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时，将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引；

S20，接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存；

S30，向L2TP over IPsec接入用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

其中，IPsec安全策略库是用于指明IP数据报文应该应用于何种安全服务以及如何获取该服务的数据结构。IPsec安全联盟是为安全目的创建的一个安全连接，所有经过同一个安全连接的数据流会得到同样的安全服务。IPsec安全联盟是通过IKE协商协商生成，生成后，IPsec安全策略库的某条记录会指向这个IPsec安全联盟。

其中，步骤S10中还可以包括：

在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧不存在网络地址转换NAT设备时，将所述用户的公网IP地址和L2TP网络服务器的公网IP地址作为IPsec安全策略库的索引；

其中，步骤S20中，接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存，可以包括：

IPsec模块接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时，将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块；

L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后，对所述用户的私网IP地址进行保存；

其中，所述L2TP网络服务器可以包括IPsec模块和L2TP模块；

其中，IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块，包括：

IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。

用户的私网IP作为cookie传递，L2TP模块不感知其中的格式与内容。

其中，L2TP模块对所述用户的私网IP地址进行保存，可以包括：L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。

IPsec模块之所以需要将用户的私网IP地址作为cookie传递给L2TP模块，是因为NAT穿越场景下的L2TP over IPsec用户，是使用用户的私网IP地址和CPE的公网IP(NAT转换后的公网IP地址)作为IPsec安全策略库的索引。当L2TP模块发送出向报文时，需要将用户的私网IP地址发送给IPsec模块，这样IPsec模块才能查找到正确的IPsec安全联盟，获得正确的安全策略去加密出向报文。

步骤S30中，向L2TP over IPsec接入用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库，可以包括：

L2TP模块向L2TP over IPsec接入用户发送L2TP报文前，从L2TP会话表中读取所述用户的私网IP地址，如果成功读取到，则将该用户的私网IP地址和所述L2TP报文一起发送给IPsec模块；

IPsec模块在接收到L2TP模块发送的用户的私网IP地址和L2TP报文后，用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

其中，L2TP模块将所述用户的私网IP地址和L2TP报文一起发送给IPsec模块，可以包括：

L2TP模块将所述用户的私网IP地址作为cookie，和所述L2TP报文一起发送给IPsec模块。

其中，步骤S30还可以包括：向L2TP over IPsec接入用户发送L2TP报 文前，如未查找到所述用户的私网IP地址，则用所述L2TP报文的源IP地址和目的IP地址作为索引去匹配IPsec安全策略库。

其中，步骤S30中，还可以包括：在确定匹配成功后，根据匹配到的IPsec安全联盟对所述L2TP报文进行加密发送。

如图4所示，本发明实施例提供了一种L2TP网络服务器，包括：

协商装置，设置为在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧存在网络地址转换NAT设备时，将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引；

入向报文处理装置，设置为接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存；

出向报文处理装置，设置为向L2TP over IPsec接入用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

其中，所述协商装置，还设置为在与L2TP over IPsec接入用户进行互联网密钥交换IKE协商过程中确定用户侧不存在网络地址转换NAT设备时，将所述用户的公网IP地址和L2TP网络服务器的公网IP地址作为IPsec安全策略库的索引。

其中，所述入向报文处理装置和出向报文处理装置均可以包括IPsec模块和L2TP模块；

IPsec模块接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时，将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块；

L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后，对所述用户的私网IP地址进行保存；

IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。

其中，L2TP模块对所述用户的私网IP地址进行保存，包括：L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。

其中，L2TP模块向L2TP over IPsec接入用户发送L2TP报文前，从L2TP会话表中读取所述用户的私网IP地址，如果成功读取到，则将该用户的私网IP地址和所述L2TP报文一起发送给IPsec模块；

IPsec模块在接收到L2TP模块发送的用户的私网IP地址和L2TP报文后，用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。

其中，L2TP模块将所述用户的私网IP地址和L2TP报文一起发送给IPsec模块，可以包括：

L2TP模块将所述用户的私网IP地址作为cookie，和所述L2TP报文一起发送给IPsec模块。

其中，出向报文处理装置，还可以设置为向L2TP over IPsec接入用户发送L2TP报文前，如未查找到所述用户的私网IP地址，则用所述L2TP报文的源IP地址和目的IP地址作为索引去匹配IPsec安全策略库。

其中，出向报文处理装置，还可以设置为用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库后，在确定匹配成功后，根据匹配到的IPsec安全联盟对所述L2TP报文进行加密发送。

下面结合图5至图7对本发明实施所述方法进行详细阐述。

如图5所示，图5是本发明实施例中IKE协商的流程示意图，包括以下步骤：

(1)当用户进行L2TP OVER IPSEC连接时，发起IKE协商；

(2)LNS判断网络中是否存在NAT设备，获取用户的私网地址；

(3)判断是否是L2TP OVER IPSEC的接入方式；

(4)如果是L2TP OVER IPSEC的接入方式，并且网络中存在NAT设备，根据用户的私网IP和NAT转换后的公网IP建立并维护IPSEC安全策略 库；

(5)如果是L2TP OVER IPSEC的接入方式，但网络中不存在NAT设备，说明是公网接入，根据用户的公网IP和LNS的公网IP建立并维护IPSEC安全策略库；

(6)将IPSEC安全策略库与生成的IPSEC安全联盟关联。

协商完成后，IPSEC开始对L2TP的协商和数据报文进行保护，首先结合图6说明LNS设备入向流量的处理流程。

(1)LNS设备收到IPSEC加密报文，IPSEC模块根据IPSEC头部的SPI(Security Parameters Index，安全参数索引)字段查找IPSEC安全联盟；

(2)对报文进行解密；

(3)判断是否是L2TP报文，并且是否是NAT穿越场景；

其中，协商的双方将自己的源地址及端口和目的地址及端口分别进行HASH(哈希)处理，通过NAT-D载荷发送给对方，如果存在NAT设备，则将私网地址通过NAT-OA载荷发送给对端；

(4)如果两个条件都满足，需要从IPSEC安全联盟中取出NAT-OA源地址，这个地址是用户的私网地址，将这个地址作为cookie和报文一起上送给L2TP模块；

(5)L2TP模块收到报文和cookie后，将cookie存放在L2TP会话表中。

下面结合图7说明下LNS设备发送出向流量时的流程：

(1)L2TP报文封装完成后，将报文传递给IPSEC模块处理，如果会话表存在cookie，将cookie一起发送给IPSEC模块；

(2)IPSEC模块根据报文的五元组生成流量选择符；

(3)判断是否存在cookie，如果有cookie，用cookie中的私网IP地址替换流量选择符中的源IP地址；

(4)用流量选择符匹配安全策略库；

(5)如果能够匹配到，用匹配到的安全策略指向的IPSEC安全联盟对 报文进行加密，并发送。

本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现，所述计算机程序可以存储于一计算机可读存储介质中，所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行，在执行时，包括方法实施例的步骤之一或其组合。

可选地，上述实施例的全部或部分步骤也可以使用集成电路来实现，这些步骤可以被分别制作成一个个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现，它们可以集中在单个的计算装置上，也可以分布在多个计算装置所组成的网络上。

上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器，磁盘或光盘等。

工业实用性

本发明实施例能够在存在NAT设备的组网中实现LNS对不同L2TP over IPsec接入用户的区分。

Claims (12)

1. 一种实现基于网络协议安全性的二层隧道协议(L2TP over IPsec)接入的方法，应用于L2TP网络服务器，该方法包括：

   在与L2TP over IPsec接入用户进行互联网密钥交换(IKE)协商过程中确定用户侧存在网络地址转换(NAT)设备时，将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引；

   接收入向IPsec加密报文并进行解密，在确定所述入向IPsec加密报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存；

   向所述用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
2. 如权利要求1所述的方法，其中：

   所述L2TP网络服务器包括IPsec模块和L2TP模块；

   接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存，包括：

   所述IPsec模块接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时，将所述用户的私网IP地址和解密后的报文一起发送给所述L2TP模块；

   所述L2TP模块在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后，对所述用户的私网IP地址进行保存。
3. 如权利要求2所述的方法，其中：

   所述IPsec模块将所述用户的私网IP地址和解密后的报文一起发送给L2TP模块，包括：

   所述IPsec模块将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
4. 如权利要求3所述的方法，其中：

   所述L2TP模块对所述用户的私网IP地址进行保存，包括：所述L2TP模块将所述用户的私网IP地址保存在L2TP会话表中。
5. 如权利要求4所述的方法，其中：

   向L2TP over IPsec接入用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库，包括：

   所述L2TP模块向L2TP over IPsec接入用户发送L2TP报文前，从L2TP会话表中读取所述用户的私网IP地址，如果成功读取到，则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给IPsec模块；

   所述IPsec模块在接收到所述L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后，用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
6. 一种二层隧道协议(L2TP)网络服务器，包括：

   协商装置，其设置为：在与基于网络协议安全性的二层隧道协议(L2TP over IPsec)接入用户进行互联网密钥交换(IKE)协商过程中确定用户侧存在网络地址转换(NAT)设备时，将所述用户的私网IP地址和经过所述NAT设备转换后的公网IP地址作为IPsec安全策略库的索引；

   入向报文处理装置，其设置为：接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且经过了NAT设备时，对所述用户的私网IP地址进行保存；

   出向报文处理装置，其设置为：向所述用户发送L2TP报文前，如查找到所述用户的私网IP地址，则用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
7. 如权利要求6所述的L2TP网络服务器，其中：

   所述入向报文处理装置和出向报文处理装置均包括IPsec模块和L2TP模块；

   所述入向报文处理装置中，

   所述IPsec模块设置为：接收入向IPsec加密报文并进行解密，在确定所述报文为L2TP报文且从IPsec安全联盟中读取到发送该报文的用户的私网IP地址时，将所述用户的私网IP地址和解密后的报文一起发送给所述L2TP模块；

   所述L2TP模块设置为：在接收到IPsec模块发送的用户的私网IP地址和解密后的报文后，对所述用户的私网IP地址进行保存。
8. 如权利要求7所述的L2TP网络服务器，其中：

   所述IPsec模块是设置为将所述用户的私网IP地址作为cookie和解密后的报文一起发送给L2TP模块。
9. 如权利要求8所述的L2TP网络服务器，其中：

   所述L2TP模块是设置为将所述用户的私网IP地址保存在L2TP会话表中。
10. 如权利要求9所述的L2TP网络服务器，其中：

    所述出向报文处理装置中，

    所述L2TP模块设置为：向L2TP over IPsec接入用户发送L2TP报文前，从L2TP会话表中读取所述用户的私网IP地址，如果成功读取到，则将该用户的私网IP地址作为cookie和所述L2TP报文一起发送给所述IPsec模块；

    所述IPsec模块设置为：在接收到L2TP模块发送的包含用户的私网IP地址的cookie和L2TP报文后，用所述用户的私网IP地址和所述L2TP报文的目的IP地址作为索引去匹配IPsec安全策略库。
11. 一种计算机程序，包括程序指令，当该程序指令被L2TP网络服务器执行时，使得该L2TP网络服务器可执行权利要求1-5任一项所述的方法。
12. 一种存储权利要求11所述计算机程序的计算机可读存储介质。

Images