Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

В компьютерных сетях , Layer 2 Tunneling Protocol ( L2TP ) является протокол туннелирования используется для поддержки виртуальных частных сетей (VPN) или в рамках оказания услуг по МНПУ. Он использует шифрование («сокрытие») только для своих собственных управляющих сообщений (с использованием необязательного предварительного общего секрета) и сам по себе не обеспечивает никакого шифрования или конфиденциальности содержимого. Скорее, он обеспечивает туннель для уровня 2 (который может быть зашифрован), а сам туннель может передаваться по протоколу шифрования уровня 3 , например IPsec . [1]

Набор интернет-протоколов
Уровень приложения
Транспортный уровень
Интернет-уровень
  • IP
  • ICMP (v6)
  • ECN
  • IGMP
  • IPsec
  • более...
Связующий слой
  • ARP
  • Пнр
  • OSPF
  • Туннели
    • L2TP
  • PPP
  • MAC
    • Ethernet
    • Вай-фай
    • DSL
    • ISDN
    • FDDI
  • более...
  • v
  • т
  • е

История [ править ]

Опубликовано в 2000 году , как это предлагается стандартный RFC 2661, L2TP имеет свои истоки в основном в двух старых протоколов туннелирования для точки к точке связи: Cisco 's Layer 2 Forwarding Protocol (L2F) и Microsoft ' s [2] Точка-Point Tunneling Протокол (PPTP). Новая версия этого протокола, L2TPv3 , появилась как предложенный стандарт RFC 3931 в 2005 году. L2TPv3 обеспечивает дополнительные функции безопасности, улучшенную инкапсуляцию и возможность передачи каналов данных, отличных от простого протокола точка-точка (PPP), по IP-сети. (например: Frame Relay , Ethernet , ATM и т. д.).

Описание [ править ]

Весь пакет L2TP, включая полезную нагрузку и заголовок L2TP, отправляется в дейтаграмме протокола дейтаграмм пользователя (UDP). Достоинством передачи по UDP (а не по TCP) является то, что она позволяет избежать «проблемы срыва TCP». [3] [4] Обычно сеансы PPP проходят в туннеле L2TP. L2TP сам по себе не обеспечивает конфиденциальности или строгой аутентификации. IPsec часто используется для защиты пакетов L2TP, обеспечивая конфиденциальность, аутентификацию и целостность. Комбинация этих двух протоколов обычно известна как L2TP / IPsec (обсуждается ниже).

Две конечные точки туннеля L2TP называются концентратором доступа L2TP (LAC) и сетевым сервером L2TP (LNS). LNS ждет новых туннелей. После установления туннеля сетевой трафик между одноранговыми узлами становится двунаправленным. Чтобы быть полезными для работы в сети, протоколы более высокого уровня затем проходят через туннель L2TP. Чтобы облегчить это, в туннеле устанавливается сеанс L2TP для каждого протокола более высокого уровня, такого как PPP. Либо LAC, либо LNS могут инициировать сеансы. Трафик для каждого сеанса изолирован L2TP, поэтому можно настроить несколько виртуальных сетей через один туннель.

Пакеты, которыми обмениваются в туннеле L2TP, классифицируются как пакеты управления или пакеты данных . L2TP обеспечивает функции надежности для пакетов управления, но не обеспечивает надежность для пакетов данных. При желании надежность должна быть обеспечена вложенными протоколами, работающими в каждом сеансе туннеля L2TP.

L2TP позволяет создать виртуальную частную коммутируемую сеть (VPDN) [5] для подключения удаленного клиента к его корпоративной сети с использованием общей инфраструктуры, которой может быть Интернет или сеть поставщика услуг.

Модели туннелей [ править ]

Туннель L2TP может проходить через весь сеанс PPP или только через один сегмент двухсегментного сеанса. Это может быть представлено четырьмя различными моделями туннелирования, а именно:

  • добровольный туннель
  • принудительный туннель - входящий звонок
  • принудительный туннель - удаленный набор
  • Многоканальное соединение L2TP [6]

Структура пакета L2TP [ править ]

Пакет L2TP состоит из:

Биты 0–15Биты 16–31
Флаги и информация о версииДлина (опция)
ID туннеляИдентификатор сессии
Ns (опт.)№ (опция)
Размер смещения (опция)Смещенная площадка (опционально) ......
Данные полезной нагрузки

Значения полей:

Флаги и версия
флаги управления, указывающие пакет данных / управления и наличие полей длины, последовательности и смещения.
Длина (необязательно)
Общая длина сообщения в байтах, присутствует, только если установлен флаг длины.
ID туннеля
Указывает идентификатор управляющего соединения.
Идентификатор сессии
Указывает идентификатор сеанса в туннеле.
Ns (необязательно)
порядковый номер для этого сообщения данных или управления, начинающийся с нуля и увеличивающийся на единицу (по модулю 2 16 ) для каждого отправленного сообщения. Присутствует только при установленном флаге последовательности.
Nr (необязательно)
порядковый номер ожидаемого сообщения, которое будет получено. Nr устанавливается равным Ns последнего полученного сообщения по порядку плюс один (по модулю 2 16 ). В сообщениях данных Nr зарезервирован и, если он присутствует (на что указывает бит S), ДОЛЖЕН игнорироваться при получении.
Размер смещения (необязательно)
Указывает, где данные полезной нагрузки находятся за заголовком L2TP. Если поле смещения присутствует, заголовок L2TP заканчивается после последнего байта заполнения смещения. Это поле существует, если установлен флаг смещения.
Смещенная подушка (опционально)
Переменная длина, определяемая размером смещения. Содержание этого поля не определено.
Данные полезной нагрузки
Переменная длина (максимальный размер полезной нагрузки = максимальный размер пакета UDP - размер заголовка L2TP)

Обмен пакетами L2TP [ править ]

Во время настройки L2TP-соединения между сервером и клиентом происходит обмен множеством управляющих пакетов для установления туннеля и сеанса для каждого направления. Один одноранговый узел запрашивает другого однорангового узла назначить определенный туннель и идентификатор сеанса через эти управляющие пакеты. Затем с использованием этого туннеля и идентификатора сеанса происходит обмен пакетами данных со сжатыми кадрами PPP в качестве полезной нагрузки.

Список сообщений управления L2TP, которыми обмениваются LAC и LNS, для установления связи перед установлением туннеля и сеанса в методе добровольного туннелирования:

L2TP / IPsec [ править ]

Из-за отсутствия конфиденциальности, присущей протоколу L2TP, он часто реализуется вместе с IPsec . Это называется L2TP / IPsec и стандартизировано в IETF RFC 3193. Процесс настройки L2TP / IPsec VPN выглядит следующим образом:

  1. Согласование сопоставления безопасности (SA) IPsec , обычно через Интернет-обмен ключами (IKE). Это выполняется через порт UDP 500 и обычно использует либо общий пароль (так называемые « предварительные общие ключи »), либо открытые ключи, либо сертификаты X.509 на обоих концах, хотя существуют и другие методы ввода ключей .
  2. Установление связи Encapsulating Security Payload (ESP) в транспортном режиме. Номер IP-протокола для ESP - 50 (сравните TCP 6 и UDP 17). На данный момент безопасный канал установлен, но туннелирования не происходит.
  3. Согласование и установление туннеля L2TP между конечными точками SA. Фактическое согласование параметров происходит по безопасному каналу SA в рамках шифрования IPsec. L2TP использует порт UDP 1701.

По завершении процесса пакеты L2TP между конечными точками инкапсулируются IPsec. Поскольку сам пакет L2TP заключен в оболочку и скрыт внутри пакета IPsec, исходный IP-адрес источника и назначения зашифрован внутри пакета. Кроме того, нет необходимости открывать порт 1701 UDP на межсетевых экранах между конечными точками, поскольку внутренние пакеты не обрабатываются до тех пор, пока данные IPsec не будут расшифрованы и удалены, что происходит только на конечных точках.

Потенциальная путаница в L2TP / IPsec - это использование терминов туннель и безопасный канал . Термин туннельный режим относится к каналу, который позволяет нетронутым пакетам одной сети транспортироваться по другой сети. В случае L2TP / PPP он позволяет передавать пакеты L2TP / PPP по IP. Безопасный канал относится к соединению , в пределах которого конфиденциальность всех данных гарантируется. В L2TP / IPsec сначала IPsec обеспечивает безопасный канал, а затем L2TP предоставляет туннель. IPsec также определяет протокол туннеля: он не используется при использовании туннеля L2TP.

Реализация Windows [ править ]

Windows имеет встроенную поддержку (настраиваемую в панели управления) для L2TP с Windows 2000 . В Windows Vista добавлены 2 альтернативных инструмента, оснастка MMC под названием «Брандмауэр Windows в режиме повышенной безопасности» (WFwAS) и инструмент командной строки « netsh advfirewall». Одно ограничение для команд WFwAS и netsh состоит в том, что серверы должны быть указаны по IP-адресу. В Windows 10 добавлены команды PowerShell « Add-VpnConnection » и « Set-VpnConnectionIPsecConfiguration » . Раздел реестра должен быть создан на клиенте и сервере, если сервер находится за устройством NAT-T. [1]

L2TP в сетях провайдеров [ править ]

L2TP часто используется интернет-провайдерами при перепродаже интернет-услуг, например, по ADSL или кабелю . От конечного пользователя пакеты передаются по сети оптового поставщика сетевых услуг на сервер, называемый широкополосным сервером удаленного доступа ( BRAS ), конвертер протокола и маршрутизатор вместе взятые. В унаследованных сетях путь от оборудования конечных пользователей к BRAS может проходить через сеть ATM . С этого момента по IP-сети туннель L2TP проходит от BRAS (действующего как LAC) до LNS, который является граничным маршрутизатором на границе IP-сети конечного поставщика услуг Интернета. См. Пример ISP-реселлеров, использующих L2TP .

Ссылки на RFC [ править ]

  • RFC 2341 Cisco Layer Two Forwarding (протокол) "L2F" (предшественник L2TP)
  • RFC 2637 протокол туннелирования точка-точка (PPTP)
  • RFC 2661 Протокол туннелирования второго уровня "L2TP"
  • RFC 2809 Реализация принудительного туннелирования L2TP через RADIUS
  • RFC 2888 Безопасный удаленный доступ с L2TP
  • RFC 3070 Layer Two Tunneling Protocol (L2TP) через Frame Relay
  • RFC 3145 Информация о причинах отключения L2TP
  • RFC 3193 Защита L2TP с помощью IPsec
  • RFC 3301 Layer Two Tunneling Protocol (L2TP): сеть доступа ATM
  • RFC 3308 Layer Two Tunneling Protocol (L2TP) Дифференцированные услуги
  • RFC 3355 Layer Two Tunneling Protocol (L2TP) через ATM Adaptation Layer 5 (AAL5)
  • RFC 3371 Layer Two Tunneling Protocol "L2TP" База управляющей информации
  • RFC 3437 Layer Two Tunneling Protocol Extensions для согласования протокола управления каналом PPP
  • RFC 3438 Layer Two Tunneling Protocol (L2TP) Internet Assigned Numbers: Internet Assigned Numbers Authority (IANA) Обновленные соображения
  • RFC 3573 Сигнализация состояния удержания модема в протоколе туннелирования уровня 2 (L2TP)
  • RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay для PPP через Ethernet (PPPoE)
  • RFC 3931 Протокол туннелирования второго уровня - версия 3 (L2TPv3)
  • RFC 4045 Расширения для поддержки эффективной передачи многоадресного трафика в протоколе туннелирования уровня 2 (L2TP)
  • RFC 4951 Расширения аварийного переключения для протокола туннелирования уровня 2 (L2TP) «аварийное переключение»

См. Также [ править ]

  • IPsec
  • Протокол пересылки уровня 2
  • Туннельный протокол точка-точка
  • Двухточечный протокол
  • Виртуальная расширяемая локальная сеть

Ссылки [ править ]

  1. ^ IETF (1999), RFC 2661, протокол туннелирования второго уровня "L2TP"
  2. ^ «Туннельный протокол точка-точка (PPTP)» . TheNetworkEncyclopedia.com. 2013 . Проверено 28 июля 2014 . Туннельный протокол точка-точка (PPTP) [:] Протокол уровня канала передачи данных для глобальных сетей (WAN), основанный на протоколе точка-точка (PPP) и разработанный Microsoft, который позволяет инкапсулировать сетевой трафик и маршрутизируется через незащищенную общедоступную сеть, такую ​​как Интернет.[ постоянная мертвая ссылка ]
  3. ^ Тиц, Олаф (2001-04-23). «Почему TCP поверх TCP - плохая идея» . Проверено 17 октября 2015 .
  4. ^ Хонда, Осаму; Осаки, Хироюки; Имасе, Макото; Ишизука, Мика; Мураяма, Дзюнъити (октябрь 2005 г.). «Понимание TCP поверх TCP: влияние TCP-туннелирования на сквозную пропускную способность и задержку». В Атикуззамане, Мохаммед; Баландин Сергей I (ред.). Производительность, качество обслуживания и контроль коммуникационных и сенсорных сетей нового поколения III . 6011 . Bibcode : 2005SPIE.6011..138H . CiteSeerX 10.1.1.78.5815 . DOI : 10.1117 / 12.630496 . S2CID 8945952 .  
  5. ^ Служба поддержки Cisco: Общие сведения о VPDN - обновлено 29 января 2008 г.
  6. ^ Центр знаний IBM: многопоточное соединение L2TP

Внешние ссылки [ править ]

Реализации [ править ]

  • Cisco: документация Cisco L2TP , также прочтите краткий обзор технологий от Cisco
  • Открытый исходный код и Linux: xl2tpd , Linux RP-L2TP , OpenL2TP , l2tpns , l2tpd (неактивный), Linux L2TP / IPsec server , FreeBSD multi-link PPP daemon , OpenBSD npppd (8) , ACCEL-PPP - PPTP / L2TP / PPPoE server для Linux
  • Microsoft: встроенный клиент, входящий в состав Windows 2000 и выше; Клиент Microsoft L2TP / IPsec VPN для Windows 98 / Windows Me / Windows NT 4.0
  • Apple: встроенный клиент входит в состав Mac OS X 10.3 и выше.
  • VPDN на Cisco.com

Другое [ править ]

  • IANA присвоила номера L2TP
  • L2TP Extensions Working Group (l2tpext) - (где координируется будущая работа по стандартизации)
  • Использование Linux в качестве VPN-клиента L2TP / IPsec
  • L2TP / IPSec с OpenBSD и npppd
  • Сравнение L2TP, PPTP и OpenVPN