L2TP

Versiunea actuală a paginii nu a fost încă examinată de colaboratori experimentați și poate diferi semnificativ de versiunea revizuită pe 21 aprilie 2019; verificările necesită 14 modificări .

L2TP
Nume	Protocolul de tunel de strat 2
Nivel (conform modelului OSI )	sesiune
Familie	TCP/IP
Creat în	1999
Port/ID	1701/ UDP ,500/ UDP (pentru IKE, pentru a gestiona cheile de criptare), 4500/ UDP (pentru modul IPSEC NAT-Traversal), 50/ ESP (pentru IPSEC), 51/ AH (pentru IPSEC)
Scopul protocolului	construirea unui VPN
Specificație	RFC 2661

L2TP ( Protocol de tunel de nivel 2 în engleză   - protocol de tunel de nivel 2 ) - în rețelele de computere , un protocol de tunelare utilizat pentru a susține rețele private virtuale . Principalul avantaj al L2TP este că acest protocol vă permite să creați un tunel nu numai în rețelele IP, ci și în rețele precum ATM , X.25 și Frame Relay [1] .

Deși L2TP acționează ca un protocol de nivel de legătură al modelului OSI , este de fapt un protocol de nivel de sesiune și folosește portul UDP înregistrat 1701 [2] .

Istorie

• 1996 - 1997  - competiție între protocoalele L2F ( Cisco ) și PPTP ( Microsoft )
• 1997  - acord între dezvoltatori privind dezvoltarea în comun a protocolului L2TP
• 1999 -  Publicat RFC 2661 , care descrie protocolul L2TP

Contează[ de cine? ] că protocolul L2TP a încorporat cele mai bune caracteristici ale L2F și PPTP [1] .

Schema de lucru

Diagrama arată cum funcționează protocolul L2TP.

• LAN - rețele locale ( Local Area Network ), care sunt conectate prin L2TP;
• Computer - un computer(e) conectat(e) direct la o rețea locală;
• LNS - L2TP Network Server, server de acces la rețea locală prin L2TP;
• LAC - L2TP Access Concentrator, un dispozitiv pentru conectarea transparentă a utilizatorilor săi la LNS printr-o rețea de una sau alta arhitectură;
• Sistem la distanță - un sistem care dorește să se conecteze la LAN prin L2TP;
• Client LAC - un computer care acționează ca un LAC pentru a se conecta la LNS;
• PSTN - rețea telefonică comutată (Public Switched Telephone Network);
• Internetul, Frame Relay sau ATM sunt rețele cu arhitecturi diferite.

Scopul aici este de a tunel cadre PPP între un sistem la distanță sau un client LAC și un LNS găzduit pe LAN [3] .

Sistemul de la distanță inițiază o conexiune PPP la LAC prin rețeaua telefonică publică comutată (PSTN). Apoi LAC tunelizează conexiunea PPP prin Internet, Frame Relay sau ATM către LNS, accesând astfel LAN-ul sursă. Adresele către sistemul de la distanță sunt furnizate rețelei LAN sursă prin negociere cu PPP NCP . Autentificarea, autorizarea și contabilizarea pot fi furnizate de domeniul de administrare LAN ca și cum utilizatorul ar fi conectat direct la serverul de acces la rețea NAS .

Clientul LAC (gazdă care rulează programul L2TP) poate participa, de asemenea, la tunelul către LAN sursă fără a utiliza un LAC separat dacă gazda care conține programul client LAC are deja o conexiune la Internet. Este creată o conexiune PPP „virtuală”, iar programul local L2TP LAC formează un tunel către LNS. Ca și în cazul de mai sus, adresarea, autentificarea, autorizarea și contabilitatea vor fi asigurate de zona de control a rețelei LAN sursă.

Prezentare generală a protocolului

L2TP utilizează două tipuri de pachete: mesaje de control și de date. Mesajele de control sunt utilizate la stabilirea, întreținerea și terminarea tunelurilor și a apelurilor. Mesajele informaționale sunt folosite pentru a încapsula cadrele PPP trimise prin tunel. Mesajele de control folosesc un canal de control fiabil în L2TP pentru a asigura livrarea. Mesajele informative nu sunt retrimise atunci când sunt pierdute.

Structura protocolului:

cadre PPP
Mesaje informaționale L2TP	Mesaje de control L2TP
Purtător L2TP (nefiabil)	Canal de control L2TP (fiabil)
Transport de pachete (UDP, FR, ATM etc.)

Mesajul de control are un număr de secvență utilizat pe canalul de control pentru a asigura o livrare fiabilă. Mesajele informaționale pot folosi numere de secvență pentru a reordona pachetele și pentru a detecta pierderea cadrelor. Toate codurile sunt trimise în ordinea acceptată pentru rețele.

Format titlu

Pachetele L2TP pentru canalele de control și purtător folosesc același format de antet:

0

unu

2

3

patru

5

6

7

opt

9

zece

unsprezece

12

13

paisprezece

cincisprezece

16

31

T

L

X

X

S

X

O

P

X

X

X

X

Versiune

Lungime (opt.)

ID-ul tunelului

Sesiune ID

Ns (opt.)

Nr (opt)

Dimensiune offset (opt.)

Pad offset (opt)......

date de încărcare utilă

• Bitul de tip (T) caracterizează tipul de pachet.

Este setat la 0 pentru mesajele de informare și la 1 pentru mesajele de control.

• Dacă bitul de lungime (L) este 1, câmpul de lungime este prezent.

Pentru mesajele de control, acest bit trebuie setat la 1.

• Biții x sunt rezervați pentru utilizări viitoare.

Toți biții rezervați trebuie să fie setați la 0 pentru mesajele trimise și ignorați pentru mesajele primite.

• Dacă bitul de secvență (S) este 1, câmpurile Ns și Nr sunt prezente.

Bitul S pentru mesajele de control trebuie setat la 1.

• Dacă bitul de offset (O) este 1, câmpul de valoare de offset este prezent.

Bitul O pentru mesajele de control trebuie setat la 0.

• Bitul de prioritate (P) trebuie setat la 0 pentru toate mesajele de control. Pentru mesajele informative, dacă acest bit este setat la 1, acest mesaj informativ are prioritate în coadă.
• Câmpul Ver indică versiunea antetului mesajului de informații L2TP.

Valoarea 1 este rezervată pentru detectarea pachetelor L2F atunci când acestea sunt amestecate cu pachete L2TP. Pachetele primite cu un câmp Ver necunoscut sunt abandonate.

• Câmpul Lungime (opțional) specifică lungimea totală a mesajului în octeți.
• Id-ul tunelului conține ID-ul conexiunii de control. ID-urile de tunel L2TP au doar o semnificație locală. Adică, capete diferite ale aceluiași tunel trebuie să aibă ID-uri diferite. ID-ul tunelului din fiecare mesaj trebuie să fie cel așteptat de destinatar. ID-urile tunelului sunt selectate atunci când tunelul este format.
• Sesiunea -id specifică identificatorul pentru sesiunea acestui tunel. Sesiunile L2TP sunt denumite cu identificatori care au doar semnificație locală. ID-ul sesiunii din fiecare mesaj trebuie să fie cel la care se așteaptă destinatarul. ID-urile sesiunii sunt selectate atunci când se formează sesiunea.
• Câmpul Ns specifică numărul de serie al mesajului informațional sau de control, începând de la zero și crescând cu 1 (modulo 2 16 ) pentru fiecare mesaj transmis.
• Câmpul Nr conține numărul de ordine așteptat pentru următorul mesaj. Astfel, Nr este egal cu Ns din ultimul mesaj primit plus 1 (modulo 2 16 ). În mesajele de date, Nr este rezervat și, dacă este prezent (după cum este determinat de bitul S), va fi ignorat la primire.
• Câmpul Offset Size , dacă este prezent, specifică numărul de octeți după antetul L2TP unde ar trebui să înceapă câmpul de date. Conținutul substituentului offset este nedefinit. Dacă este prezent un câmp de compensare, antetul L2TP este terminat după octetul de terminare al umpluturii de compensare.

Tipuri de mesaje de control

Tipul de mesaj AVP determină tipul specific de mesaj de control care trebuie trimis.

Controlați gestionarea conexiunii

• 0 (rezervat)
• 1 (SCCRQ) Pornire-Control-Conexiune-Solicitare
• 2 (SCCRP) Pornire-Control-Conexiune-Răspuns
• 3 (SCCCN) Pornire-Control-Conexiune-Conectat
• 4 (StopCCN) Stop-Control-Conexiune-Notificare
• 5 (rezervat)
• 6 (Salut) Buna ziua

Managementul apelurilor

• 7 (OCRQ) Solicitare de apel de ieșire
• 8 (OCRP) Răspuns la apel de ieșire
• 9 (OCCN) Ieșire-Apel-conectat
• 10 (ICRQ) Solicitare de apel primit
• 11 (ICRP) Răspuns la apel primit
• 12 (ICCN) Intrare-Apel-conectat
• 13 (rezervat)
• 14 (CDN) Apel-Deconectare-Notificare

Mesaje de eroare

• 15 (WEN) WAN-Eroare-Notificare

Managementul sesiunilor PPP

• 16 (SLI) Set-Link-Info

Operațiuni de protocol

Procedura necesară pentru stabilirea unei sesiuni PPP de tunel L2TP include doi pași:

• stabilirea unui canal de control pentru un tunel
• formarea unei sesiuni în conformitate cu solicitarea unui apel de intrare sau de ieșire.

Tunelul și canalul de control corespunzător trebuie să fie formate înainte ca apelurile de intrare sau de ieșire să fie inițiate. O sesiune L2TP trebuie stabilită înainte ca L2TP să poată trimite cadre PPP prin tunel. Pot exista mai multe sesiuni în același tunel între același LAC și LNS.

Tunnel PPP:

Conexiune de control

Este cel principal care trebuie implementat între LAC și LNS înainte de a începe o sesiune. Stabilirea unei conexiuni de control include identificarea în siguranță a peer-ului, precum și determinarea versiunii L2TP, capabilităților de legătură, încadrare etc.

L2TP include un sistem de autentificare a tunelului simplu, opțional, asemănător CHAP în timpul stabilirii conexiunii de control.

Stabilirea sesiunii

După stabilirea cu succes a unei conexiuni de control, se pot forma sesiuni individuale. Fiecare sesiune corespunde unui trafic PPP între LAC și LNS. Spre deosebire de stabilirea conexiunii de control, stabilirea sesiunii este asimetrică în raport cu LAC și LNS. LAC solicită LNS să acceseze sesiunea pentru cererile primite, iar LNS solicită LAC să înceapă o sesiune pentru cererile de ieșire.

Când se formează tunelul, cadrele PPP de la sistemul de la distanță primite de LAC sunt îndepărtate de CRC-uri, antete de legătură etc. încapsulate în L2TP și transmise prin tunelul corespunzător. LNS primește pachetul L2TP și procesează cadrul PPP încapsulat ca și cum ar fi fost primit prin interfața locală PPP.

Expeditorul unui mesaj asociat cu o anumită sesiune și tunel plasează ID-urile de sesiune și tunel (specificate de peer) în câmpurile de antet corespunzătoare ale tuturor mesajelor trimise.

Utilizarea numerelor de secvență într-un canal de date

Numerele de secvență definite în antetul L2TP sunt utilizate pentru a organiza transportul fiabil al mesajelor de control. Fiecare peer menține o numerotare separată pentru conexiunea de control și pentru fiecare sesiune de informații din tunel.

Spre deosebire de canalul de control L2TP, canalul de trafic L2TP folosește numerotarea mesajelor nu pentru retransmitere, ci pentru a detecta pierderea pachetelor și/sau a restabili secvența originală a pachetelor amestecate în timpul transportului.

LNS poate iniția suprimarea numerotării mesajelor în orice moment în timpul sesiunii (inclusiv primul mesaj informațional).

Mecanismul keepalive (Bună ziua)

Mecanismul keepalive este folosit de L2TP pentru a distinge între timpul de nefuncționare a tunelului și perioadele lungi de lipsă de control sau activitate de informare pe tunel. Acest lucru se face cu mesajele de control Hello după ce a trecut o anumită perioadă de timp de la ultima primire a unui mesaj de control prin tunel. Dacă mesajul Hello nu este livrat, tunelul este declarat dezactivat și sistemul revine la starea inițială. Mecanismul de resetare a suportului de transport prin introducerea mesajelor Hello asigură că o întrerupere a legăturii dintre LNS și LAC este detectată la ambele capete ale tunelului.

Întreruperea sesiunii

Terminarea sesiunii poate fi inițiată de LAC sau LNS și se realizează prin trimiterea unui mesaj de control CDN. După terminarea ultimei sesiuni, conexiunea de control poate fi, de asemenea, terminată.

Ruperea conexiunii de control

Terminarea unei conexiuni de control poate fi inițiată de LAC sau LNS și se realizează prin trimiterea unui singur mesaj de control StopCCN.

Implementarea L2TP printr-un mediu specific

Protocolul L2TP este auto-documentat, rulând deasupra stratului de transport. Cu toate acestea, sunt necesare câteva detalii[ ce? ] conectarea la mediu, pentru a asigura compatibilitatea diverselor[ ce? ] implementări.

Considerații de securitate

Protocolul L2TP se confruntă cu mai multe probleme de securitate în funcționarea sa. Unele abordări pentru rezolvarea acestor probleme sunt discutate mai jos.

Securitate la capătul tunelului

Capetele tunelului se pot autentifica opțional unele pe altele atunci când se stabilește un tunel. Această autentificare are aceleași atribute de securitate ca și CHAP și are protecție rezonabilă împotriva atacurilor de reluare și falsificare în timpul procesului de stabilire a tunelului. Pentru a implementa autentificarea, LAC-urile și LNS-urile trebuie să partajeze un secret partajat.

Securitate la nivel de pachet

Asigurarea securității L2TP necesită ca mediul de transport să poată furniza criptarea datelor, integritatea mesajelor și autentificarea serviciului pentru tot traficul L2TP. L2TP însuși este responsabil pentru confidențialitatea, integritatea și autentificarea pachetelor L2TP din interiorul tunelului.

L2TP și IPsec

Când rulează pe IP , IPsec (IP securizat) oferă securitate la nivel de pachet. Toate pachetele de informații și control L2TP dintr-un anumit tunel apar pentru sistemul IPsec ca pachete de informații UDP/IP obișnuite. Pe lângă securitatea transportului IP, IPsec definește un mod de operare care permite ca pachetele IP să fie tunelizate, precum și controalele de acces care sunt necesare pentru aplicațiile care acceptă IPsec. Aceste instrumente vă permit să filtrați pachetele în funcție de caracteristicile rețelei și ale straturilor de transport. În modelul de tunel L2TP, filtrarea similară este efectuată la nivelul PPP sau a rețelei peste L2TP.

Note

1. ↑ 1 2 Selectați protocolul VPN . Preluat la 14 martie 2022. Arhivat din original la 23 ianuarie 2022. (nedefinit)
2. ↑ Lista de porturi Arhivată 4 iunie 2001 la Wayback Machine de pe site-ul IANA  
3. ↑ L2 Network Layer Tunnel Protocol (L2TP) Copie de arhivă din 29 decembrie 2011 la Wayback Machine / Yu. A. Semyonov . Tehnologii de telecomunicații - tehnologii de telecomunicații - v. 3,5 - M.: SSC ITEF, 2010

Link -uri

•  (rusă) L2TP (Layer Two Tunneling Protocol) la Microsoft Technet
•  (rusă) Configurarea VPN L2TP în Windows
•  (Engleză) RFC 2661 Layer Two Tunneling Protocol „L2TP”.
•  (Engleză) RFC 2341 Cisco Layer Two Forwarding (protocol) „L2F”. (Predecesorul L2TP.)
•  (Engleză) RFC 2637 Point-to-Point Tunneling Protocol (PPTP). (Predecesorul L2TP.)
•  (Engleză) RFC 2809 Implementarea tunelului obligatoriu L2TP prin RADIUS.
•  (Engleză) RFC 2888 Acces securizat la distanță folosind L2TP.
•  (Engleză) RFC 3070 Layer Two Tunneling Protocol (L2TP) peste Frame Relay.
•  (Engleză) RFC 3145 L2TP Informații despre cauza deconectarii.
•  (Engleză) RFC 3193 L2TP Securitate folosind IPsec.
•  (Engleză) RFC 3301 Layer Two Tunneling Protocol (L2TP): Rețea de acces ATM.
•  (Engleză) RFC 3308 Layer Two Tunneling Protocol (L2TP) Servicii diferențiate.
•  (Engleză) RFC 3355 Layer Two Tunneling Protocol (L2TP) peste ATM Adaptation Layer 5 (AAL5).
•  (Engleză) RFC 3371 Layer Two Tunneling Protocol „L2TP” Management Information Base.
•  (Engleză) RFC 3437 Extensii de protocol de tunel pentru stratul doi pentru negocierea protocolului de control al legăturii PPP.
•   RFC 3438 Layer Two Tunneling Protocol ( L2TP) Numere alocate Internet: Actualizare a considerațiilor Autorității pentru numerele alocate Internet (IANA).
•  (engleză) RFC 3573 Semnalizarea stării modem-on-hold în protocolul de tunel de nivel 2 (L2TP).
•  (Engleză) RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay pentru PPP peste Ethernet (PPPoE).
•  (Engleză) RFC 3931 Layer Two Tunneling Protocol - Versiunea 3 (L2TPv3).
•  (Engleză) Extensii RFC 4045 pentru a sprijini transportarea eficientă a traficului multicast în protocolul de tunel de nivel 2 (L2TP).
•  (Engleză) IANA a atribuit numere pentru L2TP.
•  (Engleză) L2TP Extensions Working Group (l2tpext)  - (unde se coordonează viitoarele lucrări de standardizare).
•  (eng.) L2TP/IPSec de la clientul XP la Windows 2003 Server  - L2TP/IPSec de la clientul XP la Windows 2003 Server.

Protocoale de bază TCP /IP pe straturi ale modelului OSI
Fizic	ethernet RS-232 EIA-422 RS-449 RS-485
canalizat	ethernet PPPoE PPP L2F WiFi 802.11 WiFi 802.16 inel cu simboluri ARCNET FDDI HDLC ALUNECARE ATM POATE SA DTM X.25 releu cadru IEEE 802.1aq SMDS STP ERPS ARP
reţea	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Transport	TCP ( criptă ) UDP SCTP DCCP RDP/ RUDP RTP SPX TLS 1.3
sesiune	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP ZIP SDP
Reprezentare	XDR SSL TLS
Aplicat	BGP HTTP ( S ) DHCP IRC gopher deget SNMP DNS ( SEC ) NNTP XMPP ÎNGHIŢITURĂ IPP NTP SNTP E-mail SMTP POP3 IMAP4 _ Transfer de fișier FTP TFTP SFTP FTPS webdav SMB Acces de la distanță rlogin telnet SSH RDP
Altele aplicate	bitcoin OSCAR MTProto Multicast FTP FTP multisursă bittorrent Gnutella Skype
Lista de porturi TCP și UDP

Rețele private virtuale (VPN)
Tehnologie	IPsec L2TP PPTP Tunnel split Protocolul de redirecționare Layer 2 Acces direct
Software	Hamachi n2n manager de rețea NeoRouter openvpn rp-pppoe tcpcrypt Vyatta apărătoare de sârmă
Servicii VPN	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Proton VPN psifon Surfshark