L2TP

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2019. április 21-én felülvizsgált verziótól ; az ellenőrzések 14 szerkesztést igényelnek .
L2TP
Név Layer 2 Tunneling Protocol
Szint ( az OSI modell szerint ) ülés
Család TCP/IP
Létrehozva: 1999
Port/ID 1701/ UDP ,500/ UDP (IKE-hez, titkosítási kulcsok kezelésére), 4500/ UDP (IPSEC NAT-Traversal módhoz), 50/ ESP (IPSEC-hez), 51/ AH (IPSEC-hez)
A protokoll célja VPN építése
Leírás RFC 2661

L2TP ( angol  Layer 2 Tunneling Protocol  – Layer 2 Tunneling Protocol ) – számítógépes hálózatokban , a virtuális magánhálózatok támogatására használt alagútkezelési protokoll . Az L2TP fő előnye, hogy ez a protokoll lehetővé teszi alagút létrehozását nem csak IP hálózatokban, hanem olyan hálózatokban is, mint az ATM , X.25 és Frame Relay [1] .

Bár az L2TP úgy működik, mint az OSI modell kapcsolati rétegbeli protokollja , valójában egy session réteg protokoll , és a regisztrált 1701-es UDP - portot használja [2] .

Történelem

Számít[ kitől? ] , hogy az L2TP protokoll az L2F és a PPTP legjobb tulajdonságait tartalmazza [1] .

Munkavázlat

A diagram az L2TP protokoll működését mutatja be.

A cél itt az, hogy a PPP-kereteket alagútba helyezzük egy távoli rendszer vagy kliens LAC és egy LAN-on tárolt LNS között [3] .

A távoli rendszer PPP-kapcsolatot kezdeményez a LAC-hoz a nyilvános kapcsolt telefonhálózaton (PSTN) keresztül. A LAC ezután a PPP-kapcsolatot az interneten, Frame Relay-n vagy ATM-en keresztül az LNS-hez vezeti, így hozzáfér a forrás LAN-hoz. A távoli rendszer címeit a forrás LAN a PPP NCP -vel való egyeztetés útján kapja meg . A hitelesítést, engedélyezést és elszámolást a LAN-kezelési terület úgy tudja biztosítani, mintha a felhasználó közvetlenül csatlakozna a NAS hálózati hozzáférési kiszolgálóhoz .

A LAC kliens (az L2TP programot futtató gazdagép) külön LAC használata nélkül is részt vehet a forrás LAN felé történő tunnelingben, ha a LAC kliens programot tartalmazó gazdagép már rendelkezik internetkapcsolattal. Létrejön egy "virtuális" PPP kapcsolat, és a helyi L2TP LAC program alagutat képez az LNS felé. A fenti esethez hasonlóan a címzést, a hitelesítést, az engedélyezést és az elszámolást a forrás LAN vezérlőterülete biztosítja.

Protokoll áttekintés

Az L2TP kétféle csomagot használ: vezérlő- és adatüzeneteket. A vezérlőüzeneteket alagutak és hívások létrehozása, karbantartása és befejezése során használják. Az alagúton küldött PPP-keretek beágyazására tájékoztató üzeneteket használnak. A vezérlőüzenetek megbízható vezérlőcsatornát használnak az L2TP-n belül a kézbesítés biztosítására. Az információs üzenetek elvesztése esetén nem kerülnek újraküldésre.

Protokoll felépítés:

PPP keretek
L2TP tájékoztató üzenetek L2TP vezérlő üzenetek
L2TP hordozó (nem megbízható) L2TP vezérlőcsatorna (megbízható)
Csomagszállítás (UDP, FR, ATM stb.)

A vezérlőüzenetnek van egy sorszáma, amelyet a vezérlőcsatornán használnak a megbízható kézbesítés érdekében. Az információs üzenetek sorszámokat használhatnak a csomagok átrendezésére és a keretvesztés észlelésére. Minden kód a hálózatokhoz elfogadott sorrendben kerül elküldésre.

Címformátum

A vezérlő- és vivőcsatornák L2TP-csomagjai ugyanazt a fejlécformátumot használják:

0 egy 2 3 négy 5 6 7 nyolc 9 tíz tizenegy 12 13 tizennégy tizenöt 16 31
T L x x S x O P x x x x Változat Hossz (opt.)
Alagút azonosító Munkamenet azonosító
Ns (opt.) Nr (opcionális)
Eltolási méret (opcionális) Offset pad (opcionális)......
hasznos teheradatok

Az információs üzeneteknél 0-ra, a vezérlőüzeneteknél 1-re van állítva.

Vezérlőüzenetek esetén ezt a bitet 1-re kell állítani.

Az összes fenntartott bitet 0-ra kell állítani a kimenő üzeneteknél, és figyelmen kívül kell hagyni a bejövő üzeneteket.

A vezérlőüzenetek S bitjét 1-re kell állítani.

A vezérlőüzenetek O bitjét 0-ra kell állítani.

Az 1 érték az L2F csomagok észlelésére van fenntartva, amikor L2TP csomagokkal keverednek. Az ismeretlen Ver mezővel fogadott csomagok el lesznek vetve.

A vezérlőüzenetek típusai

Az AVP üzenet típusa határozza meg a küldendő vezérlőüzenet konkrét típusát.

A kapcsolatkezelés vezérlése

Híváskezelés

Hibaüzenetek

PPP munkamenet-kezelés

Protokollműveletek

Az L2TP alagút PPP munkamenet létrehozásához szükséges eljárás két lépésből áll:

Az alagutat és a megfelelő vezérlőcsatornát a bejövő vagy kimenő hívások kezdeményezése előtt kell kialakítani. L2TP munkamenetet kell létrehozni ahhoz, hogy az L2TP PPP-kereteket küldhessen az alagúton keresztül. Több munkamenet is lehet ugyanabban az alagútban ugyanazon LAC és LNS között.

PPP alagút:

Vezérlő kapcsolat

Ez az elsődleges, amelyet a LAC és az LNS között kell megvalósítani a munkamenet indítása előtt. A vezérlőkapcsolat létrehozása magában foglalja a peer biztonságos azonosítását, valamint az L2TP verzió, a kapcsolati képességek, a keretezés stb.

Az L2TP egy egyszerű, opcionális, CHAP - szerű alagút-hitelesítési rendszert tartalmaz a vezérlőkapcsolat létrehozása során.

Munkamenet létrehozása

A vezérlőkapcsolat sikeres létrehozása esetén egyedi munkamenetek jöhetnek létre. Minden munkamenet egy PPP-forgalomnak felel meg a LAC és az LNS között. A vezérlőkapcsolat létrehozásától eltérően a munkamenet létrehozása aszimmetrikus a LAC és az LNS tekintetében. A LAC kéri az LNS-t, hogy hozzáférjen a bejövő kérések munkamenetéhez, az LNS pedig a LAC-tól, hogy indítson munkamenetet a kimenő kérésekhez.

Amikor az alagút létrejön, a távoli rendszertől a LAC által fogadott PPP-kereteket megfosztják az L2TP-be beágyazott CRC-ktől, link-fejlécektől stb., és továbbítják a megfelelő alagúton. Az LNS fogadja az L2TP csomagot, és úgy dolgozza fel a beágyazott PPP keretet, mintha a helyi PPP interfészen keresztül érkezett volna.

Egy adott munkamenethez és alagúthoz társított üzenet küldője elhelyezi a munkamenet- és alagútazonosítókat (a partner által megadott) az összes kimenő üzenet megfelelő fejlécében.

Sorszámok használata adatcsatornában

Az L2TP fejlécben meghatározott sorszámok a vezérlőüzenetek megbízható szállításának megszervezésére szolgálnak. Mindegyik partner külön számozást tart fenn a vezérlőkapcsolathoz és az alagúton belüli minden egyes információs munkamenethez.

Az L2TP vezérlőcsatornától eltérően az L2TP forgalmi csatorna nem az újraküldéshez használja az üzenetszámozást, hanem a csomagvesztés észlelésére és/vagy a szállítás során kevert csomagok eredeti sorozatának visszaállítására.

Az LNS a munkamenet során (beleértve az első tájékoztató üzenetet is) bármikor kezdeményezheti az üzenetszámozás letiltását.

A Keepalive (Hello) mechanizmus

A fenntartó mechanizmust az L2TP használja annak érdekében, hogy különbséget tegyen az alagút állásideje és az alagúton végzett hosszú ellenőrzési vagy információs tevékenység hiánya között. Ez a Hello vezérlőüzenetekkel történik, miután meghatározott idő eltelt azóta, hogy az alagúton keresztül utoljára érkezett vezérlőüzenet. Ha a Hello üzenetet nem kézbesítik, az alagút leállásra kerül, és a rendszer visszatér eredeti állapotába. Az átviteli adathordozó Hello üzenetek bevezetésével történő visszaállításának mechanizmusa biztosítja, hogy az LNS és a LAC közötti kapcsolatszakadást a rendszer az alagút mindkét végén észleli.

Munkamenet megszakítása

A munkamenet leállítását a LAC vagy az LNS kezdeményezheti, és egy CDN vezérlőüzenet elküldésével valósítható meg. Az utolsó munkamenet befejezése után a vezérlőkapcsolat is megszakadhat.

A vezérlő kapcsolat megszakítása

A vezérlőkapcsolat megszakítását a LAC vagy az LNS kezdeményezheti, és egyetlen StopCCN vezérlőüzenet elküldésével valósul meg.

Az L2TP megvalósítása egy adott médián keresztül

Az L2TP protokoll öndokumentáló, a szállítási réteg tetején fut. Néhány részletre azonban szükség van[ mi? ] kapcsolat a környezettel, a különböző kompatibilitás biztosítása érdekében[ mi? ] megvalósítások.

Biztonsági szempontok

Az L2TP protokoll működése során számos biztonsági problémával szembesül. Az alábbiakban bemutatunk néhány megközelítést ezeknek a problémáknak a megoldására.

Biztonság az alagút végén

Az alagútvégek opcionálisan hitelesíthetik egymást az alagút létrehozásakor. Ez a hitelesítés ugyanazokkal a biztonsági attribútumokkal rendelkezik, mint a CHAP , és ésszerű védelmet nyújt a visszajátszás és a hamis támadások ellen az alagút létrehozási folyamata során. A hitelesítés megvalósításához a LAC-oknak és az LNS-eknek meg kell osztaniuk a megosztott titkot.

Csomag szintű biztonság

Az L2TP biztonság biztosítása megköveteli, hogy a szállítási környezet képes legyen adattitkosítást, üzenetintegritást és szolgáltatáshitelesítést biztosítani az összes L2TP forgalom számára. Maga az L2TP felelős az alagútban lévő L2TP-csomagok bizalmas kezeléséért, integritásáért és hitelesítéséért.

L2TP és IPsec

Amikor IP -n keresztül fut , az IPsec (secure IP) csomagszintű biztonságot nyújt. Egy adott alagútban minden L2TP vezérlő- és információs csomag normál UDP/IP információs csomagként jelenik meg az IPsec rendszer számára. Az IP-átvitel biztonsága mellett az IPsec olyan működési módot határoz meg, amely lehetővé teszi az IP-csomagok alagútba helyezését, valamint az IPsec-et támogató alkalmazásokhoz szükséges hozzáférés-vezérlést. Ezek az eszközök lehetővé teszik a csomagok szűrését a hálózati és szállítási rétegek jellemzői alapján. Az L2TP alagútmodellben hasonló szűrést hajtanak végre a PPP-n vagy az L2TP-n keresztüli hálózati rétegen.

Jegyzetek

  1. 1 2 Válassza a VPN protokollt . Letöltve: 2022. március 14. Az eredetiből archiválva : 2022. január 23.
  2. Portok listája archiválva 2001. június 4-én a Wayback Machine -nél az IANA  webhelyén
  3. L2 Network Layer Tunnel Protocol (L2TP) Archív másolat , 2011. december 29-én a Wayback Machine -nél / Yu. A. Szemjonov . Távközlési technológiák - távközlési technológiák - v. 3.5 - M.: SSC ITEF, 2010

Linkek

  •  (orosz) L2TP (Layer Two Tunneling Protocol) a Microsoft Technetnél
  •  (orosz) L2TP VPN beállítása Windows rendszerben
  •  (angol) RFC 2661 Layer Two Tunneling Protocol "L2TP".
  •  (angol) RFC 2341 Cisco Layer Two Forwarding (Protokoll) "L2F". (Az L2TP elődje.)
  •  (angol) RFC 2637 Point-to-Point Tunneling Protocol (PPTP). (Az L2TP elődje.)
  •  (angol) RFC 2809 L2TP kötelező alagút megvalósítása RADIUS-on keresztül.
  •  (angol) RFC 2888 Secure Remote Access, L2TP.
  •  (angol) RFC 3070 Layer Two Tunneling Protocol (L2TP) Frame Relay-n keresztül.
  •  (angol) RFC 3145 L2TP leválasztás Ok Információ.
  •  (angol) RFC 3193 L2TP biztonság IPsec használatával.
  •  (angol) RFC 3301 Layer Two Tunneling Protocol (L2TP): ATM hozzáférési hálózat.
  •  (angol) RFC 3308 Layer Two Tunneling Protocol (L2TP) differenciált szolgáltatások.
  •  (angol) RFC 3355 Layer Two Tunneling Protocol (L2TP) ATM adaptációs réteg 5 (AAL5) felett.
  •  (angol) RFC 3371 Layer Two Tunneling Protocol "L2TP" Management Information Base.
  •  (angol) RFC 3437 Layer Two Tunneling Protocol Extensions for PPP Link Control Protocol Negotiation.
  •   RFC 3438 Layer Two Tunneling Protocol ( L2TP) Internet Assigned Numbers: Internet Assigned Numbers Authority (IANA) megfontolások frissítése.
  •  (angol) RFC 3573 Modem-On-Hold állapot jelzése a Layer 2 Tunneling Protocol-ban (L2TP).
  •  (angol) RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay for Ethernet PPP over Ethernet (PPPoE).
  •  (angol) RFC 3931 Layer Two Tunneling Protocol – 3. verzió (L2TPv3).
  •  (angol) RFC 4045 bővítmények, amelyek támogatják a 2. rétegű alagútprotokollban (L2TP) a multicast forgalom hatékony átvitelét.
  •  (angol) Az IANA számokat rendelt az L2TP-hez.
  •  (angol) L2TP Extensions Working Group (l2tpext)  - (ahol a jövőbeni szabványosítási munkát koordinálják).
  •  (hun.) L2TP/IPSec XP kliensről Windows 2003 Serverre  - L2TP/IPSec XP kliensről Windows 2003 Serverre.
 Virtuális magánhálózatok (VPN)
Technológia
Szoftver
VPN-szolgáltatások