| L2TP | |
|---|---|
| Név | Layer 2 Tunneling Protocol |
| Szint ( az OSI modell szerint ) | ülés |
| Család | TCP/IP |
| Létrehozva: | 1999 |
| Port/ID | 1701/ UDP ,500/ UDP (IKE-hez, titkosítási kulcsok kezelésére), 4500/ UDP (IPSEC NAT-Traversal módhoz), 50/ ESP (IPSEC-hez), 51/ AH (IPSEC-hez) |
| A protokoll célja | VPN építése |
| Leírás | RFC 2661 |
L2TP ( angol Layer 2 Tunneling Protocol – Layer 2 Tunneling Protocol ) – számítógépes hálózatokban , a virtuális magánhálózatok támogatására használt alagútkezelési protokoll . Az L2TP fő előnye, hogy ez a protokoll lehetővé teszi alagút létrehozását nem csak IP hálózatokban, hanem olyan hálózatokban is, mint az ATM , X.25 és Frame Relay [1] .
Bár az L2TP úgy működik, mint az OSI modell kapcsolati rétegbeli protokollja , valójában egy session réteg protokoll , és a regisztrált 1701-es UDP - portot használja [2] .
Számít[ kitől? ] , hogy az L2TP protokoll az L2F és a PPTP legjobb tulajdonságait tartalmazza [1] .
A diagram az L2TP protokoll működését mutatja be.
A cél itt az, hogy a PPP-kereteket alagútba helyezzük egy távoli rendszer vagy kliens LAC és egy LAN-on tárolt LNS között [3] .
A távoli rendszer PPP-kapcsolatot kezdeményez a LAC-hoz a nyilvános kapcsolt telefonhálózaton (PSTN) keresztül. A LAC ezután a PPP-kapcsolatot az interneten, Frame Relay-n vagy ATM-en keresztül az LNS-hez vezeti, így hozzáfér a forrás LAN-hoz. A távoli rendszer címeit a forrás LAN a PPP NCP -vel való egyeztetés útján kapja meg . A hitelesítést, engedélyezést és elszámolást a LAN-kezelési terület úgy tudja biztosítani, mintha a felhasználó közvetlenül csatlakozna a NAS hálózati hozzáférési kiszolgálóhoz .
A LAC kliens (az L2TP programot futtató gazdagép) külön LAC használata nélkül is részt vehet a forrás LAN felé történő tunnelingben, ha a LAC kliens programot tartalmazó gazdagép már rendelkezik internetkapcsolattal. Létrejön egy "virtuális" PPP kapcsolat, és a helyi L2TP LAC program alagutat képez az LNS felé. A fenti esethez hasonlóan a címzést, a hitelesítést, az engedélyezést és az elszámolást a forrás LAN vezérlőterülete biztosítja.
Az L2TP kétféle csomagot használ: vezérlő- és adatüzeneteket. A vezérlőüzeneteket alagutak és hívások létrehozása, karbantartása és befejezése során használják. Az alagúton küldött PPP-keretek beágyazására tájékoztató üzeneteket használnak. A vezérlőüzenetek megbízható vezérlőcsatornát használnak az L2TP-n belül a kézbesítés biztosítására. Az információs üzenetek elvesztése esetén nem kerülnek újraküldésre.
Protokoll felépítés:
| PPP keretek | |
| L2TP tájékoztató üzenetek | L2TP vezérlő üzenetek |
| L2TP hordozó (nem megbízható) | L2TP vezérlőcsatorna (megbízható) |
| Csomagszállítás (UDP, FR, ATM stb.) | |
A vezérlőüzenetnek van egy sorszáma, amelyet a vezérlőcsatornán használnak a megbízható kézbesítés érdekében. Az információs üzenetek sorszámokat használhatnak a csomagok átrendezésére és a keretvesztés észlelésére. Minden kód a hálózatokhoz elfogadott sorrendben kerül elküldésre.
A vezérlő- és vivőcsatornák L2TP-csomagjai ugyanazt a fejlécformátumot használják:
| 0 | egy | 2 | 3 | négy | 5 | 6 | 7 | nyolc | 9 | tíz | tizenegy | 12 | 13 | tizennégy | tizenöt | 16 | 31 | |||||
| T | L | x | x | S | x | O | P | x | x | x | x | Változat | Hossz (opt.) | |||||||||
| Alagút azonosító | Munkamenet azonosító | |||||||||||||||||||||
| Ns (opt.) | Nr (opcionális) | |||||||||||||||||||||
| Eltolási méret (opcionális) | Offset pad (opcionális)...... | |||||||||||||||||||||
| hasznos teheradatok | ||||||||||||||||||||||
Az információs üzeneteknél 0-ra, a vezérlőüzeneteknél 1-re van állítva.
Vezérlőüzenetek esetén ezt a bitet 1-re kell állítani.
Az összes fenntartott bitet 0-ra kell állítani a kimenő üzeneteknél, és figyelmen kívül kell hagyni a bejövő üzeneteket.
A vezérlőüzenetek S bitjét 1-re kell állítani.
A vezérlőüzenetek O bitjét 0-ra kell állítani.
Az 1 érték az L2F csomagok észlelésére van fenntartva, amikor L2TP csomagokkal keverednek. Az ismeretlen Ver mezővel fogadott csomagok el lesznek vetve.
Az AVP üzenet típusa határozza meg a küldendő vezérlőüzenet konkrét típusát.
A kapcsolatkezelés vezérlése
Híváskezelés
Hibaüzenetek
PPP munkamenet-kezelés
Az L2TP alagút PPP munkamenet létrehozásához szükséges eljárás két lépésből áll:
Az alagutat és a megfelelő vezérlőcsatornát a bejövő vagy kimenő hívások kezdeményezése előtt kell kialakítani. L2TP munkamenetet kell létrehozni ahhoz, hogy az L2TP PPP-kereteket küldhessen az alagúton keresztül. Több munkamenet is lehet ugyanabban az alagútban ugyanazon LAC és LNS között.
PPP alagút:
Vezérlő kapcsolat
Ez az elsődleges, amelyet a LAC és az LNS között kell megvalósítani a munkamenet indítása előtt. A vezérlőkapcsolat létrehozása magában foglalja a peer biztonságos azonosítását, valamint az L2TP verzió, a kapcsolati képességek, a keretezés stb.
Az L2TP egy egyszerű, opcionális, CHAP - szerű alagút-hitelesítési rendszert tartalmaz a vezérlőkapcsolat létrehozása során.
Munkamenet létrehozásaA vezérlőkapcsolat sikeres létrehozása esetén egyedi munkamenetek jöhetnek létre. Minden munkamenet egy PPP-forgalomnak felel meg a LAC és az LNS között. A vezérlőkapcsolat létrehozásától eltérően a munkamenet létrehozása aszimmetrikus a LAC és az LNS tekintetében. A LAC kéri az LNS-t, hogy hozzáférjen a bejövő kérések munkamenetéhez, az LNS pedig a LAC-tól, hogy indítson munkamenetet a kimenő kérésekhez.
Amikor az alagút létrejön, a távoli rendszertől a LAC által fogadott PPP-kereteket megfosztják az L2TP-be beágyazott CRC-ktől, link-fejlécektől stb., és továbbítják a megfelelő alagúton. Az LNS fogadja az L2TP csomagot, és úgy dolgozza fel a beágyazott PPP keretet, mintha a helyi PPP interfészen keresztül érkezett volna.
Egy adott munkamenethez és alagúthoz társított üzenet küldője elhelyezi a munkamenet- és alagútazonosítókat (a partner által megadott) az összes kimenő üzenet megfelelő fejlécében.
Sorszámok használata adatcsatornábanAz L2TP fejlécben meghatározott sorszámok a vezérlőüzenetek megbízható szállításának megszervezésére szolgálnak. Mindegyik partner külön számozást tart fenn a vezérlőkapcsolathoz és az alagúton belüli minden egyes információs munkamenethez.
Az L2TP vezérlőcsatornától eltérően az L2TP forgalmi csatorna nem az újraküldéshez használja az üzenetszámozást, hanem a csomagvesztés észlelésére és/vagy a szállítás során kevert csomagok eredeti sorozatának visszaállítására.
Az LNS a munkamenet során (beleértve az első tájékoztató üzenetet is) bármikor kezdeményezheti az üzenetszámozás letiltását.
A Keepalive (Hello) mechanizmusA fenntartó mechanizmust az L2TP használja annak érdekében, hogy különbséget tegyen az alagút állásideje és az alagúton végzett hosszú ellenőrzési vagy információs tevékenység hiánya között. Ez a Hello vezérlőüzenetekkel történik, miután meghatározott idő eltelt azóta, hogy az alagúton keresztül utoljára érkezett vezérlőüzenet. Ha a Hello üzenetet nem kézbesítik, az alagút leállásra kerül, és a rendszer visszatér eredeti állapotába. Az átviteli adathordozó Hello üzenetek bevezetésével történő visszaállításának mechanizmusa biztosítja, hogy az LNS és a LAC közötti kapcsolatszakadást a rendszer az alagút mindkét végén észleli.
Munkamenet megszakításaA munkamenet leállítását a LAC vagy az LNS kezdeményezheti, és egy CDN vezérlőüzenet elküldésével valósítható meg. Az utolsó munkamenet befejezése után a vezérlőkapcsolat is megszakadhat.
A vezérlő kapcsolat megszakításaA vezérlőkapcsolat megszakítását a LAC vagy az LNS kezdeményezheti, és egyetlen StopCCN vezérlőüzenet elküldésével valósul meg.
Az L2TP protokoll öndokumentáló, a szállítási réteg tetején fut. Néhány részletre azonban szükség van[ mi? ] kapcsolat a környezettel, a különböző kompatibilitás biztosítása érdekében[ mi? ] megvalósítások.
Az L2TP protokoll működése során számos biztonsági problémával szembesül. Az alábbiakban bemutatunk néhány megközelítést ezeknek a problémáknak a megoldására.
Az alagútvégek opcionálisan hitelesíthetik egymást az alagút létrehozásakor. Ez a hitelesítés ugyanazokkal a biztonsági attribútumokkal rendelkezik, mint a CHAP , és ésszerű védelmet nyújt a visszajátszás és a hamis támadások ellen az alagút létrehozási folyamata során. A hitelesítés megvalósításához a LAC-oknak és az LNS-eknek meg kell osztaniuk a megosztott titkot.
Az L2TP biztonság biztosítása megköveteli, hogy a szállítási környezet képes legyen adattitkosítást, üzenetintegritást és szolgáltatáshitelesítést biztosítani az összes L2TP forgalom számára. Maga az L2TP felelős az alagútban lévő L2TP-csomagok bizalmas kezeléséért, integritásáért és hitelesítéséért.
Amikor IP -n keresztül fut , az IPsec (secure IP) csomagszintű biztonságot nyújt. Egy adott alagútban minden L2TP vezérlő- és információs csomag normál UDP/IP információs csomagként jelenik meg az IPsec rendszer számára. Az IP-átvitel biztonsága mellett az IPsec olyan működési módot határoz meg, amely lehetővé teszi az IP-csomagok alagútba helyezését, valamint az IPsec-et támogató alkalmazásokhoz szükséges hozzáférés-vezérlést. Ezek az eszközök lehetővé teszik a csomagok szűrését a hálózati és szállítási rétegek jellemzői alapján. Az L2TP alagútmodellben hasonló szűrést hajtanak végre a PPP-n vagy az L2TP-n keresztüli hálózati rétegen.
| Alapvető TCP / IP protokollok az OSI modell rétegei szerint | |
|---|---|
| Fizikai | |
| csatornázott | |
| hálózat | |
| Szállítás | |
| ülés | |
| Reprezentáció | |
| Alkalmazott | |
| Egyéb alkalmazva | |
| A TCP és UDP portok listája | |
| Virtuális magánhálózatok (VPN) | |
|---|---|
| Technológia | |
| Szoftver | |
| VPN-szolgáltatások | |