L2TP

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 21. huhtikuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 14 muokkausta .

L2TP
Nimi	Layer 2 Tunneling Protocol
Taso ( OSI-mallin mukaan )	istunto
Perhe	TCP/IP
Luotu vuonna	1999
Portti/ID	1701/ UDP ,500/ UDP (IKE:lle, salausavainten hallintaan), 4500/ UDP (IPSEC NAT-Traversal -moodille), 50/ ESP (IPSEC), 51/ AH (IPSEC)
Protokollan tarkoitus	VPN:n rakentaminen
Erittely	RFC 2661

L2TP ( englanninkielinen Layer 2 Tunneling Protocol - Layer 2 Tunneling Protocol ) - tietokoneverkoissa tunnelointiprotokolla, jota käytetään tukemaan virtuaalisia yksityisiä verkkoja . L2TP:n tärkein etu on, että tämän protokollan avulla voit luoda tunnelin IP-verkkojen lisäksi myös verkoissa, kuten ATM , X.25 ja Frame Relay [1] .

Vaikka L2TP toimii kuin OSI- mallin linkkikerroksen protokolla , se on itse asiassa istuntokerroksen protokolla ja käyttää rekisteröityä UDP - porttia 1701 [2] .

Historia

1996 - 1997 - kilpailu L2F - protokollien ( Cisco ) ja PPTP ( Microsoft ) välillä
1997 - kehittäjien välinen sopimus L2TP - protokollan yhteisestä kehittämisestä
1999 - RFC 2661 julkaistu , joka kuvaa L2TP - protokollaa

Laskee[ kenen toimesta? ] että L2TP- protokollassa on L2F :n ja PPTP :n parhaat ominaisuudet [1] .

Työsuunnitelma

Kaavio näyttää kuinka L2TP-protokolla toimii.

LAN - paikalliset verkot ( Local Area Network ), jotka on yhdistetty L2TP:n kautta;
Tietokone - tietokoneet, jotka on kytketty suoraan paikalliseen verkkoon;
LNS - L2TP-verkkopalvelin, paikallisverkkoyhteyspalvelin L2TP:n kautta;
LAC - L2TP Access Concentrator, laite käyttäjien läpinäkyvään yhdistämiseen LNS:ään yhden tai toisen arkkitehtuurin verkon kautta;
Etäjärjestelmä - järjestelmä, joka haluaa muodostaa yhteyden lähiverkkoon L2TP:n kautta;
LAC-asiakas - tietokone, joka toimii LAC:na itselleen yhteyden muodostamiseksi LNS:ään;
PSTN - kytketty puhelinverkko (Public Switched Telephone Network);
Internet, Frame Relay tai ATM ovat eri arkkitehtuurien verkkoja.

Tavoitteena on tunneloida PPP -kehykset etäjärjestelmän tai asiakkaan LAC :n ja lähiverkossa isännöidyn LNS:n välillä [ 3] .

Etäjärjestelmä aloittaa PPP-yhteyden LAC:hen yleisen puhelinverkon (PSTN) kautta. LAC tunneloi sitten PPP-yhteyden Internetin, Frame Relayn tai ATM:n kautta LNS:ään, jolloin pääsee lähdeverkkoon. Etäjärjestelmän osoitteet toimitetaan lähdeverkkoon PPP NCP :n kanssa neuvotellen . LAN-hallinta voi tarjota todennuksen, valtuutuksen ja kirjanpidon ikään kuin käyttäjä olisi suoraan yhteydessä NAS -verkkoyhteyspalvelimeen .

LAC-asiakas (L2TP-ohjelmaa ajava isäntä) voi myös osallistua tunnelointiin lähdeverkkoon ilman erillistä LAC:ta, jos LAC-asiakasohjelman sisältävällä isännällä on jo Internet-yhteys. Luodaan "virtuaalinen" PPP-yhteys ja paikallinen L2TP LAC -ohjelma muodostaa tunnelin LNS:ään. Kuten yllä olevassa tapauksessa, osoitteen, todentamisen, valtuutuksen ja kirjanpidon tarjoaa lähdeverkon ohjausalue.

Protokollan yleiskatsaus

L2TP käyttää kahdenlaisia paketteja: ohjaus- ja dataviestejä. Ohjausviestejä käytetään tunneleiden ja kutsujen perustamisessa, ylläpidossa ja lopettamisessa. Informatiivisia viestejä käytetään tunnelin yli lähetettyjen PPP-kehysten kapseloimiseen. Ohjausviestit käyttävät luotettavaa ohjauskanavaa L2TP:ssä toimitusten varmistamiseksi. Tietoviestejä ei lähetetä uudelleen, kun ne katoavat.

Protokollan rakenne:

PPP-kehykset
L2TP-tiedotusviestit	L2TP-ohjausviestit
L2TP-siirtotie (epäluotettava)	L2TP-ohjauskanava (luotettava)
Pakettikuljetus (UDP, FR, ATM jne.)

Ohjaussanomassa on järjestysnumero, jota käytetään ohjauskanavassa luotettavan toimituksen varmistamiseksi. Tietosanomissa voidaan käyttää järjestysnumeroita pakettien uudelleenjärjestämiseen ja kehyshäviön havaitsemiseen. Kaikki koodit lähetetään verkkoille hyväksytyssä järjestyksessä.

Otsikon muoto

Ohjaus- ja verkkokanavien L2TP-paketit käyttävät samaa otsikkomuotoa:

0	yksi	2	3	neljä	5	6	7	kahdeksan	9	kymmenen	yksitoista	12	13	neljätoista	viisitoista	16	31
T	L	x	x	S	x	O	P	x	x	x	x	Versio				Pituus (opt.)
Tunnelin tunnus																Istunnon tunniste
Ns (opt.)																Nro (opt.)
Offset-koko (opt.)																Offset-tyyny (opt.)......
hyötykuormatiedot

Tyyppibitti (T) kuvaa paketin tyyppiä.

Se on asetettu arvoon 0 informaatioviesteille ja 1:ksi ohjausviesteille.

Jos pituusbitti (L) on 1, pituuskenttä on olemassa.

Ohjausviesteissä tämä bitti on asetettava arvoon 1.

X-bitit on varattu tulevaa käyttöä varten.

Kaikki varatut bitit on asetettava arvoon 0 lähteville viesteille ja jätettävä huomiotta saapuville viesteille.

Jos sekvenssibitti (S) on 1, Ns- ja Nr-kentät ovat läsnä.

Ohjausviestien S-bitti on asetettava arvoon 1.

Jos offset-bitti (O) on 1, offset-arvon kenttä on olemassa.

Ohjausviestien O-bitin on oltava 0.

Prioriteettibitti (P) on asetettava arvoon 0 kaikille ohjausviesteille. Jos tämä bitti on asetettu 1:ksi tiedotusviesteissä, tällä informaatioviestillä on prioriteetti jonossa.
Ver-kenttä ilmaisee L2TP-tietosanoman otsikon version.

Arvo 1 on varattu L2F-pakettien havaitsemiseen, kun niitä sekoitetaan L2TP-pakettien kanssa. Tuntemattomalla Ver-kentällä vastaanotetut paketit hylätään.

Pituus-kenttä (valinnainen) määrittää viestin kokonaispituuden okteteina.
Tunneli sisältää ohjausyhteyden tunnuksen. L2TP-tunnelitunnuksilla on vain paikallinen merkitys. Eli saman tunnelin eri päillä on oltava eri tunnukset. Jokaisen viestin tunnelin tunnuksen on oltava se, jota vastaanottaja odottaa. Tunnelitunnukset valitaan tunnelia muodostettaessa.
Istuntotunnus määrittää tämän tunnelin istunnon tunnisteen. L2TP-istunnot on nimetty tunnisteilla, joilla on vain paikallinen merkitys. Jokaisen viestin istuntotunnuksen on oltava se, jota vastaanottaja odottaa. Istuntotunnukset valitaan istuntoa muodostettaessa.
Ns-kenttä määrittää informaatio- tai ohjaussanoman sarjanumeron alkaen nollasta ja kasvaen 1:llä (modulo 2 16 ) jokaiselle lähetetylle viestille.
Nro-kenttä sisältää seuraavan viestin odotetun järjestysnumeron. Siten Nr on yhtä suuri kuin viimeksi vastaanotetun viestin Ns plus 1 (modulo 216 ) . Dataviesteissä nro on varattu, ja jos se on olemassa (S-bitin määrittämänä), se jätetään huomiotta vastaanotettaessa.
Offset Size -kenttä , jos sellainen on, määrittää L2TP-otsikon jälkeen olevien oktettien määrän, josta tietokentän tulee alkaa. Siirretyn paikkamerkin sisältö on määrittelemätön. Jos offset-kenttä on läsnä, L2TP-otsikko päättyy offset-täytön päättävän oktetin jälkeen.

Ohjausviestien tyypit

AVP-sanoman tyyppi määrittää lähetettävän ohjausviestin tyypin.

Ohjaa yhteydenhallintaa

0 (varattu)
1 (SCCRQ) Start-Control-Connection-Request
2 (SCCRP) Käynnistä-Ohjaus-Yhteys-Vastaa
3 (SCCCN) Käynnistys-Ohjaus-Yhteys-Kytketty
4 (StopCCN) Stop-Control-Connection-Notification
5 (varattu)
6 (HELLO) Hei

Puhelunhallinta

7 (OCRQ) Outgoing-Call-Request
8 (OCRP) Outgoing-Call-Reply
9 (OCCN) Outgoing-Call-Connected
10 (ICRQ) Incoming-Call-Request
11 (ICRP) Incoming-Call-Reply
12 (ICCN) Incoming-Call-Connected
13 (varattu)
14 (CDN) Soita - Katkaise yhteys - Ilmoita

Virheilmoitukset

15 (WEN) WAN-Error-Notify

PPP-istunnon hallinta

16 (SLI) Set-Link-Info

Protokollatoiminnot

Tarvittava menettely L2TP-tunnelointi-PPP-istunnon muodostamiseksi sisältää kaksi vaihetta:

tunnelin ohjauskanavan perustaminen
istunnon muodostaminen saapuvan tai lähtevän puhelun pyynnön mukaan.

Tunneli ja sitä vastaava ohjauskanava on muodostettava ennen saapuvien tai lähtevien puhelujen aloittamista. L2TP-istunto on muodostettava ennen kuin L2TP voi lähettää PPP-kehyksiä tunnelin läpi. Samassa tunnelissa voi olla useita istuntoja saman LAC:n ja LNS:n välillä.

PPP-tunnelointi:

Ohjaa yhteyttä

On ensisijainen, joka on otettava käyttöön LAC:n ja LNS:n välillä ennen istunnon aloittamista. Ohjausyhteyden muodostaminen sisältää vertaiskäyttäjän turvallisen tunnistamisen sekä L2TP-version, linkkiominaisuuksien, kehystyksen jne.

L2TP sisältää yksinkertaisen, valinnaisen, CHAP - tyyppisen tunnelitunnistusjärjestelmän ohjausyhteyden muodostamisen aikana.

Istunnon perustaminen

Kun ohjausyhteys on muodostettu onnistuneesti, voidaan muodostaa yksittäisiä istuntoja. Jokainen istunto vastaa yhtä PPP-liikennettä LAC:n ja LNS:n välillä. Toisin kuin ohjausyhteyden muodostaminen, istunnon muodostaminen on epäsymmetristä LAC:n ja LNS:n suhteen. LAC pyytää LNS:ää pääsemään istuntoon saapuvia pyyntöjä varten, ja LNS pyytää LAC:ta aloittamaan istunnon lähteville pyynnöille.

Kun tunneli muodostetaan, LAC:n vastaanottamista PPP-kehyksistä etäjärjestelmästä poistetaan CRC:t, linkkiotsikot jne., jotka on kapseloitu L2TP:hen, ja lähetetään edelleen sopivan tunnelin kautta. LNS vastaanottaa L2TP-paketin ja käsittelee kapseloidun PPP-kehyksen ikään kuin se olisi vastaanotettu paikallisen PPP-rajapinnan kautta.

Tiettyyn istuntoon ja tunneliin liittyvän viestin lähettäjä sijoittaa istunnon ja tunnelin tunnukset (vertaisyrityksen määrittämät) kaikkien lähtevien viestien asianmukaisiin otsikkokenttiin.

Järjestysnumeroiden käyttäminen datakanavassa

L2TP-otsikossa määriteltyjä järjestysnumeroita käytetään ohjaussanomien luotettavan kuljetuksen järjestämiseen. Jokainen vertaispiiri ylläpitää erillistä numerointia ohjausyhteydelle ja jokaiselle tunnelin sisällä olevalle informaatioistunnolle.

Toisin kuin L2TP-ohjauskanava, L2TP-liikennekanava ei käytä sanomien numerointia uudelleenlähetykseen, vaan pakettien katoamisen havaitsemiseen ja/tai alkuperäisen kuljetuksen aikana sekoitettujen pakettien sekvenssin palauttamiseen.

LNS voi aloittaa viestien numeroinnin eston milloin tahansa istunnon aikana (mukaan lukien ensimmäinen informaatiosanoma).

Keepalive (Hei) -mekanismi

L2TP käyttää Keepalive-mekanismia erottamaan tunnelin seisokit ja pitkiä jaksoja, joissa tunnelissa ei ole valvontaa tai tietoa. Tämä tehdään Hello-ohjausviesteillä, kun tietty aika on kulunut siitä, kun viimeksi vastaanotettiin ohjausviesti tunnelin kautta. Jos Hello-viestiä ei toimiteta, tunneli julistetaan alas ja järjestelmä palaa alkuperäiseen tilaansa. Siirtomedian nollausmekanismi Hello-viestien avulla varmistaa, että LNS:n ja LAC:n välinen linkkikatkos havaitaan tunnelin molemmissa päissä.

Istunnon keskeytys

LAC tai LNS voi aloittaa istunnon lopettamisen, ja se suoritetaan lähettämällä CDN-ohjausviesti. Kun viimeinen istunto on katkaistu, ohjausyhteys voidaan myös katkaista.

Ohjausyhteyden katkeaminen

Ohjausyhteyden katkaisemisen voi aloittaa LAC tai LNS ja se suoritetaan lähettämällä yksi StopCCN-ohjausviesti.

L2TP:n käyttöönotto tietyn median kautta

L2TP-protokolla on itsedokumentoiva ja toimii siirtokerroksen päällä. Joitakin yksityiskohtia kuitenkin tarvitaan[ mitä? ] yhteys ympäristöön, jotta voidaan varmistaa erilaisten yhteensopivuus[ mitä? ] toteutukset.

Turvallisuusnäkökohdat

L2TP-protokollalla on useita turvallisuusongelmia sen toiminnassa. Joitakin lähestymistapoja näiden ongelmien ratkaisemiseksi käsitellään alla.

Turvallisuus tunnelin päässä

Tunnelin päät voivat valinnaisesti todentaa toisensa tunnelia perustettaessa. Tällä todennuksella on samat suojausattribuutit kuin CHAP :lla, ja sillä on kohtuullinen suoja toisto- ja huijaushyökkäyksiltä tunnelin perustamisprosessin aikana. Todennuksen toteuttamiseksi LAC:iden ja LNS:ien on jaettava yhteinen salaisuus.

Pakettitason suojaus

L2TP-suojauksen varmistaminen edellyttää, että kuljetusympäristö pystyy tarjoamaan tiedon salauksen, viestien eheyden ja palvelutodennuksen kaikkeen L2TP-liikenteeseen. L2TP itse vastaa tunnelin sisällä olevien L2TP-pakettien luottamuksellisuudesta, eheydestä ja todentamisesta.

L2TP ja IPsec

Käytettäessä IP : n yli IPsec (secure IP) tarjoaa pakettitason suojauksen. Kaikki tietyn tunnelin L2TP-ohjaus- ja tietopaketit näyttävät IPsec-järjestelmälle tavallisina UDP/IP-tietopaketteina. IP-siirtosuojauksen lisäksi IPsec määrittelee toimintatavan, joka mahdollistaa IP-pakettien tunneloinnin, sekä IPseciä tukeville sovelluksille vaadittavat pääsynhallintalaitteet. Näiden työkalujen avulla voit suodattaa paketteja verkko- ja siirtokerrosten ominaisuuksien perusteella. L2TP-tunnelimallissa samanlainen suodatus suoritetaan PPP- tai verkkokerroksessa L2TP:n yli.

Muistiinpanot

↑ 1 2 Valitse VPN-protokolla . Haettu 14. maaliskuuta 2022. Arkistoitu alkuperäisestä 23. tammikuuta 2022. (määrätön)
↑ Luettelo porteista, arkistoitu 4. kesäkuuta 2001 Wayback Machinessa IANA :n verkkosivuilla
↑ L2 Network Layer Tunnel Protocol (L2TP) -arkistokopio , päivätty 29. joulukuuta 2011 Wayback Machinessa / Yu. A. Semjonov . Tietoliikenneteknologiat - tietoliikennetekniikat - v. 3.5 – M.: SSC ITEF, 2010

Linkit

(venäjä) L2TP (Layer Two Tunneling Protocol) Microsoft Technetissä
(venäjä) L2TP VPN:n määrittäminen Windowsissa
(Suomi) RFC 2661 Layer Two Tunneling Protocol "L2TP".
(Suomi) RFC 2341 Cisco Layer Two Forwarding (protokolla) "L2F". (L2TP:n edeltäjä.)
(Englanti) RFC 2637 Point-to-Point Tunneling Protocol (PPTP). (L2TP:n edeltäjä.)
(Englanti) RFC 2809 L2TP:n pakollisen tunneloinnin toteutus RADIUS:n kautta.
(Englanti) RFC 2888 Secure Remote Access L2TP:n avulla.
(Englanti) RFC 3070 Layer Two Tunneling Protocol (L2TP) Frame Relayn kautta.
(Finnish) RFC 3145 L2TP:n katkaiseminen Syytiedot.
(Suomi) RFC 3193 L2TP -suojaus IPsecillä.
(Suomi) RFC 3301 Layer Two Tunneling Protocol (L2TP): ATM-liityntäverkko.
(Englanti) RFC 3308 Layer Two Tunneling Protocol (L2TP) -differentioidut palvelut.
(englanniksi) RFC 3355 Layer Two Tunneling Protocol (L2TP) ATM Adaptation Layer 5:n (AAL5) yli.
(Englanti) RFC 3371 Layer Two Tunneling Protocol "L2TP" Management Information Base.
(Suomi) RFC 3437 Layer Two Tunneling Protocol Extensions for PPP Link Control Protocol Negotiation.
RFC 3438 Layer Two Tunneling Protocol ( L2TP) Internet Assigned Numbers: Internet Assigned Numbers Authority (IANA) huomioiden päivitys.
(Englanti) RFC 3573 Signaling of Modem-On-Hold -tilasta Layer 2 Tunneling Protocol (L2TP) -protokollassa.
(Englanti) RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay PPP over Ethernet (PPPoE) -palvelimelle.
(Englanti) RFC 3931 Layer Two Tunneling Protocol - versio 3 (L2TPv3).
(englanniksi) RFC 4045 -laajennukset, jotka tukevat monilähetysliikenteen tehokasta siirtoa Layer-2 Tunneling Protocol (L2TP) -protokollassa.
(Suomi) IANA on määrittänyt numerot L2TP:lle.
(Englanti) L2TP Extensions Working Group (l2tpext) - (jossa tulevaa standardointityötä koordinoidaan).
(eng.) L2TP/IPSec XP-asiakkaasta Windows 2003 Serveriin - L2TP/IPSec XP-asiakkaasta Windows 2003 Serveriin.

TCP /IP-perusprotokollat OSI -mallin kerroksittain
Fyysinen	ethernet RS-232 YVA-422 RS-449 RS-485
kanavoitu	ethernet PPPoE PPP L2F 802.11 WiFi 802.16 WiFi merkkisormus ARCNET FDDI HDLC LIPSAHDUS Pankkiautomaatti VOI DTM X.25 kehysrele IEEE 802.1aq SMDS STP ERPS ARP
verkkoon	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Kuljetus	TCP ( krypta ) UDP SCTP DCCP RDP/ RUDP RTP SPX TLS 1.3
istunto	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP POSTINUMERO SDP
Edustus	XDR SSL TLS
Sovellettu	BGP HTTP ( S ) DHCP IRC gopher sormi SNMP DNS ( SEC ) NNTP XMPP SIEMAILLA IPP NTP SNTP Sähköposti SMTP POP3 IMAP4_ _ Tiedostonsiirto FTP TFTP SFTP FTPS webdav SMB Etäyhteys rlogin telnet SSH RDP
Muuta sovellettu	bitcoin OSCAR MTProto Multicast FTP Monilähde FTP bittorrent Gnutella Skype
Luettelo TCP- ja UDP-porteista

Virtuaaliset yksityisverkot (VPN)
Tekniikka	IPsec L2TP PPTP Jaettu tunnelointi Tason 2 edelleenlähetysprotokolla Suora pääsy
Ohjelmisto	Hamachi n2n verkon johtaja NeoRouter openvpn rp-pppoe tcpcrypt Vyatta lankasuoja
VPN-palvelut	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Protoni VPN psifoni Surfhai