L2TP

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 21. dubna 2019; kontroly vyžadují 14 úprav .

L2TP
název	Protokol tunelování vrstvy 2
Úroveň (podle modelu OSI )	zasedání
Rodina	TCP/IP
Vytvořeno v	1999
Port/ID	1701/ UDP ,500/ UDP (pro IKE, pro správu šifrovacích klíčů),4500/ UDP (pro režim IPSEC NAT-Traversal),50/ ESP (pro IPSEC),51/ AH (pro IPSEC)
Účel protokolu	budování VPN
Specifikace	RFC 2661

L2TP ( anglicky Layer 2 Tunneling Protocol - layer 2 tunneling protocol ) - v počítačových sítích tunelovací protokol používaný k podpoře virtuálních privátních sítí . Hlavní výhodou L2TP je, že tento protokol umožňuje vytvořit tunel nejen v IP sítích, ale také v sítích jako ATM , X.25 a Frame Relay [1] .

Ačkoli se L2TP chová jako protokol linkové vrstvy modelu OSI , ve skutečnosti se jedná o protokol vrstvy relace a používá registrovaný UDP port 1701 [2] .

Historie

1996-1997 - konkurence mezi protokoly L2F ( Cisco ) a PPTP ( Microsoft )
1997 - dohoda mezi vývojáři o společném vývoji protokolu L2TP
1999 – Vydán RFC 2661 , popisující protokol L2TP

Počítání[ kým? ] že protokol L2TP obsahuje nejlepší vlastnosti L2F a PPTP [1] .

Schéma práce

Diagram ukazuje, jak funguje protokol L2TP.

LAN - lokální sítě ( Local Area Network ), které jsou propojeny pomocí L2TP;
Počítač - počítač (počítače) připojený přímo k místní síti;
LNS - L2TP Network Server, server pro přístup k místní síti přes L2TP;
LAC - L2TP Access Concentrator, zařízení pro transparentní připojení svých uživatelů k LNS prostřednictvím sítě té či oné architektury;
Vzdálený systém - systém, který se chce připojit k LAN přes L2TP;
LAC klient – počítač, který pro sebe funguje jako LAC pro připojení k LNS;
PSTN - komutovaná telefonní síť (Public Switched Telephone Network);
Internet, Frame Relay nebo ATM jsou sítě různých architektur.

Cílem je tunelovat PPP rámce mezi vzdáleným systémem nebo klientským LAC a LNS hostovaným v LAN [3] .

Vzdálený systém zahájí připojení PPP k LAC prostřednictvím veřejné telefonní sítě (PSTN). LAC pak tuneluje PPP připojení přes internet, Frame Relay nebo ATM do LNS, čímž přistupuje ke zdrojové LAN. Adresy do vzdáleného systému jsou poskytovány zdrojové LAN prostřednictvím vyjednávání s PPP NCP . Ověřování, autorizaci a účtování může zajišťovat oblast správy LAN, jako by byl uživatel přímo připojen k serveru pro přístup k síti NAS .

Klient LAC (hostitel s programem L2TP) se může také účastnit tunelování do zdrojové LAN bez použití samostatného LAC, pokud hostitel obsahující klientský program LAC již má připojení k internetu. Vytvoří se „virtuální“ připojení PPP a místní program L2TP LAC vytvoří tunel k LNS. Stejně jako ve výše uvedeném případě bude adresování, autentizace, autorizace a účtování zajišťováno řídicí oblastí zdrojové LAN.

Přehled protokolu

L2TP používá dva druhy paketů: řídicí a datové zprávy. Řídicí zprávy se používají při vytváření, údržbě a ukončování tunelů a hovorů. Informační zprávy se používají k zapouzdření rámců PPP odeslaných přes tunel. Řídicí zprávy používají spolehlivý řídicí kanál v rámci L2TP k zajištění doručení. Informační zprávy se při ztrátě neposílají znovu.

Struktura protokolu:

PPP rámy
Informační zprávy L2TP	L2TP řídicí zprávy
Nosič L2TP (nespolehlivý)	L2TP řídicí kanál (spolehlivý)
Přeprava paketů (UDP, FR, ATM atd.)

Řídicí zpráva má pořadové číslo používané na řídicím kanálu pro zajištění spolehlivého doručení. Informační zprávy mohou používat sekvenční čísla pro změnu pořadí paketů a detekci ztráty rámce. Všechny kódy jsou zasílány v pořadí akceptovaném pro sítě.

Formát názvu

Pakety L2TP pro řídicí a nosné kanály používají stejný formát záhlaví:

0	jeden	2	3	čtyři	5	6	7	osm	9	deset	jedenáct	12	13	čtrnáct	patnáct	16	31
T	L	X	X	S	X	Ó	P	X	X	X	X	Verze				Délka (volitelná)
ID tunelu																ID relace
Ns (volitelná)																Nr (volitelně)
Velikost odsazení (volitelná)																Offsetová podložka (volitelná)......
údaje o užitečné zátěži

Typ bit (T) charakterizuje druh paketu.

Je nastavena na 0 pro informační zprávy a 1 pro řídicí zprávy.

Pokud je bit délky (L) 1, pole délky je přítomno.

U řídicích zpráv musí být tento bit nastaven na 1.

Bity x jsou vyhrazeny pro budoucí použití.

Všechny rezervované bity musí být nastaveny na 0 pro odchozí zprávy a ignorovány pro příchozí zprávy.

Pokud je sekvenční bit (S) 1, jsou přítomna pole Ns a Nr.

Bit S pro řídicí zprávy musí být nastaven na 1.

Pokud je offsetový bit (O) 1, je přítomno pole hodnoty offsetu.

Bit O pro řídicí zprávy musí být nastaven na 0.

Bit priority (P) musí být nastaven na 0 pro všechny řídicí zprávy. Pro informační zprávy, pokud je tento bit nastaven na 1, má tato informační zpráva prioritu ve frontě.
Pole Ver označuje verzi záhlaví informační zprávy L2TP.

Hodnota 1 je vyhrazena pro detekci paketů L2F, když jsou smíchány s pakety L2TP. Pakety přijaté s neznámým polem Ver jsou zahozeny.

Pole Délka (volitelné) udává celkovou délku zprávy v oktetech.
Tunel- id obsahuje ID řídicího připojení. ID tunelu L2TP mají pouze místní význam. To znamená, že různé konce stejného tunelu musí mít různá ID. ID tunelu v každé zprávě musí být takové, jaké příjemce očekává. ID tunelu se vybírají při vytváření tunelu.
ID relace určuje identifikátor relace tohoto tunelu. Relace L2TP jsou pojmenovány pomocí identifikátorů, které mají pouze místní význam. ID relace v každé zprávě musí být to, které příjemce očekává. ID relace se vyberou při vytvoření relace.
Pole Ns udává sériové číslo informační nebo řídicí zprávy, počínaje nulou a zvyšující se o 1 (modulo 2 16 ) pro každou odeslanou zprávu.
Pole Nr obsahuje pořadové číslo očekávané pro další zprávu. Nr se tedy rovná Ns poslední přijaté zprávy plus 1 (modulo 2 16 ). V datových zprávách je číslo Nr rezervováno a pokud je přítomno (jak je určeno bitem S), musí být při příjmu ignorováno.
Pole Offset Size , pokud je přítomno, určuje počet oktetů za hlavičkou L2TP, kde má datové pole začínat. Obsah zástupného symbolu posunu není definován. Pokud je přítomno offsetové pole, hlavička L2TP je ukončena po ukončovacím oktetu offsetové výplně.

Typy kontrolních zpráv

Typ zprávy AVP určuje konkrétní typ řídicí zprávy, která má být odeslána.

Ovládání správy připojení

0 (rezervováno)
1 (SCCRQ) Start-Control-Connection-Request
2 (SCCRP) Start-Control-Connection-Reply
3 (SCCCN) Start-Control-Connection-Connected
4 (StopCCN) Stop-Control-Connection-Notification
5 (rezervováno)
6 (AHOJ) Dobrý den

Správa hovorů

7 (OCRQ) Požadavek na odchozí hovor
8 (OCRP) Odchozí hovor-odpověď
9 (OCCN) Odchozí volání-připojeno
10 (ICRQ) Požadavek na příchozí hovor
11 (ICRP) Incoming-Call-Reply
12 (ICCN) Příchozí volání-připojeno
13 (rezervováno)
14 (CDN) Call-Disconnect-Notify

Chybové zprávy

15 (WEN) WAN-Error-Notify

Správa relací PPP

16 (SLI) Set-Link-Info

Operace protokolu

Nezbytný postup pro vytvoření relace PPP tunelování L2TP zahrnuje dva kroky:

vytvoření řídícího kanálu pro tunel
vytvoření relace v souladu s požadavkem příchozího nebo odchozího hovoru.

Tunel a odpovídající řídicí kanál musí být vytvořen před zahájením příchozích nebo odchozích hovorů. Než bude moci L2TP odesílat rámce PPP tunelem, musí být vytvořena relace L2TP. Mezi stejným LAC a LNS může být více relací ve stejném tunelu.

PPP tunelování:

Kontrolní připojení

Je primární, která musí být implementována mezi LAC a LNS před zahájením relace. Navázání řídicího připojení zahrnuje bezpečnou identifikaci partnera a také určení verze L2TP, schopností propojení, rámování atd.

L2TP zahrnuje jednoduchý, volitelný tunelový autentizační systém podobný CHAP během navazování řídicího spojení.

Založení relace

Po úspěšném navázání řídicího spojení mohou být vytvořeny individuální relace. Každá relace odpovídá jednomu provozu PPP mezi LAC a LNS. Na rozdíl od navázání řídicího spojení je navázání relace asymetrické s ohledem na LAC a LNS. LAC žádá LNS o přístup k relaci pro příchozí požadavky a LNS žádá LAC o zahájení relace pro odchozí požadavky.

Když se vytvoří tunel, rámce PPP ze vzdáleného systému přijaté LAC jsou zbaveny CRC, hlaviček odkazů atd. zapouzdřených v L2TP a předány přes příslušný tunel. LNS přijme paket L2TP a zpracuje zapouzdřený rámec PPP, jako by byl přijat přes místní rozhraní PPP.

Odesílatel zprávy přidružené k určité relaci a tunelu umístí ID relace a tunelu (zadané partnerem) do příslušných polí záhlaví všech odchozích zpráv.

Použití pořadových čísel v datovém kanálu

Sekvenční čísla definovaná v hlavičce L2TP se používají k organizaci spolehlivého přenosu řídicích zpráv. Každý peer udržuje samostatné číslování pro řídicí připojení a pro každou informační relaci v tunelu.

Na rozdíl od řídicího kanálu L2TP používá komunikační kanál L2TP číslování zpráv nikoli pro opakovaný přenos, ale pro detekci ztráty paketů a/nebo obnovení původní sekvence paketů smíchaných během přenosu.

LNS může zahájit potlačení číslování zpráv kdykoli během relace (včetně první informační zprávy).

Mechanismus keepalive (Hello)

Mechanismus keepalive používá L2TP k rozlišení mezi prostoji tunelu a dlouhými obdobími bez kontroly nebo informační aktivity v tunelu. To se provádí pomocí řídicích zpráv Hello po uplynutí stanovené doby od posledního přijetí řídicí zprávy tunelem. Pokud není zpráva Hello doručena, tunel je prohlášen za dolů a systém se vrátí do původního stavu. Mechanismus pro resetování transportního média zavedením zpráv Hello zajišťuje, že přerušení spojení mezi LNS a LAC je detekováno na obou koncích tunelu.

Přerušení relace

Ukončení relace může být zahájeno LAC nebo LNS a je provedeno odesláním řídící zprávy CDN. Po ukončení poslední relace může být ukončeno i řídicí spojení.

Přerušení řídicího spojení

Ukončení řídicího spojení může být iniciováno LAC nebo LNS a je provedeno odesláním jediné řídicí zprávy StopCCN.

Implementace L2TP prostřednictvím specifického média

Protokol L2TP je samodokumentující a běží nad transportní vrstvou. Jsou však potřeba některé detaily[ co? ] spojení s okolím, aby byla zajištěna kompatibilita různých[ co? ] implementace.

Bezpečnostní aspekty

Protokol L2TP se při svém provozu potýká s několika bezpečnostními problémy. Některé přístupy k řešení těchto problémů jsou diskutovány níže.

Zabezpečení na konci tunelu

Konce tunelů se mohou při vytváření tunelu volitelně navzájem autentizovat. Tato autentizace má stejné bezpečnostní atributy jako CHAP a má přiměřenou ochranu proti přehrání a falešným útokům během procesu vytváření tunelu. Pro implementaci ověřování musí LAC a LNS sdílet sdílené tajemství.

Zabezpečení na úrovni paketů

Zajištění zabezpečení L2TP vyžaduje, aby transportní prostředí bylo schopno zajistit šifrování dat, integritu zpráv a ověřování služeb pro veškerý provoz L2TP. Samotný L2TP je zodpovědný za důvěrnost, integritu a ověřování paketů L2TP uvnitř tunelu.

L2TP a IPsec

Při běhu přes IP poskytuje IPsec (zabezpečená IP) zabezpečení na úrovni paketů. Všechny pakety řízení a informací L2TP v konkrétním tunelu se systému IPsec zobrazují jako běžné informační pakety UDP/IP. Kromě zabezpečení přenosu IP IPsec definuje režim provozu, který umožňuje tunelování IP paketů a také řízení přístupu, které jsou vyžadovány pro aplikace podporující IPsec. Tyto nástroje umožňují filtrovat pakety na základě charakteristik sítě a transportních vrstev. V modelu tunelu L2TP se podobné filtrování provádí na PPP nebo síťové vrstvě přes L2TP.

Poznámky

↑ 1 2 Vyberte protokol VPN . Získáno 14. března 2022. Archivováno z originálu dne 23. ledna 2022. (neurčitý)
↑ Seznam portů Archivováno 4. června 2001 na Wayback Machine na webu IANA
↑ Protokol L2 Network Layer Tunnel Protocol (L2TP) Archivní kopie ze dne 29. prosince 2011 na Wayback Machine / Yu. A. Semjonov . Telekomunikační technologie - telekomunikační technologie - v. 3,5 - M.: SSC ITEF, 2010

Odkazy

(Russian) L2TP (Layer Two Tunneling Protocol) na Microsoft Technet
(Ruština) Nastavení L2TP VPN ve Windows
(anglicky) RFC 2661 Layer Two Tunneling Protocol "L2TP".
(anglicky) RFC 2341 Cisco Layer Two Forwarding (Protokol) "L2F". (Předchůdce L2TP.)
(anglicky) RFC 2637 Point-to-Point Tunneling Protocol (PPTP). (Předchůdce L2TP.)
(anglicky) RFC 2809 Implementace L2TP povinného tunelování přes RADIUS.
(anglicky) RFC 2888 Zabezpečený vzdálený přístup pomocí L2TP.
(anglicky) RFC 3070 Layer Two Tunneling Protocol (L2TP) přes Frame Relay.
(Czech) RFC 3145 L2TP Disconnect Informace o příčině.
(Česky) Zabezpečení RFC 3193 L2TP pomocí IPsec.
(anglicky) RFC 3301 Layer Two Tunneling Protocol (L2TP): ATM přístupová síť.
(anglicky) RFC 3308 Layer Two Tunneling Protocol (L2TP) Differentiated Services.
(anglicky) RFC 3355 Layer Two Tunneling Protocol (L2TP) přes ATM Adaptation Layer 5 (AAL5).
(anglicky) RFC 3371 Layer Two Tunneling Protocol "L2TP" Management Information Base.
(anglicky) RFC 3437 Layer Two Rozšíření tunelového protokolu pro vyjednávání protokolu řízení spojení PPP.
RFC 3438 Layer Two Tunneling Protocol ( L2TP) Internet Assigned Numbers: Aktualizace úvah úřadu IANA (Internet Assigned Numbers Authority).
(anglicky) RFC 3573 Signalizace stavu zablokování modemu v protokolu Layer 2 Tunneling Protocol (L2TP).
(Česky) RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay pro PPP over Ethernet (PPPoE).
(anglicky) RFC 3931 Layer Two Tunneling Protocol – verze 3 (L2TPv3).
(Česky) Rozšíření RFC 4045 pro podporu efektivního přenosu multicastového provozu v protokolu Layer-2 Tunneling Protocol (L2TP).
(anglicky) IANA přidělila čísla pro L2TP.
(anglicky) L2TP Extensions Working Group (l2tpext) - (kde se koordinují budoucí normalizační práce).
(eng.) L2TP/IPSec z klienta XP na Windows 2003 Server - L2TP/IPSec z klienta XP na Windows 2003 Server.

Základní protokoly TCP /IP podle vrstev modelu OSI
Fyzický	ethernet RS-232 EIA-422 RS-449 RS-485
odvedeny	ethernet PPPoE PPP L2F WiFi 802.11 WiFi 802.16 žetonový prsten ARCNET FDDI HDLC UKLOUZNUTÍ bankomat UMĚT DTM X.25 rámové relé IEEE 802.1aq SMDS STP ERPS ARP
síť	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Doprava	TCP ( krypta ) UDP SCTP DCCP RDP/ RUDP RTP SPX TLS 1.3
zasedání	ADSP H.245 iSNS NetBIOS PAP RPC L2TP PPTP RTCP SMPP SCP ZIP SDP
Zastoupení	XDR SSL TLS
Aplikovaný	BGP HTTP ( S ) DHCP IRC gopher prst SNMP DNS ( SEC ) NNTP XMPP SIP IPP NTP SNTP E-mailem SMTP POP3 IMAP4 _ Přenos souboru FTP TFTP SFTP FTPS webdav SMB Vzdálený přístup rlogin telnet SSH RDP
Uplatněno jiné	bitcoin OSCAR MTProto Multicast FTP Vícezdrojový FTP bittorrent Gnutella Skype
Seznam portů TCP a UDP

Virtuální privátní sítě (VPN)
Technika	IPsec L2TP PPTP Dělené tunelování Protokol pro předávání vrstvy 2 Přímý přístup
Software	Hamachi n2n správce sítě NeoRouter openvpn rp-pppoe tcpcrypt Vyatta drátěný chránič
Služby VPN	1.1.1.1 ExpressVPN Hotspot Shield Mullvad NordVPN Proton VPN psiphon Surfshark