In computernetwerken, Layer 2 Tunneling Protocol (L2TP) is een tunneling protocol gebruikt ter ondersteuning van virtual private networks (VPN’s) of als onderdeel van de levering van diensten door ISP’s. Het biedt geen encryptie of geheimhouding door zelf. Integendeel, het is gebaseerd op een encryptie-protocol dat het passeert binnen de tunnel om de privacy te bieden. Layer 2 Tunneling Protocol (L2TP) wiki.

Geschiedenis

Gepubliceerd in 1999, zoals voorgesteld standaard RFC 2661, L2TP heeft zijn oorsprong voornamelijk in twee oudere tunneling protocollen voor point-to-point communicatie: Cisco ’s Layer 2 Forwarding Protocol (L2F) en Microsoft ’s Point-to-Point Tunneling Protocol (PPTP). Een nieuwe versie van dit protocol, L2TPv3 , verscheen als voorgestelde standaard RFC 3931 in 2005. L2TPv3 biedt extra beveiligingsfuncties, verbeterde inkapseling, en de mogelijkheid om andere dan alleen data links dragen Protocol Point-to-Point (PPP) over een IP-netwerk (bijvoorbeeld: Frame Relay, Ethernet, ATM, etc.).

Omschrijving

De gehele L2TP pakket, inclusief laadvermogen en L2TP header, wordt binnen een verzonden User Datagram Protocol (UDP) datagram. Het is gebruikelijk om PPP-sessies uitvoeren binnen een L2TP tunnel. L2TP biedt geen vertrouwelijkheid of sterke authenticatie zelf. IPsec wordt vaak gebruikt om L2TP pakketten beveiligen door vertrouwelijkheid, authenticatie en integriteit. De combinatie van deze twee protocollen is algemeen bekend als L2TP / IPsec (hieronder besproken).

De twee eindpunten van een L2TP tunnel heten de LAC (L2TP Access Concentrator) en de LNS (L2TP Network Server). De LAC is de initiatiefnemer van de tunnel, terwijl de LNS is de server, die wacht op nieuwe tunnels. Zodra een tunnel is ingesteld, het netwerkverkeer tussen de peers is bidirectioneel. Om nuttig te netwerken zijn, worden op hoger niveau protocollen dan lopen door de L2TP tunnel. Om dit te vergemakkelijken, wordt een L2TP-sessie (of ‘call’) binnen de tunnel voor elk hoger niveau protocol zoals PPS opgericht. Ofwel de LAC of LNS kan sessies starten. Het verkeer voor elke sessie wordt geïsoleerd door L2TP, dus het is mogelijk om meerdere virtuele netwerken in één tunnel. MTU moeten worden genomen bij de implementatie L2TP.

De pakketten uitgewisseld binnen een L2TP tunnel zijn gecategoriseerd als ofwel controlepakketten of datapakketten. L2TP voorziet betrouwbaarheidsfuncties de controlepakketten, maar geen betrouwbaarheid datapakketten. Betrouwbaarheid, indien gewenst, moet worden verstrekt door de geneste protocollen loopt binnen elke zitting van de L2TP tunnel.

L2TP laat de oprichting van een virtual private inbelnetwerk (VPDN) om een externe client verbinding maakt met haar corporate netwerk met behulp van een gedeelde infrastructuur, die het internet of het netwerk van een serviceprovider kunnen zijn.

Tunneling modellen

Een L2TP tunnel kan zich uitstrekken over een hele PPP sessie of slechts door één segment van een twee-segment sessie. Dit kan door vier verschillende tunneling modellen, namelijk:

• vrijwillige tunnel
• verplicht tunnel – inkomende oproep
• verplicht tunnel – remote dial
• L2TP multihop verbinding ^[4]

L2TP pakketstructuur

Een L2TP-pakket bestaat uit:

Bits 0-15	Bits 16-31
Vlaggen en Versie-info	Lengte (opt)
Tunnel ID	Sessie-ID
Ns (opt)	Nr (opt)
Offset Size (opt)	Offset Pad (opt) ……
Payload data

Veld betekenissen:

Vlaggen en versie

controlevlaggen aangeeft data / besturingspakket en aanwezigheid van lengte sequentie, en offset velden.

Lengte (optioneel)

Totale lengte van het bericht in bytes, alleen aanwezig wanneer de lengte vlag is ingesteld.

Tunnel ID

Geeft de identificatie voor de controle verbinding.

Sessie-ID

Geeft de identifier voor een sessie in een tunnel.

Ns (optioneel)

volgnummer voor deze gegevens of controle boodschap, te beginnen bij nul en verhogen met één (modulo 2 ¹⁶⁾ voor elk verzonden bericht. Alleen aanwezig wanneer sequence vlag set.

Nr (optioneel)

volgnummer verwachte bericht ontvangen. Nr is ingesteld op de Ns van de laatste in-order ontvangen bericht plus één (modulo 2 ^16). In gegevensberichten wordt Nr gereserveerd en, indien aanwezig (zoals aangegeven door de S bit), moet worden genegeerd bij ontvangst.

Offset Size (optioneel)

Specificeert waar payload data is gelegen langs de L2TP header. Als het offsetveld aanwezig is, L2TP header eindigt na de laatste byte van de offset padding. Dit veld bestaat indien de offset vlag is ingesteld.

Offset Pad (optioneel)

Variabele lengte, zoals aangegeven door de offset grootte. Inhoud van dit veld ongedefinieerd.

Payload data

Variabele lengte (max payload size = Max grootte van UDP pakket – grootte van L2TP header)

L2TP packet exchange

Bij de installatie van L2TP verbinding, zijn veel controlepakketten uitgewisseld tussen server en client tunnel-sessie voor elke richting. Een collegiale verzoekt de andere peer-to een specifieke tunnel en sessie-id via deze controle pakketten toewijzen. Vervolgens met behulp van deze tunnel en de sessie-id, worden datapakketten uitgewisseld met de gecomprimeerde PPP-frames als payload.

De lijst van L2TP Controle berichten uitgewisseld tussen LAC en LNS, voor handshaking voor de oprichting van een tunnel en sessie in vrijwillige tunneling methode

L2TP / IPsec

Vanwege het ontbreken van vertrouwelijkheid inherent aan het L2TP protocol wordt vaak uitgevoerd met IPsec. Dit wordt aangeduid als L2TP / IPsec, en is gestandaardiseerd in IETF RFC 3193 Het proces van het opzetten van een L2TP / IPsec VPN is als volgt:

1. Onderhandelingen over IPsec beveiliging vereniging (SA), meestal via Internet Key Exchange (IKE). Dit is over UDP 500 uitgevoerd en algemeen gebruikt een gedeelde wachtwoord (zogenaamde ” pre-gedeelde sleutels “), openbare sleutels of X.509 -certificaten aan beide uiteinden, hoewel andere keying methoden bestaan.
2. Oprichting van Encapsulating Security Payload (ESP) communicatie in transportmodus. Het IP-protocol nummer voor ESP is 50 (vergelijk TCP’s 6 en UDP’s 17). Op dit punt, heeft een beveiligd kanaal is vastgesteld, maar geen tunneling plaatsvindt.
3. Onderhandeling en vestiging van L2TP tunnel tussen de SA eindpunten. De eigenlijke onderhandelingen over de parameters vindt plaats via de SA’s beveiligd kanaal, binnen de IPsec-codering. L2TP maakt gebruik van UDP-poort 1701.

Wanneer het voltooid is, worden L2TP pakketten tussen de eindpunten ingekapseld door IPsec. Sinds de L2TP pakket zelf is verpakt en verborgen in de IPsec pakket, kan er geen informatie over de interne privé netwerk worden vergaard uit de gecodeerde pakket. Ook is het niet noodzakelijk UDP-poort 1701 op firewalls tussen de eindpunten openen, aangezien de binnenste pakketten niet worden opgevolgd totdat IPsec gegevens zijn gedecodeerd en gestript, die slechts plaatsvindt bij de eindpunten.

Een mogelijk punt van verwarring in L2TP / IPsec is het gebruik van de termen tunnel en beveiligd kanaal. De term tunnel verwijst naar een zender die het mogelijk maakt onaangeroerd pakketten van het ene netwerk op een ander netwerk te worden vervoerd. Bij L2TP / PPP, laat L2TP / PPP pakketten over IP worden vervoerd. Een beveiligd kanaal verwijst naar een verbinding waarin de geheimhouding van alle gegevens wordt gegarandeerd. In L2TP / IPsec, eerste IPsec biedt een beveiligd kanaal, dan L2TP biedt een tunnel.

Windows-implementatie

Windows Vista biedt twee nieuwe configuratie hulpprogramma’s die proberen om het gebruik van L2TP zonder IPsec makkelijker, zowel in secties die hieronder volgt beschreven:

• een MMC -module genaamd “Windows Firewall met geavanceerde beveiliging” (WFwAS), gelegen in het Configuratiescherm → Systeembeheer
• de ” netsh advfirewall “command-line tool

Beide configuratie hulpprogramma’s zijn niet zonder hun problemen, en helaas, er is zeer weinig documentatie over zowel “netsh advfirewall” en de IPsec-client in WFwAS. Een van de bovengenoemde problemen is dat het niet compatibel is met NAT. Een ander probleem is dat de servers moeten alleen worden opgegeven door het IP-adres in het nieuwe Vista-configuratieprogramma’s; de hostnaam van de server kan niet worden gebruikt, dus als het IP-adres van de IPsec-server verandert, alle klanten zullen moeten worden geïnformeerd over dit nieuwe IP-adres (die ook sluit servers die door nutsbedrijven zoals aangepakt DynDNS ).

L2TP in netwerken van ISP’s

L2TP wordt vaak gebruikt door ISP’s als internet service dan bijvoorbeeld ADSL of kabel wordt doorverkocht. Van de eindgebruiker, pakketten reizen over het netwerk van een wholesale-network service provider met een server genaamd een Broadband Remote Access Server ( BRAS ), een protocol converter en router gecombineerd. Op legacy-netwerken het pad van apparatuur eindgebruiker panden ‘om de BRAS kan worden over een ATM -netwerk. Van daar, via een IP-netwerk, een L2TP tunnel loopt van de BRAS (als LAC) een LNS die een edge router op de grens van de uiteindelijke bestemming IP-netwerk ISP. Zie voorbeeld van reseller ISPs gebruiken L2TP.

Zie ook

• IPsec
• Layer 2 Forwarding Protocol
• Point-to-Point Tunneling Protocol
• Point-to-Point Protocol

Referenties

• IETF (1999), RFC 2661 , Layer Two Tunneling Protocol “L2TP”
• “Point-to-Point Tunneling Protocol (PPTP)”. TheNetworkEncyclopedia.com. 2013 Ontvangen 2014/07/28 Point-to-Point Tunneling Protocol (PPTP). Een data-link layer protocol voor wide area networks (WAN’s) op basis van het Protocol (PPP) Point-to-Point en ontwikkeld door Microsoft die netwerkverkeer mogelijk te kapselen en gerouteerd via een onbeveiligd openbaar netwerk zoals het Internet.
• http://www.cisco.com/en/US/tech/tk801/tk703/technologies_tech_note09186a0080094586.shtml

Externe links

Implementaties

• Cisco: Cisco L2TP documentatie , ook gelezen Technology kort van Cisco
• Open source en Linux: xl2tpd, Linux RP-L2TP, OpenL2TP, l2tpns, l2tpd (inactief), Linux L2TP / IPsec-server, FreeBSD multi-link PPP daemon, OpenBSD npppd, ACCEL-PPP – PPTP / L2TP / PPPoE server voor Linux
• Microsoft: ingebouwde client opgenomen in Windows 2000 en hoger, Microsoft L2TP / IPsec VPN Client voor Windows 98 / Windows Me / Windows NT 4.0
• Apple: ingebouwde client meegeleverd met Mac OS X 10.3 en hoger.
• VPDN op Cisco.com

Normen en uitbreidingen internet

• RFC 2341 Cisco Layer Two Forwarding (Protocol) “L2F” (een voorloper van L2TP)
• RFC 2637 Point-to-Point Tunneling Protocol (PPTP) (een voorloper van L2TP)
• RFC 2661 Layer Two Tunneling Protocol “L2TP”
• RFC 2809 Implementatie van L2TP Verplichte Tunneling via RADIUS
• RFC 2888 Secure Remote Access met L2TP
• RFC 3070 Layer Two Tunneling Protocol (L2TP) over Frame Relay
• RFC 3145 L2TP Disconnect Oorzaak Informatie
• RFC 3193 beveiligen L2TP behulp van IPsec
• RFC 3301 Layer Two Tunneling Protocol (L2TP): ATM-netwerk toegang
• RFC 3308 Layer Two Tunneling Protocol (L2TP) Gedifferentieerde Services
• RFC 3355 Layer Two Tunneling Protocol (L2TP) over ATM Adaptation Layer 5 (AAL5)
• RFC 3371 Layer Two Tunneling Protocol “L2TP” Management Information Base
• RFC 3437 Layer Two Tunneling Protocol extensies voor PPP-Link Control Protocol Onderhandelen
• RFC 3438 Layer Two Tunneling Protocol (L2TP) Internet Assigned Numbers: Internet Assigned Numbers Authority (IANA) Overwegingen bijwerken
• RFC 3573 Signalering van Modem-On-Hold status Layer 2 Tunneling Protocol (L2TP)
• RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relais voor PPP over Ethernet (PPPoE)
• RFC 3931 Layer Two Tunneling Protocol – Versie 3 (L2TPv3)
• RFC 4045 Extensions om doelmatig worden van multicast-verkeer te ondersteunen in Layer-2 Tunneling Protocol (L2TP)
• RFC 4951 Fail Over Extensies voor Layer 2 Tunneling Protocol (L2TP) “failover”