Introducción al protocolo L2TP

Others 2020-04-20 15:30:23 views: null

Portal: implementación del código L2TP

1. Descripción general de L2TP

L2TP (Protocolo de túnel de capa 2, Protocolo de túnel de capa 2) es un tipo de protocolo de túnel de VPDN (Red de acceso telefónico privada virtual, Red de acceso telefónico privado virtual).
VPDN se refiere al uso de la función de acceso telefónico de una red pública (como ISDN o PSTN ) para acceder a la red pública para implementar una red privada virtual, proporcionando así servicios de acceso para empresas, pequeños ISP y personal de oficinas móviles. Es decir, VPDN proporciona una conexión punto a punto económica y efectiva entre usuarios remotos y redes empresariales privadas.
VPDN utiliza un protocolo de comunicación de red dedicado para establecer una red privada virtual segura para empresas en redes públicas. Las empresas en el extranjero y el personal comercial pueden conectarse de forma remota a la sede corporativa a través de un túnel virtual a través de una red pública, mientras que otros usuarios de la red pública no pueden acceder a los recursos dentro de la red corporativa a través del túnel virtual.

VPDN tiene los siguientes dos métodos de implementación:

  • El servidor de acceso inicia la conexión VPDN al
    NAS (servidor de acceso a la red) utilizando el protocolo de túnel VPDN para conectar directamente la conexión PPP del cliente a la puerta de enlace VPDN de la empresa, estableciendo así un túnel con la puerta de enlace VPDN. Estos son transparentes para los usuarios, los usuarios solo necesitan iniciar sesión una vez para acceder a la red corporativa, y la red corporativa realiza la autenticación de usuarios y la asignación de direcciones sin ocupar direcciones públicas. Este método requiere que el NAS admita el protocolo VPDN y que el sistema de autenticación admita el atributo VPDN.
  • El usuario inicia una conexión VPDN El
    cliente establece un túnel con la puerta de enlace VPDN. De esta manera, el cliente primero establece una conexión a Internet y luego establece una conexión de túnel con la puerta de enlace VPDN a través de un software de cliente dedicado (como el cliente L2TP compatible con Windows 2000). No hay restricciones sobre las formas y ubicaciones de los usuarios que navegan por Internet, sin la necesidad de intervención del ISP. Sin embargo, los usuarios necesitan instalar un software especial (generalmente plataformas Windows 2000), que limita las plataformas que usan los usuarios.
    Las puertas de enlace VPDN generalmente usan enrutadores o servidores dedicados VPN.
    El protocolo de túnel VPDN incluye principalmente los siguientes tres tipos:
  • PPTP (Protocolo de túnel punto a punto, Protocolo de túnel punto a punto)
  • L2F (reenvío de capa 2, reenvío de capa 2)
  • L2TP
    es actualmente el L2TP más utilizado .

2. Aplicación de red típica L2TP

La red típica de las aplicaciones VPDN creadas con el protocolo L2TP se muestra en la Figura 1.
Inserte la descripción de la imagen aquí
En el VPDN creado por L2TP, los componentes de la red incluyen las siguientes tres partes:

  • Sistema de extremo
    lejano El sistema de extremo lejano es el usuario remoto y la sucursal remota que se conectará a la red VPDN, generalmente el host de un usuario de acceso telefónico o un dispositivo de enrutamiento en la red privada.

  • LAC (Concentrador de acceso L2TP, Concentrador de acceso L2TP)
    LAC está conectado a la red de conmutación con el sistema final PPP y el equipo de procesamiento de protocolo L2TP, generalmente un NAS ISP local, utilizado principalmente para proporcionar acceso a usuarios de tipo PPP Servicio.
    Como punto final del túnel L2TP, LAC se encuentra entre el LNS y el sistema remoto, y se utiliza para transferir paquetes entre el LNS y el sistema remoto. Encapsula los paquetes de información recibidos del sistema remoto de acuerdo con el protocolo L2TP y los envía al LNS. También desencapsula los paquetes de información recibidos del LNS y los envía al sistema remoto.
    Se utiliza una conexión local o un enlace PPP entre el LAC y el sistema remoto.En las aplicaciones VPDN, generalmente es un enlace PPP.

  • LNS (Servidor de red L2TP, Servidor de red L2TP)
    LNS es un sistema final PPP y un extremo del servidor del protocolo L2TP, y generalmente se usa como un dispositivo periférico de una intranet empresarial.
    Como el otro extremo del túnel L2TP, LNS es el dispositivo par del LAC, y es el punto final de terminación lógica de la sesión PPP tunelizada por el LAC. Al establecer un túnel L2TP en la red pública, el otro extremo de la conexión PPP del sistema remoto se extiende lógicamente desde el LAC original al LNS dentro de la red corporativa.

3. Conceptos básicos de L2TP

3.1 Antecedentes del protocolo L2TP

PPP define una tecnología de encapsulación que puede transmitir múltiples paquetes de datos de protocolo en un enlace punto a punto de capa 2. Cuando el usuario y el NAS ejecutan el protocolo PPP, el punto final del enlace de capa 2 y el punto de sesión PPP residen en el mismo En el dispositivo de hardware (NAS).
L2TP (RFC 2661) es una tecnología para tunelizar paquetes de capa de enlace PPP , que permite que los puntos finales de enlace de Capa 2 (LAC) y los puntos de sesión PPP (LNS) residan en diferentes dispositivos conectados a través de una red de paquetes conmutados, Esto amplía el modelo PPP para que las sesiones PPP puedan abarcar redes como Frame Relay o Internet.
L2TP combina las ventajas respectivas de L2F y PPTP y se convierte en el estándar de la industria para el protocolo de túnel de capa 2 de IETF.

3.2 Estructura del protocolo L2TP

La Figura 2 describe la relación entre el canal de control y la trama PPP y el canal de datos. Las tramas PPP se transmiten en el canal de datos L2TP no confiable, y los mensajes de control se transmiten en el canal de control L2TP confiable.
Inserte la descripción de la imagen aquí
La Figura 3 describe la estructura de encapsulación de los paquetes de datos L2TP entre LAC y LNS. Por lo general, los datos L2TP se envían en forma de paquetes UDP. L2TP registra el puerto UDP 1701, pero este puerto solo se usa durante el proceso inicial de establecimiento del túnel. El iniciador del túnel L2TP elige un puerto libre (no necesariamente 1701) para enviar un mensaje al puerto 1701 del receptor; después de recibir el mensaje, el receptor también elige un puerto libre (no necesariamente 1701) al remitente Enviar mensajes de vuelta al puerto designado. En este punto, los puertos en ambos lados están seleccionados y no cambiarán durante el período de tiempo cuando el túnel permanece conectado.
Figura 3 Diagrama de estructura de encapsulación de paquetes L2TP

3.3 Túneles y sesiones

Hay dos tipos de conexiones entre un par LNS y LAC .

  • Conexión de túnel ( túnel ): corresponde a un par de LNS y LAC.
  • Conexión de sesión ( sesión ): se multiplexa en la parte superior de la conexión del túnel y se utiliza para representar cada proceso de sesión PPP realizado en la conexión del túnel .
    Se pueden establecer múltiples túneles L2TP entre el mismo par de LAC y LNS.El túnel consta de una conexión de control y una o más conexiones de sesión. La conexión de sesión debe realizarse después de que se establezca el túnel (incluido el intercambio de información como protección de identidad, versión L2TP, tipo de trama, tipo de transmisión de hardware, etc.), y cada conexión de sesión corresponde a un flujo de datos PPP entre el LAC y el LNS.
    Los mensajes de control y los paquetes de datos PPP se transmiten en el túnel. L2TP usa paquetes de saludo para detectar la conectividad del túnel . El LAC y el LNS
    envían periódicamente mensajes de saludo al par. Si el mensaje de saludo no se recibe dentro de un cierto período de tiempo, el túnel se desconecta.

3.4 Mensajes de control y mensajes de datos

Hay dos tipos de mensajes en L2TP: mensajes de control y mensajes de datos .

  • Los mensajes de control se utilizan para el establecimiento, mantenimiento y control de transmisión de túneles y conexiones de sesión. Su transmisión es confiable y admite control de flujo y control de congestión de mensajes de control.
  • Los mensajes de datos se utilizan para encapsular tramas PPP y transmitirlas en el túnel. Su transmisión no es confiable . Si se pierde un paquete de datos, no se retransmitirá. No admite el control de flujo y el control de congestión de mensajes de datos.

Los mensajes de control y los mensajes de datos comparten el mismo encabezado de paquete . L2TP paquete de cabecera incluye un identificador de túnel ( ID de túnel ) y un identificador de sesión ( el ID de sesión ) de la información, y se usa para identificar la sesión de túnel. Los paquetes con la misma ID de túnel e ID de sesión diferentes se multiplexarán en un túnel. El par asigna el identificador de túnel y el identificador de sesión en el encabezado del paquete.

4. Modo de túnel L2TP y proceso de establecimiento de túnel

4.1 Dos modos típicos de túnel L2TP

El establecimiento del túnel L2TP incluye los siguientes dos modos típicos.

  • NAS-Intiada,
    como se muestra en la Figura 4, la conexión del túnel L2TP es iniciada por el LAC (denominado NAS). El usuario de acceso telefónico del sistema remoto marca en el LAC a través de PPPoE / ISDN, y el LAC inicia una solicitud de conexión de túnel al LNS a través de Internet. La dirección de red privada del usuario de acceso telefónico es asignada por el LNS; la verificación y la carga del usuario de acceso remoto pueden ser realizadas por el agente en el lado de LAC o en el lado de LNS.
    Figura 4 Modo de túnel L2TP iniciado por NAS
  • Iniciado por el cliente,
    como se muestra en la Figura 5, inicia directamente la conexión del túnel L2TP por parte de los clientes de LAC (en referencia a los usuarios que admiten localmente el protocolo L2TP). Una vez que el cliente LAC obtiene los derechos de acceso a Internet, puede iniciar una solicitud de conexión de túnel directamente al LNS sin establecer un túnel a través de un dispositivo LAC separado. LNS asigna la dirección de red privada del cliente LAC.
    En el modo iniciado por el cliente, los clientes de LAC deben tener una dirección de red pública y poder comunicarse con LNS directamente a través de Internet.
    Figura 5 Modo de túnel L2TP iniciado por el cliente

4.2 Proceso de establecimiento del túnel L2TP

La red típica de las aplicaciones L2TP se muestra en la Figura 6.
Figura 6 Redes típicas de aplicaciones L2TP
A continuación se utiliza el túnel L2TP en modo iniciado por NAS como ejemplo para presentar el proceso de establecimiento de llamadas L2TP.
Figura 7 Proceso de establecimiento de llamada de túnel L2TP
Como se muestra en la Figura 7, el proceso de establecimiento de llamadas del túnel L2TP es el siguiente:
(1) El Host del sistema remoto inicia una solicitud de conexión de llamada;
(2) El Host y LAC (RouterA) negocian PPP LCP;
(3) LAC proporciona La información del usuario se autentica mediante PAP o CHAP;
(4) El LAC envía la información de autenticación (nombre de usuario y contraseña) al servidor RADIUS para la autenticación;
(5) El servidor RADIUS autentica al usuario. Si se pasa la autenticación, el LAC se prepara para iniciar una solicitud de conexión de túnel;
(6 ) El lado LAC inicia una solicitud de conexión de túnel al LNS designado;
(7) En el caso de que el túnel necesite ser autenticado, el lado LAC envía información de desafío CHAP al LNS designado, y el LNS envía la respuesta CHAP al mensaje de respuesta de desafío, y envía el desafío CHAP en el lado LNS , LAC devuelve la respuesta CHAP de mensaje de respuesta de desafío;
(8) Se verifica el túnel;
(9) El LAC transmite la respuesta CHAP, el identificador de respuesta y los parámetros de negociación PPP al LNS;
(10) El LNS envía la información de solicitud de acceso a RADIUS El servidor realiza la autenticación;
(11) El servidor RADIUS autentica la información de la solicitud y devuelve un mensaje de respuesta si se pasa la autenticación;
(12) Si el usuario configura la autenticación CHAP local obligatoria en el lado LNS, el LNS autentica al usuario, envía un desafío CHAP y el lado usuario responde a la respuesta CHAP;
(13) El LNS envía la información de solicitud de acceso al servidor RADIUS nuevamente para autenticación;
( 14) El servidor RADIUS autentica la información de la solicitud. Si se pasa la autenticación, se devuelve la información de respuesta;
(15) Si se pasa la autenticación, el extremo LNS asignará la dirección IP interna de un usuario remoto al usuario remoto, y el usuario puede acceder a los recursos internos de la empresa.

5. Características del protocolo L2TP

5.1 Mecanismo de autenticación flexible y alta seguridad

El protocolo L2TP en sí no proporciona seguridad de conexión , pero puede confiar en la autenticación proporcionada por PPP (como CHAP, PAP, etc.), por lo que tiene todas las características de seguridad de PPP. L2TP se puede combinar con IPsec para lograr la seguridad de los datos, lo que hace que los datos transmitidos a través de L2TP sean más difíciles de atacar. L2TP también puede usar tecnología de cifrado de túnel, cifrado de datos de extremo a extremo o cifrado de datos de la capa de aplicación además de L2TP de acuerdo con los requisitos específicos de seguridad de la red para mejorar la seguridad de los datos.

5.2 Transmisión multiprotocolo

L2TP transmite paquetes de datos PPP, y se pueden encapsular varios protocolos en paquetes de datos PPP.

5.3 Autenticación de soporte del servidor RADIUS

LAC y LNS pueden enviar el nombre de usuario y la contraseña al servidor RADIUS para la solicitud de verificación. El servidor RADIUS es responsable de recibir la solicitud de verificación del usuario y completar la verificación.

5.4 Asignación de dirección interna de soporte

LNS puede colocarse detrás del firewall de la red corporativa, puede asignar y administrar dinámicamente las direcciones de usuarios remotos y puede admitir aplicaciones de direcciones privadas (RFC 1918). La dirección asignada al usuario remoto no es una dirección de Internet sino una dirección privada dentro de la empresa, lo que facilita la administración de direcciones y aumenta la seguridad.

5.5 Flexibilidad de facturación de la red

Se puede facturar tanto en LAC como en LNS, a saber, ISP (para facturación) y gateway empresarial (para pago y auditoría). L2TP puede proporcionar datos de facturación, como el número de paquetes entrantes y salientes de transmisión de datos, el número de bytes y el tiempo de inicio y finalización de la conexión, que pueden utilizarse convenientemente para la facturación de la red.

5.6 Fiabilidad

El protocolo L2TP admite LNS de respaldo. Cuando el LNS primario no está disponible, el LAC puede establecer una conexión con el LNS de respaldo, lo que aumenta la confiabilidad y la tolerancia a fallas del servicio VPN.

2603898260
81 artículos originales publicados · Me gusta 69 · Visitantes 50,000+
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/s2603898260/article/details/104177100
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com