Protocolo de túnel de capa 2

Protocolo de red informática

En redes de computadoras , el Protocolo de túnel de capa 2 ( L2TP ) es un protocolo de túnel que se utiliza para admitir redes privadas virtuales (VPN) o como parte de la prestación de servicios por parte de los ISP. Utiliza cifrado ("ocultamiento") sólo para sus propios mensajes de control (utilizando un secreto precompartido opcional) y no proporciona ningún cifrado ni confidencialidad del contenido por sí mismo. Más bien, proporciona un túnel para la Capa 2 (que puede estar cifrado) y el túnel en sí puede pasar a través de un protocolo de cifrado de Capa 3 como IPsec . ^[1]

Historia

Publicado en agosto de 1999 como estándar propuesto RFC 2661, L2TP tiene su origen principalmente en dos protocolos de túnel más antiguos para comunicación punto a punto: el Protocolo de reenvío de capa 2 (L2F) de Cisco y el ^[2] Punto a punto de Microsoft . Protocolo de túnel (PPTP). Una nueva versión de este protocolo, L2TPv3 , apareció como estándar propuesto RFC 3931 en 2005. L2TPv3 proporciona características de seguridad adicionales, encapsulación mejorada y la capacidad de transportar enlaces de datos distintos del simple protocolo punto a punto (PPP) a través de una red IP. (por ejemplo: Frame Relay , Ethernet , ATM , etc.).

Descripción

El paquete L2TP completo, incluida la carga útil y el encabezado L2TP, se envía dentro de un datagrama del Protocolo de datagramas de usuario (UDP). Una virtud de la transmisión a través de UDP (en lugar de TCP) es que evita el "problema de fusión de TCP". ^{[3] [4]} Es común transportar sesiones PPP dentro de un túnel L2TP. L2TP no proporciona confidencialidad ni autenticación sólida por sí solo. IPsec se utiliza a menudo para proteger paquetes L2TP proporcionando confidencialidad, autenticación e integridad. La combinación de estos dos protocolos se conoce generalmente como L2TP/IPsec (que se analiza a continuación).

Los dos puntos finales de un túnel L2TP se denominan concentrador de acceso L2TP (LAC) y servidor de red L2TP (LNS). El LNS espera nuevos túneles. Una vez que se establece un túnel, el tráfico de red entre los pares es bidireccional. Para que sean útiles para la creación de redes, los protocolos de nivel superior se ejecutan a través del túnel L2TP. Para facilitar esto, se establece una sesión L2TP dentro del túnel para cada protocolo de nivel superior, como PPP. Tanto el LAC como el LNS pueden iniciar sesiones. El tráfico de cada sesión está aislado mediante L2TP, por lo que es posible configurar varias redes virtuales en un único túnel.

Los paquetes intercambiados dentro de un túnel L2TP se clasifican como paquetes de control o paquetes de datos . L2TP proporciona características de confiabilidad para los paquetes de control, pero no confiabilidad para los paquetes de datos. La confiabilidad, si se desea, debe ser proporcionada por los protocolos anidados que se ejecutan dentro de cada sesión del túnel L2TP.

L2TP permite la creación de una red privada virtual de acceso telefónico (VPDN) ^[5] para conectar un cliente remoto a su red corporativa mediante el uso de una infraestructura compartida, que podría ser Internet o la red de un proveedor de servicios.

Modelos de túneles

Un túnel L2TP puede extenderse a lo largo de una sesión PPP completa o solo a través de un segmento de una sesión de dos segmentos. Esto se puede representar mediante cuatro modelos de túneles diferentes, a saber:

• túnel voluntario
• túnel obligatorio – llamada entrante
• túnel obligatorio - marcación remota
• Conexión multisalto L2TP ^[6]

Estructura del paquete L2TP

Un paquete L2TP consta de:

Significados de campo:

Banderas y versión

banderas de control que indican el paquete de datos/control y la presencia de campos de longitud, secuencia y desplazamiento.

Longitud (opcional)

Longitud total del mensaje en bytes, presente solo cuando se establece el indicador de longitud.

ID del túnel

Indica el identificador de la conexión de control.

ID de sesión

Indica el identificador de una sesión dentro de un túnel.

Ns (opcional)

número de secuencia para este mensaje de datos o control, comenzando en cero e incrementándose en uno (módulo 2 ¹⁶ ) para cada mensaje enviado. Presente solo cuando se establece el indicador de secuencia.

Nº (opcional)

Número de secuencia del mensaje que se espera recibir. Nr se establece en los N del último mensaje en orden recibido más uno (módulo 2 ¹⁶ ). En los mensajes de datos, Nr está reservado y, si está presente (como lo indica el bit S), DEBE ignorarse al recibirlo.

Tamaño de compensación (opcional)

Especifica dónde se encuentran los datos de la carga útil más allá del encabezado L2TP. Si el campo de compensación está presente, el encabezado L2TP termina después del último byte del relleno de compensación. Este campo existe si se establece el indicador de compensación.

Almohadilla de compensación (opcional)

Longitud variable, según lo especificado por el tamaño del desplazamiento. El contenido de este campo no está definido.

Datos de carga útil

Longitud variable (tamaño máximo de carga útil = tamaño máximo del paquete UDP - tamaño del encabezado L2TP)

Intercambio de paquetes L2TP

En el momento de configurar la conexión L2TP, se intercambian muchos paquetes de control entre el servidor y el cliente para establecer un túnel y una sesión para cada dirección. Un par solicita al otro par que asigne un túnel específico y una identificación de sesión a través de estos paquetes de control. Luego, utilizando este túnel y la identificación de la sesión, los paquetes de datos se intercambian con las tramas PPP comprimidas como carga útil.

La lista de mensajes de control L2TP intercambiados entre LAC y LNS, para el protocolo de enlace antes de establecer un túnel y una sesión en el método de túnel voluntario es

L2TP/IPsec

Debido a la falta de confidencialidad inherente al L2TP, a menudo se implementa junto con IPsec . Esto se conoce como L2TP/IPsec y está estandarizado en IETF RFC 3193. El proceso de configuración de una VPN L2TP/IPsec es el siguiente:

1. Negociación de una asociación de seguridad (SA) IPsec, normalmente a través del intercambio de claves de Internet (IKE). Esto se lleva a cabo a través del puerto UDP 500 y comúnmente utiliza una contraseña compartida (las llamadas " claves precompartidas "), claves públicas o certificados X.509 en ambos extremos, aunque existen otros métodos de codificación.
2. Establecimiento de comunicación de Encapsulating Security Payload (ESP) en modo transporte. El número de protocolo IP para ESP es 50 (compare TCP 6 y UDP 17). En este punto, se ha establecido un canal seguro, pero no se está construyendo ningún túnel.
3. Negociación y establecimiento de túnel L2TP entre los endpoints SA. La negociación real de parámetros se realiza a través del canal seguro de la SA, dentro del cifrado IPsec. L2TP utiliza el puerto UDP 1701.

Cuando se completa el proceso, IPsec encapsula los paquetes L2TP entre los puntos finales. Dado que el paquete L2TP en sí está empaquetado y oculto dentro del paquete IPsec, la dirección IP de origen y destino original está cifrada dentro del paquete. Además, no es necesario abrir el puerto UDP 1701 en los firewalls entre los puntos finales, ya que no se actúa sobre los paquetes internos hasta que los datos IPsec se hayan descifrado y eliminado, lo que solo ocurre en los puntos finales.

Un posible punto de confusión en L2TP/IPsec es el uso de los términos túnel y canal seguro . El término modo túnel se refiere a un canal que permite transportar paquetes intactos de una red a través de otra red. En el caso de L2TP/PPP, permite transportar paquetes L2TP/PPP a través de IP. Un canal seguro se refiere a una conexión dentro de la cual se garantiza la confidencialidad de todos los datos. En L2TP/IPsec, primero IPsec proporciona un canal seguro, luego L2TP proporciona un túnel. IPsec también especifica un protocolo de túnel: este no se utiliza cuando se utiliza un túnel L2TP.

implementación de Windows

Windows ha tenido soporte nativo (configurable en panel de control) para L2TP desde Windows 2000 . Windows Vista agregó 2 herramientas alternativas, un complemento MMC llamado "Firewall de Windows con seguridad avanzada" (WFwAS) y la herramienta de línea de comandos " netsh advfirewall". Una limitación de los comandos WFwAS y netsh es que los servidores deben especificarse por dirección IP. Windows 10 agregó los comandos de PowerShell "Add-VpnConnection" y "Set-VpnConnectionIPsecConfiguration" . Se debe crear una clave de registro en el cliente y el servidor si el servidor está detrás de un dispositivo NAT-T. [1]

L2TP en las redes de los ISP

Los ISP suelen utilizar L2TP cuando se revende un servicio de Internet a través de, por ejemplo , ADSL o cable . Desde el usuario final, los paquetes viajan a través de la red de un proveedor de servicios de red mayorista hasta un servidor llamado Servidor de acceso remoto de banda ancha ( BRAS ), un convertidor de protocolo y un enrutador combinados. En las redes heredadas, la ruta desde el equipo de las instalaciones del cliente del usuario final hasta el BRAS puede realizarse a través de una red ATM . A partir de ahí, a través de una red IP, un túnel L2TP va desde BRAS (que actúa como LAC) hasta un LNS que es un enrutador de borde en el límite de la red IP del ISP de destino final. ^[a]

Referencias RFC

• RFC 2341 Cisco Layer Two Forwarding (Protocolo) "L2F" (un predecesor de L2TP)
• RFC 2637 Protocolo de túnel punto a punto (PPTP)
• RFC 2661 Protocolo de túnel de capa dos "L2TP"
• RFC 2809 Implementación de túnel L2TP obligatorio vía RADIUS
• RFC 2888 Acceso remoto seguro con L2TP
• RFC 3070 Protocolo de túnel de capa dos (L2TP) sobre Frame Relay
• Información sobre la causa de desconexión RFC 3145 L2TP
• RFC 3193 Protección de L2TP mediante IPsec
• RFC 3301 Protocolo de túnel de capa dos (L2TP): red de acceso a cajeros automáticos
• Servicios diferenciados del protocolo de túnel de capa dos (L2TP) RFC 3308
• RFC 3355 Protocolo de túnel de capa dos (L2TP) sobre capa de adaptación ATM 5 (AAL5)
• RFC 3371 Base de información de gestión del protocolo de túnel de capa dos "L2TP"
• RFC 3437 Extensiones del protocolo de túnel de capa dos para la negociación del protocolo de control de enlaces PPP
• Números asignados de Internet del protocolo de túnel de capa dos (L2TP) RFC 3438 : Actualización de las consideraciones de la Autoridad de números asignados de Internet (IANA)
• RFC 3573 Señalización del estado del módem en espera en el protocolo de túnel de capa 2 (L2TP)
• RFC 3817 Protocolo de túnel de capa 2 (L2TP) Retransmisión de descubrimiento activo para PPP sobre Ethernet (PPPoE)
• RFC 3931 Protocolo de túnel de capa dos - Versión 3 ( L2TPv3 )
• Extensiones RFC 4045 para admitir el transporte eficiente de tráfico de multidifusión en el protocolo de túnel de capa 2 (L2TP)
• Extensiones de conmutación por error RFC 4951 para la "conmutación por error" del protocolo de túnel de capa 2 (L2TP)

Ver también

• IPSec
• Protocolo de reenvío de capa 2
• Protocolo de túnel punto a punto
• Protocolo punto a punto
• LAN virtual extensible

Referencias

1. Consulte el ejemplo de ISP revendedores que utilizan L2TP.

1. IETF (1999), RFC 2661, Protocolo de túnel de capa dos "L2TP"
2. "Protocolo de túnel punto a punto (PPTP)". TheNetworkEncyclopedia.com. 2013 . Consultado el 28 de julio de 2014 . Protocolo de túnel punto a punto (PPTP) [:] Un protocolo de capa de enlace de datos para redes de área amplia (WAN) basado en el protocolo punto a punto (PPP) y desarrollado por Microsoft que permite encapsular y enrutados a través de una red pública no segura como Internet.^{[ enlace muerto permanente ]}
3. Titz, Olaf (23 de abril de 2001). "Por qué TCP sobre TCP es una mala idea" . Consultado el 17 de octubre de 2015 .
4. Honda, Osamu; Ohsaki, Hiroyuki; Imase, Makoto; Ishizuka, Mika; Murayama, Junichi (octubre de 2005). "Comprensión de TCP sobre TCP: efectos de la tunelización TCP en el rendimiento y la latencia de un extremo a otro". En Atiquzzaman, Mahoma; Balandin, Sergey I (eds.). Rendimiento, calidad de servicio y control de redes de sensores y comunicaciones de próxima generación III . vol. 6011. Código bibliográfico : 2005SPIE.6011..138H. CiteSeerX 10.1.1.78.5815 . doi : 10.1117/12.630496. S2CID  8945952. 
5. Soporte de Cisco: comprensión de VPDN - Actualizado el 29 de enero de 2008
6. IBM Knowledge Center: conexión de múltiples saltos L2TP

enlaces externos

Implementaciones

• Cisco: documentación de Cisco L2TP, lea también el resumen tecnológico de Cisco
• Código abierto y Linux: xl2tpd, Linux RP-L2TP, OpenL2TP, l2tpns, l2tpd (inactivo), servidor Linux L2TP/IPsec, demonio PPP multienlace FreeBSD, OpenBSD npppd(8), ACCEL-PPP - servidor PPTP/L2TP/PPPoE para linux
• Microsoft: cliente integrado incluido con Windows 2000 y superior; Cliente VPN Microsoft L2TP/IPsec para Windows 98/Windows Me/Windows NT 4.0
• Apple: cliente integrado incluido con Mac OS X 10.3 y superior.
• VPDN en Cisco.com

Otro

• Números asignados por la IANA para L2TP
• Grupo de trabajo sobre extensiones L2TP (l2tpext): (donde se coordina el trabajo de estandarización futuro)
• Usando Linux como cliente VPN L2TP/IPsec
• L2TP/IPSec con OpenBSD y npppd
• Comparación de L2TP, PPTP y OpenVPN