En redes de computadoras , el Protocolo de túnel de capa 2 ( L2TP ) es un protocolo de túnel que se utiliza para admitir redes privadas virtuales (VPN) o como parte de la prestación de servicios por parte de los ISP. Utiliza cifrado ("ocultamiento") sólo para sus propios mensajes de control (utilizando un secreto precompartido opcional) y no proporciona ningún cifrado ni confidencialidad del contenido por sí mismo. Más bien, proporciona un túnel para la Capa 2 (que puede estar cifrado) y el túnel en sí puede pasar a través de un protocolo de cifrado de Capa 3 como IPsec . [1]
Publicado en agosto de 1999 como estándar propuesto RFC 2661, L2TP tiene su origen principalmente en dos protocolos de túnel más antiguos para comunicación punto a punto: el Protocolo de reenvío de capa 2 (L2F) de Cisco y el [2] Punto a punto de Microsoft . Protocolo de túnel (PPTP). Una nueva versión de este protocolo, L2TPv3 , apareció como estándar propuesto RFC 3931 en 2005. L2TPv3 proporciona características de seguridad adicionales, encapsulación mejorada y la capacidad de transportar enlaces de datos distintos del simple protocolo punto a punto (PPP) a través de una red IP. (por ejemplo: Frame Relay , Ethernet , ATM , etc.).
El paquete L2TP completo, incluida la carga útil y el encabezado L2TP, se envía dentro de un datagrama del Protocolo de datagramas de usuario (UDP). Una virtud de la transmisión a través de UDP (en lugar de TCP) es que evita el "problema de fusión de TCP". [3] [4] Es común transportar sesiones PPP dentro de un túnel L2TP. L2TP no proporciona confidencialidad ni autenticación sólida por sí solo. IPsec se utiliza a menudo para proteger paquetes L2TP proporcionando confidencialidad, autenticación e integridad. La combinación de estos dos protocolos se conoce generalmente como L2TP/IPsec (que se analiza a continuación).
Los dos puntos finales de un túnel L2TP se denominan concentrador de acceso L2TP (LAC) y servidor de red L2TP (LNS). El LNS espera nuevos túneles. Una vez que se establece un túnel, el tráfico de red entre los pares es bidireccional. Para que sean útiles para la creación de redes, los protocolos de nivel superior se ejecutan a través del túnel L2TP. Para facilitar esto, se establece una sesión L2TP dentro del túnel para cada protocolo de nivel superior, como PPP. Tanto el LAC como el LNS pueden iniciar sesiones. El tráfico de cada sesión está aislado mediante L2TP, por lo que es posible configurar varias redes virtuales en un único túnel.
Los paquetes intercambiados dentro de un túnel L2TP se clasifican como paquetes de control o paquetes de datos . L2TP proporciona características de confiabilidad para los paquetes de control, pero no confiabilidad para los paquetes de datos. La confiabilidad, si se desea, debe ser proporcionada por los protocolos anidados que se ejecutan dentro de cada sesión del túnel L2TP.
L2TP permite la creación de una red privada virtual de acceso telefónico (VPDN) [5] para conectar un cliente remoto a su red corporativa mediante el uso de una infraestructura compartida, que podría ser Internet o la red de un proveedor de servicios.
Un túnel L2TP puede extenderse a lo largo de una sesión PPP completa o solo a través de un segmento de una sesión de dos segmentos. Esto se puede representar mediante cuatro modelos de túneles diferentes, a saber:
Un paquete L2TP consta de:
Significados de campo:
En el momento de configurar la conexión L2TP, se intercambian muchos paquetes de control entre el servidor y el cliente para establecer un túnel y una sesión para cada dirección. Un par solicita al otro par que asigne un túnel específico y una identificación de sesión a través de estos paquetes de control. Luego, utilizando este túnel y la identificación de la sesión, los paquetes de datos se intercambian con las tramas PPP comprimidas como carga útil.
La lista de mensajes de control L2TP intercambiados entre LAC y LNS, para el protocolo de enlace antes de establecer un túnel y una sesión en el método de túnel voluntario es
Debido a la falta de confidencialidad inherente al L2TP, a menudo se implementa junto con IPsec . Esto se conoce como L2TP/IPsec y está estandarizado en IETF RFC 3193. El proceso de configuración de una VPN L2TP/IPsec es el siguiente:
Cuando se completa el proceso, IPsec encapsula los paquetes L2TP entre los puntos finales. Dado que el paquete L2TP en sí está empaquetado y oculto dentro del paquete IPsec, la dirección IP de origen y destino original está cifrada dentro del paquete. Además, no es necesario abrir el puerto UDP 1701 en los firewalls entre los puntos finales, ya que no se actúa sobre los paquetes internos hasta que los datos IPsec se hayan descifrado y eliminado, lo que solo ocurre en los puntos finales.
Un posible punto de confusión en L2TP/IPsec es el uso de los términos túnel y canal seguro . El término modo túnel se refiere a un canal que permite transportar paquetes intactos de una red a través de otra red. En el caso de L2TP/PPP, permite transportar paquetes L2TP/PPP a través de IP. Un canal seguro se refiere a una conexión dentro de la cual se garantiza la confidencialidad de todos los datos. En L2TP/IPsec, primero IPsec proporciona un canal seguro, luego L2TP proporciona un túnel. IPsec también especifica un protocolo de túnel: este no se utiliza cuando se utiliza un túnel L2TP.
Windows ha tenido soporte nativo (configurable en panel de control) para L2TP desde Windows 2000 . Windows Vista agregó 2 herramientas alternativas, un complemento MMC llamado "Firewall de Windows con seguridad avanzada" (WFwAS) y la herramienta de línea de comandos " netsh advfirewall". Una limitación de los comandos WFwAS y netsh es que los servidores deben especificarse por dirección IP. Windows 10 agregó los comandos de PowerShell "Add-VpnConnection" y "Set-VpnConnectionIPsecConfiguration" . Se debe crear una clave de registro en el cliente y el servidor si el servidor está detrás de un dispositivo NAT-T. [1]
Los ISP suelen utilizar L2TP cuando se revende un servicio de Internet a través de, por ejemplo , ADSL o cable . Desde el usuario final, los paquetes viajan a través de la red de un proveedor de servicios de red mayorista hasta un servidor llamado Servidor de acceso remoto de banda ancha ( BRAS ), un convertidor de protocolo y un enrutador combinados. En las redes heredadas, la ruta desde el equipo de las instalaciones del cliente del usuario final hasta el BRAS puede realizarse a través de una red ATM . A partir de ahí, a través de una red IP, un túnel L2TP va desde BRAS (que actúa como LAC) hasta un LNS que es un enrutador de borde en el límite de la red IP del ISP de destino final. [a]
Protocolo de túnel punto a punto (PPTP) [:] Un protocolo de capa de enlace de datos para redes de área amplia (WAN) basado en el protocolo punto a punto (PPP) y desarrollado por Microsoft que permite encapsular y enrutados a través de una red pública no segura como Internet.[ enlace muerto permanente ]