Protocolo de tunelización de capa 2

Protocolo de red informática

En redes informáticas , el Protocolo de túnel de capa 2 ( L2TP ) es un protocolo de túnel utilizado para dar soporte a redes privadas virtuales (VPN) o como parte de la entrega de servicios por parte de los ISP. Utiliza cifrado (ocultación) solo para sus propios mensajes de control (utilizando un secreto precompartido opcional) y no proporciona ningún cifrado o confidencialidad de contenido por sí mismo. En cambio, proporciona un túnel para la Capa 2 (que puede estar cifrado) y el túnel en sí puede pasarse por un protocolo de cifrado de Capa 3 como IPsec . ^[1]

Historia

Publicado en agosto de 1999 como propuesta estándar RFC 2661, L2TP tiene sus orígenes principalmente en dos protocolos de tunelización más antiguos para comunicación punto a punto: el Protocolo de reenvío de capa 2 (L2F) de Cisco y el Protocolo de tunelización punto a punto (PPTP) de Microsoft ^[2] . Una nueva versión de este protocolo, L2TPv3 , apareció como propuesta estándar RFC 3931 en 2005. L2TPv3 proporciona características de seguridad adicionales, encapsulación mejorada y la capacidad de transportar enlaces de datos distintos del simple Protocolo punto a punto (PPP) sobre una red IP (por ejemplo: Frame Relay , Ethernet , ATM , etc.).

Descripción

El paquete L2TP completo, incluida la carga útil y el encabezado L2TP, se envía dentro de un datagrama de Protocolo de datagramas de usuario (UDP). Una ventaja de la transmisión a través de UDP (en lugar de TCP) es que evita el problema de la fusión del TCP . ^{[3] [4]} Es común llevar sesiones PPP dentro de un túnel L2TP. L2TP no proporciona confidencialidad ni autenticación fuerte por sí mismo. IPsec se utiliza a menudo para proteger los paquetes L2TP proporcionando confidencialidad, autenticación e integridad. La combinación de estos dos protocolos se conoce generalmente como L2TP/IPsec (que se analiza a continuación).

Los dos puntos finales de un túnel L2TP se denominan concentrador de acceso L2TP (LAC) y servidor de red L2TP (LNS). El LNS espera nuevos túneles. Una vez que se establece un túnel, el tráfico de red entre los pares es bidireccional. Para que resulte útil para la red, los protocolos de nivel superior se ejecutan a través del túnel L2TP. Para facilitar esto, se establece una sesión L2TP dentro del túnel para cada protocolo de nivel superior, como PPP. Tanto el LAC como el LNS pueden iniciar sesiones. El tráfico de cada sesión está aislado por L2TP, por lo que es posible configurar varias redes virtuales en un único túnel.

Los paquetes intercambiados dentro de un túnel L2TP se clasifican como paquetes de control o paquetes de datos . L2TP proporciona características de confiabilidad para los paquetes de control, pero no confiabilidad para los paquetes de datos. Si se desea confiabilidad, se debe proporcionar mediante los protocolos anidados que se ejecutan dentro de cada sesión del túnel L2TP.

L2TP permite la creación de una red privada virtual de acceso telefónico (VPDN) ^[5] para conectar un cliente remoto a su red corporativa mediante una infraestructura compartida, que podría ser Internet o la red de un proveedor de servicios.

Modelos de tunelaje

Un túnel L2TP puede extenderse a lo largo de una sesión PPP completa o solo a lo largo de un segmento de una sesión de dos segmentos. Esto se puede representar mediante cuatro modelos de tunelización diferentes, a saber:

• túnel voluntario
• túnel obligatorio — llamada entrante
• Túnel obligatorio: marcación remota
• Conexión multisalto L2TP ^[6]

Estructura del paquete L2TP

Un paquete L2TP consta de:

Significados de los campos:

Banderas y versiones

Banderas de control que indican paquete de datos/control y presencia de campos de longitud, secuencia y desplazamiento.

Longitud (opcional)

Longitud total del mensaje en bytes, presente solo cuando se establece el indicador de longitud.

Identificación del túnel

Indica el identificador de la conexión de control.

ID de sesión

Indica el identificador de una sesión dentro de un túnel.

Ns (opcional)

Número de secuencia para este mensaje de datos o de control, que comienza en cero y se incrementa en uno (módulo 2 ¹⁶ ) para cada mensaje enviado. Presente solo cuando se establece el indicador de secuencia.

Nr (opcional)

Número de secuencia del mensaje que se espera recibir. Nr se establece en el Ns del último mensaje en orden recibido más uno (módulo 2 ¹⁶ ). En los mensajes de datos, Nr está reservado y, si está presente (como lo indica el bit S), DEBE ignorarse al recibirse.

Tamaño de desplazamiento (opcional)

Especifica dónde se ubican los datos de carga útil después del encabezado L2TP. Si el campo de desplazamiento está presente, el encabezado L2TP finaliza después del último byte del relleno de desplazamiento. Este campo existe si se configura el indicador de desplazamiento.

Almohadilla de desplazamiento (opcional)

Longitud variable, según lo especificado por el tamaño de desplazamiento. El contenido de este campo no está definido.

Datos de carga útil

Longitud variable (tamaño máximo de carga útil = tamaño máximo del paquete UDP − tamaño del encabezado L2TP)

Intercambio de paquetes L2TP

En el momento de la configuración de la conexión L2TP, se intercambian muchos paquetes de control entre el servidor y el cliente para establecer un túnel y una sesión para cada dirección. Un par solicita al otro par que asigne un túnel específico y una identificación de sesión a través de estos paquetes de control. Luego, utilizando este túnel y esta identificación de sesión, se intercambian paquetes de datos con las tramas PPP comprimidas como carga útil.

La lista de mensajes de control L2TP intercambiados entre LAC y LNS, para el protocolo de enlace antes de establecer un túnel y una sesión en el método de tunelización voluntaria son

L2TP/IPsec

Debido a la falta de confidencialidad inherente al L2TP, a menudo se lo implementa junto con IPsec . Esto se conoce como L2TP/IPsec y está estandarizado en IETF RFC 3193. El proceso de configuración de una VPN L2TP/IPsec es el siguiente:

1. Negociación de la asociación de seguridad (SA) de IPsec, normalmente a través del intercambio de claves de Internet (IKE). Esto se lleva a cabo a través del puerto UDP 500 y normalmente utiliza una contraseña compartida (las llamadas " claves precompartidas "), claves públicas o certificados X.509 en ambos extremos, aunque existen otros métodos de codificación.
2. Establecimiento de la comunicación de carga útil de seguridad encapsulante (ESP) en modo de transporte. El número de protocolo IP para ESP es 50 (compare el 6 de TCP y el 17 de UDP). En este punto, se ha establecido un canal seguro, pero no se está realizando ninguna tunelización.
3. Negociación y establecimiento de un túnel L2TP entre los puntos finales del SA. La negociación real de los parámetros se lleva a cabo a través del canal seguro del SA, dentro del cifrado IPsec. L2TP utiliza el puerto UDP 1701.

Cuando se completa el proceso, los paquetes L2TP entre los puntos finales quedan encapsulados por IPsec. Dado que el propio paquete L2TP está encapsulado y oculto dentro del paquete IPsec, la dirección IP de origen y destino original se cifra dentro del paquete. Además, no es necesario abrir el puerto UDP 1701 en los cortafuegos entre los puntos finales, ya que no se actúa sobre los paquetes internos hasta que se han descifrado y eliminado los datos IPsec, lo que solo ocurre en los puntos finales.

Un posible punto de confusión en L2TP/IPsec es el uso de los términos túnel y canal seguro . El término modo túnel se refiere a un canal que permite que los paquetes intactos de una red se transporten a través de otra red. En el caso de L2TP/PPP, permite que los paquetes L2TP/PPP se transporten a través de IP. Un canal seguro se refiere a una conexión dentro de la cual se garantiza la confidencialidad de todos los datos. En L2TP/IPsec, primero IPsec proporciona un canal seguro, luego L2TP proporciona un túnel. IPsec también especifica un protocolo de túnel: esto no se utiliza cuando se utiliza un túnel L2TP.

Implementación de Windows

Windows ha tenido soporte nativo (configurable en el panel de control) para L2TP desde Windows 2000. Windows Vista agregó dos herramientas alternativas, un complemento MMC llamado "Firewall de Windows con seguridad avanzada" (WFwAS) y la herramienta de línea de comandos " netsh advfirewall". Una limitación con los comandos WFwAS y netsh es que los servidores deben especificarse por dirección IP. Windows 10 agregó los comandos de PowerShell "Add-VpnConnection" y "Set-VpnConnectionIPsecConfiguration" . Se debe crear una clave de registro en el cliente y el servidor si el servidor está detrás de un dispositivo NAT-T. [1]

L2TP en las redes de los ISP

Los ISP suelen utilizar L2TP cuando se revenden servicios de Internet, por ejemplo, a través de ADSL o cable . Desde el usuario final, los paquetes viajan a través de la red de un proveedor de servicios de red mayorista hasta un servidor llamado Servidor de acceso remoto de banda ancha ( BRAS ), que es una combinación de convertidor de protocolo y enrutador. En las redes tradicionales, la ruta desde el equipo de las instalaciones del cliente del usuario final hasta el BRAS puede realizarse a través de una red ATM . A partir de ahí, a través de una red IP, un túnel L2TP se extiende desde el BRAS (que actúa como LAC) hasta un LNS, que es un enrutador de borde en el límite de la red IP del ISP de destino final. ^[a]

Referencias RFC

• RFC 2341 Cisco Layer Two Forwarding (Protocolo) "L2F" (un predecesor de L2TP)
• RFC 2637 Protocolo de tunelización punto a punto (PPTP)
• RFC 2661 Protocolo de tunelización de capa dos "L2TP"
• RFC 2809 Implementación de la tunelización obligatoria L2TP a través de RADIUS
• RFC 2888 Acceso remoto seguro con L2TP
• RFC 3070 Protocolo de tunelización de capa dos (L2TP) sobre Frame Relay
• Información sobre la causa de la desconexión de L2TP RFC 3145
• RFC 3193 Protección de L2TP mediante IPsec
• RFC 3301 Protocolo de túnel de capa dos (L2TP): red de acceso ATM
• RFC 3308 Servicios diferenciados del protocolo de túnel de capa dos (L2TP)
• RFC 3355 Protocolo de tunelización de capa dos (L2TP) sobre capa de adaptación ATM 5 (AAL5)
• Base de información de gestión del protocolo de túnel de capa dos "L2TP" RFC 3371
• RFC 3437 Extensiones del protocolo de tunelización de capa dos para la negociación del protocolo de control de enlace PPP
• RFC 3438 Protocolo de túnel de capa dos (L2TP) Números asignados de Internet: actualización de las consideraciones de la Autoridad de números asignados de Internet (IANA)
• RFC 3573 Señalización del estado de módem en espera en el protocolo de túnel de capa 2 (L2TP)
• RFC 3817 Protocolo de tunelización de capa 2 (L2TP) Relé de detección activa para PPP sobre Ethernet (PPPoE)
• RFC 3931 Protocolo de tunelización de capa dos, versión 3 ( L2TPv3 )
• RFC 4045: extensiones para respaldar el transporte eficiente de tráfico de multidifusión en el protocolo de tunelización de capa 2 (L2TP)
• RFC 4951 Extensiones de conmutación por error para el protocolo de tunelización de capa 2 (L2TP)

Véase también

• IPsec
• Protocolo de reenvío de capa 2
• Protocolo de tunelización punto a punto
• Protocolo punto a punto
• LAN virtual extensible

Referencias

1. Vea el ejemplo de ISP revendedores que utilizan L2TP.

1. IETF (1999), RFC 2661, Protocolo de tunelización de capa dos "L2TP"
2. "Protocolo de tunelización punto a punto (PPTP)". TheNetworkEncyclopedia.com. 2013. Consultado el 28 de julio de 2014. Protocolo de tunelización punto a punto (PPTP) [:] Protocolo de capa de enlace de datos para redes de área amplia (WAN) basado en el Protocolo punto a punto (PPP) y desarrollado por Microsoft que permite encapsular y enrutar el tráfico de red a través de una red pública no segura como Internet.^{[ enlace muerto permanente ]}
3. Titz, Olaf (23 de abril de 2001). "Por qué TCP sobre TCP es una mala idea" . Consultado el 17 de octubre de 2015 .
4. Honda, Osamu; Ohsaki, Hiroyuki; Imase, Makoto; Ishizuka, Mika; Murayama, Junichi (octubre de 2005). "Comprensión de TCP sobre TCP: efectos de la tunelización TCP en el rendimiento y la latencia de extremo a extremo". En Atiquzzaman, Mohammed; Balandin, Sergey I (eds.). Rendimiento, calidad de servicio y control de las redes de sensores y comunicaciones de próxima generación III . Vol. 6011. Bibcode :2005SPIE.6011..138H. CiteSeerX 10.1.1.78.5815 . doi :10.1117/12.630496. S2CID  8945952. 
5. Soporte de Cisco: Descripción de VPDN – Actualizado el 29 de enero de 2008
6. IBM Knowledge Center: Conexión multisalto L2TP

Enlaces externos

Implementaciones

• Cisco: documentación de Cisco L2TP, lea también el resumen tecnológico de Cisco
• Código abierto y Linux: xl2tpd, Linux RP-L2TP, OpenL2TP, l2tpns, l2tpd (inactivo), servidor L2TP/IPsec para Linux, demonio PPP multienlace de FreeBSD, OpenBSD npppd(8), ACCEL-PPP: servidor PPTP/L2TP/PPPoE para Linux
• Microsoft: cliente integrado incluido con Windows 2000 y versiones posteriores; Cliente VPN L2TP/IPsec de Microsoft para Windows 98/Windows Me/Windows NT 4.0
• Apple: cliente integrado incluido con Mac OS X 10.3 y superior.
• VPDN en Cisco.com

Otro

• Números asignados por IANA para L2TP
• Grupo de trabajo de extensiones L2TP (l2tpext) - (donde se coordina el trabajo de estandarización futuro)
• Uso de Linux como cliente VPN L2TP/IPsec
• L2TP/IPSec con OpenBSD y npppd
• Comparación de L2TP, PPTP y OpenVPN