L2TP

Layer 2 Tunneling Protocol (L2TP) – це протокол тунелювання другого рівня. Він є розширенням протоколу тунелювання «точка-точка» (PPTP), який використовується постачальниками інтернет-послуг (ISP) для забезпечення роботи віртуальної приватної мережі VPN через Інтернет. L2TP поєднує найкращі функції двох інших протоколів тунелювання: PPTP від Microsoft та L2F від Cisco Systems. Два основних компоненти, які складають L2TP, - це L2TP Access Concentrator, який є пристроєм, що фізично завершує виклик і мережевий сервер L2TP Network Serve (LNS), який є пристроєм, що завершує і, можливо, аутентифікує потік PPP. 

PPP визначає засіб інкапсуляції для передачі багатопротокольних пакетів каналами «точка-точка» другого рівня (L2). Як правило, користувач підключається до сервера мережного доступу (NAS) через ISDN, ADSL, Dialup POTS або іншу службу та запускає PPP з цього з'єднання. У цій конфігурації кінцеві точки сеансу L2 та PPP знаходяться на одному NAS. 

L2TP використовує з'єднання з комутацією пакетів, щоб забезпечити можливість розміщення кінцевих точок на різних машинах. Користувач має з'єднання L2 з концентратором доступу, який потім тунелює окремі кадри PPP в NAS, так що пакети можуть оброблятися окремо від розташування закінчення схеми. Це означає, що з'єднання може припинитися на концентраторі локальної мережі, за винятком можливих міжміських платежів та інших переваг. З погляду користувача, немає жодної різниці в операції. 

Типова мережа з L2TP 

На малюнку показано типову мережу програми VPDN на основі L2TP. 

Як бачимо, концентратор L2TP (LAC) підключений до мережі комутатора. LAC є кінцевою системою PPP та може обробляти L2TP. Зазвичай, LAC - це NAS, який надає послуги доступу для користувачів через PSTN або ISDN. Мережевий сервер L2TP (LNS) діє як один вузол системи кінцевих точок PPP і використовується для обробки L2TP. 

LAC знаходиться між LNS та віддаленою системою та пересилає пакети кожному з них. Пакети, надіслані з віддаленої системи LNS, вимагають тунелювання з протоколом L2TP. Пакети, надіслані з LNS, декапсулюються, а потім пересилаються у віддалену систему. З'єднання LAC із віддаленою системою є локальним або PPP-з'єднанням. Для з'єднання VPDN зазвичай є PPP-з'єднаннями. 

LNS діє як одна сторона тунелю L2TP і є одноранговим зв'язком з LAC. LNS є логічною точкою завершення сеансу PPP, який тунелюється з віддаленої системи за допомогою LAC. 

З'єднання L2TP складається з двох компонентів: тунелю та сеансу. Тунель забезпечує надійний транспорт між двома кінцевими точками управління L2TP (LCCEs) і містить лише пакети, що управляють. Сесія логічно міститься в тунелі і має дані користувача. Один тунель може містити кілька сеансів, причому дані користувача зберігаються окремо за номерами ідентифікаторів сеансу в заголовках інкапсуляції L2TP. 

Очевидно, що у специфікації L2TP відсутні будь-які механізми безпеки або автентифікації. Типово розгортати L2TP поряд з іншими технологіями, наприклад, IPSec, для забезпечення цих функцій. Це дає L2TP гнучкість взаємодії з різними механізмами безпеки всередині мережі.

 Чотири приклади використання, розглянуті нижче, ілюструють, як L2TP працює у різних сценаріях, від простих двоточкових з'єднань до великих мереж. Незалежно від того, чи працюєте ви на одній корпоративній локальній мережі або складній багатосайтовій мережі, L2TP має масштабованість, що підходить для вашої архітектури. 

L2TP / IPSec як VPN

Сьогодні з використанням різних мобільних пристроїв на всіх підприємствах, а також широко поширеного широкосмугового зв'язку в домашніх умовах більшість корпоративних мереж повинні надавати віддалений доступ як основну необхідність. Технології VPN є невід'ємною частиною мережі. 

Оскільки L2TP не надає жодних механізмів автентифікації або шифрування безпосередньо, обидва з яких є ключовими функціями VPN, L2TP зазвичай пов'язаний з IPSec для забезпечення шифрування користувацьких та керуючих пакетів у тунелі L2TP. На малюнку 1 показано спрощену конфігурацію VPN. Тут корпоративна мережа справа містить мережевий сервер L2TP (LNS), що забезпечує доступом до мережі. Видалені робочі та мобільні пристрої можуть підключатися до корпоративної мережі через тунелі L2TP, захищені IPSec, через будь-яку проміжну мережу (швидше за все, Інтернет). 

Клієнти, підключені до VPN, часто запускають пряме програмне забезпечення L2TP та IPSec. Зазвичай немає потреби встановлювати додаткове програмне забезпечення у клієнтських системах для зв'язку з сервером L2TP VPN: програмне забезпечення L2TP VPN надається з системами Windows, OS X, iOS, Android та Linux. 

L2TP для розширення локальної мережі (LAN) 

VPN на основі L2TP добре працює, щоб дозволити окремим клієнтам створювати окремі лінки з віддаленою локальною мережею. Наш наступний приклад використовує концепцію VPN та працює з нею, використовуючи L2TP для об'єднання двох або більше LAN. Багатьом підприємствам доводиться керувати кількома віддаленими місцями, всі з яких мають обмінюватись даними та мережевою інфраструктурою. Використовуючи L2TP для забезпечення тунелів між кожною окремою локальною мережею, ми можемо створити єдину мережу з легким доступом до ресурсів із будь-якого місця. 

На малюнку 2 показано просте розгортання з використанням L2TP для поєднання двох локальних мереж через Інтернет. Замість того, щоб запускати програмне забезпечення L2TP на кожному хості в кожному офісі, окрема машина використовується як кінцева точка LCCE в кожному офісі. Машини LCCE з'єднують Ethernet-канали з локальної мережі з інтерфейсом L2TP на віддалений сайт, тим самим виступаючи як шлюз між ЛОМ. Залежно від конфігурації локальної мережі та характеру проміжної мережі може знадобитися додати фільтри пакетів до LCCE, щоб обмежити певний трафік у локальній мережі, а не передавати його тунелем. 

Як і у випадку point-to-point VPN, безпека важлива для віддалених офісних підключень. IPSec зазвичай розгортається для забезпечення шифрування трафіку між сайтами. 

L2TP як частина мережі інтернет-провайдера 

Досі ми розглядали використання L2TP як засіб розширення корпоративної мережі, але в міру того, як ми розширюємося поза офісом, L2TP продовжує залишатися корисним. У наступному прикладі (див. мал. 3) показано, як L2TP використовується як частина мережі Інтернет-провайдера (ISP). Тут L2TP використовується для тунелювання даних із приміщення клієнта в IP-мережу ISP. L2TP-тунелі та сеанси охоплюють проміжну мережу, керовану постачальником, який безпосередньо продає доступ до ISP. 

Окремі клієнти підключаються до локального LCCE, що діє як концентратор доступу L2TP (LAC), який керується оптовим постачальником. LAC динамічно створюватиме тунелі L2TP та сеанси для інтернет-провайдера клієнта. 

Така конфігурація дозволяє провайдеру керувати розподілом IP-адрес клієнтів і доступом до Інтернету на власний розсуд, оскільки кожен клієнтський пристрій поводиться так, ніби він був підключений до мережі L2. 

L2TP у мережі Wi-Fi з відкритим доступом

У нашому останньому прикладі розглядається створення мереж у міських районах або великому корпоративному кампусі, використання L2TP як невід'ємна частина мережі Wi-Fi загального доступу. 

У конфігурації, наведеній на малюнку 4, локальні точки доступу Wi-Fi надають клієнтським пристроям доступ до Інтернету. Кожна точка доступу надсилає дані клієнта через сеанс L2TP в централізовану мережу. Ця мережа управляє розподілом IP-адрес та маршрутизацією в Інтернет, як правило, з перетворенням мережевих адрес. 

Використання L2TP у цій мережі дозволяє одному постачальнику надавати доступ до Інтернету широкому колу клієнтів без необхідності керувати підключенням до Інтернету в кожному місці точки доступу Wi-Fi. Вибір WiMax як міжмережевого з'єднання дозволяє міським мережам надавати Wi-Fi доступ з використанням одного високошвидкісного інтернет-з'єднання. 

Хоча L2TP має історію, що є досить незрозумілим протоколом, L2TPv3 забезпечує величезну гнучкість всім видів використання. У будь-якій ситуації, коли вам потрібна плоска топологія та конфігурація другого рівня мережі Layer 2, L2TP - це зріла технологія, яка може працювати добре. Як і у випадку з будь-яким встановленим та відкритим протоколом, L2TP широко підтримується на різних цільових платформах, включаючи мобільні пристрої. Більше того, при використанні кількох проектів, які підтримують L2TP на платформах Linux або BSD, немає необхідності робити дорогі інвестиції в обладнання для підтримки розгортання L2TP у вашій мережі.