L2TP

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 21 de abril de 2019; las comprobaciones requieren 14 ediciones .

L2TP
Nombre	Protocolo de tunelización de capa 2
Nivel (según el modelo OSI )	sesión
Familia	TCP/IP
Creado en	1999
Puerto/ID	1701/ UDP , 500/ UDP (para IKE, para gestionar claves de cifrado), 4500/ UDP (para modo IPSEC NAT-Transversal), 50/ ESP (para IPSEC), 51/ AH (para IPSEC)
Propósito del protocolo	construir una VPN
Especificación	RFC 2661

L2TP ( Protocolo  de tunelización de capa 2 en inglés ,  protocolo de tunelización de capa 2 ): en redes informáticas , un protocolo de tunelización que se utiliza para admitir redes privadas virtuales . La principal ventaja de L2TP es que este protocolo permite crear un túnel no solo en redes IP, sino también en redes como ATM , X.25 y Frame Relay [1] .

Aunque L2TP actúa como un protocolo de capa de enlace del modelo OSI , en realidad es un protocolo de capa de sesión y utiliza el puerto UDP registrado 1701 [2] .

Historia

• 1996 - 1997  - competencia entre los protocolos L2F ( Cisco ) y PPTP ( Microsoft )
• 1997  - acuerdo entre desarrolladores sobre el desarrollo conjunto del protocolo L2TP
• 1999 -  Publicación de RFC 2661 , que describe el protocolo L2TP

cuenta[ ¿por quién? ] que el protocolo L2TP ha incorporado las mejores características de L2F y PPTP [1] .

Esquema de trabajo

El diagrama muestra cómo funciona el protocolo L2TP.

• LAN: redes locales ( Red de área local ), que están conectadas a través de L2TP;
• Computadora: una (s) computadora (s) conectada (s) directamente a una red local;
• LNS - Servidor de red L2TP, servidor de acceso a la red local a través de L2TP;
• LAC - Concentrador de Acceso L2TP, dispositivo de conexión transparente de sus usuarios a LNS a través de una red de una u otra arquitectura;
• Sistema remoto: un sistema que quiere conectarse a la LAN a través de L2TP;
• Cliente LAC: una computadora que actúa como un LAC por sí mismo para conectarse al LNS;
• PSTN - red telefónica conmutada (Red Telefónica Pública Conmutada);
• Internet, Frame Relay o ATM son redes de diferentes arquitecturas.

El objetivo aquí es tunelizar tramas PPP entre un sistema remoto o LAC de cliente y un LNS alojado en la LAN [3] .

El sistema remoto inicia una conexión PPP al LAC a través de la red telefónica pública conmutada (PSTN). Luego, el LAC canaliza la conexión PPP a través de Internet, Frame Relay o ATM al LNS, accediendo así a la LAN de origen. Las direcciones del sistema remoto se proporcionan a la LAN de origen a través de la negociación con el PPP NCP . El dominio de administración de LAN puede proporcionar autenticación, autorización y contabilidad como si el usuario estuviera conectado directamente al servidor de acceso a la red NAS .

El cliente LAC (el host que ejecuta el programa L2TP) también puede participar en el túnel a la LAN de origen sin usar un LAC separado si el host que contiene el programa cliente LAC ya tiene una conexión a Internet. Se crea una conexión PPP "virtual" y el programa L2TP LAC local forma un túnel hacia el LNS. Al igual que en el caso anterior, el direccionamiento, la autenticación, la autorización y la contabilidad serán proporcionados por el área de control de la LAN de origen.

Descripción general del protocolo

L2TP utiliza dos tipos de paquetes: mensajes de control y de datos. Los mensajes de control se utilizan en el establecimiento, mantenimiento y terminación de túneles y llamadas. Los mensajes informativos se utilizan para encapsular tramas PPP enviadas a través del túnel. Los mensajes de control utilizan un canal de control confiable dentro de L2TP para garantizar la entrega. Los mensajes informativos no se reenvían cuando se pierden.

Estructura del protocolo:

marcos PPP
Mensajes informativos L2TP	Mensajes de control L2TP
Portador L2TP (poco fiable)	Canal de control L2TP (confiable)
Transporte de paquetes (UDP, FR, ATM, etc.)

El mensaje de control tiene un número de secuencia que se utiliza en el canal de control para garantizar una entrega fiable. Los mensajes informativos pueden usar números de secuencia para reordenar paquetes y detectar la pérdida de tramas. Todos los códigos se envían en el orden aceptado para las redes.

Formato del título

Los paquetes L2TP para los canales de control y portadores utilizan el mismo formato de encabezado:

0

una

2

3

cuatro

5

6

7

ocho

9

diez

once

12

13

catorce

quince

dieciséis

31

T

L

X

X

S

X

O

PAGS

X

X

X

X

Versión

Longitud (opcional)

Identificación del túnel

ID de sesión

Ns (opcional)

No. (opc.)

Tamaño de desplazamiento (opcional)

Almohadilla compensada (opcional)......

datos de carga útil

• El bit de tipo (T) caracteriza el tipo de paquete.

Se establece en 0 para mensajes de información y en 1 para mensajes de control.

• Si el bit de longitud (L) es 1, el campo de longitud está presente.

Para los mensajes de control, este bit debe establecerse en 1.

• Los bits x están reservados para usos futuros.

Todos los bits reservados deben establecerse en 0 para los mensajes salientes e ignorarse para los mensajes entrantes.

• Si el bit de secuencia (S) es 1, los campos Ns y Nr están presentes.

El bit S para mensajes de control debe establecerse en 1.

• Si el bit de compensación (O) es 1, el campo de valor de compensación está presente.

El bit O para mensajes de control debe establecerse en 0.

• El bit de prioridad (P) debe establecerse en 0 para todos los mensajes de control. Para mensajes informativos, si este bit se establece en 1, este mensaje informativo tiene prioridad en la cola.
• El campo Ver indica la versión del encabezado del mensaje de información L2TP.

El valor 1 está reservado para detectar paquetes L2F cuando se mezclan con paquetes L2TP. Los paquetes recibidos con un campo Ver desconocido se eliminan.

• El campo Longitud (opcional) especifica la longitud total del mensaje en octetos.
• El identificador de túnel contiene el identificador de la conexión de control. Los ID de túnel L2TP solo tienen un significado local. Es decir, los diferentes extremos del mismo túnel deben tener ID diferentes. El ID del túnel en cada mensaje debe ser el que espera el destinatario. Los ID de túnel se seleccionan cuando se forma el túnel.
• El ID de sesión especifica el identificador para la sesión de este túnel. Las sesiones L2TP se nombran con identificadores que solo tienen un significado local. El ID de sesión en cada mensaje debe ser el que espera el destinatario. Los ID de sesión se seleccionan cuando se forma la sesión.
• El campo Ns especifica el número de serie del mensaje informativo o de control, comenzando desde cero y aumentando en 1 (módulo 2 16 ) por cada mensaje enviado.
• El campo Nr contiene el número de secuencia esperado para el próximo mensaje. Así, Nr se hace igual a Ns del último mensaje recibido más 1 (módulo 2 16 ). En los mensajes de datos, Nr está reservado y, si está presente (determinado por el bit S), se ignorará al recibirlo.
• El campo Tamaño de compensación , si está presente, especifica el número de octetos después del encabezado L2TP donde debe comenzar el campo de datos. El contenido del marcador de posición de compensación no está definido. Si está presente un campo de desplazamiento, el encabezado L2TP termina después del octeto de terminación del relleno de desplazamiento.

Tipos de mensajes de control

El tipo de mensaje AVP determina el tipo específico de mensaje de control que se enviará.

Gestión de conexiones de control

• 0 (reservado)
• 1 (SCCRQ) Iniciar-Control-Conexión-Solicitud
• 2 (SCCRP) Inicio-Control-Conexión-Respuesta
• 3 (SCCCN) Inicio-Control-Conexión-Conectado
• 4 (StopCCN) Detener-Control-Conexión-Notificación
• 5 (reservado)
• 6 (HOLA) Hola

Gestión de llamadas

• 7 (OCRQ) Solicitud de llamada saliente
• 8 (OCRP) Llamada saliente-respuesta
• 9 (OCCN) Llamada saliente conectada
• 10 (ICRQ) Solicitud de llamada entrante
• 11 (ICRP) Llamada entrante-respuesta
• 12 (ICCN) Llamada entrante conectada
• 13 (reservado)
• 14 (CDN) Llamar-Desconectar-Notificar

Error de mensajes

• 15 (WEN) WAN-Error-Notificar

Gestión de sesiones PPP

• 16 (SLI) Configurar información de enlace

Operaciones de protocolo

El procedimiento necesario para establecer una sesión PPP de tunelización L2TP incluye dos pasos:

• establecer un canal de control para un túnel
• formación de una sesión de acuerdo con la solicitud de una llamada entrante o saliente.

El túnel y el canal de control correspondiente deben formarse antes de que se inicien las llamadas entrantes o salientes. Se debe establecer una sesión L2TP antes de que L2TP pueda enviar tramas PPP a través del túnel. Puede haber múltiples sesiones en el mismo túnel entre el mismo LAC y LNS.

Tunelización PPP:

Conexión de control

Es el principal que debe implementarse entre el LAC y el LNS antes de iniciar una sesión. El establecimiento de una conexión de control incluye la identificación segura del par, así como la determinación de la versión L2TP, las capacidades del enlace, la trama, etc.

L2TP incluye un sistema de autenticación de túnel tipo CHAP simple y opcional durante el establecimiento de la conexión de control.

Establecimiento de sesiones

Tras el establecimiento exitoso de una conexión de control, se pueden formar sesiones individuales. Cada sesión corresponde a un tráfico PPP entre LAC y LNS. A diferencia del establecimiento de conexión de control, el establecimiento de sesión es asimétrico con respecto a LAC y LNS. El LAC solicita al LNS que acceda a la sesión para las solicitudes entrantes y el LNS solicita al LAC que inicie una sesión para las solicitudes salientes.

Cuando se forma el túnel, las tramas PPP del sistema remoto recibidas por el LAC se eliminan de CRC, encabezados de enlace, etc., se encapsulan en L2TP y se reenvían a través del túnel apropiado. El LNS recibe el paquete L2TP y procesa la trama PPP encapsulada como si se hubiera recibido a través de la interfaz PPP local.

El remitente de un mensaje asociado con una sesión y un túnel en particular coloca los ID de la sesión y del túnel (especificados por el par) en los campos de encabezado apropiados de todos los mensajes salientes.

Uso de números de secuencia en un canal de datos

Los números de secuencia definidos en el encabezado L2TP se utilizan para organizar el transporte fiable de mensajes de control. Cada par mantiene una numeración separada para la conexión de control y para cada sesión de información dentro del túnel.

A diferencia del canal de control L2TP, el canal de tráfico L2TP utiliza la numeración de mensajes no para la retransmisión, sino para detectar la pérdida de paquetes y/o restaurar la secuencia original de paquetes mezclados durante el transporte.

El LNS puede iniciar la supresión de la numeración de mensajes en cualquier momento durante la sesión (incluido el primer mensaje informativo).

El mecanismo keepalive (Hello)

L2TP utiliza el mecanismo keepalive para distinguir entre el tiempo de inactividad del túnel y los largos períodos sin control o actividad de información en el túnel. Esto se hace con los mensajes de control Hello después de que haya transcurrido un período de tiempo específico desde la última vez que se recibió un mensaje de control a través del túnel. Si no se entrega el mensaje Hello, el túnel se declara inactivo y el sistema vuelve a su estado original. El mecanismo para restablecer los medios de transporte mediante la introducción de mensajes Hello garantiza que se detecte una ruptura de enlace entre el LNS y el LAC en ambos extremos del túnel.

Interrupción de sesión

La finalización de la sesión puede ser iniciada por el LAC o el LNS y se logra mediante el envío de un mensaje de control de CDN. Después de terminar la última sesión, también se puede terminar la conexión de control.

Rompiendo la conexión de control

La terminación de una conexión de control puede ser iniciada por el LAC o el LNS y se logra mediante el envío de un solo mensaje de control StopCCN.

Implementación de L2TP a través de un medio específico

El protocolo L2TP se autodocumenta y se ejecuta sobre la capa de transporte. Sin embargo, se necesitan algunos detalles.[ ¿Qué? ] conexión con el medio ambiente, con el fin de garantizar la compatibilidad de varios[ ¿Qué? ] implementaciones.

Consideraciones de seguridad

El protocolo L2TP se enfrenta a varios problemas de seguridad en su funcionamiento. A continuación se analizan algunos enfoques para resolver estos problemas.

Seguridad al final del túnel

Los extremos del túnel pueden, opcionalmente, autenticarse entre sí al establecer un túnel. Esta autenticación tiene los mismos atributos de seguridad que CHAP y tiene una protección razonable contra ataques de reproducción y falsificación durante el proceso de establecimiento del túnel. Para implementar la autenticación, los LAC y los LNS deben compartir un secreto compartido.

Seguridad a nivel de paquetes

Garantizar la seguridad L2TP requiere que el entorno de transporte pueda proporcionar cifrado de datos, integridad de mensajes y autenticación de servicios para todo el tráfico L2TP. El propio L2TP es responsable de la confidencialidad, integridad y autenticación de los paquetes L2TP dentro del túnel.

L2TP e IPsec

Cuando se ejecuta sobre IP , IPsec (IP segura) proporciona seguridad a nivel de paquete. Todos los paquetes de información y control L2TP en un túnel particular aparecen en el sistema IPsec como paquetes de información UDP/IP normales. Además de la seguridad de transporte de IP, IPsec define un modo de operación que permite canalizar los paquetes de IP, así como los controles de acceso que se requieren para las aplicaciones que admiten IPsec. Estas herramientas le permiten filtrar paquetes según las características de la red y las capas de transporte. En el modelo de túnel L2TP, se realiza un filtrado similar en la capa PPP o de red sobre L2TP.

Notas

1. ↑ 1 2 Seleccione el protocolo VPN . Consultado el 14 de marzo de 2022. Archivado desde el original el 23 de enero de 2022. (indefinido)
2. ↑ Lista de puertos Archivado el 4 de junio de 2001 en Wayback Machine en el sitio web de la IANA  
3. ↑ Protocolo de túnel de capa de red L2 (L2TP) Copia de archivo del 29 de diciembre de 2011 en Wayback Machine / Yu. A. Semyonov . Tecnologías de telecomunicaciones - tecnologías de telecomunicaciones - v. 3.5 - M.: SSC ITEF, 2010

Enlaces

•  (en ruso) L2TP (Protocolo de tunelización de capa dos) en Microsoft Technet
•  (Ruso) Configurar VPN L2TP en Windows
•  (Inglés) RFC 2661 Protocolo de tunelización de capa dos "L2TP".
•  (Inglés) RFC 2341 Reenvío de capa dos de Cisco (Protocolo) "L2F". (Predecesor de L2TP.)
•  (Inglés) RFC 2637 Protocolo de tunelización punto a punto (PPTP). (Predecesor de L2TP.)
•  (Inglés) RFC 2809 Implementación de tunelización obligatoria L2TP a través de RADIUS.
•  (Inglés) RFC 2888 Acceso remoto seguro mediante L2TP.
•  (Inglés) RFC 3070 Layer Two Tunneling Protocol (L2TP) sobre Frame Relay.
•  (Inglés) RFC 3145 L2TP Desconexión Causa Información.
•  (Inglés) RFC 3193 Seguridad L2TP mediante IPsec.
•  (Inglés) RFC 3301 Layer Two Tunneling Protocol (L2TP): red de acceso ATM.
•  (Inglés) RFC 3308 Servicios diferenciados del protocolo de tunelización de capa dos (L2TP).
•  (Inglés) RFC 3355 Layer Two Tunneling Protocol (L2TP) Over ATM Adaptation Layer 5 (AAL5).
•  (Inglés) RFC 3371 Layer Two Tunneling Protocol "L2TP" Management Information Base.
•  (Inglés) RFC 3437 Extensiones del protocolo de tunelización de capa dos para la negociación del protocolo de control de enlaces PPP.
•   RFC 3438 Protocolo de tunelización de capa dos ( L2TP) Números asignados de Internet: Actualización de consideraciones de la Autoridad de números asignados de Internet (IANA).
•  (Inglés) RFC 3573 Señalización del estado de módem en espera en el protocolo de tunelización de capa 2 (L2TP).
•  (Inglés) RFC 3817 Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay para PPP sobre Ethernet (PPPoE).
•  (Inglés) RFC 3931 Protocolo de tunelización de capa dos - Versión 3 (L2TPv3).
•  (Inglés) Extensiones RFC 4045 para admitir el transporte eficiente de tráfico de multidifusión en el protocolo de tunelización de capa 2 (L2TP).
•  (Inglés) Números asignados por IANA para L2TP.
•  (Inglés) Grupo de Trabajo de Extensiones L2TP (l2tpext)  - (donde se coordina el trabajo futuro de estandarización).
•  (ing.) L2TP/IPSec de cliente XP a Windows 2003 Server  - L2TP/IPSec de cliente XP a Windows 2003 Server.

Protocolos TCP /IP básicos por capas del modelo OSI
Físico	ethernet RS-232 EIA-422 RS-449 RS-485
canalizado	ethernet PPPoE PPA L2F WiFi 802.11 WiFi 802.16 anillo de fichas ARCNET FDDI HDLC DESLIZAR Cajero automático PUEDEN DTM X.25 Retardo de fotograma IEEE 802.1aq SMDS STP ERP ARP
la red	IPv4 IPv6 IPsec ICMP IGMP RARP RIP2 OSPF EIGRP GRE IPX
Transporte	TCP ( cripta ) UDP SCTP DCCP RDP/ RUDP RTP SPX TLS 1.3
sesión	ADSP H.245 iSNS NetBIOS PAPILLA RPC L2TP PPTP RTCP SMPP SCP CÓDIGO POSTAL partido socialdemócrata
Representación	XDR SSL TLS
Aplicado	BGP HTTP ( S ) DHCP IRC ardilla de tierra dedo SNMP DNS ( SEC ) NNTP XMPP SORBO IPP NTP SNTP Correo electrónico SMTP POP3 IMAP4 _ Transferencia de archivos FTP TFTP SFTP FTPS webdav PYME Acceso remoto iniciar sesión telnet SSH PDR
Otro aplicado	bitcoin ÓSCAR MTProto FTP de multidifusión FTP multifuente bittorrent Gnutella skype
Lista de puertos TCP y UDP

Redes privadas virtuales (VPN)
Tecnología	IPsec L2TP PPTP Túnel dividido Protocolo de reenvío de capa 2 Acceso directo
Software	hamachi n2n gerente de Redes NeoRouter abrirvpn rp-pppoe criptografía Vyatta protector de alambre
Servicios VPN	1.1.1.1 ExpressVPN Escudo hotspot Mullvad NordVPN VPN de protones psifón Tiburón surfero