Σημασία L2TP
Contents
Πρωτόκολλα VPN: L2TP/IPSEC
Όπως δείχνει το παράδειγμα, αυτό επιτρέπει στις ταυτότητες του δικτύου Layer 2 να επικοινωνούν σε μεγάλες αποστάσεις. Οι απομακρυσμένοι σταθμοί εργασίας και οι κεντρικοί διακομιστές μπορούν να δημιουργήσουν μια ασφαλή ενιαία σήραγγα για τη μεταφορά εμπιστευτικών δεδομένων και ροών εργασίας.
Πρωτόκολλο σήραγγας δύο στρώματος (L2TP)
Το πρωτόκολλο σήραγγας Layer 2 (L2TP) χρησιμοποιείται για τη μεταφορά πληροφοριών με ασφάλεια και ταχέως σε δημόσια δίκτυα. Το πρωτόκολλο έχει πολλές περιπτώσεις χρήσης, αλλά το πιο γνωστό είναι μέρος των εικονικών ιδιωτικών δικτύων (VPNs).
Το L2TP δημιουργήθηκε από τους τεχνικούς της Microsoft και της Cisco το 2000 ως αντικαταστάτης για το παλαιότερο πρωτόκολλο σήραγγας από σημείο σε σημείο (PPTP). Το νέο πρότυπο έλαβε τον κώδικα RFC 2661 και συνδυάζει δύο στοιχεία: το πρωτόκολλο προώθησης PPTP και Cisco’s Layer 2 (LTF). Τα δύο εξαρτήματα συνεργάζονται για να δημιουργήσουν Σταθερές συνδέσεις από σημείο σε σημείο στο μοντέλο OSI Layer 2.
Το 2005, το αρχικό πρότυπο L2TP αναβαθμίστηκε σε L2TPV3. Αυτή η νέα ενημέρωση βελτίωσε τα χαρακτηριστικά εγκλεισμού του πρωτοκόλλου και ενίσχυσε την ταχύτητά του. Από τότε, το L2TP έχει γίνει τακτική λειτουργία των δικτύων VPN, Συνήθως σε συνδυασμό με το πρωτόκολλο ασφάλειας και ελέγχου ταυτότητας IPSEC.
Αυτό το άρθρο θα εξετάσει λεπτομερέστερα το L2TP, συμπεριλαμβανομένης μιας γρήγορης ανάλυσης του τρόπου με τον οποίο λειτουργεί, για το τι μπορεί να χρησιμοποιηθεί και του τρόπου με τον οποίο εκτελεί το L2TP σε περιοχές πυρήνα.
Πρωτόκολλα και εξαρτήματα L2TP
Το πρωτόκολλο σήραγγας Layer 2 περιλαμβάνει δύο πρωτόκολλα: PPTP της Microsoft και LTF της Cisco. Στην πράξη, υπάρχουν δύο τελικά σημεία μιας σήραγγας που δημιουργήθηκε μέσω L2TP: ο συμπυκνωτής πρόσβασης L2TP (LAC) και ο διακομιστής δικτύου L2TP (LNS):
Συμπυκνωτής πρόσβασης L2TP
Το LAC λαμβάνει δεδομένα από απομακρυσμένες συσκευές και δρομολογεί με ασφάλεια στο LNS. Το LAC διαπραγματεύεται μια σύνδεση από σημείο σε σημείο (PPP) για τη μετάδοση πλαισίων δεδομένων. Θα μπορούσε να κατοικήσει στα κέντρα δεδομένων της εταιρείας, αλλά τα LAC μπορούν επίσης να ενσωματωθούν στους ISPs για τη δρομολόγηση της κυκλοφορίας L2TP στο διαδίκτυο.
Διακομιστής δικτύου L2TP
Το LNS βρίσκεται στο άλλο άκρο της σήραγγας L2TP και λειτουργεί ως το σημείο τερματισμού για συνεδρίες ΣΔΙΤ. Λειτουργεί ως πύλη μεταξύ δημόσιων και ιδιωτικών δικτύων και επιτρέπει την κρυπτογραφημένη κυκλοφορία για πρόσβαση σε περιουσιακά στοιχεία δικτύου.
Πώς λειτουργεί το L2TP?
Το L2TP μεταφέρει την κυκλοφορία OSI Layer 2 στα δίκτυα Layer 3. Επιτυγχάνει αυτό σε μια διαδικασία τριών σταδίων.
Πρώτον, το L2TP πρέπει Δημιουργήστε μια σύνδεση μεταξύ του LAC και του LNS. Το LNS και το LAC χρησιμεύουν ως τελικά σημεία για τη σήραγγα από σημείο σε σημείο και πρέπει να διαπραγματευτούν τη σχέση μεταξύ τους πριν μεταδώσουν οποιαδήποτε δεδομένα. Κάθε συσκευή στην αλυσίδα θα εκχωρηθεί μια διεύθυνση IP.
Το δεύτερο στάδιο περιλαμβάνει διαπραγματευτικός η μεταφορά. Το L2TP πρέπει να επιτρέπει το στρώμα συνδέσμου PPP, δημιουργώντας τις συνθήκες μετάδοσης δεδομένων. Στη συνέχεια, τα πλαίσια δεδομένων είναι ενθυλακωμένα και προετοιμασμένα για μεταφορά.
Τέλος, L2TP δημιουργεί τη σήραγγα. Αυτός είναι γενικά ένας άμεσος σύνδεσμος μεταξύ του απομακρυσμένου σταθμού εργασίας και ενός LAC στον τοπικό πάροχο υπηρεσιών Διαδικτύου (ISP). Το LAC δέχεται τη σήραγγα και εκχωρεί μια υποδοχή δικτύου. Το LNS δημιουργεί μια εικονική διεπαφή PPP και τα πλαίσια ταξιδεύουν μεταξύ των τελικών σημείων. Στη συνέχεια, το LNS αφαιρεί τις πληροφορίες ενθυλάκωσης και μεταδίδει κάθε μεμονωμένο πακέτο IP στον τοπικό διακομιστή δικτύου ως κανονικό πλαίσιο.
Όπως δείχνει το παράδειγμα, αυτό επιτρέπει στις ταυτότητες του δικτύου Layer 2 να επικοινωνούν σε μεγάλες αποστάσεις. Οι απομακρυσμένοι σταθμοί εργασίας και οι κεντρικοί διακομιστές μπορούν να δημιουργήσουν μια ασφαλή ενιαία σήραγγα για τη μεταφορά εμπιστευτικών δεδομένων και ροών εργασίας.
Πώς λειτουργεί το iPsec με το L2TP
Το L2TP δεν λειτουργεί μόνος του. Το ίδιο το πρωτόκολλο δεν έχει κρυπτογράφηση και έλεγχο ταυτότητας Χαρακτηριστικά και ένα πρόσθετο πρωτόκολλο πρέπει να παρέχει και τις δύο λειτουργίες ασφαλείας. Στις περισσότερες περιπτώσεις, η ασφάλεια του πρωτοκόλλου Internet (IPSEC) παρέχει αυτές τις υπηρεσίες προστασίας δεδομένων, γι ‘αυτό χρησιμοποιούμε συνήθως τον ορισμό L2TP/IPSEC.
Το IPSEC επιτρέπει στο L2TP να χρησιμεύσει ως σύνδεση VPN με την ασφάλεια στο τέλος του τέλους. Τα δύο πρωτόκολλα κρυπτογραφούν τα ωφέλιμα φορτία και τις κεφαλίδες IP μέσω των χειραψιών κρυπτογράφησης AES 256-bit (IKE). Τα δεδομένα περνούν πάνω από τη θύρα UDP 500 και προετοιμάζονται επίσης για μεταφορά ως ενθυλακωμένο ωφέλιμο φορτίο ασφαλείας (ESP).
Το ESP επιτρέπει στα LAC και LNS να καθορίζουν την προέλευση των ωφέλιμων φορτίων δεδομένων και στον έλεγχο ταυτότητας. Η κρυπτογράφηση πακέτων πολλαπλών πακέτων και κεφαλίδων IP αποκρύπτει πληροφορίες σχετικά με τα πραγματικά δεδομένα και επιτρέπει τη δρομολόγηση μέσω εικονικών δικτύων. Το L2TP λειτουργεί ως πράκτορας σήραγγας, Ρύθμιση συνδέσεων για να στείλετε αυτά τα κρυπτογραφημένα δεδομένα.
Τι χρησιμοποιείται για το L2TP?
Ο αρχικός σκοπός του L2TP ήταν Αντικαταστήστε τις συνδέσεις dial-up για απομακρυσμένα δίκτυα. Οι εταιρείες απαιτούσαν έναν τρόπο σύνδεσης εργαζομένων, κεντρικών γραφείων και υποκαταστημάτων χωρίς να επιβαρύνουν μεγάλους λογαριασμούς dial-up. Το Layer 2 Tunneling έκανε τη σύνδεση μέσω του δημόσιου Διαδικτύου ευκολότερη, μειώνοντας το κόστος επικοινωνίας. Χτίστηκε επίσης σε παλαιότερα πρωτόκολλα σήραγγας, προσθέτοντας νέα χαρακτηριστικά ασφαλείας.
Από το 2000, το πρωτόκολλο έχει βρει πολλές χρήσεις στον επιχειρηματικό κόσμο. Εδώ είναι μερικές κοινές περιπτώσεις χρήσης που δείχνουν πόσο ευπροσάρμοστο L2TP μπορεί να είναι:
L2TP ως VPN
Το L2TP δεν μπορεί να χρησιμοποιηθεί μόνο του ως πρωτόκολλο VPN. Για να δημιουργήσετε μια σύνδεση VPN πρέπει να συνδυαστεί με ένα επιπλέον πρωτόκολλο – για να παραδώσει το τέλος στην ασφάλεια και την ανωνυμία. Αυτό το πρωτόκολλο συντροφιάς είναι συνήθως iPsec.
Το Layer 2 VPN σήραγγες είναι μια αποτελεσματική επιλογή για τη σύνδεση απομακρυσμένων συσκευών σε κεντρικά γραφεία. Οι απομακρυσμένοι εργαζόμενοι μπορούν να εγκαταστήσουν πελάτες L2TP/IPSEC και να δρομολογούν την κυκλοφορία μέσω διακομιστών L2TP VPN. Το πρωτόκολλο L2TP δημιουργεί μια άμεση σήραγγα για την κυκλοφορία του Layer 2, ενώ η IPSEC παρέχει κρυπτογράφηση και έλεγχο ταυτότητας. Το ESP περιτυλίγει επίσης τις πληροφορίες και τα δεδομένα IP σε ένα άλλο στρώμα κρυπτογράφησης, δημιουργώντας μια μορφή που είναι κατάλληλη για δρομολόγηση VPN.
Μια σύνδεση VPN L2TP/IPSEC σπάνια απαιτεί την εγκατάσταση νέου λογισμικού. Οι πελάτες έρχονται ενσωματωμένοι σε Microsoft Windows, MacOS και Linux. Το πρωτόκολλο προσφέρει επίσης συμβατότητα iOS και Android, ολοκληρώνοντας εξαιρετικά ευρεία κάλυψη συσκευών.
L2TP για να επεκτείνετε ένα LAN
Οι εταιρείες μπορούν να χρησιμοποιήσουν το L2TP για να επεκτείνουν το εταιρικό τους δίκτυο με βάση το LAN για να συμπεριλάβουν απομακρυσμένες συσκευές. Αυτό είναι ένα χρήσιμο χαρακτηριστικό για τις ρυθμίσεις εργασίας από το σπίτι και την απομακρυσμένη εργασία.
Το πρωτόκολλο δημιουργεί σταθερές σήραγγες μεταξύ απομακρυσμένων συσκευών και του κεντρικού LAN. Διάφορα LAN μπορούν επίσης να συνδυαστούν με σήραγγες L2TP. Αυτός είναι ένας καλός τρόπος για να συνδέσετε μαζί τα υποκαταστήματα ή τα τμήματα της εταιρείας σε διαφορετικές τοποθεσίες.
Τα τελικά σημεία LCCE σε κάθε τοποθεσία καθιστούν την επέκταση LAN με δυνατή L2TP. Το κέντρο LCCE λειτουργεί ως γέφυρα, συνδέοντας τα τοπικά δεδομένα Ethernet με ωφέλιμα φορτία L2TP. Το iPsec προστίθεται πάνω από την κορυφή, κρυπτογραφώντας τις επικοινωνίες μεταξύ διαφορετικών LAN.
L2TP ως μέρος ενός δικτύου ISP
Οι ISP χρησιμοποιούν LANs για να μεταπωλήσουν τμήματα της ικανότητάς τους και της κυκλοφορίας διαδρομής για ιδιωτικούς πελάτες. Για παράδειγμα, οι ISP με εφεδρική χωρητικότητα μπορούν να πωλούν εύρος ζώνης σε άλλους παρόχους για τη δική τους κυκλοφορία. Το Layer 2 Tunnels που ανήκει στον αγοραστή μπορεί να δρομολογήσει την κυκλοφορία από τους πελάτες του χωρίς να παρεμβαίνει στον κεντρικό υπολογιστή ISP.
Σε περιπτώσεις όπως αυτό, ο χονδρικός ISP τρέχει ένα LAC, και οι πελάτες μίσκουν ασφαλείς συνδέσεις. Η κρυπτογράφηση IPSEC πάνω από τη σήραγγα L2TP εξασφαλίζει ότι η κυκλοφορία δεν είναι ορατή στον χονδρικό ISP, διατηρώντας ιδιωτικές πληροφορίες διεύθυνσης IP πελάτη.
L2TP σε ένα δίκτυο Wi-Fi δημόσιας πρόσβασης
Η σήραγγα L2TP χρησιμοποιείται τακτικά για την κατασκευή και την εξασφάλιση δημόσιων δικτύων Wi-Fi. Αυτό είναι ένα κοινό χαρακτηριστικό των δικτύων που ανήκουν σε μεγάλους οργανισμούς όπως κολέγια, σχολεία, βιβλιοθήκες ή αεροδρόμια.
Οι οργανισμοί διατηρούν ένα δίκτυο σημείων πρόσβασης Wi-Fi. Οι συσκευές πελατών συνδέονται με μεμονωμένα σημεία πρόσβασης, τα οποία δημιουργούν μια συνεδρία L2TP.
Το πρωτόκολλο σήραγγας Layer 2 προσφυγές σε πολλούς οργανισμούς, επειδή μειώνει το κόστος παροχής του Διαδικτύου σε διάφορα σημεία πρόσβασης. Δεν είναι απαραίτητο να κανονίσετε μεμονωμένες συνδέσεις σε κάθε σημείο πρόσβασης. Η κυκλοφορία μπορεί να δρομολογηθεί με ασφάλεια σε έναν ενιαίο πάροχο μέσω πρωτοκόλλων σήραγγας.
Τα οφέλη και τα μειονεκτήματα του L2TP
Το L2TP/IPSEC είναι ένα δημοφιλές μέσο δημιουργίας συστημάτων VPN. Αλλά δεν είναι το μόνο πρωτόκολλο γύρω και δεν είναι χωρίς τα ελαττώματά του. Ας περάσουμε γρήγορα μερικά πλεονεκτήματα και μειονεκτήματα για να καταλάβουμε πού ταιριάζει το L2TP στην ευρύτερη εικόνα.
Πλεονεκτήματα των υπηρεσιών VPN L2TP:
Ισχυρή ασφάλεια με το iPsec. Όταν το πρωτόκολλο σήραγγας Layer 2 συνδυάζεται με το iPsec, τα δεδομένα πρέπει να παραμείνουν ασφαλή και ιδιωτικά. Το IPSEC παρέχει ισχυρή κρυπτογράφηση που είναι σχεδόν αδιάφορη. Υπάρχουν φήμες ότι η NSA έσπασε το iPsec, αλλά δεν υπάρχουν σκληρά στοιχεία ότι το πρωτόκολλο διακυβεύεται.
Εύχρηστος. Η ρύθμιση μιας σύνδεσης VPN L2TP είναι απλή. Το πρωτόκολλο σήραγγας είναι ενσωματωμένο σε μεγάλα λειτουργικά συστήματα. Για παράδειγμα, οι χρήστες μπορούν να ρυθμίσουν ένα VPN L2TP σε δευτερόλεπτα μέσω ρυθμίσεων δικτύου στα Microsoft Windows.
Η ευελιξία της δικτύωσης L2. Η συνδεσιμότητα επιπέδου 2 έχει κάποια πλεονεκτήματα σε σχέση με το επίπεδο 3 VPNs. Οι εταιρείες μπορούν να μοιράζονται την υποδομή μεταξύ διαφορετικών τοποθεσιών πιο εύκολα. Είναι επίσης ευκολότερο να μετατοπίσετε την υποδομή εικονικής μηχανής μεταξύ φυσικών συσκευών, ανάλογα με τις ανάγκες. Το L2TP μπορεί επίσης να χρησιμοποιήσει μια ποικιλία μέσων σήραγγας, σε αντίθεση με το PPTP που είναι ικανό μόνο να χειριστεί σήραγγες IP.
Ταχύτητα. Το πρωτόκολλο σήραγγας Layer 2 είναι γνωστό για την ταχύτητά του. Σε πολλές περιπτώσεις, η χρήση L2TP είναι τόσο γρήγορη όσο οι μη κρυπτογραφημένες συνδέσεις.
Μειονεκτήματα του L2TP:
Προβλήματα με τείχη προστασίας. Το L2TP λειτουργεί στη θύρα 500, η οποία μπορεί να οδηγήσει σε θέματα όταν διασχίζει τείχη προστασίας και πύλες NAT. Στις περισσότερες περιπτώσεις, απαιτείται ένα L2TP passthrough, για τη διαφανή μετάδοση πολλών πρωτοκόλλων έναντι τείχη προστασίας.
Η ταχύτητα πέφτει με το iPsec. Τα πλεονεκτήματα ταχύτητας του RAW L2TP ενδέχεται να εξαφανιστούν όταν εφαρμόζεται κρυπτογράφηση IPSEC. Αυτό ισχύει ιδιαίτερα όταν χρησιμοποιείται διπλή ενθυλάκωση σε σύνδεση VPN.
Αστάθεια. Τα ζητήματα τείχους προστασίας και γενικής συνδεσιμότητας σημαίνουν ότι η χρήση L2TP/IPSEC είναι συχνά λιγότερο σταθερή από ένα εναλλακτικό πρωτόκολλο VPN όπως το WireGuard ή το OpenVPN.
Τι θύρα χρησιμοποιεί το L2TP?
Οι περισσότερες συνδέσεις L2TP χρησιμοποιούν τη θύρα UDP 500 για να συνδέσετε συσκευές. Το UDP 500 χρησιμοποιείται με IPSEC όταν απαιτούνται κλειδιά κρυπτογράφησης IKE. Η θύρα UDP 4500 μπορεί να χρησιμοποιηθεί για το Nat Traversal, ενώ ο διακομιστής L2TP χρησιμοποιεί θύρα 1701 και δεν λαμβάνει εισερχόμενη κυκλοφορία.
Το L2TP παρέχει κρυπτογράφηση από μόνη της?
Οχι. Αυτό είναι ένα σημαντικό γεγονός για τη χρήση του L2TP. Από μόνη της, το L2TP απλώς δημιουργεί σταθερές σήραγγες μεταξύ συσκευών. Το πρωτόκολλο δεν εφαρμόζει ισχυρή κρυπτογράφηση για να καταστήσει το ωφέλιμο φορτίο δεδομένων μη αναγνώσιμο. Επίσης, δεν πιστοποιεί κάθε μεμονωμένο πακέτο IP καθώς περνάει μεταξύ των συσκευών και η διεύθυνση IP των πακέτων θα εκτεθεί επίσης κατά τη διαμετακόμιση. Το L2TP δεν παρέχει επαρκείς διασφαλίσεις για τη διασφάλιση της ακεραιότητας των δεδομένων και της φρουράς δεδομένων χρήστη έναντι επιθέσεων. Αυτός είναι ο λόγος για τον οποίο η IPSEC συνοδεύει γενικά το L2TP και τα δύο πρωτόκολλα συνεργάζονται.
Κατανόηση της σήραγγας L2TP
Το L2TP προσφέρει σήραγγα Layer 2 μεταξύ δικτύων και συσκευών. Έχει πολλές χρήσεις ως γέφυρα μεταξύ LAN, ενώ το L2TP είναι επίσης ένα δημοφιλές στοιχείο των εικονικών υπηρεσιών ιδιωτικού δικτύου όταν συνδυάζεται με το iPsec. Για να ανακεφαλαιώσουμε, ας περάσουμε από αυτό που γνωρίζουμε για τα δυνατά σημεία και τις αδυναμίες του πρωτοκόλλου.
Το L2TP πρέπει να χρησιμοποιείται με ένα επιπλέον πρωτόκολλο που παρέχει κρυπτογράφηση και έλεγχο ταυτότητας δεδομένων. Αυτό το πρωτόκολλο είναι γενικά iPsec.
Το L2TP λειτουργεί στο OSI Layer 2, καθιστώντας το κατάλληλο για τη σύνδεση των τοπικών δικτύων και τη διαμόρφωση γέφυρας μεταξύ των τοποθεσιών υποκαταστημάτων.
Το L2TP είναι ενσωματωμένο σε λειτουργικά συστήματα Microsoft Windows, MacOS, Linux και Mobile. Μπορεί να λειτουργήσει με τις περισσότερες συσκευές και είναι εύκολο να διαμορφωθεί.
Το L2TP/IPSEC είναι ένα ασφαλές πρωτόκολλο VPN και παρέχει σχετικά γρήγορες ταχύτητες. Μπορεί να συνδέσει απομακρυσμένους εργαζόμενους με κεντρικά γραφεία και να κλειδώσει τις μεταφορές δεδομένων σε ολόκληρο το δημόσιο διαδίκτυο.
Οι εταιρείες ενδέχεται να αντιμετωπίζουν προβλήματα με τα τείχη προστασίας και τις πύλες NAT όταν χρησιμοποιούν L2TP. Μπορεί να χρειαστούν μέθοδοι για την εξασφάλιση της ομαλής μεταφοράς. Ως αποτέλεσμα, άλλα πρωτόκολλα σήραγγας μπορεί να είναι προτιμότερα.
Πρωτόκολλα VPN: L2TP/IPSEC
Το L2TP σημαίνει πρωτόκολλο σήραγγας Layer 2. Το L2TP προτάθηκε για πρώτη φορά το 1999 ως αναβάθμιση τόσο στο L2F (πρωτόκολλο προώθησης Layer 2) όσο και στο PPTP (πρωτόκολλο σήραγγας από σημείο σε σημείο). Επειδή το L2TP δεν παρέχει ισχυρή κρυπτογράφηση ή έλεγχο ταυτότητας από μόνη της, ένα άλλο πρωτόκολλο που ονομάζεται IPSEC χρησιμοποιείται συχνότερα σε συνδυασμό με το L2TP.
Το IPSEC αντιπροσωπεύει την ασφάλεια του πρωτοκόλλου Internet. Το IPSEC είναι ένα πολύ ευέλικτο πρωτόκολλο για ασφάλεια από άκρο σε άκρο που επικυρώνει και κρυπτογραφεί κάθε μεμονωμένο πακέτο IP σε μια δεδομένη επικοινωνία. Το IPSEC χρησιμοποιείται σε ένα ευρύ φάσμα εφαρμογών στο στρώμα Internet της σουίτας πρωτοκόλλου Internet.
Χρησιμοποιούνται μαζί, το L2TP και το IPSEC είναι πολύ πιο ασφαλείς από το PPTP (πρωτόκολλο σήραγγας από σημείο σε σημείο), αλλά είναι ακόμα πιο κατάλληλα για την ανώνυμη από ό, τι για ασφάλεια.
Το L2TP έχει μερικές φορές προβλήματα με τα τείχη προστασίας λόγω της χρήσης της θύρας UDP 500, την οποία είναι γνωστό ότι ορισμένα τείχη προστασίας είναι γνωστό ότι μπλοκάρουν.
Λόγω αυτών των μειονεκτημάτων, αυτό το πρωτόκολλο είναι δεν προτείνεται και δεν υποστηρίζεται από οποιαδήποτε εφαρμογή ExpressVPN.
- Πιο ασφαλές από το pptp
- Πιο αργή από το openvpn
- Μερικές φορές μπλοκάρει από τείχη προστασίας
- Μόνο μέτρια ασφαλές