レイヤー2トンネリングプロトコル

ウィキペディアから、無料の百科事典
ナビゲーションにジャンプ 検索にジャンプ

コンピュータネットワークではレイヤ2トンネリングプロトコルL2TP)は、仮想プライベートネットワーク(VPN)をサポートするため、またはISPによるサービスの提供の一部として使用されるトンネリングプロトコルです。独自の制御メッセージ(オプションの事前共有シークレットを使用)にのみ暗号化(「非表示」)を使用し、コンテンツ自体の暗号化機密性を提供しません。むしろ、レイヤー2(暗号化される場合があります)用のトンネルを提供し、トンネル自体は、 IPsecなどのレイヤー3暗号化プロトコルを介して渡される場合があります[1]

歴史

2000年に提案された標準RFC2661として公開されたL2TPは、主にポイントツーポイント通信用の2つの古いトンネリングプロトコルであるCiscoLayer 2 Forwarding Protocol(L2F)とMicrosoft[3] Point-to- PointTunnelingに端を発しています。プロトコル(PPTP)。このプロトコルの新しいバージョンであるL2TPv3は、2005年に提案された標準RFC 3931として登場しました。L2TPv3は、追加のセキュリティ機能、改善されたカプセル化、およびIPネットワークを介した単なるポイントツーポイントプロトコル(PPP)以外のデータリンクを伝送する機能を提供します。(例:フレームリレーイーサネットATMなど)。

説明

ペイロードとL2TPヘッダーを含むL2TPパケット全体が、ユーザーデータグラムプロトコル(UDP)データグラム内で送信されます。(TCPではなく)UDPを介した送信の利点は、「TCPメルトダウンの問題」を回避できることです。[4] [5] L2TPトンネル内でPPPセッションを実行するのが一般的です。L2TPは、それ自体では機密性や強力な認証を提供しません。IPsecは、機密性、認証、および整合性を提供することによってL2TPパケットを保護するためによく使用されます。これら2つのプロトコルの組み合わせは、一般にL2TP / IPsecとして知られています(以下で説明します)。

L2TPトンネルの2つのエンドポイントは、L2TPアクセスコンセントレータ(LAC)およびL2TPネットワークサーバー(LNS)と呼ばれます。 LNSは新しいトンネルを待ちます。トンネルが確立されると、ピア間のネットワークトラフィックは双方向になります。ネットワーキングに役立つように、高レベルのプロトコルがL2TPトンネルを介して実行されます。これを容易にするために、PPPなどの上位レベルのプロトコルごとにトンネル内にL2TPセッションが確立されます。 LACまたはLNSのいずれかがセッションを開始できます。各セッションのトラフィックはL2TPによって分離されているため、単一のトンネルを介して複数の仮想ネットワークをセットアップできます。

L2TPトンネル内で交換されるパケットは、制御パケットまたはデータパケットのいずれかに分類されます。L2TPは、制御パケットの信頼性機能を提供しますが、データパケットの信頼性は提供しません。信頼性は、必要に応じて、L2TPトンネルの各セッション内で実行されるネストされたプロトコルによって提供される必要があります。

L2TPを使用すると、仮想プライベートダイヤルアップネットワーク(VPDN)[6]を作成して、インターネットやサービスプロバイダーのネットワークなどの共有インフラストラクチャを使用してリモートクライアントを企業ネットワークに接続できます。

トンネリングモデル

L2TPトンネルは、PPPセッション全体に拡張することも、2セグメントセッションの1つのセグメントにのみ拡張することもできます。これは、次の4つの異なるトンネリングモデルで表すことができます。

  • 自主トンネル
  • 強制トンネル—着信コール
  • 強制トンネル—リモートダイヤル
  • L2TPマルチホップ接続[7]

L2TPパケット構造

L2TPパケットは次のもので構成されます。

ビット0〜15 ビット16〜31
フラグとバージョン情報 長さ(オプション)
トンネルID セッションID
Ns(opt) Nr(opt)
オフセットサイズ(opt) オフセットパッド(オプション).....。
ペイロードデータ

フィールドの意味:

フラグとバージョン
データ/制御パケットと長さ、シーケンス、およびオフセットフィールドの存在を示す制御フラグ。
長さ(オプション)
メッセージの全長(バイト単位)。長さフラグが設定されている場合にのみ表示されます。
トンネルID
制御接続の識別子を示します。
セッションID
トンネル内のセッションの識別子を示します。
Ns(オプション)
このデータまたは制御メッセージのシーケンス番号。ゼロから始まり、送信されるメッセージごとに1ずつ増加します(モジュロ2 16)。シーケンスフラグが設定されている場合にのみ表示されます。
Nr(オプション)
受信する予定のメッセージのシーケンス番号。Nrは、最後に受信した順序付きメッセージのNに1を加えたもの(モジュロ2 16)に設定されます。データメッセージでは、Nrは予約されており、存在する場合(Sビットで示される)、受信時に無視する必要があります。
オフセットサイズ(オプション)
ペイロードデータがL2TPヘッダーを超えて配置される場所を指定します。オフセットフィールドが存在する場合、L2TPヘッダーはオフセットパディングの最後のバイトの後で終了します。このフィールドは、オフセットフラグが設定されている場合に存在します。
オフセットパッド(オプション)
オフセットサイズで指定された可変長。このフィールドの内容は未定義です。
ペイロードデータ
可変長(最大ペイロードサイズ= UDPパケットの最大サイズ-L2TPヘッダーのサイズ)

L2TPパケット交換

L2TP接続のセットアップ時に、サーバーとクライアント間で多くの制御パケットが交換され、各方向のトンネルとセッションが確立されます。一方のピアは、もう一方のピアに、これらの制御パケットを介して特定のトンネルとセッションIDを割り当てるように要求します。次に、このトンネルとセッションIDを使用して、データパケットがペイロードとして圧縮されたPPPフレームと交換されます。

トンネルを確立する前のハンドシェイクと自発的なトンネリング方式でのセッションのために、LACとLNSの間で交換されるL2TP制御メッセージのリストは次のとおりです。

L2TPパケット交換.svg

L2TP / IPsec

L2TPプロトコルに固有の機密性が欠如しているため、多くの場合、 IPsecとともに実装されます。これはL2TP / IPsecと呼ばれ、IETF RFC3193で標準化されています。L2TP/ IPsecVPNを設定するプロセスは次のとおりです。

  1. 通常はインターネットキー交換(IKE)を介したIPsecセキュリティアソシエーション(SA)のネゴシエーション。これはUDPポート500を介して実行され、他のキーイング方法は存在しますが、通常、共有パスワード(いわゆる「事前共有キー」)、公開キー、または両端でX.509証明書のいずれかを使用します。
  2. トランスポートモードでのカプセル化セキュリティペイロード(ESP)通信の確立。ESPのIPプロトコル番号は50です(TCPの6とUDPの17を比較してください)。この時点で、セキュリティで保護されたチャネルが確立されていますが、トンネリングは行われていません。
  3. SAエンドポイント間のL2TPトンネルのネゴシエーションと確立。パラメータの実際のネゴシエーションは、IPsec暗号化内でSAのセキュリティで保護されたチャネルを介して行われます。L2TPはUDPポート1701を使用します。

プロセスが完了すると、エンドポイント間のL2TPパケットはIPsecによってカプセル化されます。L2TPパケット自体はIPsecパケット内でラップおよび非表示になっているため、元の送信元および宛先IPアドレスはパケット内で暗号化されます。また、エンドポイント間でのみ行われるIPsecデータの復号化と削除が完了するまで、内部パケットは処理されないため、エンドポイント間のファイアウォールでUDPポート1701を開く必要はありません。

L2TP / IPsecで混乱する可能性のあるポイントは、トンネルセキュリティで保護されたチャネルという用語の使用ですトンネルモードという用語は、あるネットワークの手付かずのパケットを別のネットワーク上で転送できるようにするチャネルを指します。L2TP / PPPの場合、L2TP / PPPパケットをIP経由で転送できます。安全なチャネルは、すべてのデータの機密性が保証されている接続を指します。L2TP / IPsecでは、最初にIPsecがセキュリティで保護されたチャネルを提供し、次にL2TPがトンネルを提供します。IPsecは、トンネルプロトコルも指定します。これは、L2TPトンネルが使用されている場合は使用されません。

Windowsの実装

Windowsは、 Windows 2000以降、L2TPのネイティブサポート(コントロールパネルで構成可能)を備えていますWindows Vistaには、「セキュリティが強化されたWindowsファイアウォール」(WFwAS)と呼ばれるMMCスナップインと「 netshadvfirewall」コマンドラインツールの2つの代替ツールが追加されました。 WFwASコマンドとnetshコマンドの両方の制限の1つは、サーバーをIPアドレスで指定する必要があることです。Windows 10では、「Add-VpnConnection」および「Set-VpnConnectionIPsecConfigurationPowerShellコマンドが追加されました。サーバーがNAT-Tデバイスの背後にある場合は、クライアントとサーバーでレジストリキーを作成する必要があります。[1]

ISPのネットワークにおけるL2TP

L2TPは、 ADSLやケーブルなどのインターネットサービスが転売されているときにISPによってよく使用されます。エンドユーザーから、パケットはホールセールネットワークサービスプロバイダーのネットワークを経由して、プロトコルコンバーターとルーターを組み合わせたBroadband Remote Access Server( BRAS )と呼ばれるサーバーに移動します。レガシーネットワークでは、エンドユーザーの顧客宅内機器からBRASへのパスはATMネットワークを経由する場合があります。そこから、IPネットワークを介して、L2TPトンネルがBRAS(LACとして機能)から最終的な宛先ISPのIPネットワークの境界にあるエッジルーターであるLNSまで実行されます。L2TPを使用するリセラーISPの例を参照してください

RFCリファレンス

  • RFC  2341 Cisco Layer Two Forwarding(Protocol) "L2F"(L2TPの前身)
  • RFC  2637 ポイントツーポイントトンネリングプロトコル(PPTP)
  • RFC2661 レイヤー 2トンネリングプロトコル「L2TP」
  • RFC  2809RADIUS を介したL2TP強制トンネリングの実装
  • RFC  2888L2TP を使用した安全なリモートアクセス
  • フレームリレーを介したRFC3070 レイヤ 2トンネリングプロトコル(L2TP)
  • RFC  3145L2TP 切断の原因情報
  • RFC  3193IPsec を使用したL2TPの保護
  • RFC  3301 レイヤー2トンネリングプロトコル(L2TP):ATMアクセスネットワーク
  • RFC  3308 レイヤー2トンネリングプロトコル(L2TP)差別化サービス
  • RFC  3355 Layer Two Tunneling Protocol(L2TP)over ATM Adaptation Layer 5(AAL5)
  • RFC3371 レイヤー 2トンネリングプロトコル「L2TP」管理情報ベース
  • RFC  3437PPP リンク制御プロトコルネゴシエーションのためのレイヤー2トンネリングプロトコル拡張
  • RFC  3438 Layer Two Tunneling Protocol(L2TP)Internet Assigned Numbers:Internet Assigned Numbers Authority(IANA)に関する考慮事項の更新
  • RFC  3573 レイヤ2トンネリングプロトコル(L2TP)でのModem-On-Holdステータスのシグナリング
  • RFC  3817 Layer 2 Tunneling Protocol(L2TP)Active Discovery Relay for PPP over Ethernet(PPPoE)
  • RFC  3931 レイヤー2トンネリングプロトコル-バージョン3(L2TPv3)
  • レイヤ2トンネリングプロトコル(L2TP)でのマルチキャストトラフィックの効率的な伝送をサポートするRFC4045 拡張 
  • RFC  4951 レイヤ2トンネリングプロトコル(L2TP)「フェイルオーバー」のフェイルオーバー拡張機能

も参照してください

参考文献

  1. ^ IETF(1999)、RFC 2661、レイヤー2トンネリングプロトコル「L2TP」
  2. ^ W. Richard Stevens、 TCP / IP Illustrated、Volume 1:The Protocols、Addison Wesley、1994、ISBN0-201-63346-9。
  3. ^ 「ポイントツーポイントトンネリングプロトコル(PPTP)」TheNetworkEncyclopedia.com。2013 2014年7月28日取得ポイントツーポイントトンネリングプロトコル(PPTP)[:]ポイントツーポイントプロトコル(PPP)に基づいて、ネットワークトラフィックをカプセル化し、インターネットなどのセキュリティで保護されていないパブリックネットワークを介してルーティングされます。[永久リンク切れ]
  4. ^ Titz、Olaf(2001-04-23)。「TCPオーバーTCPが悪い考えである理由」2015年10月17日取得
  5. ^ ホンダ、修; 大崎博之; 今瀬誠; 石塚美香; 村山淳一(2005年10月)。「TCPoverTCPの理解:エンドツーエンドのスループットと遅延に対するTCPトンネリングの影響」。Atiquzzamanでは、モハメッド。Balandin、Sergey I(編)。次世代通信およびセンサーネットワークのパフォーマンス、サービス品質、および制御III6011. Bibcode2005SPIE.6011..138HCiteSeerX10.1.1.78.5815_ 土井10.1117 /12.630496S2CID8949592_  
  6. ^ シスコサポート:VPDNを理解する– 2008年1月29日更新
  7. ^ IBMナレッジセンター:L2TPマルチホップ接続

外部リンク

実装

その他