L2TP sobre IPSec encapsula paquetes usando L2TP y luego IPSec. Utiliza L2TP para implementar la autenticación de usuarios y la asignación de direcciones e IPSec para garantizar una comunicación segura. L2TP sobre IPSec garantiza que las sucursales o los empleados que viajan se conecten a la sede central.
La siguiente figura ilustra cómo L2TP sobre IPSec permite que las sucursales se conecten a la sede central.
L2TP sobre encapsulación de paquetes IPSec y negociación de túneles
Los paquetes son encapsulados por L2TP, y luego por IPSec. En el encabezado IP agregado durante la encapsulación IPSec, la dirección IP de origen es la dirección IP de la interfaz a la que se aplica la política de IPSec, y la dirección IP de destino es la dirección IP de la interfaz de igual a la que la política de IPSec en el peer remoto este aplicado.
IPSec protege los flujos de datos desde el origen hasta el destino del túnel L2TP. En el nuevo encabezado IP agregado durante la encapsulación L2TP, la dirección IP de origen es la dirección de la interfaz de origen L2TP, y la dirección IP de destino es la dirección de la interfaz de destino L2TP. Cuando una sucursal se conecta a la oficina central, la dirección de origen del túnel L2TP es la dirección IP de la interfaz de salida en el LAC, y la dirección de designación es la dirección de la interfaz de entrada en el LNS.
Se agrega una dirección IP pública al encabezado en la encapsulación L2TP, y se agrega una dirección IP pública más en modo túnel. Como resultado, los paquetes son más grandes y más paquetes se fragmentarán en modo túnel. Por lo tanto, se recomienda el modo de transporte de L2TP sobre IPSec.
La secuencia de negociación de L2TP sobre IPSec y el proceso de encapsulación de paquetes son los mismos para los empleados en movimiento y los empleados en las sucursales. La diferencia es que, la encapsulación L2TP e IPSec se realiza en los clientes cuando los empleados en movimiento se conectan a la sede central. La dirección de origen L2TP es la dirección privada asignada al cliente. La dirección puede ser cualquier dirección en el grupo de direcciones configurado en el LNS. La dirección de destino del túnel L2TP es la dirección de la interfaz de entrada en el LNS.
Enlaces relacionados:
Configuración de Enrutamiento Estático en Router AR 2200
Uso de L3VPN en ISP de tránsito
Alto CPU en un AR por incremento de tráfico
