j'ai compris

Introduction au VPN L2TP

publié il y a  2021-7-23 10:47:31 223 0 0 0 0

Bonjour à tous,

Aujourd'hui, je vais vous présenter le concept de VPN L2TP et ses principes de fonctionnement.

Qu'est-ce que le VPN L2TP

L2TP (Layer 2 Tunneling Protocol) est un type de protocole de tunneling VPDN (Virtual Private Dial-up Network). Le protocole de tunnel VPDN comprend principalement les trois types suivants, le plus largement utilisé actuellement est L2TP.

l  PPTP (protocole de tunneling point à point, protocole de tunneling point à point)

l  L2F (transfert de couche 2)

l  L2TP

Le schéma de topologie du réseau de L2TP est le suivant :

Figure 1 le schéma de topologie du réseau

                                             

le schéma de topologie du réseau

Système à distance

Le système distant correspond aux utilisateurs distants et aux succursales distantes qui souhaitent accéder au réseau VPDN. Il s'agit généralement de l'hôte d'un utilisateur commuté ou d'un périphérique de routage sur le réseau privé.

LAC  Concentrateur d'accès L2TP 

LAC est un appareil doté d'un système d'extrémité PPP et d'une capacité de traitement du protocole L2TP attaché au réseau de commutation, généralement le NAS (Network Access Server) d'un FAI local, qui est principalement utilisé pour fournir des services d'accès aux utilisateurs PPP. Entre le LNS et le système distant, il est utilisé pour transférer des paquets d'informations entre le LNS et le système distant. La connexion locale ou l'interconnexion PPP est adoptée entre le LAC et le système distant, et la connexion PPP est généralement utilisée dans l'application VPDN.

LNS  Serveur réseau L2TP 

LNS est à la fois le système d'extrémité PPP et l'extrémité serveur du protocole L2TP, généralement en tant que périphérique périphérique d'un intranet d'entreprise. En tant qu'autre extrémité du tunnel L2TP, le LNS est le périphérique homologue du LAC et constitue l'extrémité de terminaison logique de la session PPP pour le tunnel LAC. En établissant un tunnel L2TP dans le réseau public, l'autre extrémité de la connexion PPP du système distant est logiquement étendue du LAC d'origine au LNS à l'intérieur du réseau d'entreprise.

Sessions et tunnels

Il existe deux types de connexions entre une paire LNS et LAC. L'un est une connexion tunnel. Il peut y avoir plusieurs tunnels L2TP dans une paire de LAC et LNS ; l'autre est une connexion de session, qui est multiple Utilisée sur la connexion tunnel, utilisée pour représenter le processus de chaque session PPP transportée dans la connexion tunnel.

Le tunnel se compose d'une connexion de contrôle et d'une ou plusieurs sessions. La connexion de session doit être établie une fois le tunnel établi avec succès (y compris l'échange d'informations telles que la protection de l'identité, la version L2TP, le type de trame, le type de transmission matérielle, etc.). Chaque connexion de session correspond à un flux de données PPP entre LAC et LNS. Les messages de contrôle et les paquets de données PPP sont transmis via le tunnel.

L2TP utilise des paquets Hello pour détecter la connectivité du tunnel. Le LAC et le LNS envoient régulièrement des messages Hello à l'autre extrémité. Si aucune réponse au message Hello n'est reçue pendant une période de temps, la connexion tunnel sera déconnectée.

L'en-tête du paquet L2TP contient des informations sur l'ID de tunnel et l'identifiant de session (SessionID), qui sont utilisées pour identifier différents tunnels et sessions. Les paquets avec le même identifiant de tunnel et des identifiants de session différents seront multiplexés sur un tunnel, et l'identifiant de tunnel et l'identifiant de session dans l'en-tête du message seront alloués par l'extrémité opposée.

La relation entre le tunnel et la session peut être comprise visuellement lorsqu'une session est établie dans un tunnel. Le tunnel est considéré comme une autoroute à 10 voies, et le flux de données d'un PC commuté est une session. Parce qu'une voie est occupée (dites combien de voies sur l'autoroute sont spécifiées par l'appareil), cette voie ne peut faire circuler que le camion qui transporte les paquets de ce PC. (Par exemple, un certain modèle d'équipement prend en charge un maximum de 1000 sessions par tunnel).

Protocole L2TP

Figure 2 la position du protocole L2TP dans la pile de protocoles TCP/IP

la position du protocole L2TP dans le protocole TCP/IP

Cette figure illustre la position du protocole L2TP dans l'ensemble de la structure hiérarchique TCP/IP, et indique également la structure de la pile de protocoles et le processus d'encapsulation que le paquet de données IP traverse dans le processus de transmission ;

Nous décrivons le principe de fonctionnement du VPN avec un processus de transmission de paquets IP côté utilisateur, et l'IP marquée en jaune correspond aux données utilisateur qui doivent être transmises !

Du côté LAC, la couche liaison encapsule le message de données utilisateur en tant que PPP, puis le transmet au protocole L2TP. L2TP est ensuite encapsulé dans un message UDP, et UDP est à nouveau encapsulé dans un message IP pouvant être transmis sur Internet. Le résultat est qu'il y a un autre message IP dans le message IP, mais les deux adresses IP sont différentes. Généralement, l'adresse IP du message utilisateur est une adresse privée, tandis que l'adresse IP sur le LAC est une adresse publique. Jusqu'à présent, l'encapsulation des données privées du VPN est terminée ;

Du côté LNS, après avoir reçu le paquet IP de L2TP/VPN, supprimez les en-têtes de paquet IP, UDP et L2TP pour restaurer le paquet PPP de l'utilisateur, et supprimez l'en-tête de paquet PPP pour obtenir le paquet IP. À ce stade, l'adresse IP de l'utilisateur Le message de données est obtenu, de manière à réaliser la transmission transparente par tunnel des données IP de l'utilisateur, et l'ensemble de l'en-tête/du message PPP reste inchangé pendant le processus de transmission, ce qui vérifie également que L2TP est un VPN de couche 2. protocole de tunnelage !

Comment fonctionne le VPN L2TP

Processus de négociation et d'interaction L2TP

Afin de transférer des paquets de données entre les utilisateurs VPN et les serveurs, un tunnel et une connexion de session pour le transfert de paquets de données doivent être établis entre le LAC et le LNS. Le tunnel est défini par les attributs de connexion qui peuvent être partagés par un groupe d'utilisateurs ayant les mêmes caractéristiques de connexion de session. La session est un canal de données PPP permettant à chaque utilisateur d'établir une connexion avec le serveur VPN d'entreprise. Plusieurs sessions sont multiplexées sur une connexion tunnel. Les tunnels et les sessions sont établis et supprimés de manière dynamique.

L'établissement de la session est déclenché par le module PPP. S'il n'y a pas de structure de tunnel disponible lorsque la session est établie, la connexion par tunnel est établie en premier et la transmission des données commence après l'établissement de la session !

Procédure de configuration L2TP

Figure 3 Procédure de configuration L2TP

Procédure de configuration L2TP

L'établissement d'un tunnel L2TP est un processus d'établissement de liaison à trois voies. Premièrement, le LAC initie la demande d'établissement de tunnel SCCRQ, le LNS répond au SCCRP après avoir reçu la demande, et enfin, le LAC renvoie la confirmation SCCCN au LNS après avoir reçu la réponse ; le tunnel est établi.

Le processus d'établissement d'une session est similaire à celui d'un tunnel. Tout d'abord, le LAC initie une demande d'établissement de session ICRQ. Après avoir reçu la demande, le LNS renvoie une réponse ICRP. Après avoir reçu la réponse, le LAC renvoie une confirmation ICCN, et la session est établie !

L'établissement de la session L2TP est déclenché par PPP et l'établissement du tunnel est déclenché par la session. Étant donné que plusieurs sessions peuvent être multiplexées sur un tunnel, si le tunnel a été établi avant l'établissement de la session, le tunnel n'a pas besoin d'être rétabli.

Maintenance et suppression des tunnels L2TP

Une fois le tunnel établi, il doit attendre que toutes les sessions auxquelles le tunnel appartient soient hors ligne avant de le supprimer. Afin de confirmer que la structure du tunnel de l'extrémité opposée existe toujours, il est nécessaire d'envoyer régulièrement des messages de maintenance avec l'extrémité opposée. Le processus est le suivant : LAC ou LNS envoie des messages Hello, le LNS ou LAC correspondant envoie un message de confirmation ! S'il n'y a pas de réponse dans un laps de temps, le tunnel est automatiquement détruit.

Figure 4 Tunnels L2TP Maintenance

Entretien des tunnels L2TP

Figure 5 Suppression des tunnels L2TP

Suppression des tunnels L2TP

L2TP VPN VS IPSec

L2TP

L2TP est une version de suivi de PPTP développée par l'IETF basée sur L2F (Cisco's Layer 2 Forwarding Protocol). Il s'agit d'un protocole de tunneling Internet standard qui peut fournir une encapsulation pour le cadre de protocole point à point (PPP) pour l'envoi sur des supports orientés paquets. PPTP et L2TP utilisent tous deux le protocole PPP pour encapsuler les données, puis ajoutent des en-têtes supplémentaires pour la transmission de données sur Internet. PPTP ne peut établir qu'un seul tunnel entre deux extrémités. L2TP prend en charge l'utilisation de plusieurs tunnels entre deux extrémités, et les utilisateurs peuvent créer différents tunnels pour différentes qualités de service. L2TP peut fournir une authentification par tunnel, tandis que PPTP ne prend pas en charge l'authentification par tunnel. Mais lorsque L2TP ou PPTP est utilisé avec IPSEC, IPSEC peut fournir une vérification de tunnel, et il n'est pas nécessaire de vérifier que le tunnel utilise L2TP sur le protocole de couche 2. PPTP nécessite qu'Internet soit un réseau IP. L2TP ne requiert que le support du tunnel pour fournir une connexion point à point orientée paquets. L2TP peut être utilisé sur des réseaux IP (à l'aide d'UDP), des circuits virtuels permanents à relais de trame (PVC), des circuits virtuels X.25 (VC) ou des réseaux VC ATM.

L2TP est essentiellement un protocole de tunnel qui utilise deux types de messages : les messages de contrôle et les messages de tunnel de données. Le message de contrôle est responsable de la création, de la maintenance et de la terminaison du tunnel L2TP, tandis que le message du tunnel de données est responsable de la transmission réelle des données utilisateur. L2TP prend en charge les fonctions de sécurité standard CHAP et PAP et peut effectuer l'authentification de l'identité de l'utilisateur. En termes de sécurité, L2TP définit uniquement une méthode de transmission cryptée pour les messages de contrôle et ne crypte pas les données en transmission.

IPSec

Le tunnel en mode tunnel IPSec est l'ensemble du processus d'encapsulation, de routage et de désencapsulation. Le tunnel cache (ou encapsule) le paquet de données d'origine dans le nouveau paquet de données. Le nouveau paquet de données peut avoir de nouvelles informations d'adressage et de routage afin qu'il puisse être transmis sur le réseau. Lorsque le tunneling est utilisé en conjonction avec la confidentialité des données, les personnes qui écoutent les communications sur le réseau ne pourront pas obtenir les données du paquet d'origine (et la source et la destination d'origine). Une fois que le paquet de données encapsulé a atteint la destination, l'encapsulation est supprimée et l'en-tête du paquet de données d'origine est utilisé pour acheminer le paquet de données vers la destination finale.

Le tunnel lui-même est le chemin de données logique par lequel passent les données encapsulées. Pour la source et la destination d'origine, le tunnel est invisible, mais seule la connexion point à point dans le chemin réseau est visible. Les parties se connectant ne se soucient pas des routeurs, commutateurs, serveurs proxy ou autres passerelles de sécurité entre le début et la fin du tunnel. Lorsque le tunneling et la confidentialité des données sont utilisés ensemble, ils peuvent être utilisés pour fournir un VPN.

Lorsque IPSec est utilisé en mode tunnel, il fournit uniquement l'encapsulation pour la communication IP. Le mode tunnel IPSec est principalement utilisé pour l'interopérabilité avec d'autres routeurs, passerelles ou systèmes de terminaux qui ne prennent pas en charge la technologie de tunnel VPN L2TP ou PPTP sur IPSec.

C'est tout ce que je veux partager avec vous !


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.