Présentation
EnglishRÉSUMÉ
Le protocole de tunneling de niveau 2 (L2TP, Layer Two Tunnel Protocol) a été conçu pour transporter des sessions de points PPP (Point-to-Point Protocol) sur les couches 2 (IP) du modèle OSI. Après une présentation de la terminologie, cet article décrit en détail le protocole L2TP, ainsi que les modalités d’établissement et de fermeture de la connexion de contrôle et de la session de transport à l’intérieur du tunnel. Sont également traités les aspects qualité de service et sécurité, sans omettre pour autant les principaux inconvénients de L2TP, notamment la taille de son encapsulation.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleAuteur(s)
-
Étienne GALLET DE SANTERRE : Ingénieur de recherche en réseaux informatiques, ENST Bretagne
INTRODUCTION
Le protocole de tunneling (processus d’encapsulation permettant une connexion point-à-point) de niveau 2 (L2TP, Layer Two Tunnel Protocol) a été conçu pour encapsuler des paquets PPP (Point-to-Point Protocol) sur les couches 2 ou 3 (IP) du modèle OSI. Généralement, une connexion de niveau 2 est établie entre un utilisateur et un serveur d’accès au réseau (NAS, Network Access Server), connexion sur laquelle PPP permet le transport de nombreux protocoles (IP, IPX, AppleTalk, ...) et ceci sur une liaison point à point. Le NAS est donc le même point de terminaison pour la connexion de niveau 2 et la session PPP. L2TP permet de séparer ces deux fonctions en déplaçant le point de terminaison de la session PPP en un autre point du réseau qu’on appellera LNS ou L2TP Network Server. Le NAS jouera alors généralement le rôle de LAC ou L2TP Access Concentrator. Le LAC et le LNS sont les deux extrémités du tunnel L2TP que l’on crée afin de transporter les sessions PPP jusqu’à un endroit déterminé du réseau. Seuls le LAC et le LNS ont connaissance du tunnel L2TP, le transport des données se fait donc de la manière la plus transparente possible pour les utilisateurs ou les applications.
L2TP a été développé en se basant sur les protocoles déjà existants que sont PPTP (Point-to-Point Tunnel Protocol) et L2F (Layer Two Forwarding) pour n’en garder que les avantages. Ainsi, il devient possible d’interconnecter des réseaux de même type à travers un réseau ne supportant pas le protocole utilisé (par exemple, deux réseaux non-IP peuvent communiquer grâce à L2TP en passant par un réseau IP). Cela permet donc de réduire les coûts en évitant de devoir se connecter à un NAS lointain, mais plutôt en utilisant une infrastructure partagée telle que Frame Relay ou Internet. Par ailleurs, le point de terminaison des sessions PPP ne se situant plus nécessairement au niveau du NAS, cela permet à un ensemble multilien PPP (PPP Multilink Protocol) de se terminer au niveau du LNS et donc de récupérer tous ses canaux sur différents NASes.
L2TP répond également aux attentes en matière de VPNs et de sécurité ; en effet, utilisé sur IP, L2TP permet de faire du tunneling sur Internet et de créer des VPNs. Un utilisateur peut ainsi se connecter à son réseau d’entreprise via un tunnel L2TP (avec authentification) et ainsi récupérer son profil distant. De plus, il peut se voir attribuer une adresse IP du réseau de son entreprise. Ainsi, la gestion des adresses IP s’en trouve facilitée et cela évite d’encombrer inutilement les tables de routage du réseau, le LNS se chargeant d’agréger toutes ces adresses et d’annoncer les préfixes nécessaires.
En contrepartie, un des principaux inconvénients de L2TP est la taille de son encapsulation. En effet, le protocole L2TP rajoute un en-tête de 14 octets maximum, mais si on l’utilise pour faire du tunneling sur Internet, l’empilement protocolaire nécessaire à ce type de fonctionnement porte à 50 le nombre d’octets supplémentaires dus aux différentes encapsulations successives (IP/UDP/L2TP/PPP/IP).
DOI (Digital Object Identifier)
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
6. Sécurité dans L2TP
La sécurité dans L2TP se compose essentiellement de mécanismes d’authentification. Transportant des trames PPP, l’authentification à ce niveau permet déjà un minimum de sécurité, accompagné le plus généralement par une authentification du tunnel (c’est-à-dire des extrémités communicantes, le LAC et le LNS). De plus, la définition de certains AVPs a permis de renforcer cette sécurité. Finalement, des combinaisons de L2TP avec des mécanismes de sécurité bien connus ont été définies ; ainsi, l’utilisation de L2TP avec IPsec est recommandée par l’IETF, et l’utilisation conjointe de L2TP et de RADIUS ajoute encore à la sécurité des échanges.
6.1 AVPs
Il y a deux AVPs pouvant entrer en jeu dans la sécurité pour L2TP :
-
Le premier est l’AVP Random Vector (Attribute Type 36) utilisé conjointement avec le bit H (Hidden ) de l’en-tête L2TP (figure 4, tableau 1) qui permet de dissimuler la valeur d’un AVP grâce à une chaîne de caractères aléatoires permettant de faire un hash avec l’algorithme MD5. Ainsi, seuls le LAC et le LNS, qui possèdent un secret partagé, peuvent décoder les valeurs des AVPs reçus.
-
Le second est l’AVP Challenge (et sa réponse l’AVP Challenge Response ). À eux deux, ils assurent l’authentification des extrémités du tunnel grâce à un mécanisme de type CHAP (Challenge Handshake Authentification Protocol ).
L’utilisation conjointe de l’AVP Challenge avec le bit H positionné à 1 renforce la sécurité de cet échange de messages.
HAUT DE PAGE6.2 L2TP et RADIUS
L’utilisation du protocole RADIUS en collaboration avec le protocole...
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Sécurité dans L2TP
BIBLIOGRAPHIE
-
(1) - RFC 1700 - Assigned Numbers - .
-
(2) - RFC 2341 - Cisco Layer Two Forwarding (Protocol) - L2F
-
(3) - RFC 2637 - Point-to-Point Tunneling Protocol - (PPTP)
-
(4) - RFC 2661 - Layer Two Tunneling Protocol - (L2TP)
-
(5) - RFC 2784 - Generic Routing Encapsulation - (GRE)
-
(6) - RFC 3308 - Layer Two Tunneling Protocol - (L2TP) Differentiated Services Extension
-
(7) - RFC 3931 - Layer Two Tunneling Protocol – Version 3 - (L2TPv3)
Cet article fait partie de l’offre
Réseaux Télécommunications
(141 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive