Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Información general sobre el túnel L2TP basado en filtros de firewall en redes IPv4

El protocolo de túnel de capa 2 (L2TP) es un protocolo cliente-servidor que permite el túnel del Protocolo punto a punto (PPP) a través de una red. L2TP encapsula los paquetes de capa 2, como PPP, para la transmisión a través de una red. Un concentrador de acceso L2TP (laca), configurado en un dispositivo de acceso, recibe paquetes de un cliente remoto y los reenvía a un servidor de red L2TP (LNS) en una red remota. L2TPv3 define el protocolo de control de base y la encapsulación para el tunelización de varias conexiones de capa 2 entre dos nodos IPv6. Las diferencias significativas entre L2TPv2 y L2TPv3 son las siguientes:

  • Separación de todas las AVPs y referencias relacionadas con PPP, que permite la inclusión de una parte del encabezado de datos de L2TP específica a las necesidades de PPP.

  • Transición de un identificador de sesión de 16 bits e ID de túnel a un identificador de sesión de 32 bits y un identificador de conexión de control respectivamente.

  • Extensión del mecanismo de autenticación de túnel para cubrir todo el mensaje de control en lugar de una parte de ciertos mensajes.

  • L2TPv3 solo se admite para IPv6.

  • Para filtros de firewall, solo se admite encapsulación L2TPv3/decapsulation de plano de datos.

L2TP se compone de dos tipos de mensajes: mensajes de control y mensajes de datos (que a veces se denominan paquetes de control y paquetes de datos, respectivamente). Los mensajes de control se utilizan en el establecimiento, mantenimiento y eliminación de las conexiones y las sesiones de control. Estos mensajes utilizan un canal de control confiable dentro de L2TP para garantizar la entrega. Los mensajes de datos se utilizan para encapsular el tráfico L2 que se transporta a través de la sesión L2TP.

Puede configurar una red IPv4 para transportar el tráfico IPv4, IPv6 o de MPLS tránsito mediante los mecanismos del Protocolo de túnel GRE iniciados por dos acciones de filtro estándar del firewall. Esta característica también se admite en los sistemas lógicos. Al configurar el túnel L2TP con filtros del cortafuegos, no es necesario crear interfaces de túnel en los servicios de túnel tarjetas de interfaz físicas (PICs) o en concentradores de puertos modulares (MPCs) de MPC3E. En su lugar, los motores de reenvío de paquetes proporcionan servicios de túnel a interfaces lógicas Ethernet o interfaces Ethernet agregadas hospedadas en tarjetas de interfaz modular (MICs) o MPCs en la serie MX 5G de plataformas de enrutamiento universales.

Dos enrutadores de la serie MX instalados como enrutadores de borde de proveedor (PE) proporcionan conectividad con enrutadores de borde de cliente (CE) en dos redes inconexas. Las interfaces MIC o MPC de los enrutadores PE realizan encapsulación L2TP IPv4 y desencapsulación de cargas. Después de decapsulation, los paquetes se envían a la interfaz local de una tabla de enrutamiento especificada en la acción, o a la tabla de enrutamiento predeterminada, basándose en el campo Protocol (Protocolo) del encabezado L2TP. Sin embargo, se puede enviar opcionalmente un paquete L2TP a través de la estructura con un token igual al índice de la interfaz de salida para llevar a cabo una conexión cruzada de capa 2. Puede especificar el especificador de interfaz de salida que se utilizará para enviar el paquete L2TP mediante la inclusión decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie de la instrucción [edit firewall family family-name filter filter-name term term-name then] en el nivel jerárquico.

Durante la decapsulation, el encabezado interno debe ser Ethernet para túneles L2TP. De forma predeterminada, la clase de reenvío se aplica antes que el servidor de seguridad y no se conserva para el forwarding-class class-name paquete Decapsulated ( [edit firewall family family-name] mediante la utilización de la instrucción en el nivel jerárquico, que es una acción de filtrado de no terminación). Sin embargo, puede especificar la clase de reenvío con la que se debe clasificar el paquete mediante la inclusión de la acción de filtrado de decapsulate l2tp forwarding-class class-name un paquete Decapsulated [edit firewall family family-name filter filter-name term term-name then] usando la instrucción en el nivel de jerarquía.

Las definiciones de campo siguientes se han definido para su uso en todas las encapsulaciones de encabezados de sesión L2TP.

  • El campo de identificador de sesión es un campo de 32 bits que contiene un identificador distinto de cero para una sesión. Las sesiones L2TP se nombran mediante identificadores que solo tienen importancia local. A la misma sesión lógica se le darán diferentes identificadores de sesión para cada extremo de la conexión de control durante la vida útil de la sesión. Cuando la conexión de control de L2TP se utiliza para el establecimiento de sesión, los identificadores de sesión se seleccionan y se intercambian como AVPs del identificador de sesión local durante la creación de una sesión. El identificador de sesión proporciona el contexto necesario para cualquier procesamiento posterior de paquetes, incluida la presencia, el tamaño y el valor de la cookie, el tipo de subcapa específica de la L2 y el tipo de carga que se está canalizando en el túnel.

  • El campo opcional cookie contiene un valor de longitud variable (máximo 64 bits) que se utiliza para comprobar la Asociación de un mensaje de datos recibido con la sesión identificada por el identificador de sesión. El campo de la cookie debe establecerse en el valor aleatorio configurado o señalado para esta sesión. La cookie proporciona un nivel de garantía adicional de que el ID. de sesión ha redirigido a la sesión apropiada un mensaje de datos. Una cookie bien elegida puede impedir la involuntaria accidentalmente la dirección de paquetes aleatorios con identificadores de sesión recientemente reutilizados o con identificadores de sesión sujetos a daños en paquetes. La cookie también podría proporcionar protección contra algunos ataques específicos de inserción de paquetes malintencionados. Cuando la conexión de control de L2TP se utiliza para el establecimiento de sesión, se seleccionan y se intercambian valores de cookie aleatorios como AVPs de cookies asignado durante la creación de sesión.

Una sesión es una conexión lógica creada entre el CONCENTRADOr y el LNS cuando se establece una conexión PPP de extremo a extremo entre un sistema remoto y el LNS. Existe una relación de uno a uno entre las sesiones L2TP establecidas y sus conexiones PPP asociadas. Un túnel es una adición de una o más sesiones L2TP.

A partir de Junos OS versión 15,1, decapsulation de paquetes IP que se envían a través de un túnel L2TP con las condiciones y acciones especificas de coincidencia de filtros de Firewall estándar se realizan mediante una búsqueda de capa 3. En Junos OS versión 14,2 y anteriores, decapsulation de tráfico a través de un túnel L2TP con acciones de filtro de Firewall configuradas se realiza con propiedades de interfaz de capa 2.

Túnel unidireccional

Los túneles L2TP basados en filtros de las redes IPv4 son unidireccionales. Sólo transportan paquetes de tránsito y no requieren interfaces de túnel. Aunque puede aplicar filtros de Firewall a direcciones de bucle invertido, las acciones de filtrado de Firewall de desencapsulación GRE no se admiten en las interfaces de bucle invertido de enrutador. La encapsulación iniciada por filtro y las operaciones decapsulation de paquetes L2TP se ejecutan en los motores de reenvío de paquetes para las interfaces lógicas Ethernet y las interfaces Ethernet agregadas. Este diseño permite un uso más eficiente del ancho de banda de motor de reenvío de paquetes en comparación con los túneles GRE que utilizan interfaces de túnel. Las sesiones del Protocolo de enrutamiento no se pueden configurar encima de los túneles basados en firewall.

Seguridad de túnel

El túnel basado en filtro a través de redes IPv4 no está cifrado. Si requiere túneles seguros, debe usar el cifrado de seguridad de IP (IPsec), que no se admite en interfaces MIC o MPC. Sin embargo, las interfaces de DPC (MS-DPC) de multiservicio en MX240, MX480 y MX960 enrutadores admiten herramientas de IPsec para configurar asociaciones de seguridad (SA) manuales o dinámicas para el cifrado de tráfico de datos, así como el tráfico destinado o originado en el motor de enrutamiento.

Rendimiento de reenvío

El túnel basado en filtros a través de redes IPv4 permite un uso más eficiente del ancho de banda motor de reenvío de paquetes en comparación con el túnel L2TP mediante interfaces de túnel. La encapsulación, desencapsulación y búsqueda de rutas son actividades de procesamiento de encabezados de paquetes que, para túneles basados en filtros firewall, se realizan en el motor de reenvío de paquetes Junos trío basada en el chipset. Por lo tanto, el encapsulador nunca necesita enviar paquetes de carga a una interfaz de túnel independiente (que puede residir en un PIC en una ranura diferente que en la interfaz que recibe paquetes de carga).

Escalabilidad de reenvío

El reenvío de tráfico L2TP con interfaces de túnel requiere que el tráfico se envíe a una ranura que aloje las interfaces de túnel. Cuando se utilizan interfaces de túnel para reenviar el tráfico GRE, este requisito limita la cantidad de tráfico que puede reenviarse por cada dirección de destino de túnel GRE. Por ejemplo, suponga que desea enviar 100 Gbps de tráfico L2TP del enrutador a al enrutador B y sólo tiene 10 interfaces Gbps. Para asegurarse de que la configuración no encapsula todo el tráfico de la misma placa que va a la misma interfaz 10 Gbps, debe distribuir el tráfico entre varios puntos de encapsulado.

Tabla de historial de versiones
Liberación
Descripción
15.1
A partir de Junos OS versión 15,1, decapsulation de paquetes IP que se envían a través de un túnel L2TP con las condiciones y acciones especificas de coincidencia de filtros de Firewall estándar se realizan mediante una búsqueda de capa 3.
14.2
En Junos OS versión 14,2 y anteriores, decapsulation de tráfico a través de un túnel L2TP con acciones de filtro de Firewall configuradas se realiza con propiedades de interfaz de capa 2.