Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Обзор туннелей L2TP на основе фильтра межсетевых экранов в сетях IPv4

Протокол туннелинга 2-го уровня (L2TP) является протоколом клиент-сервера, который позволяет туннелю протокола «точка-точка» (PPP) в сети. L2TP инкапсулирует пакеты уровня 2, например PPP, для передачи по сети. Концентратор доступа L2TP (LAC), настроенный на устройстве доступа, получает пакеты от удаленного клиента и передает их на сетевой сервер L2TP (LNS) в удаленной сети. L2TPv3 определяет базовый протокол управления и инкапсуляцию для туннелирования множественных соединений уровня 2 между двумя узлами IPv6. Значительные различия между L2TPv2 и L2TPv3 включают в себя следующие:

  • Разделение всех APP, связанных с PPP, и ссылок, что позволяет включать часть загона данных L2TP, которая была специфиста для потребностей PPP.

  • Переход от 16-битного ID сеанса и туннельного ID к 32-битным ИД сеанса и control Connection ID соответственно.

  • Расширение механизма аутентификации туннеля для покрытия всего сообщения управления, а не только части определенных сообщений.

  • L2TPv3 поддерживается только для IPv6.

  • Для фильтров межсетевых экранов плоскость данных инкапсуляция/декапсуляция L2TPv3.

L2TP состоит из двух типов сообщений: контрольных сообщений и сообщений данных (которые иногда называются контрольными пакетами и пакетами данных соответственно). Контрольные сообщения используются при установке, обслуживании и очистке контрольных соединений и сеансов. Эти сообщения используют надежный канал управления внутри L2TP для гарантии доставки. Сообщения данных используются для инкапсуляции трафика L2, который передается через сеанс L2TP.

Можно настроить сеть IPv4 для передачи транзитного трафика IPv4, IPv6 или MPLS, используя механизмы протокола туннелизации GRE, инициированные двумя стандартными действиями фильтрации межсетевых экранов. Эта функция также поддерживается в логических системах. При настройке туннелирований L2TP с фильтрами брандмауэра нет необходимости создавать туннельные интерфейсы на картах физического интерфейса (PICs) Tunnel Services или на модульных концентраторах порта MPC3E (MPC3E). Вместо этого пакеты forwarding Engines предоставляют туннельные услуги логическим интерфейсам Ethernet или агрегированные интерфейсы Ethernet, которые хостируются на модульных интерфейсных картах (MCS) или MCS серия MX универсальных платформах маршрутизации 5G.

Два серия MX, установленные на границе сети поставщика (PE) для обеспечения связи клиентское граничное устройство (CE) маршрутизаторов в двух разных сетях. Интерфейсы MIC или MPC на маршрутизаторах PE выполняют инкапсуляцию L2TP IPv4 и декапсуляцию полезной нагрузки. После декапсуляции пакеты отправляются на локальный интерфейс таблицы маршрутизации, указанной в действии, или в таблицу маршрутизации по умолчанию, на основе поля протокола загона L2TP. Однако пакет L2TP может быть отправлен по компрессии с маркером, равным индексу выходного интерфейса для выполнения перекрестного соединения уровня 2. Можно указать заданный выходной интерфейс, который будет использоваться для отосланного пакета L2TP, включив утверждение на decapsulate l2tp output-interface interface-name cookie l2tpv3-cookie[edit firewall family family-name filter filter-name term term-name then] уровне иерархии.

Во время декапсуляции внутренним загоном должен быть Ethernet для туннелей L2TP. Класс переадрегации по умолчанию применяется перед межсетевой экраном и не сохраняется для декапсулированного пакета (с помощью утверждения на уровне иерархии, что является действием неустанавляющего forwarding-class class-name[edit firewall family family-name] фильтра). Однако можно указать класс переадности, по отношению к который пакет должен классифицироваться, включив действие фильтра для декапсулированного пакета с помощью утверждения на уровне decapsulate l2tp forwarding-class class-name[edit firewall family family-name filter filter-name term term-name then] иерархии.

Следующие определения полей определены для использования во всех инкапсуляциях инкапсуляции сеанса L2TP.

  • Поле идентификатора сеанса является 32-битным полем, содержащим ненулевой идентификатор сеанса. Сеансы L2TP именуются идентификаторами, которые имеют только локальное значение. Один и тот же логический сеанс будет иметь различные ID сеансов на каждом конце контрольного соединения в течение всего сеанса. Когда для установления сеанса используется контрольное соединение L2TP, во время создания сеанса выбирается ИД сеансов, а обмен ними происходит в качестве avP локального сеанса. Только ID сеанса обеспечивает необходимый контекст для дальнейшей обработки пакетов, включая присутствие, размер и значение файла Cookie, тип подуслойера L2 и тип туннельной полезной нагрузки.

  • Дополнительное поле cookie содержит значение переменной длины (максимум 64 бита), используемое для проверки связи полученного сообщения данных с сеансом, который определен по ID сеанса. В поле Cookie должно быть установлено настроенное или сигнализированное случайное значение для этого сеанса. Файл Cookie обеспечивает дополнительный уровень гарантии того, что сообщение данных будет направлено на соответствующий сеанс с помощью ID сеанса. Хорошо выбранный файл Cookie может предотвратить непреднамеренное непреднамеренное перенаправление случайных пакетов с недавно вновьиспользоваными ID сеансов или для их сеансов, которые могут быть искажены. Файл Cookie также может обеспечить защиту от некоторых вредоносных атак с вставкой пакетов. Когда для установления сеанса используется контрольное соединение L2TP, выбираются случайные значения cookie, а во время создания сеанса обмениваются присвоенными cookie AVP.

Сеанс – это логическое соединение, созданное между LAC и LNS, когда между удаленной системой и LNS устанавливается оканченное PPP-соединение. Существует личные отношения между установленными сеансами L2TP и связанными с ними PPP-соединениями. Туннель – это агрегирование одного или более сеансов L2TP.

Начиная Junos OS 15.1, декапсуляция IP-пакетов, пересылаемых через туннель L2TP, со стандартными условиями настройки фильтра брандмауэра и указанными действиями выполняются при помощи процедуры искомого уровня 3. В Junos OS 14.2 и более ранних версиях декапсуляция трафика через туннель L2TP с настроенными действиями фильтрации межсетевых экранов выполняется с использованием свойств интерфейса уровня 2.

Однонаправленное туннеление

Туннели L2TP на основе фильтра в сетях IPv4 являются однонаправленные. Они переносят только транзитные пакеты, и им не требуются туннельные интерфейсы. Хотя можно применить фильтры межсетевых экранов к адресам обратной связи, инкапсуляция GRE и деинкапсулирование межсетевых экранов не поддерживаются на интерфейсах обратной связи маршрутизатора. Инкапсуляция и декапсуляция, инициированные фильтром, операции инкапсуляции пакетов L2TP выполняются на модулях переадрегации пакетов для логических интерфейсов Ethernet и агрегированных интерфейсов Ethernet. Такая конструкция обеспечивает более эффективное использование пропускной способности модуль передачи пакетов по сравнению с туннелями GRE с использованием туннельных интерфейсов. Сессии протокола маршрутов не могут быть настроены поверх туннелей на основе межсетевых экранов.

Безопасность туннеля

Туннеление на основе фильтров в сетях IPv4 не шифруется. Если требуется безопасное туннеление, необходимо использовать шифрование IP Security (IPsec), которое не поддерживается на интерфейсах MIC или MPC. Однако многосервисные DPC (MS-DPC) интерфейсы MX240, MX480 и MX960 поддерживают инструменты IPsec для настройки вручную или динамических ассоциаций безопасности (SAs) для шифрования трафика данных, а также трафика, предназначенного или исходя из модуль маршрутизации.

Производительность переадности

Туннеление на основе фильтра в сетях IPv4 позволяет более эффективно использовать полосу пропускания модуль передачи пакетов по сравнению с туннелями L2TP с использованием туннельных интерфейсов. Инкапсуляция, декапсуляция и просмотр маршрутов — это действия по обработке заглавных пакетов, которые для туннелизации на основе фильтров межсетевых экранов выполняются на Junos микросхемАх Trio на модуль передачи пакетов. Следовательно, инкапсулятору не требуется отправлять пакеты полезной нагрузки на отдельный туннельный интерфейс (который может находиться на PIC в другом слоте, чем интерфейс, который получает пакеты полезной нагрузки).

Масштабируемость переадности

Для перенаправки трафика L2TP с туннельными интерфейсами необходимо, чтобы трафик направляли в слот, который является хостами туннельных интерфейсов. При использовании туннельных интерфейсов для пересылки трафика GRE это требование ограничивает объем трафика, который можно перенаправлен на адрес назначения туннеля GRE. В качестве примера предположим, что необходимо отправить 100 Гбит/с трафика L2TP с маршрутизатора A на маршрутизатор B и иметь только 10 Гбит/с интерфейсов. Чтобы убедиться, что конфигурация не инкапсулирует весь трафик одной платы на один интерфейс с 10 Гбит/с, необходимо распределять трафик между несколькими точками инкапсуляции.

Таблица истории выпусков
Версия
Описание
15.1
Начиная Junos OS 15.1, декапсуляция IP-пакетов, пересылаемых через туннель L2TP, со стандартными условиями настройки фильтра брандмауэра и указанными действиями выполняются при помощи процедуры искомого уровня 3.
14.2
В Junos OS 14.2 и более ранних версиях декапсуляция трафика через туннель L2TP с настроенными действиями фильтрации межсетевых экранов выполняется с использованием свойств интерфейса уровня 2.