Aller au contenu principal

8. L2TP Over Specific Media (L2TP sur des médias spécifiques)

Ce chapitre décrit les détails d'implémentation de L2TP sur des types de médias spécifiques. L2TP est conçu pour fonctionner sur divers médias de transport de paquets, notamment UDP/IP, Frame Relay, ATM, etc.

8.1 L2TP over UDP/IP (L2TP sur UDP/IP)

L2TP utilise le port UDP enregistré 1701 pour la communication entre les points d'extrémité du tunnel. UDP fournit un service de transport de paquets pour les messages de contrôle et les messages de données L2TP.

Attribution des ports:

  • Port source: L'expéditeur peut utiliser n'importe quel port UDP disponible comme port source.
  • Port de destination: Doit utiliser le port UDP 1701.

Encapsulation des paquets:

Le format d'encapsulation des paquets L2TP sur UDP/IP est le suivant:

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                    En-tête IP                       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                   En-tête UDP                       |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                   En-tête L2TP                      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|              Message de contrôle L2TP ou            |
|                  Charge utile PPP                   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Somme de contrôle UDP:

La somme de contrôle UDP doit être calculée et incluse dans tous les paquets L2TP. Les récepteurs doivent vérifier la somme de contrôle si elle est présente. Si la vérification de la somme de contrôle échoue, le paquet doit être rejeté.

Considérations MTU:

Étant donné que L2TP ajoute des couches d'encapsulation supplémentaires (en-tête L2TP + en-tête UDP + en-tête IP), les implémentations doivent tenir compte du MTU de chemin. Surcharge d'encapsulation typique:

  • En-tête IP: 20 octets (IPv4) ou 40 octets (IPv6)
  • En-tête UDP: 8 octets
  • En-tête L2TP: Au moins 6 octets (peut être plus selon les options)

Fragmentation:

Il est recommandé aux implémentations L2TP d'éviter la fragmentation IP. Cela peut être réalisé par:

  1. Découverte du MTU de chemin
  2. Négociation du MRU (Maximum Receive Unit) lors de l'établissement du tunnel
  3. Effectuer la fragmentation au niveau PPP plutôt qu'au niveau IP

8.2 IP (Protocole Internet)

Les paquets L2TP utilisent IP comme protocole de transport de paquets. IP fournit un service de transport de paquets de bout en bout pour L2TP.

Prise en charge des versions IP:

L2TP est conçu pour fonctionner sur IPv4 [RFC791] et IPv6 [RFC2460]. Les implémentations doivent prendre en charge au moins une version IP et peuvent éventuellement prendre en charge les deux.

Considérations spécifiques à IPv4:

  • Type de protocole: Lors de l'utilisation de l'encapsulation UDP, le champ de protocole IP est défini sur 17 (UDP).
  • Type de service (TOS): Les implémentations L2TP peuvent définir le champ TOS IP pour indiquer les exigences de qualité de service. Les messages de contrôle peuvent nécessiter une priorité plus élevée que les messages de données.
  • Durée de vie (TTL): Une valeur TTL appropriée doit être définie pour empêcher les paquets de boucler indéfiniment dans le réseau.

Considérations spécifiques à IPv6:

  • En-tête suivant: Lors de l'utilisation de l'encapsulation UDP, défini sur 17 (UDP).
  • Étiquette de flux: L'étiquette de flux IPv6 peut être utilisée pour identifier les flux de paquets appartenant au même tunnel pour le traitement QoS.
  • Limite de sauts: Équivalent au TTL d'IPv4.

Sélection d'adresse:

Les LAC et LNS doivent être capables de déterminer l'adresse IP du pair. Cela peut être réalisé par:

  • Configuration statique
  • Résolution DNS
  • Mécanismes de découverte dynamique

Considérations multi-hébergement:

Si un point d'extrémité de tunnel a plusieurs adresses IP (multi-hébergé), les implémentations doivent s'assurer que tous les paquets d'un tunnel utilisent une adresse source cohérente. Ceci est essentiel pour maintenir l'état du tunnel et éviter la confusion.

Sécurité:

Lorsque L2TP fonctionne sur IP, il est fortement recommandé d'utiliser IPsec [RFC2401] pour protéger le trafic du tunnel. IPsec peut fournir:

  • Confidentialité: Par le chiffrement ESP
  • Intégrité: Par l'authentification AH ou ESP
  • Authentification des points d'extrémité: Par IKE

Les considérations de sécurité détaillées sont couvertes au chapitre 9.

Notes d'implémentation:

  1. Multiplexage de ports: Plusieurs tunnels peuvent être établis entre la même paire d'adresses IP, différenciés par l'ID de tunnel.

  2. Traversée NAT: Lorsque L2TP doit traverser des périphériques NAT, des mécanismes supplémentaires peuvent être nécessaires (tels que L2TP/IPsec NAT-T).

  3. Considérations relatives au pare-feu: Les pare-feu doivent autoriser la communication bidirectionnelle sur le port UDP 1701 pour prendre en charge L2TP.

  4. Mappage QoS: Les implémentations peuvent mapper les exigences QoS de la couche PPP au champ DSCP ou TOS de la couche IP.

Dernière mise à jour le