L2TP

Dieses Protokoll ist bei etlichen Herstellern im Einsatz, da deren Produkte auf Basis von L2TP arbeiten. Maßgeblich verantwortlich für die Entwicklung von L2TP ist Cisco. Aus diesem Grund ist dieses Protokoll auch als Industriestandard anerkannt. Der Einsatz in der Bürokommunikation und seiner Verbreitung wird weiter zunehmen, da es ab Windows 2000 Bestandteil des Windowsbetriebssystems ist. Es handelt sich um ein reines Tunneling-Protokoll auf PPP-Ebene. L2TP ist eine Mischform der beiden vorangegangenen Protokolle L2F und PPTP. Es verknüpft die Leistungsfähigkeit des L2F-Protokolls mit den Vorteilen des PPTP-Protokolls. L2TP wir durch markante Merkmale charakterisiert:

- Vor dem Aufbau einer PPP-Verbindung muss von einem Eingangskonzentrator ( LAC ) und einem Ausstiegspunkt ( LNS ) eine entsprechende Kontrollverbindung errichtet werden( In-band-Lösung ).

- Ein L2TP-Tunnel kann entweder auf eine Anforderung von einem Endgerät ( Dial-In ) oder als Mandanten-Tunnel ( Dial-Ou ) initiiert werden. Weiterhin ist der L2TP-Tunnel für den Nutzer des Endgerätes transparent und erfordert keine zusätzlichen Installationen außer der ISDN/PSTN Einwahlmöglichkeit zum POP.

- Zwischen Eingangskonzentrator ( LAC ) und Ausstiegspunkt ( LNS ) können mehrere Tunnel aufgebaut werden, die ihre eigenen Kontrollverbindungen besitzen. Außerdem können über einen L2TP-Tunnel mehrere logische PPP-Verbindungen aufgebaut werden.

- Zur Authentifizierung kann auf die von PPP unterstützten Verfahren zurückgegriffen werden: Password Authentification Protocol ( PAP ) und das Challenge Handshake Authentification Protocol ( CHAP ).

Ein PPP-Frame wird per DFÜ ( Datenfernübertragung ) zu dem LAC ( L2TP-Access-Concentrator ) des Providers übertragen. Von da aus baut der LAC einen L2TP-Tunnel zum LNS ( L2TP-Network-Server ) auf ( Verlängerung der PPP-Verbindung ), wo die PPP-Verbindung dann terminiert wird. Der LAC des Providers kann hierbei mehrere logische PPP-Verbindungen gleichzeitig über ein und dem selben L2TP-Tunnel leiten ( durch in-band-Lösung möglich ). Dem eigentlichen Originaldatenpaket werden vier weitere Protokoll-Header vorangestellt:

- L2TPTunnel-Header - bestimmt Eingang ( LAC ) und Ausgang ( LNS )
- UDP-Header - enthält Absender und Empfängerport ( 1701 )
- L2TP-Header - enthält Tunnel-ID und Session-ID
- PPP-Header - enthält Angabe des Protokolltyps

Da mehrere logische PPP-Verbindungen über ein L2TP-Tunnel möglich sind, muss eine Eindeutigkeit der Datenübertragung zu gewährleisten. Dies erfolgt durch die Session-Identifikation ( Session-ID ) und die Tunnel-Identifikation ( Tunnel-ID ) im L2TP-Header. Im Gegensatz zum PPTP werden die Daten- und Kontrollnachrichten über ein und die selbe Verbindung realisiert. Die Kontrollnachrichten sind hierbei für den Tunnelauf- bzw. -abbau sowie die Tunnelwartung zuständig. Um eine möglichst hohe Übertragungsgeschwindigkeit zu erlangen, wird die Protokollverwaltung durch ein spezielles Kompressionsverfahren realisiert. Zudem hält eine aktive Flusskontrolle den Netzwerkverkehr gering und soll Kollisionen weitgehend vermeiden. L2TP stehen für den Tunnelaufbau zwei Mechanismen zur Verfügung.

Compulsary Tunneling

Dieser Tunneling-Mechanismus wurde vom Vorgänger-Protokoll L2F vererbt. Der L2TP-Tunnel beginnt hier im LAC ( L2TP Access Concentrator )des Service Providers, welcher den Tunnel aufbaut. Dieser endet im LNS ( L2TP Network Server) im Unternehmensnetzwerk des Kunden. Dieses Modell setzt jedoch die Kooperation des ISP voraus, welcher L2TP unterstützen muss.

Die Bezeichnung Compulsory Tunneling wird aus dem Zwang des Client abgeleitet. Die Daten müssen hierbei über einen Tunnel geschickt wedern, welcher vom Provider aufgebaut wird. Der Client kann demzufolge nicht selbst entscheiden, ob ein Tunnel zum Unternehmensnetzwerk aufgebaut wird oder nicht, da dieser allein vom LAC gesteuert wird. Das Tunneling ist somit transparent für den Client. Der Service Provider kann somit seinen Kunden garantieren, dass dessen Clients jedes Mal, wenn sie sich anmelden, auf jeden Fall zu einem entsprechend eingerichteten LNS getunnelt werden und keinen direkten Zugriff auf das Provider-Netzwerk oder das Internet haben. Der Kunde behält hier also eine gewisse Kontrolle über dessen Remote Clients. Des Weiteren wird dem Administrator im Netzwerk die Arbeit erheblich erleichtert, da keine zusätzliche Konfiguration der Remote Clients mehr nötig ist. Die Entscheidung des LAC beim Provider, wohin die Pakete getunnelt werden müssen ( wohin Tunnel aufzubauen ist ), erkennt er an bestimmten Kennzeichen des eingehenden Calls, wie z.B. der angerufenen Nummer ( DNIS ) oder einer Benutzer-ID.

Voluntary Tunneling

L2TP kann aber auch im Ende-zu-Ende-Modell eingesetzt werden. Dieser Mechanismus ist L2TP vom Vorgänger-Protokoll PPTP vererbt worden. In diesem Modell ist die LAC-Funktionalität vom Remote-Access-Concentrator ( RAC ) des Service Providers auf den Client verlagert. Man spricht hierbei auch von einem so genannten "Virtual LAC". Dieser baut den L2TP-Tunnel zum LNS auf.

Der Client selbst übernimmt hierfür das Tunneling. Er verfügt daher über die L2TP-Fähigkeit und entscheidet ob er einen Tunnel aufbaut oder nicht. Die Carrier und Provider sind in diesem Modell nicht mehr ins Tunneling involviert, da der Tunnel bereits beim Client initiiert wird. Der Tunnel ist hier transparent für den Provider. Er überträgt nur die IP-Pakete zwischen Client und LNS und muss folglich auch über keinerlei L2TP-Infrastruktur mehr verfügen. Jedoch ist nun L2TP-Support beim Client erforderlich. Dieses Modell wird in der Praxis nur selten eingesetzt, da die Kunden in der Regel möchten, dass die Clients zwangsweise zum Netzwerk getunnelt werden, um eine bessere Kontrolle über deren Zugang zum Intranet und Internet zu erlangen.

5.3.3.1. Allgemein