Un brin de réseau

L2TP

L2TP (Layer Two Tunneling Protocol), défini dans la RFC 2661, se comprend plus facilement après avoir étudié PPPoE. Aussi, je recommande fortement de prendre connaissance de l'article précédent. Dans ce dernier, nous avons vu que le serveur PPPoE termine à la fois la session PPPoE et le lien PPP. Une terminaison PPPoE est plus généralement appelée L2 termination point et une terminaison PPP est appelée PPP session endpoint. L2TP permet aux terminaisons d'être situées sur des équipements différents interconnectés via un réseau à commutation de paquets :


      PPP [RFC1661] defines an encapsulation mechanism for transporting
      multiprotocol packets across layer 2 (L2) point-to-point links.
      Typically, a user obtains a L2 connection to a Network Access Server
      (NAS) using one of a number of techniques (e.g., dialup POTS, ISDN,
      ADSL, etc.)  and then runs PPP over that connection. In such a
      configuration, the L2 termination point and PPP session endpoint
      reside on the same physical device (i.e., the NAS).

      L2TP extends the PPP model by allowing the L2 and PPP endpoints to
      reside on different devices interconnected by a packet-switched
      network.  With L2TP, a user has an L2 connection to an access
      concentrator (e.g., modem bank, ADSL DSLAM, etc.), and the
      concentrator then tunnels individual PPP frames to the NAS. This
      allows the actual processing of PPP packets to be divorced from the
      termination of the L2 circuit.

Dans la pratique, L2TP est utilisé sur un réseau IP d'interconnexion entre deux opérateurs : l'un fournit le réseau d'accès (Ethernet ou ATM) et les L2 termination points (via PPPoE ou PPPoA, respectivement) et l'autre fournit le service aux clients via les PPP session endpoints établis sur son BAS (Broadband Access Server) aussi appelé NAS (Network Access Server). Une coordination (BGP, RADIUS, etc.) est nécessaire entre les deux opérateurs. Schématiquement :


           <----------------------------------------- PPP ------------------------------------------->
           <-------------- PPPoX/PPPinX ------------>     <------------------ L2TP ------------------>

                +------------------------------+               +--------------------------------+
      [CPE]-----| RFC 1549 PPP in HDLC Framing |               |                                |
      [CPE]-----| RFC 1618 PPP over ISDN       |               | RFC 2661 L2TP over UDP/IP      |
      [CPE]-----| RFC 1619 PPP over SONET/SDH  |-----[LAC]-----| RFC 3070 L2TP over Frame Relay |-----[LNS]
      [CPE]-----| RFC 1973 PPP in Frame Relay  |               | RFC 3355 L2TP over AAL5 (ATM)  |
      [CPE]-----| RFC 2364 PPPoA               |               |                                |
      [CPE]-----| RFC 2516 PPPoE               |               |                                |
                +------------------------------+               +--------------------------------+
                       Access Network (*)                        Regional Broadband Network (*)

                            (*) Termes de la spécification TR-025 du Broadband Forum

Dans la terminologie L2TP, l'équipement où sont établis les L2 termination points s'appelle LAC (L2TP Access Concentrator) et celui où sont établis les PPP session endpoints s'appelle LNS (L2TP Network Server). Noter le parallèle avec les termes de AC (Access Concentrator) dans PPPoE et de NAS (Network Access Server) dans PPP.

La maquette utilisée est la suivante :

lab-l2tp — Deux CPE sont raccordés en Ethernet au LAC qui concentre les accès—d'où son nom. Il termine les sessions PPPoE et établit avec le LNS un tunnel L2TP over UDP/IP dans lequel passeront les liens PPP (ou « sessions L2TP »). Noter donc qu'un même tunnel L2TP peut transporter plusieurs liens PPP.

CPE1/CPE2 (clients PPPoE) LAC (serveur PPPoE) LNS (NAS)

CPE1/CPE2 (clients PPPoE)	LAC (serveur PPPoE)	LNS (NAS)
`! hostname CPE1/CPE2 ! username LNS password P ! interface FastEthernet0/0 pppoe enable pppoe-client dial-pool-number 2 ! interface Dialer1 encapsulation ppp ppp authentication chap ppp chap hostname CPE1/CPE2@THE_DOMAIN ppp chap password P ip address 10.0.0.1/.2 255.255.255.252 dialer pool 2 mtu 1460 # voir plus bas ip tcp adjust-mss 1420 # voir plus bas !`	`! hostname LAC ! bba-group pppoe global virtual-template 1 ! interface FastEthernet0/0 pppoe enable group global ! interface Virtual-Template1 encapsulation ppp ppp authentication chap no ip address mtu 1460 # voir plus bas ! vpdn enable ! vpdn-group THE_LAC_GROUP request-dialin protocol l2tp domain THE_DOMAIN initiate-to ip 20.0.0.2 local name LAC l2tp tunnel password THE_PASSWORD ! interface FastEthernet0/1 ip address 20.0.0.1 255.255.255.252 !`	`! hostname LNS ! username CPE1@THE_DOMAIN password P username CPE2@THE_DOMAIN password P ! interface FastEthernet0/0 ip address 20.0.0.2 255.255.255.252 ! vpdn enable ! vpdn-group THE_LNS_GROUP accept-dialin protocol l2tp virtual-template 1 terminate-from hostname LAC l2tp tunnel password THE_PASSWORD ! interface Virtual-Template1 encapsulation ppp ppp authentication chap ip address 10.0.0.3 255.255.255.252 mtu 1460 # voir plus bas !`


  !
  hostname CPE1/CPE2
  !
  username LNS password P
  !
  interface FastEthernet0/0
   pppoe enable
   pppoe-client dial-pool-number 2
  !
  interface Dialer1
   encapsulation ppp
   ppp authentication chap
   ppp chap hostname CPE1/CPE2@THE_DOMAIN
   ppp chap password P
   ip address 10.0.0.1/.2 255.255.255.252
   dialer pool 2
   mtu 1460 # voir plus bas
   ip tcp adjust-mss 1420 # voir plus bas
  !


  !
  hostname LAC
  !
  bba-group pppoe global
   virtual-template 1
  !
  interface FastEthernet0/0
   pppoe enable group global
  !
  interface Virtual-Template1
   encapsulation ppp
   ppp authentication chap
   no ip address
   mtu 1460 # voir plus bas
  !
  vpdn enable
  !
  vpdn-group THE_LAC_GROUP
   request-dialin
    protocol l2tp
    domain THE_DOMAIN
   initiate-to ip 20.0.0.2
   local name LAC
   l2tp tunnel password THE_PASSWORD
  !
  interface FastEthernet0/1
   ip address 20.0.0.1 255.255.255.252
  !


  !
  hostname LNS
  !
  username CPE1@THE_DOMAIN password P
  username CPE2@THE_DOMAIN password P
  !
  interface FastEthernet0/0
   ip address 20.0.0.2 255.255.255.252
  !
  vpdn enable
  !
  vpdn-group THE_LNS_GROUP
   accept-dialin
    protocol l2tp
    virtual-template 1
   terminate-from hostname LAC
   l2tp tunnel password THE_PASSWORD
  !
  interface Virtual-Template1
   encapsulation ppp
   ppp authentication chap
   ip address 10.0.0.3 255.255.255.252
   mtu 1460 # voir plus bas
  !

Pour la IP MTU et la TCP MSS, même raisonnement que pour PPPoE :


        6 octets   6 octets   2 octets   20 octets   8 octets   8 octets   4 octets   20 octets   20  octets   1420 octets   4 octets
      +----------+----------+----------+-----------+----------+----------+----------+-----------+------------+-------------+----------+
      |    DA    |    SA    | Len/Type |    IP     |   UDP    |   L2TP   |   PPP    | IP Header | TCP Header |  TCP  Data  |   FCS    |
      +----------+----------+----------+-----------+----------+----------+----------+-----------+------------+-------------+----------+
                                                                                    <------------ 1460  octets ------------>
                                       <---------------------------------- 1500  octets ----------------------------------->

Dans la pratique néanmoins, pour un accès PPPoE, la IP MTU entre le CPE et le LAC reste fixée à 1492 octets et la TCP MSS à 1452 octets. C'est la IP MTU entre le LAC et LNS qui est augmentée (2000 octets en général). L'analyse des captures est ici complexifiée du fait qu'il y ait trois liens à considérer.

L'étape 1a comprend l'établissement de la session PPPoE et la demande d'authentification PPP. C'est le LAC qui Challenge le CPE1 et non le LNS. Il fait ensuite suivre la Response du CPE1 au LNS durant l'étape 1c (voir l'onglet suivant). Durant l'étape 2 et une fois l'authentification bidirectionnelle réussie (le LNS s'authentifie aussi auprès du CPE1 dans l'exemple), le CPE1 et le LNS peuvent communiquer ensemble via le LAC, un ping permettant d'illustrer ceci :

Après l'établissement du tunnel L2TP durant l'étape 1b, le LAC délègue l'authentification du CPE1 au LNS durant l'étape 1c. Durant l'étape 2 et une fois l'authentification bidirectionnelle réussie (le LNS s'authentifie aussi auprès du CPE1 dans l'exemple), le CPE1 et le LNS peuvent communiquer ensemble via le LAC, un ping permettant d'illustrer ceci :

Le tunnel L2TP étant déjà établi lorsque le CPE2 est allumé, il n'y a alors que l'étape 3b de délégation de l'authentification par le LAC au LNS. Durant l'étape 4 et une fois l'authentification bidirectionnelle réussie (le LNS s'authentifie aussi auprès du CPE2 dans l'exemple), le CPE2 et le LNS peuvent communiquer ensemble via le LAC, un ping permettant d'illustrer ceci :

Nous pouvons afficher depuis le LAC les tunnels L2TP établis (un seul ici) et les sessions dans ces tunnels (deux ici) :


          LAC#show vpdn tunnel

          %No active L2F tunnels

          L2TP Tunnel Information Total tunnels 1 sessions 2

          LocID RemID Remote Name   State  Remote Address  Port  Sessions L2TP Class/
                                                                          VPDN Group
          32133 4105  LNS           est    20.0.0.2        1701  2        THE_LAC_GROUP

          %No active PPTP tunnels

          PPPoE Tunnel Information Total tunnels 1 sessions 2

          LAC#show vpdn session

          %No active L2F tunnels

          L2TP Session Information Total tunnels 1 sessions 2

          LocID      RemID      TunID      Username, Intf/      State  Last Chg Uniq ID
                                           Vcid, Circuit
          2          2          32133      CPE1@THE_DOMAIN, -   est    00:00:42 1
          3          3          32133      CPE2@THE_DOMAIN, -   est    00:00:06 2

          %No active PPTP tunnels

          PPPoE Session Information Total tunnels 1 sessions 2

          PPPoE Session Information
          Uniq ID  PPPoE  RemMAC          Port                  Source   VA         State
                     SID  LocMAC                                         VA-st
                1      1  c001.10b0.0000  Fa0/0                 Vt1      N/A        FWDED
                          c002.228c.0000
                2      2  c004.183c.0000  Fa0/0                 Vt1      N/A        FWDED
                          c002.228c.0000

          Voir le log complet du LAC
          Voir le log complet du LNS

Remarquer le terme propriétaire Cisco de VPDN (Virtual Private Dial-up Network). C'est un terme générique qui englobe les technologies L2TP, L2F et PPTP. L2TP est souvent présenté comme étant une combinaison de ces deux dernières technologies.

Nous pouvons depuis le LAC fermer une session PPPoE particulière :


          LAC#clear pppoe rmac c001.10b0.0000

cap-l2tp-lac2lns-3 — La fermeture de la session PPPoE entraîne la fermeture de la session L2TP entre le LAC et LNS, et ce, via le message `CDN` (Call-Disconnect-Notify) qui contient l'ID de la session concernée.

Si depuis le LAC nous fermons la dernière session PPPoE restante :

cap-l2tp-lac2lns-4 — Il y a d'une part, comme précédemment, la fermeture de la session L2TP entre le LAC et LNS. D'autre part, cette session L2TP étant la dernière, sa fermeture entraîne la fermeture du tunnel L2TP via le message `StopCCN` (Stop-Control-Connection-Notification).

Peu après le CPE1, le CPE2 est allumé. Nous retrouvons exactement les mêmes échanges qu'entre le CPE1 et le LAC. Côté LNS, il profite du tunnel L2TP déjà établi et il n'y a alors que l'étape 3b de délégation de l'authentification par le LAC au LNS.

Remarquer le premier PADI en haut de la capture : c'est celui envoyé par le CPE1 en broadcast. Il a été reçu par le CPE2 car le switch Ethernet l'a diffusé sur tous ses ports, ce qui constitue un problème de sécurité car un CPE malveillant pourrait répondre à la place du LAC. Ce problème existe réellement dans les architectures opérateur et plusieurs mécanismes existent pour le résoudre, comme le port isolation.