22. Протокол l2f. Протокол l2tp.

Традиционно VPN (туннелирование и/или шифрование) организуют на нижних уровнях коммуникационного стека протоколов -- канальном (Layer 2) и сетевом (Layer 3). В соответствии с этим различают виртуальные частные сети на уровне 2 (Layer 2 VPN) и на уровне 3 (Layer 3 VPN).

Для построения туннелей на различных уровнях существуют несколько протоколов.

Типичным протоколом для Layer 2 VPN является L2F (Layer 2 Forwarding), предложенный Cisco, который инкапсулирует пакеты во фреймы Frame Relay или в ячейки ATM.

Начиная с 1996 г. протоколы L2F и PPTP конкурировали между собой. В конце 1997 г. компании Cisco и Microsoft договорились о разработке нового протокола, объединяющего достоинства обоих. Это предложение получило поддержку IETF, а протокол стал называться L2TP (Layer 2 Tunneling Protocol). Основное различие между L2TP и PPTP заключается в том, что первый объединяет данные и управляющую информацию и работает через UDP, а не TCP. UDP является более быстрым протоколом и с меньшими накладными расходами (и менее надежным), поскольку он не передает повторно потерянные пакеты, как это предусматривается TCP. В противоположность этому PPTP разъединяет управляющую информацию и данные. Первая передается по протоколу TCP, тогда как поток данных -- по протоколу GRE (Generic Routing Encapsulation) -- менее распространенному стандарту для создания туннеля.

Рассмотрим вкратце, как работает протокол L2TP. Как упоминалось выше, L2TP является надстройкой над PPP. Последний определяет механизм инкапсуляции для передачи мультипротокольных пакетов по каналу уровня 2 (L2) точка--точка. В типичном случае пользователь подсоединяется по такому каналу (например, по телефонной сети, ISDN, ADSL и т. п.) к серверу доступа к сети, и затем по этому соединению начинает работать протокол PPP. В такой конфигурации терминальная точка канала L2 и конечная точка (endpoint) сессии PPP находятся на том же физическом устройстве (в данном случае NAS). L2TP расширяет модель PPP, позволяя конечным точкам канала L2 и PPP располагаться на различных устройствах, которые связаны между собой сетью с коммутацией пакетов. В соответствии с L2TP пользователь по каналу L2 подсоединяется к концентратору доступа (например, к модемному пулу или мультиплексору доступа DSL), который затем по туннелю передает индивидуальные пакеты NAS. Это позволяет не выполнять фактическую обработку PPP-пакетов в терминальной точке канала L2. Одно из очевидных достоинств такого разделения состоит в том, что канал L2 может иметь терминальную точку на локальном концентраторе, а не на удаленном NAS, что обошлось бы существенно дороже.

Для создания L2TP-туннеля служат два устройства: концентратор доступа L2TP (L2TP Access Concentrator -- LAC) и сетевой сервер L2TP (L2TP Network Server -- LNS). LAC является одной из конечных точек L2TP-туннеля. Он располагается между удаленной системой (пользователем или филиалом) и LNS. LAC принимает вызовы от удаленных систем и инкапсулирует PPP-фреймы в пакеты L2TP. Затем он направляет их по L2TP-туннелю на один или несколько LNS по сети с коммутацией пакетов (Internet, Frame Relay, ATM). LNS -- вторая конечная точка туннеля, на этот раз со стороны корпоративной сети. Он является логической конечной точкой PPP-сессии. LNS деинкапсулирует L2TP-пакеты, обрабатывает PPP-фреймы и направляет их в корпоративную сеть (см. рисунок).

Возможности виртуальных частных сетей на уровне 2 значительно расширяются с помощью технологии мультипротокольной коммутации меток (MPLS). Она позволяет инкапсулировать с помощью меток непосредственно трафик уровня 2 (ATM, Frame Relay SONET и Ethernet) и передавать его по IP-сети. Этим достигается использование единой инфраструктуры для сетей L2 VPN и L3 VPN