Vad är ‘Layer Two Tunneling Protocol’ (L2TP)?

Senast uppdaterad: 10/05/2023

Layer Two Tunneling Protocol (L2TP) är ett tunnelprotokoll som används av både virtuella privata nätverk (VPN) och ISP:er. VPN:er utnyttjar dess styrka för bättre anslutningar, medan internetleverantörer använder protokollet för att främja VPN-verksamhet. L2TP är resultatet av hybridiseringen av två äldre protokoll: Microsoft Point-to-point tunnelprotokoll och Cisco Layer 2 Forwarding Protocol. 

L2TP plockade ut funktioner från ovan nämnda protokoll och förbättrade dem avsevärt. Protokollet publicerades i början av 2000-talet för att ersätta Microsoft Point-to-point tunnelprotokoll och Cisco Layer 2 Forwarding Protocol, och blev den standard som kallas RF C26661.

Det här behöver du veta om L2TP

• L2TP måste kopplas ihop med ett annat protokoll för maximal användning och nytta.
• Det är mestadels ihopkopplat med IPSec-protokollet som fungerar som en säkerhet för databelastning.
• Att para ihop L2TP med IPSec öppnar upp obegränsade säkerhetsmöjligheter, vilket gör det möjligt att använda de bästa krypteringsnycklarna som AES 256-bit och 3DES-algoritmen.
• Även om L2TP:s dubbla inkapsling ger mer säkerhet är det också mer resurskrävande.
• Vanligtvis använder L2TP TCP-porten 1701. Men när den väl är ihopkopplad med IPSec använder den olika portar, den använder UDP-port 500 för Internet Key Exchange (IKE), 4500 för NAT och 1701 för L2TP-trafik.

Här nedanför följer en genomgång av L2TP-datapaketstrukturen:

• IP-header
• IPSec ESP-header
• UDP-header
• L2TP-header
• PPP-header
• PPP-last
• IPSec ESP-trailer
• IPSec Authentication-trailer

Hur fungerar L2TP?

L2TP har två slutpunkter på Internet: L2TP Access Concentrator (LAC) och L2TP Network Server (LNS). Det här är de punkter mellan vilka L2TP-tunneling sker.

Det första steget i L2TP-tunneling är att skapa en anslutning mellan de två slutpunkterna som anges ovan. När anslutningen är aktiv blir ett PPP-lager aktiverat och inkapslat. Det här flyttas senare runt på nätet.

Nästa steg är att starta PPP-anslutningen genom att använda ISP. Därefter accepteras LAC-förbindelsen och PPP-länken etableras. Sedan tilldelas ett gratis spår i nätverkstunneln och förfrågan vidarebefordras till LNS.

När anslutningen har fått en grundlig autentisering och accepteras skapas ett virtuellt PPP-gränssnitt. När det är gjort kan länkramarna passera fritt genom tunneln. Den sista aspekten av L2TP-processen sker vid LNS-slutpunkten. Det är bearbetningen av ramarna när de har godkänts och L2TP-inkapslingen har tagits bort.

Hur ser relationen mellan L2TP och IPSec ut?

Du har stött på akronymen IPSec flera gånger i den här artikeln. Det står för Internet Protocol Security och är något som ger ökad krypteringssäkerhet för data som överförs från en dator till en annan. Att para ihop L2TP med IPSec ger således en säkrare anslutning. L2TP är inte optimal som ett fristående skydd. Men när protokollet är ihopkopplat med IPSec är det robustare, pålitligare och helt enkelt effektivare.

Hur fungerar ihopparningen?

Här är en genomgång av hur parningen mellan L2TP och IPSec-anslutningen fungerar:

• Först förhandlas IPSecs säkerhetsförening. Det är ett avtal som inträffar mellan nätverken gällande säkerhetsattribut. Processen sker via IKE och över UDP-port 500.
• Därefter är den inkapslande säkerhetsprocessen (ESP) etablerad och fungerar som ett transportläge. Det här uppnås genom IP-protokoll 150. När ESP har upprättats finns en säker och skyddad kanal mellan klienten och VPN-servern. Det är viktigt att notera att det inte har skett någon tunneling ännu.
• L2TP-protokollet ansvarar främst för tunneln mellan nätverkets två slutpunkter. Med hjälp av TCP-port 1701 skapar L2TP en tunnel. Förhandlingsprocessen för det här sker med användning av IPSec-kryptering.

Hur snabbt är L2TP?

Ensamt är L2TP extremt snabbt, men det är inte pålitligt när det används ensamt eftersom det inte ger någon säkerhetskryptering. Om du använder tunnelprotokollet utan att kombinera det med någon annan säkerhetsfunktion är din data sårbar. Eftersom protokollet för det mesta är parat med IPSec bestäms hastigheten utifrån detta.

När det är parat med IPSec kan protokollet erbjuda en anständig hastighet. Rekommendationen är dock att ha en snabb bredbandsanslutning (100 Mbps eller högre) och en effektiv processor (CPU). Följer du rekommendationen bör du få en smärtfri upplevelse.

För- och nackdelar med L2TP

Vilka för- och nackdelar har L2TP inom säkerhetsvärlden online?

Fördelar

• Det skapar utmärkt nätsäkerhet när det är parat med IPSec-protokollet.
• Det är inbyggt i Windows och macOS. Det fungerar också bra på andra enheter och operativsystem.
• Det är enkelt att ställa in. L2TP/IPSec-parning är också lätt att konfigurera.

Nackdelar

• Det finns rapporter från Snowden om att NSA har knäckt protokollet. Även om det inte finns några konkreta, offentliga bevis för att så är fallet, är det bättre att vara på den säkra sidan.
• Den dubbla inkapslingsfunktionen gör L2TP mer resurskrävande och lite långsamt.
• Det kan fångas upp av NAT-brandväggar om det inte konfigureras manuellt för att kringgå dem.
• Som fristående protokoll är L2TP svagt eftersom det inte har någon egen kryptering.

Sammanfattning

L2TP är relativt tryggt att använda så länge protokollet är parat med ett annat. Det är inte ett säkert alternativ om det används ensamt eftersom det inte har någon egen kryptering. Du får ut det bästa och mesta möjliga av protokollet om du kopplar ihop det med IPSec.

L2TP är lättillgängligt och fungerar på de flesta plattformar, är enkelt att sätta upp och använda. Under rätt omständigheter är det också väldigt snabbt. Totalt sett är L2TP-protokollet ett utmärkt val om det används på rätt sätt.