يُعد بروتوكول نفق الطبقة الثانية بأنّه بروتوكول (IETF) الذي يتيح للمستخدمين عن بُعد الوصول إلى شبكة الشركة، ويقوم بروتوكول (PPP) بتغليف حزم (IP) من أجهزة المستخدم إلى مزود خدمة الإنترنت ويوسع (L2TP) تلك الجلسة عبر الإنترنت، وتم اشتقاق (L2TP) من بروتوكول (PPTP) وتقنيةCisco’s (L2F)، ولا يتضمن (L2TP) التشفير ولكنّه غالباً ما يستخدم مع (IPsec) لتوفير اتصالات الشبكة الخاصة الافتراضية (VPN).
ما هو بروتوكول نفق الطبقة الثانية L2TP
بروتوكول (L2TP): هو بروتوكول قياسي لحركة المرور النفقية (L2) عبر شبكة (IP)، وقدرته على حمل أي تنسيق بيانات (L2) تقريباً عبر (IP) أو شبكات (L3) الأخرى تجعله مفيدًا بشكل خاص، لكنّ (L2TP) لا يزال غير معروف خارج بعض المنافذ، ربما لأنّ الإصدارات المبكرة من المواصفات كانت مقتصرة على حمل (PPP) وهو قيد تمت إزالته الآن.
- “L2TP” هي اختصار لـ “Layer 2 Tunneling Protocol”.
- “PPTP” هي اختصار لـ “Microsoft Point-to-Point Tunneling Protocol”.
- “L2F” هي اختصار لـ “Layer 2 Forwarding”.
- “IETF” هي اختصار لـ “Internet Engineering Task Force”.
- “PPP” هي اختصار لـ “Point-to-Point Protocol”.
- “VPN” هي اختصار لـ “Virtual Private Network”.
- “IP” هي اختصار لـ “Internet Protocol”.
أساسيات بروتوكول L2TP
من المستحسن أن يتم تمرير حركة مرور L2 عبر شبكات L3 الموجهة لأنّ شبكات L2 تكون عموماً أكثر شفافية وأسهل في التهيئة وأسهل في الإدارة من شبكات L3، وهذه خصائص مرغوبة لمجموعة من التطبيقات وفي مراكز البيانات تُعد الشبكة المسطحة ضرورية لتعزيز تنقل الأجهزة الافتراضية (VM) بين المضيفين الفعليين.
وفي الشركات ذات المباني المتعددة يمكن تبسيط مشاركة البنية التحتية والموارد بين المكاتب البعيدة عن طريق نفق L2، وبروتوكول (L2TP) نفسه هو معيار مفتوح تم تحديده بواسطة (IETF) وكما يتضمن نفق بروتوكولات L2 المتعددة عبر أنواع مختلفة من شبكات تبديل الحزم (PSN)، ومعيار النفق عبر (IP) و(UDP) و(Frame Relay) و(ATM PSNs).
- “ATM” هي اختصار لـ “Asynchronous Transfer Mode”.
- “UDP” هي اختصار لـ “User Datagram Protocol”.
- “VM” هي اختصار لـ “virtual machines”.
- “PSN” هي اختصار لـ “Packet Sequence Number”.
مبدأ عمل بروتوكول L2TP
يتكون اتصال (L2TP) من مكونين هما نفق وجلسة، ويوفر النفق وسيلة نقل موثوقة بين نقطتي نهاية اتصال تحكم (L2TP (LCCEs)) ولا يحمل سوى حزم التحكم، ويتم احتواء الجلسة منطقياً داخل النفق وتنقل بيانات المستخدم، وقد يحتوي النفق الفردي على جلسات متعددة مع الاحتفاظ ببيانات المستخدم منفصلة عن طريق أرقام معرف الجلسة في رؤوس تغليف بيانات (L2TP).
غائب بشكل واضح عن مواصفات (L2TP) هي أي آليات أمان أو مصادقة، ومن المعتاد نشر (L2TP) جنباً إلى جنب مع التقنيات الأخرى وعلى سبيل المثال (IPSec)، لتوفير هذه الميزات ويمنح هذا (L2TP) المرونة للتعامل مع مختلف آليات الأمان المختلفة داخل الشبكة.
توضح حالات الاستخدام كيفية عمل (L2TP) في مجموعة متنوعة من السيناريوهات من الارتباطات البسيطة من نقطة إلى نقطة إلى الشبكات الكبيرة، وسواء كنت تقوم بتشغيل شبكة (LAN) خاصة بشركة ذات موقع واحد أو شبكة معقدة متعددة المواقع، فإنّ (L2TP) لديها قابلية التوسع لتلائم البنية الخاصة بك.
- “LAN” هي اختصار لـ “Local Area Network”.
- “IPSec” هي اختصار لـ “Internet Protocol Security”.
1- L2TP / IPSec كشبكة VPN
مع الأجهزة المحمولة المتنوعة المستخدمة في جميع أنحاء الشركات والتوافر الواسع النطاق للنطاق العريض في المنزل، يجب أن توفر معظم شبكات الشركات الوصول عن بُعد كضرورة أساسية وتُعد تقنيات الشبكة الخاصة الافتراضية (VPN) جزءاً أساسياً من تلبية هذه الحاجة.
نظراً لأنّ (L2TP) لا يوفر أي آليات مصادقة أو تشفير بشكل مباشر وكلاهما من الميزات الرئيسية لشبكة (VPN) يتم عادةً إقران (L2TP) مع (IPSec)؛ لتوفير تشفير المستخدم وحزم التحكم داخل نفق (L2TP) وكما تحتوي شبكة الشركة الموجودة على اليمين على خادم شبكة (L2TP (LNS)) يوفر الوصول إلى الشبكة، ويمكن للعمال عن بعد والأجهزة المحمولة الانضمام إلى شبكة الشركة عبر أنفاق (L2TP) المؤمنة من (IPSec) عبر أي شبكة وسيطة وعلى الأرجح الإنترنت.
غالباً ما يقوم العملاء المرتبطون بـ (VPN) بتشغيل برامج (L2TP) و(IPSec) مباشرة، وليس من الضروري عادةً تثبيت برامج إضافية في أنظمة العميل للتواصل مع خادم (L2TP VPN)، ويتم توفير برنامج (L2TP VPN) مع أنظمة (Windows) و(OS X) و(iOS) و(Android) و(Linux).
2- L2TP لتمديد شبكة LAN
تعمل شبكة (VPN) القائمة على (L2TP) بشكل جيد للسماح للعملاء الفرديين بعمل روابط فردية مع شبكة (LAN) بعيدة، كما يستخدم (L2TP) لدمج شبكتين أو أكثر من شبكات (LAN) وتواجه العديد من الشركات التحدي المتمثل في إدارة العديد من المواقع البعيدة، والتي يجب أن تشارك جميعها البيانات والبنية التحتية للشبكة.
باستخدام (L2TP) لتوفير أنفاق بين كل شبكة (LAN) فردية ويمكن إنشاء شبكة موحدة واحدة مع سهولة الوصول إلى الموارد من أي مكان، وبالمسبة لعملية النشر باستخدام (L2TP) للانضمام إلى شبكتين محليتين عبر الإنترنت، وبدلاً من تشغيل برنامج (L2TP) على كل مضيف في كل مكتب يتم استخدام جهاز منفصل كنقطة نهاية (LCCE) في كل موقع مكتب.
تقوم آلات (LCCE) بربط إطارات (Ethernet) من الشبكة المحلية بواجهة (L2TP) إلى الموقع البعيد وبالتالي تعمل كبوابة بين الشبكات المحلية، واعتماداً على تكوين (LAN) وطبيعة الشبكة الوسيطة قد يكون من الضروري أو المرغوب إضافة مرشحات حزم في (LCCE) لحصر حركة مرور معينة على شبكة (LAN) الأصلية بدلاً من تمريرها عبر النفق.
- “LCCE” هي اختصار لـ “L2TP Control Connection Endpoint”.
3- L2TP كجزء من شبكة ISP
يتم استخدام (L2TP) كجزء من شبكة مزود خدمة الإنترنت (ISP)، ويتم استخدام (L2TP) لنقل البيانات من مقر العميل إلى شبكة (IP) الخاصة بمزود خدمة الإنترنت، وتمتد أنفاق وجلسات (L2TP) عبر شبكة وسيطة يديرها مزود خدمة الجملة والذي يبيع الوصول إلى مزود خدمة الإنترنت مباشرة.
يتصل العملاء الفرديون بـ (LCCE) المحلي الذي يعمل كمركز وصول (L2TP (LAC))، والذي يديره مزود البيع بالجملة، وسينشئ (LAC) بشكل ديناميكي أنفاق (L2TP) وجلسات لمزود خدمة الإنترنت الخاص بالعميل.
وقد تستند المعلومات التي يعتمد عليها مزود خدمة الإنترنت إلى النفق إلى التكوين الثابت المخزن على (LAC) أو يتم اكتشافها باستخدام بحث (RADIUS) عندما يتصل العميل، كما يسمح هذا التكوين لمزود خدمة الإنترنت بإدارة تخصيص (IP) للعميل والوصول إلى الإنترنت، نظراً لأنّ كل جهاز عميل يتصرف كما لو كان متصلاً بشبكة (L2) الخاصة به.
- “RADIUS” هي اختصار لـ “Remote Authentication Dial-In User Service”.
4- L2TP في شبكة Wi-Fi ذات الوصول العام
يعتبر الربط الشبكي منطقة حضرية أو حرم جامعي كبير للشركات باستخدام (L2TP) كجزء لا يتجزأ من شبكة (Wi-Fi) للوصول العام، وفي هذا التكوين توفر نقاط وصول (Wi-Fi) المحلية لأجهزة العميل إمكانية الوصول إلى الإنترنت، وتقوم كل نقطة وصول بإعادة توجيه بيانات العميل عبر جلسة (L2TP) إلى شبكة مركزية.
تدير هذه الشبكة تخصيص عنوان (IP) والتوجيه إلى الإنترنت وعادةً من خلال ترجمة عنوان الشبكة وكما يسمح استخدام (L2TP) في هذه الشبكة لمورد واحد بتوفير الوصول إلى الإنترنت، لمجموعة متنوعة من العملاء دون الحاجة إلى إدارة اتصال بالإنترنت في كل موقع من نقاط وصول (Wi-Fi)، ويسمح اختيار (WiMax) كوصلة بينية بتزويد شبكات المنطقة الحضرية بإمكانية الوصول إلى (Wi-Fi) باستخدام اتصال إنترنت واحد ذي نطاق ترددي عالٍ.