Perché qualcuno userebbe L2TP con IPsec? Voglio dire, capisco, che lo useremmo insieme a IPsec perché L2TP non fornisce riservatezza o autenticazione strong da solo, ma perché non usare solo IPsec stesso ??
La risposta fornita nel commento collegato non è molto accurata, quindi ecco una spiegazione migliore.
IPsec è usato da solo (a volte indicato come IPsec) per tutto il tempo; è comunemente usato per creare un collegamento di trasporto sicuro tra due macchine o per creare un tunnel tra diverse reti / POP; il primo è usato (come detto) tra due macchine, mentre il secondo è usato per connettere reti disparate insieme, specialmente quando le reti si trovano nello spazio RFC1918. Tuttavia IPsec è uno standard molto flessibile (specialmente v1 su v2), e non stabilisce molto in termini di requisiti rigidi per far dialogare i due endpoint. Nelle situazioni sopra, questo non è un grosso problema; è sufficiente definire manualmente tutti i parametri tra gli endpoint manualmente (algoritmi di crittografia, metodi di hashing, dichiarazioni di rete e protocolli di routing di livello superiore).
Va benissimo, ma cosa succede quando si desidera utilizzare IPsec in uno scenario da guerriero della strada? Supponiamo che tu abbia un dipendente che desidera connettersi alla rete interna ma è in viaggio e desideri utilizzare IPsec. Avete lui configurare manualmente quelle cose tutto il tempo? È in grado di identificare la rete in cui si trova se utilizza qualcosa come un gateway Wi-Fi pubblico? Ti aspetti che configuri i protocolli di indirizzamento e instradamento ogni volta che si collega?
Certo che no. Questo è lo standard IPsec + L2TP. Questo si basa sul semplice L2TP (anche un protocollo definito barebone) e automatizza tutto ciò: stabilisce gli standard di hashing e di crittografia e definisce un modo per utilizzare PPP su L2TP per fare la rete e il routing effettivi fare il bootstrap in modo che tutto ciò che una persona deve fare è inserire le proprie credenziali e premere "connect" (sapevi che PPP era coinvolto, giusto?). Pensa a IPsec + L2TP come a qualcosa di paragonabile a PPTP, tranne che non è considerato insicuro.
Un po 'più in profondità per visualizzare meglio: pensa che l'utente finale sia una persona che dialoga con un vecchio ISP. L2TP è la linea telefonica / livello 1 / connessione fisica, in quanto consente ai protocolli di livello 2 di operare su di essa. Quando si chiama il modem (connettersi all'endpoint), PPP è il protocollo che viene eseguito su quel collegamento per autenticarsi, ottenere un indirizzo IP, nonché informazioni sul routing e la risoluzione DNS. Ora sei online. IPsec + L2TP è esattamente lo stesso, tranne che in sostituzione di una linea telefonica, stai creando un circuito virtuale su Internet (L2TP) e per proteggerlo, stai crittografando quel circuito con IPsec. Questa parte di crittografia avviene prima, prima che venga stabilita la connessione L2TP, ma tutto da quel punto in poi è esattamente l'analogia dialup.
Per andare ancora più in profondità: perché usare L2TP solo per ottenere PPP? Perché non utilizzare solo frame ethernet anziché PPP su IPsec per utilizzare elementi tradizionali come DHCP / OSPF? In realtà è possibile: bare IPsec è progettato per offrire connettività full layer 3 tranne per multicast / broadcast; quindi nel caso di DHCP e OSPF, probabilmente scambieresti L2TP per GRE. Perché GRE non è utilizzato per gli utenti mobili? Perché non offre l'autenticazione, mentre lo standard IPsec + L2TP lo fa (non chiedere perché abbiamo scelto L2TP su GRE per lo standard). PPP si adatta meglio a tale scenario, anche se GRE over IPsec viene utilizzato in altre situazioni. E se non hai affatto bisogno dell'inquadratura ethernet - semplicemente facendo cose come le applicazioni standard (navigazione sul web, ecc.) O utilizzando BGP - non hai bisogno di alcun livello sulla parte superiore di IPsec.
Quindi in breve, di solito si utilizza IPSec nuda quando si hanno configurazioni statiche tra due endpoint. Si utilizza IPsec + L2TP per utenti dinamici (mobili) che hanno scarso controllo sul proprio ambiente.
L2TP / IPSec utilizza IPsec per proteggere il tunnel L2TP. Quindi la vera domanda è, perché usare L2TP?
Protocollo di tunneling di livello due, come suggerisce il nome, fornisce un collegamento di livello 2 su una rete L3 arbitraria. Ad esempio, se è necessario che una singola VLAN appaia in due posizioni (due data center, ad esempio), è possibile utilizzare L2TP per collegarle tra loro e apparire come una VLAN / subnet logica, anche se esiste un L3 arbitrario rete tra loro (come Internet). Poiché probabilmente non desideri che il traffico del tuo data center attraversi Internet senza protezione, puoi utilizzare IPSec per mantenere il tuo traffico confidenziale.
Leggi altre domande sui tag ipsec