L2TP(Layer 2 Tunneling Protocol) えるつーてぃーぴー
簡単に言うとこんな感じ!
L2TPは「VPN用のトンネルを掘るプロトコル」だよ。インターネットという公道の中に、自分たちだけが通れる専用の地下通路(トンネル)を作る技術なんだ。ただし、トンネルを掘るだけで鍵はかけないから、セキュリティのために普通はIPsecとセットで使われるってこと!
L2TP(Layer 2 Tunneling Protocol)とは
L2TPとは、レイヤー2(データリンク層)のフレームをIPネットワーク上でトンネリング転送するためのプロトコルです。VPN(仮想プライベートネットワーク)を構築する際に使われる通信規格の一つで、遠隔地にいる社員が社内ネットワークに安全にアクセスするための「通り道」を作る役割を担います。
L2TPは、MicrosoftとCiscoがそれぞれ開発していた PPTP(Point-to-Point Tunneling Protocol) と L2F(Layer 2 Forwarding Protocol) という2つの技術を統合して生まれました。1999年にIETFが標準化し、Windows・macOS・Linuxなど主要OSで広くサポートされています。
ただし、L2TP単体には暗号化機能がありません。そのため実務では「L2TP/IPsec」という形で、トンネリングをL2TPが担い、暗号化・認証をIPsecが担う組み合わせで使われるのが一般的です。「車道(L2TP)を作って、そこに装甲車(IPsec)を走らせる」イメージです。
L2TPの構造と仕組み
L2TP/IPsecの役割分担
| 役割 | 担当プロトコル | 具体的な内容 |
|---|---|---|
| トンネル作成 | L2TP | 通信経路(トンネル)の確立・維持 |
| 暗号化 | IPsec(ESP) | データの暗号化で盗聴を防ぐ |
| 認証 | IPsec(IKE) | 接続相手が正規ユーザーか確認 |
| データ転送 | PPP | 実際のユーザーデータをカプセル化 |
通信の流れ(カプセル化の構造)
┌─────────────────────────────────────────────┐
│ IP ヘッダ(外側:インターネット向け) │
│ ┌─────────────────────────────────────────┐ │
│ │ IPsec(ESP):暗号化された外装 │ │
│ │ ┌─────────────────────────────────────┐ │ │
│ │ │ UDP ヘッダ(ポート1701) │ │ │
│ │ │ ┌─────────────────────────────────┐ │ │ │
│ │ │ │ L2TP ヘッダ:トンネル管理情報 │ │ │ │
│ │ │ │ ┌─────────────────────────────┐ │ │ │ │
│ │ │ │ │ PPP フレーム:元のデータ │ │ │ │ │
│ │ │ │ └─────────────────────────────┘ │ │ │ │
│ │ │ └─────────────────────────────────┘ │ │ │
│ │ └─────────────────────────────────────┘ │ │
│ └─────────────────────────────────────────┘ │
└─────────────────────────────────────────────┘データは「たまねぎ」のように何層もラップされて送られます。これをカプセル化と呼びます。
L2TPのポート番号と覚え方
L2TPは UDPポート1701 を使用します。
💡 覚え方: 「いな(1)お(7)とい(01)っしょ」→ 1701番!ちょっと無理やりですが、ポート番号は試験でよく出るので覚えておきましょう。
歴史と背景
- 1996年 — MicrosoftがPPTPを開発。Windowsに組み込まれてVPNが普及し始める
- 1996年 — CiscoがL2Fを開発。PPTPと競合する形でリモートアクセスVPNを実現
- 1999年 — IETFがPPTPとL2Fを統合した RFC 2661 としてL2TPを標準化。両社の良いとこ取り
- 2000年代 — Windows XP・2000がL2TP/IPsecを標準サポート。企業VPNの定番に
- 2005年 — L2TPv3(RFC 3931) が策定。イーサネットなど多様なプロトコルのトンネリングに対応
- 2010年代 — よりシンプルで高速な OpenVPN・WireeguardGuard が台頭し始める
- 現在 — レガシーなシステムや機器との互換性維持のために今も広く使われているが、新規構築では他のVPN方式も選択肢に
主なVPNプロトコルの比較
L2TP/IPsec以外にも複数のVPNプロトコルが存在します。発注・選定時の参考にしてください。
L2TP/IPsecが選ばれる理由・選ばれない理由
| 観点 | メリット | デメリット |
|---|---|---|
| 互換性 | Windows・Mac・iOS・Androidに標準搭載 | ファイアウォールにブロックされやすい(NAT越えが苦手) |
| セキュリティ | IPsecとの組み合わせで十分な強度 | 単体では暗号化なし |
| 設定 | 追加ソフト不要で設定しやすい | 設定項目が多くミスが起きやすい |
| 速度 | 普通 | 二重カプセル化でオーバーヘッドあり |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 2661 | L2TP(Layer Two Tunneling Protocol)の基本仕様(1999年) |
| RFC 3931 | L2TPv3:イーサネットや他のL2プロトコルへの拡張(2005年) |
| RFC 3193 | L2TPとIPsecの組み合わせ(L2TP/IPsec)のセキュリティ仕様 |
| RFC 2637 | PPTP(L2TPの前身の一つ)の仕様 |
| RFC 2341 | L2F(L2TPのもう一つの前身)の仕様 |
関連用語
- VPN — 仮想プライベートネットワーク。インターネット上に専用線のような安全な通路を作る技術
- IPsec — IP通信を暗号化・認証するセキュリティプロトコル。L2TPとセットで使われる
- PPP — Point-to-Point Protocol。L2TPがカプセル化に使うデータリンク層プロトコル
- PPTP — L2TPの前身となったVPNプロトコル。現在はセキュリティ上の理由で非推奨
- トンネリング — あるプロトコルのパケットを別のプロトコルで包んで転送する技術
- OpenVPN — TLSを使ったオープンソースのVPNプロトコル。L2TPの代替として広く使われる
- WireGuard — 軽量・高速な次世代VPNプロトコル。近年急速に普及中
- IPsec(IKE) — VPN接続時に暗号鍵を安全に交換するプロトコル