Практическая работа № 5. Особенности протокола L2TP
По существу протокол L2TP представляет собой расширение PPP-протокола функциями аутентификации удаленных пользователей, установки защищенного виртуального соединения, а также управлением потоками данных. В соответствии с протоколом L2TP (см. Рис. 7) в качестве сервера удаленного доступа провайдера должен выступать концентратор доступа (Access Concentrator), который реализует клиентскую часть… Читать ещё >
Практическая работа № 5. Особенности протокола L2TP (реферат, курсовая, диплом, контрольная)
Протокол L2TP (Layer-2 Tunneling Protocol — L2TP) разработан в организации Internet Engineering Task Force (IETF) при поддержке компаний Microsoft и Cisco Systems как протокол защищенного туннелирования PPP-трафика через сети общего назначения с произвольной средой. Работа над данным протоколом велась на основе протоколов PPTP и L2 °F, и он вобрал в себя лучшие возможности обоих проектов. L2TP, в отличие от PPTP, не привязан к протоколу IP, а потому может быть использован в сетях с коммутацией пакетов, например, в сетях ATM. Кроме того, L2TP предусматривает управление потоками данных, отсутствующее в L2 °F. Главное же, по мнению разработчиков, то, что новый протокол должен стать общепринятым стандартом, признаваемым всеми производителями.
Чтобы понять суть концепции L2TP, нужно представлять цели, которые преследовали компании Microsoft и Cisco при разработке РРТР и L2 °F.
В соответствии с целями, которые преследовались при разработке РРТР и L2 °F, различные организации должны были получить возможность делегировать функции безопасного удаленного доступа провайдерам Internet. Это, в свою очередь, позволило бы снизить затраты на администрирование и приобретение аппаратных средств, так как локальные сети этих организаций смогли бы обойтись без множества модемов и дополнительных телефонных каналов. В обоих протоколах поставленная цель была достигнута. И L2 °F, и РРТР позволяют провайдерам Internet проводить удаленные сеансы по протоколу РРР, используя для аутентификации запросы к серверам безопасности локальных сетей.
Различия между L2 °F и РРТР объясняются специализацией их разработчиков. Cisco производит аппаратные маршрутизаторы для сетевой инфраструктуры, тогда как Microsoft выпускает операционные системы. Для работы провайдеров с L2 °F нужно, чтобы их маршрутизаторы и серверы удаленного доступа поддерживали этот протокол. Что касается протокола РРТР, то провайдеры не обязательно должны иметь средства организации туннелей, так как туннели могут формироваться специальным программным обеспечением конечных точек взаимодействия — компьютеров удаленных пользователей и серверов удаленного доступа локальных сетей. Тем не менее, L2 °F по сравнению с РРТР имеет несколько преимуществ. Так, PPTP требует применения маршрутизации на базе IP, тогда как L2 °F не привязан к конкретным протоколам сетевого уровня, используемым для транспортировки PPP-кадров.
В гибридном протоколе L2TP не только объединены лучшие черты протоколов PPTP и L2TP, но и добавлены новые функции.
Как и РРТР, новая спецификация не нуждается во встроенной аппаратной поддержке, хотя оборудование, специально предназначенное для нее, повысит производительность и защищенность системы. В L2TP есть ряд отсутствующих в спецификации PPTP функций защиты, включая возможность работы с протоколом IPsec.
Наследственные черты L2 °F видны в том, что протокол не привязан к среде IP и с таким же успехом способен работать в любых сетях с коммутацией пакетов, например, в сетях ATM или в сетях с ретрансляцией кадров (frame relay).
В L2TP добавлена важная функцию управления потоками данных, которая не допускает в систему больше информации, чем та способна обработать. Кроме того, в отличие от своих предшественников, L2TP позволяет открывать между конечными абонентами сразу несколько туннелей, каждый из которых администратор может выделить для того или иного приложения. Эти особенности обеспечивают безопасность и гибкость туннелирования, а также существенно повышает качество обслуживания виртуальных каналов связи.
По существу протокол L2TP представляет собой расширение PPP-протокола функциями аутентификации удаленных пользователей, установки защищенного виртуального соединения, а также управлением потоками данных. В соответствии с протоколом L2TP (см. Рис. 7) в качестве сервера удаленного доступа провайдера должен выступать концентратор доступа (Access Concentrator), который реализует клиентскую часть протокола L2TP и обеспечивает пользователю сетевой доступ к его локальной сети через Internet. Роль сервера удаленного доступа локальной сети должен выполнять сетевой сервер L2TP (L2TP Network Server), функционирующий на любых платформах, совместимых с протоколом PPP.
Пары атрибут. | значение AVP (Attribute Value Pair) Объединение уникального атрибута (представляемого в виде целого числа) и действительного значения этого атрибута. Пара AVP имеет переменную длину. Несколько AVP образуют управляющие сообщения, которые используются при установлении, поддержке и ликвидации туннеля. |
Вызов. | Соединение (или попытка соединения) между удаленной системой и LAC (L2TP Access Concentrator). Например, телефонный вызов через обычную коммутируемую телефонную сеть PSTN. Вызов (входящий или исходящий), который успешно осуществил связь между удаленной системой и LAC, реализуется в ходе L2TP-сессии при условии, что туннель между LAC и LNS (L2TP Network Server) уже создан. |
Вызванный номер | Телефонный номер, использованный для связи с получателем вызова. |
Вызывающий номер | Телефонный номер, откуда пришел вызов. |
CHAP. | Challenge Handshake Authentication Protocol [RFC1994], криптографический PPP-протокол для аутентификации вызова/отклика, в котором пароль не передается открытым текстом. |
Управляющее соединение | Управляющее соединение работает в пределах имеющейся полосы туннеля и служит для установления, аннулирования и поддержания сессий и самого туннеля. |
Управляющие сообщения | Управляющими сообщениями обмениваются LAC и LNS, работающие в пределах имеющейся полосы туннеля. Управляющие сообщения контролируют сам туннель и реализуемые через него сессии. |
Цифровой канал. | Коммутируемый канал, по которому передаются цифровые данные в обоих направлениях. |
DSLAM. | Digital Subscriber Line (DSL) Access Module (модуль доступа клиентов к цифровым линиям). Сетевой прибор, используемый для реализации DSL-сервиса. Это обычно концентратор индивидуальных DSL-линий, размещенный в центральном офисе (CO), или местный коммутатор. |
Входящий вызов. | Вызов, полученный LAC для туннелирования в LNS. |
Концентратор доступа L2TP (LAC). | Узел, который действует в качестве одной из сторон L2TP-туннеля и является партнером для LNS (L2TP Network Server). LAC размещается между LNS и удаленной системой, переадресуя им пакеты. Пакеты, посланные от LAC к LNS, требуют туннелирования с помощью протокола L2TP, как это определено в данном документе. Соединение между LAC и удаленной системой является локальным или осуществляется через канал PPP. |
Сетевой сервер L2TP (LNS). | Узел, который работает в качестве одного из концов L2TP туннеля, и является партнером для LAC (L2TP Access Concentrator). LNS является логической терминальной точкой PPP-сессии, которая организует туннель между удаленной системой и LAC. |
Домен управления (MD). | Сеть или сети, управляемые общей администрацией administration, политикой или системой. Например, доменом управления LNS может быть корпоративная сеть, которую он обслуживает. Доменом управления LAC может быть сервис-провайдер Интернет, которым он управляет. |
Сервер доступа к сети (NAS). | Прибор, предоставляющий доступ к локальной сети для пользователей удаленной сети, такой как общедоступная коммутируемая телефонная сеть (PSTN). NAS может выполнять функцию LAC, LNS или и того и другого. |
Исходящий вызов. | Вызов, сделанный LAC, для туннелирования в LNS. |
Партнер | При использовании в контексте L2TP, партнер относится к LAC или LNS. Партнером LAC является LNS и наоборот. При использовании в контексте PPP, партнером является любая из сторон PPPсоединения. |
POTS. | Plain Old Telephone Service (обычная телефонная служба). |
Удаленная система. | Оконечная система или маршрутизатор, соединенный с удаленной сетью (т.e. PSTN), которая является инициатором или получателем вызова. Относится также к клиенту, подключающемуся через коммутируемую телефонную сеть (dial-up). |
Сессия. | Протокол L2TP ориентирован на соединение. LNS и LAC поддерживают состояния для каждого вызова, который инициирован или воспринят LAC. Сессия L2TP формируется между LAC и LNS, когда создано соединение точка-точка PPP между удаленной системой и LNS. Дейтограммы, относящиеся к соединению PPP, пересылаются по туннелю, организованному между LAC и LNS. Существует полное соответствие между сессиями L2TP и сопряженными с ними вызовами. |
Туннель. | Туннель между LAC и LNS. Туннель состоит из управляющего соединения и нуля или более сессий L2TP. Туннель передает инкапсулированные дейтограммы PPP и управляющие сообщения между LAC и LNS. |
Сообщение с нулевой длиной тела (ZLB). | Управляющий пакет, имеющий только заголовок L2TP. ZLB-сообщения используются в качестве откликов в управляющем канале. |
На диаграмме (рис. 1.) показана схема работы протокола L2TP. Целью здесь является туннелирование кадров PPP между удаленной системой или клиентом LAC и LNS, размещенной в LAN.
Рис. 1 Схема работы протокола L2TP
Удаленная система инициирует PPP-соединение с LAC через коммутируемую телефонную сеть PSTN. LAC затем прокладывает туннель для PPP-соединения через Интернет, Frame Relay или ATM к LNS, посредством чего осуществляется доступ к исходной LAN (Home LAN). Адреса удаленной системе предоставляются исходной LAN через согласование с PPP NCP. Аутентификация, авторизация и аккоунтинг могут быть предоставлены областью управления LAN, как если бы пользователь был непосредственно соединен с сервером сетевого доступа NAS.
LAC-клиент (ЭВМ, которая исполняет программу L2TP) может также участвовать в туннелировании до исходной LAN без использования отдельного LAC. В этом случае, ЭВМ, содержащая программу LAC клиента, уже имеет соединение с Интернет. Затем создается «виртуальное» PPP-соединение и локальная программа L2TP LAC формирует туннель до LNS. Как и в выше описанном случае, адресация, аутентификация, авторизация и аккоунтинг будут обеспечены областью управления исходной LAN.
L2TP использует два вида пакетов, управляющие и информационные сообщения. Управляющие сообщения используются при установлении, поддержании и аннулировании туннелей и вызовов. Информационные сообщения используются для инкапсуляции PPP-кадров пересылаемых по туннелю. Управляющие сообщения используют надежный контрольный канал в пределах L2TP, чтобы гарантировать доставку. Информационные сообщения если происходит их потеря, не пересылаются повторно.
PPP кадры. | ||
L2TP Информационные сообщения. | L2TP Управляющие сообщения. | |
L2TP Информационный канал (ненадежный). | L2TP Канал управления (надежный). | |
Транспортировка пакетов (UDP, FR, ATM, etc.). |
Рис. 2. Структура протокола L2TP
На рис. 3 показано взаимоотношение PPP-кадров и управляющих сообщений по управляющему и информационному каналам L2TP. PPP-кадры передаются через ненадежный канал данных, инкапсулированные сначала в L2TP, а затем в транспортные пакеты, такие как UDP, Frame Relay, ATM и т. д. Управляющие сообщения посылаются через надежный управляющий канал L2TP, который передает пакеты в пределах того же пакетного транспорта.