Протокол создания туннелей на 2-м уровне (Layer 2 Tunneling Protocol — L2TP)

Группе IETF были представлены конкурирующие предложения от компаний Microsoft и Cisco Systems, касающиеся спецификации протокола, который обеспечивал бы безопасность передачи IP-дейтаграмм по неконтролируемым и небезопасным (untrusted) сетевым доменам. Предложение Microsoft представляло собой попытку стандартизировать туннельный протокол типа "точка-точка" (Point-to-Point Tunneling Protocol — РРТР), который был создан этой компанией. Корпорация Cisco также предложила протокол, созданный для выполнения аналогичной функции. IETF соединила лучшие черты этих протоколов и определила открытый стандарт L2TP.

Протокол РРР устанавливает на 2-м уровне канал типа "точка-точка", в котором соединения протокола РРР выполняют инкапсуляцию и транспортировку пакетов различных протоколов. Сервер доступа к сети (Network Access Server — NAS) является терминирующим устройством канала типа "точка-точка" на 2-м уровне, установленного пользователями с применением различных технологий, таких как удаленный доступ через общедоступную сеть POTS, ISDN и ADSL. Сервер NAS является терминирующей точкой как каналов 2-го уровня типа "точка-точка", так и сеансов протокола РРР.

При использовании протокола L2TP терминирующие точки канала 2-го уровня и сеанс протокола РРР могут быть отделены друг от друга различными устройствами, соединенными между собой через IP-сети. Иными словами, пользователи могут осуществлять доступ к локальному серверу NAS, а сеанс РРР может быть расширен посредством соединения протокола L2TP через общую инфраструктуру, такую как сеть Internet или Frame Relay, с домашним шлюзом, который обрабатывает сеанс РРР и управляет им. При этом пользователи получают в свое распоряжение те же самые функции, но оплачивают только услуги местной телефонной сети.

Протокол L2TP имитирует соединение типа "точка-точка" путем инкапсуляции дейтаграмм протокола РРР для их транспортировки по маршрутизируемым сетям или по объединенным сетям. Когда дейтаграммы протокола РРР поступают в пункт назначения, инкапсуляция удаляется и дейтаграммы восстанавливаются в своем первоначальном формате. Таким образом, сеанс связи типа "точка-точка" может поддерживаться через не связанные непосредственно сети. Такой метод называется туннелированием.

Ниже описаны ключевые компоненты соединения протокола L2TP.

•          Сервер доступа к сети (Network Access Server — NAS). Это устройство предоставляет удаленный доступ по требованию пользователям локальных сетей. Оно является терминирующей точкой для каналов типа "точка-точка", установленных конечными пользователями, обычно с использованием линий PSTN или ISDN.

•          Концентратор доступа протокола L2TP (L2TP Access Concentrator — LAC). Этот узел обычно выполняет функции инициатора установки туннеля протокола L2TP к сетевому серверу протокола L2TP. Концентратор LAC пересылает пакеты между конечными пользователями и серверами LNS.

•          Сетевой сервер протокола L2TP (L2TP Network Server — LNS). Этот узел функционирует в качестве терминирующей точки сеансов протокола РРР, проходящих по туннелю L2TP, инициированному концентратором LAC.

Концентратор LAC и сервер LNS определяют только логические функции соединения протокола L2TP. Их физическое расположение зависит от конкретных топологий реализации и предъявляемых к ним требований, как описано в последующих разделах.

Топологии реализации

Протокол L2TP может быть реализован в двух различных топологиях:

•     принудительное туннелирование или прозрачное для клиента туннелирование;

•    добровольное туннелирование или туннелирование, известное клиенту.

Различие между этими двумя топологиями состоит и том, известно ли клиентскому устройству, использующему протокол L2TP для доступа к удаленной сети, что ее соединение туннелируется. Физическое расположение концентраторов LAC в этих топологиях различно.

Принудительное туннелирование

Принудительное туннелирование характеризуется распределением концентраторов LAC в непосредственной близости к удаленным пользователям. Такое географическое разделение предназначено для уменьшения расходов на междугородную и международную телефонную связь, которые в противном случае были бы возложены на удаленных пользователей, осуществляющих удаленный доступ к центрально расположенному местному концентратору LAC.

Как показано на рис. 18.4, удаленным пользователям не требуется непосредственно поддерживать протокол L2TP. Они лишь устанавливают сеанс связи тина "точка- точка" с сервером NAS, который также является концентратором I.AC, использующим протокол РРР. При этом пользователь инкапсулирует IP-дейпраммы во фреймы протокола РРР. Концентратор LAC осуществляет обмен сообщениями протокола РРР с удаленным пользователем и устанавливает туннель протокола L2TP с сер пером LNS, через который проходят сообщения протокола РРР удаленного пользователя. Концентратор 1.АС может также выполнять аутентификацию конечных пользователей и использовать информацию конечных пользователей, такую как имя домена, для направления конечных пользователей на соответствующие серверы LNS.

Рас. 18.4. Принудительные туннели протокола L2TP

Сервер LNS представляет собой шлюз пользователя к ею домашней сети. Он является выходной точкой туннеля: к его функции входит удаление инкапсуляции протокола L2TP и предоставление удаленному пользователю доступа к сети.

Как видно из этого сценария, у конечного пользователя нет выбора, а туннель протокола I.2TP. установленный сервером NAS. поддерживающим L2TP, является прозрачным для конечных пользователей.

Туннелирование по желанию пользователя

Как показано па рис. 18.5, функции концентратора LAC выполняются на клиентском компьютере, а соединение протокола L2TP инициируется конечным пользователем. Клиент сначала получает IP-соединение с сервером NAS от локального Internet- провайдера или подсоединяется к сегменту локальной сети LAN. После этою он инициирует соединение с сервером LNS, который является терминирующей точкой туннеля протокола L2TP и расширенного сеанса протокола РРР.

Pitc. 18.05. Туннели протокола I.2TP, создаваемые по желанию пользователя

Соединения протокола L2TP, защищенные посредством IPSec

Сколь бы полезным ни был протокол L2TP, необходимо признать, что он не является решением всех проблем. Он обеспечивает гибкость удаленного доступа, но не обеспечивает высокой степени безопасности для передаваемых данных. В значительной степени это связано с относительно небезопасной природой самого протокола РРР. Строго говоря, протокол РРР был разработан специально для соединений типа "точка-точка" и безопасность соединения при его разработке не была главным приоритетом.

Дополнительная причина для беспокойства связана с тем, что туннели протокола L2TP не являются криптографическими. Данные, являющиеся полезной нагрузкой, передаются открытым текстом и их упаковкой являются только фреймы протоколов L2TP и РРР. Однако реализация протоколов IPSec в сочетании с протоколом L2TP позволяет обеспечить дополнительный уровень безопасности. Как показано в разделе "Протокол IPSec", протоколы IPSec поддерживают строгую аутентификацию, а также шифрование.

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100