Файловый архив студентов. Файловый архив студентов.
1265 вузов, 4638 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Вологодский государственный университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Shpory_mszki.doc
Скачиваний:
38
Добавлен:
17.04.2019
Размер:
2.23 Mб
Скачать
►Содержание►

9.2. Протокол l2f

Протоколы L2F и L2TP выполняют только туннелирование. Протокол L2F фактически поглощён протоколом L2TP. Однако протокол L2TP имеет пока только статус проекта стандарта Internet.

Помимо ориентации на различные протоколы информационного обмена, протокол L2F обеспечивает:

- гибкость аутентификации, предусматривающую отсутствие жесткой при- вязки к конкретным протоколам подтверждения подлинности;

- прозрачность для конечных систем — ни удаленная система, ни рабочие станции локальной сети не должны иметь специальное программное обеспечение, чтобы использовать защитный сервис;

- прозрачность для посредников:

• авторизация должна выполняться так, как в случае непосредственного подключения пользователей к серверу удаленного доступа локальной сети;

• адрес сервера удаленного доступа должен назначаться не сервером провайдера, а сервером локальной сети;

полнота аудита, предусматривающая регистрацию событий по доступу к серверу локальной сети как сервером удаленного доступа этой сети, так и сервером провайдера.

В случае традиционной службы удаленного доступа аутентификация пользователей осуществляется самим сервером провайдера. При использования технологии L2F сервер удаленного доступа провайдера использует аутентификацию только для определения необходимости создания виртуального канала и поиска адреса сервера удаленного доступа требуемой локальной сети. Окончательная проверка подлинности выполняется сервером удаленного доступа локальной сети после того, как сервер провайдера с ним связывается.

Недостатки: четвертая версия протокола IP не предусматривается создание криптозащищенного туннеля между конечными точками информационного взаимодействия. Виртуальный защищенный канал может быть создан только между сервером удаленного доступа провайдера и пограничным маршрутизатором локальной сети, а участок между компьютером удаленного пользователя и серверов провайдера остается открытым.

9.3. Протокол l2tp

В L2TP добавлена важная функция управления потоками данных, которая не допускает в систему больше информации, чем та способна обработать. Кроме того, в отличие от своих предшественников, L2TP позволяет открывать между конечными абонентами сразу несколько туннелей, каждый из которых администратор может выделить для того или иного приложения. Эти особенности обеспечивают безопасность и гибкость туннелирования, а также существенно повышают качество обслуживания виртуальных каналов связи.

По существу протокол L2TP представляет собой расширение РРР-протокола функциями аутентификации удаленных пользователей, установки защищенного виртуального соединения, а также управлением потоками данных. В соответствии с протоколом L2TP (рис. 2.5) в качестве сервера удаленного доступа провайдера должен выступать концентратор доступа (Access Concentrator), который реализует клиентскую часть протокола L2TP и обеспечивает пользователю сетевой доступ к его локальной сети через Internet. Роль сервера удаленного доступа локальной сети должен выполнять сетевой сервер L2TP (L2TP Network Server), функционирующий на любых платформах, совместимых с протоколом РРР.

С хема взаимодействия по протоколу L2TP

Рис 2.5.

Протокол L2TP предполагает использование схемы, в которой туннель образуется между сервером удалённого доступа провайдера и маршрутизатором корпоративной сети. Сервер удалённого доступа провайдера называется концентратором доступа (L2TP Ассеss Concentrator, LAC). Маршрутизатор корпоративной сети называется сетевым сервером (L2TP Network Server, LNS).

Схема работы:

  • пользователь устанавливает РРР- соединение с провайдером.

  • провайдер выполняет частичную аутентификацию узла и пользователя (используется только имя пользователя) с целью определить, нужен ли сервис L2TP.

  • провайдер определяет адрес LNS, с которым нужно установить связь.

  • устанавливается туннель L2TP между LAC и LNS.

  • новому соединению в рамках установленного туннеля присваивается идентификатор вызова (Call ID).

  • LAC посылает LNS уведомление о вызове (оно содержит Call ID и информацию для аутентификации, зависящую от используемого протокола -РАР или CHAP).

  • корпоративный сервер LNS отправляет на LAC результат аутентификации и некоторую дополнительную информацию, например, выделяет для удалённого клиента IP-адрес.

Результатом является создание «виртуального интерфейса». По туннелю между LAC и LNS инкапсулированные кадры РРР могут передаваться в обоих направлениях. При поступлении РРР-пакета от удаленного пользователя LAC удаляет из него байты обрамления кадра и контрольную сумму, затем инкапсулирует его с помощью L2TP и отправляет серверу LNS, который извлекает из пакета кадр РРР и обрабатывает его стандартным образом.

Обеспечить безопасность на этом этапе позволяет программный продукт Internet Scanner.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности