ьної мережі через Internet. Роль сервера віддаленого доступу локальної мережі повинен виконувати мережевий сервер L2TP (L2TP Network Server), що функціонує на будь-яких платформах, сумісних з протоколом РРР.
Подібно протоколам РРТР і L2F, протокол L2TP передбачає 3 етапи формування захищеного віртуального каналу (малюнок 2.4):
встановлення з'єднання з сервером віддаленого доступу локальної мережі;
аутентифікація користувача;
конфігурування криптозахищені тунелю.
Малюнок 2.4 - Схема взаємодії по протоколу L2TP
Для встановлення з'єднання з сервером віддаленого доступу локальної мережі, в якості якого виступає мережевий сервер L2TP, віддалений користувач зв'язується по протоколу РРР з концентратором доступу L2TP, функціонуючим на сервері провайдера Internet або інший публічної мережі. На даному етапі концентратор доступу L2TP може виконати аутентифікацію користувача від імені провайдера. Далі по імені користувача концентратор доступу провайдера визначає IP-адресу мережного сервера L2TP, що належить необхідної локальної мережі. Між концентратором доступу провайдера і сервером L2TP локальної мережі встановлюється сесія по протоколу L2TP, звана сесією L2TP.
Після установки сесії L2TP відбувається процес аутентифікації користувача на сервері L2TP локальної мережі. Для цього може використовуватися будь-який з стандартних алгоритмів аутентифікації, наприклад, алгоритм CHAP. Як і в протоколах РРТР і L2F, у специфікації L2TP відсутні опису методів аутентифікації.
У разі успішної аутентифікації користувача між концентратором доступу провайдера і сервером L2TP локальної мережі створюється криптозахищені тунель. За допомогою керуючих повідомлень здійснюється настроювання різних параметрів тунелю. В одному тунелі можуть мультиплексированную декілька сесій L2TP. Сам протокол L2TP НЕ специфікує конкретні методи криптозахисту і передбачає можливість використання різних стандартів шифрування. Однак якщо тунель формується в IP-мережах, то криптозащита повинна виконуватися відповідно до протоколу IPSec. У цьому випадку пакети L2TP инкапсулируются в UDP-пакети, які передаються між концентратором доступу провайдера і сервером L2TP локальної мережі через IPSec-тунель. Для цього задіюється UDP-порт +1701.
Незважаючи на свої достоїнства, протокол L2TP не усуває всіх недоліків тунельної передачі даних на канальному рівні. Зокрема, необхідна підтримка L2TP провайдерами. Протокол L2TP обмежує весь трафік рамками обраного тунелю і позбавляє користувачів доступу до Іншим частинам Internet. Для поточної (четвертої) версії протоколу IP не передбачає створення криптозахищені тунелю між кінцевими точками інформаційної взаємодії. Крім того, запропонована специфікація забезпечує стандартне шифрування тільки в IP-мережах при використанні протоколу IPSec.
2.3 Мережевий рівень
Специфікацією, де описані стандартні методи для всіх компонентів і функцій захищених віртуальних мереж, є протокол Internet Protocol Security (IPSec), відповідний мережному рівню моделі OSI і входить до складу нової версії протоколу IP - IPv6. Протокол IPSec іноді ще називають протоколом тунелювання третього рівня (Layer - 3 Tunneling). IPSec передбачає стандартні методи аутентифікації користувачів або комп'ютерів при ініціації тунелю, стандартні способи шифрування кінцевими точками тунелю, формування та перевірки Цифрового підпису, а також стандартні методи обміну та управління криптографічними ключами між кінцевими точками. Цей гнучкий стандарт пропонує кілька способів для виконання кожного завдання. Обрані методи для однієї задачі зазвичай не залежать від методів реалізації інших завдань. Для функцій аутентифікації IPSec підтримує цифрові сертифікати популярного стандарту Х.509.
Тунель IPSec між двома локальними мережами може підтримувати безліч індивідуальних каналів передачі даних, в результаті чого додатки даного типу отримують переваги з погляду масштабування у порівнянні з технологією другого рівня. Протокол IPSec може використовуватися спільно з протоколом L2TP. Спільно ці два протоколи забезпечують найбільш високий рівень гнучкості при захисті віртуальних каналів. Справа в тому, що специфікація IPSec орієнтована на протокол IP і, таким чином, марна для трафіку будь-яких інших протоколів мережевого рівня. Протокол L2TP відрізняється незалежністю від транспортного рівня, що може бути корисно в гетерогенних мережах, що складаються і IP-, IPX - і AppleTalk-сегментів. IPSec стрімко завойовує популярність і стане, ймовірно, домінуючим стандартом зі створення і підтримки захищених віртуальних мереж.
Для управління криптографічними ключами на мережевому рівні моделі OSI найб...
