oxiri
IPSec ESP Authentication
oxiri
IPSec E S P oxiri
PPP
a ’ lum otlar PP P sarlavha
L 2 T P sarlavha
U D P sarlavha
IPSec
ESP sarlavha
IP sarlavha
Uzatiladigan kadr sarlavhasi
c
CO
CD
CO
53
15
7 .15 -rasm . L 2 T P tu n n e li b o ‘y la b j o 'n a tila d ig a n p a k e t
tuzilm asi.
AH va ESP protokollari foydalanuvchilarning, kelishilgan holda, shifrlash va autentifikatsiyalashning turli kriptograflk algoritmlarini ish-latishlariga yo‘l qo‘yadi. Interpretatsiya domeni DOT (Domain of In terpretation) ishlatiluvchi protokollar va algoritmlaming birga ishlashini ta’minlaydi.
Mohiyati bo‘yicha, gibrid protokol L2TP masofadagi foydala-nuvchilami autentifikatsiyalash, himoyalangan virtual ulanishni yaratish va ma’lumotlar oqimlarini boshqarish funksiyalari bilan kengaytirilgan
protokol idir.
L2TP protokoli transport sifatida UDP protokolini ishlatadi va tun-
nelni boshqarishda va ma’lumotlami tashishda xabarlaming bir xil for-matidan foydalanadi.
PPTP protokol idagidek, L2TP protokoli tunnelga uzatish uchun paketni yig‘ishda aw al PPP axborot ma’lumotlari maydoniga PPP sar-lavhasini, so‘ngra L2TP sarlavhasini qo'shadi. Shu tariqa olingan paket UDP protokol tomonidan inkapsulatsiyalanadi. L2TP protokol jo'natuvchi va qabul qiluvchi porti sifatida UDP-portdan foydalanadi. 7.15-rasmda L2TP tunneli bo‘yicha jo'natiluvchi paket tuzilmasi keltirilgan.
IPSec protokollar steki xavfsizligi siyosatining tanlangan xiliga bog‘liq holda L2TP protokoli UDP-xabarni shifrlashi va unga ESP (En capsulation Security Payload)ning sarlavhasini va oxirini hamda IPSec ESP Authenticationning oxirini qo‘shishi mumkin. So‘ngra IPga inkap-sulyatsiyalash bajariladi. Tarkibida jo‘natuvchi va qabul qiluvchi adreslari boMgan IP-sarlavha qo'shiladi. Oxirida L2TP ma’lumotlami uzatishga tayyorlash uchun ikkinchi PPP-inkapsulatsiyalashni bajaradi.
Kompyuter - qabul qiluvchi ma’lumotlami qabul qiladi, PPPning sarlavhasi va oxirini ishlaydi. IP sarlavhani olib tashlaydi, IPSec ESP Authentication yordamida IP ning axborot maydoni autentifikatsiyala-nadi, IPSec ESP protokoli esa paketning rasshifrovkasida yordam beradi. Keyin kompter UDP sarlavhasini ishlaydi va tunnelni identifi-katsiyalash uchun L2TP sarlavhasidan foydalanadi. Endi PPP paketning tarkibida faqat foydali ma’lumotlar boMadi, ular ishlanadi va ko‘rsatilgan qabul qiluvchiga yuboriladi.
L2TP protokoli «foydalanuvchi» va «kompyuter» sathlarda autenti-fikatsiyalashni ta’minlaydi hamda ma’lumotlami autentifikatsiyalaydi va shifrlaydi. Mijozlarni va VPN serverlarini autentifikatsiyalashning birinchi bosqichida L2TP sertifikatsiya xizmatidan olingan lokal sertifi-katlardan foydalanadi. Mijoz va server sertifikatlar bilan almashishadi va himoyalangan ulanish ESP SA (Security Association)ni yaratishadi.
L2TP kompyuterni autentifikatsiyalashni tugatganidan so'ng, foy dalanuvchi sathda autentifikatsiyalashda foydalanuvchi ismini va parolni ochiq ko'rinishda uzatuvchi har qanday protokol, hatto PAP, ishlatilishi mumkin. Bu tamomila xavfsiz, chunki L2TP butun sessiyani shifrlaydi. Ammo foydalanuvchini autentifikatsiyalashni, kompyuter va foydalanu-vchini autentifikatsiyalashda turli kalitlardan foydalanuvchi MSCHAP yordamida o‘tkazish xavfsizlikni oshirishi mumkin.
L2TP protokolining taxmini bo‘yicha, provaydeming masofadan foydalanish serveri va korporativ tarmoq marshrutizatori orasida tunnel hosil qiluvchi sxemalardan foydalaniladi. Bu protokol oldingilaridan (PPTP va L2F protokollaridan) farqli holda oxirgi abonentlar orasida, har biri alohida ilovaga ajratilishi mumkin boMgan, bir necha tunnelni birdaniga ochish imkoniyatini taqdim etadi. Bu xususiyat tunnellashning moslanuvchanligini va xavfsizligini ta’minlaydi.
L2TP protokolining spetsifikatsiyasiga binoan, provaydeming masofadan foydalanish serveri rolini, L2TP protokolining mijoz qismini amalga oshiruvchi va masofadagi foydalanuvchiga uning lokal tar-mogMdan Internet orqali tarmoqli foydalanishni ta’minlovchi, foydalan ishning konsentratori LAC (L2TP Access Concentrator) bajarishi lozim. Lokal tarmoqning masofadan foydalanish serveri sifatida PPP protokoli bilan birga ishlay oluvchi platformalarda ishlovchi tarmoq serveri LNS (L2TP Network Server)dan foydalaniladi (7.16-rasm).
PPTP va L2F protokollaridek L2TP protokolida himoyalangan vir tual kanalni shakllantirish uch bosqichda amalga oshiriladi:
lokal tarmoqning masofadan foydalanish serveri bilan ulanishni o'matish;
foydalanuvchini autentifikatsiyalash;
himoyalangan tunnelni konfiguratsiyalash.
Birinchi bosqichda lokal tarmoqning masofadan foydalanish serveri bilan ulanishni o‘rnatish uchun masofadagi foydalanuvchi provayder ISP bilan PPP - ulashni boshlab beradi. Provayder serveri ISPda ish lovchi foydalanish konsentratori bu ulanishni qabul qiladi va kanal PPPni o‘rnatadi. So‘ngra foydalanuvchi konsentratori LAC oxirgi uzel va uning foydalanuvchisini qisman autentifikatsiyalaydi. Provayder ISP faqat foydalanuvchining ismidan foydalangan holda unga L2TP tunnel-lash servisining kerakligini hal qiladi. Agar bunday servis kerak boMsa, foydalanish konsentratori LAC tunneli ulanish o‘rnatilishi lozim boMgan tarmoq serveri LNS adresini aniqlashga o‘tadi. Foydalanuvchi va foy dalanuvchi tarmogMga xizmat ko'rsatuvchi server LNS orasidagi mu-vofiqlikni aniqlashning qulayligini ta’minlash maqsadida provayder ISP tomonidan o'zining mijozlari uchun madadlanuvchi maMumotlar ba-zasidan foydalanish mumkin.
Do'stlaringiz bilan baham: |