Layer 2 Forwarding (L2F)-protokollet är en mediaoberoende teknik utvecklad av Cisco Systems. Dessett mediaoberoende tunnlingsprotokoll som kom till liv vid de första utvecklingsstadierna för virtuella privata nätverk. Det tillåter VPN att existera över ett offentligt nätverk (som Internet) genom att omvandla datalänkslagerpaket till webbprotokoll som SLIP (Serial Line Internet Protocol) eller PPP (Point-to-Point Protocol).
Servrar kan använda L2F för saker som användarautentisering genom dynamisk adressallokering, fjärrautentiseringsuppringningsanvändartjänst (RADIUS) och Quality of Service (QoS).Ciscos Internetwork-operativsystem implementerar L2F i routrar också.
Tunnelmetoden för att skapa privata nätverk är oberoende av Internet Protocol (IP). Därför kan samma teknik skapa säkra tunnlar i andra nätverkssammanhang, som bankomater eller Frame Relay. Vill du veta mer, låt oss gräva djupare då.
L2F-protokollet: Hur fungerar det?
Låt oss taPPP-protokoll. Den ansluter en uppringd klient med NAS (kort form av nätverksåtkomstserver) när den tar emot samtalet med Layer 2 Forwarding (L2F).
Klientutlösta PPP-anslutningar avslutas hos en PPP-tjänsteleverantörNAS (Network Access Server)— Detta är vanligtvis en ISP (Internet Service Provider).L2F gör det möjligt för klienten att ansluta bortom Network Access Server till en fjärrnod. Den mekanismen tillåter klienten att agera som om den var direkt ansluten till den fjärrnoden istället för att ansluta till NAS:en.
Inom L2F-världen har NAS bara ett jobb: att utbyta framåtriktade (Point-to-Point Protocol) ramar från klienten till den avlägsna noden. Den fjärrnoden i Cisco Speak är känd som hemmagatewayen.
Det kritiska att komma ihåg är detCiscos L2F-protokoll kan utan tvekan fungera över IP-protokollet, men det behöver det inte riktigt. Det kan fungera tillsammans med andra protokoll som det är. Till exempel fungerar det ofta när det används tillsammans med VDU (Virtual Dial-Up).
Autentiseringstyper
L2F autentiserar fjärranvändare som använder PPP såväl som andra autentiseringssystem som kan inkluderaAnvändartjänst för fjärrautentisering (RADIUS)ellerTerminal Access Controller Access Control System (TACACS).
- Det finns flera anslutningar i L2F-tunnelkanaler, vilket är en av anledningarna till att de skiljer sig från PPTP-tunnelkanaler.
- Autentiseringen sker i två steg. Internetleverantören utför den första innan tunneln dyker upp. I det andra steget blir tunneln levande i företagets gateway när anslutningen går online.
- SP:n och den specifika företagets gateway använder en överenskommen autentiseringsprocess innan de tillåter att tunneln mellan fjärrnätverket och det lokala nätverket existerar.
- L2 fungerar på dataanslutningslagret (eller det är ordet iOSI referensdokumentation). Det möjliggör således användare som NetBEUI eller 1PX istället för IP, såsom PPTP.
PAP – Password Authentication Protocol
Först ansluter klienten och servern. Sedan skickar klienten ett paket med användarens autentiseringsuppgifter (lösenord och användarnamn). Sedan kommer servern att bevilja eller avslå en anslutningsbegäran, beroende på dess förmåga att autentisera begäran, som kan avvisas eller verifieras.
CHAP – Challenge Handshake Authentication Protocol
Det här protokollet har ett annat tillvägagångssätt för autentiseringsprocessen. Här skickar klienten regelbundet ett autentiseringspaket till servern. Klienten och servern utbyter dessa CHAP-paket regelbundet för att verifiera användarens autentiseringsuppgifter i båda ändar. Så länge autentiseringen är giltig förblir anslutningen online.
Översikt över L2F-protokollsäkerhet
Den virtuella uppringningstjänsten initieras. Sedan kommer internetleverantören att bedriva autentisering. Internetleverantören bryr sig bara om två saker: användarens identitet och hemgatewayen de vill nå. Så den försöker upptäcka båda sakerna när samtalet kommer in.
När dessa två informationsbitar blir uppenbara ansluter de till den önskade hemgatewayen baserat på insamlade autentiseringsdata. Den sista touchen sker vid hemmagatewayen, som accepterar eller avvisar anslutningen.
Hemmaporten har ytterligare ett jobb att göra. Det måste skydda anslutningen mot tredje part (snooper,hackare, regeringar) för att upprätta tunnlar till hemmaporten, avlyssna den nuvarande tunneln eller kapa den.
Skapandet av tunneln behöver en autentiseringsprocess mellan ISP:n och hemgatewayen. Detta är autentiseringsbiten som skyddar tunneln mot skadliga attacker. Och det är därför L2F är så värdefullt. Det kanske inte framgår av denna beskrivning.
Ändå är faktum att dessaautentiseringsprocesser kan bli säkrare om du kan dra fördel av flera protokoll samtidigtför att säkra dem. L2F ger oss det alternativet, och det kan fungera tillsammans med många olika protokoll. Således gör det autentiseringsprocesserna snabbare och säkrare. Dess integration med dem är sömlös.
L2F:s proffs
- Den garanterar överföringssäkerhet och skapar en säker tunnel från slut till ände för datainkapsling.
- Det kan förbättra säkerheten för andra protokoll.
- Den stöder användarautentisering för andra protokoll som RADIUS, QoS och dynamisk adressallokering.
- L2F-tunnlarna stöder flera anslutningar.
L2F:s nackdelar
- Integritetsskydd i L2F bygger på protokollets förmåga att tunnla informationen istället för att tillhandahålla kryptering.
- Protokollet saknar dataflödeskontroll.
- Det här protokollet kan inte skryta med AV (Attribut-värde) pardöljning.