Das Layer 2 Forwarding (L2F)-Protokoll ist eine medienunabhängige Technologie, die bei Cisco Systems entwickelt wurde. Es istein medienunabhängiges Tunnelprotokoll, das in den ersten Entwicklungsphasen von Virtual Private Networks zum Leben erweckt wurde. Es ermöglicht die Existenz von VPNs über einem öffentlichen Netzwerk (z. B. dem Internet), indem Pakete der Datenverbindungsschicht in Webprotokolle wie SLIP (Serial Line Internet Protocol) oder PPP (Point-to-Point Protocol) umgewandelt werden.
Server können L2F für Dinge wie Benutzerauthentifizierung durch dynamische Adresszuweisung, Remote Authentication Dial-In User Service (RADIUS) und Quality of Service (QoS) verwenden.Das Internetwork-Betriebssystem von Cisco implementiert L2F auch in Routern.
Der Tunneling-Ansatz zur Erstellung privater Netzwerke ist unabhängig vom Internetprotokoll (IP). Daher kann dieselbe Technologie sichere Tunnel in anderen Netzwerkkontexten wie Geldautomaten oder Frame Relay erstellen. Wenn Sie mehr erfahren möchten, lassen Sie uns tiefer in die Materie eintauchen.
Das L2F-Protokoll: Wie funktioniert es?
Nehmen wir dasPPP-Protokoll. Es verbindet einen DFÜ-Client mit dem NAS (Kurzform für Netzwerkzugriffsserver), wenn dieser den Anruf über Layer 2 Forwarding (L2F) empfängt.
Vom Client ausgelöste PPP-Verbindungen werden bei einem PPP-Dienstanbieter beendetNAS (Netzwerkzugriffsserver)– Dies ist normalerweise ein ISP (Internet Service Provider).L2F ermöglicht es dem Client, über den Netzwerkzugriffsserver hinaus eine Verbindung zu einem Remote-Knoten herzustellen. Dieser Mechanismus ermöglicht es dem Client, sich so zu verhalten, als ob er direkt mit diesem Remote-Knoten verbunden wäre, anstatt eine Verbindung zum NAS herzustellen.
Innerhalb der L2F-Welt hat das NAS nur eine Aufgabe: Weiterleitungsframes (Punkt-zu-Punkt-Protokoll) vom Client zum entfernten Knoten auszutauschen. Dieser Remote-Knoten in Cisco Speak wird als Home-Gateway bezeichnet.
Das Wichtigste, woran man sich erinnern sollte, ist dasDas L2F-Protokoll von Cisco kann zweifellos über das IP-Protokoll funktionieren, braucht es aber nicht wirklich. Es kann so wie es ist mit anderen Protokollen zusammenarbeiten. Beispielsweise funktioniert es oft zusammen mit VDU (Virtual Dial-Up).
Authentifizierungstypen
L2F authentifiziert Remote-Benutzer mithilfe von PPP sowie anderen Authentifizierungssystemen, die Folgendes umfassen könnenRemote-Authentifizierungs-Einwahlbenutzerdienst (RADIUS)oderTerminal Access Controller-Zugriffskontrollsystem (TACACS).
- Es gibt mehrere Verbindungen in L2F-Tunnelkanälen, was einer der Gründe dafür ist, dass sie sich von PPTP-Tunnelkanälen unterscheiden.
- Die Authentifizierung erfolgt in zwei Schritten. Der ISP führt den ersten Schritt durch, bevor der Tunnel erscheint. Im zweiten Schritt wird der Tunnel im Unternehmens-Gateway zum Leben erweckt, sobald die Verbindung online geht.
- Der SP und das spezifische Unternehmens-Gateway verwenden einen vereinbarten Authentifizierungsprozess, bevor der Tunnel zwischen dem Remote- und dem lokalen Netzwerk aufrechterhalten wird.
- Der L2 arbeitet auf der Datenverbindungsschicht (oder das ist das Wort in derOSI-Referenzdokumentation). Es ermöglicht somit Benutzern wie NetBEUI oder 1PX anstelle von IP, wie PPTP.
PAP – Passwortauthentifizierungsprotokoll
Zunächst stellen der Client und der Server eine Verbindung her. Anschließend sendet der Client ein Paket mit den Anmeldeinformationen des Benutzers (Passwort und Benutzername). Anschließend gewährt oder lehnt der Server eine Verbindungsanfrage ab, abhängig von seiner Fähigkeit, die Anfrage zu authentifizieren, die abgelehnt oder überprüft werden kann.
CHAP – Challenge Handshake Authentication Protocol
Dieses Protokoll verfolgt einen anderen Ansatz für den Authentifizierungsprozess. Dabei sendet der Client dem Server regelmäßig ein Authentifizierungspaket. Der Client und der Server tauschen diese CHAP-Pakete regelmäßig aus, um die Anmeldeinformationen des Benutzers auf beiden Seiten zu überprüfen. Solange die Authentifizierung gültig bleibt, bleibt die Verbindung online.
Überblick über die Sicherheit des L2F-Protokolls
Der virtuelle Einwahldienst wird gestartet. Anschließend wird der ISP die Authentifizierung durchführen. Der ISP kümmert sich nur um zwei Dinge: die Identität des Benutzers und das Home-Gateway, das er erreichen möchte. Daher wird versucht, beide Dinge herauszufinden, sobald der Anruf eingeht.
Sobald diese beiden Informationen sichtbar sind, stellen sie basierend auf den gesammelten Authentifizierungsdaten eine Verbindung zum gewünschten Heim-Gateway her. Der letzte Schliff erfolgt am Heim-Gateway, das die Verbindung akzeptiert oder ablehnt.
Das Home-Gateway hat noch eine zusätzliche Aufgabe zu erfüllen. Es muss die Verbindung vor Dritten (Schnüfflern,Hacker, Regierungen), um Tunnel zum Heimat-Gateway einzurichten, den aktuellen Tunnel abzufangen oder ihn zu kapern.
Die Tunnelerstellung erfordert einen Authentifizierungsprozess zwischen dem ISP und dem Home-Gateway. Dies ist das Authentifizierungsbit, das den Tunnel vor böswilligen Angriffen schützt. Und deshalb ist das L2F so wertvoll. Dies ist aus dieser Beschreibung möglicherweise nicht ersichtlich.
Tatsache ist jedoch, dass dieseAuthentifizierungsprozesse können sicherer werden, wenn Sie mehrere Protokolle gleichzeitig nutzen könnenum sie zu sichern. L2F bietet uns diese Option und kann mit vielen verschiedenen Protokollen zusammenarbeiten. Dadurch werden die Authentifizierungsprozesse schneller und sicherer. Die Integration mit ihnen ist nahtlos.
Die Vorteile von L2F
- Es garantiert Übertragungssicherheit und schafft einen durchgängig sicheren Tunnel für die Datenkapselung.
- Es kann die Sicherheit anderer Protokolle verbessern.
- Es unterstützt die Benutzerauthentifizierung für andere Protokolle wie RADIUS, QoS und Dynamic Address Allocation.
- Die L2F-Tunnel unterstützen mehrere Verbindungen.
Die Nachteile von L2F
- Der Datenschutz bei L2F beruht auf der Fähigkeit des Protokolls, die Informationen zu tunneln, anstatt eine Verschlüsselung bereitzustellen.
- Dem Protokoll fehlt die Datenflusskontrolle.
- Dieses Protokoll verfügt nicht über das Verstecken von AV-Paaren (Attributwert).