安全协议第2章链路层扩展.ppt

学习内容 概述 点到点协议PPP 第二层隧道协议L2TP * * 第2章 链路层扩展L2TP 杨礼珍 作业 P.47，思考题6、7、8 概述 第二层隧道协议（L2TP）是对点对点协议(PPP）的扩展，工作于应用层。 PPP不能适应移动办公等场合，因此互联网工程任务组（IETF）制定了L2TP以对PPP进行扩展。 L2TP允许客户跨越一个或多个IP网络建立虚拟的点到点链路。 L2TP不提供机密性，只提供了对口令等敏感信息的加密方法，以及基于共享秘密的身份认证方法。 L2TP和IPSec构建虚拟专用拨号网络（VPDN）。 点到点协议PPP PPP协议流程 认证协议PAP和CHAP PAP：基于口令的认证方法。 账号和口令以明文传输，无法防止窃听、重放和穷举攻击。只适合对网络安全要求较低的环境。 仅在建立链路阶段使用，在数据传输过程中不能使用。 CHAP CHAP是基于挑战的认证协议。 挑战口令(challenge) c包含了会话ID和随机数。 连接过程中，CHAP不定期向客户端重复发送挑战口令，避免第三方冒充远程客户。 CHAP可在链路建立和数据通信阶段多次使用。 具有认证功能，但不提供数据机密性。 第二层隧道协议L2TP L2TP发展史 L2TP起源于L2F(思科第二层转发)和PPTP（点到点隧道协议）。 1999年，IETF公布了L2TF的标准RFC 2661。 2005年，IETF公布了L2TF的新版本L2TFv3的标准RFC 3931。 L2TP处于网络接口层 L2TP构架 组成： LAC（L2TP接入集中器） LNS（L2TP网络服务商） 远程主机 局域网 模式： 强制模式：主机向LAC发送PPP帧，LAC对PPP帧用L2TP封装后转发给LNS，LNS对报文解封后把PPP帧发给内部局域网。 自发模式：主机独立运行L2TP，直接与LNS建立隧道。 L2TP构架—强制模式(compulsory tunneling mode) L2TP构架—自发模式（voluntary tunneling mode） L2TP构架 L2TP的消息类型 数据消息：通过数据通道传输，不保证数据的可靠传输，承载PPP帧。 控制消息：通过控制通道传输，保证控制消息的可靠传输，用于L2TP隧道和会话的协商及维护。 L2TP连接类型： 控制连接：一条隧道只有一个控制连接。 会话：一条隧道可承重多个会话。 L2TP协议流程 建立控制连接：LAC和LNS协商控制连接参数，并利用CHAP验证对方身份。 建立会话： 呼入会话：来自远程客户端的呼叫 呼出会话：来自LNS的会话建立请求 数据传输 终止会话 终止控制连接 每个阶段可能需要实体长度为0的确认报文（ZLB ACK报文） L2TP隧道建立、呼入会话建立和数据交互例子 L2TP的建立控制流程（建立隧道） 建立控制连接流程： LAC向LNS发起隧道建立请求SCCRQ LNS收到请求后进行应答SCCRP LAC收到应答后再给LNS返回确认SCCN 建立控制流程中身份认证过程： LAC向LNS发起隧道建立请求SCCRQ中包含了CHAP中的挑战信息，用于验证对等端身份。 LNS的响应SCCRP中包含了“挑战响应”：对CHAP的响应以证明自己的身份，和为验证对方而发出的挑战信息。 SCCN报文中包含对SCCR的响应，以证明自己的身份。 L2TP的会话建立流程 呼入会话 ICRQ：LAC向LNS发出建立会话请求，并协商会话参数 ICRP：LNS响应ICRQ，该报文只包含会话ID。 ICCN：LAC向LNS通告一些参数 确认（可选）：LNS返回确认。 L2TP的会话建立流程 呼出会话 OCRQ：LNS向LAC发出建立会话请求，要求呼叫某个远程客户。 OCRP：LAC的响应。 OCCN：若呼叫成功，则LNS向LAC发出报文。 确认（可选）：LNS返回确认。 L2TP的数据通信流程 该阶段通信双方互相传送PPP报文： LAC将远程客户的PPP帧作为L2TP报文的数据区封装在L2TP报文中，通过隧道发送给LNS。 LNS还原PPP帧，并发送到PPP链路上。 L2TP协议流程 L2TP隧道的维护：确认对等端的隧道结构依然存在 LAC或LNS发出Hello报文 对应的LNS或LAC发出确认信息。 L2TP隧道拆除： 任何一端发出拆链通知StopCCN 对等端返回确认 L2TP的代理认证 LAC可以代理LNS认证某个PPP客户的身份，并把认证涉及的信息转发给LNS。 例： LAC向PPP客户发送代理认证挑战c。 PPP客户对LAC的挑战做出响应r。 LAC把挑战c和响应r放在ICCN中发送给LNS。 LNS认证PPP客户的身份。 L2TP的可靠性机制 L2TP保证