LNS

Transcripción

LNS

FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales
Tema 4
Tunneling
T
li y
Redes Privadas Virtuales
S
Segunda
d parte
t
Autora: Ana Gómez Oliva/Magdalena González
Prohibida la reproducción total o parcial sin autorización expresa de las autoras
43
.
L2TP (Layer 2 Tunneling Protocol)
Proporciona un método de encapsulamiento para crear un túnel
dentro de una red de conmutación de paquetes (normalmente IP)
para el transporte de tramas PPP.
PPP
De esta manera, los extremos de la conexión PPP, unidos a través
de la red de conmutación de paquetes,
paquetes perciben que se trata de un
enlace punto a punto.
Se diseñó p
para p
permitir q
que los usuarios remotos marcaran el
número de su PSI local y establecieran un túnel con el servidor de
la compañía.
L2TP permite encapsular mensajes PPP sobre cualquier medio
que soporte entrega de datagramas punto a punto (IP, X.25,
Frame Relay o ATM).
Prohibida la reproducción total o parcial sin autorización expresa de las autoras.
44
Túneles L2TP
Un túnel L2TP es similar a una sesión.
Ambos extremos del túnel deben estar de acuerdo con
el túnel y negociar variables de configuración:
¾ Asignación de direcciones
¾ Cifrado
¾ Parámetros de compresión.
45
Túneles L2TP
CA: Centro Acceso a Intenet
Tramas PPP
CA
Tramas PPP
CA
Tunel L2TP
PPP pasa a través
d l túnel
del
ú l
Internet
Tramas PPP
Tunel L2TP
Tramas PPP
46
Funciones del Centro Acceso (CA) y
del Servidor Acceso (RAS)
El Centro de Acceso (CA o PoP, Point of Presence) permite
el acceso de los clientes a Internet a través de RTB, RDSI,
ADSL y PPP.
Un centro de acceso está formado por:
¾ Servidores de acceso remoto (RAS o NAS, Network
Access Server) para el acceso de los usuarios
conmutados
¾ Servidores
S id
d caché
de
hé
¾ Routers de acceso
¾ etc.
etc
47
Funciones de un servidor de acceso remoto
(RAS)
1 Interfaz con el medio físico
1.
2. Terminación lógica de la sesión LCP
3. Autenticación PPP
4. Agregación de canales según el protocolo Multilink PPP
5 Terminación lógica de la sesión NCP
5.
6. Enrutamiento de paquetes a nivel de red.
48
Fundamentos L2TP
L2TP se basa en el empleo de RAS (servidores de
acceso remoto) y túneles para proporcionar una
conexión segura entre un cliente remoto de acceso
conmutado y nuestra red.
L2TP nos permite separar las funciones de un RAS
q
cliente-servidor:
utilizando una arquitectura
¾ LAC: L2TP Access Concentrator
¾ LNS: L2TP Network Server
49
Estructura cliente/servidor (LAC/LNS)
(también puede residir en el
cliente remoto)
Cliente acceso
remoto
LAC
RTC/RDSI
LNS
INTERNET
Centro
Acceso
50
LAC
LAC: Es
E un extremo
t
d l túnel
del
tú l L2TP establecido
t bl id con ell LNS.
LNS Puede
P d
estar situado en el Centro de Acceso (entre el cliente remoto y el
LNS) o bien en el propio cliente remoto.
Funciones:
¾
Interfaz con el medio físico
¾ Terminación lógica
g
de la sesión LCP
¾ Autenticación PPP (puede corresponder al LNS)
¾ Reenvío
R
í de
d paquetes
t
a/desde
/d d ell cliente
li t remoto
t sobre
b
l
la
conexión PPP.
¾ Reenvío de paquetes a/desde el LNS sobre el túnel L2TP
51
LNS: Es un extremo del túnel L2TP establecido con el LAC.
Funciones:
¾ Autenticación PPP (puede corresponder al LAC).
¾ Negociación de la sesión NCP.
¾ Enrutamiento de ppaquetes
q
a nivel de red.
¾ Agregación de canales según el protocolo Multilink PPP.
¾ Agrupar múltiples sesiones PPP tuneladas y acceder a
la red privada.
52
Tipos de sesiones L2TP
El protocolo L2TP se puede usar:
¾ de forma obligatoria (y transparente) en el servidor de
acceso o
¾ El cliente lo puede utilizar de forma voluntaria siendo
independiente del servidor de acceso.
53
Sesión L2TP modo obligatorio
El cliente se conecta a un PSI que actúa como LAC
tunelando los paquetes PPP al LNS.
LNS
¾ Para establecer el túnel se utilizan los servicios de un
PSI y se establecen con la ayuda de un RAS.
RAS
¾ El túnel se crea sin ninguna acción del usuario y sin
permitirle
i i l ningún
i ú tipo
i de
d elección
l
ió
¾ Las tramas del cliente remoto son simplemente
reenviadas (tuneladas) desde el LAC al LNS de manera
transparente.
54
Acceso a la red L2TP modo obligatorio
Datagrama IP
Datagrama IP
Trama PPP
Trama PPP
LAC
LNS
RTC/RDSI
INTERNET
Centro
Acceso
cceso
Túnel L2TP
PPP
PPP
55
Sesión L2TP modo voluntario
El cliente actúa como LAC y establece un túnel L2TP
directamente con el LNS después de establecer la conexión
con ell PSI.
PSI
¾ Los clientes remotos establecen una conexión L2TP
directamente con el servidor L2TP en el otro extremo de
la red para crear un túnel con un propósito determinado.
¾ El PSI no está involucrado.
¾ En este caso eel oordenador
de ado es u
un e
extremo
t e o de
del tú
túnel
e y
actúa como cliente (LAC).
56
Acceso a la red L2TP modo voluntario
Datagrama IP
Datagrama IP
Trama PPP
Trama PPP
LAC
LNS
RTC/RDSI
INTERNET
Centro
Acceso
cceso
PPP
Túnel L2TP
PPP
57
Tipos de mensajes L2TP
Mensajes de control:
¾ Para el establecimiento, mantenimiento y liberación de
los túneles.
¾ Utilizan un canal de control fiable dentro de L2TP para
garantizar
ti
l entrega
la
t
Mensajes de datos
¾ Para encapsular las tramas PPP que se están
transportando por el túnel.
¾ Los mensajes de datos no se retransmiten y puede
haber pérdida de paquetes.
58
Estructura de protocolos L2TP
Tramas PPP
Mensajes
M
j de
d CONTROL
L2TP
Mensajes
M
j de
d DATOS
L2TP
Canal de control L2TP
(fiable)
Canal de datos L2TP
(no fiable)
Transporte de paquetes (UDP, FR, ATM, etc.)
59
Fiabilidad de los canales de control y datos
Todos mensajes de control se numeran para
conseguir un canal de control fiable (si en el destino
g
se retransmite).
)
falta alguno
Los mensajes de datos pueden usar números de
secuencia para reordenar los paquetes y detectar
pérdidas.
é did
60
Procesos de una comunicación L2TP (1)
1. Conexión y comunicación PPP.
El cliente remoto usa el protocolo PPP para establecer la
conexión con un PSI.
2. Conexión de control L2TP (Establecimiento del túnel).
Es la conexión inicial que hay que establecer entre el LAC y
el LNS antes de que se puedan establecer sesiones.
El establecimiento de la conexión de control incluye la
autenticación de la entidad par por el LNS y la negociación
p
de las facilidades soportadas.
61
3. Establecimiento de la sesión:
¾ Una vez establecido el túnel entre el LAC y el LNS
se establece una sesión dentro del túnel por cada
conexión PPP existente entre LAC y LNS.
Cada sesión se corresponde a un flujo de tramas PPP
entre el LAC y el LNS.
El LAC solicita al LNS que acepte una sesión para una
llamada entrante y el LNS solicita al LAC que acepte una
sesión para una llamada saliente.
62
3. Establecimiento de la sesión (continuación):
¾ Seguidamente
se completa el proceso de
autenticación PPP entre el usuario remoto y el
LNS.
¾ A continuación se inicia el envío de paquetes NCP
p
para
elegir
g y configurar
g
uno o más p
protocolos de
red:
Ej. IPCP para indicar que el protocolo de red es IP
Ej. ECP para encriptar las tramas de la conexión PPP
entre el usuario remoto y el LNS
LNS.
63
4. Envío de datos de usuario:
¾ El usuario puede empezar el envío de datos a
través del túnel. Estos datos van cifrados usando
las facilidades brindadas por el protocolo PPP.
5. Descifrado de los datos por el LNS
¾ El LNS recibe los datos, los descifra y los entrega a
p
la red corporativa
¾ Si el LNS envía información al usuario también la
cifra antes de enviarla a través del túnel.
64
Conexión y comunicación L2TP
Cliente acceso
remoto
LAC
RTC/RDSI
LNS
INTERNET
Centro
Acceso
PPP
1
PPP
Autenticación
parcial ante el LAC
65
Conexión de control L2TP
(modo obligatorio)
Cliente acceso
remoto
LAC
RTC/RDSI
LNS
INTERNET
Centro
Acceso
2
Ambos extremos
obtienen un ID para la
sesión del túnel
3
j L2TP de control
Mensaje
Mensaje L2TP de control
Autenticación
y negociación
facilidades
66
Envío datos L2TP modo obligatorio
4
Cliente acceso
remoto
LAC
LNS
RTC/RDSI
INTERNET
Centro
Acceso
Datos usuario
Destino final
datagrama
g
Flag Dir. Ctr Protoc.
TCP
Información
IP TCP
Información
IP TCP
Información
FCS
Flag
Trama PPP (los campos de dirección y control puede haberse
negociado que no aparezcan)
Flag Dir. Ctr Protoc.
IP TCP
Información
FCS
Flag
67
Encapsulado de datos L2TP en túnel
Cliente acceso
remoto
LAC
LNS
RTC/RDSI
INTERNET
Centro
Acceso
5
Flag Dir. Ctr Protoc. IP TCP
Destino: el otro
extremo del
túnel
Información
FCS
Flag
PPP IP TCP
Información
Se eliminan los Flags y el FCS de la trama PPP
L2TP PPP IP TCP
Información
Encapsulado L2TP
UDP L2TP PPP IP TCP
Información
Encapsulado UDP
IP UDP L2TP PPP IP TCP
Información
Nuevo datagrama
Encapsulado a nivel de enlace (Ethernet o PPP)
68
Cabecera L2TP
0
1
T L
2
3
0
4
5
6
7
8
9
S 0 O P
10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
0
Versión
Longitud total del mensaje (opc.)
ID túnel (local)
ID sesión (local)
N(s) (opc.)
N(r) (opc.)
Longitud relleno (opc.)
Relleno
T (Message Type)
L (Used
(U d Length)
L
th)
Especifica si es un mensaje de control (0) o datos (1).
I di sii está
Indica
tá presente
t ell campo d
de L
Longitud
it d (l
(los mensajes
j d
de
control deben tener configurado este bit).
S (Used Sequence) Indica si están presentes los campos N(s) y N(r) (los mensajes de
control deben tener configurado este bit)
bit).
O (Used Offset)
Indica si está presente el campo de Longitud de relleno (los
mensajes de Control deben tener configurado este bit.)
P (Priority)
El mensaje debe recibir tratamiento preferencial en la cola local de
transmisión.
69
Autenticación y cifrado en L2TP
L2TP no especifica qué algoritmos de cifrado o
autenticación deberíamos usar. Es la sesión PPP
subyacente
b
t la
l que negocia
i los
l algoritmos.
l it
Algoritmos de autenticación PPP:
¾ PAP:
PAP identificación
id tifi
ió + contraseña
t
ñ en claro
l
¾ CHAPv2: desafío/respuesta.
¾ EAP: basado en el empleo de certificados
Algoritmos de cifrado: se emplea ECP o MPPE para
encriptar todos los datos que se pasan a través de
Internet.
70
Resumen características L2TP
Combina en un único canal el control y los datos
Trabaja
j sobre UDP
Intercambio de autenticación encriptada
L2TP no es un protocolo VPN,
VPN ya que le falta la
seguridad de una verdadera VPN, sin embargo se
puede combinar con IPSec para crear un entorno
seguro (L2TP/IPSec)
71

LNS

Transcripción

Documentos relacionados

10 Pautas Para: “Ser Mejores Padres”