LNS
Transcripción
LNS
FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Tema 4 Tunneling T li y Redes Privadas Virtuales S Segunda d parte t Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras 43 . FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales L2TP (Layer 2 Tunneling Protocol) Proporciona un método de encapsulamiento para crear un túnel dentro de una red de conmutación de paquetes (normalmente IP) para el transporte de tramas PPP. PPP De esta manera, los extremos de la conexión PPP, unidos a través de la red de conmutación de paquetes, paquetes perciben que se trata de un enlace punto a punto. Se diseñó p para p permitir q que los usuarios remotos marcaran el número de su PSI local y establecieran un túnel con el servidor de la compañía. L2TP permite encapsular mensajes PPP sobre cualquier medio que soporte entrega de datagramas punto a punto (IP, X.25, Frame Relay o ATM). Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 44 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Túneles L2TP Un túnel L2TP es similar a una sesión. Ambos extremos del túnel deben estar de acuerdo con el túnel y negociar variables de configuración: ¾ Asignación de direcciones ¾ Cifrado ¾ Parámetros de compresión. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 45 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Túneles L2TP CA: Centro Acceso a Intenet Tramas PPP CA Tramas PPP CA Tunel L2TP PPP pasa a través d l túnel del ú l Internet Tramas PPP Tunel L2TP Tramas PPP Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 46 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Funciones del Centro Acceso (CA) y del Servidor Acceso (RAS) El Centro de Acceso (CA o PoP, Point of Presence) permite el acceso de los clientes a Internet a través de RTB, RDSI, ADSL y PPP. Un centro de acceso está formado por: ¾ Servidores de acceso remoto (RAS o NAS, Network Access Server) para el acceso de los usuarios conmutados ¾ Servidores S id d caché de hé ¾ Routers de acceso ¾ etc. etc Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 47 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Funciones de un servidor de acceso remoto (RAS) 1 Interfaz con el medio físico 1. 2. Terminación lógica de la sesión LCP 3. Autenticación PPP 4. Agregación de canales según el protocolo Multilink PPP 5 Terminación lógica de la sesión NCP 5. 6. Enrutamiento de paquetes a nivel de red. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 48 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Fundamentos L2TP L2TP se basa en el empleo de RAS (servidores de acceso remoto) y túneles para proporcionar una conexión segura entre un cliente remoto de acceso conmutado y nuestra red. L2TP nos permite separar las funciones de un RAS q cliente-servidor: utilizando una arquitectura ¾ LAC: L2TP Access Concentrator ¾ LNS: L2TP Network Server Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 49 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Estructura cliente/servidor (LAC/LNS) (también puede residir en el cliente remoto) Cliente acceso remoto LAC RTC/RDSI LNS INTERNET Centro Acceso Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 50 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Estructura cliente/servidor (LAC/LNS) LAC LAC: Es E un extremo t d l túnel del tú l L2TP establecido t bl id con ell LNS. LNS Puede P d estar situado en el Centro de Acceso (entre el cliente remoto y el LNS) o bien en el propio cliente remoto. Funciones: ¾ Interfaz con el medio físico ¾ Terminación lógica g de la sesión LCP ¾ Autenticación PPP (puede corresponder al LNS) ¾ Reenvío R í de d paquetes t a/desde /d d ell cliente li t remoto t sobre b l la conexión PPP. ¾ Reenvío de paquetes a/desde el LNS sobre el túnel L2TP Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 51 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Estructura cliente/servidor (LAC/LNS) LNS: Es un extremo del túnel L2TP establecido con el LAC. Funciones: ¾ Autenticación PPP (puede corresponder al LAC). ¾ Negociación de la sesión NCP. ¾ Enrutamiento de ppaquetes q a nivel de red. ¾ Agregación de canales según el protocolo Multilink PPP. ¾ Agrupar múltiples sesiones PPP tuneladas y acceder a la red privada. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 52 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Tipos de sesiones L2TP El protocolo L2TP se puede usar: ¾ de forma obligatoria (y transparente) en el servidor de acceso o ¾ El cliente lo puede utilizar de forma voluntaria siendo independiente del servidor de acceso. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 53 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Sesión L2TP modo obligatorio El cliente se conecta a un PSI que actúa como LAC tunelando los paquetes PPP al LNS. LNS ¾ Para establecer el túnel se utilizan los servicios de un PSI y se establecen con la ayuda de un RAS. RAS ¾ El túnel se crea sin ninguna acción del usuario y sin permitirle i i l ningún i ú tipo i de d elección l ió ¾ Las tramas del cliente remoto son simplemente reenviadas (tuneladas) desde el LAC al LNS de manera transparente. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 54 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Acceso a la red L2TP modo obligatorio Datagrama IP Datagrama IP Trama PPP Trama PPP LAC LNS RTC/RDSI INTERNET Centro Acceso cceso Túnel L2TP PPP Autora: Ana Gómez Oliva/Magdalena González PPP Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 55 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Sesión L2TP modo voluntario El cliente actúa como LAC y establece un túnel L2TP directamente con el LNS después de establecer la conexión con ell PSI. PSI ¾ Los clientes remotos establecen una conexión L2TP directamente con el servidor L2TP en el otro extremo de la red para crear un túnel con un propósito determinado. ¾ El PSI no está involucrado. ¾ En este caso eel oordenador de ado es u un e extremo t e o de del tú túnel e y actúa como cliente (LAC). Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 56 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Acceso a la red L2TP modo voluntario Datagrama IP Datagrama IP Trama PPP Trama PPP LAC LNS RTC/RDSI INTERNET Centro Acceso cceso PPP Túnel L2TP Autora: Ana Gómez Oliva/Magdalena González PPP Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 57 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Tipos de mensajes L2TP Mensajes de control: ¾ Para el establecimiento, mantenimiento y liberación de los túneles. ¾ Utilizan un canal de control fiable dentro de L2TP para garantizar ti l entrega la t Mensajes de datos ¾ Para encapsular las tramas PPP que se están transportando por el túnel. ¾ Los mensajes de datos no se retransmiten y puede haber pérdida de paquetes. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 58 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Estructura de protocolos L2TP Tramas PPP Mensajes M j de d CONTROL L2TP Mensajes M j de d DATOS L2TP Canal de control L2TP (fiable) Canal de datos L2TP (no fiable) Transporte de paquetes (UDP, FR, ATM, etc.) Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 59 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Fiabilidad de los canales de control y datos Todos mensajes de control se numeran para conseguir un canal de control fiable (si en el destino g se retransmite). ) falta alguno Los mensajes de datos pueden usar números de secuencia para reordenar los paquetes y detectar pérdidas. é did Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 60 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Procesos de una comunicación L2TP (1) 1. Conexión y comunicación PPP. El cliente remoto usa el protocolo PPP para establecer la conexión con un PSI. 2. Conexión de control L2TP (Establecimiento del túnel). Es la conexión inicial que hay que establecer entre el LAC y el LNS antes de que se puedan establecer sesiones. El establecimiento de la conexión de control incluye la autenticación de la entidad par por el LNS y la negociación p de las facilidades soportadas. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 61 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Procesos de una comunicación L2TP (2) 3. Establecimiento de la sesión: ¾ Una vez establecido el túnel entre el LAC y el LNS se establece una sesión dentro del túnel por cada conexión PPP existente entre LAC y LNS. Cada sesión se corresponde a un flujo de tramas PPP entre el LAC y el LNS. El LAC solicita al LNS que acepte una sesión para una llamada entrante y el LNS solicita al LAC que acepte una sesión para una llamada saliente. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 62 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Procesos de una comunicación L2TP (3) 3. Establecimiento de la sesión (continuación): ¾ Seguidamente se completa el proceso de autenticación PPP entre el usuario remoto y el LNS. ¾ A continuación se inicia el envío de paquetes NCP p para elegir g y configurar g uno o más p protocolos de red: Ej. IPCP para indicar que el protocolo de red es IP Ej. ECP para encriptar las tramas de la conexión PPP entre el usuario remoto y el LNS LNS. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 63 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Procesos de una comunicación L2TP (4) 4. Envío de datos de usuario: ¾ El usuario puede empezar el envío de datos a través del túnel. Estos datos van cifrados usando las facilidades brindadas por el protocolo PPP. 5. Descifrado de los datos por el LNS ¾ El LNS recibe los datos, los descifra y los entrega a p la red corporativa ¾ Si el LNS envía información al usuario también la cifra antes de enviarla a través del túnel. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 64 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Conexión y comunicación L2TP Cliente acceso remoto LAC RTC/RDSI LNS INTERNET Centro Acceso PPP 1 PPP Autenticación parcial ante el LAC Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 65 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Conexión de control L2TP (modo obligatorio) Cliente acceso remoto LAC RTC/RDSI LNS INTERNET Centro Acceso 2 Ambos extremos obtienen un ID para la sesión del túnel Autora: Ana Gómez Oliva/Magdalena González 3 j L2TP de control Mensaje Mensaje L2TP de control Autenticación y negociación facilidades Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 66 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Envío datos L2TP modo obligatorio 4 Cliente acceso remoto LAC LNS RTC/RDSI INTERNET Centro Acceso Datos usuario Destino final datagrama g Flag Dir. Ctr Protoc. TCP Información IP TCP Información IP TCP Información FCS Flag Trama PPP (los campos de dirección y control puede haberse negociado que no aparezcan) Flag Dir. Ctr Protoc. Autora: Ana Gómez Oliva/Magdalena González IP TCP Información FCS Flag Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 67 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Encapsulado de datos L2TP en túnel Cliente acceso remoto LAC LNS RTC/RDSI INTERNET Centro Acceso 5 Flag Dir. Ctr Protoc. IP TCP Destino: el otro extremo del túnel Información FCS Flag PPP IP TCP Información Se eliminan los Flags y el FCS de la trama PPP L2TP PPP IP TCP Información Encapsulado L2TP UDP L2TP PPP IP TCP Información Encapsulado UDP IP UDP L2TP PPP IP TCP Información Nuevo datagrama Encapsulado a nivel de enlace (Ethernet o PPP) Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 68 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Cabecera L2TP 0 1 T L 2 3 0 4 5 6 7 8 9 S 0 O P 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 0 Versión Longitud total del mensaje (opc.) ID túnel (local) ID sesión (local) N(s) (opc.) N(r) (opc.) Longitud relleno (opc.) Relleno T (Message Type) L (Used (U d Length) L th) Especifica si es un mensaje de control (0) o datos (1). I di sii está Indica tá presente t ell campo d de L Longitud it d (l (los mensajes j d de control deben tener configurado este bit). S (Used Sequence) Indica si están presentes los campos N(s) y N(r) (los mensajes de control deben tener configurado este bit) bit). O (Used Offset) Indica si está presente el campo de Longitud de relleno (los mensajes de Control deben tener configurado este bit.) P (Priority) El mensaje debe recibir tratamiento preferencial en la cola local de transmisión. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 69 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Autenticación y cifrado en L2TP L2TP no especifica qué algoritmos de cifrado o autenticación deberíamos usar. Es la sesión PPP subyacente b t la l que negocia i los l algoritmos. l it Algoritmos de autenticación PPP: ¾ PAP: PAP identificación id tifi ió + contraseña t ñ en claro l ¾ CHAPv2: desafío/respuesta. ¾ EAP: basado en el empleo de certificados Algoritmos de cifrado: se emplea ECP o MPPE para encriptar todos los datos que se pasan a través de Internet. Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 70 FUNDAMENTOS DE TELEMATICA II: Tunneling y Redes Privadas Virtuales Resumen características L2TP Combina en un único canal el control y los datos Trabaja j sobre UDP Intercambio de autenticación encriptada L2TP no es un protocolo VPN, VPN ya que le falta la seguridad de una verdadera VPN, sin embargo se puede combinar con IPSec para crear un entorno seguro (L2TP/IPSec) Autora: Ana Gómez Oliva/Magdalena González Prohibida la reproducción total o parcial sin autorización expresa de las autoras. 71