寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多第2章 链路层扩展L2TP杨礼珍寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多作业nP.47,思考题6、7、8寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多学习内容n概述n点到点协议PPPn第二层隧道协议L2TP寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多概述n第二层隧道协议(L2TP)是对点对点协议(PPP)的扩展,工作于应用层n PPP不能适应移动办公等场合,因此互联网工程任务组(IETF)制定了L2TP以对PPP进行扩展n L2TP允许客户跨越一个或多个IP网络建立虚拟的点到点链路n L2TP不提供机密性,只提供了对口令等敏感信息的加密方法,以及基于共享秘密的身份认证方法nL2TP和IPSec构建虚拟专用拨号网络(VPDN)寒假来临,不少的高中毕业生和大学在校生都选择去打工。
准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多点到点协议PPPnPPP协议流程寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多认证协议PAP和CHAPnPAP:基于口令的认证方法n账号和口令以明文传输,无法防止窃听、重放和穷举攻击只适合对网络安全要求较低的环境n仅在建立链路阶段使用,在数据传输过程中不能使用寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多CHAPnCHAP是基于挑战的认证协议n挑战口令(challenge) c包含了会话ID和随机数n连接过程中,CHAP不定期向客户端重复发送挑战口令,避免第三方冒充远程客户nCHAP可在链路建立和数据通信阶段多次使用n具有认证功能,但不提供数据机密性寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多第二层隧道协议L2TPnL2TP发展史qL2TP起源于L2F(思科第二层转发)和PPTP(点到点隧道协议)。
q1999年,IETF公布了L2TF的标准RFC 2661q2005年,IETF公布了L2TF的新版本L2TFv3的标准RFC 3931nL2TP处于网络接口层寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP构架n组成:qLAC(L2TP接入集中器)qLNS(L2TP网络服务商)q远程主机q局域网n模式:q强制模式:主机向LAC发送PPP帧,LAC对PPP帧用L2TP封装后转发给LNS,LNS对报文解封后把PPP帧发给内部局域网q自发模式:主机独立运行L2TP,直接与LNS建立隧道寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP构架强制模式(compulsory tunneling mode)寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP构架自发模式(voluntary tunneling mode)寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假。
但是,目前社会上寒假招工的陷阱很多L2TP构架nL2TP的消息类型q数据消息:通过数据通道传输,不保证数据的可靠传输,承载PPP帧q控制消息:通过控制通道传输,保证控制消息的可靠传输,用于L2TP隧道和会话的协商及维护nL2TP连接类型:q控制连接:一条隧道只有一个控制连接q会话:一条隧道可承重多个会话寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP协议流程n建立控制连接:LAC和LNS协商控制连接参数,并利用CHAP验证对方身份n建立会话:q呼入会话:来自远程客户端的呼叫q呼出会话:来自LNS的会话建立请求n数据传输n终止会话n终止控制连接n每个阶段可能需要实体长度为0的确认报文(ZLB ACK报文)寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP隧道建立、呼入会话建立和数据交互例子寒假来临,不少的高中毕业生和大学在校生都选择去打工。
准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的建立控制流程(建立隧道)n建立控制连接流程:qLAC向LNS发起隧道建立请求SCCRQqLNS收到请求后进行应答SCCRPqLAC收到应答后再给LNS返回确认SCCNn建立控制流程中身份认证过程:qLAC向LNS发起隧道建立请求SCCRQ中包含了CHAP中的挑战信息,用于验证对等端身份qLNS的响应SCCRP中包含了“挑战响应”:对CHAP的响应以证明自己的身份,和为验证对方而发出的挑战信息qSCCN报文中包含对SCCR的响应,以证明自己的身份寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的会话建立流程n呼入会话qICRQ:LAC向LNS发出建立会话请求,并协商会话参数qICRP:LNS响应ICRQ,该报文只包含会话IDqICCN:LAC向LNS通告一些参数q确认(可选):LNS返回确认寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的会话建立流程n呼出会话qOCRQ:LNS向LAC发出建立会话请求,要求呼叫某个远程客户。
qOCRP:LAC的响应qOCCN:若呼叫成功,则LNS向LAC发出报文q确认(可选):LNS返回确认寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的数据通信流程n该阶段通信双方互相传送PPP报文:qLAC将远程客户的PPP帧作为L2TP报文的数据区封装在L2TP报文中,通过隧道发送给LNSqLNS还原PPP帧,并发送到PPP链路上寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP协议流程nL2TP隧道的维护:确认对等端的隧道结构依然存在qLAC或LNS发出Hello报文q对应的LNS或LAC发出确认信息nL2TP隧道拆除:q任何一端发出拆链通知StopCCNq对等端返回确认寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的代理认证LAC可以代理LNS认证某个PPP客户的身份,并把认证涉及的信息转发给LNS例:nLAC向PPP客户发送代理认证挑战cnPPP客户对LAC的挑战做出响应r。
nLAC把挑战c和响应r放在ICCN中发送给LNSnLNS认证PPP客户的身份寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的可靠性机制nL2TP保证消息可靠投递的机制和TCP思想一样:q每个L2TP报文都包含序号,以防乱序和丢失qL2TP使用肯定确认防止报文丢失qL2TP使用滑动窗口技术提高通信效率并进行流量控制qL2TP使用慢启动策略防止拥塞寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的报文格式(符号含义见p.40 )寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的报文格式n负载部分q对数据消息为PPP帧q对控制消息为AVP形式nAVP:L2TP中的控制消息中的所有消息都以AVP的形式存在nAVP格式:参见课本p.41 图2.18寒假来临,不少的高中毕业生和大学在校生都选择去打工准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的报文格式nAVP的属性值加密方式:qH比特设置为1q首先由原来的属性生成HAS(隐藏AVP子格式)q将HAS划分为16字节的分组p1,p2,piq加密过程如下:nc1=p1 MD5(AV|S|RV)nc2=p2 MD5(S|c1)nnci=pi MD5(S|ci-1)n其中AV是属性类型,S是通信双方的共享秘密,RV为随机向量q加密后的属性值字段是:c1|c2|ci寒假来临,不少的高中毕业生和大学在校生都选择去打工。
准备过一个充实而有意义的寒假但是,目前社会上寒假招工的陷阱很多L2TP的安全性分析n不提供对PPP数据的机密性和完整性保护,基于共享秘密,可对控制消息的属性值进行加密n基于共享秘密,CHAP提供了端点身份认证功能n未提供共享秘密的生成方法nL2TP和IPSec的结合。