Руководство по технологиям объединенных сетей Cisco (953103), страница 50
Текст из файла (страница 50)
Все одноранговые устройства протокола 1Рбес сначала генерируют псевдослучайное число, называемое нонсом (попсе). После этого ноно шифруется с использованием общедоступного ключа другой стороны. Способность другой стороны расшифровать ноно с использованием своего конфиденциального ключа и восстановить хэшнагрузку означает положительный результат аутентификации при 1КЕ-обмене. Одноранговым устройствам протокола 1РЯес может потребоваться внеполосный механизм для предварительного обмена своими общедоступными ключами. ° Аутентификация с помощью цифровой подписи. Хэш-нагрузка, используемая для 1КЕ-аутентификации, подписывается частным ключом устройства протокола 1Рбес.
Во время 1КЕ-аутентификации каждая сторона выполняет хэшпроверку после расшифровки хэш-нагрузки с использованием частного ключа однорангового устройства, который получается из цифрового сертификата этого устройства. Использование цифрового сертификата обеспечивает защиту от несанкционированного изменения информации. Первая 1КЕ-фаза обмена может быть выполнена в главном или в агрессивном режиме. Главный режим использует минимум шесть пакетов, а агрессивный режим использует минимум три пакета.
Главный режим более безопасен чем агрессивный, однако он менее эффективен. Во второй фазе 1КЕ-обмена, также известной как быстрый режим, два Ъ'РН- устройства обсуждают и устанавливают параметры безопасности ЗА протокола 1РБес. Этот обмен защищен установкой параметров в первой фазе и все сообщения, которыми обмениваются устройства, подвергаются аутентификации. На этом этапе извлекаются также ключи шифрования данных, используемые протоколом 1Рбес. При этом может быть выполнен дополнительный (эН-обмен для генерирования новых заранее согласованных секретных кодов, которые используются для получения ключей шифрования данных протокола 1Рбес.
Новые ключи, сгенерированные при этом 1)Н- обмене, независимы от прежних ключей, сгенерированных в первой фазе. Это дополнительное средство обеспечения безопасности называется совершенной опережающей секретностью (Рег(есг Ропчап) Весгесу — РРВ). После обмена в быстром режиме устанавливаются два односторонних набора параметров ЯА протокола 1Рбес.
Протокол 1РЯес использует их для зашиты потоков данных. Протокол создания туннелей на 2-м уровне (~.ауег 2 Типпейпя Рго1осо! — ~2ТР) Группе 1ЕТР были представлены конкурирующие предложения от компаний М)- сгозой и С)зсо Яузгетз, касающиеся спецификации протокола, который обеспечивал бы безопасность передачи 1Р-дейтаграмм по неконтролируемым и небезопасным (цпггцзгег)) сетевым доменам. Предложение М1сгозой представляло собой попытку 270 Часть Ш. Технологии распределенных сетей стандартизировать туннельный протокол типа "точка-точка" (Ро!пг-го-Ро!пг Тцппе!!пя Ргогосо! — РРТР), который был создан этой компанией. Корпорация Сасо также предложила протокол, созданный для выполнения аналогичной функции. !ЕТР соединила лучшие черты этих протоколов и определила открытый стандарт Е2ТР.
Протокол РРР устанавливает на 2-м уровне канал типа "точка-точка", в котором соединения протокола РРР выполняют инкапсуляцию и транспортировку пакетов различных протоколов. Сервер доступа к сети (Хецчог!г Ассезз Беггег — ХАЯ) является терминирующим устройсшом канала типа "точка-точка" на 2-м уровне, установленного пользователями с применением различных технологий, таких как удаленный доступ через общедоступную сеть РОТБ, !Я)Х и АРЯ . Сервер ХАБ является терминирующей точкой как каналов 2-го уровня типа "точка-точка'*, так и сеансов протокола РРР. Прн использовании протокола Е2ТР терминирующие точки канала 2-го уровня и сеанс протокола РРР могут быть отделены друг от друга различными устройствами, соединенными между собой через !Р-сети.
Иными словами, пользователи могут осуществлять доступ к локальному серверу ХАЯ, а сеанс РРР может быть расширен посредством соединения протокола 1.2ТР через общую инфраструктуру, такую как сеть 1пгегпег или Ргате йе!ау, с домашним шлюзом, который обрабатывает сеанс РРР я управляет им. При этом пользователи получают в свое распоряжение те же самые функция, но оплачивают только услуги местной телефонной сети. Протокол Е2ТР имитирует соединение типа "точка-точка" путем инкапсуляции дейтаграмм протокола РРР для их транспортировки по маршрутизируемым сетям или по объединенным сетям. Когда дейтаграммы протокола РРР поступают в пункт назначения, инкапсуляция удаляется н дейтаграммы восстанавливаются в своем первоначальном формате.
Таким образом, сеанс связи типа "точка-гочка*' может поддерживаться через не связанные непосредственно сети. Такой метод называется туннелированием. Ниже описаны ключевые компоненты соединения протокола 12ТР. ° Сервер доступа к сети (Хецгог(г Ассея Беггег — ХАЯ). Это устройство предоставляет удаленный доступ по требованию пользователям локальных сетей. Оно является терминирующей точкой для каналов типа "точка-точка", установленных конечными пользователями, обычно с использованием линий РАТХ или !ЯРХ.
° Концентратор доступа протокола 12ТР (1.2ТР Ассеаз Сопсепггагог — 1АС). Этот узел обычно выполняет функции инициатора установки туннеля протокола Е2ТР к сетевому серверу протокола Е2ТР. Концентратор 1АС пересылает пакеты между конечными пользователями и серверами ЕХБ. ° Сетевой сервер протокола 1.2ТР (1.2ТР Хегчгог(г Беггег — АЛЧИ).
Этот узел функционирует в качестве терминирующей точки сеансов протокола РРР, проходящих по туннелю Е2ТР, инициированному концентратором 1АС. Концентратор 1АС и сервер ЕХБ определяют только логические функции соединения протокола 12ТР. Их физическое расположение зависит от конкретных топологий реализации и предъявляемых к ннм требований, как описано в последующих разделах.
Топологии реализации Протокол Е2ТР может быть реализован в двух различных топологиях: э принудительное туннелированне илн прозрачное для клиента туннелирование; ° добровольное туннелирование или туннелирование, известное клиенту. Глава 18. Виртуальные частные сети Различие между >тими двумя топологиями состоит в том, известно ли клиентскому устроис>ву. используюпзсму протокол 1.2ТР лля лос>упа к удаленной ости, что сс соединение туцнелируезся.
Физическое расположение концентраторов 1АС в этих топологиях разлнч>ю. Принудительное туннелирование Принудитслыюс зунпелировш>ие харакгсризуется распределением кон>зснтраторов 1.ЛС в цепосрсдствешюй близости к удаленным пользователям. Такое географическое разлслснис предназначено зыя уменьшения расходов «а междугородную и междунаролнук> телефонную связь, которые в против>юи случае были бы возложены на улаленных пользователей, осущсствляюших улаленный доступ к пегпральпо расположенному мес> ному концентратору Е.ЛС, Как ш>каза>ю на рис.
1К4, улалспным пользователям не трсоуется нспосрелстаснно поддерживать протокол С2ТР. Они лишь устанавливают сеанс связи типа "точка- точка" с сервером !чЛЯ, который также является концентратором 1.ЛС, использук>- пзим протокол РРР. При:пом пользователь ипкапсулируег! Р-дейл раммы во фрсймы протокола РРР. Концентратор СЛС осу>цествлясг обмен сооб>пениями протокола РРР с удаленным пользователем и устанавливает туннель протокола 1.2ТР с сервером 1ч>Я, через который прохолят сообшсння протокола РРР улалепцои> пользователя, Концентратор !.АС может также выполнять ауте>пифика>гию конечных пользовшслсй и использовать ицформапию конечных пользователей, такую как имя ломсна, для направления коне шых польюпатслей ца соотвстс> вукнцис серверы 1.!ч1з.
Сервер НАБЕ Концентратор гас Сервер гни Ф Сеть '. а>Яйся Сеть РпТНЕ>пей > Щ папвайдеаа БР Конечный рппративная сеть пользователь П Туннель протокола Е2ТР Рпг. И4. !Грянули>аемаые мзанв>а прап>аким Е2ТР Сервер СХб прслсшаляс> собой шлюз пользователя к е>о ломшпцсй сети. Он является выходной точкои туннеля; и его функции входи> удаление инкапсузшции про>окола 1.2ТР и прслосзшыепие улалепному пользователю доступа к ссги. Как видно из з>о>о сценария, у конечного пользователя нет выбора. а туннель протокола 1.2ТР. установленный сервером ',МЛЬ, подлсрживаюшим ! 2ТР, является прозрачным для конечных пользователей. Туннелирование по желанию пользователя Как показано па рис. 18.5, функции концентратора СЛС выполняются на клиентском компьютере, а сослицепис протокола 1 2ТР инициируется конечным пользователем.
Клиент сначала получает 1Р-соединение с сервером НЛб от локального 1пгегпегпровайдсра или полсоедипястся к сегменту локальной се>и ! Лй1. После зто>о он ипициируе> соединение с сервером ! 1Чб, которь>й является териинируюшей точкой >унпеля протокола 12ТР и расширенною сеанса протокола РРР. 272 Часть П1. Технологии распределенных сетей Концентратор Сервер ГАС нль Сервер + гнв Сеть Г,КЗ(фф~ У РВТИЛВСН ' Ф Сеть ЬР ф Конечный рпорагивная сел пользователь Концентратор ГАС Сервер гни .„е АЩЙ~~ Локальная ', Сеть 8Р Конечный сеть ГАН ' Г пользователь Туннель протокола ь2ТР ) рпорвтивная сеть Рнг 1а05 1гнлет нлитакит 121Р, гоюинаемыела лгеланию лтк~ыанатезл Соединения протокола ~ 2ТР, защищенные посредством 1РЗес ЧРМ-сети в МР~ 8-сетях НР'ч-ости, ис~ольгующис протоколы 1РВес и 1.2ТР, ояисащгыс в нрсдыдуьчих раислах, часто цоллсрживаюгся и управляются промьшшснными потребителями.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
