шифрлайди. Мижозларни ва VPN серверларини аутентификациялашнинг 
биринчи боскичида L2TP сертификация хизматидан олинган локал серти-
фикатлардан фойдаланади. Мижоз ва сервер сертификатлар билан алма-
шишади ва химояланган уланиш ESP SA (Security Association)HH яратиша-
ди.
L2TP 
компьютерни аутентификациялашни тугатганидан сунг, фойда-
ланувчи сатхда аутентификациялашда фойдаланувчи исмини ва паролни 
очик, куринишда узатувчи хар кандай протокол, хатто РАР, ишлатилиши 
мумкин. Бу тамомила хавфсиз, чунки L2TP бутун сессияни шифрлайди. 
Аммо фойдаланувчини аутентификациялашни, компьютер ва фойдаланув-
чини аутентификациялашда турли калитлардан фойдаланувчи MS CHAP ёр-
дамида утказиш хавфсизликни ошириш мумкин.
L2TP 
протоколининг тахмини буйича провайдернинг масофадан фой-
даланиш сервери ва корпоратив тармок, маршрутизатори орасида туннел 
хрсил килувчи схемалардан фойдаланилади. Бу протокол олдингиларидан 
(РРТР ва L2F протоколларидан) фаркди хрлда охирги абонентлар орасида, 
хар бири алохида иловага ажратилиши мумкин булган, бир неча туннелни 
бирданига очиш имкониятини такдим этади. Бу хусусият туннеллашнинг 
мосланувчанлигини ва хавфсизлигини таъминлайди.
L2TP 
протоколининг спецификациясига биноан провайдернинг масо-
фадан фойдаланиш сервери ролини, L2TP протоколининг мижоз кисмини 
амалга оширувчи ва масофадаги фойдаланувчига унинг локал тармогидан 
Internet 
оркали тармокди фойдаланишни таъминловчи, фойдаланишнинг 
концентратори LAC (L2TP Access Concentrator) бажариши лозим. Локал 
тармокнинг масофадан фойдаланиш сервери сифатида РРР протоколи би-
лан бирга ишлай олувчи платформаларда ишловчи тармок, сервери LNS 
(L2TP Network Server)flaH 
фойдаланилади (8.16-расм).
РРТР ва L2F протоколларидек L2TP протоколида химояланган вирту-
ал канални шакллантириш уч боск,ичда амалга оширилади:
- 
локал тармок,нинг масофадан фойдаланиш сервери билан уланишни 
урнатиш; 
- 
фойдаланувчини аутентификациялаш; 

- 
хдмояланган туннелни конфигурациялаш.
Локал тармок; 
LAC 
фойдаланиш 
концентратори 
Локал тармок; 
Масофадаги 
фойдаланувчи 
8.16-
расм. L2TP протоколи асосида туннеллаш схемаси.
Биринчи боскичда локал тармокнинг масофадан фойдаланиш сервери 
билан уланишни урнатиш учун масофадаги фойдаланувчи провайдер ISP 
билан РРР - улашни бошлаб беради. Провайдер сервери КРда ишловчи 
фойдаланиш концентратори бу уланишни кабул килади ва канал РРРни 
урнатади. Сунгра фойдаланувчи концентратори LAC охирги узел ва унинг 
фойдаланувчисини кисман аутентификациялайди. Провайдер ISP факат 
фойдаланувчининг исмидан фойдаланган хрлда унга L2TP туннеллаш сер-
висининг кераклигини х,ал килади. Агар бундай сервис керак булса, фойда-
ланиш концентратори LAC туннели уланиш урнатилиши лозим булган 
тармок, сервери LNS адресини аниклашга утади. Фойдаланувчи ва фойда-
ланувчи тармогига хизмат курсатувчи сервер LNS орасидаги мувофикликни 
аниклашнинг кулайлигини таъминлаш мак,садида провайдер ISP томонидан 
узининг мижозлари учун мададланувчи маълумотлар базасидан фойдаланиш 
мумкин.
LNS 
серверининг IP-адреси аникланганидан сунг Ь2ТРнинг бу сервер 
билан туннели бор ёки йуклиги текширилади. Агар бундай туннел булмаса, 
у урнатилади. Провайдернинг фойдаланиш концентратори LAC ва локал

тармокнинг тармок, сервери LNS орасида L2TP протокол буйича сессия 
урнатилади.
Транспортга узаро алоканнинг "нукта-нукта" пакет режимини мадада-
лаши талаби куйилади. LAC ва LNS орасида туннел яратишда бу туннел 
доирасида янги уланишга чакириш идентификатори Call ID деб аталувчи 
идентификатор берилади. Концентратор LAC тармок, серверига ушбу Call 
ID 
билан чакирик, хусусидаги билдириш булган пакет жунатади. LNS сер-
вери чакирикни кабул килиши ёки рад этиши мумкин.
Иккинчи боскичда локал тармокнинг тармок, сервери LNS фойдала-
нувчини аутентификациялаш жараёнини бажаради. Бунинг учун аутентифи-
кациялашнинг стандарт алгоритмларидан бири, хусусан CHAP алгоритми 
ишлатилиши мумкин. Таъкидлаш лозимки, L2TP протоколининг специфи-
кациясида аутентификациялаш усулларининг тавсифи келтирилмаган. 
Чакирик, хусусидаги билдириш таркибида тармок, сервери LNS томонидан 
фойдаланувчини аутентификациялаш учун ахборот булиши мумкин. Бу ах-
боротни концентратор LAC фойдаланувчи билан мулок,от жараёнида 
йигади. Аутентификациялашнинг CHAP протоколидан фойдаланилганда 
билдириш пакетида чак,ириш-сузи, фойдаланувчи исми ва унинг жавоби 
булади. РАР протоколи учун бу ахборот фойдаланувчи исми ва шифрлан-
маган паролдан иборат булади. Тармок, сервери LNS бу ахборотдан, масо-
фадаги фойдаланувчини уз маълумотларини кайтадан киритишга мажбур 
килмаслик ва аутентификациялашнинг к,ушимча циклини бажармаслик 
максадида, бирданига фойдаланиш мумкин.
Аутентификация натижаси жунатилишида тармок, сервери LNS хам 
фойдаланиш концентратори LACra фойдаланувчи узелининг 1Р-адресини 
узатиши мумкин. Мохияти буйича фойдаланиш концентратори LAC масо-
фадаги фойдаланувчи узели ва локал тармокнинг тармок, сервери орасида 
воситачи вазифасини бажаради. Масофадаги узелга корпоратив тармокнинг 
адреслар пулидан адреснинг ажратилиши фойдаланувчига провайдер адрес-
лар пулидан оддий адрес олинишидаги нок,улайликлардан кутилишига им-
кон беради.

Учинчи боскичда провайдернинг фойдаланиш концентратори LAC ва 
локал тармокнинг сервери LNS орасида химояланган туннел яратилади. На-
тижада инкапсуляцияланган кадрлар РРР туннел орк,али концентратор LAC 
ва тармок, сервери LNS орасида икала йуналишда узатилиши мумкин. Ма-
софадаги фойдаланувчидан РРР кадри келганида концентратор LAC ундан 
кадрни крплаган байтларни, назорат йигинди байтларини чикариб ташлай-
ди, сунгра уни L2TP протокол ёрдамида тармок, протоколига инкапсуля-
циялайди ва туннел оркали тармок, сервери LNSra жунатади. LNS сервер 
L2TP 
протоколдан фойдаланиб, келган пакетдан РРР кадрни чикариб олиб 
ипшайди.
Туннелнинг зарурий кийматларини созлаш бошкариш хабарлари ёр-
дамида амалга оширилади. L2TP протоколи хар кандай пакетни коммута-
цияловчи транспорт устидан ишлаши мумкин. Умумий хрлда, бу транспорт, 
масалан UDP протоколи, пакетларни кафолатли етказиш ни таъминламай-
ди. Шу сабабли L2TP протоколи бу масалаларни хар бир масофадаги фой-
даланувчи учун туннел ичида уланишларни урнатиш муолажаларидан фой-
даланиб, мустакил х,ал этади.
Таъкидлаш лозимки, L2TP протоколи криптох,имоянинг муайян усул-
ларини белгиламайди ва шифрлашни турли стандартларидан фойдаланиш 
мумкинлигини фараз килади. Агар х,имояланган туннелнинг 1Р-тармокда 
шакллантирилиши режалаштирилган булса, криптох,имояни амалга оши-
ришда IPSec протоколидан фойдаланилади. L2TP протоколи РРР алгорит-
мига нисбатан маълумотларни химоялашнинг юк,ори савиясини таъминлай-
ди, чунки унда 3DES (Triple Data Encryption Standard) шифрлаш алгоритми 
ишлатилади. Агар х,имоянинг бундан юк,ори савияси керак булмаса битта 
56 хонали калитли DES алгоритмидан фойдаланиш мумкин. Ундан ташк,ари 
L2TP 
протоколи НМАС (Hash Massage Authentication Code) алгоритми ёр-
дамида маълумотларни аутентификациялашни таъминлайди. Аутентифика-
циялаш учун бу алгоритм узунлиги 128 хонага тенг булган "хэш"ни ярата-
ди.
Шундай к,илиб, РРТР ва L2TP протоколларининг функционал имко-
ниятлари турлича, РРТР протоколи факат IP-тармокдарда ишлатилиши

мумкин ва унга туннелни яратиши ва ишлатиши учун алохида TCP уланиш 
зарур. L2TP протоколи нафакат IP-тармокларда ишлатилиши мумкин, тун-
нелни яратиш ва у оркали маълумотларни ташишда хизматчи хабарлар бир 
хил формат ва протоколлардан фойдаланади. L2TP протоколи ташкилот 
учун мухим булган маълумотларнинг карийб 100%ли хавфсизлигини кафо-
латлаши мумкин.
L2TP 
протоколининг камчилиги сифатида куйидагиларни курсатиш 
мумкин:
- L2TP 
протоколини амалга оширишда ISP провайдерларнинг мадади 
зарур; 
- L2TP 
трафикни танланган туннел доирасида чегаралайди ва фойда- 
ланувчиларнинг InternetHHHr бошка кисмларидан фойдаланишига имкон 
бермайди; 
- L2TP 
протоколида IP протоколининг жорий версияси учун ахборот 
алмашинувнинг охирги нукталари орасида криптохимояланган туннел яра 
тиш кузда тутилмаган; 
- 
Ь2ТРнинг таклиф этилган спецификацияси стандарт шифрлашни 
факат IP-тармокдарда IPSec протоколи ёрдамида таъминлайди. 

Download 3.91 Mb.

Do'stlaringiz bilan baham: