Azərbaycanca
Беларускі
Dansk
Deutsch
Española
Français
Indonesia
Italiana
日本語
Қазақ
Lietuvos
Nederlands
Português
Русский
සිංහල
แบบไทย
Türkçe
Українська
中國人
United State
Afrikaans
| Цю статтю треба для відповідності Вікіпедії. (грудень 2010) |
| Ця стаття не містить . (січень 2011) |
Комп'ютерні мережі використовують тунельні протоколи, коли один мережевий протокол (протокол доставки) інкапсулює протокол прийому. Використовуючи тунелювання, можна (наприклад) переносити дані через несумісну мережу, або забезпечує безпечний шлях через недовірену мережу.
Тунелювання зазвичай контрастує з рівневою моделлю протоколу наприклад з OSI або TCP/IP. Протокол доставки зазвичай (але не завжди) діє на вищому рівні в моделі, ніж робить це протокол завантаження, або в тому ж рівні. Інкапсуляція протоколу, яка здійснюється рівневими протоколами, відповідно до моделі OSI або TCP/IP (наприклад: HTTP над TCP над IP над PPP над V. 92 модемом) не використовує тунелювання.
Щоб розуміти модель протоколу, мережеві інженери повинні розуміти як працюють протокол завантаження і протокол доставки. Як приклад мережевого рівня над мережевим рівнем, Generic Routing Encapsulation (GRE), протокол, що працює з IP-адресами (Номер Протоколу IP 47), часто служить для передачі IP пакетів з приватних адрес RFC 1918 через Інтернет використовуючи пакети доставки з публічними адресами IP. В цьому випадку, протоколи постачання і завантаження об'єднуються, але адреси протоколів завантаження і адреси протоколів постачання є різними.
На відміну від цього адреса IP повинна з'єднуватись с рівнем даних для постачання, коли він переноситься в протоколі L2TP, що прокладає тунель до механізму завантаження як протокол канального рівня. L2TP, проте, фактично переноситься через транспортний рівень, використовуючи протокол UDP. IP в транспортному протоколі може переноситись через будь-який протокол з'єднання від IEEE 802.2 і IEEE 802.3 до канального протоколу (PPP) за допомогою з'єднання через модем.
Тунелювання через політику безпеки брандмауера
Тунельні протоколи можуть використовувати скриптування даних для того, щоб перенести протоколи завантаження через публічні мережі (такі як Інтернет), забезпечуючи VPN з'єднання. IPsec має спеціальний транспортний метод і може керувати перенесенням даних через безпечні мережі.
Користувачі можуть також використовувати тунелювання, щоб «обійти» брандмауер, використовуючи протокол, який брандмауер зазвичай блокував би, але «обгорнувшись» всередині протоколу, який брандмауер не блокує, як наприклад HTTP. Якщо політика брандмауера не виключає цей вид «обгортання», цей прийом може функціонувати щоб наблизитися до призначеної політики брандмауера.
Інший метод на базі HTTP використовує HTTP з'єднання. Клієнт посилає команду з'єднання HTTP до HTTP proxy. Proxy потім виконує TCP з'єднання до специфічного порту сервера, і встановлює зв'язок між даними порту сервера і клієнтським з'єднаянням. Оскільки це створює діру в безпеці, HTTP proxy, які можуть з'єднватись зазвичай обмежують доступ до методу з'єднання. Proxy відкриває доступ тільки до дозволеного списку специфічних авторизованих серверів.
L2TP
L2TP застосовує в ролі транспорту протокол UDP і використовує однаковий формат повідомлень як для управління тунелем, так і для пересилання даних. L2TP в реалізації Microsoft як контрольні повідомлення використовує пакети UDP, що містять шифровані пакети PPP.
Для безпеки L2TP-пакетів зазвичай використовується протокол IPsec, який надає конфіденційність, аутентифікацію та цілісність. Комбінація цих двох протоколів відома як L2TP/IPsec.
Кінцеві вузли L2TP тунелю називаються LAC (L2TP Access Concentrator) і LNS (L2TP Network Server). LAC є ініціатором тунелю, а LNS — це сервер, який очікує на нові тунелі. Коли тунель встановлено, мережевий трафік між вузлами стає двонаправленим. Потім протоколи вищих рівнів запускаються всередині L2TP тунелю. Для цього L2TP сесія встановлюється всередині тунелю для кожного протоколу вищого рівня (наприклад, для PPP). І LAC, і LNS можуть ініціювати сесії. Трафік для кожної сесії ізолюється за допомогою L2TP, тому можливо налаштувати кілька віртуальних мереж через один тунель
Інкапсуляція
Інкапсуляція пакетів L2TP/IPSec виконується в два етапи.
- 1. Інкапсуляція L2TP. Кадр PPP (IP-датаграма або IPX-датаграма) вставляється в оболонку з заголовком L2TP і заголовком UDP.
- 2. Інкапсуляція IPSec. Потім отримане L2TP-повідомлення вставляється в оболонку з заголовком і трейлером IPSec ESP (Encapsulating Security Payload), трейлером перевірки автентичності IPSec, який забезпечує цілісність повідомлення та перевірку достовірності, і заголовком IP. У заголовку IP-адреси джерела і приймача — це адреси відповідно VPN-клієнта і VPN-сервера.
- 3. На завершення L2TP виконує другу PPP-інкапсуляцію для підготовки даних до перевання.
 | Це незавершена стаття про комп'ютерні мережі. Ви можете проєкту, виправивши або дописавши її. |
Вікіпедія, Українська, Україна, книга, книги, бібліотека, стаття, читати, завантажити, безкоштовно, безкоштовно завантажити, mp3, відео, mp4, 3gp, jpg, jpeg, gif, png, малюнок, музика, пісня, фільм, книга, гра, ігри, мобільний, телефон, android, ios, apple, мобільний телефон, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, ПК, web, Інтернет
Cyu stattyu treba vikifikuvati dlya vidpovidnosti standartam yakosti Vikipediyi Bud laska dopomozhit dodavannyam dorechnih vnutrishnih posilan abo vdoskonalennyam rozmitki statti gruden 2010 Cya stattya ne mistit posilan na dzherela Vi mozhete dopomogti polipshiti cyu stattyu dodavshi posilannya na nadijni avtoritetni dzherela Material bez dzherel mozhe buti piddano sumnivu ta vilucheno sichen 2011 Komp yuterni merezhi vikoristovuyut tunelni protokoli koli odin merezhevij protokol protokol dostavki inkapsulyuye protokol prijomu Vikoristovuyuchi tunelyuvannya mozhna napriklad perenositi dani cherez nesumisnu merezhu abo zabezpechuye bezpechnij shlyah cherez nedovirenu merezhu Tunelyuvannya zazvichaj kontrastuye z rivnevoyu modellyu protokolu napriklad z OSI abo TCP IP Protokol dostavki zazvichaj ale ne zavzhdi diye na vishomu rivni v modeli nizh robit ce protokol zavantazhennya abo v tomu zh rivni Inkapsulyaciya protokolu yaka zdijsnyuyetsya rivnevimi protokolami vidpovidno do modeli OSI abo TCP IP napriklad HTTP nad TCP nad IP nad PPP nad V 92 modemom ne vikoristovuye tunelyuvannya Shob rozumiti model protokolu merezhevi inzheneri povinni rozumiti yak pracyuyut protokol zavantazhennya i protokol dostavki Yak priklad merezhevogo rivnya nad merezhevim rivnem Generic Routing Encapsulation GRE protokol sho pracyuye z IP adresami Nomer Protokolu IP 47 chasto sluzhit dlya peredachi IP paketiv z privatnih adres RFC 1918 cherez Internet vikoristovuyuchi paketi dostavki z publichnimi adresami IP V comu vipadku protokoli postachannya i zavantazhennya ob yednuyutsya ale adresi protokoliv zavantazhennya i adresi protokoliv postachannya ye riznimi Na vidminu vid cogo adresa IP povinna z yednuvatis s rivnem danih dlya postachannya koli vin perenositsya v protokoli L2TP sho prokladaye tunel do mehanizmu zavantazhennya yak protokol kanalnogo rivnya L2TP prote faktichno perenositsya cherez transportnij riven vikoristovuyuchi protokol UDP IP v transportnomu protokoli mozhe perenositis cherez bud yakij protokol z yednannya vid IEEE 802 2 i IEEE 802 3 do kanalnogo protokolu PPP za dopomogoyu z yednannya cherez modem Tunelyuvannya cherez politiku bezpeki brandmaueraTunelni protokoli mozhut vikoristovuvati skriptuvannya danih dlya togo shob perenesti protokoli zavantazhennya cherez publichni merezhi taki yak Internet zabezpechuyuchi VPN z yednannya IPsec maye specialnij transportnij metod i mozhe keruvati perenesennyam danih cherez bezpechni merezhi Koristuvachi mozhut takozh vikoristovuvati tunelyuvannya shob obijti brandmauer vikoristovuyuchi protokol yakij brandmauer zazvichaj blokuvav bi ale obgornuvshis vseredini protokolu yakij brandmauer ne blokuye yak napriklad HTTP Yaksho politika brandmauera ne viklyuchaye cej vid obgortannya cej prijom mozhe funkcionuvati shob nablizitisya do priznachenoyi politiki brandmauera Inshij metod na bazi HTTP vikoristovuye HTTP z yednannya Kliyent posilaye komandu z yednannya HTTP do HTTP proxy Proxy potim vikonuye TCP z yednannya do specifichnogo portu servera i vstanovlyuye zv yazok mizh danimi portu servera i kliyentskim z yednayannyam Oskilki ce stvoryuye diru v bezpeci HTTP proxy yaki mozhut z yednvatis zazvichaj obmezhuyut dostup do metodu z yednannya Proxy vidkrivaye dostup tilki do dozvolenogo spisku specifichnih avtorizovanih serveriv L2TPL2TP zastosovuye v roli transportu protokol UDP i vikoristovuye odnakovij format povidomlen yak dlya upravlinnya tunelem tak i dlya peresilannya danih L2TP v realizaciyi Microsoft yak kontrolni povidomlennya vikoristovuye paketi UDP sho mistyat shifrovani paketi PPP Dlya bezpeki L2TP paketiv zazvichaj vikoristovuyetsya protokol IPsec yakij nadaye konfidencijnist autentifikaciyu ta cilisnist Kombinaciya cih dvoh protokoliv vidoma yak L2TP IPsec Kincevi vuzli L2TP tunelyu nazivayutsya LAC L2TP Access Concentrator i LNS L2TP Network Server LAC ye iniciatorom tunelyu a LNS ce server yakij ochikuye na novi tuneli Koli tunel vstanovleno merezhevij trafik mizh vuzlami staye dvonapravlenim Potim protokoli vishih rivniv zapuskayutsya vseredini L2TP tunelyu Dlya cogo L2TP sesiya vstanovlyuyetsya vseredini tunelyu dlya kozhnogo protokolu vishogo rivnya napriklad dlya PPP I LAC i LNS mozhut iniciyuvati sesiyi Trafik dlya kozhnoyi sesiyi izolyuyetsya za dopomogoyu L2TP tomu mozhlivo nalashtuvati kilka virtualnih merezh cherez odin tunel Inkapsulyaciya Inkapsulyaciya paketiv L2TP IPSec vikonuyetsya v dva etapi 1 Inkapsulyaciya L2TP Kadr PPP IP datagrama abo IPX datagrama vstavlyayetsya v obolonku z zagolovkom L2TP i zagolovkom UDP 2 Inkapsulyaciya IPSec Potim otrimane L2TP povidomlennya vstavlyayetsya v obolonku z zagolovkom i trejlerom IPSec ESP Encapsulating Security Payload trejlerom perevirki avtentichnosti IPSec yakij zabezpechuye cilisnist povidomlennya ta perevirku dostovirnosti i zagolovkom IP U zagolovku IP adresi dzherela i prijmacha ce adresi vidpovidno VPN kliyenta i VPN servera 3 Na zavershennya L2TP vikonuye drugu PPP inkapsulyaciyu dlya pidgotovki danih do perevannya Ce nezavershena stattya pro komp yuterni merezhi Vi mozhete dopomogti proyektu vipravivshi abo dopisavshi yiyi