什么是第 2 层转发 (L2F)?
第2层转发(L2F)是CiscoSystems开发的与媒体无关的t技术。虚拟专用网络(VPN)可以使用第2层转发(L2F)在Internet等公共网络上形成,L2F在点对点协议(PPP)或串行线路Internet协议(SLIP)等协议中传输数据链路层数据包)。
L2F可在服务器端使用,具有通过远程身份验证拨入用户服务(RADIUS)、动态地址分配和服务质量(QoS)进行用户身份验证等功能。此外,Cisco的Internetwork操作系统用于在路由器(IOS)中实现L2F。
由于隧道方法不连接到IP(互联网协议)网络,因此它可以直接在其他网络环境中工作,例如帧中继或ATM。
L2F如何工作?
例如,PPP在使用L2F时在拨号客户端和接收呼叫的网络访问服务器(NAS)之间建立连接。
客户端发起的PPP连接在PPP服务提供商的NAS处终止,该NAS通常是Internet服务提供商(ISP)。L2F允许客户端将连接扩展到NAS之外的远程目标节点,给人的印象是客户端直接链接到远程节点而不是NAS。在L2F中,NAS的唯一目的是将PPP帧从客户端投射或转发到远程节点。在Cisco网络术语中,这个远程节点被称为家庭网关。
简而言之,Cisco的协议并不完全依赖于IP协议;它也可以直接与其他协议一起运行。它还可以与连接服务(虚拟拨号)VDU结合使用。
认证类型
对于远程用户认证,L2FVPN技术采用PPP协议和其他认证系统,如TACACS(终端访问控制器访问控制系统)和RADIUS(远程认证拨入用户服务)。
L2F隧道通道有多个连接,这将它们与PPTP隧道通道区分开来。
用户身份验证有两个阶段:一个是在隧道形成之前由ISP进行,另一个是在建立连接后由企业网关进行。
在构建本地和远程网络之间的隧道之前,SP和指定的公司网关之间采用了双用户身份验证机制。
根据OSI参考模型,L2操作在数据连接层,允许用户使用1PX或NetBEUI等,而不是PPTP等IP。
密码认证协议(PAP)-当服务器和客户端之间建立连接时,客户端会发送一个包含用户用户名和密码的数据包。当连接请求通过身份验证时,用户即已登录。之后,它要么被验证,要么被拒绝。
ChallengeHandshakeAuthenticationProtocol(CHAP)-在这种身份验证机制中,客户端定期向服务器发送身份验证请求和身份验证数据包。这些CHAP数据包会定期在服务器和客户端之间传输,以验证两端用于身份验证的用户/密码形式,从而建立或终止连接。
L2F的优势
它为数据封装和传输安全建立端到端的隧道。
L2F协议更安全,因为它可以很好地与其他安全协议配合使用。
L2F可以通过远程身份验证拨入用户服务(RADIUS)、动态地址分配和服务器端服务质量(QoS)提供用户身份验证。
使用L2F隧道可以支持多个连接。
L2F的缺点
为了保护隐私,L2F不提供加密,而是依赖于隧道传输的协议。
L2F不提供数据流控制。
属性值(AV)对隐藏在L2F中不可用。