第 2 层转发 (L2F) 是 Cisco Systems 开发的与媒体无关的 t 技术。虚拟专用网络 (VPN) 可以使用第 2 层转发 (L2F) 在 Internet 等公共网络上形成,L2F 在点对点协议 (PPP) 或串行线路 Internet 协议 (SLIP) 等协议中传输数据链路层数据包)。
L2F 可在服务器端使用,具有通过远程身份验证拨入用户服务 (RADIUS)、动态地址分配和服务质量 (QoS) 进行用户身份验证等功能。此外,Cisco 的 Internetwork 操作系统用于在路由器 (IOS) 中实现 L2F。
由于隧道方法不连接到 IP(互联网协议)网络,因此它可以直接在其他网络环境中工作,例如帧中继或 ATM。
例如,PPP 在使用 L2F 时在拨号客户端和接收呼叫的网络访问服务器 (NAS) 之间建立连接。
客户端发起的 PPP 连接在 PPP 服务提供商的 NAS 处终止,该 NAS 通常是 Internet 服务提供商 (ISP)。L2F 允许客户端将连接扩展到 NAS 之外的远程目标节点,给人的印象是客户端直接链接到远程节点而不是 NAS。在 L2F 中,NAS 的唯一目的是将 PPP 帧从客户端投射或转发到远程节点。在 Cisco 网络术语中,这个远程节点被称为家庭网关。
简而言之,Cisco 的协议并不完全依赖于 IP 协议;它也可以直接与其他协议一起运行。它还可以与连接服务(虚拟拨号)VDU 结合使用。
对于远程用户认证,L2F VPN 技术采用PPP 协议和其他认证系统,如TACACS(终端访问控制器访问控制系统)和RADIUS(远程认证拨入用户服务)。
L2F 隧道通道有多个连接,这将它们与 PPTP 隧道通道区分开来。
用户身份验证有两个阶段:一个是在隧道形成之前由 ISP 进行,另一个是在建立连接后由企业网关进行。
在构建本地和远程网络之间的隧道之前,SP 和指定的公司网关之间采用了双用户身份验证机制。
根据 OSI 参考模型,L2 操作在数据连接层,允许用户使用 1PX 或 NetBEUI 等,而不是 PPTP 等 IP。
密码认证协议 (PAP) - 当服务器和客户端之间建立连接时,客户端会发送一个包含用户用户名和密码的数据包。当连接请求通过身份验证时,用户即已登录。之后,它要么被验证,要么被拒绝。
Challenge Handshake Authentication Protocol (CHAP) - 在这种身份验证机制中,客户端定期向服务器发送身份验证请求和身份验证数据包。这些 CHAP 数据包会定期在服务器和客户端之间传输,以验证两端用于身份验证的用户/密码形式,从而建立或终止连接。
它为数据封装和传输安全建立端到端的隧道。
L2F 协议更安全,因为它可以很好地与其他安全协议配合使用。
L2F 可以通过远程身份验证拨入用户服务 (RADIUS)、动态地址分配和服务器端服务质量 (QoS) 提供用户身份验证。
使用 L2F 隧道可以支持多个连接。
为了保护隐私,L2F 不提供加密,而是依赖于隧道传输的协议。
L2F 不提供数据流控制。
属性值 (AV) 对隐藏在 L2F 中不可用。