hầm nơi mỗi kết nối mô tả một dòng PPP đơn. Hơn nữa, các dòng này có thể bắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều người dùng. Vì một đường hầm có thể hỗ trợ nhiều kết nối đồng thời, một vài kết nối được yêu cầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway của mạng riêng. Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng. Hình 2.11 mô tả đường hầm L2F 2.2.2.1. Tiến trình L2F Khi một Client quay số từ xa khởi tạo một kết nối tới Host cục bộ trong một Intranet riêng. Request Accepted/ Rejected PPP Connection Request NAS Internet Remote User Server Host Network Gateway ISP'sIntranet Private Networ k 1 2 User Authentication (PAP, CHAP) 3 Tunnel Establishment Allocated L2F Tunnel Initiation 4 5 Connection RequestAccepted/ Rejected 6a Tunnel Established Notification 6b User Authentication 7a Tunnel Established 7b Hình 2.12 Thiết lập một đường hầm L2F giữa người dùng từ xa và Server Các tiến trình sau được thực hiện tuần tự: 1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ. Nếu một người dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN hoặc liên kết để kết nối tới ISP. Nếu người dùng không phải là một phần của bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN. 2. Nếu NAS đặt tại POP của ISP chấp nhận yêu cầu kết nối, kết nối PPP được thiết lập giữa NAS và người dùng. 3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được sử dụng cho chức năng này. 4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì một đường hầm sẽ được khởi tạo. 5. Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa công duy nhất được phân phối tới các kết nối. Một thông điệp thông báo cũng được gửi tới các Gateway của máy chủ mạng. Thông điệp này thông báo cho Gateway về yêu cầu kết nối từ một người dùng ở xa. 6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này. Nếu yêu cầu bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số bị kết thúc. Trong trường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa. 7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao diện ảo được thiết lập giữa 2 đầu cuối. 2.2.2.2. Đường hầm L2F Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận, một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được thiết lập, như trong hình 2.13. Hình 2.13 Quá trình định đường hầm dữ liệu dựa trên L2F Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong. Các Frame tầng 2 có thể được trao đổi qua đường hầm như sau: 1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại ISP. 2. POP cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm vào tiêu đề L2F và đánh dấu frame. Sau khi frame được đóng gói mới thì được chuyển tiếp tới mạng đích qua đường hầm. 3. Máy chủ Gateway mạng chấp nhận các gói đường hầm này, cắt bỏ tiêu đề L2F, đánh dấu và chuyển tiếp các frame tới Node đích trong mạng Intranet. Node đích xử lý các frame nhận được như là các gói không qua đường hầm. Chú ý: Đường hầm L2F được xem như là một “Giao diện ảo” Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược lại. Đó là, host gửi một frame tầng liên kết dữ liệu thông thường tới Gateway, Gateway này sẽ đóng gói frame vào trong một gói L2F (như trong hình 2.14) và chuyển tiếp nó tới NAS đặt tại Site của ISP. NAS cắt bỏ thông tin L2F từ các frame và thêm vào thông tin tầng liên kết dữ liệu thích hợp với nó. Frame sau đó được chuyển tiếp tới người dùng từ xa. L2F Header Payload Packet(PPP/SLIP) L2F CheckSum Hình 2.14 định dạng gói L2F 2.2.2.3. Bảo mật L2F L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực 1. Mã hoá dữ liệu L2F L2F sử dụng MPPE cho các chức năng mã hoá cơ bản. Tuy nhiên nó không an toàn với các kỹ thuật Hacking tiên tiến ngày nay. Và nó cũng phải sử dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật. IPSec sử dụng hai giao thức cho chức năng mã hoá: đóng gói tải bảo mật(ESP) và xác thực tiêu đề (AH). Thêm vào đó, để làm tăng tính bảo mật của khoá trong pha trao đổi khoá, IPSec cũng sử dụng một giao thức bên thứ ba đó là trao đổi khoá Internet(IKE). 2. Xác thực dữ liệu L2F Xác thực L2F được hoàn thành tại hai mức. Mức thứ nhất của xác thực dựa trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số tới POP của ISP. Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công. Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa. Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xác thực. Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi một Gateway L2F nhận một yêu cầu kết nối. L2F cũng sử dụng lược đồ xác thực như sau để nâng cao tính bảo mật dữ liệu: - Giao thức xác thực có thăm dò trước(CHAP) - Giao thực xác thực mở rộng (EAP) 2.2.2.4. Các ưu và nhược điểm của L2F Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ chọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở mức thấp, nó cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt hơn PPTP. Những ưu điểm chính của việc thực thi một giải pháp L2F bao gồm: - Nâng cao tính bảo mật của các phiên giao dịch. - Độc lập với nền. - Không cần phải đàm phán với ISP. - Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và Frame Relay. Ngoài những ưu điểm trên, nó cũng có một số nhược điểm: - Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP không hỗ trợ L2F thì không thể thực hiện được giải pháp này. - L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy thì các gói dữ liệu có thể bị xoá tuỳ tiện. Điều này là nguyên nhân của việc phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền. - Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm dựa trên L2F là chậm khi so sánh với PPTP. Cùng với sự phát triển của L2F, có hai công nghệ đường hầm: L2F và PPTP cạnh tranh nhau trên thị trường VPN. Hai giao thức này không tương thích nhau. Kết quả là, các tổ chức đã gặp khó khăn vì yêu cầu của mỗi nơi một khác. IETF quyết định kết thúc sự rắc rối này bằng cách kết hợp cả hai công nghệ thành một giao thức và được dùng như một chuẩn trong giải pháp VPN. L2PT là kết quả của sự kết hợp này. 2.2.3. Giao thức đường hầm lớp 2 (L2TP) Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP. Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc trưng của L2F và PPTP. Đó là những lợi ích sau: - L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường. - L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt. - L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng. . việc thực thi một giải pháp L2F bao gồm: - Nâng cao tính bảo mật của các phiên giao dịch. - Độc lập với nền. - Không cần phải đàm phán với ISP. - Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI,. năng kết nối điểm - điểm nhanh nhất của PPTP. Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc trưng của L2F và PPTP. Đó là những lợi ích sau: - L2TP hỗ trợ nhiều. hình 2.14) và chuyển tiếp nó tới NAS đặt tại Site của ISP. NAS cắt bỏ thông tin L2F từ các frame và thêm vào thông tin tầng liên kết dữ liệu thích hợp với nó. Frame sau đó được chuyển tiếp tới