Cùng với sự phát triển của L2F, có hai công nghệ đường hầm: L2F và PPTP cạnh tranh nhau trên thị trường VPN. Hai giao thức này không tương thích nhau. Kết quả là, các tổ chức đã gặp khó khăn vì yêu cầu của mỗi nơi một khác. IETF quyết định kết thúc sự rắc rối này bằng cách kết hợp cả hai công nghệ thành một giao thức và được dùng như một chuẩn trong giải pháp VPN. L2PT là kết quả của sự kết hợp này. 2.2.3. Giao thức đường hầm lớp 2 (L2TP) Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP. Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc trưng của L2F và PPTP. Đó là những lợi ích sau: - L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường. - L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt. - L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng. - Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước. Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế, đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích). Như trong hình 2.15. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP. Hình 2.15 Đường hầm L2TP Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu trúc gói. 2.2.3.1. Thành phần của L2TP Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS). 1. Server truy cập mạng (NAS) Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…) 2. Bộ tập trung truy cập L2TP (LAC) Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ. Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa. 3. Server mạng L2TP(LNS) LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc. Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo. 2.2.3.2. Các tiến trình L2TP Internet Remote User NAS Connection Accepted 4 Data Exchange LAC Authentication Request 2a 2b Connection Accepted/ Rejected 3 Connection Forwarded to LAC Connection Establishment Notifiaction Message (CID+Authentication Information) 5 End User Authentication 6 PPP Connection ISP's Intranet Private networ k 1 Connection Request Hình 2.16 Mô tả quá trình thiết lập đường hầm L2TP Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng Internet hoặc mạng công cộng, tuần tự các bước như sau: 1) Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và đồng thời khởi tạo một kết nối PPP với ISP sau cùng. 2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho chức năng này. 3) NAS sau đó khởi động LAC, nơi chứa thông tin về LNS của mạng đích. 4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay hoặc IP/UDP. 5) Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS, thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC. 6) LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo. 7) Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm. 2.2.3.3. Dữ liệu đường hầm L2TP Data PPP Header Data L2TP Header PPP Header Data L2TP Header ESP Header AH Trailer PPP Header Data L2TP Header ESP Header AH Trailer IP Header PPP Header Data L2TP Header ESP Header AH Trailer IP Header Data Link Header Data Link Trailer PPP Encapsulation L2TP Encapsulation IPSec Encapsulation IP Encapsulation Data Link Layer Encapsulation Data PPP Header Hình 2.17 Quá trình xử lý định đường hầm dữ liệu L2TP Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức đóng gói. Các giai đoạn này được minh hoạ trong hình 2.17, bao gồm: - Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào gói dữ liệu gốc được tải. - Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong một gói PPP, một tiêu đề L2TP được thêm vào. - Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được thiết lập là 1701. - Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã hoá và đóng gói dữ liệu. - Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ IP của LNS và người dùng từ xa. - Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng. Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN. Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP. ESP Header L2TP Header Data Link Header IP Header PPP Header Data AH Trailer Data Link Trailer ESP Header L2TP Header IP Header PPP Header Data AH Trailer ESP Header L2TP Header PPP Header Data AH Trailer L2TP Header PPP Header Data PPP Header Data Data Data Link Layer D e-capsulation IP De-capsulation IPSec De-capsulation L2TP D e-cap sulation PPP De-capsulation Hình 2.18 Tiến trình mở gói dữ liệu đường hầm L2TP Tiến trình mở gói dữ liệu đường hầm là ngược lại của thủ tục tạo đường hầm. Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận một gói dữ . L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường. - L2TP không yêu cầu bổ sung. Link Trailer ESP Header L2TP Header IP Header PPP Header Data AH Trailer ESP Header L2TP Header PPP Header Data AH Trailer L2TP Header PPP Header Data PPP Header Data Data Data Link Layer D e-capsulation IP De-capsulation IPSec De-capsulation L2TP D e-cap sulation PPP De-capsulation Hình 2.18 Tiến trình mở gói dữ liệu đường hầm L2TP Tiến trình mở gói dữ liệu. cập L2TP (LAC) Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. Trong khía cạnh này,