Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 10'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
liệu đường hầm L2TP, trước tiên loại bỏ tiêu đề tầng liên kết liệu đánh dấu, tiếp gói liệu loại bỏ tiêu đề IP, gói liệu sau xác thực việc dùng thông tin mang tiêu đề ESP IPSec đánh dấu AH, tiêu đề ESP IPSec dùng để giải mã thông tin Tiếp theo tiêu đề UDP xử lý loại bỏ Định danh đường hầm CID tiêu đề L2TP phục vụ để định danh đường hầm L2TP phiên làm việc Cuối cùng, tiêu đề PPP xử lý loại bỏ, gói tải PPP chuyển tiếp tới thiết bị giao thức thích hợp để xử lý Hình 3.18 mơ tả tiến trình 2.2.3.4 Mơ hình đường hầm L2TP L2TP hỗ trợ mơ hình đường hầm: Đường hầm tự nguyện (Voluntary) đường hầm bắt buộc (Compulsory) Những đường hầm vận dụng luật quan trọng việc truyền liệu từ người dùng cuối đến người dùng khác Đường hầm L2TP kiểu bắt buộc Một đường hầm L2TP bắt buộc, ta thấy hình 2.19 thiết lập LAC ISP sau LNS mạng chủ Điều quan trọng để thiết lập thành công đường hầm ISP có khả hỗ trợ cơng nghệ L2TP Hơn nữa, ISP phải dùng luật khoá việc thiết lập đường hầm L2TP Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) thực thể bị động Khác với việc phát u cầu kết nối gốc, người dùng cuối khơng có vai trị tiến trình thiết lập đường hầm Vì vậy, khơng có thay đổi lớn u cầu người dùng cuối L2TP Hình 2.19 Đường hầm L2TP bắt buộc Việc tạo lập đường hầm L2TP cân nhắc tuỳ chọn tốt từ quan điểm bảo mật kết nối đường quay số người dùng cuối dùng để thiết lập kết nối PPP với ISP Kết là, người dùng truy cập ngoại trừ qua Gateway Intranet Nó cho phép người quản trị mạng thực thi chế bảo mật nghiêm ngặt, kiểm soát truy cập chiến lược kiểm toán Pr iva te Ne tw o rk PPP C o nn e c tion IS P's In tr a n e t In tern et Re m o te Us e r P PP C o n n e c tio n R e q u e st NAS LA C L NS Au th e n tic a tio n R e q u e st C o n n e c tio n E sta b lish e d In itia tio n o f L F T u n n e l C o n n e c tio n E sta b lish e d L T P T u n n e l F m e s A u th e n tic a tio n th e R e m o te U se r T o D e stin a tio n No de Hình 2.20 Thiết lâp đường hầm L2TP bắt buộc Các bước thiết lập đường hầm bắt buộc mơ tả hình 2.20 bao gồm: 1) Người dùng từ xa yêu cầu kết nối từ NAS cục tới ISP 2) NAS xác thực người dùng, tiến trình xác thực giúp cho NAS biết định danh người dùng yêu cầu kết nối Nếu định danh người dùng ánh xạ tới thực thể sở liệu trì ISP, dịch vụ cho phép người dùng ánh xạ NAS xác định điểm cuối đường hầm L2TP 3) Nếu NAS chấp nhận kết nối, liên kết PPP thiết lập ISP người dùng từ xa 4) LAC khởi tạo đường hầm L2TP tới LNS mạng chủ sau 5) Nếu kết nối chấp nhận LNS, Frame PPP trải qua việc tạo đường hầm L2TP 6) LNS chấp nhận Frame khôi phục lại Frame PPP gốc 7) Cuối cùng, LNS xác thực người dùng nhận gói liệu Nếu người dùng xác nhận thành công, địa IP thích hợp ánh xạ tới Frame sau Frame chuyển tiếp tới Node đích Intranet Đường hầm L2TP kiểu tự nguyện Một đường hầm tự nguyện L2TP hình 2.21 thiết lập người dùng từ xa LNS đặt mạng chủ cuối Trong trường hợp này, người dùng từ xa tự hoạt động LAC Bởi luật ISP việc thiết lập đường hầm tự nguyện L2TP tối thiểu Cơ sở hạ tầng ISP suốt với người dùng cuối Điều làm cho bạn nhớ đường hầm dựa PPP Intranet ISP suốt Hình 2.21 Đường hầm L2TP tự nguyện Ưu điểm lớn đường hầm L2TP tự nguyện cho phép người dùng từ xa kết nối đến Internet thiết lập nhiều phiên VPN đồng thời Tuy nhiên để sử dụng ưu điểm này, người dùng từ xa phải gắn vào nhiều địa IP Một nhiều IP dùng cho kết nối PPP tới ISP thường dùng để hỗ trợ cho đường hầm L2TP riêng biệt Tuy nhiên ưu điểm bất lợi client từ xa, mạng chủ dễ dàng bị cơng Remote User ISP's Intranet Private Network Internet LAC 1a Connection Request 1b LNS ConnectionRequest ConnectionAccepted/Rejected L2TP Frames Strips Tunneling Information 4a Authentication the User 4b Frames to the Destination Node Hình 2.22 Quá trình thiết lập đường hầm L2TP tự nguyện Việc thiết lập đường hầm loại đơn giản thiết lập đường hầm bắt buộc người dùng từ xa tận dụng kết nối PPP thiết lập trước tới ISP sau Các bước thiết lập đường hầm bao gồm: 1) LAC (trong trường hợp người dùng từ xa) phát yêu cầu đường hầm tới LNS 2) Nếu yêu cầu đường hầm chấp nhận LNS, LAC tạo đường hầm cho Frame PPP L2TP xác định chuyển tiếp frame qua đường hầm 3) LNS nhận Frame qua đường hầm, loại bỏ thông tin đường hầm xử lý Frame 4) Cuối cùng, LNS xác thực định danh người dùng người dùng xác thực thành cơng, chuyển tiếp Frame tới Node đích Intranet Tiến trình thiết lập đường hầm L2TP tự nguyện minh hoạ hình 2.22 Việc sử dụng L2TP VPN yêu cầu chi phí thấp nhiên bên cạnh cịn nhiều vấn đề bảo mật chưa đáp ứng 2.2.3.5 Kiểm soát kết nối L2TP Chúng ta nhớ lại, PPTP sử dụng kết nối TCP riêng cho việc trì đường hầm Trường hợp khác, kiểm sốt kết nối L2TP Frame quản trị dựa UDP Định dạng thơng điệp kiểm sốt L2TP mơ tả hình 2.23 Data Link Header IP Header IPSec ESP Header UDP Header L2TP Message IPSec ESP Trailer IPSec ESP Authentication Trailer Data Link Trailer Hình 2.23 Định dạng thơng điệp kiểm sốt L2TP Gói liệu UDP, thơng điệp kiểm sốt L2TP sở, khả kết nối Điều hàm ý chúng phát ngồi trình tự khơng chấp nhận người nhận phía bên Vì lý này, L2TP vận dụng kỹ thuật thông điệp Kỹ thuật đảm bảo thông điệp phân phát tới người dùng cuối trình tự Hai trường liệu quan trọng: NextReceiver Next-Sent sử dụng thông điệp kiểm sốt L2TP để chắn gói liệu phát tới người dùng hợp lệ Bảng 2.2: Liệt kê số thơng điệp trì kiểm soát L2TP sử dụng Name Description Start-Control-Connection- Yêu cầu từ Client L2TP để thiết lập kết nối điều khiển Request Start-Control-Connection- Phản hồi từ Server L2TP với thông điệp Start-ControlReply Connection-Request Client Thông điệp gửi trả lời cho thông điệp Outgoing-CallReply Start-Control-Connection- Trả lời từ Client L2TP cho thông điệp Start-ControlConnected Connection-Reply LNS Outgoing-Call-Request Yêu cầu từ Client L2TP tới LNS để tạo đường hầm L2TP Yêu cầu chứa Call ID để định dang yêu Name Description cầu đường hầm Trả lời từ LNS L2TP cho thông điệpOutgoing-CallRequest Client Hello Thông điệp Keep-alive gửi bới LNS Client Nếu thông điệp không chấp nhận thực thể cuối khác đường hầm bị kết thúc Set-Link-Info Thơng điệp từ bên ngồi khác để thiết lập tuỳ chọn PPP thương lượng Call-Disconnect-Notify Phản hồi từ Server L2TP biết yêu cầu đường hầm L2TP để kết thúc WAN-Error-Notify Thông điệp từ Server L2TP (LNS) tới tất Client L2TP kết nối để thông báo lỗi giao diện PPP Server Stop-Control-Connection- Thông điệp từ Client Server L2TP để thông báo cho Request thực thể cuối khác việc kết thúc kết nối điều khiển Outgoing-Call-Reply ... Start-Control-Connection- Phản hồi từ Server L2TP với thông điệp Start-ControlReply Connection-Request Client Thông điệp gửi trả lời cho thông điệp Outgoing-CallReply Start-Control-Connection- Trả... Start-Control-Connection- Trả lời từ Client L2TP cho thông điệp Start-ControlConnected Connection-Reply LNS Outgoing-Call-Request Yêu cầu từ Client L2TP tới LNS để tạo đường hầm L2TP Yêu cầu chứa Call ID để định... giao diện PPP Server Stop-Control-Connection- Thông điệp từ Client Server L2TP để thông báo cho Request thực thể cuối khác việc kết thúc kết nối điều khiển Outgoing-Call-Reply