LNS là điểm cuối đầu kia của một kết nối từ xa. Nĩ được đặt tại mạng trung
tâm và cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc.
Khi một LNS nhận một yêu cầu cho một yêu cầu kết nổi ảo từ một
LAC, nĩ
Hình 22. Mơ tả quả trình thiết lập đường hầm L2TP
Các bước thiết lập một đường hầm L2TP:
1) Client gửi một yêu cầu kết nối tới NAS của ISP
2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối,
NAS sử dụng
phương pháp xác thực dựa trên ppp, như PAP, CHAP, SPAP và EAP
cho chức
năng này.
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
5) Sau khi đường hầm đã được thiết lập thành cơng, LAC phân phổi một
định danh
cuộc gọi(Call ID - CID) để kết nối và gửi thơng điệp thơng báo tới
LNS, thơng điệp
này chứa thơng tin mà cĩ thể được dùng để xác thực người dùng từ xa
(người yêu
cầu đường hầm ban đầu). Thơng điệp này cũng mang cả tuỳ chọn LCP
đã được
thương lượng giữa người dùng với LAC.
6) LNS sử dụng thơng tin nhận được trong thơng điệp thơng báo đề xác
Hình 23. Quá trình xử lý định đường hâm dữ liệu L2TP
Tương tự như các gĩi đường hầm PPTP, các gĩi L2TP cũng trải qua nhiều mức
đĩng gĩi bao gồm:
- Đĩng gĩi ppp của dừ liệu: Khơng giống như đĩng gĩi dựa trên PPTP, dữ liệu khơng được mã hố trước khi đĩng gĩi. Chỉ tiêu đề ppp được thêm vào gĩi dừ
- Đĩng gĩi L2TP của các Frame: Sau khi gĩi tải gốc được đĩng gĩi vào
trong một
gĩi ppp, một tiêu đề L2TP được thêm vào.
- Đĩng gĩi ƯDP của các Frame: Tiếp theo, các gĩi dừ liệu L2TP đã
đĩng gĩi lại
được đĩng gĩi vào trong một Frame UDP. Tiếp sau đĩ, tiêu đề UDP
được thêm vào
Frame L2TP đã đĩng gĩi. Cơng nguồn và đích trong ƯDP này được
thiết lập là
1701.
- Đĩng gĩi IPSec của các gĩi dừ liệu UDP: Sau khi các Frame L2TP
được đĩng gĩi
UDP, ƯDP này được mã hố và một tiêu đề đĩng gĩi tải bảo mật
IPSec được thêm
vào nĩ. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào đề mã
hố và đĩng
gĩi dữ liệu.
- Đĩng gĩi IP các gĩi dừ liệu IPSec đã bọc gĩi: Tiếp theo, tiêu đề IP
cuối cùng được
thêm vào các gĩi IPSec đã đĩng gĩi. Tiêu đề IP này chứa địa chỉ IP
của LNS và
người dùng tù’ xa.
- Đĩng gĩi tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và
đánh dấu cuối
cùng được thêm vào gĩi ĨP nhận được từ việc đĩng gĩi IP cuối cùng.
Tiêu đề và
đánh dấu này giúp cho gĩi dữ liệu tới được Node đích. Neu Node đích Báo cáo NCKH - Khoa An Tồn Thơng Tin - Học Viện Kỹ Thuật Mật Mã 42
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
cĩ vai trị trong tiến trình thiết lập đường hầm. Vì vậy, khơng cĩ thay đổi lớn được
ppp Conr>ection
Hình 23. Đường hâm L2TP bắt buộc
Private Netvvork
Hình 24. Thiết lâp một đường hầm L2TP bắt buộc
1) Người dùng từ xa yêu cầu một kết nối tù' NAS cục bộ tới ISP.
2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS
biết được
3) Neu NAS chấp nhận kết nối, một liên kết ppp được thiết lập giữa ISP
và người
dùng tù- xa.
4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng. 5) Neu kết nổi được chấp nhận bởi LNS, các Frame ppp trải qua việc tạo
đường hầm L2TP.
6) LNS chấp nhận các Frame và khơi phục lại Frame ppp gốc.
7) Cuối cùng, LNS xác thực người dùng và nhận các gĩi dữ liệu. Neu
người dùng
được xác nhận thành cơng, địa chỉ IP thích hợp được ánh xạ tới Frame
L2TP Tunnoi ppp Connectton
Hình 25 Đường hầm L2TP tự nguyên
Ưu diêm lớn nhất của đường hầm L2TP tự nguyện là nĩ cho phép người
dùng từ xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên
đê sử dụng những ưu diêm này, người dùng từ xa phải găn vào nhiêu địa chỉ
Data IP IPSec ƯDP L2TP IPSec IPSec ESP Data Link Head ESP Heade Messag
e ESP Authenticatio Link
Heade Heade Traile Trailer Traile
Name Description
Start-Control-
Connection- Yêu cầu từ Client L2TP đề thiết lập kết nối điều khiển Start-Control-
Connection- Reply
Phản hồi từ Server L2TP với thơng điệp Start- Control-
Connection-Request của Client. Thơng điệp này cũng
Start-Control-
Connection- Trả lời từ Client L2TP cho thơng điệp Start- Control-
Outgoing-Call-Request Yêu cầu từ Client L2TP tới LNS đé tạo đường hầm L2TP. Yêu cầu này chứa Call ID đê định dang một yêu
Outgoing-Call-Reply Trả lời từ LNS L2TP cho thơng điệpOutgoing- Call-
Hello Thơng điệp Keep-alive gửi bới LNS hoặc Client. Neu
thơng điệp này khơng được chấp nhận bởi thực thể Set-Link-Info Thơng điệp từ bên ngồi khác đe thiết lập các tuỳ
chọn
Call-Disconnect-Notify Phản hồi từ Server L2TP đế cho biết yêu cầu nào đĩ
Name Description
w AN-Er ro r-N 0 ti fy Thơng điệp tù Server L2TP (LNS) tới tất cả các Client
L2TP đã được kết nối đê thơng báo lỗi trong giao Stop-Control-
Connection- Request
Thơng điệp từ Client hoặc Server L2TP đe thơng
báo cho
các thực the cuối khác về việc kết thúc kết nối điều Stop-Control-
Connection- Phản hồi ngược lại tù’ thực thể cuối đối với thơng điệp
Stop-Control-
Connection- Phản hồi ngược lại từ thực the cuối đe cho biết
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
Remote User ISP's Intr; Private Netvvork
Hình 26 Quá trình thiết lập đường hâm L2TP tự nguyện
Việc thiết lập một đường hầm loại này là đơn giản hơn thiết lập đường hầm bắt buộc vì người dùng từ xa tận dụng một kết nối ppp đã được thiết lập trước tới
ISP sau cùng. Các bước thiết lập đường hầm bao gồm:
1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu
đường hầm
tới LNS.
2) Neu yêu cầu đưịng hầm được chấp nhận bởi LNS, LAC tạo đường
hầm cho các
Frame ppp trên L2TP xác định và chuyển tiếp các frame này qua đường hầm.
3) LNS nhận được Frame đã qua đường hầm, loại bĩ thơng tin đường
hầm và xử lý
Frame.
4) Cuối cùng, LNS xác thực định danh người dùng và nếu người dùng Báo cáo NCKH - Khoa An Tồn Thơng Tin - Học Viện Kỹ Thuật Mật Mã 45
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
Định dạng của thơng điệp kiểm sốt L2TP.
Hình 27 Định dạng thơng điệp kiêm sốt L2TP
Một số thơng điệp duy trì và kiểm sốt L2TP được sử dụng
Báo cáo NCKH - Khoa An Tồn Thơng Tin - Học Viện Kỹ Thuật Mật Mã 46
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng