Quá trình hoạt động của kỹ thuật đường hầm được chia làm 2 giai đoạn
- Giai đoạn I: Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên làm việc VPN và được xác nhận bởi HA tương ứng.
- Giai đoạn II: Dữ liệu thực sự được chuyển qua mạng thông qua đường hầm. Trong giai đoạn I, một kết nối yêu cầu được khởi tạo và những tham số phiên
được đàm phán (giai đoạn này cũng có thể được xem là giai đoạn thiết lập đường
hầm) nếu yêu cầu được chấp nhận và tham số phiên được đàm phán thành công, một đường hầm được thiết lập giữa hai nút thông tin đầu cuối. Điều này xảy ra theo quá trình sau:
Hình 1.6. Quá trình thiết lập đường hầm
1. Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
2. FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu được cung cấp bởi người dùng (thông thường FA sử dụng các dịch vụ của một máy chủ Remote Access Dial-Up Services – RADIUS để xác nhận sự thống nhất của các nút khởi tạo)
3. Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ, yêu cầu phiên làm việc VPN bị từ chối. Ngược lại, nếu quá trình xác nhận sự thống nhất của FA thành công, nó sẽ chuyển yêu cầu đến mạng đích HA.
4. Nếu yêu cầu được HA chấp nhận, FA gửi login ID đã được mã hóa và mật khẩu tương ứng đến nó.
5. HA kiểm chứng thông tin đã được cung cấp. Nếu quá trình kiểm chứng thành công, HA phản hồi lại bằng một bản tin đăng ký, phụ thuộc vào một số đường hầm đến FA.
6. Một đường hầm được thiết lập khi FA nhận bản tin phản hồi và số đường hầm. Nếu 2 điểm đầu cuối không sử dụng cùng giao thức đường hầm, một số tham biến cấu hình đường hầm như mã hóa, tham số nén và cơ chế duy trì đường hầm cũng được đàm phán.
Với việc thiết lập đường hầm, giai đoạn I được xem như đã xong và giai đoạn II, giai đoạn chuyển giao dữ liệu, bắt đầu. Quá trình giao dịch trong giai đoạn II này thực hiện qua các bước sau:
Hình 1.7. Quá trình trao đổi thông tin
1. Nút khởi tạo bắt đầu chuyển hướng các gói dữ liệu đến FA
2. FA tạo header đường hầm và chèn nó vào từng gói dữ liệu. Thông tin header của giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn vào gói dữ liệu.
3. FA chuyển hướng các gói dữ liệu đã mã hóa đến HA bằng cách sử dụng số đường hầm đã được cung cấp.
4. Trong quá trình nhận thông tin mã hóa, HA bỏ header đường hầm và header của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó.
5. Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần đến trong mạng.