L2TP hỗ trợ hai chế độ đường hầm: đường hầm cưỡng bức và đường hầm chủ
động. Những đường hầm này đóng vai trò rất quan trọng trong bảo mật truyền
thông, truyền dữ liệu giữa hai điểm đầu cuối.
2.4.3.1. Đường hầm cưỡng bức
Đường hầm cưỡng bức được thiết lập giữa LAC ở ISP và LNS của máy chủ mạng đầu cuối. Để có thể thiết lập thành công đường hầm cưỡng bức thì ISP phải được hỗ trợ kỹ thuật L2TP. ISP đóng vai trò quyết định trong việc thiết lập đuờng hầm vì mỗi khi có yêu cầu thiết lập đường hầm được đưa ra thì phiên sẽ được quyết định tại ISP.
Hình 2.23. Đường hầm cưỡng bức L2TP
Trong đường hầm cưỡng bức, người dùng hay máy khách chỉ là thực thể thụ động. Ngoài việc yêu cầu tạo kết nối cơ bản, người dùng không đóng vai trò gì trong quá trình thiết lập đường hầm. Vì vậy không có sự thay đổi nào lớn ở máy khách của L2TP.
Xét về phương diện bảo mật thì L2TP là một lựa chọn tốt vì kết nối quay số ở máy khách được sử dụng để thiết lập kết nối PPP cùng với ISP. Do đó người dùng không thể truy cập mạng mà không qua gateway trong mạng nội bộ chung. Cơ chế này cho phép quản lý mạng thực thi kỹ thuật bảo mật nghiêm ngặt, kiểm soát truy cập.
Các bước thiết lập đường hầm cưỡng bức L2TP:
Hình 2.24. Thiết lập đường hầm cưỡng bức L2TP.
1. Người dùng từ xa gửi yêu cầu kết nối PPP tới NAS được đặt trên ISP.
2. NAS chứng thực người dùng. Quy trình chứng thực cũng giúp NAS nhận dạng yêu cầu kết nối của người dùng. Nếu nhận dạng của người dùng ánh xạ đến một thực thể trong dữ liệu cập nhật của ISP dịch vụ sẽ cho phép người dùng ánh xạ đến. NAS cũng xác định điểm kết thúc của đuờng hầm LNS.
3. Nếu NAS tự do chấp thuận yêu cầu kết nối thì liên kết PPP sẽ được thiết lập giữa ISP và người dùng từ xa.
4. LAC sẽ khởi tạo đường hầm L2TP tới LNS ở máy chủ mạng đầu cuối.
5. Nếu kết nối được LNS chấp thuận thì PPP frame sẽ đi dưới đường hầm L2TP. Những frame L2TP sẽ được gửi tiếp đến LNS thông qua đường hầm L2TP. 6. LNS nhận frame và phục hồi lại PPP frame gốc.
7. Cuối cùng LNS xác nhận người dùng nhận các gói dữ liệu. Nếu như người dùng có hiệu lực thì địa chỉ IP sẽ được ánh xạ đến frame và frame được gửi tiếp đến nút đích trong mạng nội bộ.
2.4.3.2. Đường hầm tùy ý
Đường hầm tùy ý được thiết lập giữa người dùng từ xa và LNS đặt trên máy chủ ở mạng đích. Trong trường hợp này, bản thân người dùng từ xa hoạt động giống như LAC. Vì vai trò của ISP trong việc thiết lập đường hầm tùy ý là rất nhỏ nên hệ thống ISP chỉ đơn thuần là những đầu cuối của giao tiếp truyền dẫn.
Hình 2.25. Đường hầm tùy ý L2TP
Ưu điểm lớn nhất của đường hầm tùy ý là nó cho phép thiết lập đồng thời nhiều phiên VPN. Tuy nhiên để đạt được mục đích này, người dùng từ xa phải được gán địa chỉ đa IP. Một trong những địa chỉ đa IP này sẽ được sử dụng cho kết nối PPP tới ISP và một được sử dụng để hỗ trợ đường hầm L2TP. Tuy nhiên nó sẽ gây bất lợi cho người dùng từ xa và máy chủ của mạng có thể bị tấn công.
Thiết lập một đương hầm tùy ý sẽ đơn giản hơn thiết lập đường hầm cưỡng bức bởi vì người dùng từ xa có thể sử dụng kết nối PPP được thiết lập trước tới ISP. Các bước thiết lập đường hầm tùy ý:
1. LAC (là người dùng từ xa) phát yêu cầu thiết lập đường hầm tùy ý tới LNS. 2. Nếu yêu cầu đường hầm được LNS chấp thuận thì LAC sẽ gửi các bản tin PPP
đã được đóng gói qua đường hầm.
3. LNS chấp nhận các frame này, lấy các thông tin về đường hầm và xử lý các frame.
4. Cuối cùng, LNS chứng thực người dùng. Nếu người dùng được chứng thực thành công những frame này sẽ được gửi tiếp đến nút đích trong mạng nội bộ.
Hình 2.26. Thiết lập đường hầm chủ động L2TP