Sử dụng L2TP

Một phần của tài liệu Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật - Chương 2 (Trang 25 - 26)

f) Quản lý khoá

2.3.2 Sử dụng L2TP

Bởi vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internet nên các thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ L2TP, và các L2TP client. Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một đường hầm, LAC và LNS. LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc của công ty còn LAC thì thường được hỗ trợ của ISP. Các thành phần cơ bản của L2TP như hình vẽ:

Internet

Client L2TP

Computer

Computer

Computer

Computer Computer Computer

Máy chủ mạng L2TP Máy chủ mạng L2TP Mạng riêng được bảo vệ Mạng riêng được bảo vệ Kết nối LAN-LAN Client L2TP Client L2TP Bộ tập trung truy cập mạng L2TP Kết nối Client -LAN Hình 2.19: Các thành phần cơ bản của L2TP a) Máy chủ mạng L2TP

Máy chủ L2TP có hai chức năng chính là: đóng vai trò là điểm kết thúc của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng và ngược lại. Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để có được địa chỉ mạng của máy tính đích.

Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói. Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong thực tế, người ta tích hợp máy chủ mạng và tường lửa. Việc tích hợp này mang lại một số ưu điểm hơn so với PPTP, đó là:

- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trong

PPTP. Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa, điều này gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng đã biết trong khi cổng đó có thể đã thay đổi.

- Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên việc thiết lập tường lủa sẽ đơn giản hơn. Do một số tường lửa không hỗ trợ GRE nên chúng tương thích với L2TP hơn là với PPTP.

b) Phần mềm client L2TP

Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập trên thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các client tương thích L2TP cho L2TP VPN.

Một số đặc điểm của phần mềm client L2TP

- Tương thích với các thành phần khác của IPSec như: máy chủ mã hoá, giao

thức chuyển khoá, giải thuật mã hoá,…

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoat động.

- Hỗ trợ tải SA về.

- Hàm băm (hashing) xử lý được các địa chỉ IP động.

- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu).

- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ.

- Chặn hoàn toàn các lưu lượng không IPSec.

c) Các bộ tập trung truy cập mạng

Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ cho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh.

Các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP vào máy chủ truy cập của họ, điều này đói hỏi tất cả người dùng phải có client L2TP tại máy của họ. Điều này cho phép người dùng có thể sử dụng dịch vụ của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý.

Một phần của tài liệu Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật - Chương 2 (Trang 25 - 26)

Tải bản đầy đủ (DOC)

(46 trang)
w