Bởi vì chức năng chính của L2TP là cho quay số truy cập VPN thông qua Internet nên các thành phần của L2TP cũng tương tự như PPTP. Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một đường hầm L2TP, LAC và LNS (hình 2.28). Bởi vì các điểm này có thể nằm trên thiết bị ISP nên phần mềm cho client di động có thể không cần thiết.
Mặc dù LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc của công ty, nhưng LAC nên được hỗ trợ dựa trên ISP. Thực ra nếu như trên máy client từ xa có cài sẵn client L2TP thì ISP không cần phải hỗ trợ thêm L2TP.
Tại site của mạng riêng, máy chủ L2TP đóng vai trò như một cổng nối bảo mật, nối kết xác thực với RADIUS hay các miền Windowns. Client L2TP tại máy tính xách tay của người dùng có thể thực thi những chức năng giống như phần mềm client IPSec.
2.5.4.2.1 Các máy chủ mạng L2TP
Một máy chủ L2TP có hai chức năng chính là: Nó đóng vai trò là điểm kết thúc của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng. Máy chủ L2TP chuyển các gói đến các máy đích bằng cách xử lý gói L2TP để có được địa chỉ mạng của máy tính đích.
Hình 2.28: Các thành phần cơ bản của L2TP
Không giống như PPTP, L2TP không có khả năng lọc các gói. Hệ thống để dành nhiệm vụ đó cho tường lửa.
Khi có tích hợp giữa máy chủ mạng và tường lửa thì L2TP có ưu điểm hơn PPTP. Trước hết, L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như PPTP (cổng mặc định cho L2TP là 1701). Chương trình quản lý có tùy chọn để cổng gán cho tường lửa, điều này gây khó khăn cho kẻ tấn công vào một cổng đã biết trong khi cổng đó có thể được đổi thành một số khác. Thứ hai là luồng dữ liệu và thông tin điều khiển được truyền trên cùng một cổng UDP, việc thiết lập tường lửa sẽ đơn giản hơn. Do một tường lửa tường lửa không có hỗ trợ GRE nên chúng tương thích với L2TP hơn là với PPTP.
2.5.4.2.2 Phần mềm client L2TP
Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Nhưng chú ý là thiết lập trên không sử dụng được mã hóa của IPSec, điều đó có nghĩa là nên sử dụng các client tương thích L2TP cho L2TP VPN.
- Tương thích với những thành phần khác của IPSec (như máy chủ mã hóa, giao thức chuyển khóa, giải thuật mã hóa…).
- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. - Hỗ trợ tải SA về.
- Hàm băm xử lý được các địa chỉ IP động.
- Có cơ chế bảo mật khóa chống lại kể trộm (mã hóa khóa với mật khẩu). - Có cơ chế chuyển đổi mã hóa một cách tự động và định kỳ.
- Chặn toàn bộ các lưu lượng không – IPSec.
2.5.4.2.3 Các bộ tập trung truy cập mạng
Không giống như IPSec VPN, trong một số trường hợp thiết kế của L2TP VPN phụ thuộc vào giao thức hỗ trợ bởi ISP. Việc hỗ trợ đặc biệt quan trọng khi các client từ xa không có client L2TP có thể sử dụng client PPP để truy cập.
Bởi vì các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm hỗ trợ L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải có client L2TP tại máy của họ. Điều này mang lại ưu điểm là người dùng có thể sử dụng dịch vụ của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý.
Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ cho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh. Trong các trường hợp như thế ISP ACS đóng vai trò như điểm cuối của đường hầm L2TP bắt buộc điểm kết thúc còn lại là máy chủ tại đầu mạng riêng.
Việc lựa chọn một nhà ISP cung cấp dịch vụ L2TP VPN có thể thay đổi tùy theo yêu cầu thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hóa đầu cuối – đầu cuối thì cần cài các client tương thích L2TP tại các host đầu xa và thỏa thuận với ISP là sẽ xử lý mã hóa từ máy đầu xa đến tận máy chủ của mạng VPN. Nếu xây dựng một mạng ít bảo mật hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi trong đường hầm trên Internet thì thỏa thuận với ISP để họ hỗ trợ LAC và mã hóa dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng VPN.
2.5.4.2.4 Một số ví dụ minh họa ứng dụng L2TP trong VPN
Trong ví dụ chỉ đề cập đến việc trao đổi dữ liệu giữa hai điểm cuối, không quan tâm đến thông tin trong mạng được bảo mật như thế nào (sử dụng tường lửa chẳng hạn). Các host được nối tới máy chủ L2TP và mọi ngõ đi ra ngoài đều phải thông qua máy chủ L2TP kết hợp với tường lửa. Kết nối giữa site trong mạng và site bên ngoài
phải được khóa lại sao cho chỉ có người quản trị mạng mới truy cập tới được máy chủ mã hóa.
Trong ví dụ hình 2.29, công ty A quyết định sử dụng dịch vụ VPN có hỗ trợ của ISP. Điều này có nghĩa là ISP cung cấp kết nối Internet cho công ty A có máy chủ proxy RADIUS và LAC. Ở tại công ty A vẫn có duy trì máy chủ RADIUS và LNS. Do ISP có hỗ trợ L2TP nên các máy đầu xa không cần phải cài client L2TP.
Hình 2.29: Quay số L2TP trong VPN