- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN K ết
4. Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ
Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổ chức đó.
Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng) trên hệ thống mạng riêng. Cơ quan thẩm quyền Internet Assigned Numbers (IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập Internet hay các truy cập qua Router. Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới
mạng nội bộ của công ty. Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải mở ra một cổng nào đócho người sử dụng vào mạng cục bộ, điều này có thể tạo ra lỗ hỗng. Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể vào mạng cục bộ.
2.2.2. Chuyển tiếp tầng 2 (L2F)
Như đã đề cập trước đây, các dịch vụ mạng quay số truyền thống được thực hiện qua Internet và vì vậy dựa trên công nghệ IP. Điều này giải thích tại sao giải pháp đường hầm lại thông dụng như PPP và PPTP, chứng tỏ thành công hơn của cơ sở hạ tầng IP so với các công nghệ mạngđương thời như ATM, FR. Bảo mật là vấn đề khác. Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS-CHAP không thật sự an toàn. Vấn đề này làm cho các tổ chức công nghiệp và các chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liền mạch cho nhiều dịch vụ quay sốảo và nhiều giao thức.
Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu các giải pháp theo hướng:
- Có khả năng bảo mật các giao dịch.
- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác.
- Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay.
Hình 2.11 Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng
Sau thời gian dài tìm kiếm, Cisco hiện tại đang mở rộng nghiên cứu L2F. Ngoài việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận lợi khác trong công nghệ truy cập từ xa. Các đường hầm L2F có thể hỗ trợ nhiều phiên đồng thời trong cùng một đường hầm. Theo cách nói đơn giản hơn là nhiều người dùng từ xa có thể cùng truy cập vào mạng cục bộ riêng qua một kết nối quay số đơn. L2F đạt được điều này bằng cách định nghĩa nhiều kết nối trong một đường hầm nơi mỗi kết nối mô tả một dòng PPP đơn. Hơn nữa, các dòng này có thể bắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều người dùng. Vì một đường hầm có thể hỗ trợ nhiều kết nốiđồng thời, một vài kết nốiđược yêu cầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway của mạng riêng. Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng. Hình 2.11 mô tả đường hầm L2F
2.2.2.1. Tiến trình L2F
Khi một Client quay số từ xa khởi tạo một kết nối tới Host cục bộ trong một Intranet riêng. Request Accepted/ Rejected PPP Connection Request NAS Internet Remote
User Host Server
Network Gateway
ISP'sIntranet Private Network
12 2 User Authentication (PAP, CHAP) 3 Tunnel Establishment Allocated L2F Tunnel Initiation 4 5 Connection RequestAccepted/ Rejected 6a
Tunnel Established Notification
6b User Authentication 7a Tunnel Established 7b
Các tiến trình sau được thực hiện tuần tự:
1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ. Nếu một người dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN hoặc liên kết để kết nối tới ISP. Nếu người dùng không phải là một phần của bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN.
2. Nếu NAS đặt tại POP của ISP chấp nhận yêu cầu kết nối, kết nối PPP được thiết lập giữa NAS và người dùng.
3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được sử dụng cho chức năng này.
4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì một đường hầm sẽđược khởi tạo.
5. Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa công duy nhất được phân phối tới các kết nối. Một thông điệp thông báo cũng được gửi tới các Gateway của máy chủ mạng. Thông điệp này thông báo cho Gateway về yêu cầu kết nối từ một người dùng ở xa.
6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này. Nếu yêu cầu bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số bị kết thúc. Trong trường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa.
7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao diệnảođược thiết lập giữa 2 đầu cuối.
2.2.2.2. Đường hầm L2F
Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận, một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được thiết lập, như trong hình 2.13.
Hình 2.13 Quá trình địnhđường hầm dữ liệu dựa trên L2F
Sau khi đường hầm giữa 2 đầu cuốiđược thiết lập xong. Các Frame tầng 2 có thể được trao đổi qua đường hầm như sau:
1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại ISP. 2. POP cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm vào tiêu đề L2F và đánh dấu frame. Sau khi frame được đóng gói mới thì được chuyển tiếp tới mạngđích qua đường hầm.
3. Máy chủ Gateway mạng chấp nhận các gói đường hầm này, cắt bỏ tiêu đề L2F, đánh dấu và chuyển tiếp các frame tới Node đích trong mạng Intranet.
Node đích xử lý các frame nhậnđược như là các gói không qua đường hầm. Chú ý: Đường hầm L2F được xem như là một “Giao diệnảo”
Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược lại. Đó là, host gửi một frame tầng liên kết dữ liệu thông thường tới Gateway, Gateway này sẽ đóng gói frame vào trong một gói L2F (như trong hình 2.14) và chuyển tiếp nó tới NAS đặt tại Site của ISP. NAS cắt bỏ thông tin L2F từ các frame và thêm vào thông tin tầng liên kết dữ liệu thích hợp với nó.
Frame sau đó được chuyển tiếp tới người dùng từ xa.
L2F Header Payload Packet(PPP/SLIP) L2F CheckSum
Hình 2.14 định dạng gói L2F
2.2.2.3. Bảo mật L2F