1, Khái niệm :
các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP. Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc trưng của L2F và PPTP. Đó là những lợi ích sau:
- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường.
- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt.
- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng.
- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước. Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất
Hình 3.11 Đường hầm L2TP
2, Thành phần của L2TP :
Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS).
2.1, Server truy cập mạng (NAS):
Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…)
2.2, Bộ tập trung truy cập L2TP (LAC):
Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ.
Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa.
2.3, Server mạng L2TP(LNS)
LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc. Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo.
3, Các tiến trình L2TP :
Hình 3.12: Mô tả quá trình thiết lập đường hầm L2TP
Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng Internet hoặc mạng công cộng, tuần tự các bước như sau:
+ Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và đồng thời khởi tạo một kết nối PPP với ISP sau cùng.
+ NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho chức năng này.
+ Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay hoặc IP/UDP.
+ Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS, thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC. + LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo.
+ Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm. 3.1 Dữ liệu đường hầm L2TP :
Hình 3.13: Quá trình xử lý định đường hầm dữ liệu L2TP
Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức đóng gói :
- Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào gói dữ liệu gốc được tải.
- Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong một gói PPP, một tiêu đề L2TP được thêm vào.
- Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được thiết lập là 1701.
- Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã hoá và đóng gói dữ liệu.
- Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ IP của LNS và người dùng từ xa.
- Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng. Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN. Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP.
Hình 3.14: Tiến trình mở gói dữ liệu đường hầm L2TP
liệu đường hầm L2TP, trước tiên nó loại bỏ tiêu đề tầng liên kết dữ liệu và đánh dấu, tiếp đó gói dữ liệu được loại bỏ tiêu đề IP, gói dữ liệu sau đó được xác thực bằng việc dùng thông tin được mang trong tiêu đề ESP IPSec và đánh dấu AH, tiêu đề ESP IPSec cũng được dùng để giải mã thông tin. Tiếp theo tiêu đề UDP được xử lý và loại bỏ. Định danh đường hầm và CID trong tiêu đề L2TP phục vụ để định danh đường hầm L2TP và phiên làm việc. Cuối cùng, tiêu đề PPP được xử lý và loại bỏ, gói tải PPP được chuyển tiếp tới thiết bị giao thức thích hợp để xử lý.
4, Mô hình đường hầm L2TP :
L2TP hỗ trợ 2 mô hình đường hầm: Đường hầm tự nguyện (Voluntary) và đường hầm bắt buộc (Compulsory). Những đường hầm này vận dụng một luật quan trọng trong việc truyền dữ liệu từ một người dùng cuối này đến người dùng khác.
4.1, Đường hầm L2TP kiểu bắt buộc:
Một đường hầm L2TP bắt buộc, như ta thấy trong hình 2.19 được thiết lập giữa LAC của ISP sau cùng và LNS của mạng chủ. Điều quan trọng để thiết lập thành công một đường hầm như vậy là ISP có khả năng hỗ trợ công nghệ L2TP. Hơn nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP. Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được yêu cầu tại người dùng cuối L2TP.
Hình 3.15: Đường hầm L2TP bắt buộc
Việc tạo lập đường hầm L2TP được cân nhắc một tuỳ chọn tốt hơn từ quan điểm của bảo mật vì kết nối đường quay số tại người dùng cuối được dùng để thiết lập kết nối PPP với ISP. Kết quả là, người dùng không thể truy cập ngoại trừ qua Gateway trong Intranet. Nó cho phép người quản trị mạng thực thi các cơ chế bảo mật nghiêm ngặt, kiểm soát truy cập và các chiến lược kiểm toán.
Hình 3.16: Thiết lâp một đường hầm L2TP bắt buộc
Các bước thiết lập đường hầm bắt buộc bao gồm:
+ NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của đường hầm L2TP.
+ Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và người dùng từ xa.
+ LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng. + Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo đường hầm L2TP.
+ LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc.
+ Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet.
4.2, Đường hầm L2TP kiểu tự nguyện :
Một đường hầm tự nguyện L2TP như trong hình 2.21 được thiết lập giữa người dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với người dùng cuối. Điều này có thể làm cho bạn nhớ về đường hầm dựa trên PPP trong Intranet của ISP là trong suốt.
Hình 3.17: Đường hầm L2TP tự nguyện
5, Kiểm soát kết nối và bảo mật trong L2TP : 5.1, Kiểm soát kết nối :
Kiểm soát kết nối L2TP và các Frame quản trị được dựa trên UDP. Định dạng của thông điệp kiểm soát L2TP được mô tả:
Hình 3.18 Định dạng thông điệp kiểm soát L2TP
5.2, Bảo mật L2TP :
L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực bao gồm:
- PAP và SPAP. - EAP.
- CHAP.
Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực các gói dữ liệu riêng. Mặc dù điều này làm giảm đáng kể tốc độ giao dịch. Dùng IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi được dữ liệu và đường hầm.