Giao thức L2TP được sử dụng để xác thực người sử dụng Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2, nên hỗ trợ cho người sử dụng các khả năng mềm dẻo như PPTP trong việc truyền tải các giao thức không phải là IP, ví dụ như là IPX và NETBEUI. L2TP PPP Giao thức AH Quản lý khoá Giao thức ESP Giải thuật Mã hoá Giải thuật Xác thực Hình 7.5: Kiến trúc của L2TP. LAN Internet L2TP Network Server ISP L2TP Acces Concentratcy
Delivery media Header (IP, ATM,X25) L2TP Header
PPP Framing media Header
PPP, Payload packets Ethernet IP, IPX and NetBeui Datagram
Bảo mật trong L2TP: Việc xác thực người dùng trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai
đoạn 2 và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng. Trong giai đoạn 1, ISP có thể sử dụng sốđiện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP và khởi tạo kết nối
đường hầm đến máy chủ của VPN. Khi đường hầm được thiết lập, LAC của ISP chỉđịnh một số
nhận dạng cuộc gọi (Call ID) mới để định dạnh cho kết nối trong đường hầm và khởi tạo phiên làm việc bằng cách chuyển thông tin xác thực cho máy chủ VPN. Máy chủ VPN tiến hành tiếp bước 2 là quyết định chấp nhận hay từ chối cuộc gọi dựa vào các thông tin xác thực từ cuộc gọi của ISP chuyển đến. Thông tin đó có thể mang CHAP, PAP, EAP hay bất cứ thông tin xác thực nào. Sau khi cuộc gọi được chấp nhận, máy chủ VPN có thể khởi động giai đoạn 3 tại lớp PPP, bước náy tương tự như máy chủ xác thực một người dùng quay số truy nhập vào thăngr máy chủ.
Việc sử dụng các giao thức xác thực đơn giản nhưng không bảo mật cho các luồng dữ liệu
điều khiển và thông báo dữ liệu tạo kẽ hở cho việc chèn gói dữ liệu để chiếm quyền điều khiển
đường hầm, hay kết nối PPP, hoạc phá vỡ việc đàm phán PPP, lấy cắp mật khẩu người dùng. Mã hoá PPP không có xác thực địa chỉ, toàn vẹn dữ liệu, quản lý khoá nên bảo mật này yếu không an toàn trong kênh L2TP. Vì vậy, để có được xác thực như mong muốn, cần phải phân phối khoá và có giao thức quản lý khoá. Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu cũng phải được thực hiện cho L2TP trên IP. Việc quản lý khoá được thực hiện thông qua liên kết bảo mật - Security Association( SA). SA giúp 2 đối tượng truyền thông xác định phương thức mã hoá, nhưng việc chuyển giao khoá lại do IKE thực hiện. Nội dung này sẽđược nói rõ hơn trong giao thức IPSec.