L2TP hỗ trợ 2 mô hình đường hầm: Đường hầm tự nguyện (Voluntary) và đường hầm bắt buộc (Compulsory). Những đường hầm này vận dụng một luật
quan trọng trong việc truyền dữ liệu từ một người dùng cuối này đến người dùng khác.
1. Đường hầm L2TP kiểu bắt buộc
Một đường hầm L2TP bắt buộc, như ta thấy trong hình 2.19 được thiết lập giữa LAC của ISP sau cùng và LNS của mạng chủ. Điều quan trọng để thiết lập thành công một đường hầm như vậy là ISP có khả năng hỗ trợ công nghệ L2TP. Hơn nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP.
Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được yêu cầu tại người dùng cuối L2TP.
Hình 2.19 Đường hầm L2TP bắt buộc
Việc tạo lập đường hầm L2TP được cân nhắc một tuỳ chọn tốt hơn từ quan điểm của bảo mật vì kết nối đường quay số tại người dùng cuối được dùng để thiết lập kết nối PPP với ISP. Kết quả là, người dùng không thể truy cập ngoại trừ qua Gateway trong Intranet. Nó cho phép người quản trị mạng thực thi các cơ chế bảo mật nghiêm ngặt, kiểm soát truy cập và các chiến lược kiểm toán.
Connection Established PPP Connection Request Remote User ISP's Intranet 1 3 Initiation of L2F Tunnel 4 5 6 8 LNS LAC NAS Private Network PPP Connection Authentication Request 2 Connection Established L2TP Tunnel Frames To Destination Node Authentication the Remote User 7
Internet
Hình 2.20 Thiết lâp một đường hầm L2TP bắt buộc
Các bước thiết lập đường hầm bắt buộc được mô tả như trong hình 2.20 và bao gồm:
1) Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP.
2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của đường hầm L2TP.
3) Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và người dùng từ xa.
4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng. 5) Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo đường hầm L2TP.
6) LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc.
7) Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet.
Một đường hầm tự nguyện L2TP như trong hình 2.21 được thiết lập giữa người dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với người dùng cuối. Điều này có thể làm cho bạn nhớ về đường hầm dựa trên PPP trong Intranet của ISP là trong suốt.
Hình 2.21 Đường hầm L2TP tự nguyện
Ưu điểm lớn nhất của đường hầm L2TP tự nguyện là nó cho phép người dùng từ xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên để sử dụng những ưu điểm này, người dùng từ xa phải gắn vào nhiều địa chỉ IP. Một trong nhiều IP này được dùng cho kết nối PPP tới ISP và thường được dùng để hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Tuy nhiên ưu điểm này cũng có thể là một bất lợi đối với client từ xa, vì mạng chủ có thể dễ dàng bị tấn công. Authentication the User Connection Request LAC ISP's Intranet 1a LNS Private Network Remote User 4a 4b Internet ConnectionRequest 1b ConnectionAccepted/Rejected L2TP Frames 2 Strips Tunneling Information 3 Frames to the Destination Node
Việc thiết lập một đường hầm loại này là đơn giản hơn thiết lập đường hầm bắt buộc vì người dùng từ xa tận dụng một kết nối PPP đã được thiết lập trước tới ISP sau cùng. Các bước thiết lập đường hầm bao gồm:
1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu đường hầm tới LNS.
2) Nếu yêu cầu đường hầm được chấp nhận bởi LNS, LAC tạo đường hầm cho các Frame PPP trên L2TP xác định và chuyển tiếp các frame này qua đường hầm.
3) LNS nhận được Frame đã qua đường hầm, loại bỏ thông tin đường hầm và xử lý Frame.
4) Cuối cùng, LNS xác thực định danh người dùng và nếu người dùng được xác thực thành công, thì chuyển tiếp Frame tới Node đích trong Intranet.
Tiến trình thiết lập đường hầm L2TP tự nguyện được minh hoạ trong hình