Giao thức đường hầm L2TP

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 43 - 48)

Chương 1 : TỔNG QUAN

2.5 Các giao thức đường hầm trong IP-VPN

2.5.2 Giao thức đường hầm L2TP

2.5.2.1 Giới thiệu L2TP.

Thông thường, người sử dụng thực hiện kết nối ở lớp 2 tới bộ phục vụ truy nhập mạng NAS (Network Access Server) bằng một trong các kỹ thuật như dialup POTS, ISDN, ADSL, .. và sau đó dữ liệu được đóng gói theo giao thức PPP (Point to Point Protocol) để truyền qua kết nối đó. Q trình thực hiện như vậy khiến cho điểm kết cuối lớp 2 và điểm kết cuối của phiên kết nối PPP phải thuộc cùng một thiết bị (ví dụ như NAS). L2TP mở rộng mơ hình PPP bằng cách cho phép điểm kết cuối lớp 2 và kết cuối PPP tách ra trên các thiết bị khác nhau, và các thiết bị này có thể kết nối bằng mạng chuyển mạch gói. Với L2TP, người dùng có một kết nối lớp 2 tới bộ tập trung truy nhập (như modem bank, ADSL DSLAM, ..), sau đó bộ tập trung này tạo đường hầm cho từng khung PPP riêng biệt đi tới NAS. Điều này cho phép tách riêng quá trình sử lý gói PPP với mạch xử lý lớp 2. Lợi ích của nó là thay vì bắt buộc kết cuối lớp 2 phải nằmở NAS ( có thể địi hỏi chi phí đường dài), thì kết cuối có thể tại bộ tập trung địa phương nhờ đó có thể mở rộng phiên kết nối PPP thông qua cơ sở hạ tầng chia sẻ như là frame relay hay Internet. Về phía người dùng thì khơng có gì khác biệt.

L2TP cũng giải quyết vấn đề chia tách nhóm đa đường (multilink). Multilink PPP đòi hỏi tất cả các kênh tạo thành nhóm phải được tập hợp tại cùng một NAS. Bởi vì L2TP cho phép phiên PPP được xử lý ở điểm khác điểm kết cuối vật lý nên multilink có thể thực hiện ngay cả khi các cuộc kết nối được tiếp nhận tại các NAS khác nhau.

Hình 2-12: Kết nối đường hầm L2TP

Tương tự như PPTP, kết nối đường hầm cũng được thực hiện giữa hai thiết bị:

- L2TP Access Concentrator (LAC) : Bộ tập trung truy nhập. Là nút kết cuối của đường hầm L2TP. LAC nằm giữa một LNS và một hệ thống từ xa, có chức năng chuyển tiếp gói. Gói tin gửi từ LAC đến LNS cần phải tạo đường hầm bằng giao thức L2TP. Kết nối từ LAC đến hệ thống từ xa có thể là nội bộ hoặc PPP.

- L2TP Network Server (LNS) : Bộ phục vụ mạng L2TP. Là nút kết cuối của đường hầm L2TP. LNS là kết cuối ảo của phiên PPP của đường hầm tạo ra bởi LAC từ một hệ thống từ xa.

Hình 2-13: Hoạt động kết nối của L2TP

Remote System khởi tạo một kết nối PPP qua hệ thống PSTN tới một LAC. LAC sau đó sẽ tạo đường hầm cho kết nối PPP qua mạng Internet, Frame Relay, hoặc ATM tới một LNS nhờ đó mà tới được mạng LAN mong muốn. Remote System được cung cấp địa chỉ của mạng LAN thông qua trao đổi NCP (network control protocol) của PPP. Các tính năng xác thực, cấp phép và tính cước có thể thực hiện bởi thiết bị quản lý miền của mạng LAN giống như là người dùng được nối trực tiếp tới NAS.

LAC client (là thiết bị có chạy L2TP) có thể trực tiếp tạo đường hầm mà khơng cần qua LAC. Trong trường hợp này, kết nối PPP ảo được tạo bởi phần mềm L2TP LAC Client.

2.5.2.2 Các kết nối L2TP.

L2TP có hai loại bản tin, bản tin điều khiển và dữ liệu. Bản tin điều khiển được dùng để tạo, duy trì và hủy đường hầm và các cuộc kết nối. Các bản tin dữ liệu được đóng khung PPP và truyền qua đường hầm. Bản tin điều khiển được truyền qua kênh điều khiển tin cậy trong phạm vi L2TP. Còn bản tin dữ liệu thì khơng được phát lại nếu có lỗi xảy ra.

Hình 2-14: Cấu trúc giao thức L2TP.

Hình trên mơ tả quan hệ giữa khung PPP và bản tin điều khiển thông qua kênh điều khiển và kênh dữ liệu. Khung PPP được truyền qua kênh dữ liệu khơng tin cậy và đóng khung bằng cách thêm L2TP header và truyền tải bằng giao thức UDP, qua mạng FR, ATM .. Bản tin điều khiển được truyền qua kênh điều khiển tin cậy L2TP, khung dữ liệu được truyền in-band (trong băng) qua cùng một môi trường như bản tin dữ liệu. Trong cấu trúc bản tin cịn có trường Sequence number (số nối tiếp) nhờ đó các bản tin dữ liệu có thể được sắp xếp lại và phát hiện mất gói.

2.5.2.3 Cấu trúc gói tin L2TP.

Gói tin truyền qua đường hầm L2TP có cấu trúc như sau:

Hình 2-15: Cấu trúc gói tin L2TP

Đầu tiên, tồn bộ gói PPP được gắn thêm L2TP header. Sau đó gói L2TP được đóng gói với một UDP header có địa chỉ cổng nguồn và đích 1701. Sau đó được đóng gói với IP header. Và cuối cùng là đóng gói với phần header và trailer tương ứng với lớp data link của mơi trường mà gói tin sẽ đi qua.

Cấu trúc L2TP header sau là chung cho cả bản tin dữ liệu và điều khiển. Tùy từng trường hợp mà các trường này có được dùng hoặc khơng.

Hình 2-16: L2TP header.

- Bit type (T): chỉ định loại bản tin. 0 cho bản tin dữ liệu và 1 cho bản tin điều khiển.

- Bit Length (L): là 1 nếu trường độ dài bản tin được sử dụng. Đối với bản tin điều khiển, trường này bắt buộc là 1.

- Các bit x: bit dự trữ và phải xóa về 0 trong bản tin khi phát đi, và được bỏ qua khi nhận bản tin.

- Bit Sequence (S): là 1 nếu sử dụng trường Ns và Nr. Trong bản tin điều khiển trường này bắt buộc là 1.

- Bit Offset (O): là 1 nếu dùng trường kích thước dung sai Offset Size. Trong bản tin điều khiển trường này bắt buộc là 0.

- Bit Priority (P): là 1 thì bản tin dữ liệu được ưu tiên trong hàng đợi và khi truyền đi. Các bản tin yêu cầu hồi đáp (echo request) dùng để duy trì kết nối thường có bit P = 1.

- Trường Ver (version): là 2, chỉ ra rằng đây là L2TP header. Nếu là 1 thì bản tin có header L2F. Nếu trường Ver là các giá trị khơng xác định thì bản tin bị loại bỏ.

- Trường Tunnel ID: chỉ định một đường hầm đối với một thiết bị. Các số chỉ định này chỉ có tính địa phương. Có nghĩa là cùng một đường hầm đối với mỗi đầu của đường hầm đó nó sẽ có Tunnel ID khác nhau. Tunnel ID trong một bản tin là Tunnel ID của bên nhận chứ không phải bên thu. Tunnel ID được lựa chọn và trao đổi bởi hoạt động cấp Tunnel ID của AVP trong quá trình tạo đường hầm.

- Session ID: chỉ định một phiên truyền trên đường hầm. Phiên L2TP cũng có tính địa phương. Vì với cùng một phiên truyền thì tại mỗi đầu đường hầm lại có số Session ID khác nhau. Session ID của bản tin là Session ID của bên nhận. Session ID được lựa chọn và trao đổi thông qua hoạt động cấp Session ID AVP trong khi tạo phiên.

- Ns: chỉ ra số nối tiếp cho bản tin dữ liệu hoặc điều khiển, bắt đầu bằng 0 và tăng lên 1 sau mỗi bản tin.

- Nr: chỉ ra số nối tiếp dự kiến trong bản tin điều khiển kế tiếp nhận được. Offset Size: chỉ số octet của L2TP header, cũng là octet đầu tiên của dữ liệu sau L2TP header.

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 43 - 48)

Tải bản đầy đủ (PDF)

(112 trang)