Giao thức định đường hầm lớp 2 – L2TP

Một phần của tài liệu Xây dựng mạng riêng ảo VPN cho Viễn thông Hà Nội (Trang 23 - 28)

CHƯƠNG 1: ĐẶC TRƯNG CỦA CÔNG NGHỆ MẠNG RIÊNG ẢO

1.3 Mạng riêng ảo (VPN – Virtual Private Network)

1.3.3 Các giao thức dùng cho VPN

1.3.3.2 Giao thức định đường hầm lớp 2 – L2TP

Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP.

Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM.

L2TP có thể được sử dụng làm giao thức đường hầm cho mạng VPN điểm- nối điểm và VPN truy cập từ xa. Trên thực tế, L2TP có thể tạo ra một đường hầm giữa máy khách và router, NAS và router, router và router.

Vì L2TP là sự kết hợp của L2F và PPTP do đó L2TP có các ưu điểm sau:

- L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đó nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.

- L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và các mạng công cộng khác.

- L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều không cần phải thực thi phần mềm chuyện dụng.

- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của riêng truy cập mạng từ xa thông qua mạng công cộng.

Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. Do đó ISP không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của L2TP nhanh hơn so với các nghi thức đường hầm trước nó.

Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy

đích) của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ xa và gateway của ISP.

Hình 1.10: Đường hầm L2TP

Khi khung PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng gói dưới dạng gói dữ liệu user: thông điệp UDP(Uer Datagram Protocol). L2TP sử dụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc.

Các thành phần cơ bản của L2TP

Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS).

Máy chủ truy cập mạng - NAS

Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thông qua đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm. NAS có nhiệm vụ định quyền người dùng từ xa và quyết định quay số yêu cầu kết nối mạng. Cũng như máy chủ truy nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được đặt tại ISP và hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP.

Bộ tập trung truy cập L2TP - LAC

Vai trò của LAC: thiết lập đường hầm thông qua mạng công cộng (PSTN, ISDN và Internet) tới LNS của máy chủ mạng đầu cuối. LAC có thể coi là điểm kết thúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng.

LAC được đặt tại ISP. Tuy nhiên user từ bên ngoài cũng có thể hoạt động như LAC trong trường hợp tạo đường hầm L2TP tự nguyện.

Máy chủ mạng L2TP - LNS

LNS được đặt trên mạng máy chủ. Vì vậy nó được sử dụng để kết thúc kết nối L2TP khi LACs kết thúc đường hầm L2TP từ máy khách. Khi LNS nhận được yêu cầu kết nối mạng ảo từ LAC, nó sẽ thiết lập đường hầm và chứng thực người dùng khởi tạo yêu cầu kết nối đó. Nếu LNS chấp thuận yêu cầu kết nối thì nó sẽ tạo ra giao diện ảo.

Quá trình tạo kết nối L2TP

Khi người dùng từ xa cần thiết lập đường hầm L2TP thông qua Internet hoặc các mạng công cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau:

- Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạo kết nối PPP tới đầu ISP.

- NAS chấp nhận yêu cầu kết nối sau khi chứng thực user. NAS sẽ sử dụng các phương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thực hiện nhiệm vụ này.

- Sau đó NAS kích hoạt LAC, LAC thu nhận thông tin với LNS của mạng đích.

- Sau đó, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữa hai đầu. Đường hầm có thể là ATM, Frame Relay, hoặc IP/UDP.

- Sau khi đường hầm đã được thiết lập thành công, LAC đưa Call ID (CID) tới kết nối và gửi thông điệp thông báo đến LNS. Thông điệp thông báo chứa các thông tin để chứng thực user. Thông điệp cũng mang các thông số tùy chọn của giao thức điều khiển L2TP(LCP) được người dùng và LAC thỏa thuận từ trước.

- LNS sử dụng các thông tin nhận được trong thông điệp thông báo để chứng thực user. Nếu user được chứng thực thành công và LNS chấp thuận yêu cầu tạo đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa trên các tù chọn LCP nhận được trong thông điệp thông báo

- Người dùng từ xa và LNS trao đổi dữ liệu thông qua đường hầm L2TP.

Hình 1.11: Quá trình tạo đường hầm L2TP Tạo đường hầm dữ liệu L2TP

Cũng giống gói dữ liệu trong đường hầm PPTP, gói dữ liệu L2TP cũng được đóng gói tại nhiều mức khác nhau:

- Đóng gói dữ liệu PPP. Dữ liệu không được mã hóa trước khi đóng gói. Ở mức này, chỉ cộng thêm header PPP vào gói dữ liệu gốc

- Đóng gói khung L2TP. Sau khi dữ liệu gốc được đóng gói trong gói PPP, nó sẽ được cộng thêm header L2TP.

- Đóng gói khung UDP. Sau đó gói L2TP đã được đóng gói sẽ được đóng gói thêm trong frame UDP. Nói cách khác header UDP sẽ được thêm vào frame L2TP đã đóng gói.. Cổng nguồn và đích trong UDP header được thiết lập là 1701 để đặc tả cho L2TP

- Đóng gói bảo mật dữ liệu UDP. Sau khi khung L2TP được đóng gói trong UDP, khung UDP được mã hóa và một IPSec ESP sẽ được thêm vào nó.

IPSec. Header và trailer xác nhận IPSec cũng được nối thêm vào và để đóng gói dữ liệu.

- Đóng gói IP. Cộng thêm IP header vào gói dữ liệu. IP header chứa đ ịa chỉ của máy chủ (LNS) L2TP và người dùng từ xa.

- Đóng gói lớp Data Link. Header và trailer của lớp Data Link được thêm vào gói dữ liệu sau khi đóng gói IP. Header và trailer của lớp Data Link giúp gói dữ liệu đi tới nút đích. Trong trường hợp nút đích là nút cục bộ thì header và trailer của lớp Data Link dựa trên kỹ thuật mạng cục bộ (ví dụ Ethernet).

Trong trường hợp gói dữ liệu được gửi đến nút ở xa thì header và trailer của PPP sẽ được thêm vào gói dữ liệu đường hầm L2TP.

Hình 1.12: Quá trình đóng gói dữ liệu trong đường hầm L2TP Ở phía thu, quá trình xử lý dữ liệu sẽ diễn ra ngược lại

Hình 1.13: Quá trình mở gói dữ liệu trong đường hầm L2TP

Một phần của tài liệu Xây dựng mạng riêng ảo VPN cho Viễn thông Hà Nội (Trang 23 - 28)

Tải bản đầy đủ (DOC)

(92 trang)
w