Cùng với sự phát triển của L2F, có hai công nghệ đường hầm: L2F và PPTP
cạnh tranh nhau trên thị trường VPN. Hai giao thức này không tương thích nhau.
Kết quả là, các tổ chức đã gặp khó khăn vì yêu cầu của mỗi nơi một khác. IETF
quyết định kết thúc sự rắc rối này bằng cách kết hợp cả hai công nghệ thành một
giao thức và được dùng như một chuẩn trong giải pháp VPN. L2PT là kết quả của
sự kết hợp này.
2.2.3. Giao thức đường hầm lớp 2 (L2TP)
Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco,
Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN
trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP
và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa
chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP.
Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp
các đặc trưng của L2F và PPTP. Đó là những lợi ích sau:
- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP.
Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập
thông thường.
- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình
điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người
dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt.
- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy
cập một mạng từ xa qua một mạng công cộng.
- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì
vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền
truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định
nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình
thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước.
Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà
không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế,
đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích). Như trong hình
2.15. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc

Gateway của ISP.

Hình 2.15 Đường hầm L2TP
Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại
như các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả
dữ liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường
hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có
cùng cấu trúc gói.
2.2.3.1. Thành phần của L2TP
Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy cập
mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS).
1. Server truy cập mạng (NAS)
Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới
những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối
PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau
cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không.
Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động
như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ
trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm
của Microsoft, Unix, Linux,…)
2. Bộ tập trung truy cập L2TP (LAC)
Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường
hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ
sau cùng. Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường
vật lý giữa Client sau cùng và LNS của mạng chủ.
Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP
nhằm cung cấp kết nối vật lý cho người truy cập từ xa.
3. Server mạng L2TP(LNS)
LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung
tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc.

Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó
thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS chấp
nhận yêu cầu kết nối, nó tạo một giao diện ảo.
2.2.3.2. Các tiến trình L2TP
Internet
Remote
User
NAS
Connection Accepted
4
Data Exchange
LAC
Authentication
Request
2a
2b
Connection
Accepted/
Rejected
3
Connection
Forwarded
to LAC
Connection Establishment
Notifiaction Message
(CID+Authentication
Information)
5
End User
Authentication

6
PPP Connection
ISP's Intranet
Private networ
k
1
Connection
Request

Hình 2.16 Mô tả quá trình thiết lập đường hầm L2TP
Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng
Internet hoặc mạng công cộng, tuần tự các bước như sau:
1) Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và
đồng thời khởi tạo một kết nối PPP với ISP sau cùng.
2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử
dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho
chức năng này.
3) NAS sau đó khởi động LAC, nơi chứa thông tin về LNS của mạng đích.
4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian
giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay hoặc
IP/UDP.
5) Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định
danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS,
thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa
(người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả tuỳ chọn LCP
đã được thương lượng giữa người dùng với LAC.
6) LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực
người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp nhận
yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp
của các tuỳ chọn nhận được từ thông điệp thông báo.

7) Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm.
2.2.3.3. Dữ liệu đường hầm L2TP
Data
PPP
Header
Data
L2TP
Header
PPP
Header
Data
L2TP
Header
ESP
Header
AH
Trailer
PPP
Header
Data
L2TP
Header
ESP
Header
AH
Trailer
IP
Header
PPP
Header

Data
L2TP
Header
ESP
Header
AH
Trailer
IP
Header
Data Link
Header
Data Link
Trailer
PPP Encapsulation
L2TP Encapsulation
IPSec Encapsulation
IP Encapsulation
Data Link Layer Encapsulation
Data
PPP
Header

Hình 2.17 Quá trình xử lý định đường hầm dữ liệu L2TP
Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều
mức đóng gói. Các giai đoạn này được minh hoạ trong hình 2.17, bao gồm:
- Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ
liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào gói dữ
liệu gốc được tải.
- Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong
một gói PPP, một tiêu đề L2TP được thêm vào.

- Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói
lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được thêm
vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được thiết lập là
1701.
- Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được
đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec
được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã
hoá và đóng gói dữ liệu.
- Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối
cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ IP của
LNS và người dùng từ xa.
- Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu
cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng. Tiêu đề
và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node đích là node
cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN. Trong trường hợp
khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm
vào gói dữ liệu đường hầm L2TP.
ESP
Header
L2TP
Header
Data Link
Header
IP
Header
PPP
Header
Data
AH
Trailer

Data Link
Trailer
ESP
Header
L2TP
Header
IP
Header
PPP
Header
Data
AH
Trailer
ESP
Header
L2TP
Header
PPP
Header
Data
AH
Trailer
L2TP
Header
PPP
Header
Data
PPP
Header
Data

Data
Data Link Layer D e-capsulation
IP De-capsulation
IPSec De-capsulation
L2TP D e-cap sulation
PPP De-capsulation

Hình 2.18 Tiến trình mở gói dữ liệu đường hầm L2TP
Tiến trình mở gói dữ liệu đường hầm là ngược lại của thủ tục tạo đường hầm. Khi một thành phần L2TP
(LNS hoặc người dùng cuối) nhận một gói dữ