MỤC LỤC
MỤC LỤC…………………………………………………………………1
DANH SÁCH HÌNH………………………………………………………2
lỜi NÓI ĐẦU ……………………………………………………… ……3
CHƯƠNG 1 - TỔNG QUAN VỂ MẠNG RIÊNG ẢO
1.1 Khái niệm mạng riêng ảo…………………………………………….5
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo……………7
1.2.1 Chức năng………………………………………………………….7
1.2.2 Ưu điểm……………………………………………………… ….7
1.2.3 Nhược điểm……………………………………………………….8
CHƯƠNG 2 – CÁC GIAO THỨC ĐƯỜNG HẦM
2.1 Giới thiệu các giao thức đường hầm…………………………………9
2.2 Các giao thức mã hoá đường hầm……………………………… …11
2.2.1 Giao thức chuyển tiếp lớp 2 L2F………………………………… 11
2.2.1.1 Các quá trình xử lý L2F……………………………………….12
2.2.1.2 Tunneling L2F……………………………………………… 14
2.2.1.3 Vấn đề bảo mật L2F………………………………………… 15
2.2.1.4 Sự nhận thức dữ liệu L2F…………………………………… 16
2.2.1.5 Ưu điểm và Nhược điểm của L2F…………………………… 17
2.2.2 Giao thức Tunneling lớp 2 L2TP………………………………….18
2.2.2.1 Các thành phần của L2TP…………………………………… …20
2,2,2,2 Các quá trình xử lý của L2TP…………………………………….21
2.2.2.3 Tunnel dữ liệu L2TP………………………………………… 22
2.2.2.4 Các phương thức đường hầm L2TP……………………………25
2.2.2.5 Sự nhận thực L2TP qua IPsec………………………….………30
2.2.2.6 Mã hóa dữ liệu dạng L2TP…………………………… ………31
2.2.2.7 Ưu điểm và Nhược điểm của L2TP…………………………….31
KẾT LUẬN ………………………………………………………………33
1
DANH SÁCH HÌNH
Hình 1.1 : Mô hình mạng riêng ảo………………………………………….5.

Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm……………………………7.
Hình 2.1 Mạng riêng sử dụng IPsec………………………………… ……10
Hình 2.2 Giao thức đường hầm L2F……………………………………….12
Hình 2.3-Quá trình thiết lập L2F………………………………………… 14
Hình 2.4-Xử lý tunneling dữ liệu L2F…………………………………… 14
Hình 2.5 –Dạng gói L2F………………………………………………… 15
Hình 2.6-Các tunnel L2TP……………………………………………… 20
Hình 2.7-Quá trình thiết lập tunnel L2TP………………………………….22
Hình 2.8-Quá trình hoàn thiện dữ liệu Tunnel L2TP…………………… 24
Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP…………… 25
Hình 2.10-Tunnel cưỡng bức L2TP……………………………………….26
Hình 2.11-Quá trình thiết lập tunnel cưỡng bức………………………… 27
Hình 2.12-Tunnel tự nguyện L2TP……………………………………… 28
Hình 2.13 -Việc thiết lập tunnel tự nguyện L2TP…………………………29
Hình 2.14- Định dạng của bản tin điều khiển L2TP……………………….29
Hình 2.15-Việc bảo vệ tunnel cưỡng bức sử dụng IPsec………………… 30
Hình 2.16-Việc bảo vệ tunnel tự nguyện L2TP sử dụng IPsec…………….31
Bàn 2.1 So sánh các phương pháp mã hoá đường hầm trong VPN……….33
2
LỜi NÓI ĐẦU
Mạng riêng ảo là một giải pháp hiệu quả cho phép truyền thông dữ liệu
một cách an toàn với chi phí thấp , giảm nhẹ được các công việc quản lý
hoạt động của mạng , linh hoạt trong các công việc truy cập từ xa . VPN là
mạng kết nối cho các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng
của mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo
bảo mật riêng cho mạng .
Mục tiêu của tài liệu này giới thiệu
Chương 1 : Giới thiệu tổng quan về mạng VPN ảo và các đặc tính của
mạng VPN
Chương 2 : Giới thiệu các giao thức đường hầm

KẾT LUẬN
3

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CHUYÊN ĐỀ
Quản lý Mạng Viễn Thông
Đề tài:
MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ MÃ
HOÁ ĐƯỜNG HẦM
Giáo viên hướng dẫn:ThS.Nguyễn Tiến Ban
Người thực hiện: Trần Đại Nghĩa
NguyÔn §×nh §¹t
Lớp: D2004VT2
Hà Nội 2005
4
Chương 1
Tổng quan về mạng riêng ảo
1.1Khái niệm mạng riêng ảo
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai
trên kết nối mạng trên cơ sở hạ tầng mạng công cộng với các chính sách
quản lý và bảo vệ giống như mạng cục bộ . Mạng VPN là sự mở rộng mô
hình mạng LAN . Trong thực tế người ta nói đến hai khái niệm : VPN tin
cậy và VPN an toàn
 VPN tin cậy : như là số mạch thuê bao của một nhà cung cấp dịch vụ
viễn thông . Mỗi mạch thuê hoạt động như một đường dây trong một
mạng cục bộ
 VPN an toàn : là các mạng riêng ảo có sự sử dụng các mật mã để bảo
vệ dữ liệu . Dữ liệu đầu ra của mạng được mật mã rồi chuyển vào
mạng công cộng như các dữ liệu khác để truyển tới đích và sau đó
được giải mã tại phía thu .

Hình 1.1 : Mô hình mạng riêng ảo
Bước vào kỷ nguyên thông tin, công nghệ
thông tin và viễn thông đang hội tụ sâu sắc
và đóng góp những vai trò quan trọng trong
sự phát triển kinh tế, xã hội toàn cầu. Xu
hướng toàn cầu hóa đã buộc các doanh
5
nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống thông
tin của chính mình. Với một hệ thống trụ sở, chi nhánh rải rộng
trên khắp thế giới, việc phải sử dụng một mạng kết nối - trao đổi
thông tin riêng ( WAN) trong nội bộ là vô cùng quan trọng để có
được những kết quả sản xuất kinh doanh thực sự hiệu quả.
Tuy nhiên, mạng dùng riêng (WAN)
vẫn là một giải pháp rất đắt tiền, đòi
hỏi những mức chi phí đầu tư lớn, rất
khó có thể phù hợp cho những doanh
nghiệp vừa và nhỏ tại Việt Nam. Với các công nghệ mạng trước
đây như Leased Line hoặc Frame Relay hoặc VPN, để kết nối
giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư
chi phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng. Tuy
nhiên, do hạn chế về công nghệ, công nghệ mạng truyền thống
này rất phức tạp, khó quản trị, và khả năng mở rộng mạng khó
khăn.
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công
nghệ cho phép thiết lập mạng dùng riêng trên nền mạng công
cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo”
thông suốt và bảo mật.
6
Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm
Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu

tư thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình. Đây là điều rất
khó khăn cho các doanh nghiệp không chuyên về viễn thông và công nghệ
thông tin.
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo
1.2.1 Chức năng VPN cung cấp 3 chức năng :
 Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin
với người mình mong muốn .
 Tính toàn vẹn
Để đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn
nào trong quá trình truyền dẫn
 Tính bảo mật
Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã phía đầu ra
1.2.2 Ưu điểm
Mạng riêng ảo mạng lại lợi ích thiết thực và tức thời cho các công ty
 tiết kiệm chi phí
7
 Tính linh hoạt
 Khản năng mở rộng
 Giảm thiểu các hỗ trợ kỹ thuật
 Giảm thiểu các yêu cầu thiết bị
 Đáp ứng các nhu cầu thương mại
1.2.2 Nhược điểm

Ngoài các ưu điểm trên mạng VPN còn có các nhược điểm
 Sự rủi ro an ninh
 Độ tin cậy và khẳn năng thực thi
 Vấn đề lựa chọn giao thức

8
Chương 2
Các giao thức đường hầm

2.1 Giới thiệu các giao thức đường hầm
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra
một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ
gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể
truyền qua hệ thống mạng trung gian theo những "đường ống" riêng
(tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và
chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối
Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức .
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
 Giao thức truyền tải (Carrier Protocol) là giao thức được sử
dụng bởi mạng có thông tin đang đi qua.
 Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức
GRE, IPSec, L2F, PPTP và L2TP
 Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu
gốc được truyền đi IPX, NetBeui, IP.
Đặc điểm riêng của mạng VPN ảo là có thể truyền một gói tin sử
dụng giao thức không được hỗ trợ trên Internet (NetBeui) bên trong một gói
IP và gửi nó qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP
9
riêng (lớp A) không được định tuyến trên mạng bên trong một gói dùng địa
chỉ IP (định tuyến) để mở rộng một mạng riêng trên Internet.
Chúng ta giới thiệu hai kỹ thuât hay dùng trong VPN , đó là VPN truy
cập từ xa và VPN điểm tới điểm
Kỹ thuật Tunneling VPN truy cập điểm-nối điểm
Trong VPN này, giao thức mã hóa định tuyến GRE (Generic Routing

Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao
gồm thông tin loại gói tin và thông tin kết nối giữa máy chủ với máy khách.
Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy
cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao
diện Tunnel.
Hình 2.1 Mạng riêng sử dụng IPsec
Kỹ thuật Tunneling VPN truy cập từ xa
Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point
Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao
thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói
tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào
PPP.
10
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các
thành viên PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP
và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm
giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa.
Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS
và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và
an toàn hơn.
Giao thức bảo mật IPsec (IPSec – Internet Protocol Security)

2.2 Các giao thức mã hoá đường hầm
2.2.1 Giao thức chuyển tiếp lớp 2 L2F
Các dịch vụ mạng dial-up truyền thống được thực hiện thông qua
internet và dựa trên công nghệ IP.Các giải pháp đường hầm phổ biến, như là
PPP và PPTP,đã chứng tỏ thành công với kiến trúc mạng IP hơn các công
nghệ mạng đương thời khác, như là ATM, Frame Relay, Sự bảo mật là một
vấn đề . Mặc dù các đòi hỏi của Microsoft về phiên giao dịch truyền
thông(transaction) có tính đảm bảo, PPTP dựa trên MS-CHAP-đã đựợc biết
trong các phần trước, là không thực sự đảm bảo. Các vấn đề này thu được do
các tổ chức công nghiệp và các chuyên gia nghiên cứu cho các giải pháp lựa
chọn.
Các hệ thống Cisco, cùng với Nortel, là một trong những nhà cung
cấp dẫn đầu đối với giải pháp đó là:
 Cho phép các phiên giao dịch truyền thông được đảm bảo.
 Cung cấp các truy nhập thông qua các kiến trúc cơ bản của internet
và các liên kết mạng trung gian công cộng khác.
11
 Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI,IPX,
Net-BEUI, và Frane Relay.
Cisco đã đưa ra sau những nghiên cứu mở rộng là L2F. Bên cạnh việc
thực các mục tiêu chính kể trên, L2F tỏ ra nhiều ưu điểm lớn khác trong
công nghệ điều khiển truy nhập từ xa. Các tunnel L2F có thể hỗ trợ hơn một
phiên đồng thời trong cùng một tunnel. Hay nói một cách đơn giản hơn, sẽ
có hơn một người ở xa có thể truy nhập vào intranet riêng sử dụng đường kết
nối dial-up đơn. L2F đạt được điều này bởi vì việc xác định nhiều các kết
nối trong một tunnel, ở đây mỗi một kết nối tương ứng với một luồng PPP.
Hơn nữa, các luồng này có thể khởi đầu từ một người sử dụng ở xa hoặc từ
nhiều người sử dụng. Bởi vì một tunnel có thể hỗ trợ nhiều kết nối một cách
đồng thời, Một số ít các kết nối được yêu cầu từ một trí xa tới các ISP và từ
POP của ISP tới các gateway của một mạng riêng. Đặc điểm này đặc biệt

hữu dụng trong việc giảm chi phi cho người sử dụng.
Hình 2.2 Giao thức đường hầm L2F .
2.2.1.1 Các quá trình xử lý L2F
Khi một client từ xa quay số khởi tạo một kết nối tới một cái host
được xác định vị trí trong một intranet,các quá trình xử lý sau được thực
hiện một cách tuần tự:
1. Người sử dụng từ xa khởi tạo một kết nối PPP tới các ISP của nó. Nếu
người sử dụng từ xa là một phần của cơ cấu mạng LAN,người sử
dụng có thể dùng ISDN hoặc cách kết nối khác để kết nối tới ISP. Một
chọn lựa khác, nếu người sử dụng không phải là một thành phần của
bất kỳ mạng intranet, bạn cần sử dụng dịch vụ theo đường PSTN.
12
2. Nếu NAS thiết lập POP của ISP chấp nhận yêu cầu kết nối, thì sự kết
nối PPP được thiết lập giữa NAS và người sử dụng.
3. Người sử dụng được nhận thực tại ISP cuối cùng. Một trong hai
CHAP hoặc PAP được sử dụng cho mục đích này.
4. Nếu không có tunnel nào tồn tại tới gateway của mạng đích mong
muốn, thì một đường được khởi tạo
5. Sau khi một tunnel được thiết lập thành công, một ID thành phần duy
nhất (MID) được cấp phát để kết nối. Một bản tin thông báo cũng
được gửi tới gateway của host trong mạng. Bản tin này thông báo
gateway về yêu cầu cho kết nối từ một người sử dụng ở xa.
6. Gateway có thể hoặc là chấp nhận hoặc từ chối yêu cầu kết nối tới nó.
Nếu yêu cầu bị từ chối, người sử dụng được thông báo về lại là yêu
cầu bị lỗi và kết nối dial-up kết thúc. Mặt khác, Nếu yêu cầu được
chấp nhận, cac gateway host gửi thông báo bắt đầu thiết lập tới client
xa. Đáp ứng này cũng có thể bao gồm thông tin nhận thực được sử
dụng bởi gateway để nhận thực người sử dụng từ xa.
7. Sau khi người sử dụng được nhận thực bởi một gateway của mạng
host, một giao diện ảo được thiết lập giữa hai đầu cuối.

Chú ý: Nếu CHAP được sử dụng cho việc nhận thực người sử dụng,
như chỉ ra trong bước 6, sự đáp ứng bao gồm các yêu cầu, tên truy nhập, đáp
ứng mới. Đối với các sự xác thực PAP-cơ sở, đáp ứng bao gồm tên và mật
khẩu trong cleartext. Trong trường hợp của PPP, sự thông báo khởi tạo thiết
lập cũng vậy bao gồm bản tin CONFACK được chuyển giữa hai đầu cuối
sau khi sự thỏa thuận TCP thành công. Sự chấp nhận này cho phép gateway
của mạng host được khởi tạo trạng thái PPP của chính nó.
.
13
Hình 2.3-Quá trình thiết lập L2F .
2.2.1.2 Tunneling L2F
Khi một người sử dụng xa được xác thực và các yêu cầu kết nối được
chấp thuận, một tunnel được thiết lập giữa NAS của ISP và gateway của
mạng host.
Hình 2.4-Xử lý tunneling dữ liệu L2F
Sau khi một tunnel giữa hai đầu cuối được thay thế, các khung lớp 2
có thể được trao đổi thông qua tunnel như sau:
14
1. Người sử dụng xa chuyển tiếp các khung thường tới các NAS đã được
cấp phát tại ISP.
2. POP tước đoạt các thông tin lớp liên kết dữ liệu hoặc các byte trong
suốt và thêm phần
3. Gateway của mạng host chấp nhận các gói này qua tunnel, tiêu đề và
phần đuôi của L2F bị loại bỏ còn khung được chuyển tiếp đến node
đích trong mạng intranet.
4. Node đích xử lý các khung nhận được như là các khung không qua
tunnel.
Chú ý: Các tunnel L2F cũng được coi như là “các giao diện ảo”.
Bất kỳ các đáp ứng nào từ host đích trong mạng host cũng chịu sự xử
lý ngược. Đó là, host gửi khung dữ liệu lớp liên kết dữ liệu thông thường tới

các gateway,mà các khung này được đóng khung vào các gói L2F (như trên
hình 2.4), và chuyển tiếp nó tới NAS đã được cấp phát tại phía ISP. NAS
phân giải các thông tin từ các khung thêm các thông tin lớp liên kết dữ liệu
thích hợp vào nó. Sau đó khung được chuyển tiếp tới người sử dụng ở xa.
Hình 2.5 –Dạng gói L2F.
2.2.1.3 Vấn đề bảo mật L2F
L2F cung cấp các tiện ích sau:
• Mật mã hóa dữ liệu.
• Sự xác thực.
Quá trình mật mã hóa dữ liệu của L2F:
L2F sử dụng MPPE (Mã hóa dữ liệu điểm-điểm của Microsoft) cho
mục đích mã hóa cơ bản. Tuy nhiên, MPPE không thực sự an toàn có thể
chống lại thủ thuật hack ngày càng tinh vi. Khi đó tất nhiên dẫn đến, L2F
cũng sử dụng phương pháp mã hóa dựa trên giao thức Ipsec(Internet
protocol security) để tăng thêm khả năng bảo vệ dữ liệu trong khi truyền
dẫn. Ipsec sử dụng hai giao thức cho mục đích mã hóa này- ESP
15
(Encapsulating Security) và AH (Authentication header). Hơn nữa, để đảm
bảo tính bảo mật khóa cao trong pha khóa trao đổi khóa, IPsec cũng sử dụng
một giao thức thứ 3 là IKE (Internet Key Exchange).
Ưu điểm lớn nhất của kỹ thuật mã hóa sử dụng IPsec là IPsec bắt buộc
sự nhận thực của từng gói riêng biêt thay vì thay vì sự thực hiện nhận thực
chung đối với mỗi người sử dụng. Trong kỹ thuật nhận thực theo người sử
dụng, mỗi người sử dụng tại các đầu cuối truyền thông tin được nhận thực
chỉ một lần khi bắt đầu truyền thông tin. Tuy nhiên, khi đó bạn cho rằng
chiến lược nhận thực theo gói là chậm hơn chiến lược nhận thực theo người
sử dụng và chịu phần mào đầu tương đối lớn. Ngoài ra, IPsec được khuyến
nghị như một giao thức bảo mật đối với tất cả các tunneling VPN, là PPTP,
L2F,L2TP.
2.2.1.4 Sự nhận thực dữ liệu L2F

Sự nhận thực của L2F được thực hiện theo 2 mức . Mức một của sự
nhận thực L2F-cơ sở xảy ra khi một người sử dụng xa quay số tới POP của
ISP. Tại đây, quá trình thiết lập tunnel nữa chỉ bắt đầu sau khi người sử dụng
đã được nhận thực. Việc nhận thực mức 2 được thực hiện bởi gateway của
mạng host. Các gateway này không thiết lập một tunnel giữa hai đầu cuối
(NAS và gateway) cho tới khi nó nhận thực được người sử dụng xa.
Giống như PPTP, L2F cũng sử dụng sử bảo mật các dịch vụ được hỗ
trợ bởi PPP cho mục đích nhận thực. Do đó, L2F sử dụng PAP để nhận thực
một client xa khi gateway của L2F nhận được yêu cầu kết nối. L2F cũng sử
dụng kế hoạch nhận thực sau cho việc tăng tính bảo mật dữ liệu:
• CHAP (Challenge Handshake Authentication Protocol). CHAP được
phát triển để đánh địa hóa vấn đề gửi mật khẩu trong cleartext trong
khi sử dụng PAP. Với CHAP, khi một client được đòi hỏi nhận dạng,
nó đáp lại với một giá trị hàm băm bí mật nhận được từ thuật toán
băm MD5. Nếu giá trị băm giống nhau được tính toán tại server-cuối
sử dụng cùng thủ tục sinh ra bởi client, thì client đã được nhận thực
thành công. Vì vậy, không mật khẩu cleartext nào được trao đổi trong
quá trình xử lí. Một vấn đề chung khác kết hợp với PAP là các đầu
16
cuối thông tin đã được nhận thực chỉ một lần trong toàn bộ quá trình
xử lý việc truyền thông tin. Tuy nhiên, CHAP có thể thực hiện nhiều
yêu cầu nhận thực trong một phiên.Việc này làm cho các hacker khó
phá thông tin hơn.
• EAP (Extensible Authentication Protocal). Không giống như phương
pháp PAP hay CHAP-được thực hiện tại thời gian cấu hình LCP,trong
khi thiết lập kết nối PPP,EAP được thực hiện sau pha LCP, khi việc
nhận thực PPP đã được thực hiện. Do vậy, EAP cho phép việc nhận
thực rộng rãi vì số lượng các thông số kết nối được tăng lên có thể là
sử dụng một cách tùy chọn như là thông tin nhận thực.
Chú ý:L2F cũng sử dụng giao thức SPAP (Shiva Password

Authentication Protocol) cho việc nhận thực. SPAP là giao thức chủ nó sử
dụng các mật khẩu đã mã hóa và có thể hỗ trợ thêm các chức năng tăng
cường, như là thay đổi mật khẩu và hỗ trợ kỹ thuật gọi lại.
Ngoài các kỹ thuật nhận thực đã kể ở trên, L2F cũng dùng RADIUS
(Remote Access Dial-In User Service) và TACACS (Terminal Access
Controller Access Control Service) khi nhận thực được đưa thêm vào dịch
vụ. Cả hai người nhận thực các dịch vụ có thể truy cập server truy cập cục
bộ,nếu các server truy cập xa không nhận thực được các người sử dụng này.
Việc nhận thực xa các RADIUS và TACACS-cơ sở được thực hiện chung
bởi các ISP và các tổ chức phạm vi rộng.
Chú ý:Nói chung, các RAS là có thể xử lí yêu cầu kết nối từ xa và
cấp phát quyền truy nhập. Tuy nhiên, nếu số lượng người sử dụng xa rất lớn,
chúng có thể chuyển tiếp các yêu cầu tới server RADIUS hoặc TACACS
hoặc một cơ sở dữ liệu đã được kết nối. Tại đây, người sử dụng có thể được
nhận thực và sau đó cấp phát hoặc từ chối việc truy nhập.
2.2.1.5 Ưu điểm và Nhược điểm L2F
Mặc dù L2F yêu cầu mở rộng phân phối với các LCP khác nhau và
các tùy chọn nhận thực. L2F rộng hơn PPTP bởi vì L2F là giải pháp chuyển
tiếp khung mức thấp. L2F cũng cung cấp mặt phẳng giải pháp VPN cho các
doanh nghiệp tốt hơn PPTP.
17
Ưu điểm chính của việc thực hiện giải pháp L2F-cơ sở là:
• Tăng tính bảo của các phiên truyền thông.
• Dạng mặt phẳng- độc lập.
• Không cần sự sắp xếp đặc biệt cho ISP.
• Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI, IPX,
NetBEUI, và Frame Relay.
Bên cạnh các ưu điểm kể trên, thì cũng có một vài nhược điểm đối với
L2F.
• Giải pháp L2F-cơ sở cần đến cấu hình và sự hỗ trợ mở rộng.

• Sự thực hiện của giải pháp L2F-cơ sở là phụ thuộc vào ISP. Nếu ISP
không hỗ trợ L2F, thự sự thực hiện quyết định là không thể.
• L2F không cung cấp kỹ thuật điều khiển luồng. Như vậy, nếu tunnel
bị quá tải thì các gói dữ liệu sẽ bị rớt tự do. Nguyên nhân của việc
này là do tốc độ phiên truyền thông thấp hơn tốc độ dữ liệu.
• Do phần mào đầu lớn kết hợp với việc nhận thực và mã hóa của L2F,
phiên truyền thông thực hiện thông qua các tunnel L2F-cơ sở là chậm
hơn so với PPTP.
Chú ý: Với sự phát triển của L2F, có hai kỹ thuật tunnel là- PPTP và
L2F-đang cạnh tranh quyền lực của thị trường VPN. Hai giao thức này là
không tương hợp nhau. Có hai công nghệ tunnel- PPTP và L2F- đang cạnh
tranh trong việc làm giao thức chính cho hệ thống VPN. Hai giao thức này
không tương thích với nhau. Kết quả, sự cấu tạo riêng của mỗi cái là khác
nhau đối với mỗi thiết bị khác nhau. IETF.
2.2.2 Giao thức tunneling lớp L2TP
Được phát triển bởi IETF và xác nhận bởi nhà công nghiệp lớn như hệ
thống Cisco, Microsoft, 3COM và Ascend, L2TP là sự kết hợp của các giao
thưc VPN ban đầu: PPTP và L2F. Trong thực tế, L2TP là sự hợp nhất các
đặc điểm tốt nhất của hai giao thức L2F và PPTP. L2TP đem lại sự mềm
18
dẻo, khả năng mở rộng, giá cả hiệu quả bởi giải pháp truy nhập từ xa của
L2F và khả năng kết nối điểm-điểm rất nhanh của PPTP.
Vì vậy, chìa khóa đem lại lợi ích này chính là sự kết hợp các thuộc
tính của PPTP và L2F. Một số lợi ích được liệt kê dưới đây:
• L2TP hỗ trợ đa giao thức và các công nghệ mạng như IP, ATM, FR
và PPP. Do đó, mà L2TP có hỗ trợ các công nghệ riêng rẽ với cơ sở
hạ tầng truy nhập chung.
• L2TP cho phép các công nghệ khác nhau để thúc đẩy một cách mạnh
mẽ cơ sở hạ tâng truy nhập trung gian của mạng Internet và các mạng
công cộng khác như là PSTN.

• L2TP không yêu cầu thực thực hiện của bất kỳ một phần mềm phụ
nào như việc thêm các driver hoặc các hệ thống hoạt động bổ trợ. Vì
vậy, người sử dụng từ xa hoặc các mạng intranet riêng cần các đến sự
thực hiện của phần mềm đặc biệt.
• L2TP cho phép người sử dụng từ xa với địa chỉ IP chưa được đăng ký
(hoặc cá biệt) được truy nhập tới một mạng xa thông qua mạng công
cộng.
• Sự nhận thực và sực cho phép của L2TP thực hiện bởi các gateway
của mạng host. Vì vậy, ISP không cần duy trì cơ sở dữ liệu nhận thực
người sử dụng hoặc sự truy nhập chính xác đối với người sử dụng từ
xa. Hơn nữa, các mạng intranet riêng biệt cũng có thể xác định các
quyền truy nhập riêng và các chính sách bảo mật. Điều này được thực
hiện bởi quá trình thiết lập tunnel nhanh hơn nhiều so với các giao
thức tunnel lúc đầu.
Đặc điểm chính của các tunnel L2TP-L2TP tự thiết lập tunnel, không
như PPTP, là không kết thúc tại các ISP gần nhất. Thay vì đó, các tunnel này
được gửi tới gateway của các mạng host (hoặc các đích), như chỉ ra trên hình
2.5. Các yêu cầu tunnel L2TP có thể được bắt đầu hoặc tại người sử dụng xa
hoặc tại các gateway của ISP.
19
Hình 2.6-Các tunnel L2TP.
Chú ý:Bộ tập trung truy cập L2TP (LAC) là một L2TP thành phần và
được thảo luận tại các phần sau.
Khi các khung PPP được gửi qua tunnel L2TP, chúng được đóng gói
bằng bản tin User Datagram Protocol (UDP). L2TP sử dụng các bản tin
UDP này cho tunnel dữ liệu và duy trì tunnel này. Hơn nữa, không giống
như các giao thức tunneling ban đầu,dữ liệu được đưa qua tunnel và các gói
duy trì tunnel, có cùng cấu trúc gói.
2.2.2.1 Các thành phần của L2TP
Các phiên giao dịch truyền thông L2TP-cơ sở dùng 3 thành phần cơ

bản nhât, đó là NAS ( Network Access Server) , LAC (L2TP Access
concentrator) và LNS (L2TP Network Server).
NAS -Network Access Server
Vai trò của LAC trong công nghệ tunnel L2TP là để thiết lập một
tunnel qua mạng công cộng ( như là PSTN, ISDN, hoặc là Internet) tới LNS
tại đầu cuối mạng host. Theo cách này, LAC được dùng như là sự kết thúc
lớp phương tiện vật lý giữa các client cuối và LNS của mạng host.
Điều quan trọng nhất đó là bạn phải nhờ rằng các LAC thông thường
được đặt tại vị trí các ISP. Tuy nhiên, người sử dụng xa cũng có thể hoạt
động như LAC trong trường hợp L2TP có tunnel tự chọn.
L2TP Network Server
Được biết đến rất sớm, các LNS được đặt tại kết cuối của mạng host.
Vì vậy, Chúng được để kết thúc sự kết nối L2TP tại mạng host đích.
20
2.2.2.2 Các quá trình xử lí của L2TP
Khi người sử dụng xa cần thiết lập một tunnel L2TP qua Internet hoặc
các mạng công cộng khác thì các quá trình sau sẽ diễn ra:
1. Người sử dụng xa gửi yêu cầu kết nối tới NAS của ISP gần nhất và
đang bắt đầu một kết nối PPP với một ISP đích.
2. NAS chấp nhận yêu cầu kết nối sau khi nhận thực được người sử dụng
đầu cuối. NAS sử dụng phương pháp nhận thực PPP-cơ sở, như là
PAP, CHAP, SPAP và EAP cho mục đích này.
3. Tiếp theo, LAC thiết lập một tunnel giữa LAC-LNS qua mạng trung
gian giữa hai đầu cuối. Phương tiện tunnel cũng có thể là ATM, FR
hoặc IP/UDP.
4. Sau khi tunnel được thiết lập thành công, LAC cấp phát một ID chủ
goi (CID) để kết nối và gửi bản tin thông báo tới LNS. Bản tin thông
báo này chứa đựng thông tin dùng để nhận thực người sử dụng xa
(người yêu cầu tunnel đầu). Bản tin này cũng chứa chức năng tùy
chọn LCP mà các chức năng này đã được thỏa thuận giữa người sử

dụng va LAC.
5. LNS sử dụng các thông tin nhận được trong bản tin thông báo để
nhận thực người sử dụng đích. Nếu người sử dụng đã được nhận thực
thành công và LNS chấp nhận yêu cầu tunnel thì một giao diện PPP
ảo được thiết lập với sự trợ giúp của chức năng tùy chọn LCP nhận
được trong bản tin thông báo.
6. Sau đó người sử dụng xa và LNS bắt đầu chuyển dữ liệu qua tunnel.
21
Hình 2.7-Quá trình thiết lập tunnel L2TP.
Giống như PPTP và L2F, L2TP cũng hỗ trợ hai phương thức hoạt động
l2TP, bao gồm:
• Phương thưc cuộc gọi đến: trong phương thức hoạt động này, các yêu
cầu kết nối được khởi tạo bởi người sử dụng xa:
• Phương thức cuộc gói đi: trong phương thức này, các yêu cầu khởi tạo
kết nối bằng LNS. Vì vậy, LNS chỉ thị LAC đến nơi nhận cuộc gọi.
Sau khi LAC thiết lập cuộc gọi, người sử dụng xa và LNS có thể
chuyển tiếp các gói dữ liệu trên tunnel.
2.2.2.3 Tunnel dữ liệu L2TP
Tương tự như PPTP đã gửi các gói qua tunnel, các gói dữ liệu L2TP
duới nhiều mức khác đóng gói khác nhau. Các tầng dữ liệu khác nhau của
luồng dữ L2TP được chỉ ra trên hình 2.7 bao gồm :
• Đóng gói dữ liệu dạng PPP: Không giống như việc đóng gói của
PPTP-cơ sở, dữ liệu không được mã hóa trước khi đóng gói. Chỉ có
tiêu đề PPP là được thêm vào phần tải tin dữ liệu ban đầu.
• Đóng gói các khung PPP dạng L2TP: Sau khi tải tin gốc đã được đóng
gói thành gói PPP thì tiêu đề của L2TP được thêm vào.
22
• Đóng gói khung L2TP dạng UDP :Tiếp theo, Các gói đã đươc đóng
gói dạng L2TP sẽ được đóng gói tiếp trong khung dạng UDP. Nói
cách khác, Phần tiêu đề UDP được thêm vào các khung L2TP. Các

cổng nguồn và đích trong tiêu đề UDP này được thiết lập đến 1701
trên các l2TP.
• Đóng gói dữ liệu đồ L2TP dạng Ipsec: Sau khi các khung L2TP đã
được đóng gói dạng UDP, cac khung UDP này lại được mã hóa và
tiêu đề ESP của Ipsec được thêm vào cac khung UDP này. Phần đuôi
AH của IPsec cũng được thêm vào để dữ liệu đồ đã được đóng gói và
mã hóa.
• Quá trình đóng gói cac gói tin IPsec thành gói IP:Phần tiêu đề cuối
cùng là tiêu đề của gói tin IP được thêm vào cac gói IPsec. Phần tiêu
đề này bao gồm địa chỉ IP của server L2TP (LNS) và người sử dụng
xa.
• Đóng gói dữ liệu lớp liên kết dữ liệu: Phần đầu và phần đuôi được
thêm vào gói tin IP. Phần đầu và phần đuôi này này giúp cho gói tin
tìm được nút đích. Nếu nút đích là nội hạt, thì đầu và đuôi của lớp liên
kết dữ liệu là công nghệ mạng cơ sở LAN (ví dụ, chúng có thể là
Ethernet cơ sở). Mặt khác, nếu gói tin là trung gian đối với các đích
xa, thì các gói dữ liệu tunnel L2TP sẽ được gắn thêm phần đầu và
phần đuôi.
23
Hình 2.8-Quá trình hoàn thiện dữ liệu Tunnel L2TP.
Sự phân giải gói tin L2TP là quá trình nghịch của thủ tục tunnel. Khi
một thành phần L2TP (LNS hoặc đầu cuối người sử dụng) nhận được các
gói L2TP. Đầu tiên, (LNS hoặc đầu cuối người sử dụng ) xử lí các các gói
bằng cách loại bỏ phần đầu và đuôi của lớp liên kết dữ liệu. Tiếp theo, các
gói được xử lí kỹ hơn và phần đầu của gói tin IP được loại bỏ. Sau đó, các
gói dữ liệu được nhận thực sử dụng các thông tin mang trong phần đầu ESP
và phần đuôi của gói tin IPsec. Phần đầu ESP cũng được dùng để giải mã
các thông tin đã được mã hóa. Tiếp theo, phần đầu UDP được xử lí và loại
bỏ. ID tunnel và ID của chủ gọi (CID) trong phần đầu của L2TP được dùng
để nhận dạng tunnel và phiên L2TP. Cuối cùng, tiêu đề PPP được xử lí và

loại bỏ bằng, tải tin PPP được chuyển tiếp tới bộ điều khiển giao thức thích
hợp cho quá trình xử lí.
24
Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP.
2.2.2.4 Phương thức đường hầm L2TP
L2TP hỗ trợ hai phương thức tunnel- phương thức tunnel cưỡng bức
và phương thức tunnel tự nguyện. Các phương thức tunnel này đóng một vai
trò quan trọng trong việc truyền dẫn dữ liệu đảm bảo từ một đầu cuối đến
một đầu cuối khác.
Phương thức tunnel cưỡng bức L2TP
Tunnel cưỡng bức L2TP được chỉ ra trên hình 2.9 được thiết lập giữa
LAC tại ISP cuối cùng và LNS tại mạng host cuối cùng. Sự thiết lâp thành
công của một tunnel cưỡng bức một phần quan trọng nhờ vào việc các ISP
có thể hỗ trợ công nghệ L2TP. Hơn nữa, các ISP cũng phải hoạt động với
một chìa khóa đóng vai trò thiết lập các tunnel L2TP vì nhờ vậy mà một
tunnel cưỡng bức được yêu cầu đối với các phiên bản đã được ấn định tại
ISP cuối cùng.
25