Tải bản đầy đủ (.pdf) (37 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

Tìm Hiểu Giao Thức L2TP

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.29 MB, 37 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP. HỒ CHÍ MINH

Ngành: CÔNG NGHỆ THÔNG TIN
Chuyên Ngành:

MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG

Đề Tài: Tìm Hiểu Giao Thức L2TP
MÔN: CHUYÊN ĐỀ 1

Giảng Viên Hướng Dẫn: Nguyễn Đức Quang
Sinh Viên thực hiện:
Họ và Tên
Dương Minh Chiến
Lê Duy An

Mssv
1151020065
1151020057

Điện Thoại
01638277155
0906903799

TP. Hồ Chí Minh, Năm 2014

Email





Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Mục Lục
L2TP .................................................................................................................................... 2
1. Định nghĩa..................................................................................................................... 2
1.1

RFC Liên Quan ...................................................................................................... 2

1.2

Port, layer và tpc/udp ............................................................................................. 3

2. Công dụng ..................................................................................................................... 3
3. Các gói tin L2TP ........................................................................................................... 4
3.1

Các loại thông điệp điều khiển............................................................................... 4

3.2

Cách thức xử lý thông điệp dữ liệu ........................................................................ 6

3.3

Cấu trúc gói tin ....................................................................................................... 8


4. Các đường hầm ( tunnel) ............................................................................................ 10
4.1

Đường hầm bắt buộc L2TP (L2TP Compulsory Tunnel Mode) ......................... 10

4.2

Đường hầm tự nguyện L2TP (L2TP Voluntary Tunnel Mode)........................... 12

4.3

L2tp và Ipsec ........................................................................................................ 14

4.4

Nguyên lý hoạt động ............................................................................................ 16

LAB L2TP ......................................................................................................................... 18
I. Mô Hình Giả Lập .................................................................................................... 18
2.

Quá Trình Cài Đặt ................................................................................................ 19

3.

Hình Chụp Lược Đồ Của Gói Tin và Phân Tích Từng Trường Của Gói Tin ..... 32

Giao Thức L2TP


1


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

L2TP
1. Định nghĩa
Giao thức đường hầm lớp 2 (Layer 2 Tunneling Protocol - L2TP) là một giao thức
tiêu chuẩn được IETF (Internet Engineering Task Force) công nhận . Được công bố vào
năm 1999 với RFC 2661 Nó kết hợp các đặc điểm tối ưu của 2 giao thức đã có trước đây
là giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding - L2F) của Cisco và giao thức đường
hầm điểm-điểm (Point to Point Tunneling Protocol - PPTP) của Microsoft . L2TP sử
dụng UDP port 500, 1701,4500.
L2TP có tất cả các đặc điểm ưu việt của L2F, ngoài ra còn có thêm các đặc điểm
khác. Một máy có cài đặt L2TP có thể hoạt động với một máy chủ cài đặt L2F cũng như
các máy chủ đã được nâng cấp lên chạy L2TP. LNS không yêu cầu thiết lập lại cấu hình
mỗi khi một LAC nào đó được nâng cấp từ L2F lên L2TP.
1.1 RFC Liên Quan
 RFC 2341: Cisco Layer Two Forwarding (Protocol) "L2F" (a predecessor to
L2TP)
 RFC 2637: Point-to-Point Tunneling Protocol (PPTP) (a predecessor to L2TP)
 RFC 2661: Layer Two Tunneling Protocol "L2TP"
 RFC 2809: Implementation of L2TP Compulsory Tunneling via RADIUS
 RFC 2888: Secure Remote Access with L2TP
 RFC 3070: Layer Two Tunneling Protocol (L2TP) over Frame Relay
 RFC 3145: L2TP Disconnect Cause Information
 RFC 3193: Securing L2TP using IPsec

 RFC 3301: Layer Two Tunnelling Protocol (L2TP): ATM access network
 RFC 3308: Layer Two Tunneling Protocol (L2TP) Differentiated Services
 RFC 3355: Layer Two Tunnelling Protocol (L2TP) Over ATM Adaptation Layer
5 (AAL5)

Giao Thức L2TP

2


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

 RFC 3371: Layer Two Tunneling Protocol "L2TP" Management Information
Base
 RFC 3437: Layer Two Tunneling Protocol Extensions for PPP Link Control
Protocol Negotiation
 RFC 3438: Layer Two Tunneling Protocol (L2TP) Internet Assigned Numbers:
Internet Assigned Numbers Authority (IANA) Considerations Update
 RFC 3573: Signaling of Modem-On-Hold status in Layer 2 Tunneling Protocol
(L2TP)
 RFC 3817: Layer 2 Tunneling Protocol (L2TP) Active Discovery Relay for PPP
over Ethernet (PPPoE)
 RFC 3931: Layer Two Tunneling Protocol - Version 3 (L2TPv3)
 RFC 4045: Extensions to Support Efficient Carrying of Multicast Traffic in
Layer-2 Tunneling Protocol (L2TP)
 RFC 4951: Fail Over Extensions for Layer 2 Tunneling Protocol (L2TP)
"failover"

1.2 Port, layer và tpc/udp

2. Công dụng
L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng
với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ.
Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa.
Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy cập riêng cho
chính bản thân. Điều này làm qui trình xử lý của việc thiết lập đường hầm nhanh hơn so
với giao thức tạo hầm trước đây.
Giao Thức L2TP

3


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Điểm chính của L2TP tunnels là L2TP thiếp lập đường hầm PPP không giống như
PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở rộng đến
cổng của mạng máy chủ (hoặc đích), những yêu cầu của đường hầm L2TP có thể khởi
tạo bởi người dùng từ xa hoặc bởi cổng của ISP.
Khi PPP frames được gửi thông qua L2TP đường hầm, chúng được đóng gói như
những thông điệp User Datagram Protocol (UDP). L2TP dùng những thông điệp UDP
này cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra, đường hầm dữ liệu
và đường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng
cấu trúc gói dữ liệu.


3. Các gói tin L2TP
L2TP có hai loại gói tin: gói tin điều khiển và gói tin dữ liệu. Các gói tin điều khiển
được sử dụng trong việc thiết lập, vận hành và xoá bỏ các đường hầm và các cuộc gọi.
Các gói tin dữ liệu được sử dụng để đóng gói các gói tin PPP nhằm vận chuyển qua
đường hầm. Các gói tin điều khiển được sử dụng một kênh đáng tin cậy để truyền. Các
gói tin dữ liệu không được truyền lại khi có sự mất mát.

3.1 Các loại thông điệp điều khiển
Đối với thông điệp điều khiển thì ở phần header của gói tin T=1
Các loại thông điệp quản lý việc thiết lập điều khiển kết nối:
0. Để dành cho các mục đích tương lai.
1. (SCCRQ) Start-Control-Connection-Request (Thông điệp yêu cầu thiết lập điều
khiển kết nối).
2. (SCCRP) Start-Control-Connection-Reply (Thông điệp trả lời việc yêu cầu thiết
lập điều khiển kết nối).
3. (SCCCN) Start-Control-Connection-Connected (Thông điệp thiết lập điều khiển
kết nối).
4. (StopCCN) Stop-Control-Connection-Notification (Thông điệp dừng việc thiết
lập điều khiển kết nối).
5. Để dành cho các mục đích tương lai.
Giao Thức L2TP

4


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang


6. (HELLO) Hello.

Các loại thông điệp quản lý cuộc gọi:
7. (OCRQ) Outgoing-Call-Request (Thông điệp yêu cầu cuộc gọi đi).
8. (OCRP) Outgoing-Call-Reply (Thông điệp trả lời cuộc gọi đi).
9. (OCCN) Outgoing-Call-Connected (Thông điệp kết nối cuộc gọi đi).
10. (OCRQ) Outgoing-Call-Request (Thông điệp yêu cầu cuộc gọi đến).
11. (OCRP) Outgoing-Call-Reply (Thông điệp trả lời cuộc gọi đến).
12. (OCCN) Outgoing-Call-Connected (Thông điệp kết nối cuộc gọi đến).
13. Để dành cho các mục đích tương lai.
14. (CDN) Call-Disconnected-Notify (Thông điệp thông báo ngừng các cuộc
gọi).
Báo lỗi:
15. (WEN) WAN-Error-Notify (Thông điệp thông báo lỗi WAN).
Điều khiển phiên làm việc PPP:
16. (SLI) Set-Link-Info (Thông điệp thiết lập liên kết).

Giao Thức L2TP

5


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

3.2 Cách thức xử lý thông điệp dữ liệu
Tương tự như việc đóng gói PPTP qua đường hầm, gói dữ liệu L2TP cũng trải qua rất
nhiều mức đóng gói. Các bước đóng gói bao gồm:

- Đóng PPP vào dữ liệu. Không giống như việc đóng gói của PPTP, dữ liệu không
được mã hoá trước khi đóng gói. Chỉ có duy nhất một PPP header được thêm vào phần
dữ liệu ban đầu.
- Đóng gói L2TP các khung PPP. Sau khi phần dữ liệu ban đầu được đóng gói vào
gói PPP thì một L2TP Header được thêm vào đó.
- Đóng gói UDP các khung L2TP. Tiếp đó, các gói L2TP được đóng gói thành các
khung UDP. Nói cách khác, một UDP header được thêm vào gói L2TP đã đóng gói. Địa
chỉ nguồn và địa chỉ đích trong UDP header được đặt là 1701 (ngầm định) hoặc khác.
- Đóng gói IPSEc các gói UDP. Sau khi các khung L2TP được đóng gói theo UDP,
khung UDP kết quả được mã hoá và một IPSec ESP header được thêm vào nó. Một
IPSec AH trailer (phần đánh lừa) cũng được thêm vào dữ liệu sau khi nó đã được đóng
gói và mã hoá.
- Đóng gói IP các gói dữ liệu IPSec. Tiếp đến, một IP header được thêm vào gói
IPSec vừa nhận được. IP header này chứa địa chỉ IP của L2TP server (LNS) và người
dùng từ xa.
- Đóng gói ở lớp liên kết dữ liệu. Cuối cùng, một header ở tầng liên kết dữ liệu được
thêm vào gói IP trên. Phần header và trailer của lớp liên kết dữ liệu này giúp cho gói tin
đến được nút đích. Nếu như nút đích nằm trong mạng cục bộ, các header và trailer này sẽ
dựa trên kỹ thuật mạng cục bộ LAN (chẳng hạn, chúng có thể là Ethernet-based). Mặt
khác, nếu như nút đích nằm ở xa, một PPP header và trailer sẽ được thêm vào gói tin đã
được đóng gói trong đường hầm.

Giao Thức L2TP

6


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An


Gvhd: Nguyễn Đức Quang

Hình 3.2a: Quá trình đóng gói gói tin dữ liệu L2TP

Quá trình xử lý gói tin L2TP ở bên nhận ngược với quá trình đóng gói trên. Khi một
thành phần L2TP (LNS hoặc người dùng cuối) nhận được một gói tin được đóng gói theo
L2TP, nó sẽ xử lý gói tin và loại bở phần header và trailer của lớp liên kết dữ liệu. Tiếp
đến, gói tin được xử lý kỹ hơn và phần IP header được loại bỏ. Gói tin dữ liệu sau đó
được xác thực bằng cách kiểm tra những thông tin có trong IPSec ESP header và AH
trailer. IPSec ESP header cũng được sử dụng để giải mã các thông tin đã mã hoá. Tiếp
đến, UDP header sẽ được xử lý và loại bỏ. Các trường Tunnel ID và Call ID trong L2TP
header đóng vai trò xác định đường hầm và phiên làm việc L2TP. Cuối cùng, PPP header
được xử lý và loại bỏ và phần tải PPP (PPP payload) được truyền tới một giao thức phù
hợp để xử lý.

Giao Thức L2TP

7


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Hình dưới đây mô tả quá trình xử lý gói dữ liệu L2TP ở bên nhận:

Hình 3.2b: Quá trình xử lý gói L2TP ở bên nhận

3.3 Cấu trúc gói tin

Các gói tin điều khiển và dữ liệu của giao thức L2TP có cùng một khuôn dạng cho
phần header. Có một số trường sẽ được lựa chọn tuỳ thuộc vào loại gói tin. Lưu ý rằng
các trường chiều dài (Length), Ns, và Nr là các trường tuỳ chọn đối với gói tin dữ liệu,
nhưng đối với gói tin điều khiển thì đó là các trường bắt buộc.

Giao Thức L2TP

8


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Cấu trúc phần header của gói tin như sau:

Bit T (Type: kiểu) xác định dạng gói tin. Nó có giá trị bằng 0 đối với các gói tin dữ
liệu và bằng 1 đối với các gói tin điều khiển.
Nếu bit L (Length: chiều dài) bằng 1, trường chiều dài sẽ xuất hiện. Bit này bắt buộc
phải có giá trị bằng 1 đối với các gói tin điều khiển.
Các bit X được để dành cho các mở rộng trong tương lai. Tất cả các bit để dành phải
có giá trị 0 đối với các cuộc gọi đi và không cần quan tâm đối với các cuộc gọi đến.
Khi Bit S (Sequence: dãy số) có giá trị bằng 1 thì các trường Ns và Nr phải xuất hiện.
Bit này bắt buộc phải có giá trị bằng 1 đối với các gói tin điều khiển.
Khi Bit O (Offset) có giá trị bằng 1 thì trường Offset size phải xuất hiện. Bit này phải
có giá trị bằng 0 đối với các gói tin điều khiển.
Khi bit P (Priority: ưu tiên) bằng 1, gói tin dữ liệu này sẽ nhận được các ưu tiên trong
việc xếp hàng và truyền. Trong trường hợp này, một yêu cầu LCP được gửi kèm đi cùng
gói tin để đảm bảo liên kết luôn luôn được hoạt động. Nếu không có LCP, có thể có một

lúc nào đó liên kết bị đứt quãng. Đặc điểm này chỉ có đối với gói tin dữ liệu. Bit P sẽ có
giá trị bằng 0 đối với các gói tin điều khiển.
Phần Ver phải bằng 2, đây là số Version (phiên bản) của L2TP được đề cập đến trong
tài liệu này. Giá trị 1 được để dành để dùng trong trường hợp các gói tin L2F đến lẫn với
các gói tin L2TP. Các gói tin nhận được mà không có trường Ver sẽ bị loại bỏ.
Trường chiều dài (Length) mô tả chiều dài của gói tin theo byte.

Giao Thức L2TP

9


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Trường số hiệu đường hầm (Tunnel ID) xác định số hiệu của điều khiển kết nối.
Đường hầm L2TP được đặt tên theo các số hiệu này tuỳ thuộc vào từng khu vực. Tức là,
cùng một đường hầm có thể được xác định bởi các số hiệu đường hầm khác nhau tuỳ vào
mỗi điểm cuối trên đường hầm. Tunnel ID trong mỗi gói tin là của người nhận chứ không
phải là của người gửi. Tunnel ID được lựa chọn và trao đổi khi thiết lập Tunnel ID AVPs
trong quá trình tạo ra đường hầm.
Trường số hiệu phiên (Session ID) xác định số hiệu phiên làm việc trong một đường
hầm. Một phiên L2TP được đặt tên theo các số hiệu này tuỳ thuộc vào từng khu vực. Tức
là, cùng một phiên có thể được xác định bởi các số hiệu phiên khác nhau tuỳ vào mỗi
điểm cuối trên đường hầm. Session ID trong mỗi gói tin là của người nhận chứ không
phải là của người gửi. Session ID được lựa chọn và trao đổi khi thiết lập Session ID
AVPs trong quá trình tạo ra một phiên.
Trường Ns xác định một dãy số cho các gói tin dữ liệu hoặc điều khiển, bắt đầu bằng

0 và tăng thêm 1 mỗi khi một gói tin được truyền.
Trường Nr xác định số trong dãy số đối với gói tin điều khiển tiếp theo chuẩn bị được
nhận. Do đó, giá trị của Nr bằng giá trị cuối cùng của Ns cộng thêm 1. Trong các gói tin
dữ liệu, trường Nr được để dành và nếu có xuất hiện (được chỉ định bởi bit S) thì cần phải
bỏ qua khi nhận.
Trường Offset Size nếu có xuất hiện thì sẽ mô tả số byte được gửi qua L2TP
header tại đó dữ liệu cần truyền được xem là sẽ bắt đầu. Thường thì trường Offset
Padding (đệm) không xác định. Nếu trường Offset Size xuất hiện thì L2TP header kết
thúc sau byte cuối cùng của trường Offset Padding.

4. Các đường hầm ( tunnel)
4.1 Đường hầm bắt buộc L2TP (L2TP Compulsory Tunnel Mode)
Một đường hầm bắt buộc L2TP được thiết lập giữa một đầu là LAC tại ISP với một
đầu khác là LNS tại mạng LAN của người dùng. Để có thể hỗ trợ VPN tại ISP, việc thiết
lập đường hầm bắt buộc này là rất cần thiết. Như vậy, trong trường hợp này ISP đóng
Giao Thức L2TP

10


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

một vai trò quan trọng trong việc thiết lập đường hầm L2TP bởi vì một phiên làm việc có
thể thực hiện được hay không một phần do ISP quyết định.

Hình4.1a: Đường hầm bắt buộc L2TP
Trong trường hợp đường hầm bắt buộc L2TP, một người dùng từ xa thường là một

thực thể thụ động. Ngoài việc yêu cầu kết nối, người dùng này không đóng bất cứ vai trò
nào trong quá trình thiết lập đường hầm. Do đó, không cần có bất cứ sự thay đổi nào tại
phía người dùng.
Nghiên cứu về đường hầm L2TP đặc biệt quan trọng khi xem xét về bảo mật vì người
dùng từ xa dùng một kết nối PPP để dial-up đến ISP. Kết quả là, người dùng này không
thể truy cập Internet trừ khi đi qua gateway của tổ chức họ, điều này cho phép những nhà
quản trị mạng có thể thực thi những cơ chế nghiêm ngặt về bảo mật, điều khiển truy cập
và tính toán
Các bước để thiết lập một đường hầm bắt buộc L2TP được mô tả như sau:
- Người dùng từ xa yêu cầu một kết nối PPP từ máy chủ truy cập NAS đặt tại ISP.
- NAS xác thực người dùng. Quá trình xác thực này cũng giúp cho NAS biết danh
tính của người dùng đang yêu cầu kết nối. Nếu như định danh của người dùng phù hợp
với cơ sở dữ liệu của ISP, những dịch vụ tương ứng với user này sẽ được cung cấp. Đồng
thời NAS cũng xác định điểm cuối đường hầm LNS.
- Nếu NAS đang rỗi để có thể nhận một yêu cầu kết nối, một kết nối PPP được thiết
lập giữa ISP với người dùng từ xa.
- LAC thiết lập một đường hầm với LNS.

Giao Thức L2TP

11


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

- Nếu như kết nối đã được LNS chấp nhận, các khung PPP được đưa qua đường hầm
L2TP. Những khung được đóng gói L2TP này sau đó được gửi đến LNS thông qua

đường hầm.
- Cuối cùng, LNS xác thực người dùng và chấp nhận các gói dữ liệu. Nếu việc xác
thực tốt đẹp, một địa chỉ IP thích hợp sẽ được đóng vào khung để sau đó khung này được
gửi đến nút đích nằm trong mạng Intranet.

Hình 4.1b:Thiết lập một đường hầm bắt buộc L2TP
4.2 Đường hầm tự nguyện L2TP (L2TP Voluntary Tunnel Mode)
Một đường hầm tự nguyện L2TP được thiết lập giữa một người dùng từ xa với một
LNS, LNS này được đặt tại LAN. Trong trường hợp này, người dùng tư xa hoạt động
giống như là một LAC. Bởi vì ISP gần như không có vai trò gì trong việc thiết lập đường
hầm tự nguyện L2TP cho nên cơ sở vật chất của ISP là trong suốt đối với người dùng đầu
cuối. Điều này khá giống với đường hầm được tạo ra bởi giao thức PPTP.

Giao Thức L2TP

12


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Hình 4.2a: Đường hầm tự nguyện L2TP
Ưu điểm lớn nhất của đường hầm tự nguyện L2Tp là nó cho phép người dùng từ xa
có thể truy cập Internet và thiết lập nhiều phiên làm việc VPN cùng một lúc. Tuy nhiên,
để có thể sử dụng những lợi ích này, người dùng từ xa phải được cấp nhiều địa chỉ IP.
Một trong số các địa chỉ IP sẽ được sử dụng để tạo kết nối PPP đến ISP và mỗi địa chỉ
khác được dùng cho một đường hầm L2TP. Mặt khác, đây cũng chính là một nhược điểm
bởi vì người dùng từ xa, tiếp đó là LAN có thể bị thâm nhập bởi các hacker. Thiết lập

một đường hầm tự nguyện L2TP thì dễ hơn thiết lập một đường hầm bắt buộc L2TP bởi
vì người dùng từ xa đã tạo nên một kết nối PPP đến ISP. Các bước để thiết lập đường
hầm tự nguyện L2TP như sau:
- LAC (trong trường hợp này là người dùng từ xa), gửi một yêu cầu thiết lập đường
hầm tự nguyện đến LNS.
- Nếu như yêu cầu thiết lập đường hầm được chấp nhận bởi LNS, LAC sẽ đưa vào
đường hầm tương ứng của từng L2TP các khung PPP rồi truyền chúng đi.
- LNS nhận các khung dữ liệu, tách bỏ các thông tin về đường hầm rồi xử lý chúng.
- Cuối cùng, LNS xác thực định danh người dùng và nếu đây là người dùng hợp lệ thì
truyền dữ liệu đến nút đích trong mạng LAN.
Hình dưới đây mô tả quá trình thiết lập đường hầm tự nguyện L2TP:

Giao Thức L2TP

13


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Hình 4.2b: Thiết lập đường hầm tự nguyện L2TP
4.3 L2tp và Ipsec
Khi chạy trên môi trường ip, ipsec cung cấp dịch vụ bảo mật gói qua esp
hoặc AH. Tất cả các gói dữ liệu cũng như điều khiển L2TP của mỗi đường hầm
giống hệt như gói dữ liệu UDP/IP trong hệ ipsec.
Nhằm tăng khả năng bảo mật cho việc truyền IP, IPsec xác định một cơ chế
hoạt động cho phép tạo đường hầm các gói IP. Việc mã hóa và xác thực ở mức
gói được cung cấp bởi đường hầm IPsec cũng tương đương với những dịch vụ do

L2TP cung cấp.
IPSEC cũng đòi hỏi các đặc điểm điều khiển truy nhập để có thể hoạt động.
Những đặc điểm này cho phép các gói tin liên quan đến các tầng cao hơn như địa
Giao Thức L2TP

14


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

chỉ, IP, PORT... lọt qua. Theo cơ chế đường hầm L2TP, việc đi qua này được xem
xét bởi lớp PPP hoặc tầng mạng cao hơn L2TP. Các đặc điểm đó được điều khiển
bởi LNS thông qua chính sách của người bán, dựa trên việc xác thực PPP cho các
user hoặc là tại chính tầng mạng sử dụng phương thức vận chuyển IPsec cho việc
giao tiếp giữa các host.
Hai hình sau mô tả vai trò IPsec trong việc bảo vệ hai loại đường hầm L2TP:

Hình 4.3.1 Ipsec bảo vệ đường hầm bắt buộc L2TP

Giao Thức L2TP

15


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An


Gvhd: Nguyễn Đức Quang

Hình 4.3.2 Ipsec bảo vệ đường hầm tự nguyện L2TP
4.4 Nguyên lý hoạt động
Khi một người dùng từ xa thiết lập một đường hầm L2TP thông qua Internet hoặc các
mạng công cộng khác, trình tự làm việc sẽ như sau:
- Người dùng từ xa gửi một yêu cầu kết nối đến NAS gần nhất của ISP trong khi thiết
lập một kết nối PPP với ISP.
- NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng. NAS sử dụng phương
pháp xác thực giống như của PPP, chẳng hạn PAP, CHAP, SPAP, EAP để xác thực.
- NAS sau đó sẽ kích hoạt LAC, tại LAC chứa các thông tin về LNS ở mạng đích.
- Tiếp đó, LAC thiết lập một đường hầm với LNS thông qua môi trường mạng giữa
chúng (Internet, Frame Relay, ATM).
- Sau khi đường hầm được thiết lập, LAC cấp cho liên kết một Call ID và gửi một
thông điệp xác nhận đến LNS. Thông điệp xác nhận này chứa các thông tin có thể được

Giao Thức L2TP

16


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

sử dụng để xác thực người dùng từ xa (người yêu cầu khởi tạo đường hầm). Thông điệp
này cũng mang LCP đã được thoả thuận giữa người dùng với LAC.
- LNS sử dụng những thông tin nhận được từ thông điệp xác nhận để xác thực người
dùng từ xa. Nếu việc xác nhận thành công và LNS chấp nhận yêu cầu đường hầm, một

giao diện PPP ảo (đường hầm L2TP) được thiết lập với sự trợ giúp của LCP nhận được từ
gói tin xác nhận.
- Người dùng từ xa và LNS sau đó sẽ trao đổi dữ liệu thông qua đường hầm.

Hình 4.3a: Quá trình thiết lập đường hầm L2TP

Giao Thức L2TP

17


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

LAB L2TP
I.

Mô Hình Giả Lập

 Chuẩn bị: 3 máy pc

VPN server: 2 card mạng.
o
WAN IP: 192.168.1.1/24
o
LAN IP: 172.16.1.1/24

FILE SERVER trong LAN có địa chỉ IP: 172.16.1.2/24 ; GW: 172.16.1..1


VPN Client giả lập là máy ở ngoài mạng Internet: IP: 192.168.1.2/24
Interface
LAN IP

ĐẶC TÍNH

FILE_SERVER

VPN_SERVER

VPN_CLIENT

IP Address

172.16.1.2

172.16.1.1

Disable

Subnet Mask

255.255.255.0

255.255.255.0

Default
gateway


172.16.1.1

Preferred DNS
WAN IP

IP Address

Disable

Subnet Mask

192.168.1.1

192.168.1.2

255.255.255.0

255.255.255.0

Default
gateway
Preferred DNS



Các Phần Mềm Thực Hiện
 Windows server 2008
 Wireshark

Giao Thức L2TP


18


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An
2.

Gvhd: Nguyễn Đức Quang

Quá Trình Cài Đặt

Đặt ip cho máy FILE SERVER

Đặt ip cho máy VPN CLIENT
Đặt ip cho card wan và lan của máy vpn server

Giao Thức L2TP

19


Gvhd: Nguyễn Đức Quang

Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Card lan

Card wan

B1: CẤU HÌNH TRÊN MÁY VPN SERVER
Giao Thức L2TP

20


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Mở Routing and remote access

Nhấp phải chuột lên tên Server chọn Configure and Enable Routing and Remote Access

Chọn Custom configuration

Giao Thức L2TP

21


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Chọn VPN và Lan routing

Chọn Finnish để kết thúc.


Giao Thức L2TP

22


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Màn hình kết quả

Chuột phải tên server chọn properties
Tab ipv4  Check Static address pool

Giao Thức L2TP

23


Sinh viên thực hiện: Dương Minh Chiến
Lê Duy An

Gvhd: Nguyễn Đức Quang

Chọn new  ok

Tại tab sercurity  check Allow custom IPsec policy L2TP connection và
nhập preshake key: 123456


Giao Thức L2TP

24


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×