MultiBooks - Tổng hợp IT - PC part 267 doc

Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối.. Remote Connection Accepted 4 Data Exchange LAC Aut

- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước

Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất Để thay thế, đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích) Như trong hình 2.15 Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP

Hình 2.15 Đường hầm L2TP

Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP L2TP sử dụng các thông điệp UDP này cho cả

dữ liệu đường hầm cũng như việc duy trì đường hầm Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu trúc gói

2.2.3.1 Thành phần của L2TP

Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy cập

mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS)

1 Server truy cập mạng (NAS)

Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không

Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…)

2 Bộ tập trung truy cập L2TP (LAC)

Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ

Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa

3 Server mạng L2TP(LNS)

LNS là điểm cuối đầu kia của một kết nối từ xa Nó được đặt tại mạng trung tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc

Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo

2.2.3.2 Các tiến trình L2TP

Remote

Connection Accepted

4

Data Exchange

LAC

Authentication Request 2a

2b Connection Accepted/

Rejected

3 Connection Forwarded

to LAC

Connection Establishment

Notifiaction M essage (CID+Authentication Information)

5

End User Authentication 6

1 Connection Request

Hình 2.16 Mô tả quá trình thiết lập đường hầm L2TP

Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng Internet hoặc mạng công cộng, tuần tự các bước như sau:

1) Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và đồng thời khởi tạo một kết nối PPP với ISP sau cùng

2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho chức năng này

3) NAS sau đó khởi động LAC, nơi chứa thông tin về LNS của mạng đích 4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối Môi trường đường hầm này có thể là ATM, Frame Relay hoặc IP/UDP

5) Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS, thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu) Thông điệp này cũng mang cả tuỳ chọn LCP

đã được thương lượng giữa người dùng với LAC

6) LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực người dùng cuối Nếu người dùng được xác thực thành công và LNS chấp nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo

7) Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm

2.2.3.3 Dữ liệu đường hầm L2TP

Data

PPP Header Data

L2TP Header

PPP Header Data

L2TP Header

ESP Header

AH Trailer

PPP Header Data

L2TP Header

ESP Header

AH Trailer

IP Header

PPP Header Data

L2TP Header

ESP Header

AH Trailer

IP Header

Data Link

H eader

Data Link Trailer

PPP Encapsulation

L2TP Encapsulation

IPSec Encapsulation

IP Encapsulation

Data Link Layer Encapsulation

Data PPP

Header

Hình 2.17 Quá trình xử lý định đường hầm dữ liệu L2TP

Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức đóng gói Các giai đoạn này được minh hoạ trong hình 2.17, bao gồm:

- Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ liệu không được mã hoá trước khi đóng gói Chỉ tiêu đề PPP được thêm vào gói dữ liệu gốc được tải

- Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong một gói PPP, một tiêu đề L2TP được thêm vào

- Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói lại được đóng gói vào trong một Frame UDP Tiếp sau đó, tiêu đề UDP được thêm vào Frame L2TP đã đóng gói Cổng nguồn và đích trong UDP này được thiết lập là

1701

- Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec được thêm vào nó Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã hoá và đóng gói dữ liệu

- Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối cùng được thêm vào các gói IPSec đã đóng gói Tiêu đề IP này chứa địa chỉ IP của LNS và người dùng từ xa

- Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng Tiêu đề

và đánh dấu này giúp cho gói dữ liệu tới được Node đích Nếu Node đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP

E S P

H e a d e r

L 2 T P

H e a d e r

D a ta L ink

H e a d e r

IP

H e a d e r

P P P

H e a d e r D a ta

AH

T r a ile r

D a ta L ink

T ra ile r

E S P

H e a d e r

L 2 T P

H e a d e r

IP

H e a d e r

P P P

H e a d e r D a ta

AH

T r a ile r

E S P

H e a d e r

L 2 T P

H e a d e r

P P P

H e a d e r D a ta

AH

T r a ile r

L 2 T P

H e a d e r

P P P

H e a d e r D a ta

P P P

H e a d e r D a ta

D a ta

D a ta L ink L a y e r D e -c a p s ula tio n

IP D e -c a p s ula tio n

IP S e c D e -c a p s ula tio n

L 2 T P D e -c a p s ula tio n

P P P D e -c a p s ula tio n

Hình 2.18 Tiến trình mở gói dữ liệu đường hầm L2TP