Dữ liệu đầu ra của mạng được mật mã rồi chuyển vàomạng công cộng như các dữ liệu khác để truyển tới đích và sau đó Hình 1.1 : Mô hình mạng riêng ảo Bước vào kỷ nguyên thông tin, công ng
Trang 1MỤC LỤC
MỤC LỤC………1
DANH SÁCH HÌNH………2
lỜi NÓI ĐẦU ……… ……3
CHƯƠNG 1 - TỔNG QUAN VỂ MẠNG RIÊNG ẢO 1.1 Khái niệm mạng riêng ảo……….5
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo………7
1.2.1 Chức năng……….7
1.2.2 Ưu điểm……… ….7
1.2.3 Nhược điểm……….8
CHƯƠNG 2 – CÁC GIAO THỨC ĐƯỜNG HẦM 2.1 Giới thiệu các giao thức đường hầm………9
2.2 Các giao thức mã hoá đường hầm……… …11
2.2.1 Giao thức chuyển tiếp lớp 2 L2F……… 11
2.2.1.1 Các quá trình xử lý L2F……….12
2.2.1.2 Tunneling L2F……… 14
2.2.1.3 Vấn đề bảo mật L2F……… 15
2.2.1.4 Sự nhận thức dữ liệu L2F……… 16
2.2.1.5 Ưu điểm và Nhược điểm của L2F……… 17
2.2.2 Giao thức Tunneling lớp 2 L2TP……….18
2.2.2.1 Các thành phần của L2TP……… …20
2,2,2,2 Các quá trình xử lý của L2TP……….21
2.2.2.3 Tunnel dữ liệu L2TP……… 22
2.2.2.4 Các phương thức đường hầm L2TP………25
2.2.2.5 Sự nhận thực L2TP qua IPsec……….………30
2.2.2.6 Mã hóa dữ liệu dạng L2TP……… ………31
2.2.2.7 Ưu điểm và Nhược điểm của L2TP……….31
KẾT LUẬN ………33
Trang 2DANH SÁCH HÌNH
Hình 1.1 : Mô hình mạng riêng ảo……….5
Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm………7
Hình 2.1 Mạng riêng sử dụng IPsec……… ……10
Hình 2.2 Giao thức đường hầm L2F……….12
Hình 2.3-Quá trình thiết lập L2F……… 14
Hình 2.4-Xử lý tunneling dữ liệu L2F……… 14
Hình 2.5 –Dạng gói L2F……… 15
Hình 2.6-Các tunnel L2TP……… 20
Hình 2.7-Quá trình thiết lập tunnel L2TP……….22
Hình 2.8-Quá trình hoàn thiện dữ liệu Tunnel L2TP……… 24
Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP……… 25
Hình 2.10-Tunnel cưỡng bức L2TP……….26
Hình 2.11-Quá trình thiết lập tunnel cưỡng bức……… 27
Hình 2.12-Tunnel tự nguyện L2TP……… 28
Hình 2.13 -Việc thiết lập tunnel tự nguyện L2TP………29
Hình 2.14- Định dạng của bản tin điều khiển L2TP……….29
Hình 2.15-Việc bảo vệ tunnel cưỡng bức sử dụng IPsec……… 30
Hình 2.16-Việc bảo vệ tunnel tự nguyện L2TP sử dụng IPsec……….31
Bàn 2.1 So sánh các phương pháp mã hoá đường hầm trong VPN……….33
Trang 3LỜi NÓI ĐẦU
Mạng riêng ảo là một giải pháp hiệu quả cho phép truyền thông dữ liệumột cách an toàn với chi phí thấp , giảm nhẹ được các công việc quản lýhoạt động của mạng , linh hoạt trong các công việc truy cập từ xa VPN làmạng kết nối cho các site khách hàng đảm bảo an ninh trên cơ sở hạ tầngcủa mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảobảo mật riêng cho mạng
Mục tiêu của tài liệu này giới thiệu
Chương 1 : Giới thiệu tổng quan về mạng VPN ảo và các đặc tính củamạng VPN
Chương 2 : Giới thiệu các giao thức đường hầm
KẾT LUẬN
Trang 4HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CHUYÊN ĐỀ Quản lý Mạng Viễn Thông
Đề tài:
MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ
MÃ HOÁ ĐƯỜNG HẦM
Giáo viên hướng dẫn:ThS.Nguyễn Tiến Ban
Người thực hiện: Trần Đại Nghĩa NguyÔn §×nh §¹t
Lớp: D2004VT2
Trang 5Chương 1 Tổng quan về mạng riêng ảo
1.1Khái niệm mạng riêng ảo
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khaitrên kết nối mạng trên cơ sở hạ tầng mạng công cộng với các chính sáchquản lý và bảo vệ giống như mạng cục bộ Mạng VPN là sự mở rộng môhình mạng LAN Trong thực tế người ta nói đến hai khái niệm : VPN tincậy và VPN an toàn
VPN tin cậy : như là số mạch thuê bao của một nhà cung cấp dịch vụviễn thông Mỗi mạch thuê hoạt động như một đường dây trong mộtmạng cục bộ
VPN an toàn : là các mạng riêng ảo có sự sử dụng các mật mã để bảo
vệ dữ liệu Dữ liệu đầu ra của mạng được mật mã rồi chuyển vàomạng công cộng như các dữ liệu khác để truyển tới đích và sau đó
Hình 1.1 : Mô hình mạng riêng ảo
Bước vào kỷ nguyên thông tin, công nghệ
thông tin và viễn thông đang hội tụ sâu sắc
và đóng góp những vai trò quan trọng trong
sự phát triển kinh tế, xã hội toàn cầu Xu
hướng toàn cầu hóa đã buộc các doanh
Trang 6nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống thông tin của chính mình Với một hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới, việc phải sử dụng một mạng kết nối - trao đổi thông tin riêng ( WAN) trong nội bộ là vô cùng quan trọng để có được những kết quả sản xuất kinh doanh thực sự hiệu quả
Tuy nhiên, mạng dùng riêng (WAN) vẫn là một giải pháp rất đắt tiền, đòi hỏi những mức chi phí đầu tư lớn, rất khó có thể phù hợp cho những doanh nghiệp vừa và nhỏ tại Việt Nam Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặc VPN, để kết nối
giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chi phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng Tuy nhiên, do hạn chế về công nghệ, công nghệ mạng truyền thống
này rất phức tạp, khó quản trị, và khả năng mở rộng mạng khó
khăn
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho phép thiết lập mạng dùng riêng trên nền mạng công
cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo”
thông suốt và bảo mật
Trang 7Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm
Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu
tư thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình Đây là điều rất khó khăn cho các doanh nghiệp không chuyên về viễn thông và công nghệ thông tin
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo
1.2.1 Chức năng VPN cung cấp 3 chức năng :
Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn
Mạng riêng ảo mạng lại lợi ích thiết thực và tức thời cho các công ty
tiết kiệm chi phí
Trang 8 Tính linh hoạt
Khản năng mở rộng
Giảm thiểu các hỗ trợ kỹ thuật
Giảm thiểu các yêu cầu thiết bị
Đáp ứng các nhu cầu thương mại
Trang 9Chương 2 Các giao thức đường hầm
2.1 Giới thiệu các giao thức đường hầm
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra
một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng
(tunnel)
Khi gói tin được truyền đến đích, chúng được tách lớp header vàchuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nốiTunnel, máy khách và máy chủ phải sử dụng chung một giao thức
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải (Carrier Protocol) là giao thức được sửdụng bởi mạng có thông tin đang đi qua
Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thứcGRE, IPSec, L2F, PPTP và L2TP
Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi IPX, NetBeui, IP
Đặc điểm riêng của mạng VPN ảo là có thể truyền một gói tin sửdụng giao thức không được hỗ trợ trên Internet (NetBeui) bên trong một gói
IP và gửi nó qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP
Trang 10riêng (lớp A) không được định tuyến trên mạng bên trong một gói dùng địachỉ IP (định tuyến) để mở rộng một mạng riêng trên Internet.
Chúng ta giới thiệu hai kỹ thuât hay dùng trong VPN , đó là VPN truy cập từ xa và VPN điểm tới điểm
Kỹ thuật Tunneling VPN truy cập điểm-nối điểm
Trong VPN này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin loại gói tin và thông tin kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Hình 2.1 Mạng riêng sử dụng IPsec
Kỹ thuật Tunneling VPN truy cập từ xa
Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giaothức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa
Trang 11L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các
thành viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cả PPTP
và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS
và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và
an toàn hơn
Giao thức bảo mật IPsec (IPSec – Internet Protocol Security)
2.2 Các giao thức mã hoá đường hầm
2.2.1 Giao thức chuyển tiếp lớp 2 L2F
Các dịch vụ mạng dial-up truyền thống được thực hiện thông quainternet và dựa trên công nghệ IP.Các giải pháp đường hầm phổ biến, như làPPP và PPTP,đã chứng tỏ thành công với kiến trúc mạng IP hơn các côngnghệ mạng đương thời khác, như là ATM, Frame Relay, Sự bảo mật là mộtvấn đề Mặc dù các đòi hỏi của Microsoft về phiên giao dịch truyềnthông(transaction) có tính đảm bảo, PPTP dựa trên MS-CHAP-đã đựợc biếttrong các phần trước, là không thực sự đảm bảo Các vấn đề này thu được docác tổ chức công nghiệp và các chuyên gia nghiên cứu cho các giải pháp lựachọn
Các hệ thống Cisco, cùng với Nortel, là một trong những nhà cungcấp dẫn đầu đối với giải pháp đó là:
Cho phép các phiên giao dịch truyền thông được đảm bảo
Cung cấp các truy nhập thông qua các kiến trúc cơ bản của internet
và các liên kết mạng trung gian công cộng khác
Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI,IPX,Net-BEUI, và Frane Relay
Trang 12Cisco đã đưa ra sau những nghiên cứu mở rộng là L2F Bên cạnh việcthực các mục tiêu chính kể trên, L2F tỏ ra nhiều ưu điểm lớn khác trongcông nghệ điều khiển truy nhập từ xa Các tunnel L2F có thể hỗ trợ hơn mộtphiên đồng thời trong cùng một tunnel Hay nói một cách đơn giản hơn, sẽ
có hơn một người ở xa có thể truy nhập vào intranet riêng sử dụng đường kếtnối dial-up đơn L2F đạt được điều này bởi vì việc xác định nhiều các kếtnối trong một tunnel, ở đây mỗi một kết nối tương ứng với một luồng PPP.Hơn nữa, các luồng này có thể khởi đầu từ một người sử dụng ở xa hoặc từnhiều người sử dụng Bởi vì một tunnel có thể hỗ trợ nhiều kết nối một cáchđồng thời, Một số ít các kết nối được yêu cầu từ một trí xa tới các ISP và từPOP của ISP tới các gateway của một mạng riêng Đặc điểm này đặc biệthữu dụng trong việc giảm chi phi cho người sử dụng
Hình 2.2 Giao thức đường hầm L2F
2.2.1.1 Các quá trình xử lý L2F
Khi một client từ xa quay số khởi tạo một kết nối tới một cái hostđược xác định vị trí trong một intranet,các quá trình xử lý sau được thựchiện một cách tuần tự:
1 Người sử dụng từ xa khởi tạo một kết nối PPP tới các ISP của nó Nếungười sử dụng từ xa là một phần của cơ cấu mạng LAN,người sửdụng có thể dùng ISDN hoặc cách kết nối khác để kết nối tới ISP Mộtchọn lựa khác, nếu người sử dụng không phải là một thành phần củabất kỳ mạng intranet, bạn cần sử dụng dịch vụ theo đường PSTN
2 Nếu NAS thiết lập POP của ISP chấp nhận yêu cầu kết nối, thì sự kếtnối PPP được thiết lập giữa NAS và người sử dụng
Trang 133 Người sử dụng được nhận thực tại ISP cuối cùng Một trong haiCHAP hoặc PAP được sử dụng cho mục đích này.
4 Nếu không có tunnel nào tồn tại tới gateway của mạng đích mongmuốn, thì một đường được khởi tạo
5 Sau khi một tunnel được thiết lập thành công, một ID thành phần duynhất (MID) được cấp phát để kết nối Một bản tin thông báo cũngđược gửi tới gateway của host trong mạng Bản tin này thông báogateway về yêu cầu cho kết nối từ một người sử dụng ở xa
6 Gateway có thể hoặc là chấp nhận hoặc từ chối yêu cầu kết nối tới nó.Nếu yêu cầu bị từ chối, người sử dụng được thông báo về lại là yêucầu bị lỗi và kết nối dial-up kết thúc Mặt khác, Nếu yêu cầu đượcchấp nhận, cac gateway host gửi thông báo bắt đầu thiết lập tới client
xa Đáp ứng này cũng có thể bao gồm thông tin nhận thực được sửdụng bởi gateway để nhận thực người sử dụng từ xa
7 Sau khi người sử dụng được nhận thực bởi một gateway của mạnghost, một giao diện ảo được thiết lập giữa hai đầu cuối
Chú ý: Nếu CHAP được sử dụng cho việc nhận thực người sử dụng,như chỉ ra trong bước 6, sự đáp ứng bao gồm các yêu cầu, tên truy nhập, đápứng mới Đối với các sự xác thực PAP-cơ sở, đáp ứng bao gồm tên và mậtkhẩu trong cleartext Trong trường hợp của PPP, sự thông báo khởi tạo thiếtlập cũng vậy bao gồm bản tin CONFACK được chuyển giữa hai đầu cuốisau khi sự thỏa thuận TCP thành công Sự chấp nhận này cho phép gatewaycủa mạng host được khởi tạo trạng thái PPP của chính nó
Trang 14
Hình 2.3-Quá trình thiết lập L2F
2.2.1.2 Tunneling L2F
Khi một người sử dụng xa được xác thực và các yêu cầu kết nối đượcchấp thuận, một tunnel được thiết lập giữa NAS của ISP và gateway củamạng host
Hình 2.4-Xử lý tunneling dữ liệu L2F
Sau khi một tunnel giữa hai đầu cuối được thay thế, các khung lớp 2
có thể được trao đổi thông qua tunnel như sau:
Trang 151 Người sử dụng xa chuyển tiếp các khung thường tới các NAS đã đượccấp phát tại ISP.
2 POP tước đoạt các thông tin lớp liên kết dữ liệu hoặc các byte trongsuốt và thêm phần
3 Gateway của mạng host chấp nhận các gói này qua tunnel, tiêu đề vàphần đuôi của L2F bị loại bỏ còn khung được chuyển tiếp đến nodeđích trong mạng intranet
4 Node đích xử lý các khung nhận được như là các khung không quatunnel
Chú ý: Các tunnel L2F cũng được coi như là “các giao diện ảo”
Bất kỳ các đáp ứng nào từ host đích trong mạng host cũng chịu sự xử
lý ngược Đó là, host gửi khung dữ liệu lớp liên kết dữ liệu thông thường tớicác gateway,mà các khung này được đóng khung vào các gói L2F (như trênhình 2.4), và chuyển tiếp nó tới NAS đã được cấp phát tại phía ISP NASphân giải các thông tin từ các khung thêm các thông tin lớp liên kết dữ liệuthích hợp vào nó Sau đó khung được chuyển tiếp tới người sử dụng ở xa
Quá trình mật mã hóa dữ liệu của L2F:
L2F sử dụng MPPE (Mã hóa dữ liệu điểm-điểm của Microsoft) chomục đích mã hóa cơ bản Tuy nhiên, MPPE không thực sự an toàn có thểchống lại thủ thuật hack ngày càng tinh vi Khi đó tất nhiên dẫn đến, L2Fcũng sử dụng phương pháp mã hóa dựa trên giao thức Ipsec(Internetprotocol security) để tăng thêm khả năng bảo vệ dữ liệu trong khi truyềndẫn Ipsec sử dụng hai giao thức cho mục đích mã hóa này- ESP
Trang 16(Encapsulating Security) và AH (Authentication header) Hơn nữa, để đảmbảo tính bảo mật khóa cao trong pha khóa trao đổi khóa, IPsec cũng sử dụngmột giao thức thứ 3 là IKE (Internet Key Exchange).
Ưu điểm lớn nhất của kỹ thuật mã hóa sử dụng IPsec là IPsec bắt buộc
sự nhận thực của từng gói riêng biêt thay vì thay vì sự thực hiện nhận thựcchung đối với mỗi người sử dụng Trong kỹ thuật nhận thực theo người sửdụng, mỗi người sử dụng tại các đầu cuối truyền thông tin được nhận thựcchỉ một lần khi bắt đầu truyền thông tin Tuy nhiên, khi đó bạn cho rằngchiến lược nhận thực theo gói là chậm hơn chiến lược nhận thực theo người
sử dụng và chịu phần mào đầu tương đối lớn Ngoài ra, IPsec được khuyếnnghị như một giao thức bảo mật đối với tất cả các tunneling VPN, là PPTP,L2F,L2TP
2.2.1.4 Sự nhận thực dữ liệu L2F
Sự nhận thực của L2F được thực hiện theo 2 mức Mức một của sựnhận thực L2F-cơ sở xảy ra khi một người sử dụng xa quay số tới POP củaISP Tại đây, quá trình thiết lập tunnel nữa chỉ bắt đầu sau khi người sử dụng
đã được nhận thực Việc nhận thực mức 2 được thực hiện bởi gateway củamạng host Các gateway này không thiết lập một tunnel giữa hai đầu cuối(NAS và gateway) cho tới khi nó nhận thực được người sử dụng xa
Giống như PPTP, L2F cũng sử dụng sử bảo mật các dịch vụ được hỗtrợ bởi PPP cho mục đích nhận thực Do đó, L2F sử dụng PAP để nhận thựcmột client xa khi gateway của L2F nhận được yêu cầu kết nối L2F cũng sửdụng kế hoạch nhận thực sau cho việc tăng tính bảo mật dữ liệu:
CHAP (Challenge Handshake Authentication Protocol) CHAP đượcphát triển để đánh địa hóa vấn đề gửi mật khẩu trong cleartext trongkhi sử dụng PAP Với CHAP, khi một client được đòi hỏi nhận dạng,
nó đáp lại với một giá trị hàm băm bí mật nhận được từ thuật toánbăm MD5 Nếu giá trị băm giống nhau được tính toán tại server-cuối
sử dụng cùng thủ tục sinh ra bởi client, thì client đã được nhận thựcthành công Vì vậy, không mật khẩu cleartext nào được trao đổi trongquá trình xử lí Một vấn đề chung khác kết hợp với PAP là các đầu
Trang 17cuối thông tin đã được nhận thực chỉ một lần trong toàn bộ quá trình
xử lý việc truyền thông tin Tuy nhiên, CHAP có thể thực hiện nhiềuyêu cầu nhận thực trong một phiên.Việc này làm cho các hacker khóphá thông tin hơn
EAP (Extensible Authentication Protocal) Không giống như phươngpháp PAP hay CHAP-được thực hiện tại thời gian cấu hình LCP,trongkhi thiết lập kết nối PPP,EAP được thực hiện sau pha LCP, khi việcnhận thực PPP đã được thực hiện Do vậy, EAP cho phép việc nhậnthực rộng rãi vì số lượng các thông số kết nối được tăng lên có thể là
sử dụng một cách tùy chọn như là thông tin nhận thực
Chú ý:L2F cũng sử dụng giao thức SPAP (Shiva PasswordAuthentication Protocol) cho việc nhận thực SPAP là giao thức chủ nó sửdụng các mật khẩu đã mã hóa và có thể hỗ trợ thêm các chức năng tăngcường, như là thay đổi mật khẩu và hỗ trợ kỹ thuật gọi lại
Ngoài các kỹ thuật nhận thực đã kể ở trên, L2F cũng dùng RADIUS(Remote Access Dial-In User Service) và TACACS (Terminal AccessController Access Control Service) khi nhận thực được đưa thêm vào dịch
vụ Cả hai người nhận thực các dịch vụ có thể truy cập server truy cập cụcbộ,nếu các server truy cập xa không nhận thực được các người sử dụng này.Việc nhận thực xa các RADIUS và TACACS-cơ sở được thực hiện chungbởi các ISP và các tổ chức phạm vi rộng
Chú ý:Nói chung, các RAS là có thể xử lí yêu cầu kết nối từ xa vàcấp phát quyền truy nhập Tuy nhiên, nếu số lượng người sử dụng xa rất lớn,chúng có thể chuyển tiếp các yêu cầu tới server RADIUS hoặc TACACShoặc một cơ sở dữ liệu đã được kết nối Tại đây, người sử dụng có thể đượcnhận thực và sau đó cấp phát hoặc từ chối việc truy nhập
2.2.1.5 Ưu điểm và Nhược điểm L2F
Mặc dù L2F yêu cầu mở rộng phân phối với các LCP khác nhau vàcác tùy chọn nhận thực L2F rộng hơn PPTP bởi vì L2F là giải pháp chuyểntiếp khung mức thấp L2F cũng cung cấp mặt phẳng giải pháp VPN cho cácdoanh nghiệp tốt hơn PPTP
