TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE

BÁO CÁO THỰC TẬP TỐT NGHIỆP CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG HỆ: CHÍNH QUY NIÊN KHÓA: 2015 2020 Đề tài: TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN SITE TO SITE Giáo viên hướng dẫn: ThS. NGUYỄN XUÂN KHÁNH Để hoàn thành chuyên đề báo cáo thực tập này trước hết em xin gửi đến quý thầy, cô giáo trong khoa Viễn Thông trường Học viện Công nghệ Bưu chính Viễn thông lời cảm ơn chân thành. Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người đã tận tình hướng dẫn, giúp đỡ em hoàn thành chuyên đề báo cáo thực tập này lời cảm ơn sâu sắc nhất. Sau 1 tháng thực hiện đề tài, được sự hướng dẫn, chỉ bảo tận tình của thầy và sự cố gắng của bản thân, em đã hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế và triển khai dịch vụ VPN site to site” Em xin chân thành cảm ơn Ban Lãnh Đạo, các phòng ban của công ty đã tạo điều kiện thuận lợi cho em được tìm hiểu thực tiễn trong suốt quá trình thực tập tại công ty. Đồng thời nhà trường đã tạo cho em có cơ hội được thưc tập nơi mà em yêu thích, cho em bước ra đời sống thực tế để áp dụng những kiến thức mà các thầy cô giáo đã giảng dạy. Qua công việc thực tập này em nhận ra nhiều điều mới mẻ và bổ ích trong việc kinh doanh để giúp ích cho công việc sau này của bản thân. Vì kiến thức bản thân còn hạn chế, trong quá trình thực tập, hoàn thiện chuyên đề này em không tránh khỏi những sai sót, kính mong nhận được những ý kiến đóng góp từ cô cũng như quý công ty. Một lần nữa em xin gửi lời cảm ơn sâu sắc đến toàn thể thầy cô, các anh chị đồng nghiệp và bạn bè. Tp. Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019 Người thực hiện MỞ ĐẦU 1 CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 2 1.1 Mục tiêu và ý nghĩa đề tài 2 1.2 Phương pháp thực hiện 2 1.3 Những nội dung chính 2 1.3.1 Lý thuyết 2 1.3.2 Thực hành 2 1.4 Kết quả đạt được 2 CHƯƠNG 2: TỔNG QUAN VỀ VPN 3 2.1 Định nghĩa, chức năng của VPN. 3 2.1.1 Khái niệm cơ bản về VPN 3 2.1.2 Chức năng của VPN 4 2.2 Các yêu cầu cơ bản của một giải pháp VPN 4 2.3 Đường hầm và mã hóa 5 2.4 Các dạng kết nối VPN 6 2.4.1 Remote access VPN (VPN client to site) 6 2.4.2 Sitetosite VPN ( Lantolan) 7 CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN 9 3.1 Các giao thức đường hầm 9 3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol) 9 3.1.2 Giao thức PPTP (PointtoPoint Tunneling Protocol) 12 3.1.2.1 Khái quát hoạt động của PPTP 13 3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 14 3.1.2.3 Đóng gói dữ liệu đường hầm PPTP 15 3.1.2.4 Ưu điểm và nhược điểm của PPTP 16 3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol) 16 3.1.3.1 Duy trì đường hầm bằng bản tin điều khiển L2TP 18 3.1.3.2 Đóng gói dữ liệu đường hầm L2TP 18 3.1.3.3 Xử lý dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec 19 3.1.3.4 Các thành phần của một hệ thống VPN sử dụng giao thức L2TP 19 3.1.3.5 Ưu điểm và nhược điểm của L2TP 20 3.2 Bộ giao thức IPSec (IP Security Protocol) 21 3.2.1 Cấu trúc bảo mật 21 3.2.2 Các chế độ làm việc của IPSec 22 3.2.2.1 Chế độ truyền tải (Transport mode) 22 3.2.2.2 Chế độ đường hầm (Tunnel Mode) 22 3.2.3 Các thành phần bên trong IPSec 23 3.2.3.1 Giao thức đóng gói tải tin an toàn ESP 23 3.2.3.2 Giao thức xác thực đầu mục AH 26 3.2.3.3 Giao thức trao đổi chìa khóa (IKE) 27 3.2.3.4 Một số vấn đề còn tồn đọng trong IPSec 30 CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITETOSITE 31 4.1 Sơ đồ mạng 31 4.2 Các bước cấu hình 31 4.3 Triển khai chi tiết 31 CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37 5.1 Đánh giá đề tài 37 5.2 Đánh giá bản thân 37 5.3 Hướng phát triển 37 THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 38 TÀI LIỆU THAM KHẢO 40 DANH MỤC HÌNH ẢNH Hình 2. 1 Mô hình VPN cơ bản 3 Hình 2. 2 Đường hầm VPN 5 Hình 2. 3 Mô hình Remote access VPN 7 Hình 2. 4 Mô hình SitetoSite VPN 8 Hình 3. 1 Mô hình kết nối VPN sử dụng L2F 10 Hình 3. 2 Các thành phần trong hệ thống VPN sử dụng L2F 11 Hình 3. 3 Mô hình kết nối PPTP 13 Hình 3. 4 Mô hình kết nối VPN sử dụng L2TP 17 Hình 3. 5 Xử lý gói tin IP ở chế độ truyền tải 22 Hình 3. 6 Xử lý gói tin ở chế độ đường hầm 23 Hình 3. 7 Các trường của ESP header 24 Hình 3. 8 Ví dụ về ESP Header 24 Hình 3. 9 Quá trình mã hóa và hoạt động của giao thức ESP 25 Hình 3. 10 Một gói ESP 25 Hình 3. 11 Quá trình AH xác thực và bảm đảm tính toàn vẹn dữ liệu 26 Hình 3. 12 Các trường của AH Header 27 Hình 4. 1 Sơ đồ mạng được sử dụng trong bài lab 31 Hình 4. 2 Ping từ PC1 qua PC2 34 Hình 4. 3 Ping từ PC2 qua PC1 35 Hình 4. 4 Kiểm tra crypto map 35 Hình 4. 5 Kiểm tra IPSec SA 36 MỞ ĐẦU Mạng riêng ảo VPN (Virtual Private Network) là một mạng riêng biệt sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa. Thay vì sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa. Một ứng dụng điển hình của VPN là cung cấp một kênh kết nối an toàn dựa trên kết nối internet giúp cho những văn phòng chi nhánh văn phòng ở xa hoặc những người làm việc từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính nội bộ trong mạng công ty. Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall. Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP.

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II

TP.HCM - tháng 07 / 2019

BÁO CÁO THỰC TẬP TỐT NGHIỆP

CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG

HỆ: CHÍNH QUY NIÊN KHÓA: 2015 - 2020

BÁO CÁO THỰC TẬP TỐT NGHIỆP

CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG

HỆ: CHÍNH QUY NIÊN KHÓA: 2015 - 2020

LỜI CẢM ƠN

Để hoàn thành chuyên đề báo cáo thực tập này trước hết em xin gửi đến quý thầy, côgiáo trong khoa Viễn Thông trường Học viện Công nghệ Bưu chính Viễn thông lờicảm ơn chân thành

Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người đã tận tình hướng dẫn, giúp

đỡ em hoàn thành chuyên đề báo cáo thực tập này lời cảm ơn sâu sắc nhất Sau 1 thángthực hiện đề tài, được sự hướng dẫn, chỉ bảo tận tình của thầy và sự cố gắng của bảnthân, em đã hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế và triển khai dịch vụ VPNsite to site”

Em xin chân thành cảm ơn Ban Lãnh Đạo, các phòng ban của công ty đã tạo điều kiệnthuận lợi cho em được tìm hiểu thực tiễn trong suốt quá trình thực tập tại công ty.Đồng thời nhà trường đã tạo cho em có cơ hội được thưc tập nơi mà em yêu thích, cho

em bước ra đời sống thực tế để áp dụng những kiến thức mà các thầy cô giáo đã giảngdạy Qua công việc thực tập này em nhận ra nhiều điều mới mẻ và bổ ích trong việckinh doanh để giúp ích cho công việc sau này của bản thân

Vì kiến thức bản thân còn hạn chế, trong quá trình thực tập, hoàn thiện chuyên đề này

em không tránh khỏi những sai sót, kính mong nhận được những ý kiến đóng góp từ

cô cũng như quý công ty

Một lần nữa em xin gửi lời cảm ơn sâu sắc đến toàn thể thầy cô, các anh chị đồngnghiệp và bạn bè

Tp Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019

Người thực hiện

MỤC LỤC

MỞ ĐẦU 1

CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 2

1.1 Mục tiêu và ý nghĩa đề tài 2

1.2 Phương pháp thực hiện 2

1.3 Những nội dung chính 2

1.3.1 Lý thuyết 2

1.3.2 Thực hành 2

1.4 Kết quả đạt được 2

CHƯƠNG 2: TỔNG QUAN VỀ VPN 3

2.1 Định nghĩa, chức năng của VPN 3

2.1.1 Khái niệm cơ bản về VPN 3

2.1.2 Chức năng của VPN 4

2.2 Các yêu cầu cơ bản của một giải pháp VPN 4

2.3 Đường hầm và mã hóa 5

2.4 Các dạng kết nối VPN 6

2.4.1 Remote access VPN (VPN client to site) 6

2.4.2 Site-to-site VPN ( Lan-to-lan) 7

CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN 9

3.1 Các giao thức đường hầm 9

3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol) 9

3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 12

3.1.2.1 Khái quát hoạt động của PPTP 13

3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 14

3.1.2.3 Đóng gói dữ liệu đường hầm PPTP 15

3.1.2.4 Ưu điểm và nhược điểm của PPTP 16

3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol) 16

3.1.3.1 Duy trì đường hầm bằng bản tin điều khiển L2TP 18

3.1.3.2 Đóng gói dữ liệu đường hầm L2TP 18

3.1.3.3 Xử lý dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec 19

3.1.3.4 Các thành phần của một hệ thống VPN sử dụng giao thức L2TP 19

MỤC LỤC

3.1.3.5 Ưu điểm và nhược điểm của L2TP 20

3.2 Bộ giao thức IPSec (IP Security Protocol) 21

3.2.1 Cấu trúc bảo mật 21

3.2.2 Các chế độ làm việc của IPSec 22

3.2.2.1 Chế độ truyền tải (Transport mode) 22

3.2.2.2 Chế độ đường hầm (Tunnel Mode) 22

3.2.3 Các thành phần bên trong IPSec 23

3.2.3.1 Giao thức đóng gói tải tin an toàn ESP 23

3.2.3.2 Giao thức xác thực đầu mục AH 26

3.2.3.3 Giao thức trao đổi chìa khóa (IKE) 27

3.2.3.4 Một số vấn đề còn tồn đọng trong IPSec 30

CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE 31

4.1 Sơ đồ mạng 31

4.2 Các bước cấu hình 31

4.3 Triển khai chi tiết 31

CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37

5.1 Đánh giá đề tài 37

5.2 Đánh giá bản thân 37

5.3 Hướng phát triển 37

THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 38

TÀI LIỆU THAM KHẢO 40

DANH MỤC HÌNH ẢNH

Hình 2 1 Mô hình VPN cơ bản 3

Hình 2 2 Đường hầm VPN 5

Hình 2 3 Mô hình Remote access VPN 7

Hình 2 4 Mô hình Site-to-Site VPN 8

Hình 3 1 Mô hình kết nối VPN sử dụng L2F 10

Hình 3 2 Các thành phần trong hệ thống VPN sử dụng L2F 11

Hình 3 3 Mô hình kết nối PPTP 13

Hình 3 4 Mô hình kết nối VPN sử dụng L2TP 17

Hình 3 5 Xử lý gói tin IP ở chế độ truyền tải 22

Hình 3 6 Xử lý gói tin ở chế độ đường hầm 23

Hình 3 7 Các trường của ESP header 24

Hình 3 8 Ví dụ về ESP Header 24

Hình 3 9 Quá trình mã hóa và hoạt động của giao thức ESP 25

Hình 3 10 Một gói ESP 25

Hình 3 11 Quá trình AH xác thực và bảm đảm tính toàn vẹn dữ liệu 26

Hình 3 12 Các trường của AH Header 27

Hình 4 1 Sơ đồ mạng được sử dụng trong bài lab 31

Hình 4 2 Ping từ PC1 qua PC2 34

Hình 4 3 Ping từ PC2 qua PC1 35

Hình 4 4 Kiểm tra crypto map 35

Hình 4 5 Kiểm tra IPSec SA 36

Trang 1

MỞ ĐẦU

Mạng riêng ảo VPN (Virtual Private Network) là một mạng riêng biệt sử dụng mộtmạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) haynhiều người dùng sử dụng từ xa Thay vì sử dụng bởi một kết nối thực, chuyên dụngnhư đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet

từ mạng riêng của công ty tới các site của các nhân viên từ xa

Một ứng dụng điển hình của VPN là cung cấp một kênh kết nối an toàn dựa trên kếtnối internet giúp cho những văn phòng chi nhánh / văn phòng ở xa hoặc những ngườilàm việc từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật vàthoải mái như đang sử dụng máy tính nội bộ trong mạng công ty

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall.Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ nhưISP

CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN

1.2 Phương pháp thực hiện

 Nguồn tài liệu lấy từ trang chủ Cisco, từ các diễn đàn, cộng đồng về Network

 Thực hành dựa trên công cụ giả lập mạng như GNS3

1.3 Những nội dung chính

1.3.1 Lý thuyết

 Tìm hiểu định nghĩa, các ứng dụng của công nghệ VPN

 Tìm hiểu các yêu cầu cơ bản của một giải pháp VPN

 Tìm hiểu kiến trúc, các thành phần có trong công nghệ VPN

 Các đối tượng liên quan trong một hệ thống sử dụng công nghệ VPN

1.3.2 Thực hành

Xây dựng bài lab mô phỏng cấu hình VPN site to site để làm rõ các bước khi cấu hình VPN

1.4 Kết quả đạt được

 Nắm rõ các thành phần, cơ chế hoạt động của công nghệ VPN

 Triển khai được bài lab mô phỏng cấu hình VPN

 Bước đầu có những nhận xét, đánh giá về lợi ích mà VPN đem lại

CHƯƠNG 2: TỔNG QUAN VỀ VPN

Trang 3

CHƯƠNG 2: TỔNG QUAN VỀ VPN 2.1 Định nghĩa, chức năng của VPN.

2.1.1 Khái niệm cơ bản về VPN

Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm củanhiều doanh nghiệp, đặc biệt là các doanh nghiệp có nhiều cơ sở cách xa nhau Nếunhư trước đây giải pháp thông thường là thuê các đường truyền riêng (leased lines) đểduy trì mạng WAN (Wide Are Network) Mỗi mạng WAN đều có các điểm thuận lợi

về độ tin cậy, hiệu năng và tính an toàn, bảo mật Nhưng để bảo trì một mạng WAN,đặc biệt khi sử dụng các đường truyền riêng, các doanh nghiệp sẽ phải tốn một khoảnđầu tư khá lớn

Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như mộtphương tiện quảng bá và mở rộng các mạng mà họ sở hữu Ban đầu, là các mạng nội

bộ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụngchỉ bởi các thành viên trong công ty

Hình 2 1 Mô hình VPN cơ bản

Về căn bản, mỗi VPN (virtual private network) là một mạng riêng rẽ sử dụng mộtmạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) haynhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụngnhư đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet

từ mạng riêng của công ty tới các site của các nhân viên từ xa

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall.Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ nhưISP

VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua mộtmạng công cộng sử dụng các kết nối tạm thời Những kết nối bảo mật được thiết lậpgiữa 2 host, giữa host và mạng hoặc giữa hai mạng với nhau

Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã hoá”.VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI.

2.1.2 Chức năng của VPN

VPN cung cấp ba chức năng chính:

 Tính tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khitruyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truycập thông tin mà không được cho phép Và nếu có lấy được thì cũng không đọcđược

 Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm tra rằng dữ liệu đãđược truyền qua mạng Internet mà không có sự thay đổi nào

 Tính xác thực (Origin Authentication): Người nhận có thể xác thực nguồn gốc củagói dữ liệu, đảm bảo và công nhận nguồn thông tin

2.2 Các yêu cầu cơ bản của một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

 Tính tương thích (compatibility): Mỗi công ty, mỗi doanh nghiệp đều có thể tự xâydựng các hệ thống mạng của mình mà không cần tuân theo một chuẩn nhất địnhcủa nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩnTCP/IP vì vậykhông thể kết nối trực tiếp với Internet Để có thể sử dụng được IPVPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địachỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng về tạo kênhkết nối ảo, cài đặt cổng kết nối internet có chức năng trong việc chuyển đổi cácchuẩn khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khichọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện cócủa họ

 Tính bảo mật (security): Tính bảo mật cho khách hàng là một yếu tố quan trọngnhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệuthông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thốngmạng nội bộ do họ tự xây dựng và quản lý Việc cung cấp tính năng bảo đảm antoàn cần đảm bảo hai mục tiêu sau:

 - Cung cấp tính năng an toàn thích hợp bao gồm cung cấp mật khẩu cho người sửdụng trong mạng và mã hoá dữ liệu khi truyền

 - Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản chongười sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệthống

 Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp đượctính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượngtruyền

 Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới

có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên

quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên.

Mã hoá(Encryption) chắc chắn rằng bản tin không bị đọc bởi bất kỳ ai nhưng có thể

đọc được bởi người nhận Khi mà càng có nhiều thông tin lưu thông trên mạng thì sựcần thiết đối với việc mã hoá thông tin càng trở nên quan trọng Mã hoá sẽ biến đổi nộidung thông tin thành trong một văn bản mật mã bất kì Người nhận sẽ được cung cấpmột công cụ để giải mã

Một số thuật ngữ thường được sử dụng:

 Hệ thống mã hoá (CryptoSystem): Là một hệ thống để thực hiện mã hoá hay giải

mã, xác thực người dùng, băm (hashing) và các quá trình trao đổi khoá, một hệthống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vàoyêu cầu cho một vài loại traffic cụ thể

 Hàm băm (hashing): Là một kỹ thuật đảm bảo tính toàn vẹn dữ liệu, nó sử dụngmột công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi vàmột khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cốđịnh Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận,việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bịthay đổi trong khi truyền trên mạng

 Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hayquá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực đảm bảo chắcchắn rằng cá nhân hay một tiến trình là hợp lệ.

 Cho phép (Authorization): Là hoạt động kiểm tra thực thể nào đó có được phépthực hiện những quyền hạn cụ thể nào

 Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ được tin tưởng đểbảo mật quá trình truyền tin giữa các thực thể mạng hoặc người dùng bằng cáchtạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng cho mụcđích mã hoá Một CA đảm bảo cho sự liên kết giữa các thành phần bảo mật trongchứng nhận

 IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa giữahai điểm kết nối VPN IKE hỗ trợ ba kiểu xác thực là dùng khóa biết trước (pre-share key), RSA và RSA signature IKE lại dùng hai giao thức là Oakley KeyExchange (mô tả kiểu trao đổi chìa khoá) và Skeme Key Exchange (định nghĩa kỹthuật trao đổi chìa khoá), mỗi giao thức định nghĩa một cách thức để thiết lập sựtrao đổi khoá xác thực, bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ

tự các khoá được xử lý và các khoá được sử dụng như thế nào

 AH (Authentication Header): Là giao thức bảo mật giúp xác thực dữ liệu, bảo đảmtính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhấtcủa gói tin) AH được nhúng vào trong dữ liệu để bảo vệ

 ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tincậy của dữ liệu, đảm bảo tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu ESPđóng gói dữ liệu để bảo vệ

2.4 Các dạng kết nối VPN

2.4.1 Remote access VPN (VPN client to site)

Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cậpvào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất

là một server) Vì vậy, giải pháp này thường được gọi là client/server Trong giải phápnày, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra cáctunnel về mạng trung tâm của họ

Các thành phần chính của một giải pháp Remote access VPN bao gồm:

 Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụxác thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối

 Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet,những người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kếtnối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyêncủa doanh nghiệp thông qua Remote Access VPN

Hình 2 3 Mô hình Remote access VPN

Ưu điểm và nhược điểm của Remote access VPN:

 Ưu điểm Remote access VPN:

- VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối

từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm

- Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truy nhập từ xa chính là các kết nối Internet

- VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu

 Nhược điểm của Remote access VPN:

- Remote Access VPN không đảm bảo được chất lượng dịch vụ (QoS)

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể bị thất thoát

- Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình xác nhận

2.4.2 Site-to-site VPN ( Lan-to-lan)

Site-to-Site VPN là giải pháp kết nối các hệ thống mạng ở những địa điểm khácnhau với mạng trung tâm thông qua VPN Trong trường hợp này, quá trình xác thựcban đầu cho người sử dụng là quá trình xác thực giữa các thiết bị Các thiết bị này hoạt

động như cổng an ninh (security gateway), truyền dẫn lưu lượng một cách an toàn từ

site này tới site kia Các bộ định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực

hiện kết nối này Sự khác nhau giữa Site-to-Site VPN và Remote Access VPN chỉmang tính tượng trưng Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách này.

CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN

Trang 9

CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN

Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:

 L2F - Layer 2 Forwarding Protocol

 PPTP - Point-to-Point Tunneling Protocol

 L2TP - Layer 2 Tunneling Protocol

 IPSec - IP Security

Ngoài ra còn một số giao thức khác, tuy nhiên những giao thức này ít được sử dụngbởi một số bất cập trong quá trình triển khai Tuỳ theo từng lớp ứng dụng cụ thể màmỗi giao thức đều có ưu và nhược điểm khác nhau khi triển khai vào mạng VPN, việcquan trọng là người thiết kế phải kết hợp các giao thức một cách linh hoạt

3.1 Các giao thức đường hầm

Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao thứcđường hầm khác nhau, việc sử dụng giao thức nào liên quan đến các phương pháp xácthực và mã hóa đi kèm Như đã giới thiệu ở trên, các giao thức đường hầm phổ biếnhiện nay là:

 L2F - Layer 2 Forwarding Protocol

 PPTP - Point-to-Point Tunneling Protocol

 L2TP - Layer 2 Tunneling Protocol

3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thốngmạng của Cisco dựa trên giao thức PPP - Point to Point Protocol (là một giao thứctruyền thông nối tiếp lớp 2), L2F cho phép máy tính của người dùng truy nhập vàomạng Intranet của một tổ chức thông qua cơ sở hạ tầng mạng công cộng Internet với

sự an toàn cao Tương tự như giao thức định đường hầm điểm tới điểm PPTP, giaothức L2F cho phép truy nhập mạng riêng ảo một cách an toàn xuyên qua cơ sở hạ tầngmạng công cộng bằng cách tạo ra một đường hầm giữa hai điểm kết nối

Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX,NetBIOS và NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F

có thể làm việc với nhiều công nghệ mạng khác nhau như: Frame Relay, ATM,FDDI

L2F hỗ trợ việc định đường hầm cho hơn một kết nối L2F có thể làm được điềunày trong khi nó định nghĩa những kết nối bên trong đường hầm, đây là một đặc điểmhữu ích của L2F trong trường hợp ở nơi có nhiều người sử dụng truy nhập từ xa màchỉ có duy nhất một kết nối được thoả mãn yêu cầu

Cấu trúc của 1 gói tin đi qua L2F VPN như sau:

1bit 1bit 1bit 1bit 8bit 1bit 3 bit 8 bit 8bit

F K P S Reserved C Version Protocol Sequence

Multiplex IP Client ID

KeyDataChecksum

Trong đó, ý nghĩa của các trường như sau:

- Version: phiên bản của L2F

- Protocol: xác định giao thức đóng gói L2F

- Sequence: số chuỗi được đưa ra nếu trong tiêu đề L2F có bit S = 1

- Multiplex ID: nhận dạng một kết nối riêng trong một đường hầm

- Client ID: giúp tách đường hầm tại những điểm cuối

- Length: chiều dài của gói (tính bằng byte) không bao gồm phần Checksum

- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu

- Key: là một phần của quá trình xác thực (có mặt khi bit K = 1)

- Checksum: tổng kiểm tra của gói (có mặt khi bit C = 1)

Hệ thống sử dụng L2F bao gồm các thành phần sau:

Hình 3 2 Các thành phần trong hệ thống VPN sử dụng L2F

 Máy chủ truy nhập mạng (NAS – Network Access Server): hướng lưu lượng đến

và đi giữa máy khách ở xa (Remote client) và Home Gateway

 Đường hầm (Tunnel): định hướng đường đi giữa NAS và Home Gateway Một đường hầm có thể bao gồm một số kết nối

 Home Gateway: ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng

 Kết nối (Connection): là một kết nối PPP trong đường hầm

 Điểm đích (Destination): là điểm kết thúc ở đầu xa của đường hầm, trong trường hợp này thì Home Gateway chính là điểm đích

Các bước hoạt động của L2F bao gồm: thiết lập kết nối, định đường hầm và phiên làmviệc Cụ thể như sau:

 Người sử dụng ở xa dial-up tới hệ thống NAS và khởi đầu một kết nối PPP tớiISP

 Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP(Link Control Protocol)

 NAS sử dụng cơ sử dữ liệu cục bộ liên quan tới tên miền hay xác thực RADIUS

để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F

 Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ củaGateway đích

 Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa cóđường hầm nào Việc thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tớiGateway đích để chống lại tấn công bởi kẻ thứ 3

 Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dàiphiên PPP từ người sử dụng ở xa tới Home Gateway Kết nối này được thiết lậpnhư sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thựcPAP/CHAP như đã thỏa thuận bởi đầu cuối người sử dụng và NAS HomeGateway chấp nhận kết nối hay thỏa thuận lại LCP và xác thực lại người sử dụng

 Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vàotrong các khung L2F và hướng chúng vào trong đường hầm

 Tại Home Gateway, khung L2F được tách bỏ và dữ liệu đóng gói được hướng tớimạng công ty

Ưu điểm và nhược điểm của L2F:

 Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được hỗ trợ bởi nhiều nhà cung cấp

 Nhược điểm:

- Không có mã hóa

- Hạn chế trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)

PPTP là kết quả của sự nỗ lực chung giữa Microsoft và một loạt các nhà cung cấpthiết bị mạng như 3Com, Ascend Communications, ECI Telematics và U.S Robotics.Ban đầu, những công ty này tạo ra PPTP Forum và đưa ra các thông số kỹ thuật mô tảPPTP Sau đó, họ gửi những thông số này tới IETF để được xem xét công nhận như làmột chuẩn Internet vào năm 1996 Ý tưởng cơ bản của giao thức này là tách các chứcnăng chung và riêng của truy nhập từ xa, lợi dung cơ sở hạ tầng Internet sẵn có để tạo

Internet

PPTP Connection (VPN) PPP Connection

kết nối bảo mật giữa người dùng ở xa và mạng riêng mà họ được phép truy nhập.Người dùng ở xa chỉ việc kết nối tới nhà cung cấp dịch vụ Internet ở địa phương là cóthể tạo đường hầm bảo mật tới mạng riêng của họ

Tương tự giao thức L2F, giao thức PPTP (Point-to-Point Tunneling Protocol) banđầu được phát triển và được thiết kế để giải quyết vấn đề tạo và duy trì các đường hầmVPN trên các mạng công cộng dựa vào TCP/IP bằng cách sử dụng PPP PPTP sử dụnggiao thức đóng gói định tuyến chung (GRE) được mô tả lại để đóng và tách gói PPP.Giao thức này cho phép PPTP xử lý các giao thức khác không phải IP như IPX,NetBEUI một cách linh hoạt

Network Access Server

Server

Hình 3 3 Mô hình kết nối PPTP

3.1.2.1 Khái quát hoạt động của PPTP

PPP đã trở thành giao thức truy nhập Internet và các mạng IP rất phổ biến hiện nay,

nó làm việc ở lớp liên kết dữ liệu (Datalink Layer) trong mô hình OSI PPP bao gồmcác phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp,PPP có thể đóng các gói tin IP, IPX và NetBEUI để truyền đi trên kết nối điểm – điểm

từ máy gửi đến máy nhận

PPTP đóng gói các khung dữ liệu của giao thức PPP và các IP datagram để truyềnqua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kết nối điềukhiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm và một phiên bản của giao thứcGRE để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hóavà/hoặc nén

PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người sử dụng

- Tạo các gói dữ liệu PPP

PPTP giả định tồn tại một mạng IP giữa PPTP client và PPTP server PPTP client

có thể được kết nối trực tiếp thông qua việc dial-up tới máy chủ truy nhập mạng NAS

để thiết lập kết nối IP Khi một kết nối PPP được thiết lập thì người dùng thường đãđược xác thực, đây là giai đoạn tùy chọn trong PPP, tuy nhiên nó luôn được cung cấpbởi các ISP.

Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chếxác thực của kết nối PPP Các cơ chế xác thực có thể là:

- EAP (Extensible Authentication Protocol): giao thức xác thực mở rộng

- CHAP (Challenge Handshake Authentication Protocol): giao thức xác thực đòi hỏi bắt tay

- PAP (Password Authentication Protocol): giao thức xác thực mật khẩu

Với PAP, mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản (clear text),không có bảo mật CHAP là một giao thức xác thực mạnh hơn sử dụng phương thứcbắt tay ba bước CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giátrị thách đố (Challenge Value) duy nhất và không thể đoán trước được

PPTP cũng thừa hưởng vật mật mã và/hoặc nén phần tải tin từ PPP Để mật mãphần tải tin, PPP có thể sử dụng phương thức mã hóa điểm – tới – điểm MPPE(Microsoft Point to Point Encryption) MPPE chỉ cung cấp mật mã mức truyền dẫn,không cung cấp mật mã đầu cuối đến đầu cuối Nếu cần sử dụng mật mã đầu cuối đếnđầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khiđường hầm PPTP đã được thiết lập

Sau khi PPP thiết lập kết nối, PPTP sử dụng các qui luật đóng gói của PPP để đóngcác gói truyền trong đường hầm Để tận dụng ưu điểm của kết nối tạo ra bởi PPP,

PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu, sau đó gán chúng vào hai

kênh riêng là kênh điều khiển và kênh dữ liệu PPTP phân tách các kênh điều khiển vàkênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức

IP Kết nối TCP tạo giữa máy trạm PPTP và máy chủ PPTP được sử dụng để truyền tảithông báo điều khiển

Các gói dữ liệu là dữ liệu thông thường của người dùng, các gói điều khiển đượcgửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa ứngdụng khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi cácthông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (cổng TCPđược cấp phát ngẫu nhiên) và địa chỉ IP của máy chủ PPTP (sử dụng cổng mặc định là1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý được sử dụng

để duy trì đường hầm PPTP Các bản tin này bao gồm PPTP echo-request và PPTPecho-reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ PPTP Các

gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu.

Cấu trúc 1 gói dữ liệu kết nối điều khiển PPTP:

Tiêu đề liên

kết dữ liệu Tiêu đề IP

Tiêu đềTCP

Bản tin điềukhiển PPTP

Phần đuôiliên kết dữliệu

3.1.2.3 Đóng gói dữ liệu đường hầm PPTP

 Đóng gói khung PPP và GRE

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức như sau:

Tiêu đề

liên kết dữ

liệu

Tiêu đềIP

Tiêu đềGRE

Tiêu đềPPP

Tải PPP được mã

hóa(IP, IPX,NetBEUI)

Phần đuôiliên kết dữliệu

Phần tải của khung PPP ban đầu được mã hóa và đóng gói với tiêu đề PPP để tạo rakhung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giaothức GRE sửa đổi

GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyếnqua mạng IP Đối với phần PPTP, phần tiêu đề của GRE được sửa đổi một số điểmnhư sau:

- Một trường xác nhận 32bit được thêm vào

- Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận32bit

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường chỉ sốcuộc gọi 16bit Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trongquá trình khởi tạo đường hầm PPTP

 Đóng gói IP

Phần tải PPP (đã được mã hóa) và các tiêu đề GRE sau đó được đóng gói với mộttiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máychủ PPTP

 Đóng gói lớp liên kết dữ liệu

Để có thể truyền qua mạng LAN hoặc WAN, gói IP cuối cùng sẽ được đóng gói vớimột tiêu đề và phần đuôi của lớp liên kết dữ liệu ở giao diện vật lý đầu ra Ví dụ, nếugói IP được gửi qua giao diện Ethernet, nó sẽ được đóng gói với phần tiêu đề và đuôiEthernet Nếu gói được gửi qua đường truyền WAN điểm – tới – điểm, nó sẽ đượcđóng gói với phần tiêu đề và đuôi của giao thức PPP.

 Xử lý dữ liệu tại đầu cuối đường hầm PPTP

Khi nhận được dữ liệu đầu cuối đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực hiện các bước sau:

- Xử lý loại bỏ phần tiêu đề và đuôi của lớp liên kết dữ liệu

- Xử lý và loại bỏ tiêu đề IP

- Xử lý và loại bỏ tiêu đề GRE và PPP

- Giải mã và/hoặc giải nén phần tải PPP (nếu cần thiết)

- Xử lý phần tải tin để nhận hoặc chuyển tiếp

3.1.2.4 Ưu điểm và nhược điểm của PPTP

Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp

3 của mô hình OSI Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyềntrong đường hầm bằng các giao thức khác IP (ví dụ IPX, NetBEUI ) trong khi IPSecchỉ có thể truyền các gói IP trong đường hầm

Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kếhoạch thay thế PPTP bằng L2TP khi giao thức này đã được chuẩn hóa PPTP thích hợpcho việc dial-up truy nhập với số lượng người dùng giới hạn hơn là cho VPN kết nốiLAN-LAN Một vấn đề của PPTP là xử lý xác thực người dùng thông qua WindowsServer hay thông qua RADIUS, máy chủ PPTP thường quá tải khi có số lượng lớnngười dùng dial-up hay một lượng lớn dữ liệu truyền qua, mà điều này là một yêu cầu

cơ bản của kết nối LAN-LAN

3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol)

Để tránh việc hai giao thức định đường hầm không tương thích cùng tồn tại gây khókhăn cho người sử dụng, IETF đã kết hợp 2 giao thức L2F và PPTP và phát triển thànhL2TP L2TP được xây dựng trên cơ sở tận dụng các ưu điểm của PPTP và L2F, đồngthời có thể sử dụng được trong tất cả các trường hợp ứng dụng của hai giao thức này.Một đường hầm L2TP có thể được khởi tạo từ một PC ở xa dial-up về LNS (L2TPNetwork Server) hay từ LAC (L2TP Access Concentrator) về LNS Mặc dù L2TP vẫndùng PPP nhưng L2TP định nghĩa cơ chế tạo đường hầm của riêng nó tùy thuộc vàophương tiện truyền chứ không dùng GRE

Máy chủ mạng L2TP

Kết nối LAN - Client

NAS Client di động

Hình 3 4 Mô hình kết nối VPN sử dụng L2TP

L2TP đóng gói các khung PPP để truyền qua mạng IP, X25, Frame Relay hoặcATM, tuy nhiên hiện nay mới chỉ có L2TP truyền qua mạng IP được định nghĩa Khitruyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP L2TP cóthể được sử dụng như một giao thức định đường hầm thông qua Internet hoặc cácmạng riêng Intranet L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đườnghầm cũng như các dữ liệu duy trì đường hầm Phần tải của khung PPP đã đóng gói cóthể được mã hóa và nén Mã hóa trong các kết nối L2TP thường được thực hiện bởiIPSec ESP (chứ không phải là MPPE như đối với PPTP) Ta cũng có thể tạo kết nốiL2TP không sử dụng mật mã IPSec, tuy nhiên đây không phải là kết nối IP-VPN vì dữliệu riêng được đóng gói bởi L2TP không được mã hóa Các kết nối L2TP không mãhóa có thể được sử dụng tạm thời để sửa các lỗi kết nối L2TP dùng IPSec

L2TP giả định tồn tại mạng IP giữa máy trạm (VPN client dùng giao thức đườnghầm L2TP và IPSec) và máy chủ L2TP Máy trạm L2TP có thể được kết nối trực tiếpvới mạng IP để truy nhập tới máy chủ L2TP hoặc gián tiếp thông qua việc dial-up tớiNAS (máy chủ truy nhập mạng) để thiết lập kết nối IP Việc xác thực trong quá trìnhhình thành đường hầm L2TP phải sử dụng các cơ chế xác thực trong kết nối PPP nhưEAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thứcL2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet.Giống như PPTP, L2TP cũng dùng hai kiểu bản tin là điều khiển và dữ liệu Cácbản tin điều khiển chịu trách nhiệm thiết lập, duy trì và hủy các đường hầm Các bảntin dữ liệu đóng gói các khung PPP được truyền trong đường hầm Các bản tin điềukhiển dùng cơ chế điều khiển tin cậy bên trong L2TP để đảm bảo việc phân phối,trong khi các bản tin dữ liệu không được gửi lại khi bị mất trên đường truyền