Kỹ thuật đường hầm tunneling VPN

Chuyên Đề Mục Lục Danh mục hình vẽ Danh mục từ viết tắt VPN Virtual Private Network Mạng riêng ảo LAN Local Area Network Mạng máy tính nội bộ WAN Wide Area Network Mạng diện rộng QoS Qua

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG

BÀI TIỂU LUẬN

ĐỀ TÀI:

Kỹ thuật đường hầm tunneling VPN và

giao thức tại layer 2 trong VPN

MÔN: Chuyên Đề Giảng viên: Nguyễn Chiến Trinh

Nhóm môn học 04: Sinh viên thực hiện Trần Đức Dự - B17DCVT072

Đỗ Đình Thịnh - B17DCVT343 Nguyễn Tiến Đức - B17DCVT078 Nghiêm Xuân Thắng - B17DCVT328

Năm học 2020 -2021

1.2 Những lợi ích do VPN mang lại

1.3 Các mô hình kết nối VPN thông dụng

2.1.1 Kỹ thuật Tunneling trong mạng VPN Remote Access

2.1.2 Kỹ thuật Tunneling trong mạng VPN Site-to-Site

2.2 Các giao thức tại layer 2 trong vpn

2.2.1 Giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding)

2.2.1.1 Giới thiệu tổng quan về đường hầm L2F

2.2.1.2 Quá trình thiết lập đường hầm L2F

2.2.1.3 Quá trình định hướng đường hầm dựa trên L2F

2.2.1.4 Tính năng và bảo mật của L2F

2.2.2 Giao thức đường hầm điểm điểm PPTP (Point-to-Point Tunneling Protocol)2.2.2.1 Các thành phần của giao thức PPTP

2.2.2.2 Vai trò của PPP trong giao thức PPTP

2.2.2.3 Tiến trình PPTP

2.2.2.4 Xử lý và định đường hầm PPTP

2.2.2.5 Tính năng và bảo mật của PPTP

2.2.3 Giao thức tunneling lớp 2 L2TP (Layer 2 Tunneling Protocol)2.2.3.1 Giới thiệu tổng quả về L2TP.

2.2.3.2 Thành phần của L2TP

2.2.3.3 Quá trình thiết lập đường hầm L2TP

2.2.3.4 Quá trình xử lý định hướng đường hầm dữ liệu L2TP.2.2.3.5 Các mô hình đường hầm L2TP

2.2.4 So sánh các giao thức

Kết luận chung

Chuyên Đề

Mục Lục

Danh mục hình vẽ

Danh mục từ viết tắt

VPN Virtual Private Network Mạng riêng ảo

LAN Local Area Network Mạng máy tính nội bộ

WAN Wide Area Network Mạng diện rộng

QoS Quality of Service Chất lượng dịch vụ

ISP Internet Service Provider Nhà cung cấp Internet

PPP Point-to-Point Protocol Giao thức kết nối điểm-điểm

TCP/I

P TransmissionControl Protocol/Internet Protocol Giao thức điều khiển truyền nhận/Giao thứcliên mạng

GRE Generic Routing Encapsulation Đóng gói định tuyến chung

IPSec Internet Protocol Security Giao thức internet bảo mật

FDDI Fiber Distributed Data Interface Là một tiêu chuẩn để truyền dữ liệu trong

mạng cục bộ

IPX Internet Packet Exchange Trao đổi gói Internet

PSTN Public Switching Telephone

NAS Network Access Sever Là một công nghệ lưu trữ dữ liệu trong một

Chuyên Đề

mạng máy tính

POP Post Office Protocol Một tiêu chuẩn Internet cho phép tải email

từ máy chủ emailCHAP Challenge Handshake

Authentication Protocol

Giao thức xác thực có thăm dò trước

PAP Password Authentication Protocol Giao thức xác thực mật khẩu

ESP Encapsulating Security Đóng gói bảo mật

MPPE Microsoft Point-to-Point

Encryption Mã hóa điểm-điểm Microsoft

AH Authentication Header Xác thực tiêu đề

PPTP Point-to-Point Tunneling Protocol Giao thức đường hầm điểm-điểm

IKE Internet Key Exchange Trao đổi khóa trên Internet

LCP Link Control Protocol Giao thức kiểm soát liên kết

AC Access control Kiểm soát truy cập

RAS Remote Accsess Switch Công tắc truy cập từ xa

ATM Asynchronous Transfer Mode Chế độ truy cập không đồng bộ

FR Frame Relay Chuyển tiếp khung hình

UDP User Datagram Protocol Là một trong những giao thức cốt lõi của

TCP/IPL2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp hai

LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP

ISDN Integrated Services Digital

LNS Local Network Service Dịch vụ mạng cục bộ

Chuyên Đề Chương I: Tổng quan về VPN

Chương I: Tổng quan về VPN

1.1 Định nghĩa VPN

Mạng riêng ảo hay VPN (Virtual Private Network) được định nghĩa như là một kếtnối mạng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểmhoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nốithật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền quaInternet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa với cácchính sách quản lý và bảo vệ giống như mạng cục bộ Mạng VPN là sự mở rộng mô hìnhmạng LAN Trong thực tế người ta nói đến hai khái niệm: VPN tin cậy và VPN an toàn.VPN tin cậy: Như là số mạch thuê bao của một nhà cung cấp dịch vụ viễn thông Mỗimạch thuê bao hoạt động như một đường dây trong một mạng cục bộ

VPN an toàn: Là các mạng riêng ảo có sự sử dụng các mật mã để bảo vệ dữ liệu Dữliệu đầu ra của mạng được mật mã rồi chuyển vào mạng công cộng như các dữ liêu khác

để truyền tới đích và sau đó được giải mả tại phía thu

Hình 1.1: Mô hình mạng riêng ảo

1.2 Lợi ích VPN mang lại

1 hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tíchđịa lý tượng tự như chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN còn đượcdùng để "khuếch tán", mở rộng các mô hình Intranet nhằm truyền tải thông tin, dữ liệu tốthơn Ví dụ, các trường học vẫn phải dùng VPN để nối giữa các khuôn viên của trường(hoặc giữa các chi nhánh với trụ sở chính) lại với nhau

Bước vào kỷ nguyên thông tin, công nghệ thông tin và viễn thông đang hội tụ sau sắc

và đóng góp vai trò quan trọng trong sự phát triển kinh tế, xã hội toàn cầu Xu hướng toàncầu hóa đã bắt buộc các doanh nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống

Chuyên Đề Chương I: Tổng quan về VPN

thông tin của chính mình Với một hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới,việc sử dụng một mạng kết nối – trao đổi thông tin riêng ( WAN – Wide Area Network )trong nội bộ là vô cùng quan trọng để có được những kêt quả sản xuất kinh doanh thực sựhiệu quả

Tuy nhiên, mạng dùng riêng (WAN) vẫn là một giải pháp rất đắt tiền, đòi hỏi nhữngmức chi phí đầu tư lớn, rất khó có thể phù hợp cho những doanh nghiệp vừa và nhỏ nhưViệt Nam Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặcVPN, để kết nối giữa các chi nhánh với Văn Phòng, doanh nghiệp sẽ phải đầu tư chi phírất lớn về cả thiết bị mạng cũng như chi phí sử dụng Tuy nhiên, do hạn chế về công nghệ,công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng mở rộng mạngkhó khăn

Hình 1.2 Mạng riêng ảo có mã hóa đường hầm

Mạng riêng ảo VPN là giải pháp công nghệ cho phép thiết lập mạng dùng riêng trênnền mạng công cộng sẵ có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo” thông suốt vàbảo mật

Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu tư thiết bị,

từ mã hóa và chịu trách nhiệm về mạng của mình Đây là điều rất khó khăn cho các doanhnghiệp không chuyên về viễn thông và công nghệ thông tin

1.2.1 Ưu điểm

Mạng riêng ảo mang lại lợi ích thiết thực và tức thời cho các công ty:

• Tiết kiệm chi phí

Chuyên Đề Chương I: Tổng quan về VPN

• Tính linh hoạt

• Khả năng mở rộng tốt

• Giảm thiểu các hỗ trợ kỹ thuật

• Giảm thiểu các yêu cầu thiết bị

• Đáp ứng các nhu cầu thương mại

1.3 Các mô hình kết nối VPN thông dụng

1.3.1 VPN truy cập từ xa ( Remote access VPN )

Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để tru cậpvào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator ( bản chất làmột server ) Vì vậy, giải pháp này, người dùng thường sử dụng các công nghệ WANtruyền thống để tạo ra các tunnel về mạng trung tâm của họ

Hình 1.3 Remote Access VPN

Ưu điểm Remote Access VPN:

• VPN truy nhận từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối từ

xa do các nhà cung cấp dịch vụ Internet đảm nhiệm

• Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truynhập từ xa chính là các kết nối Internet

• VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụtruy cập ở mức độ tối thiểu

Chuyên Đề Chương I: Tổng quan về VPN

Nhược điểm Remote Access VPN:

• Không đảm bảo được chất lượng dịch vụ ( QoS )

• Khả năng mấy dự liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể

Ưu điểm của Intranet:

• Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiềunhà cung cấp dịch vụ Internet

• Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa

Hình 1.4 Intranet VPN kết nối qua Backbone router

Hình 1.5 Intranet VPN kết nối qua Internet

Chuyên Đề Chương I: Tổng quan về VPN

• Do kết nối trung gian được thực hiện thông qua Internet nên nó có thể dễ dàngthiết lập thêm một liene kết hàng ngang mới

• Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp vớicác công nghệ chuyển mạch tốc độ cao

• Nhược điểm của Intranet:

• Do dữ liệu được truyền qua mạng công cộng ( mặc dù đã được mã hóa ) nên vẫncòn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS)

• Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao

1.3.3 VPN mở rộng (Extranet VPN)

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tàinguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khác nhau giữaVPN nội bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầucuối VPN

Hình 1.6 Extranet VPN

Ưu điểm của Extranet:

• Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựachọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức

• Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nêncũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

• Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

Nhược điểm của Extranet:

• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

• Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máytrạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải

sử dụng chung một giao thức (tunnel protocol) Giao thức của gói tin bọc ngoài được cảmạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel(tunnel interface), nơi gói tin đi vào và đi ra trong mạng

2.1.1 Kỹ thuật Tunneling trong mạng VPN Remote Access:

Trong loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IPkhác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuậtTunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP

2.1.2 Kỹ thuật Tunneling trong mạng VPN Site-to-Site

Với VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp Cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) đểtruyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin

mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSectrong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa

2.2 Các giao thức tại layer 2 trong VPN

Các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mật các giao dịch quaVPN Một số giao thức đường hầm được thực hiện tại layer 2 – Lớp liên kết dữ liệu ( Data link ) – của mô hình OSI, được mô tả trong hình 2.1

Các giao thức này bao gồm: Giao thức chuyển tiếp lớp 2 ( L2F),giao thức đường hầm điểm – điểm (PPTP), giao thức đường hầm lớp 2 ( L2TP)

Chuyên Đề

Hình 2.7 Vị trí các giao thức đường hầm trong mô hình OSI

2.2.1 Giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding)

2.2.1.1 Giới thiệu tổng quan về đường hầm L2F

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựatrên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số

ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng nhưInternet L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để chonhững người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từxa.Hỗ trợ nhiều phiên đồng thời trong 1 đường hầm tức là nhiều người có thể cùng truycập vào mạng cục bộ riêng qua một kết nối quay số đơn

Hình 2.8 Đường hầm L2F từ POP của ISP tới gateway của một mạng riêng

Chuyên Đề

• Có khả năng bảo mật các giao dịch

• Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trunggian khác

• Hỗ trợ nhiều công nghệ mạng như ATM,FDDI, IPX,Net-BEUI và FramRelay

2.2.1.2 Quá trình thiết lập đường hầm L2F

Hình 2.9 Quá trình thiết lập đường hầm L2F

Thiết lập đường hầm L2F thực hiện tuần tự các bước sau:

1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ Nếu một ngườidùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDNhoặc liên kết để kết nối tới ISP Nếu người dùng không phải là một phần củabất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN

2. Nếu NAS đặt tại POP và ISP chấp nhận yêu cầu kết nối, kết nối PPP được thiếtlập giữa NAS và người dùng

3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được sửdụng cho chức năng này

4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại thfi đườnghầm sẽ được khởi tạo

5. Sau khi một đường hầm được thiết lập thành công, một ID(MID) đa công duynhất được phân phối tới các kết nối, Một thông điệp thông báo cũng được gửi

Chuyên Đề

tới các Gateway của máy chủ mạng Thông điệp này thông báo cho Gateway

về yêu cầu kết nối từ một người dùng ở xa

6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này Nếu yêu cầu bị từchối người dùng sẽ được thông báo lỗi và kết nối quay số bị kết thúc.Trongtrường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo khởi tạocài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin xác thực, nóđược dùng bởi Gateway để xác thực người dùng từ xa

7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao diện

ảo được thiết lập giữa 2 đầu cuối

2.2.1.3 Quá trình định hướng đường hầm dựa trên L2F.

Hình 2.10 Quá trình định đường hầm dữ liệu L2F

Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận, mộtđường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được thiết lập

Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong Các Frame tầng 2 có thểđược trao đổi qua đường hầm như sau:

1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại ISP

2. POP cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm vào cáctiêu đề L2F và đánh dấu frame Sau khi frame được đóng gói mới thì đượcchuyển tiếp tới mạng đích qua đường hầm

3. Máy chủ Gateway mạng chấp nhận các gói đường hầm này, cắt bỏ tiêu đề L2F,đánh dấu và chuyển tiếp các frame tới Node đích trong mạng Intranet

4. Note đích xử lý các frame nhận được như là các gói không qua đường hầm

2.2.1.4 Tính năng và bảo mật của L2F

Bảo mật của L2F

L2F cung cấp các dịch vụ: Mã hóa dữ liệu và xác thực

Chuyên Đề

• Mã hóa dữ liệu L2F: L2F sử dụng MPPE cho các chức năng mã hóa cơ bản Tuynhiên nó không an toàn với các kỹ thuật Hacking tiên tiến ngày nay Và nó cũngđược phải sử dụng mã hóa dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bímật IPSec sử dụng hai giao thức cho chức năng mã hóa: đóng gói tải bảo mật(ESP) và xác thực tiêu đề (AH) Thêm vào đó, để làm tang tính bảo mật của khóatrong pha trao đổi khóa, IPSEC cũng sử dụng một giao thức bên thứ ba đó là traođổi khóa Internet(IKE)

• Xác thực L2F được hoàn thành tại hai mức:

- Mức thứ nhất của xác thực dựa trên L2F xuất hiện khi một người dung từ xa

sử dụng đường quay số tới POP của ISP Tại đây, quá trình thiết lập đườnghầm được bắt đầu chỉ sau khi người dung được xác thực thành công

- Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nókhông thiết lập một đường hầm giwua hai điểm đầu cuối cho đến khi nó xácthực người dung từ xa

Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xácthực Kết quả là L2F sử dụng PAP để xác thực một client từ xa khi một Gateway L2Fnhận một yêu cầu kết nối L2F cũng sử dụng lược đồ xác thức như sau để nâng cao tínhbảo mật dữ liệu:

• Giao thức xác thực có thăm dò trước (CHAP)

• Giao thức xác thực mở rộng (EAP)

2.2.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)

PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn PPTP, không chỉ cókhả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả cácgiao dịch qua mạng Intranet riêng

Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thành công củaPPTP trong việc bảo mật các kết nối đường dài là:

• Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP chophép sử dụng PSTN (Public Switched Telephone Network) để thực thi VPN.Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tống chi phí thựcthi giảm một cách đáng kể Lý do này hoàn toàn dễ hiểu - Vì những yếu tố cầnthiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đường LeasedLine và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ

• Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên

IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, vàNetBIOS Vì vậy, PPTP đã chứng tỏ là thành công trong việc triển khai VPNqua một mạng LAN riêng cũng như qua mạng công cộng

• PPP đóng vai trò chính trong các giao dịch dựa trên PPTP

Chuyên Đề

2.2.2.1 Vai trò của PPP trong các giao dịch PPTP

PPTP là một sự mở rộng logic của PPP, PPTP không thay đổi dưới Công nghệ PPP,

nó chỉ định nghĩa một cách vận chuyển lưu lượng PPP mới qua các mạng Công cộngkhông an toàn.ư

Khá giống PPP, PPTP không hỗ trợ nhiều kết nối Tất cả các kết nối được hỗ trợ bởiPPTP phải là kết nối điểm - điểm

Hình 2.11 Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP

Ngoài ra, PPP đáp ứng các chức năng sau trong giao dịch dựa trên PPTP:

• Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thông cuối

Chuyên Đề

Hình 2.12 Đường Hầm PPTP và ba thành phần cảu giao dịch dựa trên PPTP

PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có thể địnhđường hầm yêu cầu tới thiết bị VPN trên mạng từ xa Liên kết đến thiết bị VPN từ xatrước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một đường hầm giữa cácthiết bị VPN qua Internet hoặc qua mạng trung gian khác

Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPN tớiServer cục bộ không đòi hỏi một kết nối tới NAS của ISP Cả Client và Server đều đượckết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAS của nhà cung cấp

là không cần thiết Client trong trường hợp này chỉ cần yêu cầu một phiên quay số đếnthiết bị VPN trên Server Như vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu

từ xa và một yêu cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau.Các gói PPTP đến Server Cục bộ được đặt trên thiết bị vật lý gắn kèm với card

mạng của PPTP Client Gói PPTP đển Server từ xa được định tuyến qua một thiết bịvật lý gắn với một thiết bị truyền thông như một Router Tất cả được minh họa như tronghình 2.7