Chế độ đường hầm tự nguyện L2TP

Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



mỗi đường hầm L2TP riêng biệt. Nhưng lợi ích này cũng là một bất lợi cho người

dùng từ xa và do đó, mạng chủ có thể bị tổn hại bởi các cuộc tấn công.

Việc thiết lập một đường hầm tự nguyện L2TP thì đơn giản hơn việc thiết lập một

đường hầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối PPP

đến điểm ISP cuối. Các bước thiết lập đường hầm tự nguyện L2TP gồm. LAC phát ra

một yêu cầu cho một đường hầm tự nguyện L2TP đến LNS. Nếu yêu cầu đường hầm

được LNS chấp nhận, LAC tạo hầm các khung PPP cho mỗi sự chỉ rõ L2TP và chuyển

hướng những khung này thông qua đường hầm. LNS chấp nhận những khung đường

hầm, lưu chuyển thông tin tạo hầm, và xử lý các khung. Cuối cùng, LNS xác nhận

người dùng và nếu người dùng được xác nhận thành công, chuyển hướng các khung

đến nút cuối trong mạng nội bộ.



Hình 2.23: Thiết lập L2TP đường hầm tự nguyện



Những ưu điểm và nhược điểm của L2TP

Ưu điểm:

L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó

cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao dịch qua

kết nối WAN không cần một IP.

Đường hầm L2TP trong suốt đối với ISP giống như người dùng từ xa. Do đó, không

đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP.



GVHD: TS.Trần Văn Dũng



59



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải

làm điều này.

L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống

tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch bằng L2TP nhanh

hơn so với quá trình giao dịch bằng L2F.

L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập vào mạng từ xa

thông qua một mạng công cộng.

L2TP nâng cao tính bảo mật do sử dụng IPSec dựa trên trường trọng tải trong suốt

qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu.

Nhược điểm

L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ

liệu nhận được.

Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một định tuyến

và một máy chủ truy nhập từ xa (RRAS) cần có những cấu hình mở rộng.



2.8 Kết thúc chương

Trong chương này đã nghiên cứu tương đối kỹ về vấn đề kỹ thuật của giải pháp

mạng riêng ảo sử dụng các đường hầm. Trong đó kỹ thuật đường hầm là vô cùng quan

trọng trong việc triển khai công nghệ VPN trên nền mạng công cộng. Các giao thức

đường hầm được nêu ở trong chương này là PPTP, L2F và L2TP. Mỗi một giao thức

đều có những ưu và nhược điểm khác nhau, và chúng đều được ứng dụng trong khi

triển khai mạng VPN trong thực tế. Qua chương này ta có thể lựa chọn được cho mình

giao thức phù hợp, tốt nhất để thực hiện, triển khai phát triển công nghệ mạng VPN.



GVHD: TS.Trần Văn Dũng



60



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



Chương 3

Triển khai, cài đặt VPN

3.1. Khái quát nhiệm vụ:

3.2. Triển khai VPN dựa trên giao thức lớp 2 (L2TP)

Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản được mô tả

như sau: bộ tập trung truy nhập mạng, máy chủ L2TP và các máy trạm L2TP.



Hình 3.20: Thành phần hệ thống cung cấp VPN dựa trên L2TP



Máy chủ L2TP

Máy chủ L2TP có hai chức năng chính đó là đóng vai trò là điểm kết thức đường

hầm L2TP và chuyển các gói đến từng hầm đến mạng LAN riêng hay ngược lại. Máy

chủ chuyển các gói tin đến máy tính đích bằng cách xử lý gói tin L2TP để có được địa

chỉ mạng của máy tính đích.

Không giống như máy PPTP, máy chủ L2TP không có khả năng lọc các gói tin.

Chức năng lọc gói tin trong L2TP được thực hiện bởi bức tường lửa. Tuy nhiên trong

thực tế người ta thường thích hợp máy chủ mạng và bức tường lửa. Việc thích hợp này

mang lại một số ưu điểm hơn so với PPTP.

L2TP chỉ cần có một cổng duy nhất gán cho bức tường lửa như trong PPTP.

Chương trình quản lý này có thể tuy chọn cổng để gán cho bức tường lửa, điều này



GVHD: TS.Trần Văn Dũng



61



SVTH: Bùi Quang Huy



Đồ án tốt nghiệp

8



Xây dựng mạng riêng ảo VPN Trường T/C nghề Số



khó khăn cho những kẻ tấn công khi cố gắng tấn công vào cổng trong khi cổng đó có

thể đã thay đổi

Phần mềm Client L2TP

Nếu các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm bổ

sung nào cho máy trạm, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập

như vậy thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các phần

mềm client tương thích L2TP cho kết nối L2TP VPN.

Một số đặc điểm của phần mềm cleint L2TP là có thể tương thích với các thành

phần khác của IPSec như máy chủ mã hoá, giao thức chuyển khoá và cách thức mã

hoá khoá. Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. Có thể dùng hàm băm

xử lý được các địa chỉ IP động.

Bộ tập trung truy nhập mạng

ISP cung cấp dịch vụ L2TP cần phải cài đặt một NAS cho phép L2TP để hỗ trợ các

máy trạm L2TP chạy trên nền các hệ điều hành khác nhau. Các ISP cũng có thể cung

cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP vào máy chủ

truy cập của khách hàng, điều này đòi hỏi tất cả người dùng phải có phần mềm client

L2TP tại máy khách. Khi đó người dùng có thể sử dụng dịch vụ của nhiều ISP trong

trường hợp mô hình mạng của họ rộng lớn về mọi mặt.



3.3. Cài đặt VPN

3.3.1. Cách cài đặt VPN Server

Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của

Trường, cần phải cài đặt VPN server. Cách cài đặt một VPN Server, cũng như

hệ thống hạ tầng của giải pháp mạng ảo VPN được thực hiện như sau:

Bước đầu tiên là enable Routing and Remote Access Service (RRAS). Bước

này không cần phải cài đặt vì nó đã được cài đặt sẵn khi cài đặt hệ điều hành

Windows. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được

enable, cho nên để có thể enable RRAS thì ta thực hiện theo các bước sau đây:

1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote

Access (RRAS).

2. Trong Routing and Remote Access console, right click tên server, và chọn Enable

Routing and Remote Access. Sau khi chọn như ở trên thì đợi vài giây để activate.

3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này chọn mục Manually configured

server và click Next theo hình dưới.

GVHD: TS.Trần Văn Dũng



62



SVTH: Bùi Quang Huy