Tải bản đầy đủ (.pdf) (70 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Quản lý

nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.84 MB, 70 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI - CƠ SỞ II
KHOA ĐIỆN- ĐIỆN TỬ
a ³³³ b



ĐỀ TÀI NGHIÊN CỨU KHOA HỌC
SINH VIÊN



“Nghiên cứu đánh giá hiệu
quả sử dụng của các loại
mạng riêng ảo”




Giáo viên hướng dẫn : Th.s Võ Trường Sơn
Nhóm sinh viên thực hiện : Nguyễn Hoàng Minh Thắng
Võ Ngọc Hân
Vũ Văn Trực
Bùi Thọ Trường
Lớp : Kỹ Thuật Viễn thông-khóa 44



DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo



GVHD: Th.s Võ Trường Sơn Trang ii


Thaønh phoá Hoà Chí Minh
Thaùng 5/2008
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang i

MỤC LỤC
MỤC LỤC i
L Ờ I MỞ ĐẦU 1
Chương 1 Khái quát về VPN 2
1.1 Sự phát triển của các loại VPN 2
1.2 Khái niệm mạng riêng ảo. 3
1.3 Các thành phần cơ bản của VPN 4
1.3.1 Máy chủ VPN. 4
1.3.2 Máy khách VPN. 5
1.3.3 Bộ định tuyến VPN. 5
1.3.4 Bộ tập trung VPN. 7
1.3.5 Cổng nối VPN. 7
1.3.6 Tường lửa 7
1.4 Các giao thức xây dựng IP-VPN 10
1.4.1 IP Security 10
1.4.2 Giao thức đường hầm điểm-điểm PPTP 13
1.4.3 Giao thức đường hầm lớp 2 L2TP 16
Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 23

2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN 23
2.2 Ưu điểm và khuyết điểm của VPN 24
2.2.1 Ưu điểm: 24
2.2.2 Khuyết điểm: 25
Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN 26
3.1 Đánh giá các loại VPN phân theo chức năng kết nối 26
3.1.1 VPN truy cập từ xa: 26
3.1.2 Intranet VPN: 28
3.1.3 Extraner VPN: 30
3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi 32
3.2.1 VPN phụ thuộc 32
3.2.2 VPN độc lập 33
3.2.3 VPN hỗn hợp 33
3.3 Đánh giá các loại VPN dựa trên độ an toàn 35
3.3.1 VPN router tới router 35
3.3.2 VPN tường lửa tới tường lửa 37
3.3.3 VPN được khởi tạo bởi khách hàng : 39
3.3.4 VPN trực tiếp 40
3.4 Đánh giá VPN dựa theo lớp 41
3.4.1 VPN lớp liên kết 41
3.4.2 VPN lớp mạng 43
3.5 Đánh giá các loại VPN dựa trên qui mô mạng 44
3.5.1 VPN có quy mô nhỏ 44
3.5.2 VPN có quy mô nhỏ tới trung bình 44
3.5.3 VPN có quy mô trung bình 45
3.5.4 VPN có quy mô trung bình đến lớn. 46
3.5.5 VPN có quy mô rất lớn 46
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo


GVHD: Th.s Võ Trường Sơn Trang ii

3.6 Đánh giá hiệu quả của VPN - MPLS 47
3.6.1 Tổng quan về VPN - MPLS 47
3.6.2 Nhược điểm của VPN truyền thống. 48
3.6.3 Ưu điểm của MPLS VPN. 51
3.6.4 Đánh giá hiệu quả của VPN MPLS 53
3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số nhà cung cấp dịch
vụ tại Việt Nam 55
3.7.1 Leased lines 55
3.7.2 Frame Relay 56
3.7.3 VPN 56
3.7.4 Dịch vụ MegaWAN 58
3.7.5 Đánh giá chung 61
KẾT LUẬN 62
THUẬT NGỮ VIẾT TẮT 63
TÀI LIỆU THAM KHẢO 65

Mục lục hình:
Hình 1-1 : Mô hình VPN 3
Hình 1-2 : Các thành phần cơ bản của VPN 4
Hình 1-3: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH 11
Hình 1-4 : Khuôn dạng gói tin Ipv6 trước và sau khi xử lí AH 12
Hình 1-5: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 12
Hình 1-6: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 13
Hình 1-7 : Kiến trúc của PPTP 14
Hình 1-8 : Đóng gói PPTP/GRE 14
Hình 1-9 : Cấu trúc gói dữ liệu trong đường hầm PPTP. 15
Hình 1-10 : Đường hầm L2TP 17

Hình 1-11 : Quá trình tạo đường hầm L2TP 19
Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP 20
Hình 1-13 : Quá trình mở gói dữ liệu trong đường hầm L2TP 21
Hình 3-1: Phương thức truy cập từ xa truyền thống 26
Hình 3-2: VPN truy nhập từ xa 27
Hình 3-3 : Mô hình Intranet sử dụng mạng trục WAN 28
Hình 3-4 : Mô hình Intranet xây dựng dựa trên VPN 29
Hình 3-5 : Mô hình mạng Extranet truyền thống 30
Hình 3-6 : Mô hình Extranet xây dựng dựa trên VPN 31
Hình 3-7 : Cấu trúc VPN phụ thuộc 32
Hình 3-8 : Cấu trúc VPN độc lập 33
Hình 3-9 : VPN hỗn hợp, có sự tham gia điều khiển của người dùng và nhà cung cấp
dịch vụ 34
Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp 34
Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router 35
Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router 36
Hình 3-13 : Các phiên VPN mã hóa theo yêu cầu 37
Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa 38
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang iii

Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa 38
Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router 39
Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ 40
Hình 3-18 : Kiến trúc VPN trực tiếp 40
Hình 3-19: Kiến trúc MPLS VPN lớp liên kết 43
Hình 3-20 : Kiến trúc VPN ngang hàng 43

Hình 3-21 : Mô hình mạng MPLS VPN đơn giản 48
Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN 49
Hình 3-23 : Mạng hình sao 50
Hình 3-24 : mạng mắt lưới 50
Hình 3-25 : Mô hình mạng MPLS 52

DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 1

LỜI MỞ ĐẦU

Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng
tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một
tỉnh, một nước mà còn mở rộng ra toàn thế giới. Một công ty có thể có chi nhánh, có
các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin
với nhau. Để bảo đảm bí mật các thông tin được trao đổi thì theo cách truyền thống
người ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài
nguyên khi dữ liêu trao đổi không nhiều và không thường xuyên. Vì thế người ta đã
nghiên cứu ra những công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông
tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo.
Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với công
nghệ luôn được cải tiến để an toàn hơn. Vì thế, chúng em đã chọn đề tài “nghiên cứu
đánh giá hiệu quả sử dụng của các loại mạng riêng ảo”. Nội dung đề tài gồm hai phần
chính là nghiên cứu khái quát về mạng riêng ảo và hiệu quả ứng dụng của nó.
Với khả năng và kiến thức còn hạn chế, đề tài không tránh khỏi thiếu sót, chúng
em mong nhận được sự góp ý sửa chữa của thầy cô và các bạn.
Chúng em xin chân thành cảm ơn thầy Võ Trường Sơn cùng các thầy bộ môn

Điện tử - Viễn Thông đã giúp đỡ chúng em hoàn thành đề tài này.
Nhóm sinh viên thực hiện đề tài.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 2

Chương 1 Khái quát về VPN
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên
toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ
dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào
hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống
hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và
dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương
mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng
internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin
quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển
toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi
nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử
dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu
quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề
này, một giải pháp đưa ra là mạng riêng ảo - VPN. Chính điều này là động lực cho sự
phát triển mạnh mẽ của VPN như ngày nay.
1.1 Sự phát triển của các loại VPN
VPN không phải là kĩ thuật mới. Mô hình VPNs đã phát triển được khoảng trên
20 năm và trải qua một số thế hệ để trở thành như hiện nay.

Mô hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được
biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết
nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài.
Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ
thống chuyển mạch chia sẻ công cộng.
Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated
Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép
truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25
và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ
truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn
tại của nó khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based
Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 3

VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mô hình chuyển
mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay
địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn
và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện
(160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90,
người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng
quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng
được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling
technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định
gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP),

hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì
dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều
giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM
1.2 Khái niệm mạng riêng ảo.
Mạng riêng ảo (VPN- Virtual Private Network) là mạng kết nối hai hay nhiều
mạng riêng thông qua mạng công cộng (Internet) bằng cách sử dụng các đường hầm
(tunneling) để đảm bảo sự riêng tư và toàn vẹn dữ liệu. Thay vì dùng kết nối thực phức
tạp, đắt tiền như các kênh thuê riêng (leased line), VPN tạo ra các liên kết ảo thông
qua mạng công cộng để kết nối các mạng riêng với nhau mà vẫn đảm bảo các yêu cầu
bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí thấp.

Hình 1-1 : Mô hình VPN
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 4

1.3 Các thành phần cơ bản của VPN
User
CSU/DSU
Bộ định
tuyến
Tường
lửa
Máy chủ
VPN
Máy chủ điều khiển truy
nhập và chứng thực
User

CSU/DSU
Bộ định
tuyến
Tường
lửa
Máy chủ
VPN
Máy chủ điều khiển truy
nhập và chứng thực
Mạng Internet
Người dùng truy
cập từ xa
Văn phòng từ xa
Văn phòng trung tâm

Hình 1-2 : Các thành phần cơ bản của VPN
1.3.1 Máy chủ VPN.
Máy chủ VPN (VPN server) là thiết bị mạng dùng để chạy phần mềm máy chủ,
máy chủ có thể là máy tính tốc độ xử lý cao, dung lượng lớn và được cài đặt phần
mềm máy chủ. Nhiệm vụ của máy chủ là cung cấp dịch vụ cho máy khách và thực
hiện quá trình bảo mật cho mạng, máy chủ phải có tính sẵn sàng và độ tin cậy cao, có
khả năng phục vụ các yêu cầu kết nối tại mọi thời điểm.
Ø Chức năng của máy chủ:
- Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi
có nhiều yêu cầu kết nối đồng thời từ các máy khách.
- Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho
phép người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất
hợp pháp.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM


Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 5

- Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của
đường hầm là máy khách, máy chủ có thể thực hiện việc khởi tạo đường hầm nếu sử
dụng đường hầm bắt buộc.
- Mật mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng
công cộng.
- Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người
dùng
- Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách.
- Máy chủ VPN có thể kiêm nhiệm luôn chức năng của một router hay một
gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách). Còn khi mạng lớn, vì
máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của
router hay gateway thì máy chủ sẽ chạy chậm hơn.
1.3.2 Máy khách VPN.
Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các
máy tính nằm trong cùng một mạng cục bộ của một văn phòng công ty) hoặc thiết bị ở
xa (người dùng di động), nó khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận
và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đó máy chủ và máy
khách mới truyền thông với nhau. Máy khách có thể là một máy hoạt động dựa trên
phần mềm hoặc là một thiết bị phần cứng chuyên dụng.
Đặc trưng của một VPN client:
- Những người làm việc ở xa văn phòng trung tâm của công ty có thể thông qua
mạng công cộng để truy nhập vào mạng công ty, rất thuận tiện khi nhân viên làm việc
tại nhà.
- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của
công ty và trong mạng mở rộng.
- Các nhà quản trị mạng có thể thông qua mạng công cộng để kết nối với những

nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa
chữa khắc phục sự cố cho các người dùng ở xa.
1.3.3 Bộ định tuyến VPN.
Bộ định tuyến (router) có vai trò tạo ra kết nối với các nút ở đầu xa. Chức năng
chính của bộ định tuyến là định đường đi cho gói dữ liệu qua mạng, vì trong mạng
chuyển mạch gói để đi tới một nút có rất nhiều đường nên nhiệm vụ của bộ định tuyến
là tìm đường cho dữ liệu đến đích một cách nhanh nhất. Chức năng chính của bộ định
tuyến VPN cũng như bộ định tuyến thông thường, ngoài ra nó còn cung cấp thêm các
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 6

chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) trên
đường truyền. Do đó bộ định tuyến thông thường cũng có thể dùng làm bộ định tuyến
VPN nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng dịch vụ, khi xây
dựng mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng cho VPN.
Hiện nay người ta có thể nâng cấp các router thông thường thành router VPN
bằng cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một ít
thời gian để cấu hình, cài đăt và kiểm ta lỗi. Điều này giúp tận dụng được các router
cũ, từ đó góp phần giảm chi phí khi xây dựng VPN.
Thông thường nếu không sử dụng tường lửa (firewall) thì bộ định tuyến là điểm
cuối của đường hầm VPN. Máy chủ VPN cũng có khả năng đảm nhiệm vai trò của
router VPN. Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định
tuyến, còn những mạng lớn vì máy chủ phải thực hiện nhiều công việc, mạng phải đáp
ứng số lượng lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng.
Người ta có thể sử dụng bộ định tuyến kèm chức năng lọc gói. Tuy nhiên, lọc
gói không đủ để bảo mật đối với nhiều dạng tấn công có thể xảy ra trên mạng, đây là
một trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau. Trong phạm

vi của VPN, bộ định tuyến hiện đang được ưa chuông nhất là các bộ định tuyến mã
hóa (encryption router).
Ø Những yêu cầu đối với bộ định tuyến:
- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết
nối mạng riêng biệt.
- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, HMAC-
MD5, HMAC-SHA-1…
- Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng.
- Hạn chế việc truy cập đến các khóa.
- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗi khi có một
kết nối mới.
- Hỗ trợ cơ chế khử phát lại (anti-replay).
- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với
những việc lặp đi lặp lại những hoạt động không được phép.
- Hỗ trợ cả hai chế độ transport và tunnel của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại
lớp mạng trong mô hình OSI, không dùng để xác thực người dùng. Do đó, cần phải có
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 7

thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN có tính bảo
mật.
1.3.4 Bộ tập trung VPN.
Bộ tập trung VPN (VPN concentrator) có chức năng giống như hub (máy chủ
truy nhập) trong LAN truyền thống, nó dùng để thiết lập một VPN truy nhập từ xa có
kích thước nhỏ.
Nó giúp tăng dung lượng và công suất của hệ thống, đồng thời cũng cung cấp

khả năng xác thực và bảo mật cao.
1.3.5 Cổng nối VPN.
Cổng nối IP (IP gateway) là thiết bị chuyển các giao thức không phải là giao
thức IP sang giao thức IP và ngược lại. Nhờ đó mạng cục bộ có khả năng kết nối với
mạng Internet và thực hiện các giao dịch dưa tên nền IP. VPN gateway có thể là thiết
bị phần cứng chuyên dụng hoặc là giải pháp dựa trên phần mềm. Nếu là thiết bị phần
cứng nó sẽ được đặt ở giữa mạng cục bộ với mạng bên ngoài, còn nếu là giải pháp
phần mềm nó được cài trên máy chủ.
Cổng nối VPN là các cổng nối bảo mật (Security gateway) được dặt giữa mạng
riêng và mạng công cộng nhằm ngăn chặn sự xâm nhập bất hợp pháp từ ngoài vào
mạng riêng. Ngoài ra cổng nối VPN còn có khả năng thiết lập đường hầm VPN và mã
hoá dữ liệu trước khi truyền đi qua mạng công cộng.
1.3.6 Tường lửa
Tường lửa là một tấm chắn ngăn chặn sự xâm nhập bất hợp pháp từ bên ngoài
vào mạng nội bộ. Tường lửa có nhiều loại, mỗi loại có cơ chế hoạt động riêng.
Ø Các loại tường lửa :
Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gói (Packet
Filters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application Proxies),
kiểm tra trạng thái.
Ø Các bộ lọc gói:
Bộ lọc gói là loại tường lửa xuất hiện sớm nhất. Nó lọc gói dựa trên địa chỉ
nguồn và địa chỉ đích của tất cả các gói IP đến để đưa ra quyết định cấm hay cho phép
chuyển các gói này qua tường lửa dựa trên những quyền mà người quản trị mạng đã
thiết lập. Ngoài ra nó còn lọc gói dựa trên loại giao thức (ví dụ UDP hoặc TCP), dựa
trên cổng TCP hoặc UDP, dựa trên số hiệu phân mảnh.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 8


Tường lửa lọc gói có một số ưu điểm đó là: cơ chế đơn giản, xử lý gói rất
nhanh, có thể tích hợp ngay trên phần mềm của bộ định tuyến và nó hoạt động mang
tính trong suốt đối với các người dùng đầu cuối.
Tuy nhiên, tường lửa lọc gói cũng có những nhược điểm là: quá trình cấu hình
tường lửa rất phức tạp, gặp nhiều khó khăn, đặc biệt là khi cần nhiều quyền để điều
khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác nhau. Nhược điểm
thứ hai của tường lửa lọc gói có thể coi là một thiếu sót đó là việc lọc gói hoạt động
dựa trên những địa chỉ IP chứ không dựa trên quyền truy nhập của người dùng. Thứ ba
là việc lọc gói chỉ cung cấp một số tính năng bảo mật đối với những hoạt động “tấn
công chính giữa” và không có tính năng bảo mật đối với các địa chỉ IP giả mạo. Ngoài
ra, việc lọc gói còn phụ thuộc vào một số cổng của gói IP và thường chỉ báo không
chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Network File
System) sử dụng nhiều cổng khác nhau gây khó khăn trong việc tao quyền để điều
khiển lưu lượng của chúng.
Những bộ lọc gói có thể sử dụng như một thành phần trong VPN để giới hạn
lưu lượng chuyển qua một kênh. Tuy vây, việc lọc gói thường không yêu cầu phải sử
dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các bộ
định tuyến có hỗ trợ TCP/IP.
Ø Các Proxy kênh và Proxy ứng dụng
Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để
liên lạc với hệ thống bảo mật, che giấu những dữ liệu có giá trị bảo mật và bảo mật
máy chủ tránh sự tấn công của nhưng kẻ phá hoại.
So với các bộ lọc gói thì các proxy kênh có tính bảo mật cao hơn. Bởi vì, một
proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này
đóng vai trò là đại diện cho cả mạng khi có nhu cầu liên lạc ra mạng ngoài. Do đó, các
máy tính bên ngoài không thể lấy được thông tin địa chỉ cũng như số cổng bên trong
mạng.
Proxy có ưu điểm là có tính bảo mật cao hơn nhưng lại chạy chậm hơn so với
các bộ lọc gói là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gói để dảm

bảo các gói tin đến đúng đích. Một hạn chế nữa của tường lửa proxy là nó thường
được thiết kế để sử dụng những proxy agent khác nhau, mà mỗi agent chỉ điều khiển
một dạng chỉ định mào đầu như lưu lượng của FTP hay TCP.
Chúng ta muốn chuyển nhiều dạng lưu lượng thông qua proxy thì máy chủ
proxy phải nạp và chạy nhiều proxy agent một lúc.
Các proxy ứng dụng thực hiện việc kiểm tra dữ liệu hiện thời trong một gói IP
chuẩn bị được truyền đi nên ngăn cản bất cứ kẻ phá hoại nào sử dụng địa chỉ IP giả
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 9

mạo để lấy quyền truy cập trái phép. Do chức năng của một proxy ứng dụng thuộc lớp
ứng dụng trong mô hình OSI nên các proxy ứng dụng có thể dùng cho việc xác thực
các khóa bảo mật khác, kể cả mật khẩu người dùng và những yêu cầu dịch vụ.
Do các proxy ứng dụng dùng cho những ứng dụng chỉ định nên phải cài một
proxy agent cho mỗi dịch vụ IP (như HTTP, FTP, SMTP…) và cần điều khiển việc
truy cập đến chúng. điều này dẫn đến hai điểm bất lợi của các proxy ứng dụng:
+ Luôn tồn tại một đọ trì hoãn giữa việc gia nhập của các dịch vụ IP mới với
các agent sẵn có trên mạng.
+ Proxy ứng dụng đòi hỏi phải xử lý nhiều trên các gói gây ra hậu quả là hiệu
suất mạng sẽ bị giảm sút.
Hơn nữa, nhiều loại Proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm client.
Một đặc điểm quan trọng của các proxy ứng dụng là dung lượng của nó dành cho các
người dùng và các trình ứng dụng chỉ định. Điều này làm tăng thêm tính bảo mật cho
việc xác thực cho người dùng.
Ø Kiểm tra trạng thái
Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhất và
hiêu suất cao nhất. Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp trạng thái

SMLI (Stateful Multi-Layer Inspection) để việc bảo mật có tính chặt chẽ hơn trong khi
vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất không bị giảm sút.
SMLI cũng tương tự như một proxy ứng dụng. Trong trường hợp xét đến tất cả
lớp trong mô hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gói thông qua
các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu lượng (traffic
screen algorithm) để tối ưu việc phân tích dữ liệu có thông lượng cao. Với SMLI, mỗi
gói được xem xét và so sánh với các trạng thái đã biết của những gói thường gặp.
SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa thế hệ mới có thể thích ứng
với nhiều loại giao thức và có chức năng được nâng cao hơn, dễ sử dụng hơn.
Ưu điểm của SMLI ở chỗ: tường lửa sẽ đóng tất cả các cổng TCP, sau đó sẽ mở
lại các cổng một cách linh động khí các kết nối có yêu cầu đến các cổng này (ví dụ
HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho phép việc quản lý các dịch vụ
sử dụng đến các số cổng lớn hơn 1023 như HTTP có thể yêu cầu phải thay đổi trong
việc cấu hình cho các tường lửa. Các tường lửa kiểm ra trạng thái cũng cung cấp
những đặc điểm như ngẫu nhiên hóa số tuần tự các cổng TCP và thục hiện việc lọc gói
UDP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 10

Ø Tường lửa sử dụng trong VPN.
Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho mạng
công ty, nhưng chỉ với các tường lửa này thì không đủ để xây dựng nên VPN. Đó là vì
tường lửa không thể giám sát hay ngăn cản việc thay đổi dữ liệu (tính toàn vẹn dữ liệu)
có thể xảy ra khi một gói được truyển qua mạng Internet hay đóng vai trò là một tường
lửa kèm theo chức năng mã hóa.
Ø Những yêu cầu đối với tường lửa
VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem

tường lửa có tương thích với các phần còn lại trong cơ chế bảo mật, quản trị mạng,
tránh trường hợp xảy ra xung đột hay trùng lặp.
Nếu muốn cài đặt nhiều tường lửa tại nhiều vị trí, ta phải duy trì một chính sách
bảo mật chặt chẽ hơn nếu như tường lửa được lựa chọn hỗ trợ việc quản trị đồng bộ
cho nhiều vị trí. Nếu một sản phẩm có kèm theo khả năng quản lý từ xa, ta phải đảm
bảo tính bảo mật cho việc truy cập từ xa đến tường lửa.
1.4 Các giao thức xây dựng IP-VPN
1.4.1 IP Security
Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn
xác nhận người sử dụng ở hệ thống mạng công cộng. Đây là giao thức hoạt động ở lớp
mạng, cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy
cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
IPSec cho phép thiết lập một đường ngầm bảo mật giữa hai mạng riêng và nhận
thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm có thể là một
cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN)
hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đóng vai trò
như một kênh truyền bảo mật và các gói dữ có thể truyền một cách an toàn thông qua
đường hầm. Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin
bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng
dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai
và quản lý.
Mặc dù IPSec cung cấp các đặc tính cần thiết cho việc bảo mật VPN thông qua
mạng internet nhưng nó vẫn chưa phải là một giao thức hoàn thiện. Tất cả các gói
được sử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề
IPSec làm cho thông lượng của mạng giảm xuống. Điều này có thể được giải quyết
bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa.
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính sau:
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo


GVHD: Th.s Võ Trường Sơn Trang 11

- Liên kết bảo mật SA (Security Association)
- Xác thực tiêu đề AH(Authentication Header)
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
- Chế độ làm việc
a) Liên kết bảo mật SA (Security Association)
Để hai bên có thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng
thống thuật toán mã hóa, phương thức trao đổi khóa, sau bao lâu thì cả hai bên sẽ cùng
thay đổi khóa. Tất cả những thỏa thuận trên đều do SA đảm trách. Việc truyền thông
giữa bên gửi và bên nhận đòi hỏi phải có ít nhất một SA và có thể đòi hỏi nhiều hơn vì
mỗi giao thức IPSec đòi hỏi phải có một SA cho nó
b) Xác thực tiêu đề AH
Xác thực tiêu đề AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của
các gói IP truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có
bị thay đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu
nên các dữ liệu đều được truyền dưới dạng bản rõ.
AH được chèn giữa tiêu đề IP và nội dung phía sau. Gói dữ liệu không bị thay
đổi nội dung khi chèn AH vào.

Hình 1-3: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 12



Hình 1-4 : Khuôn dạng gói tin Ipv6 trước và sau khi xử lí AH
c) Bọc gói bảo mật tải ESP
Bọc gói dữ liệu tải được sử dụng để cung cấp tính an toàn cho các gói tin được
truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra
tính toàn vẹn của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật
mã gói tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm
này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung
tiếp theo của gói. Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nên nội dung của gói sẽ
bị thay đổi.

Hình 1-5: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 13


Hình 1-6: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
d) Chế độ làm việc
Có hai chế độ làm việc trong IPSec:
+ Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được
xử lý.
+ Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được ử lí cho mã hóa xác
thực.
1.4.2 Giao thức đường hầm điểm-điểm PPTP
Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được đề
xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình

OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows.
Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức năng
của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm bảo mật
thông qua Internet đến site đích.
PPTP sử dụng phiên bản giao thức GRE để đóng và tách gói PPP, giao thức
này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX,
NETBEUI. PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo,
duy trì, kết thúc đường ngầm.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 14


Hình 1-7 : Kiến trúc của PPTP
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và
máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để
đóng các gói truyền trong đường hầm.
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu được
đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho
giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP.

PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền
đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.

Hình 1-8 : Đóng gói PPTP/GRE
Ä Cấu trúc gói của PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung
PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 15


Hình 1-9 : Cấu trúc gói dữ liệu trong đường hầm PPTP.
Ø Đóng gói khung PPP:
Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra
khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi
giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác
nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường
nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết lập bởi
PPTP client trong quá trình khởi tạo đường hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua
mạng IP.
Ø Đóng gói các gói GRE.
Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói với

một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server.
Ø Đóng gói lớp liên kết dữ liệu.
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần
kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi qua giao
diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet. Nếu IP
datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói
với phần Header và Trailer của giao thức PPP.
Ä Ưu điểm và khuyết điểm của PPTP
Ø Ưu điểm của PPTP:
+ PPTP là một giải pháp được xây dựng trên nền các sản phẩm của
Microsoft( các sản phẩm được sử dụng rất rộng rãi).
+ PPTP có thể hỗ trợ các giao thức non-IP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 16

+ PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's
Macintosh. Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng
cách sử dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP.
Ø Nhược điểm của PPTP:
+ PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec.
+ PPTP phụ thuộc nền.
+ PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.
+ Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng
như máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa
dụng các giải pháp định tuyến bằng đưòng quay số.
+ Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã

hóa với khóa mã phát sinh từ password của user. Điều này càng nguy hiểm
hơn khi password được gửi trong môi trường không an toàn để chứng thực.
Giao thức đưòng hầm Layer 2 Forwarding (L2F) được phát triển để tăng
cường khả năng bảo mật.
1.4.3 Giao thức đường hầm lớp 2 L2TP
Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là
Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng
Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có
khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường
được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng
X.25, FR, và ATM.
L2TP có thể được sử dụng làm giao thức đường hầm cho mạng VPN điểm-nối-
điểm và VPN truy cập từ xa. Trên thực tế, L2TP có thể tạo ra một đường hầm giữa
máy khách và router, NAS và router, router và router.
Vì L2TP là sự kết hợp của L2F và PPTP do đó L2TP có các ưu điểm sau:
- L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đó
nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.
- L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet
và các mạng công cộng khác.
- L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển
hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều không
cần phải thực thi phần mềm chuyện dụng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 17

- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của
riêng truy cập mạng từ xa thông qua mạng công cộng.

Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy
chủ. Do đó ISP không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của
user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và
có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của
L2TP nhanh hơn so với các nghi thức đường hầm trước nó.
Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất
như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích)
của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ
xa và gateway của ISP.

Hình 1-10 : Đường hầm L2TP
Khi khung PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng gói
dưới dạng gói dữ liệu user: thông điệp UDP(Uer Datagram Protocol). L2TP sử dụng
thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gói dữ
liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc.
a) Các thành phần cơ bản của L2TP
Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập
mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS).
Ø Máy chủ truy cập mạng - NAS
Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung
cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thông qua
đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm. NAS có nhiệm vụ định quyền
người dùng từ xa và quyết định quay số yêu cầu kết nối mạng. Cũng như máy chủ truy
nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được đặt tại ISP và
hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 18


Ø Bộ tập trung truy cập L2TP - LAC
Vai trò của LAC: thiết lập đường hầm thông qua mạng công cộng (PSTN,
ISDN và Internet) tới LNS của máy chủ mạng đầu cuối. LAC có thể coi là điểm kết
thúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng.
LAC được đặt tại ISP. Tuy nhiên user từ bên ngoài cũng có thể hoạt động như
LAC trong trường hợp tạo đường hầm L2TP tự nguyện.
Ø Máy chủ mạng L2TP - LNS
LNS được đặt trên mạng máy chủ. Vì vậy nó được sử dụng để kết thúc kết nối
L2TP khi LACs kết thúc đường hầm L2TP từ máy khách. Khi LNS nhận được yêu cầu
kết nối mạng ảo từ LAC, nó sẽ thiết lập đường hầm và chứng thực người dùng khởi
tạo yêu cầu kết nối đó. Nếu LNS chấp thuận yêu cầu kết nối thì nó sẽ tạo ra giao diện
ảo.
b) Quá trình tạo kết nối L2TP
Khi người dùng từ xa cần thiết lập đường hầm L2TP thông qua Internet hoặc
các mạng công cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau:
Ø Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạo
kết nối PPP tới đầu ISP
Ø NAS chấp nhận yêu cầu kết nối sau khi chứng thực user. NAS sẽ sử dụng các
phương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thực hiện
nhiệm vụ này.
Ø Sau đó NAS kích hoạt LAC, LAC thu nhận thông tin với LNS của mạng
đích.
Ø Sau đó, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữa
hai đầu. Đường hầm có thể là ATM, Frame Relay, hoặc IP/UDP.
Ø Sau khi đường hầm đã được thiết lập thành công, LAC đưa Call ID (CID) tới
kết nối và gửi thông điệp thông báo đến LNS. Thông điệp thông báo chứa các thông
tin để chứng thực user. Thông điệp cũng mang các thông số tùy chọn của giao thức
điều khiển L2TP(LCP) được người dùng và LAC thỏa thuận từ trước.
Ø LNS sử dụng các thông tin nhận được trong thông điệp thông báo để chứng

thực user. Nếu user được chứng thực thành công và LNS chấp thuận yêu cầu tạo
đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa trên các tùy
chọn LCP nhận được trong thông điệp thông báo.
Ø Người dùng từ xa và LNS trao đổi dữ liệu thông qua đường hầm L2TP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 19


Hình 1-11 : Quá trình tạo đường hầm L2TP
c) Tạo đường hầm dữ liệu L2TP
Cũng giống gói dữ liệu trong đường hầm PPTP, gói dữ liệu L2TP cũng được
đóng gói tại nhiều mức khác nhau:
Ø Đóng gói dữ liệu PPP. Dữ liệu không được mã hóa trước khi đóng gói. Ở
mức này, chỉ cộng thêm header PPP vào gói dữ liệu gốc.
Ø Đóng gói khung L2TP. Sau khi dữ liệu gốc được đóng gói trong gói PPP, nó
sẽ được cộng thêm header L2TP.
Ø Đóng gói khung UDP. Sau đó gói L2TP đã được đóng gói sẽ được đóng gói
thêm trong frame UDP. Nói cách khác header UDP sẽ được thêm vào frame L2TP đã
đóng gói Cổng nguồn và đích trong UDP header được thiết lập là 1701 để đặc tả cho
L2TP.
Ø Đóng gói bảo mật dữ liệu UDP. Sau khi khung L2TP được đóng gói trong
UDP, khung UDP được mã hóa và một IPSec ESP sẽ được thêm vào nó. IPSec.
Header và trailer xác nhận IPSec cũng được nối thêm vào và để đóng gói dữ liệu.
Ø Đóng gói IP. Cộng thêm IP header vào gói dữ liệu. IP header chứa địa chỉ
của máy chủ (LNS) L2TP và người dùng từ xa.
Ø Đóng gói lớp Data Link. Header và trailer của lớp Data Link được thêm vào
gói dữ liệu sau khi đóng gói IP. Header và trailer của lớp Data Link giúp gói dữ liệu đi

DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

GVHD: Th.s Võ Trường Sơn Trang 20

tới nút đích. Trong trường hợp nút đích là nút cục bộ thì header và trailer của lớp Data
Link dựa trên kỹ thuật mạng cục bộ (ví dụ Ethernet). Trong trường hợp gói dữ liệu
được gửi đến nút ở xa thì header và trailer của PPP sẽ được thêm vào gói dữ liệu
đường hầm L2TP.

Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP
Ở phía thu quá trình xử lý dữ liệu sẽ diễn ra ngược lại.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×