TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI HÀ NỘI
TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN
KHOA CÔNG NGHỆ THÔNG TIN
BỘ MÔN MẠNG VÀ HỆ THỐNG THÔNG TIN
BỘ MÔN MẠNG VÀ HỆ THỐNG THÔNG TIN
ĐỒ ÁN TỐT NGHIỆP
ĐỒ ÁN TỐT NGHIỆP
Tìm hiểu công nghệ và thực hành xây
Tìm hiểu công nghệ và thực hành xây
dựng mạng riêng ảo VPN (Virtual Private
dựng mạng riêng ảo VPN (Virtual Private
Network)
Network)


Giáo viên hướng dẫn : TH.S NGÔ THUỲ LINH
Sinh viên thực hiện : NGUYỄN VĂN TIẾN
Mã sinh viên : 0614557
Lớp : HỆ THỐNG THÔNG TIN_K47




CH¬ng1:GiíiTHIÖU
CH¬ng1:GiíiTHIÖU
CHUNGVÒVPN

CHUNGVÒVPN

Kh¸i niÖm VPN
Kh¸i niÖm VPN




Mạng riêng ảo
Mạng riêng ảo
hay
hay
VPN
VPN
(viết tắt cho
(viết tắt cho
Virtual
Virtual
Private Network
Private Network
) là một
) là một
mạng
mạng
dành riêng để kết
dành riêng để kết
nối các
nối các
máy
máy



tính
tính
của các
của các
công
công


ty
ty
,
,
tập
tập


đoàn
đoàn
hay các
hay các
tổ
tổ


chức
chức
với nhau thông qua mạng
với nhau thông qua mạng

Internet
Internet
công
công
cộng.
cộng.

Các chức năng và u nh ợc điểm
Các chức năng và u nh ợc điểm
của VPN
của VPN



Chức năng
Chức năng
VPN cung cấp ba chức năng chính là tính xác thực
VPN cung cấp ba chức năng chính là tính xác thực
(Authentication), tính toàn vẹn (Integrity) và tính
(Authentication), tính toàn vẹn (Integrity) và tính
bảo mật (Confidentiality).
bảo mật (Confidentiality).

Ưu điểm
Ưu điểm
Tiết kiệm chi phí, tính linh hoạt, khả năng mở
Tiết kiệm chi phí, tính linh hoạt, khả năng mở
rộng, v.v.
rộng, v.v.


VPN vµ øng dông
VPN vµ øng dông


- VPN truy nhËp tõ xa (Remote Access VPN),
- VPN truy nhËp tõ xa (Remote Access VPN),
- VPN ®iÓm tíi ®iÓm (Site-to-site VPN).
- VPN ®iÓm tíi ®iÓm (Site-to-site VPN).
Trong ®ã m¹ng VPN ®iÓm tíi ®iÓm l¹i ® îc chia thµnh hai
Trong ®ã m¹ng VPN ®iÓm tíi ®iÓm l¹i ® îc chia thµnh hai
lo¹i lµ:
lo¹i lµ:
- VPN côc bé (Intranet VPN);
- VPN côc bé (Intranet VPN);
- VPN më réng (Extranet VPN).
- VPN më réng (Extranet VPN).

M« h×nh VPN truy nhËp tõ xa
M« h×nh VPN truy nhËp tõ xa



M« h×nh VPN côc bé
M« h×nh VPN côc bé



M« h×nh VPN më réng
M« h×nh VPN më réng




CH¦¥NG2:C¸cGIAO
CH¦¥NG2:C¸cGIAO
THøC§êNGHÇM
THøC§êNGHÇM

Giới thiệu các giao thức đ ờng
Giới thiệu các giao thức đ ờng
hầm
hầm



Giao thức chuyển tiếp lớp 2 (L2F - Layer Two
Giao thức chuyển tiếp lớp 2 (L2F - Layer Two
Forwarding);
Forwarding);

Giao thức đ ờng hầm điểm tới điểm (PPTP - Point
Giao thức đ ờng hầm điểm tới điểm (PPTP - Point
to Point Tunneling Protocol);
to Point Tunneling Protocol);

Giao thức đ ờng hầm lớp 2 (L2TP - Layer Two
Giao thức đ ờng hầm lớp 2 (L2TP - Layer Two
Tunneling Protocol);
Tunneling Protocol);

Giao thức bảo mật IP (IPSec - Internet Protocol

Giao thức bảo mật IP (IPSec - Internet Protocol
Security).
Security).

Hiện nay các giao thức PPTP và L2TP đ ợc sử
Hiện nay các giao thức PPTP và L2TP đ ợc sử
dụng phổ biến hơn L2F.
dụng phổ biến hơn L2F.

TriÓn khai VPN dùa trªn L2TP
TriÓn khai VPN dùa trªn L2TP

Ưu nh ợc điểm và khả năng ứng
Ưu nh ợc điểm và khả năng ứng
dụng của L2TP
dụng của L2TP



L2TP là một thế hệ giao thức quay số truy nhập VPN
L2TP là một thế hệ giao thức quay số truy nhập VPN
phát triển sau. Nó phối hợp những đặc tính tốt nhất
phát triển sau. Nó phối hợp những đặc tính tốt nhất
của PPTP và L2F. Hầu hết các nhà cung cấp sản
của PPTP và L2F. Hầu hết các nhà cung cấp sản
phẩm PPTP đều đ a ra các sàn phẩm t ơng thích với
phẩm PPTP đều đ a ra các sàn phẩm t ơng thích với
L2TP.
L2TP.


Mặc dù L2TP chủ yếu chạy trên mạng IP, nh ng khả
Mặc dù L2TP chủ yếu chạy trên mạng IP, nh ng khả
năng chạy trên các mạng công nghệ khác nh Frame
năng chạy trên các mạng công nghệ khác nh Frame
Relay hay ATM đã làm cho nó thêm phổ biến. L2TP
Relay hay ATM đã làm cho nó thêm phổ biến. L2TP
cho phép một l ợng lớn khách hàng từ xa đ ợc kết nối
cho phép một l ợng lớn khách hàng từ xa đ ợc kết nối
vào VPN cũng nh là các kết nối LAN-LAN có dung l
vào VPN cũng nh là các kết nối LAN-LAN có dung l
ợng lớn. L2TP có cơ chế điều khiển luồng để làm giảm
ợng lớn. L2TP có cơ chế điều khiển luồng để làm giảm
tắc nghẽn trên đ ờng hầm L2TP.
tắc nghẽn trên đ ờng hầm L2TP.

CH¥NG3:M¹NGRI£NG¶o
CH¥NG3:M¹NGRI£NG¶o
TR£NNÒNIPSec
TR£NNÒNIPSec

Giới thiệu về IPSec
Giới thiệu về IPSec

IPSec đ ợc định nghĩa là một họ giao thức trong
IPSec đ ợc định nghĩa là một họ giao thức trong
tầng mạng cung cấp các dịch vụ bảo mật, xác
tầng mạng cung cấp các dịch vụ bảo mật, xác
thực, toàn vẹn dữ liệu và điều khiển truy nhập.
thực, toàn vẹn dữ liệu và điều khiển truy nhập.


IPSec có hai cơ chế cơ bản để đảm bảo an ninh dữ
IPSec có hai cơ chế cơ bản để đảm bảo an ninh dữ
liệu là tiêu đề xác thực (AH - Authentication
liệu là tiêu đề xác thực (AH - Authentication
Header) và đóng gói tải tin an toàn (ESP
Header) và đóng gói tải tin an toàn (ESP
Encapsulating Security Payload)
Encapsulating Security Payload)

Các chế độ hoạt động
Các chế độ hoạt động


IPSec cung cấp hai chế độ xác thực và mã hóa mức
IPSec cung cấp hai chế độ xác thực và mã hóa mức
cao để thực hiện đóng gói thông tin, đó là chế độ
cao để thực hiện đóng gói thông tin, đó là chế độ
truyền tải (Transport Mode) và chế độ đ ờng hầm
truyền tải (Transport Mode) và chế độ đ ờng hầm
(Tunnel Mode). Sau đây chúng ta sẽ xét đến hai
(Tunnel Mode). Sau đây chúng ta sẽ xét đến hai
chế độ này tr ớc khi tìm hiểu về các giao thức AH
chế độ này tr ớc khi tìm hiểu về các giao thức AH
và ESP.
và ESP.

Xö lÝ gãi tin IP ë chÕ ®é truyÒn
Xö lÝ gãi tin IP ë chÕ ®é truyÒn
t¶i
t¶i




Xö lÝ gãi tin IP ë chÕ ®é ® êng
Xö lÝ gãi tin IP ë chÕ ®é ® êng
hÇm
hÇm



Một số vấn đề kĩ thuật trong thực
Một số vấn đề kĩ thuật trong thực
hiện VPN trên nền IPSec
hiện VPN trên nền IPSec



Mật mã
Mật mã

Toàn vẹn bản tin
Toàn vẹn bản tin

Xác thực các bên
Xác thực các bên

Quản lí khoá
Quản lí khoá

VÝ dô thùc hiÖn kÕt nèi VPN trªn

VÝ dô thùc hiÖn kÕt nèi VPN trªn
nÒn IPSec
nÒn IPSec



Các vấn đề còn tồn tại trong
Các vấn đề còn tồn tại trong
IPSec
IPSec


Sau đây là một số vấn đề đặt ra mà IPSec cần phải
Sau đây là một số vấn đề đặt ra mà IPSec cần phải
giải quyết để hỗ trợ tốt hơn cho việc thực hiện
giải quyết để hỗ trợ tốt hơn cho việc thực hiện
VPN:
VPN:
- Tất cả các gói đ ợc xử lý theo IPSec sẽ bị tăng
- Tất cả các gói đ ợc xử lý theo IPSec sẽ bị tăng
kích th ớc do phải thêm vào các tiêu đề khác nhau,
kích th ớc do phải thêm vào các tiêu đề khác nhau,
và điều này làm cho thông l ợng hiệu dụng của
và điều này làm cho thông l ợng hiệu dụng của
mạng giảm xuống. Vấn đề này có thề đ ợc khắc
mạng giảm xuống. Vấn đề này có thề đ ợc khắc
phục bằng cách nén dữ liệu tr ớc khi mã hóa, song
phục bằng cách nén dữ liệu tr ớc khi mã hóa, song
các kỹ thuật nh vậy vẫn còn đang nghiên cứu và
các kỹ thuật nh vậy vẫn còn đang nghiên cứu và

ch a đ ợc chuẩn hóa.
ch a đ ợc chuẩn hóa.

Các vấn đề còn tồn tại trong
Các vấn đề còn tồn tại trong
IPSec
IPSec
-
-
IKE vẫn là công nghệ ch a thực sự khẳng định đ ợc
IKE vẫn là công nghệ ch a thực sự khẳng định đ ợc
khả năng của mình. Ph ơng thức chuyển khoá thủ
khả năng của mình. Ph ơng thức chuyển khoá thủ
công lại không thích hợp cho mạng có số l ợng lớn
công lại không thích hợp cho mạng có số l ợng lớn
các đối t ợng di động.
các đối t ợng di động.
- IPSec đ ợc thiết kế chỉ để hỗ trợ bảo mật cho l u l
- IPSec đ ợc thiết kế chỉ để hỗ trợ bảo mật cho l u l
ợng IP, không hỗ trợ các dạng l u l ợng khác.
ợng IP, không hỗ trợ các dạng l u l ợng khác.
- Việc tính toán nhiều giải thuật phức tạp trong
- Việc tính toán nhiều giải thuật phức tạp trong
IPSec vẫn còn là một vấn đề khó đối với các trạm
IPSec vẫn còn là một vấn đề khó đối với các trạm
làm việc và máy PC năng lực yếu.
làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật
- Việc phân phối các phần cứng và phần mềm mật
mã vẫn còn bị hạn chế đối với chính phủ của một

mã vẫn còn bị hạn chế đối với chính phủ của một
số quốc gia.
số quốc gia.

Ch¬ng4TriÓnkhaivµ
Ch¬ng4TriÓnkhaivµ
øngdôngVPN
øngdôngVPN

M« h×nh VPN site to site ISA
M« h×nh VPN site to site ISA
2006
2006



M« h×nh VPN Server trªn
M« h×nh VPN Server trªn
Windows 2003
Windows 2003



M« h×nh VPN site to Site L2TP v
M« h×nh VPN site to Site L2TP v
IPSec
IPSec