Xây dựng mạng riêng ảo VPN cho Viễn thông Hà Nội
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.08 MB, 92 trang )
- 1 -
LỜI MỞ ĐẦU
Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày
càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một
huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới. Việc trao đổi thông tin
theo cách truyền thống là dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt
tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi không nhiều và không thường
xuyên. Mạng riêng ảo là phương pháp tận dụng cơ sở hạ tầng công cộng có sẵn để
xây dựng một mạng cục bộ. Bởi vậy, mạng riêng ảo có tính năng phong phú và tin
cậy của một mạng công cộng lại vừa linh hoạt, hiệu quả của mạng chuyên dung.
Xuất phát từ nhu cầu thực tế cùng với việc đánh giá, phân tích hiện trạng
của mạng viễn thông Hà Nội, những thuận lợi và khó khăn trong việc trao đổi dữ
liệu giữa các đơn vị, từ đó xây dựng một mạng riêng ảo cho viễn thông Hà Nội
Để hoàn thành đề tài này, tôi xin cảm ơn PGS.Tiến Sĩ Nguyễn Minh Dân,
thày giáo đã định hướng nghiên cứu đề tài và đã đưa ra những nhận xét hết sức quí
giá, trực tiếp giúp đỡ tôi trong suốt thời gian nghiên cứu. Tôi xin được bày tỏ lòng
cảm ơn chân thành tới các thày cô giáo khoa Quốc tế và sau đại học, các bạn đồng
nghiệp, các kỹ thuật viên của Viễn thông Hà Nội đã nhiệt tình cộng tác giúp đỡ tôi
hoàn thành tốt luận văn của mình
Do thời gian hạn chế nên trong quá trình thực hiện đề tài không tránh khỏi
những thiếu sót, rất mong tiếp tục nhận được những đóng góp ý kiến của các thầy
cô giáo, các bạn đồng nghiệp
Xin chân thành cảm ơn!
Hà Nội, ngày 15 tháng 9 năm 2008
Học viên thực hiện
Nguyễn Hoàng Tuấn
- 2 -
MỤC LỤC
LỜI MỞ ĐẦU 1
CÁC CHỮ VIẾT TẮT VÀ THUẬT NGỮ 8
Chữ viết tắt 8
Diễn giải 8
Ý nghĩa 8
ADSL 8
Asymmetric Digital subscriber line 8
Đường dây thuê bao số không đối xứng 8
BRAS 8
Broadband Remote Access Service 8
Dịch vụ truy cập từ xa băng rộng 8
CERouter 8
Customer Edge Router 8
Router tại đầu khách hàng 8
CO 8
Centrer Office 8
Văn phòng trung tâm 8
CRC 8
Cyclic Redundancy 8
Mã kiểm tra dư 8
CSA 8
Customer Service Area 8
Vùng phục vụ khách hàng 8
DSL 8
Digital Subscriber Line 8
Đường dây thuê bao số 8
DSLAM 8
Digital Subscriber Line Access Multiplexer 8
Bộ tập trung thuê bao 8
HDSL 8
High Data Rate Digital Subscriber Line 8
Đường dây thuê bao số tốc độ cao 8
ISP 8
Internet Service Provider 8
Nhà cung cấp dịch vụ Internet 8
IP 8
Internet Protocol 8
Giao thức Internet 8
IPsec 8
IP Security 8
Bảo mật IP 8
L2F 8
Layer 2 Forwarding 8
Giao thức chuyển tiếp lớp 2 8
- 3 -
L2TP 8
Giao thức định đường hầm lớp 2 8
LTU 8
Line Termination Unit 8
Thiết bị đầu cuối đường dây 8
MPLS 8
Multi Protocol Label Switching 8
Chuyển mạch nhãn đa giao thức 8
NAT 8
Network Address Translation 8
Phiên dịch địa chỉ mạng 8
NTU 8
Network Termination Unit 8
Thiết bị đầu cuối mạng 8
NSP 8
Network Service Provicer 8
Nhà cung cấp dịch vụ mạng 8
PERouter 8
Provicer Edge Router 8
Router của nhà cung cấp 8
PPTP 8
Point to Point Tunneling Protocol 8
Giao thức đường hầm điểm - điểm 8
RAS 8
Remote Access Service 8
Dịch vụ truy cập từ xa 8
SHDSL 8
Single pair High speed Digital Subscriber Line 8
DSL đối xứng tốc độ cao trên một đôi cáp 8
VC 8
Virtual Channel 8
Kênh ảo 8
VPN 8
Virtual Private Network 8
Mạng riêng ảo 8
VRF 8
VPN Routing and Forwarding 8
Bảng định tuyến và chuyển tiếp 8
DANH MỤC CÁC HÌNH VẼ 9
Tên hình 9
Ý nghĩa 9
Hình 1.1 9
Mô hình mạng riêng ảo 9
Hình 1.2 9
Sơ đồ nguyên lý công tác đường hầm trong VPN 9
Hình 1.3 9
- 4 -
Minh họa việc tạo đường hầm lớp 3 9
Hình 1.4 9
VPN truy cập từ xa 9
Hình 1.5 9
Mô hình Intranet xây dựng trên VPN 9
Hình 1.6 9
Mô hình Extranet xây dựng trên VPN 9
Hình 1.7 9
Kiến trúc của PPTP 9
Hình 1.8 9
Đóng gói PPTP/GRE 9
Hình 1.9 9
Cấu trúc gói dữ liệu trong đường hầm PPTP 9
Hình 1.10 9
Đường hầm L2TP 9
Hình 1.11 9
Quá trình tạo đường hầm L2TP 9
Hình 1.12 9
Quá trình đóng gói dữ liệu trong đường hầm L2TP 9
Hình 1.13 9
Quá trình mở gói dữ liệu trong đường hầm L2TP 9
Hình 1.14 9
Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH 9
Hình 1.15 9
Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH 9
Hình 1.16 9
Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP 9
Hình 1.17 9
Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP 9
Hình 2.1 9
Mạng chuyển mạch Hà Nội 9
Hình 2.2 9
Mạng xDSL vùng Tây Nam 9
Hình 2.3 9
Mạng xDSL vùng BCC 9
Hình 2.4 9
Sơ đồ mạng truyền dẫn Công ty ĐTHN 1 (Vùng BCC) 9
Hình 2.5 9
Sơ đồ mạng truyền dẫn Công ty ĐTHN 2 (Vùng Tây Nam) 9
Hình 3.1 9
Kết nối trực tiếp qua cáp quang 9
Hình 3.2 10
Kết nối Lease cáp đồng 10
Hình 3.3 10
Kết nối qua NGN 10
Hình 3.4 10
- 5 -
Kết nối mạng riêng ảo lớp 2 10
Hình 3.5 10
Kết nối mạng riêng ảo lớp 3 10
CHƯƠNG 1: ĐẶC TRƯNG CỦA CÔNG NGHỆ MẠNG RIÊNG ẢO 10
1.1 Quá trình phát triển của mạng riêng ảo 10
1.2 Lợi ích của mạng riêng ảo 11
1.3 Mạng riêng ảo (VPN – Virtual Private Network) 12
1.3.1 Đặc trưng và nguyên lý cơ bản của VPN (IP-VPN) 13
1.3.2 Các loại mạng riêng ảo 16
1.3.2.1 Mạng riêng ảo truy nhập từ xa: 16
1.3.2.2 Mạng riêng ảo kết nối điểm - điểm: 18
1.3.3 Các giao thức dùng cho VPN 20
1.3.3.1 Giao thức định đưòng hầm điểm - điểm PPTP 20
1.3.3.2 Giao thức định đường hầm lớp 2 – L2TP 23
1.3.3.3 Giao thức bảo mật IP – IPSec 28
1.3.4 Các vấn đề bảo mật trong VPN 31
1.3.4.1 Phương pháp dịch địa chỉ mạng (Network Address Translation) 32
1.3.4.2 Phương pháp tường lửa 32
1.3.4.3 Phương pháp mật mã 32
1.4 Kết luận chương 33
CHƯƠNG 2: HIỆN TRẠNG MẠNG VIỄN THÔNG TIN HỌC HÀ NỘI 34
2.1. Tổ chức hành chính của Viễn thông Hà Nội 34
2.2 Cấu hình và thiết bị mạng Viễn thông 34
2.2.1 Chuyển mạch 34
2.2.2 Internet 36
2.2.3 Mạng truyền dẫn 37
2.2.4 Mạng ngoại vi 38
2.3 Cấu hình và thiết bị tin học 38
2.4 Đội ngũ cán bộ 39
2.5 Kết luận chương 39
CHƯƠNG 3: XÂY DỰNG MẠNG RIÊNG ẢO CHO VIỄN THÔNG HÀ NỘI
40
3.1 Mục tiêu và năng lực của mạng máy tính 40
3.2 Xây dựng mô hình mạng máy tính cho Viễn thông Hà Nội 42
3.2.1 Trung tâm mạng và dữ liệu 43
3.2.2 Quản trị điều hành mạng 43
3.2.3 Quản lý nghiệp vụ 43
3.2.4 Tính cước và in hoá đơn 44
3.2.5 Giao dịch khách hàng tại Trung tâm dịch vụ khách hàng 44
3.2.6 Tiếp nhận báo hỏng 119 44
3.2.7 Các tổng đài Host 45
3.2.8 Các đài viễn thông 45
3.3 Giải pháp kết nối mạng cho Viễn thông Hà Nội 45
3.3.1 Yêu cầu kết nối mạng 45
3.3.2 Lựa chọn kiểu kết nối mạng LAN 46
3.3.3 Giải pháp kết nối mạng Wan 47
- 6 -
3.3.3.1 Kết nối bằng phương pháp Leased – Line qua hệ thống cáp quang
SDH 47
3.3.3.2 Kêt nối Lease line cáp đồng 47
3.3.3.3 Kết nối qua mạng NGN 47
3.3.4 Giải pháp kết nối mạng riêng ảo 48
3.3.4.1 Kết nối mạng riêng ảo dựa trên MPLS lớp 2 48
3.3.4.2 Kết nối mạng riêng ảo dựa trên MPLS lớp 3 49
3.4 Các hướng cần kết nối 49
3.4.1 Kết nối với Tập đoàn Bưu chính viễn thông Việt Nam 49
3.4.2 Kết nối với các đơn vị trực thuộc 50
3.4.3 Kết nối tới các điểm giao dịch 50
3.4.4 Kết nối tới các các tổng đài vệ tinh, Host 50
3.5 Phương án lựa chọn thiết bị 51
3.5.1 Lựa chọn thiết bị Switch 51
3.5.2 Lựa chọn máy chủ 52
3.5.3 Các thiết bị khác 52
3.5.4 Phần mềm ứng dụng 53
3.5.4.1 Hệ thống phần mềm Intranet 53
3.5.4.2 Phần mềm quản trị mạng 53
3.5.4.3 Tính cước và chăm sóc khách hàng 54
3.5.4.4 Hệ thống báo cáo nhanh 55
3.5.4.5 Các phần mềm hỗ trợ và kiểm tra hệ thống 55
3.5.5 Phần mềm hệ thống 55
3.5.5.1 Hệ điều hành Windows Advance server 55
3.5.5.2 Phần mềm cơ sở dữ liệu Oracle9i Database for LINUX 55
3.5.5.3 Phần mềm Cluster cho LINUX 55
3.5.6 Cấu hình các thiết bi đầu tư 56
3.6 Phương án kỹ thuật chi tiết 63
3.6.1 Giải pháp kết nối mạng 63
3.6.1.1 Vị trí trung tâm mạng 63
3.6.1.2 Kết nối các đài viễn thông, đài khai thác chuyển mạch truyền dẫn. .65
3.6.1.3 Kêt nối các điểm giao dịch 65
3.6.1.4 Kêt nối tại các tổng đài vệ tinh 65
3.6.1.5 Kết nối HOST 65
3.6.2 Yêu cầu thiết bị 66
3.6.2.1 Tại trung tâm mạng 66
3.6.2.2 Các đơn vị tại trung tâm Viễn thông Hà Nội 67
3.6.2.3 Tại các điểm giao dịch của Trung tâm dịch vụ khách hàng 70
3.6.2.4 Tại các Trung tâm Viễn thông, đài khai thác chuyển mạch 72
3.6.3 Phương án sử dụng thiết bị sẵn có 73
3.6.3.1 Thiết bị mạng 73
3.6.3.2 Thiết bị máy tính và máy in 73
3.6.4 Phân bố địa chỉ IP 73
3.7 Thiết lập thông số VPN trên các thiết bị 75
3.8 Đánh giá hiệu quả 76
3.9 Kết luận chương 76
- 7 -
KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO 77
TÀI LIỆU THAM KHẢO 79
PHỤ LỤC 80
- 8 -
CÁC CHỮ VIẾT TẮT VÀ THUẬT NGỮ
Chữ viết
tắt
Diễn giải Ý nghĩa
ADSL Asymmetric Digital subscriber line Đường dây thuê bao số không đối
xứng
BRAS Broadband Remote Access Service Dịch vụ truy cập từ xa băng rộng
CERoute
r
Customer Edge Router Router tại đầu khách hàng
CO Centrer Office Văn phòng trung tâm
CRC Cyclic Redundancy Mã kiểm tra dư
CSA Customer Service Area Vùng phục vụ khách hàng
DSL Digital Subscriber Line Đường dây thuê bao số
DSLAM Digital Subscriber Line Access
Multiplexer
Bộ tập trung thuê bao
HDSL High Data Rate Digital Subscriber
Line
Đường dây thuê bao số tốc độ cao
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IP Internet Protocol Giao thức Internet
IPsec IP Security Bảo mật IP
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Giao thức định đường hầm lớp 2
LTU Line Termination Unit Thiết bị đầu cuối đường dây
MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thức
NAT Network Address Translation Phiên dịch địa chỉ mạng
NTU Network Termination Unit Thiết bị đầu cuối mạng
NSP Network Service Provicer Nhà cung cấp dịch vụ mạng
PERouter Provicer Edge Router Router của nhà cung cấp
PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm - điểm
RAS Remote Access Service Dịch vụ truy cập từ xa
SHDSL Single pair High speed Digital
Subscriber Line
DSL đối xứng tốc độ cao trên một
đôi cáp
VC Virtual Channel Kênh ảo
VPN Virtual Private Network Mạng riêng ảo
VRF VPN Routing and Forwarding Bảng định tuyến và chuyển tiếp
- 9 -
DANH MỤC CÁC HÌNH VẼ
Tên hình Ý nghĩa
Hình 1.1 Mô hình mạng riêng ảo
Hình 1.2 Sơ đồ nguyên lý công tác đường hầm trong VPN
Hình 1.3 Minh họa việc tạo đường hầm lớp 3
Hình 1.4 VPN truy cập từ xa
Hình 1.5 Mô hình Intranet xây dựng trên VPN
Hình 1.6 Mô hình Extranet xây dựng trên VPN
Hình 1.7 Kiến trúc của PPTP
Hình 1.8 Đóng gói PPTP/GRE
Hình 1.9 Cấu trúc gói dữ liệu trong đường hầm PPTP
Hình 1.10 Đường hầm L2TP
Hình 1.11 Quá trình tạo đường hầm L2TP
Hình 1.12 Quá trình đóng gói dữ liệu trong đường hầm L2TP
Hình 1.13 Quá trình mở gói dữ liệu trong đường hầm L2TP
Hình 1.14 Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
Hình 1.15 Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH
Hình 1.16 Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Hình 1.17 Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP
Hình 2.1 Mạng chuyển mạch Hà Nội
Hình 2.2 Mạng xDSL vùng Tây Nam
Hình 2.3 Mạng xDSL vùng BCC
Hình 2.4 Sơ đồ mạng truyền dẫn Công ty ĐTHN 1 (Vùng BCC)
Hình 2.5 Sơ đồ mạng truyền dẫn Công ty ĐTHN 2 (Vùng Tây Nam)
Hình 3.1 Kết nối trực tiếp qua cáp quang
- 10 -
Hình 3.2 Kết nối Lease cáp đồng
Hình 3.3 Kết nối qua NGN
Hình 3.4 Kết nối mạng riêng ảo lớp 2
Hình 3.5 Kết nối mạng riêng ảo lớp 3
CHƯƠNG 1: ĐẶC TRƯNG CỦA CÔNG NGHỆ MẠNG RIÊNG ẢO
1.1 Quá trình phát triển của mạng riêng ảo
Mạng riêng ảo (VPN – Virtual Private Network) bắt nguồn từ yêu cầu của
khách hàng mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao
(PBX) lại với nhau thông qua mạng diện rộng (WAN), PBX, hệ thống điện thoại
nhóm, hoặc là mạng cục bộ LAN. Việc kết nối này thông qua hệ thống đường dây
- 11 -
chuyên dùng. Mạng chuyên dùng này có ưu điểm là có thể do thuê bao trực tiếp
điều khiển, có tính linh hoạt tương đối cao và có năng lực quản lý mạng lưới hoàn
toàn độc lập; sử dụng riêng các loại thiết bị như chuyển mạch, truyền dẫn và dây
thuê bao đảm bảo được độ tin cậy cao của mạng lưới. Tuy nhiên các thuê bao phải
có năng lực kinh tế nhất định thì mới có thể chịu nổi kinh phí xây dựng mạng
chuyên dùng này.
Năm 1975 Viễn thông Pháp đã đưa ra một loại nghiệp vụ được gọi là Cilisee
cung cấp dịch vụ dây chuyên dùng loại chuyển mạch. Mạng dây chuyên dùng này
chính là hình thức đầu tiên của VPN chủ yếu là dung để nối thong các tổng đài thuê
bao, cung cấp chuyển mạch âm thoại và quản lý hộ khách. Phạm vi bao phủ của
VPN lúc này rất hẹp, tính năng dịch vụ cung cấp không nhiều, không linh hoạt.
Từ đó đến nay, kỹ thuật VPN không ngừng phát triển. Năm 1985 Công ty
Viễn thông đường dài cỡ lớn của Mỹ là Sprint đưa ra mạng VPN được định nghĩa
bằng phần mềm. Năm 1989 AT & T cũng là một hang truyền thông lớn của Mỹ đưa
ra dịch vụ quốc tế IVPN. Và nhiều năm sau đó các công ty Viễn thong các nước
như Đức, Pháp và công ty Sprint của Mỹ đã kết thành liên minh Global One chuyên
cung cấp dịch vụ VPN trên toàn thế giới.
1.2 Lợi ích của mạng riêng ảo
Lợi ích cho doanh nghiệp
- Mở rộng kết nối ra nhiều khu vực và cả thế giới.
- Tăng cường an ninh mạng
- Giảm chi phí so với thiết lập mạng WAN truyền thống
- Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả
năng tương tác.
- Đơn giản hoá mô hình kiến trúc mạng
- Cung cấp những cơ hội kết nối toàn cầu (điều này rất khó và đắt nếu kết
nối trực tiếp bằng đường truyền riêng)
- Hỗ trợ làm việc từ xa
- Cung cấp khả năng tương thích với mạng lưới băng thông rộng
- Giúp thu hồi vốn nhanh (return on investment) so với mạng WAN truyền
thống.
- 12 -
- Quản lý dễ dàng: trường có khả năng quản lý số lượng người sử dụng
(khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu
cầu sử dụng tư vấn từ bên ngoài, các nguồn lực từ bên ngoài để phục vụ
cho công tác kinh doanh đã trở thành một xu hướng.
- Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử
dụng công nghệ DSL.
- Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp
trên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng
liên kết lớn, mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch
vụ.
Lợi ích đối với nhà cung cấp dịch vụ:
- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ
gia tăng giá trị khác kèm theo.
- Tăng hiệu quả sử dụng mạng internet hiện tại.
- Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu
tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với
khách hàng đặc biệt là các khách hàng lớn.
- Đầu tư không lớn hiệu quả đem lại cao.
- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ. Thiết bị sử
dụng cho mạng VPN.
1.3 Mạng riêng ảo (VPN – Virtual Private Network)
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê
bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của
một tổ chức với địa điểm hoặc người sử dụng ở xa. Như vậy có nghĩa là VPN là một
mạng ảo, không có kết nối vật lý cố định, mạng lưới chỉ được thiết lập khi hộ dùng
có yêu cầu. VPN lợi dụng cơ sở hạ tầng của mạng công cộng để tạo ra mạng chuyên
dung. Do đó, VPN có tính năng phong phú và tin cậy của mạng công cộng và linh
hoạt, hiệu quả của mạng chuyên dùng.
- 13 -
Hình 1.1: Mô hình mạng riêng ảo
1.3.1 Đặc trưng và nguyên lý cơ bản của VPN (IP-VPN)
IP-VPN lợi dụng cơ sở hạ tầng của mạng lưới IP công cộng không an toàn
hiện có để tổ chức một mạng ảo an toàn và độc lập.
- Tính an toàn: Do được cấu trúc trên cơ sở mạng IP công cộng như
Internet cho nên phải áp dụng kỹ thuật an toàn mạng lưới để bảo đảm tính
cơ mật của tin tức, tính hoàn chỉnh, tính có thể chứng thức và tính khả
dụng của mạng. Điều đó làm cho VPN đạt đến mức chuyên dùng cao.
- Tính độc chiếm: Đây là cảm giác của hộ dùng VPN trên mạng công cộng,
nhưng thực chất lai là cùng sử dụng mạng công cộng với các hộ dùng
khác hay với các công ty xí nghiệp khác.
- Tự biến thành một thể thống nhất: VPN cũng như mạng chuyên dùng, tự
biến thành một thể thế thống nhất, ở đó có không gian địa chỉ riêng của
mình, có thể sử dụng giao thức phi IP như IPX. VPN có năng lực phiên
dịch địa chỉ của mạng lưới (NAT) và bảo đảm đa giao thức.
Như vậy chúng ta thấy tính an toàn, tính độc chiếm và tính tự chủ của VPN
đã biến nó thnàh một thể thống nhất trên cơ sở mạng IP công cộng và điều này đã
làm cho VPN đạt đén độ yêu cầu “ảo” và “riêng”.
Ký thuật VPN lấy đường hầm (tunnel) làm chỗ dựa, để thực hiện việc nối
thông mạng lưới, dùng kỹ thuật điều khiển truy nhập. Để tăng cường tính an toàn
của mạng VPN có kỹ thuật tạo ra, phân phát và quản lý khoá mã, quản lý mạng ảo.
- 14 -
Trong các kỹ thuật đó thì kỹ thuật đường hầm IP của giao thức an toàn là chỗ dựa
chủ yếu. Hệ thống VPN lợi dụng thông tin mạng lưới công cộng và không đáng tin
cậy để tạo ra đường hầm IP an toàn đảm bảo tính cơ mật, có thể chứng thực tin tức
Hình 1. 2: Sơ đồ nguyên lý công tác đường hầm trong VPN
Đầu chuyển và đầu nhận có thể là từ LAN đến LAN, cũng có thể là từ hộ di
động (mobile user) đến LAN. Thiết bị VPN là bộ khởi đầu và bộ kết cuối đường
hầm an toàn IP. Thiết bị này có thể phân làm 3 loại: Sản phẩm IP-VPN hoàn toàn là
phần mềm, sản phẩm IP-VPN hoàn toàn là phần cứng chuyên dùng hoặc sản phẩm
IP-VPN.
Quá trình chuyển phát có thể miêu tả như sau:
- Điều khiển truy nhập: Thiết bị VPN có tính năng nhu điều khiển truy
nhập tương tự như bức tường lửa. Khi tin của đầu chuyển phát đi vào
thiết bị VPN thì trước hết do bộ phận điều khiển truy nhập quyết định
việc có cho phép chúng vào hay không. Khi tin được đi vào thì sẽ được
xác định là tin được đi trực tiếp hay phải mã hoá bảo mật để đi vào đường
hầm an toàn
- Xử lý trước khi vào đường hầm: đối với văn bản cần đi vào đường hầm
để truyền phát, nói chung là cần phải mã hoá để đảm bảo tính an toàn, từ
đó sử dụng các thuật toán để tiến hành xử lý, xắc nhận… đảm bảo tính
- 15 -
hoàn chỉnh và có thể chứng thức văn bản. Sau cùng, gói tin được đóng
gói lại và được đưa vào đường hầm an toàn
- Vào đường hầm chuyển phát trên mạng công cộng: Những gói tin đã qua
mã hoá, xác nhận rồi lại đóng gói nên có thể nói gói dữ liệu như là thông
qua một “đường hầm” mã háo để trực tiếp đưa đến đầu nhận mà các hộ
dung khác không biết cũng không thể páh hoại hay giả mạo nội dung đã
được truyền tải
- Quá trình tiếp nhận tin: Quá trình này ngược với quá \trình chuyển phát.
Phái tiếp nhận tin trước hết tiến hành ráp nối, phục hồi văn bản, rồi thông
xác nhận, giải mã để văn bản đọc được. Cuối cùng bộ phận điều khiển
truy nhập xác định là văn bản có phù hợp với qui định xuất nhập an toàn
hay không, có thể đưa vào LAN hay máy chủ được chỉ định hay không
Như vậy chúng ta có thể thấy giao thức an toàn chính là kỹ thuật đường hầm
của VPN, nhờ đó mà gói tin có thể được an toàn khi lưu thông trên mạng IP công
cộng, là cơ sở để bảo đảm sự chuyên dùng ảo của VPN
Minh hoạ cụ thể trên hình 1.3. Khi văn phòng trung tâm trả lời thông điệp
của máy khách thì thông tin của gói tin gốc sẽ được đóng gói vào một gói IP khác.
Điều này cho phép truyền gói tin ngang qua mạng cục bộ. Tại sao phải đóng gói hay
tạo đường hầm ở lớp 3? Vì trong phần mào đầu lớp 3 có cả địa chỉ nguồn và địa chỉ
đích. Ta muốn chúng an toàn và vô hình. Bằng cách đóng gói tin trong một gói tin
khác, ta có thể mã hoá toàn bộ gói bao gồm cả phần mào đầu. Người ta đặt bó trong
một gói khác có địa chỉ nguồn và địa chỉ đích là địa chỉ của router hoặc server ở hai
đầu đường hầm. Sau đó dự lêịu được truyền qua mạng. Khi đến văn phòng chi
nhánh, gói tin được mở và gói tin gốc được giải mã. Mào đầucủa gói tin này cho
phép định tuyến bên trong mạng của chi nhánh.
- 16 -
Hình 1. 3: Minh hoạ việc tạo đường hầm lớp 3
Có hai kiểu đường hầm VPN khác nhau
- Kiểu đường hầm bắt buộc: Đây là kiểu đường hầm mà việc khởi tạo được
tiến hành bởi Gateway VPN. Đương hầm này trong suốt đối với người
dung và người dung không biết đến sự tồn tại của nó. Điều này có nghĩa
là phải bắt buộc tạo đường hầm mỗi khi có người vào mạng. Vì vậy có
thể kiểm soát mạng tốt hơn so với đường hầm tự nguyện. Kiểu đường
hầm này phù hợp với các văn phòng loại nhỏ
- Kiểu đường hầm tự nguyện: Đường hầm này được khởi tạo bởi người
dung. Do vậy, người dung phải thực hiện một số công việc để tạo đường
hầm. Đường hầm này trong suốt đối với mạng nên có thể sử dụng trên
babát kỳ mạng nào. Kiểu đường hầm này phù hợp với các văn phòng di
động hoặc các văn phòng cỡ nhỏ.
1.3.2 Các loại mạng riêng ảo
Có 2 loại mạng riêng ảo khác nhau là mạng riêng ảo truy nhập từ xa, mạng
riêng ảo kết nối điểm - điểm.
1.3.2.1 Mạng riêng ảo truy nhập từ xa:
- 17 -
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một
kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân
viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như
công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh
nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho
những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó,
người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm
VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép
các kết nối an toàn, có mật mã.
Hình 1.4 VPN truy cập từ xa
Ưu điểm của VPN truy nhập từ xa so với truy nhập từ xa truyền thống
- Không có thành phần RAS và các thành phần modem liên quan
- Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi
ISP
- Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối
địa phương. Do đó chi phí vận hành giảm rất nhiều
- Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ
cao hơn so với phải truyền dữ liệu đi xa.
- VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ
trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy
cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì
- 18 -
mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn
toàn mất.
Khuyết điểm:
- VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ QoS.
- Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân
mảnh và mất trật tự
- Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá
nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào
đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng không tốt.
- Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa
phương tiện bằng “đường hầm” VPN truy nhập từ xa có thể gây chậm
đường truyền.
1.3.2.2 Mạng riêng ảo kết nối điểm - điểm:
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Do đó
việc bảo mật thông tin cần được thực hiện tại cả hai điểm. Loại này có thể dựa trên
Intranet hoặc Extranet.
Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham
gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ)
để nối LAN với LAN.
Ưu điểm:
-
Giảm
chi
phí
cho
router
được
sử
dụng
ở
WAN
backbone.
-
Giảm
số
nhân
sự
hỗ
trợ
ở
các
nơi,
các
trạm
-
Bởi
vì
Internet
như
là
kết
nối
trung
gian
nên
dễ
dàng
thiết
lập
các
kết
nối
peer-to-peer
mới.
-
Hiệu
quả
kinh
tế
có
thể
đạt
được
bằng
các
sử
dụng
đường
hầm
VPN
kết
hợp với
kĩ
thuật
chuyển
mạch
nhanh
như
FR
-
Do
kết
nối
dial-up
cục
bộ
với
ISP,
sự
truy
xuất
thông
tin
nhanh
hơn
và
tốt
hơn. Sự
loại
bỏ
các
kết
nối
đường
dài
giúp
cho
doanh
nghiệp
giảm
chi
phí
vận
hành
intranet rất
nhiều.
Khuyết điểm:
- 19 -
-
Mặc
dù
dữ
liệu
truyền
đi
trong
tunnel
nhưng
do
truyền
trên
một
mạng
công cộng
-Internet-
nên
cũng
tồn
tại
những
nguy
cơ
bảo
mật
nguy
hiểm
như
tấn
công
từ
chối
dịch
vụ
(denial-of-service)
-
Khả
năng
mất
gói
dữ
liệu
khi
truyền
đi
vẫn
rất
là
cao.
-
Trong
trường
hợp
truyền
tải
các
dữ
liệu
đa
phương
tiện
thì
gây
quá
tải,
chậm
hệ
thống
và
tốc
độ
truyền
sẽ
rất
chậm
do
phụ
thuộc
vào
mạng
Internet.
-
Do
truyền
dữ
liệu
dựa
trên
kết
nối
Internet
nên
chất
lượng
có
thể
không
ổn
đinh
và
QoS
không
thể
đảm
bảo
Hình 1.5 Mô hình Intranet xây dựng trên VPN
Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một
công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một
VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có
thể làm việc trên một môi trường chung.
Ưu điểm:
-
Giảm
chi
phí
rất
nhiều
so
với
phương
pháp
truyền
thống
-
Dễ
dàng
cài
đặt,
bảo
trì
và
chỉnh
sửa
các
thiết
lập
có
sẵn.
-
Do
sử
dụng
đường
truyền
Internet,
bạn
có
nhiều
sự
lựa
chọn
dịch
vụ
cho
giải pháp
tailoring
phù
hợp
với
nhu
cầu
tổ
chức
- 20 -
-
Do
các
thành
phần
kết
nối
internet
được
bảo
trì
bởi
ISP,
giảm
được
chi
phí nhân
sự
do
đó
giảm
chi
phí
vận
hành
của
toàn
hệ
thống
Khuyết điểm:
-
Nguy
cơ
bảo
mât
như
tấn
công
từ
chối
dịch
vụ
vẫn
còn
tồn
tại
-
Tăng
rủi
ro
cho
sự
xâm
nhập
vào
intranet
của
tổ
chức.
-
Trong
trường
hợp
truyền
tải
các
dữ
liệu
đa
phương
tiện
thì
gây
quá
tải,
chậm
hệ
thống
và
tốc
độ
truyền
sẽ
rất
chậm
do
phụ
thuộc
vào
mạng
Internet.
-
Do
truyền
dữ
liệu
dựa
trên
kết
nối
Internet
nên
chất
lượng
có
thể
không
ổn
đinh
và
QoS
không
thể
đảm
bảo.
-
Mặc
dù
giải
pháp
VPN
vẫn
còn
một
số
hạn
chế
nhưng
các
ưu
điểm
của
VPNs
đã
thõa
mãn
rất
tốt
nhu
cầu
của
các
doanh
nghiệp.
Hình 1.6 Mô hình Extranet xây dựng trên VPN
1.3.3 Các giao thức dùng cho VPN
Có 3 giao thức chính dung để xây dựng VPN là: Giao thức định đưòng hầm
điểm - điểm PPTP, giao thức định đường hầm lớp 2 – L2TP và giao thức bảo mật
IP – IPSec
1.3.3.1 Giao thức định đưòng hầm điểm - điểm PPTP
Được
phát
triển
bởi
Microsoft,
3COM
và
Ascend
Communications.
Nó
được
đề xuất
để
thay
thế
cho
IPSec.
PPTP
thi
hành
ở
phân
lớp
2
(Data
Link)
trong
mô
hình OSI
và
thường
được
sử
dụng
trong
truyền
thông
tin
hệ
điều
hành
Windows.
- 21 -
Giao
thức
đường
hầm
điểm
-
điểm
PPTP
được
xây
dựng
dựa
trên
chức
năng của
PPP,
cung
cấp
khả
năng
quay
số
truy
cập
từ
xa,
tạo
ra
một
đường
hầm
bảo
mật thông
qua
Internet
đến
site
đích.
PPTP
sử
dụng
phiên
bản
giao
thức
GRE
để
đóng
và
tách
gói
PPP,
giao
thức này
cho
phép
PPTP
mềm
dẻo
xử
lý
các
giao
thức
khác
không
phải
IP
như:
IPX, NETBEUI.
PPTP
dùng
một
kết
nối
TCP
(gọi
là
kết
nối
điều
khiển
PPTP)
để
khởi
tạo, duy
trì,
kết
thúc
đường
ngầm.
Hình 1.7: Kiến trúc của PPTP
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng
và máy chủ truy nhập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý
- Xác thực người dung
- Tạo các gói dự liệu PPP
Sauk hi PPP tạo các kết nối, PPTP sử dụng các qui luật đóng gói của PPP để
đóng các gói truyền trong đường hầm
Sau khi đường hầm được thiết lập thì dữ liệu người dung được truyền giữa
clien và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu được
đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập. ACK
cho giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp lien kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP.
- 22 -
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu
truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói
Hình 1.8: Đóng gói PPTP/GRE
Cấu trúc gói của PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: Đóng gới
khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Hình 1.9: Cấu trúc gói dữ liệu trong đường hầm PPTP
Đóng gói khung PPP
Phân tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó khung PPP được đóng gói với phần tiêu đề của phiên bản sửa
đổi giao thức GRE
Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận
32 bit
- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường nhận
dạng cuộc gọi 16 bit. Trường nhận dạng cuộc gọi Call ID được thiết lập bởi
PPTP clien trong quá trình khởi tạo đường hầm PPTP
- Một trường xác nhận dài 32 bit được thêm vào
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi
qua mạng IP
Đóng gói các GRE
Tiếp đó phần tải PPP đã được mã hoá và tiêu đề GRE được đóng gói với một
tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP clien và PPTP server.
Đóng gói lớp lien kết dữ liệu
- 23 -
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp lêin kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phàn tiêu đề (Header) và
phần kết thúc (Trailer) của lớp lien kết dữ liệu.
1.3.3.2 Giao thức định đường hầm lớp 2 – L2TP
Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là
Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng
Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và
có khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP.
Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi
trên các mạng X.25, FR, và ATM.
L2TP có thể được sử dụng làm giao thức đường hầm cho mạng VPN điểm-
nối điểm và VPN truy cập từ xa. Trên thực tế, L2TP có thể tạo ra một đường hầm
giữa máy khách và router, NAS và router, router và router.
Vì L2TP là sự kết hợp của L2F và PPTP do đó L2TP có các ưu điểm sau:
- L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đó
nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.
- L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua
Internet và các mạng công cộng khác.
- L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển
hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ
đều không cần phải thực thi phần mềm chuyện dụng.
- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của
riêng truy cập mạng từ xa thông qua mạng công cộng.
Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy
chủ. Do đó ISP không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của
user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó
và có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của
L2TP nhanh hơn so với các nghi thức đường hầm trước nó.
Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất
như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy
- 24 -
đích) của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ
user từ xa và gateway của ISP.
Hình 1.10: Đường hầm L2TP
Khi khung PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng
gói dưới dạng gói dữ liệu user: thông điệp UDP(Uer Datagram Protocol). L2TP sử
dụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy
gói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc.
Các thành phần cơ bản của L2TP
Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập
mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS).
Máy chủ truy cập mạng - NAS
Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung
cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thông qua
đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm. NAS có nhiệm vụ định
quyền người dùng từ xa và quyết định quay số yêu cầu kết nối mạng. Cũng như máy
chủ truy nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được
đặt tại ISP và hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP.
Bộ tập trung truy cập L2TP - LAC
Vai trò của LAC: thiết lập đường hầm thông qua mạng công cộng (PSTN,
ISDN và Internet) tới LNS của máy chủ mạng đầu cuối. LAC có thể coi là điểm kết
thúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng.
LAC được đặt tại ISP. Tuy nhiên user từ bên ngoài cũng có thể hoạt động
như LAC trong trường hợp tạo đường hầm L2TP tự nguyện.
Máy chủ mạng L2TP - LNS
- 25 -
LNS được đặt trên mạng máy chủ. Vì vậy nó được sử dụng để kết thúc kết
nối L2TP khi LACs kết thúc đường hầm L2TP từ máy khách. Khi LNS nhận được
yêu cầu kết nối mạng ảo từ LAC, nó sẽ thiết lập đường hầm và chứng thực người
dùng khởi tạo yêu cầu kết nối đó. Nếu LNS chấp thuận yêu cầu kết nối thì nó sẽ tạo
ra giao diện ảo.
Quá trình tạo kết nối L2TP
Khi người dùng từ xa cần thiết lập đường hầm L2TP thông qua Internet hoặc
các mạng công cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau:
- Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạo
kết nối PPP tới đầu ISP.
- NAS chấp nhận yêu cầu kết nối sau khi chứng thực user. NAS sẽ sử dụng các
phương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thực
hiện nhiệm vụ này.
- Sau đó NAS kích hoạt LAC, LAC thu nhận thông tin với LNS của mạng
đích.
- Sau đó, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữa
hai đầu. Đường hầm có thể là ATM, Frame Relay, hoặc IP/UDP.
- Sau khi đường hầm đã được thiết lập thành công, LAC đưa Call ID (CID) tới
kết nối và gửi thông điệp thông báo đến LNS. Thông điệp thông báo chứa
các thông tin để chứng thực user. Thông điệp cũng mang các thông số tùy
chọn của giao thức điều khiển L2TP(LCP) được người dùng và LAC thỏa
thuận từ trước.
- LNS sử dụng các thông tin nhận được trong thông điệp thông báo để chứng
thực user. Nếu user được chứng thực thành công và LNS chấp thuận yêu cầu
tạo đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa
trên các tù chọn LCP nhận được trong thông điệp thông báo
- Người dùng từ xa và LNS trao đổi dữ liệu thông qua đường hầm L2TP.
