Tải bản đầy đủ (.pdf) (61 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

công nghệ mạng riêng ảo vpn

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.46 MB, 61 trang )

A. TỔNG QUAN VỀ VPN

I. GIỚI THIỆU:

Bạn làm việc tại một công ty lớn với nhiều chi nhánh cách xa trụ sở chính?
Làm sao để nhân viên ở chi nhánh có thể cập nhật thông tin nhanh chóng và truyền tải
dữ liệu với nhau một cách kịp thời? Có thể bạn đang liên tưởng đến một mạng nội bộ
cho công ty, nhưng vấn đề về chi phí, vận hành, bảo dưỡng … gặp nhiều khó khăn.
Từ đó mạng riêng ảo VPN (Virtual Private Network) ra đời.
Giải pháp Mạng riêng ảo VPN (Virtual Private Network) cho phép kết nối
nhiều chi nhánh tạo thành một mạng cục bộ thông qua đường truyền Internet. Việc
chia sẻ dữ liệu, truyền nhận thông tin giữa các chi nhánh bây giờ đã không còn phụ
thuộc vào khoảng cách địa lý. Hiện nay có rất nhiều các thiết bị đầu cuối của nhiều
hang nổi tiếng và đáng tin cậy để bạn dễ dàng chọn lựa và thiết lập một mạng riêng ảo
(VPN) cho công ty mình, một số thiết bị điển hình như: Cisco, Netgear, NexG…
Có hai giải pháp để cung cấp kết nối an toàn giữa các mạng riêng và cho phép
người dùng truy cập từ xa.
1. Kết nối quay số hoặc kết nối kênh thuê riêng:
Kết nối quay số hoặc kết nối kênh thuê riêng tạo một kết nối mạng vật lý đến
một cổng trên máy chủ kết nối từ xa trong một mạng riêng. Tuy nhiên, sử dụng kết
nối quay số hoặc kết nối kênh thuê riêng để cung cấp kết nối mạng tốn kém hơn so
với chi phí sử dụng để cung cấp một kết nối VPN.
2. Kết nối VPN:
Kết nối VPN vừa dùng Giao thức Đường hầm Điểm-Điểm (PPTP) lẫn Giao
thức Đường hầm hai lớp / Bảo mật Giao thức Internet (L2TP/IPSec) thông qua qua
một mạng trung gian như là Internet. Bằng cách sử dụng Internet như là một kết nối
tầm trung, VPN tiết kiệm chi phí cho dịch vụ thoại đường dài và chi phí hạ tầng liên
quan hơn là khi sử dụng kết nối quay số hoặc kết nối kênh thuê riêng. Một giải pháp
VPN bao gồm các công nghệ bảo mật như là mã hóa dữ liệu, chứng thực, ủy quyền và
Điều khiển Duy trì Kết nối Mạng.
II. TỔNG QUAN VPN:



VPN là phần mở rộng của mạng riêng (Private Intranet) sang mạng công cộng
(Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở
rộng được thực hiện bởi các “đường hầm” logic riêng (Private logical "tunnels").
Những đường hầm này giúp trao đổi dữ liệu giữa hai điểm đầu cuối như là giao thức
thông tin điểm-điểm (point-to-point). Máy chủ truy cập từ xa trả lời cuộc gọi, xác
thực người gọi và truyền tải dữ liệu giữa máy khách VPN và mạng riêng của công ty.





Trang 1




Có hai loại kết nối VPN:
• VPN truy cập từ xa còn được gọi là mạng Quay số riêng ảo (VPDN), là
một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức
có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều
địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần
đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra một
máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng
từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử
dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần
mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại
VPN này cho phép các kết nối an toàn, có mật mã.



Kết nối giữa Văn phòng chính và "Văn phòng" tại gia hoặc Nhân viên di động
là loại VPN truy cập từ xa).





Trang 2


• VPN điểm-điểm là việc sử dụng mật mã dành cho nhiều người để kết
nối nhiều điểm cố định với nhau thông qua một mạng công cộng như
Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên
Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào
một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPN nội
bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có
mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung
cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở
rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm
việc trên một môi trường chung.



VPN kết nối hai máy khách thông qua Internet

I. TÍNH CHẤT KẾT NỐI CỦA VPN:

Tính chất của kết nối nền PPTP VPN và nền 2TP/IPSec VPN mô tả như sau:

1. Đóng gói:


Công nghệ VPN cung cấp một cách thức đóng gói dữ liệu với một nhãn cho
phép dữ liệu được truyền qua mạng.

2. Xác thực:

Có ba loại xác thực cho kết nối VPN:

a. Xác thực người dùng:
Dành cho kết nối VPN đã được xác thực. Máy chủ VPN xác
thực các máy khách thực hiện nối vào mà kiểm tra các máy
khách đã được cấp phép chưa. Và ngược lại, máy khách VPN
cũng xác thực máy chủ VPN, cung cấp sự bảo vệ chống lại máy
chủ VPN giả dạng.
b. Xác thực máy tính với L2TP/IPSec:
Bằng việc kiểm tra xác thực mức độ máy tính với IPSec, kết
nối L2TP/IPSec cũng kiểm tra máy khách kết nối từ xa có đáng
tin không.
c. Xác thực dữ liệu và tính toàn vẹn:
Để kiểm tra dữ liệu được gửi trên kết nối VPN L2TP/IPSec bắt
đầu tại điểm kết thúc của kết nối và không được hiệu chỉnh.





Trang 3


3. Mã hóa dữ liệu:


Dữ liệu có thể được mã hóa cho việc bảo mật giữa các điểm cuối của kết nối
VPN. Mã hóa dữ liệu nên dùng cho các kết nối VPN khi các dữ liệu riêng được truyền
qua một mạng công cộng như Internet. Dữ liệu không mã hóa có thể bị tấn công bởi
những can thiệp trái phép. Trong kết nối VPN, định tuyến và truy cập từ xa dùng mã
hóa Microsoft Điểm – Điểm (MPPE) với PTPP và mã hóa IPSec với L2TP.

4. Định địa chỉ và tên vị trí server:

Khi một server VPN được cấu hình, nó tạo ra một giao diện ảo - giao diện này
sẽ giới thiệu tất cả các kết nối VPN đã được thiết lập. Mỗi một máy khách VPN kết
nối tới server sẽ tạo một giao diện ảo trên máy khách mô tả kết nối này. Kết nối giữa
giao diện ảo của máy khách và máy chủ gọi là kết nối VPN Điểm – Điểm (Point-to-
Point).
Giao diện ảo trên máy khách và máy chủ phải được định địa chỉ. Việc phân bố
địa chỉ sẽ do máy chủ VPN thực hiện. Ở chế độ mặc định, địa chỉ IP sẽ được cấp bởi
DHCP ( Dynamic Host Configuration Protocol). Nếu không ta phải cấu hình thủ công
địa chỉ IP tĩnh.
Ngoài ra việc định DNS (Domian Name System) và WINS (Windows Internet
Name Service) cũng xảy ra đồng thời trong quá trình thiết lập kết nối VPN.

II. TÍNH CHẤT ĐƯỜNG HẦM (TUNNELING):

1. Đường hầm:

Đường hầm là một phương thức sử dụng hạ tầng mạng để truyền dữ liệu cho
một mạng thông qua một mạng mạng khác. Dữ liệu được truyền có thể là các khung
(hoặc gói) của các giao thức khác. Thay vì gửi một khung được điều chế bởi một nút
gốc, thì giao thức đường hầm sẽ đóng gói và dán nhãn cho nó. Nhãn này cho biết
thông tin định tuyến giúp khung đã đóng gói có thể truyền đi trên một mạng trung

gian.
Các dữ liệu đóng gói được định tuyến đến đích cuối đường hầm trong mạng.
Gói dữ liệu sau khi đến cuối đường hầm sẽ được bung ra (loại bỏ nhãn) và dữ liệu sẽ
được chuyển đến nơi nhận. Như vậy, giao thức đường hầm gồm 3 tiến trình: Đóng gói
– Vận chuyển – Bung gói.








Trang 4


2. Giao thức đường hầm:

Đường hầm cho phép đóng gói dữ liệu theo một dạng giao thức khác của gói
dữ liệu. Ví dụ, VPN dùng PPTP để đóng gói IP qua 1 mạng công cộng như Internet.
Giải pháp VPN dựa trên PPTP và cả L2TP đều có thể được cấu hình.
PPTP và L2TP phụ thuộc nhiều vào những đặc điểm cơ bản của PPP. PPP
được thiết kế để truyền dữ liệu qua kết nối quay số hoặc kết nối Điểm – Điểm chuyên
dụng. Đối với IP, PPP đóng gói IP vào khung PPP rồi truyền qua liên kết Điểm –
Điểm. PPP được định nghĩa như một giao thức để sử dụng giữa máy khách quay số và
một máy chủ truy nhập mạng (NAS – Network Access Server).

3. PPTP:

PPTP cho phép lưu thông đa giao thức được mã hóa và sau đó đóng gói trong

1 nhãn IP để gửi thông qua một mạng IP của công ty hoặc mạng IP công cộng như
Internet. PPTP đóng gói khung PPP trong khung dữ liệu IP (datagram) để truyền qua
mạng. PPTP được sử dụng để truy nhập từ xa và kết nối VPN Trạm – Trạm.
PPTP dùng kết nối TCP để quản lý đường hầm và một phiên bản chỉnh sửa
của Generic Routing Encapsulation (GRE) để đóng gói khung PPP để truyền dữ liệu
đường hầm. Dữ liệu của khung PPP đã đóng gói được mã hóa, nén lại, hoặc cả hai.
Sơ đồ sau cho thấy cấu trúc của một gói PPTP chứa đựng một gói dữ liệu IP:

Cấu trúc của một gói PPTP chứa IP datagram

Khi sử dụng Internet như một mạng công cộng cho VPN, máy chủ PPTP là
một máy chủ VPN được kích hoạt sẵn PPTP với một giao diện trên Internet và một
giao diện thứ hai trên Intranet.

4. L2TP:

L2TP cho phép lưu thông đa giao thức được mã hóa và gửi qua bất kỳ trung
gian nào hỗ trợ vận chuyển dữ liệu Điểm – Điểm, như là IP, X.25, Chuyển tiếp khung,
chế độ truyền tải bất đồng bộ (ATM). L2TP là một sự phối hợp của PPTP và L2F, là
một công nghệ được phát triển bởi công ty Cisco Systems. L2TP đại diện cho tính
năng tốt nhất của PPTP và L2F. L2TP đóng gói khung PPP gửi qua IP, X.25, Chuyển
tiếp khung hoặc mạng ATM. Khi cấu hình L2TP dùng IP như một cách truyền tải dữ
liệu, nó được dùng như một giao thức đường hầm thông qua Internet.
L2TP qua mạng IP sử dụng giao thức dữ liệu người dùng (UDP) và một loạt
các thông điệp L2TP cho việc quản lý đường hầm. L2TP cũng sử dụng UDP để gửi
khung PPP đã được L2TP đóng gói giống như dữ liệu liệu đường hầm. Dữ liệu của
khung PPTP được đóng gói có thể được mã hóa, nén lại hoặc cả hai. Mặc dù việc thực
thi Microsoft của L2TP không dùng MPPE để mã hóa dữ liệu PPP.







Trang 5


Hình sau giới thiệu kiến trúc của 1 gói L2TP trong một gói dữ liệu IP:

Kiến trúc của một gói L2TP chứa gói dữ liệu IP

5. L2TP với IPSec (L2TP/Sec):

Trong việc thực thi Microsoft của L2TP, IPSec Encapsulation Security
Payload (ESP) trong chế độ truyền tải được dung để mã hóa tuyến L2TP. Sự phối hợp
L2TP (giao thức đường hầm) và IPSec (phương thức mã hóa) gọi là L2TP/IPSec.
Kết quả sau khi ứng dụng ESP vào gói IP chứa thông điệp L2TP được mô tả
trong sơ đồ sau:

Mã hóa tuyến L2TP với IPSec ESP

III. ĐỊNH TUYẾN CHO VPN:

1. Định tuyến cho truy cập kết nối VPN từ xa:
Định tuyến thông thường giữa router thông qua cả công nghệ truy cập chia sẻ trên
nền LAN (như Ethernet hoặc Token Ring) hay công nghệ Điểm – Điểm trên nền
WAN (như T1 hoặc frame relay).

2. Định tuyến mặc định:
Phương pháp được ưa chuộng để định hướng gói dữ liệu tới mạng từ xa là tạo một

tuyến mặc định trên một máy khách truy nhập từ xa, tuyến này hướng gói dữ liệu đến
mạng từ xa (cấu hình mặc định cho máy khách truy nhập từ xaVPN). Gói nào không
dành cho phân khúc mạng LAN lân cận thì được gửi tới mạng từ xa. Khi một kết nối
được thiết lập, theo mặc định máy khách truy nhập từ xa thêm một tuyến mặc định
vào bảng định tuyến của nó và tăng số lượng của tuyến mặc định hiện có, để đảm bảo
tuyến mặc định mới nhất được dùng. Tuyến mặc định mới nhất trỏ đến một kết nối
mới để bất kỳ gói nào không được hướng tới một phân khúc LAN cục bộ thì gửi đến
mạng từ xa.
Theo cấu hình này, khi một máy khách VPN kết nối và tạo một tuyến mặc định
mới thì không thể truy cập Internet được nữa (trừ khi truy cập Internet được cho phép
thông qua mạng cục bộ của công ty - Intranet). Điều này không gây ra bất cứ vấn đề
gì cho máy khách VPN từ xa chỉ cần truy nhập tới mạng của công ty. Tuy nhiên, nó





Trang 6


không cho phép các máy khách từ xa truy cập Internet khi đang kết nối với mạng
công ty.
3. Chia đường hầm:
Chia đường hầm là một tính năng của Truy cập từ xa cho phép máy khách VPN
một mặt có thể truy cập mạng Internal ở mức độ khác nhau, nghĩa là toàn bộ mạng
Internal hoặc chỉ một vài Phân đoạn mạng được quy định trước (dữ liệu truy cập
mạng Internal sẽ được mã hóa bằng IPSec và định tuyến trong đường hầm VPN) mặt
khác họ vẫn truy cập Internet và truy cập tài nguyên tại nơi mà họ đang ở ví dụ như
máy in, file server, máy scan,v.v (dữ liệu này sẽ không bị mã hóa).
Tuy nhiên, việc sử dụng chia đường hầm gặp phải một số vấn đề về bảo mật. Nếu

một máy khách truy nhập từ xa kết nối với cả Internet và mạng công ty thì mạng công
ty có thể bị đột nhập từ Internet thông qua máy khách này. Những công ty cần bảo
mật dữ liệu có thể chọn dùng mô hình định tuyến mặc định để đảm bảo rằng giao tiếp
giữa các máy khách được bảo vệ bởi Tường lửa của công ty.

4. Định tuyến kết nối VPN trạm-trạm:
Với công nghệ WAN, gói IP được chuyển tiếp giữa 2 bộ định tuyến qua 1 kết nối
Điểm – Điểm vật lý hoặc logic. Kết nối này thiết lập cho người dùng thông qua một
mạng riêng cung cấp bởi nhà cung cấp dịch vụ WAN.
Với sự tiên tiến của Internet, các gói dữ liệu được định tuyến giữa những router
được kết nối với Internet thông qua một mạng ảo mà nó giả lập các thuộc tính của một
kết nối Điểm - Điểm riêng. Loại kết nối này được gọi là kết nối VPN Trạm – Trạm.
Kết nối VPN Trạm – Trạm có thể được dùng để thay thế các liên kết WAN tầm xa
mắc tiền bằng liên kết WAN tầm gần tới nhà cung cấp dịch vụ địa phương (ISP).
Một kết nối Trạm – Trạm kết nối hai đoạn của một mạng riêng. Máy chủ VPN
cung cấp một kết nối định tuyến tới mạng mà đã lắp đặt một máy chủ VPN. Trong
một kết nối VPN Trạm – Trạm, gói dữ liệu được gửi từ bất kì bộ định tuyến nào thông
qua kết nối VPN.
Để dễ dàng định tuyến giữa các trạm, mỗi máy chủ VPN và cơ sở hạ tầng của
trạm kết nối phải có một bộ các tuyến đại diện cho không gian địa chỉ của các trạm
khác. Những tuyến này có thể được thêm vào một cách thủ công, hoặc có thể tự thêm
vào bằng cách sử dụng giao thức định tuyến.

5. Giao thức định tuyến trạm-trạm:
Có 2 giao thức định tuyến được dùng trong triển khai VPN Trạm – Trạm:

a. Giao thức thông tin định tuyến (RIP)
RIP được thiết kế cho việc chuyển đổi thông tin định tuyến trong một
mạng có quy mô vừa và nhỏ. Những router RIP chủ động trao đổi các
cửa vào bảng định tuyến.

b. Giao thức Open Shortest Path First (OSPF)
OSPF được thiết kế để trao đổi thông tin định tuyến giữa các mạng lớn
hoặc rất lớn. Thay vì thay đổi các cửa vào định tuyến như router RIP,
thì router OSPF duy trì một sơ đồ mạng được cập nhật sau mỗi lần
thay đổi cấu trúc liên kết mạng. Sơ đồ này được gọi là các trạng thái
liên kết cơ sở dữ liệu được đồng bộ hóa giữa tất cả các router OSPF và
được sử dụng để tính toán tuyến đường trong bảng định tuyến. Các
router OSPF lân cận hình thành một liên kết, đây là một mối quan hệ
logic giữa các router để đồng bộ hóa các trạng thái liên kết cơ sở dữ
liệu.





Trang 7


IV. TỔNG QUAN VỀ TƯỜNG LỬA TRONG VPN:

Dịch vụ định tuyến hỗ trợ một loạt các tính năng lọc gói dữ liệu vào và ra, tính
năng này chặn một vài dạng lưu thông nhất định. Các tùy chọn lọc bao gồm: TCP
port, UDP port, IP Protocol ID, Internet Control Message Protocol (ICMP), mã
ICMP, địa chỉ nguồn, và địa chỉ đích. Máy chủ VPN có thể được đặt sau hoặc trước
tường lửa. Hai phương pháp này được mô tả như sau:

1. Máy chủ VPN đặt sau tường lửa:

Trong cấu hình phổ biến nhất, tường lửa được kết nối với Internet, máy chủ VPN
được nối tiếp sau đó cùng với mạng cục bộ. Máy chủ VPN có giao diện ở cả mạng

diện rộng và mạng cục bộ. Trong tiến trình này, tường lửa phải được cấu hình với bộ
lọc ra vào trong giao diện Internet cho phép duy trì lưu lượng qua đường hầm và
truyền dữ liệu tới máy chủ VPN. Các bộ lọc phụ cho phép truyền dữ liệu tới web,
FTP, và những loại máy chủ khác trong mạng diện rộng. Để tăng cường một lớp bảo
mật phụ, máy chủ VPN cũng nên được cấu hình với bộ lọc gói dữ liệu PPTP hoặc
L2TP/IPSec trên giao diện mạng diện rộng.

2. Máy chủ VPN đặt trước tường lửa:

Khi một máy chủ được đặt trước tường lửa và kết nối tới Internet, bộ lọc gói phải
được thêm vào giao diện Internet của máy chủ VPN để chỉ cho phép lưu lượng VPN
vào và ra địa chỉ IP của giao diện này.
Đối với lưu lượng vào, khi dữ liệu đường hầm được giải mã bởi máy chủ VPN thì
nó được chuyển đến tường lửa. Thông qua việc sử dụng bộ lọc, tường lửa cho phép
lưu lượng được chuyển đến mạng cục bộ Intranet. Bởi vì chí có những lưu lượng từ
máy khách đã được xác thực mới có thể qua máy chủ VPN, trong quá trình này bộ lọc
của tường lửa có thể dùng để ngăn chặn người dùng VPN khỏi việc truy cập vào tài
nguyên mạng cục bộ. Bởi vì lưu lượng Internet được cho phép trong mạng cục bộ
phải thông qua máy chủ VPN nên sự tiếp cận này cũng ngăn chặn được việc chia sẻ
tài nguyên FTP hoặc Web nội bộ ra bên ngoài.

V. NHỮNG CÔNG NGHỆ LIÊN QUAN VỚI VPN:

Việc tích hợp VPN với các thành phần cơ sở hạ tầng của những mạng khác là
một phần quan trọng của thiết kế và thi công VPN. VPN phải tích hợp với các danh
mục, xác thực và dịch vụ bảo mật, cũng như với dịch vụ cấp phát địa chỉ IP và tên
máy chủ. Nếu không có thiết kế phù hợp, máy khách VPN không thể nhận được đúng
địa chỉ IP và phân giải tên mạng nội bộ, các gói dữ liệu sẽ không được truyền giữa
máy khách và tài nguyên mạng cục bộ.


Những công nghệ liên quan đến VPN:
- Quản lý kết nối
- DHCP
- EAP-RADIUS
- IAS
- Name Server Assignment (DNS và WINS)
- NAT






Trang 8


1. Quản lý kết nối:

Quản lý kết nối là một dịch vụ được sử dụng để cung cấp một kết nối từ xa
hiệu chỉnh được đến một mạng thông qua một kết nối VPN. Các tính năng nâng cao
của quản lý kết nối là một tập hợp các mạng quay số cơ bản. Quản lý kết nối cung cấp
sự hỗ trợ cho kết nối từ xa và tại chỗ bằng cách sử dụng một mạng lưới POP (points
of presence), như là những thứ có sẵn trên toàn thế giới thông qua ISP.

2. DHCP:

Trong cả kết nối PPTP và L2TP, dữ liệu truyền trong đường hầm là một khung
PPP. Một kết nối PPP phải được thiết lập trước khi dữ liệu được gửi. Máy chủ VPN
phải có điạ chỉ IP để phân chia chúng đến các giao diện ảo của máy chủ VPN và máy
khách VPN trong khi giao thức điều khiển IP (IPCP) cho thấy nó là một phần của quá

trình thiết lập kết nối PPP. Địa chỉ IP cung cấp cho máy khách VPN cũng đc cung cấp
cho giao diện ảo của máy khách VPN.

3. EAP-RADIUS:

EAP-RADIUS là việc thông qua thông điệp EAP của bất cứ loại EAP nào bởi
một chứng thực đến máy chủ Dịch vụ Người dùng Quay số Xác thực Từ xa RADIUS
(Remote Authentication Dial-In User Service) cho việc xác thực. Ví dụ, với một máy
chủ truy nhập từ xa được cấu hình cho xác thực RADIUS, thông điệp EAP gửi đến
máy khách truy nhập từ xa và máy chủ truy nhập từ xa được đóng gói và định dạng
dưới dạng một thông điệp RADIUS giữa máy chủ truy nhập từ xa (nơi xác thực) với
máy chủ RADIUS (nơi xác thực).
EAP-RADIUS được dùng trong một môi trường nơi RADIUS là nơi cung cấp
xác thực. Một ưu điểm của việc sử dụng EAP-RADIUS là chỉ cần cài đặt tất cả các
loại EAP tại máy chủ RADIUS, không cần phải cài đặt tại mỗi điểm truy nhập từ xa.
Đối với máy chủ IAS, chỉ cần cài đặt các loại EAP.
Trong đặc trưng của việc dùng EAP-RADIUS, một máy chủ chạy Routing and
Remote Access (định tuyến và truy nhập từ xa) được cấu hình cho việc dùng EAP và
một máy chủ IAS cho xác thực. Khi một kết nối được thiết lập, máy khách truy nhập
từ xa thương lượng việc sử dụng EAP với máy chủ truy nhập từ xa. Khi máy khách
gửi một thông điệp EAP đến máy chủ truy nhập từ xa, máy chủ này đóng gói thông
điệp EAP dưới dạng một thông điệp RADIUS và gửi đến máy chủ IAS đã được cấu
hình của nó. Máy chủ IAS xử lý thông điệp EAP và gửi thông điệp RADIUS (thông
điệp EAP đã được đóng gói) về máy chủ truy nhập từ xa. Máy chủ này đưa thông điệp
đó đến máy khách. Trong cấu hình này, máy chủ truy nhập từ xa chỉ là một phương
tiện trung chuyển. Tất cả quá trình xử lý thông điệp EAP chỉ xảy ra ở máy khách và
máy chủ IAS.
Routing and Remote Access có thể được cấu hình cho xác thực cục bộ hoặc
cho máy chủ RADIUS. Nếu Routing and Remote Access được cấu hình cho xác thực
cục bộ, tất cả các cách thức EAP sẽ được xác thực cục bộ. Nếu Routing and Remote

Access được cấu hình để xác thực một máy chủ RADIUS, tất cả các thông điệp EAP
sẽ được đưa qua máy chủ RADIUS với EAP-RADIUS.







Trang 9


4. IAS:

Máy chủ VPN được cấu hình để dùng cả Windows và RADIUS như một bộ
cung cấp xác thực. Nếu Windows được chọn, những chứng thực người dùng được xác
thực qua bộ xác thực Windows, và những kết nối thực nghiệm được cho phép dùng
bởi chính sách kết nối từ xa cục bộ.
Nếu RADIUS được chọn và cấu hình cho việc cung cấp chứng thực trong máy
chủ VPN, chứng thực người dùng và thông số của yêu cầu kết nối được gửi qua một
thông điệp yêu cầu RADIUS tới máy chủ RADIUS.
Máy chủ RADIUS nhận yêu cầu kết nối người dùng từ máy chủ VPN và xác
thực, cho phép cố gắng kết nối. Ngoài việc phản hồi có hoặc không đối với một yêu
cầu xác thực, RADIUS có thể thông báo cho máy chủ VPN của những thông số kết
nối thích hợp cho người dùng.
Phản hồi của RADIUS dựa trên cơ sở dữ liệu tài khoản người dùng của nó,
hoặc có thể là một lối vào máy chủ cơ sở dữ liệu khác, như là máy chủ SQL
(Structured Query Language) hoặc Windows DC (Domain Controller). DC có thể
được xác định trên cùng một máy tính như một máy chủ RADIUS


5. Phân chia tên máy chủ (DNS và WINS):

Phân chia tên máy chủ là phân chia DNS (Domain Name System) và WINS
(Windows Internet Name Service) xảy ra trong quá trình thiết lập kết nối VPN. Máy
khách VPN nhận được địa chỉ IP của máy chủ DNS và WINS từ máy chủ VPN cho
mạng cục bộ mà máy chủ VPN được cài đặt.
Máy chủ VPN phải được cấu hình với địa chỉ máy chủ DNS và WINS để phân
chia tới máy khách VPN trong quá trình dàn xếp IPCP. Đối với bộ phân giải tên
NetBIOS ta không cần dung WINS và có thể kích hoạt NetBIOS thông qua proxy
TCP/IP (NetBT) trên máy chủ VPN.

6. NAT:

Bộ phận phiên dịch địa chỉ mạng (NAT) phiên dịch địa chỉ IP và số cổng các
gói TCP/UDP chuyển giữa mạng riêng và Internet. NAT cũng có thể cung cấp thông
tin cấu hình địa chỉ IP tới máy tính khác trong mạng riêng.
Máy khách VPN trên nền PPTP được xác định phía sau NAT nếu NAT bao
gồm một bộ biên tập có thể dịch gói PPTP. Máy chủ VPN nền PPTP được xác định
nếu NAT được cấu hình với định hướng tĩnh cho lưu lượng PPTP. Nếu máy khách
hoặc máy chủ VPN trên nền L2TP/IPSec đặt sau NAT, cả 2 phải hỗ trợ NAT-T .







Trang 10



B. CÁCH HOẠT ĐỘNG CỦA MẠNG VPN

I. KIẾN TRÚC VPN:

Khi sử dụng VPN, một tổ chức có thể bảo mật lưu lượng mạng riêng đi qua
một mạng không an toàn như Internet. VPN cung cấp một cơ chế bảo mật cho việc
mã hóa và đóng gói các dữ liệu trong mạng riêng và vận chuyển nó qua một mạng
trung gian. Dữ liệu được mã hóa cho việc bảo mật, và các gói dữ liệu được phân ra
trong mạng chia sẻ hoặc mạng công cộng không thể đọc được nếu không có từ khóa
giải mã chính xác. Dữ liệu cũng được đóng gói với nhãn IP chứa đựng thông tin định
tuyến.
VPN cho phép người dùng làm việc tại gia, trên đường phố hoặc trong công sở
kết nối một cách an toàn tới một máy chủ của công ty từ xa thông qua Internet. Từ
góc độ người dùng, VPN là một kết nối Điểm – Điểm giữa máy tính người dùng và
máy chủ công ty. Bản chất của mạng trung gian Internet là không thích hợp cho người
dùng vì nó dường như là được truyền qua một mạng riêng chuyên dụng.
Có rất nhiều cách để sử dụng VPN. Phương pháp thường thấy nhất là người
dùng từ xa truy nhập vào mạng riêng thông qua Internet sử dụng kết nối VPN truy
nhập từ xa. Nói cách khác, một văn phòng từ xa kết nối thường trực hoặc kết nối VPN
Trạm – Trạm theo yêu cầu đến mạng công ty (còn gọi là kết nối VPN router – router).
Mỗi phương pháp VPN có thể được triển khai để cung cấp kết nối thông qua
mạng công cộng như Internet, hoặc qua một mạng cục bộ Intranet. Những kết nối
VPN còn có thể được triển khai theo một phương pháp khác để truyền thông một cách
bảo mật với các đối tác kinh doanh. Mạng diện rộng thực hiện chức năng như một
mạng cục bộ Intranet có thể chia sẻ một cách an toàn với đối tác kinh doanh được chỉ
định.
Với cả 2 loại kết nối truy nhập từ xa và Trạm – Trạm, VPN cho phép một tổ
chức/công ty thay thế kênh thuê riêng hoặc mạng quay số đường dài bằng kênh thuê
riêng hoặc quay số địa phương đến nhà cung cấp dịch vụ Internet ISP.


1. Truy nhập VPN từ xa:

Một kết nối VPN truy nhập từ xa được tạo bởi một máy khách truy nhập từ xa.
Máy khách từ xa là một người dùng máy tính cá nhân kết nối đến mạng riêng từ một
địa điểm từ xa. Máy chủ VPN cung cấp truy nhập đến nguồn tài nguyên mà máy chủ
VPN kết nối vào. Các gói dữ liệu được gửi thông qua kết nối VPN bắt nguồn từ máy
khách VPN. Máy khách và máy chủ VPN xác thực qua lại lẫn nhau.

2. Trạm - Trạm VPN:

Một kết nối VPN Trạm – Trạm kết nối hai phần của mạng riêng hoặc hai
mạng riêng. Ví dụ, nó cho phép một công ty kết nối với nhiều văn phòng riêng lẻ hoặc
với những công ty khác thông qua Internet. Những kết nối VPN đã định tuyến sẵn
thông qua Internet hoạt động một cách hợp lý như là một liên kết WAN chuyên dụng.
Máy chủ VPN cung cấp một kết nối đến mạng mà nó được cài đặt. Trong kết
nối VPN Trạm – Trạm, các gói dữ liệu gửi đi từ một trong 2 router qua kết nối VPN
thường không bắt nguồn từ các router. Router “gọi” (máy khách VPN) và Router “trả
lời” (máy chủ VPN) xác thực qua lại lẫn nhau.






Trang 11


3. Kết nối VPN nền Internet:

Khi sử dụng kết nối VPN nền Internet, một công ty có thể tránh những chi phí

đường dài khi bằng cách lợi dụng sự sẵn có trên toàn cầu của mạng Internet.

a. Truy nhập VPS từ xa qua Internet:
Một kết nối VPN truy nhập từ xa qua Internet cho phép máy khách truy
cập từ xa tạo một kết nối quay số đến ISP địa phương thay vì kết nối đến
một máy chủ truy cập mạng (NAS) công ty hoặc bên ngoài. Bằng cách sử
dụng các kết nối vật lý sẵn có đến ISP địa phương, máy khách kết nối từ
xa tạo một kết nối VPN qua Internet đến máy chủ VPN của tổ công ty. Khi
kết nối VPN được khởi tạo, máy khách truy cập từ xa có thể truy cập các
tài nguyên của mạng nội bộ tư nhân. Hình dưới cho thấy truy nhập từ xa
qua Internet:



VPN kết nối một máy khách từ xa đến một mạng riêng

b. Kết nối VPN Trạm – Trạm qua Internet:
Khi mạng được kết nối qua Internet như trong hình sau, bộ định tuyến
chuyển tiếp gói tin đến một bộ định tuyến khác thông qua kết nối VPN.
Khi đến bộ định tuyến, kết nối VPN hoạt động như một bộ liên kết lớp
data-link.



VPN kết nối hai trạm từ xa qua Internet






Trang 12


4. Kết nối VPN nền mạng riêng Intranet:
Kết nối VPN nền mạng riêng Intranet dựa trên kết nối IP trong mạng LAN
công ty.

a. Kết nối VPN truy nhập từ xa qua Intranet

Trong một số mạng nội bộ Intranet của công ty, dữ liệu của các phòng như
phòng nhân sự thì rất nhạy cảm nên phân đoạn mạng của phòng này bị
ngắt kết nối vật lý với những phần còn lại của mạng nội bộ. Trong khi điều
này bảo vệ các dữ liệu của phòng nhân sự, nó tạo ra các khó khăn khi truy
xuất dữ liệu cho người dùng được ủy quyền nhưng không kết nối vật lý tới
phân đoạn mạng này.
Kết nối VPN giúp cung cấp bảo mật cần thiết cho phép phân đoạn mạng
của phòng nhân sự được kết nối vật lý vào mạng nội bộ. Trong cấu hình
này, máy chủ VPN có thể dùng để tách các phân đoạn mạng. Máy chủ
VPN không cung cấp các kết nối định tuyến trực tiếp giữa mạng nội bộ
công ty và phân đoạn mạng đã tách. Người dùng trong mạng nội bộ công
ty với sự cho phép riêng có thể thiết lập một kết nối VPN từ xa với máy
chủ VPN và truy cập được vào các tài nguyên được bảo vệ. Ngoài ra, các
thông tin liên lạc thông qua kết nối VPN được mã hóa để bỏa mật dữ liệu.
Đối với người dùng không đủ quyền để thiết lập kết nối VPN, các phân
đọan mạng này bị ẩn đi.
Hình sau mô tả một kết nối truy cập từ xa qua một mạng nội bộ:



Kết nối VPN cho phép truy nhập từ xa đến một mạng bảo bật qua Intranet


b. Kết nối VPN Trạm – Trạm qua Intranet:

Hai mạng có thể kết nối với nhau thông qua mạng nội bộ sử dụng kết nối
VPN Trạm – Trạm. Loại kết nối này có thể là cần thiết đối với 2 phòng
tách biệt chứa những dữ liệu nhạy cảm cần trao đổi thông tin qua lại. Ví dụ
phòng tài chính cần trao đổi thông tin bảng lương với phòng nhân sự. Cả 2
phòng này được kết nối với mạng nội bộ chung với những máy tính đóng
vai trò là những máy khách hoặc máy chủ VPN. Khi kết nối VPN được
thiết lập, người dùng trong cả 2 mạng có thể trao đổi những dữ liệu nhạy
cảm thông qua mạng nội bộ công ty.






Trang 13


Hình dưới đây mô tả kết nối 2 mạng thông qua mạng nội bộ



VPN kết nối 2 mạng qua Intranet

II. ĐƯỜNG HẦM VPN:

Đường hầm là một công nghệ mạng cho phép đóng gói một loại giao thức vào
trong gói dữ liệu của một giao thức khác. Ví dụ, kết nối VPN Windows có thể sử

dụng gói giao thức đường hầm Điểm – Điểm (PPTP) để đóng gói và gửi dữ liệu qua
mạng riêng, như là lưu lượng TCP/IP thông qua mạng công cộng (Internet).
Đối vối giao thức L2TP và PPTP, một đường hầm thì tương tự như một phiên
làm việc. Cả 2 điểm đầu cuối đường hầm phải đồng ý với đường hầm và phải điều
chỉnh cấu hình thay đổi được như là gán địa chỉ, mã hóa hoặc các thông số nén. Hầu
hết các trường hợp, dữ liệu truyền qua đường hầm sử dụng giao thức nền datagram.
Một giao thức quản lý đường hầm được sử dụng như một cơ chế để tạo ra, duy trì và
kết thúc một đường hầm.
Sau khi đường hầm được thiết lập, dữ liệu có thế được gửi đi. Máy chủ hoặc
máy khách đường hầm sử dụng một giao thức truyền tải dữ liệu đường hầm để chuẩn
bị cho dữ liệu được truyền đi. Ví dụ, khi máy khách đường hầm gửi dữ liệu đến máy
chủ, đầu tiên máy khách đường hầm sẽ gắn một nhãn giao thức truyền tải dữ liệu
đường hầm vào dữ liệu truyền. Máy khách gửi gói dữ liệu thành phẩm đến máy chủ
đường hầm qua mạng. Máy chủ đường hầm chấp nhận gói dữ liệu, xóa nhãn giao thức
truyền tải dữ liệu đường hầm và chuyển dữ liệu đến mạng đích. Dữ liệu được gửi giữa
máy chủ và máy khách là tương tự nhau.
Có 2 loại đường hầm:
- Đường hầm chủ động
- Đường hầm bị động

1. Đường hầm chủ động:

Một người dùng hoặc máy khách có thể đưa ra một yêu cầu VPN để cấu hình
và khởi tạo một đường hầm chủ động. Trong trường hợp này, máy tính người dùng là
điểm cuối của đường hầm và đóng vai trò như một máy khách đường hầm.
Đường hầm chủ động xuất hiện khi một máy khách hoặc máy chủ định tuyến
tạo một kết nối ảo đến máy chủ đường hầm đích. Để thể hiện điều này, phần mềm
máy khách đường hầm và giao thức đường hầm thích hợp cần phải được cài đặt trên
máy khách. Đối với các giao thức được đề cập, đường hầm chủ động yêu cầu một kết
nối IP (cả LAN và quay số).






Trang 14


Trong trường hợp quay số, máy khách phải kết nối quay số đến mạng trước
khi máy khách thiết lập một đường hầm. Đây là trường hợp phổ biến nhất. Ví dụ phù
hợp nhất là người dùng Internet quay số phải quay số đến ISP và được cấp một kết nối
Internet trước khi đường hầm qua Internet được khởi tạo.
Trong trường hợp máy khách thuộc mạng LAN, đã có một kết nối tới mạng có
thể cung cấp định tuyến của dữ liệu được đóng gói đến máy chủ đường hầm LAN. Đó
là trường hợp máy khách sử dụng kết nối Internet băng rộng thường trực.
Kết nối VPN cần phải có một kết nối quay số là một quan niệm sai lầm. Kết
nối VPN chỉ yêu cầu kết nối IP giữa máy khách và máy chủ VPN. Một số máy khách
(như máy tính tại gia) sử dụng kết nối quay số và Internet để thiết lập kết nối IP. Đây
là một bước sơ bộ để chuẩn bị cho việc khởi tạo đường hầm và không là một phần
giao thức đường hầm.

2. Đường hầm thụ động:

Trong đường hầm thụ động, một máy chủ VPN có khả năng truy nhập từ xa
cấu hình và khởi tạo một đường hầm thụ động. Với một đường hầm thụ động, máy
tính người dùng không phải là điểm cuối. Đối với các thiết bị khác, máy chủ truy cập
quay số, giữa máy tính người dùng và máy chủ là điểm cuối đường hầm, đóng vai trò
là một máy khách đường hầm.
Nhiều nhà cung cấp máy chủ truy cập quay số có khả năng thiết lập một
đường hầm thay thế cho máy khách quay số. Máy tính hoặc thiết bị mạng cung cấp

đường hầm cho máy khách được biết đến như là Bộ xử lý đầu cuối FEP (Front End
Processor) cho PPTP hoặc bộ tập trung kết nối L2TP (LAC – L2TP Access
Concentrator) cho L2TP. Với mục đích này, thuật ngữ FEP được sử dụng để mô tả
chức năng trên, bỏ qua giao thức đường hầm. Để thực hiện chức năng của nó, FEP
phải được cài đặt một giao thức đường hầm thích hợp và có khả năng thiết lập đường
hầm khi máy khách kết nối vào.
Trong đường hầm thụ động, máy khách thiết lập một cuộc gọi đến NAS cho
phép đường hầm tại ISP. Ví dụ, công ty có thể kí hợp đồng với ISP để triển khai một
hệ thống FEP toàn quốc. Hệ thống này có thể thiết lập một đường hầm qua Internet
đến một máy chủ đường hầm kết nối vào mạng riêng của công ty. Do đó cuộc gọi hợp
nhất từ nhiều vị trí địa lý khác nhau vào một kết nối Internet trong mạng công ty.
Cấu hình này được gọi là đường hầm thụ động bởi vì máy khách hoàn toàn sử
dụng đường hầm tạo bởi FEP. Một khi kết nối bên trong được thiết lập, tất cả những
lưu lượng đến và đi từ máy khách được tự động gửi thông qua đường hầm. Với đường
hầm thụ động, máy khách tạo một kết nối PPP đơn lẻ. Khi máy khách quay số đến
NAP, một đường hầm được thiết lập và tất cả các lưu lượng được tự động định tuyến
thông qua đường hầm. FEP có thể được cấu hình để đường hầm hóa tất cả các máy
khách quay số thành một máy chủ đường hầm riêng biệt. FEP cũng có thể đường hầm
hóa máy khách cá nhân, dưa vào tên người dùng hoặc đích đến.
Không như những đường hầm riêng biệt được tạo ra cho mỗi máy khách chủ
động, nhiều máy khách quay số có thể chia sẻ đường hầm giữa FEP và máy chủ
đường hầm. Khi máy khách thứ hai quay số vào một máy chủ truy nhập (FEP) để đạt
được đích đến mà đường hầm đã tồn tại sẵn, khi đó không cần thiết phải tạo một
đường hầm mới giữa FEP và máy chủ đường hầm. Thay vào đó, lưu lượng dữ liệu
cho máy khách mới được truyền qua các đường hầm có sẵn. Vì có thể có nhiều máy
khách trong một đường hầm, đường hầm không thể kết thức đến khi người dùng cuối
cùng ngắt kết nối.




3. PPTP:

Giao thức đường hầ
m Đ
Điểm – Điểm (PPP) vào mộ
t gói d
như Internet hoặc qua mộ
t m
PPTP dùng kết nố
i TCP,
duy trì, và kết thúc đường hầ
m.
(Generic Routing Encapsulation)
Gói dữ liệ
u trong khung PPP có th
PPTP thừa nhậ
n tính s
khách sử dụng giao thức đư

giao thức đường hầm PPTP)
.
kết nối vào máy chủ
PPTP, ho
đến NAS để thiết lập một kế
t n
Xác thực xả
y ra trong quá trình t
cùng một cơ chế xác thực củ
a k
Protocol), MS-

CHAP ( Microsoft Challenge
MS-CHAP v2, CHAP
, SPAP (Shiva Password Authentication Protocol), PAP
(Password Authentication Protocol). PPTP th
gói dữ liệu PPP. Đối với kế
t n
MS-CHAP, MS-
CHAP v2 ph
MPPE (Microsoft Point-to-
Point Encryption).
MPPE chỉ cung cấ
p liên k
không cung cấp mã hóa End
-
và máy chủ chứa đựng nguồ
n tài nguyên ho
máy khách. Nếu cần phả
i mã
hóa lưu lượng IP từ End-to-
End sau khi

4. Bảo trì đường
hầm với k

Đây là một kết nối đi

dụng cổng TCP cấp phát độ
ng v
dành riêng 1723. Kết nối điề
u khi

cuộc gọi PPTP sử dụng để
duy trì
chu kỳ tin PPTP Echo-
Request và PPTP Echo
giữa máy khách và máy chủ
PPTP. Gói k
TCP, thông điệp điều khiể
n PPTP và m
sau:





m Đi
ểm – Điể
m (PPTP) đóng gói giao khung giao th
t gói d
ữ liệu IP cho việc vận chuyển qua mạng n

t m
ạng riêng Intranet.
i TCP, đư
ợc biết đến như là kết nối điều khiể
n PPTP,
m.
PPTP dùng một phiên bản chỉnh sửa củ
a GRE
(Generic Routing Encapsulation) đ
ể đóng gói khung PPP thành dữ liệu đườ

ng h
u trong khung PPP có th
ể được mã hóa, nén hoặc cả hai.
n tính s
ẵn có của một mạng IP giữa máy khách
PPTP (

ng hầm PPTP) và máy chủ PPTP (máy chủ
VPN s
.
Máy khách PPTP có thể đã được lắp đặ
t vào m
PPTP, ho
ặc máy khách PPTP có thể phải dùng kết nố
i quay s
t n
ối IP như với người dùng Internet quay số.
y ra trong quá trình t
ạo ra kết nối VPN trên nền PPTP sử

a k
ết nố
i PPP, như là EAP (Extensible Authentication
CHAP ( Microsoft Challenge
-
Handshake Authentication Protocol)
, SPAP (Shiva Password Authentication Protocol), PAP
(Password Authentication Protocol). PPTP th
ừa hưởng sự mã hóa, nén hoặ
c c

t n
ối PPP, EAP – TLS (EAP –
Transport Layer Security),
CHAP v2 ph
ải được dùng cho gói dữ liệu PPP để mã hóa s

Point Encryption).

p liên k
ết mã hóa giữa máy khách và máy chủ
VPN
-
to-End mà sự mã hóa dữ liệu giữa ứng dụng
máy khách
n tài nguyên ho
ặc dịch vụ được truy cập bởi ứ
ng d
i mã
hóa mã hóa End-to-End, IPSec có thể đượ
c dùng
End sau khi
đường hầm PPTP được thiết lập.
hầm với k
ết nối điều khiển PPTP:

u khiển PPTP giữa địa chỉ IP của máy khách
PPTP s
ng v
ới địa chỉ IP của máy chủ PTPP sử dụng cổ
ng TCP

u khi
ển PPTP chứa thông điệp quản lý và điề
u khi
duy trì
đường hầm PPTP. Nó bao gồm sự chuyể
n giao c
Request và PPTP Echo
-Reply để phát hiện một kết n

PPTP. Gói k
ết nối quản lý PPTP bao gồ
m nhãn IP, nhãn
n PPTP và m
ột đoạn đầu – cuối liên kết dữ liệu
như

Gói điều khiển kết nối




óng gói giao khung giao th
ức

n IP,
n PPTP, đ
ể tạo,
a GRE
ng h
ầm.

PPTP (
máy
VPN s
ử dụng
t vào m
ạng IP
i quay s


dụng
là EAP (Extensible Authentication
Handshake Authentication Protocol)
,
, SPAP (Shiva Password Authentication Protocol), PAP
c c
ả hai từ
Transport Layer Security),

dụng
VPN
. Nó
máy khách

ng d
ụng
c dùng đ
ể mã
PPTP s

ng TCP

u khi
ển
n giao c
ủa

i thất bại
m nhãn IP, nhãn
như h
ình






Trang 16


5. Điều khiển cuộc gọi và thông điệp quản lý kết nối:

Loại thông điệp Mục đích
Start-Control-
Connection-
Request
Gửi bởi máy khách PPTP để thiết lập kết nối điều khiển. Mỗi
đường hầm PPTP yêu cầu một kết nối điều khiển được thiết lập
trước khi các thông điệp PPTP khác được đưa ra.
Start-Control-
Connection-
Reply

G
ửi bởi máy chủ PPTP để trả lời
thông đi
ệp

Star
t
-
Control
-
Connection-Request
Outgoing-Call-
Request
Gửi bởi máy khách PPTP để tạo đường hầm PPTP. Trong thông
điệp Outgoing-Call-Request thì có một Call ID sử dụng nhãn
GRE để nhận diện lưu lượng đường hầm của đường hầm đặc
trưng.
Outgoing-Call-
Reply
G
ửi bởi máy chủ PPTP để trả lời
thông đi
ệp

Outgoing
-
Call
-
Request
Echo-Request

Gửi bởi cả máy khách PPTP hoặc máy chủ PPTP để duy trì cơ chế
hoạt động. Nếu thông điệp này không được trả lời thì đường hầm
này sẽ bị kết thúc ngay.
Echo-Reply
Tr
ả lời cho một Echo
-
Request. Echo PPTP và
thông đi
ệp

Echo
-
Reply không liên quan tới ICMP Echo Request và thông điệp
Echo-Reply.
WAN-Error-
Notify
Gửi bởi máy chủ PPTP đến các máy khách VPN để biểu thị trạng
thái lỗi trên giao diện PPP của máy chủ PPTP.
Set-Link-Info
G
ửi bởi
máy khách

PPTP ho
ặc máy chủ PPTP để thiết lập t
ùy
chọn sắp xếp PPP
Call-Clear-
Request

Gửi bởi máy khách PPTP, chỉ ra rằng một đường hầm kết thúc
Call-Disconnect-
Notify
G
ửi bởi máy chủ PPTP trong phản hồi

đ
ến một Call
-
Clear
-
Request hoặc những lí do khác để chỉ ra rằng một đường hầm kết
thúc. Nếu máy chủ PPTP kết thúc một đường hầm, một Call-
Disconnect-Nofity được gửi
Stop-Control-
Connection-
Request
Gửi bởi máy khách hoặc máy chủ PPTP để xác nhận cho bên kia
biết rằng kết nối điều khiển bị ngắt.
Stop-Control-
Connection-
Reply
Tr
ả lời cho
thông đi
ệp

Stop
-
Control

-
Connection
-
Request








Trang 17


6. Đường hầm dữ liệu:
Đường hầm dữ liệu PPTP biểu diễn qua nhiều lớp đóng gói. Hình sau cho thấy
cấu trúc của một dữ liệu PPTP trong đường hầm



Đưa dữ liệu vào đường hầm

Đóng gói PPP và GRE:

Gói dữ liệu ban đầu được mã hóa và đóng gói với nhãn PPP để tạo một khung
PPP. Khung PPP sau đó được đóng gói với một nhãn GRE đã chỉnh sửa. GRE được
mô tả trong RFC 1701 và RFC 1702 trong IETF RFC database và được thiết kế để
cung cấp một cơ chế chung cho dữ liệu đóng gói gửi qua mạng IP. GRE là một giao
thức khách (Client) của IP sử dụng giao thức IP 47.

Đối với PPTP, nhãn GRE được chỉnh sửa theo cách sau:
1. Một Bit đã biết được dùng để chỉ ra trường 32 bit đã biết là đang hiện diện
và quan trọng.
2. Trường khóa (Key) được thay thế bởi trường dài dữ liệu 16bit và trường
Call ID 16bit. Trường Call ID được đặt bởi máy khách PPTP trong quá
trình khởi tạo đường hầm PPTP.
3. Trường 32bit đã biết được thêm vào
Trong nhãn GRE, loại giao thức được đặt thành 0x880B là giá trị EtherType cho
khung PPP

Chú ý
1. GRE đôi khi được sử dụng bởi các ISP để chuyển tiếp các thông tin định
tuyến trong mạng ISP. Để ngăn chặn các thông tin định tuyến khỏi bị
chuyển đến bộ định tuyến đường trục Internet, ISP lọc lưu lượng GRE
trong giao diện kết nối với đường trục Internet. Theo kết quả bộ lọc này,
đường hầm PPTP có thể được tạo ra bằng cách sử dụng thông điệp điều
khiển PPTP, nhưng dữ liệu PPTP trong đường hầm không được chuyển
tiếp.
2. Gói thành phẩm GRE và PPP được gán một nhãn IP chứa nguồn và đích
địa chỉ IP thích hợp cho máy khách và máy chủ PPTP.

7. Sự bao bọc lớp liên kết dữ liệu:

Để được gửi qua một liên kết LAN hoặc WAN, gói dữ liệu IP được bọc với
một header (nhãn) và trailer (dò đường) cho kỹ thuật lớp liên kết dữ liệu của giao diện
vật lý hướng ra. Ví dụ, khi gói dữ liệu IP được gửi trên giao diện Ethernet thì gói này
được bọc bởi một header và trailer Ethernet. Khi gói dữ liệu IP được gửi qua một liên
kết WAN Điểm – Điểm, như là đường dây điện thoại tương tự hoặc ISDN, gói này
được bọc với một header và trailer PPP.







Trang 18


8. Các quá trình của dữ liệu đường hầm PPTP:

Trong quá trình thu nhận dữ liệu đường hầm, máy khách và máy chủ PPTP sẽ
làm những việc sau:
• Gán và tháo gỡ header và trailer liên kết dữ liệu
• Gán và tháo nhãn IP
• Gán và tháo nhãn GRE và PPP
• Giải mã và giải nén gói dữ liệu PPP
• Truyền hoặc nhận gói dữ liệu

9. Phát triển gói PPTP:

Việc phát triển gói PPTP gồm các bước sau:
a. Một gói dữ liệu IP được đưa lên bởi giao thức phù hợp đến giao diện ảo
đại diện cho kết nối VPN sử dụng Đặc điểm kỹ thuật giao diện điều khiển
mạng (NDIS).
b. NDIS đưa gói dữ liệu đến NDISWAN, nơi dữ liệu được mã hóa và nén,
đồng thời được gán một nhãn PPP bao gồm trường ID giao thức PPP. Điều
nảy giả định rằng địa chỉ và điều khiển nén được sắp xếp trong giai đoạn
LCP (Link Control Protocol) của quá trình kết nối PPP.
c. NDISWAN đưa dữ liệu đến trình điều khiển giao thức PPTP, nơi khung
PPP được đóng gói với nhãn GRE. Trong nhãn GRE, trường ID Call được

đặt giá trị phù hợp để nhận diện đường hầm.
d. Trình điều khiển giao thức PPTP đưa gói thành phẩm đến trình điều khiển
giao thức TCP/IP.
e. Trình điều khiển giao thức TCP/IP đóng gói dữ liệu đường hầm PPTP với
nhãn IP và đưa gói thành phẩm đến giao diện tượng trưng cho kết nối quay
số đến ISP địa phương dùng NDIS.
f. NDIS đưa gói dữ liệu đến NDISWAN để cung cấp các header và trailer
PPP.
g. NDISWAN đưa khung PPP thành phẩm đến WAN miniport trình điều
khiển thích hợp đại diện cho phần cứng kết nối quay số (như là cổng
không đồng bộ cho một kết nối modem).



Phát triển gói dữ liệu PPTP





Trang 19


Chú ý:
Hoàn toàn có thể sắp xếp một kết nối PPP đã được mã hóa cho kết nối quay số
với ISP. Điều này là không cần thiết và không được khuyến vì các dữ liệu cá
nhân được gửi (khung PPP trong đường hầm) đã được mã hóa. Việc thêm một
lớp mã hóa là không cần thiết và có thể ảnh hưởng đến quá trình hoạt động.

10. L2TP:


Giao thức đường hầm lớp hai (L2TP – Layer Two Tunnel Protocol) là sự phối
hợp của PPP và L2F (Layer 2 Forwarding), đây là một công nghệ được phát triển bởi
Cisco. Thay vì có sự tranh chấp giữa 2 giao thức đường hầm không tương thích nhau
trên thị trường và làm khách hàng khó lựa chọn, IETF (Internet Engineering Task
Force) yêu cầu cả 2 kỹ thuật phải được kết hợp trong một giao thức đường hầm đặc
trưng cho tất cả ưu điểm của PPTP và L2F.
L2TP đóng gói khung PPP để gửi qua IP, X.25, chuyển tiếp khung, hoặc mạng
ATM. Khi gửi qua mạng IP, khung L2TP được đóng gói như là thông điệp UDP
(User Datagram Protocol). L2TP được dùng như một giao thức đường hầm qua
Internet hoặc qua mạng riêng.
L2TP sử dụng thông điệp UDP qua mạng IP cho cả việc duy trì đường hầm
lẫn truyền dữ liệu đường hầm. Gói dữ liệu mã hóa từ khung PPP có thể được mã hóa
hoặc nén (hay cả hai). Tuy nhiên, máy khách L2TP không thỏa hiệp việc sử dụng
MPPE cho kết nối L2TP. Mã hóa cho kết nối L2TP được cung cấp bởi ESP (IPSec
Encapsulating Security Payload) trong chế độ truyền.
Hoàn toàn có thể khởi tạo một kết nối L2TP nền Windows không mã hóa bằng
IPSec. Tuy nhiên, việc này không áp dụng cho kết nối VPN bởi vì dữ liệu riêng được
đóng gói bởi L2TP chưa được mã hóa. Kết nối L2TP không mã hóa được dùng tạm
thời để giải quyết vấn đề L2TP qua kết nối IPSec bằng cách xóa bỏ chứng thực IPSec
và quá trình thỏa hiệp.
L2TP cho Windows giả định tính có sẵn của mạng IP giữa máy khách L2TP (
máy khách VPN sử dụng giao thức đường hầm L2TP và IPSec) và một máy chủ
L2TP (máy chủ VPN dùng giao thức đường hầm L2TP và IPSec). Máy khách L2TP
có thể đã được tích hợp vào mạng IP tới máy chủ L2TP, hoặc máy khách L2TP có thể
phải dùng kết nối quay số đến NAS để thiết lập kết nối IP như trong trường hợp người
dùng sử dụng Internet quay số.
Việc xác thực xảy ra trong quá trình khởi tạo đường hầm L2TP phải dùng
cùng một cơ chế xác thực như của kết nối PPP.
Một máy chủ L2TP nền Internet là một máy chủ L2TP cho phép truy cập từ xa

với một giao diện trên Internet và một giao diện thứ hai trên mạng riêng.
Sự duy trì đường hầm L2TP và truyền dữ liệu đường hầm có cùng cấu trúc gói
dữ liệu.

11. Duy trì đường hầm với thông điệp điều khiển L2TP:

Khác với PPTP, việc duy trì đường hầm L2TP không thực hiện qua các kết nối
TCP riêng lẻ. Điều khiển cuộc gọi và quản lý lưu lượng L2TP được gửi dưới dạng
thông điệp UDP giữa máy khách L2TP và máy chủ L2TP. Trong Windows, máy
khách và máy chủ L2TP đều dùng cổng UDP 1701.







Trang 20


Chú ý: Máy khách và máy chủ L2TP trong Windows luôn dùng cổng UDP
1701. Máy chủ L2TP chạy trên nền Windows server 2003 hỗ trợ các máy khách L2TP
sử dụng cổng UDP khác ngoài 1701. Thông điệp điều khiển L2TP qua kết nối IP
được gửi dưới dạng gói dữ liệu UDP.
Khi Windows Server 2003 hoạt động, các gói UDP trên được gửi dưới dạng
gói dữ liệu đã mã hóa ở chế độ truyền IPSec ESP và được trình bày ở hình sau:



Thông điệp điều khiển L2TP


Bởi vì một kết nối TCP không được sử dụng, L2TP dùng một chuỗi các thông
điệp để đảm bảo thông điệp L2TP được truyền đi. Trong thông điệp điều khiển L2TP,
phạm vi Next-Received (tương tự như phạm vi TCP đã biết) và phạm vi Next-Sent
(tương tự như phạm vi TCP Sequence Number) được dùng để duy trì chuỗi thông
điệp điều khiển. Ngoài chuỗi các gói đó thì số còn lại được bỏ đi. Phạm vi Next-Sent
và Next-Received cũng có thể được dùng đề truyền các chuỗi và điều khiển lưu lượng
trong việc truyền dữ liệu đường hầm.
L2TP hỗ trợ nhiều cuộc gọi cho mỗi đường hầm. Thông điệp điều khiển L2TP
và nhãn L2TP của dữ liệu đường hầm là ID đường hầm (Tunnel ID) để nhận diện
đường hầm và Call ID dùng để nhận diện cuộc gọi trong đường hầm.

Bảng sau gồm những thông điệp điều khiển L2TP tiêu biểu:

Loại thông điệp Mục đích
Start-Control-
Connection-
Request
Gửi bởi máy khách L2TP để thiết lập kết nối điều khiển. mỗi
đường hầm L2TP yêu cầu một kết nối điều khiển được thiết lập
trước khi bất cứ thông điệp L2TP nào khác được đưa ra. Nó bao
gồm một ID đường hầm được phân phát (Assigned Tunnel-ID)
dùng để nhận diện đường hầm.
Start-Control-
Connection-Reply

G
ửi bởi máy chủ L2TP để trả lời
thông đi
ệp


Start
-
Control
-
Connection-Request.
Start-Control-
Connection-
Connected
Phản hồi cho một thông điệp Start-Control-Connection-Reply để
chỉ ra đường hầm đã thiết lập một cách thành công.
Outgoing-Call-
Request
G
ửi bởi
máy khách

L2TP đ
ể khởi tạo một đ
ư
ờng hầm L2TP.
Bao gồm thông điệp Outgoing-Call-Request trong một ID cuộc
gọi được phân phát (Assigned Call-ID) dùng để xác nhận cuộc
gọi trong một đường hầm xác định.
Outgoing-Call-
Reply
Gửi bởi máy chủ L2TP trong phản hồi lại thông điệp Outgoing-
Call-Request.






Trang 21


Start-Control-
Connection-
Connected
Ph
ản hồi đến
thông đi
ệp

Outgoing
-
Call
-
Reply nh
ận đ
ư
ợc để báo
là cuộc gọi đã thành công.
Hello
Gửi bởi cả máy chủ hoặc máy khách L2TP như một cơ chế duy
trì kết nối. Nếu thông điệp này không được báo là đã nhận,
đường hầm L2TP bị ngắt.
WAN-Error-
Notify
Gửi bởi máy chủ L2TP tới tất cả máy khách VPN để thông báo

trạng thái lỗi trên giao diện PPP của máy chủ L2TP.
Set-Link-Info
Gửi bởi máy khách hoặc máy chủ L2TP để đặt tùy chỉnh mong
muốn PPP.
Call-Disconnect-
Notify
G
ửi bởi

c

máy khách

và máy ch
ủ L2TP để thông báo rằng cuộc
gọi trong đường hầm đã bị ngắt.
Stop-Control-
Connection-
Notification
Gửi bởi cả máy khách và máy chủ L2TP để báo rằng đường hầm
đã bị ngắt.

12. Đường hầm dữ liệu L2TP:

Đường hầm dữ liệu L2TP được triển khai qua việc đóng gói nhiều lớp. Hình
sau đây chỉ ra cấu trúc của gói L2TP được mã hóa:

Đóng gói dữ liệu L2TP

a. Đóng gói L2TP:

Gói dữ liệu PPP đầu tiên được gói với nhãn PPP và L2TP
b. Đóng gói UDP:
Gói L2TP thành phẩm được bọc thêm nhãn UDP với cổng nguồn
và đích đặt cho 1701.
c. Đóng gói IP:
Thông điệp UDP được mã hóa và đóng gói với header và trailer
IPSec ESP và một trailer xác thực ESP (Auth).
d. Đóng gói lớp liên kết dữ liệu:
Để gửi trên một liên kết LAN hoặc WAN, cuối cùng gói dữ liệu IP
được đóng gói với một header và trailer cho kỹ thuật lớp liên kết
dữ liệu của giao diện vật lý hướng ra. Ví dụ, khi một gói dữ liệu IP
được gửi trên giao diện Ethernet, gói này được đóng gói với header
and Trailer Ethernet. Khi một gói dữ liệu IP được gửi thông qua
liên kết WAN Điểm – Điểm như là đường dây điện thoại tương tự
hoặc ISDN, gói này được đóng với header và trailer PPP.







Trang 22


13. Điều chế dữ liệu trường hầm L2TP/IPSec:

Khi nhận được dữ liệu đường hầm L2TP/IPSec, máy khách và máy chủ L2TP sẽ:
• Gắn và tháo header và trailer liên kết dữ liệu.
• Gắn và tháo nhãn IP.

• Dùng trailer IPSec ESP Auth để xác thực gói dữ liệu IP và nhãn IPSec ESP.
• Dùng nhãn IPSec ESP để giải mã phần mã hóa của gói dữ liệu.
• Gắn nhãn UDP và gửi gói dữ liệu L2TP tới trình điều khiển L2TP.
• Dùng ID đường hầm và ID cuộc gọi trong nhãn L2TP để xác định đường hầm
L2TP.
• Dùng nhãn PPP để xác định gói dữ liệu PPP và chuyển chúng tới trình điều
khiển giao thức chính xác cho việc xử lý.

14. L2TP với bảo mật IP (L2TP/IPSec):

Giao thức đường hầm như là PPTP và L2TP được thực thi tại lớp liên kết dữ
liệu của mô hình tham chiếu OSI (Open System Interconnection) và cung cấp bảo mật
dữ liệu bằng cách tạo đường hầm an toàn. Ngược lại, giao thức IPSec được thực thi
tại lớp mạng và giúp đỡ an ninh dữ liệu tai cấp độ gói. IPSec cung cấp hai giao thức
bảo mật: Authentication Header (AH) và ESP.

15. Giao thức đóng gói IPSec ESP:

Để cung cấp bảo mật 1 cách tối đa cho gói dữ liệuL2TP/IPSec, ESP cũng có
thể được dùng để đóng gói IPSec.

16. Phát triển gói L2TP:

Để phát triển gói L2TP thực hiện các bước sau:
a. Một gói dữ liệu IP được gửi bởi giao thức thích hợp đến giao diện ảo đại
diện cho kết nối VPN sử dụng NDIS.
b. NDIS gửi một gói dữ liệu đến NDISWAN, ở đây dữ liệu được nén có tùy
biến và được cung cấp nhãn PPP chỉ chứa đựng phạm vi ID giao thức PPP.
Điều này giả định rằng địa chỉ và nén phạm vi điều khiển được thỏa hiệp
trong giai đoạn LCP của tiến trình kết nối PPP.

c. NDISWAN gửi khung PPP đến trình điểu khiển giao thức L2TP đóng gói
khung PPP với một nhãn L2TP. Trong nhãn L2TP, ID đường hầm và IP
cuộc gọi được đặt giá trị thích hợp để xác định kết nối L2TP nhất định.
d. Trình điều khiển giao thức L2TP lúc này gửi gói thành phẩm đến trình
điều khiển giao thức TCP/IP với thông tin để gửi gói L2TP như một thông
điệp UDP từ cổng UDP 1701 với địa chỉ IP của máy khách và máy chủ
VPN.
e. Trình điều khiển giao thức TCP/IP xây dựng một gói IP với nhãn IP và
UDP phù hợp. Sau đó IPSec phân tích gói IP và làm nó phù hợp với chính
sách IPSec hiện tại. Dựa trên các thiết lập trong chính sách, IPSec đóng
gói và mã hóa phần thông điệp UDP của gói IP sử dụng header và trailer
ESP thích hợp.
f. Nhãn IP gốc với phạm vi giao thức đặt thành 50 được thêm vào phái trước
gói dữ liệu ESP.





Trang 23


g. Sử dụng NDIS, trình điều khiển giao thức TCP/IP gửi gói tin thành phẩm
đến giao diện tiêu biểu cho kết nối quay số đến ISP địa phương dùng
NDIS.
h. NIDIS gừi gói tin đến NDISWAN.
i. NDISWAN cung cấp header và trailer PPP và gửi khung PPP thành phẩm
đến trình điều khiển miniport đại diện cho phần cứng quay số.

Phát triển gói dữ liệu L2TP

Hoàn toàn có thể sắp xếp một kết nối PPP đã được mã hóa cho kết nối quay số
với một ISP. Điều này không cần thiết và không được khuyến khích bởi vì dữ liệu
riêng được gửi (khung PPP đường hầm) đã được mã hóa với IPSec. Các lớp mã hóa
bổ sung là không cần thiết và có thể ảnh hưởng đến hiệu suất.

III. XÁC THỰC VPN:

Máy chủ VPN có thể được cấu hình để dùng cả Windows hoặc RADIUS
(Remote Authentication Dial-In User Service) như là một nguồn cung cấp xác thực.
Nếu Windows được chọn là nguồn cung cấp xác thực, các thông tin người dùng gửi đi
khi người dùng cố gắng kết nối vào VPN được xác thực bằng cơ chế xác thực đặc
trưng của Windows, và cố gắng kết nối người dùng được ủy quyền bằng quyền sở hữu
tài khoản người dùng và chính sách truy nhập từ xa địa phương của máy khách VPN.
Nếu RADIUS được chọn và được cấu hình như một nguồn cùng cấp xác thực
trên máy chủ VPN, thông tin người dùng và những thông số của yêu cầu kết nối được
gửi đến máy chủ RADIUS dưới dạng thông điệp yêu cầu RADIUS.
Máy chủ RADIUS nhận yêu cầu kết nối người dùng từ máy chủ VPN và xác
thực, cho phép kết nối. Ngoài phản hồi có hoặc không đến một yêu cầu xác thực,
RADIUS có thể thông báo đến máy chủ VPN của các thông số kết nối khả dụng khác
cho người dùng này như thời gian sử dụng tối đa, gán địa chỉ IP tĩnh và tương tự.
RADIUS có thể phản hồi yêu cầu xác thực dựa trên dữ liệu người dùng của
nó, hoặc nó có thể là lối vào máy chủ cơ sở dữ liệu khác, như là máy chủ SQL
(Structure Query Languge) hoặc một Windows DC (Domain Controller). DC có thể
được đặt trên cùng một máy tính hoặc trên máy chủ RADIUS hoặc bất cứ đâu. Ngoài
ra, máy chủ RADIUS có thể đóng vai trò như một máy khách proxy đến một máy chủ
RADIUS từ xa.
Máy VPN có thể được cấu hình để sử dụng cả Windows và RADIUS như một
nguồn cung cấp tài khoản. Nếu Windows được chọn như nguồn ung cấp tài khoản thì
thông tin tài khoản được tích lũy trên máy chủ VPN để phân tích sau. Tùy chọn đăng
nhập có thể được chỉ định từ thuộc tính của các tập tin địa phương hoặc máy chủ SQL

chống lại thư mục đăng nhập từ xa trong Routing and Remote Access snap-in. Nếu





Trang 24


RADIUS được chọn , thông điệp tài khoản RADIUS được gửi tới máy chủ RADIUS
để tích lũy và phân tích sau.
Máy chủ VPN có thể được quản lý bằng cơ sở hạ tầng và giao thức quản lý
mạng tiêu chuẩn công nghiệp. Máy tính đóng vai trò như một máy chủ VPN có thể
tham gia vào môi trường SNMP (Simple Network Management Protocol) như một đại
lý SNMP nếu Windows server 2003 SNMP được cài đặt. Máy chủ VPN lưu trữ
thông tin quản lý trong nhiều đối tượng xác thực của MIB II (Internet Management
Information Base) được cài đặt với dịch vụ SNMP Windows server 2003

GIAO THỨC XÁC THỰC:

Những giao thức xác thực sau đây dùng để nhận dạng người dùng VPN và cho
phép hoặc cấm người dùng truy cập tài nguyên mạng dựa vào ủy quyền người dùng.

1. PAP:
Giao thức xác thực mật khẩu PAP (Password Authentication Protocol) là
hệ thống xác bằng văn bản trơn. NAS yêu cầu user name và password,
PAP trả chúng về dưới dạng văn bản trơn (không mã hóa). Có thể thấy
được, hệ thống xác thực không được bảo vệ bởi vì người dùng có âm mưu
tấn công có thể đoạt được user name và password sau đó dùng chúng để
truy cập đến sau tới NAS và tất cả các nguồn dữ liệu cung cấp bởi NAS.

PAP không cung cấp bảo vệ chống lại các tấn công liên tục hoặc mạo danh
khách hàng từ xa một khi mật khẩu người dùng bị xâm phạm.

2. SPAP:

Giao thức xác nhận mật khẩu Shiva SPAP (Shiva Password Authentication
Protocol) là cơ chế mã có thể đảo ngược được phát triển bởi tập đoàn
Shiva. Một máy tính chạy hệ Windwos XP Professtional dùng PAP khi kết
nối tới một Shiva LAN Rover. Một máy khách Shiva kết nối tới máy chủ
Routing và Remote Access cũng dùng SPAP. Hiện nay, hình thức chứng
thực này an toàn hơn hình thức văn plaintext nhưng lại không an toàn bằng
CHAP hoặc MS-CHAP

3. CHAP:

CHAP (Challenge Handshake Authentication Protocol) là một cơ chế xác
thực mã hóa ngăn chặn truyền mật khẩu hiện hành trên một kết nối. NAS
gửi một yêu cầu bao gồm một phiên ID và một chuỗi yêu cầu tùy ý tới
máy khách từ xa. Máy khách từ xa phải sử dụng thuật toán băm một chiều
MD-5 để trả lại user name và phần đã băm của yêu cầu, phiên ID, và mật
mã của máy khách. user name được gửi dưới dạng plaintext.
CHAP tiến bộ hơn PAP bởi vì mật mã dạng văn bản trơn không được gửi
qua một liên kết. Thay vào đó, mật mã được dùng để khởi tạo một băm từ
yêu cầu gốc. Máy chủ biết các mật mã chưa được mã hóa của máy khách,
nhân rộng các hoạt động và so sánh kết quả với mất khẩu được gửi trong
phản hồi của máy khách. CHAP bảo vệ khỏi việc tấn công liên tục bằng
cách dùng một chuỗi yêu cầu tùy ý cho mỗi cố gắng xác thực. CHAP bảo
vệ khỏi việc mạo danh máy khách từ xa bằng cách gửi những yêu cầu lặp
lại không thể dự đoán đến máy khách từ xa xuyên suốt quá trình kết nối.

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×