T
T
R
R
Ư
Ư
Ờ
Ờ
N
N
G
G
Đ
Đ
Ạ
Ạ
I
I
H
H
Ọ
Ọ
C
C
C
C
Ô
Ô
N
N
G
G
N
N
G
G
H
H
I
I
Ệ
Ệ
P
P
T
T
P
P
.
.
H
H
C
C
M
M
K
K
H
H
O
O
A
A
C
C
Ô
Ô
N
N
G
G
N
N
G
G
H
H
Ệ
Ệ
T
T
H
H
Ô
Ô
N
N
G
G
T
T
I
I
N
N
Đề tài: THIẾT LẬP HỆ THỐNG VPN
TRÊN ROUTER
G
G
i
i
á
á
o
o
v
v
i
i
ê
ê
n
n
h
h
ư
ư
ớ
ớ
n
n
g
g
d
d
ẫ
ẫ
n
n
:
:
P
P
h
h
ạ
ạ
m
m
T
T
h
h
á
á
i
i
K
K
h
h
a
a
n
n
h
h
S
S
i
i
n
n
h
h
v
v
i
i
ê
ê
n
n
t
t
h
h
ự
ự
c
c
h
h
i
i
ệ
ệ
n
n
:
:
T
T
r
r
ầ
ầ
n
n
V
V
i
i
ệ
ệ
t
t
T
T
h
h
ắ
ắ
n
n
g
g
L
L
ớ
ớ
p
p
:
:
Đ
Đ
H
H
T
T
H
H
8
8
A
A
L
L
T
T
TP.Hồ Chí Minh, tháng 3, năm 2014
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang ii
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang iii
NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang iv
LỜI NÓI ĐẦU
Mạng Internet ngày nay phát triển rất dữ dội và đươc áp dụng nhiều vào cách
lĩnh vực trong đời sống hằng ngày. Từ việc học tập, giải trí, kinh doanh điều có sử
dụng Internet. Xuất phát từ việc sử dụng Internet của mật doanh nghiệp để kinh
doanh, VPN Site to site đáp ứng rất tốt vai trò liên kết các máy tính của doanh
nghiệp từ các chi nhánh đến trụ sở chính một cách nhanh chóng và tiết kiệm chi phí.
VPN Site to Site dựa vào mạng công cộng để liên kết các chi nhánh với trụ
sở chính vậy nên vấn đề bảo mật là yêu cầu tất yếu nếu sử dụng công nghệ này. Giải
viết vấn đề này rất đơn giản và không cần mất thêm nhiều đầu tư kinh phí đó là
VPN kết hợp giao thêm IPSec. VPN kết hợp IPSec là đủ để kết nối các chi nhánh và
trụ sở chính và cũng đảm bảo an toàn khi truyền tin.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang v
MỤC LỤC
CHƯƠNG I: TỒNG QUAN VỀ MẠNG RIÊNG ẢO (VPN) 1
1.1 Tổng quát 1
1.2 Phân loại, ứng dụng VPN 3
1.2.1 Client to site (remote access) 3
1.2.2 Site to site 4
1.2.3 VPN site to site mở rộng 5
1.3 Các giao thức đường hầm (tunnel) VPN sử dụng 5
1.3.1 Giới thiệu giao thức tunnel 5
1.3.2 Giao thức Layer Two Forwarding (L2F) 5
1.3.3 Giao thức Point to Point Tunneling Protocol (PPTP) 9
1.3.4 Giao thức Layer Two Tunneling Protocol (L2TP) 14
1.4 Ưu khuyết điểm VPN 19
1.4.1 Ưu điểm 19
1.4.2 Khuyết điểm 20
CHƯƠNG II: VPN SITE TO SITE TRÊN NỀN IPSEC 21
2.1 Đặc vấn đề 21
2.2 Giao thức IPSec 22
2.2.1 Giới thiệu IPSec 22
2.2.2 Đóng gói thông tin IPSec 24
2.2.3 Liên kết an ninh và trao đổi khóa IKE 30
2.2.4 Vấn đề còn tồn tại trong IPSec 31
CHƯƠNG III: TRIỂN KHAI VPN SITE TO SITE TRÊN NỀN IPSEC 33
3.1 Mô hình mạng thực tế 33
3.2 Cấu hình 34
3.3 Kiểm tra 37
3.3.1 Kịch bản kiểm tra 37
3.3.2 Kiểm tra (đứng trên máy HN-MAY1 để kiểm tra) 37
CHƯƠNG IV: TỔNG KẾT 40
4.1 Kết quả đạt được 40
4.2 Hạn chế 40
4.3 Hướng phát triển 40
TÀI LIỆU THAM KHẢO 41
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang vi
MỤC LỤC HÌNH ẢNH
Hình 1.1: Ứng dụng của VPN 2
Hình 1.2: VPN client to site. 3
Hình 1.3: VPN Site to Site 4
Hình 1.4: Khuôn dạng gói của L2F 6
Hình 1.5: Mô hình hệ thống sử dụng L2F 7
Hình 1.6: Gói dữ liệu kết nối điều khiển PPTP 11
Hình 1.7: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP 12
Hình 1.8: Bản tin điều khiển L2TP 16
Hình 1.9: Các thành phần của hệ thống cung cấp VPN dựa trên L2TP 16
Hình 2.1: Mô hình mạng thực tế 21
Hình 2.2: Vị trí của IPSec trong mô hình OSI 22
Hình 2.3: Cấu trúc IPSec 23
Hình 2.4: Sự đóng gói của Transport mode. 25
Hình 2.5: Sự đóng gói của tunnel mode 25
Hình 2.6: vị trí và nội dung của AH trong gói tin IP 26
Hình 2.7: vị trí ESP trong gói tin IP 28
Hình 2.8: Khuôn dạng của gói ESP 28
Hình 3.1: Mô hình mạng triển khai VPN 33
Hình 3.2: Kiểm tra thông suốt 2 site 37
Hình 3.3: Kiểm tra đường đi của VPN 38
Hình 3.4: Kiểm tra thư mục share 38
Hình 3.5: Kiểm tra có ra internet được không 39
Hình 3.6: Thử truy cập web 39
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang vii
DANH MỤC TỪ VIẾT TẮT
Thuật ngữ
Tiếng Anh
Giải thích
3DES
Triple DES
Thuật toán mã DES bội 3
ADSL
Asymmetric Digital
Subscriber Line
Đường thuê bao bất đối xứng
AH
Authentication Header
Giao thức tiêu đề xác thực
ATM
Asynchronous Transfer
Mode
Hệ thống mạng công nghệ ATM
CA
Certificate Authority
Trung tâm thẩm quyền chứng nhận
CHAP
Challenge - Handshake
Authentication Protocol
Giao thức xác thực đòi hỏi bắt tay 3
bước
DES
Data Encryption Standard
Thuật toán mã DES
DSL
Digital Subscriber Line
Thuê bao số
ESP
Encapsulating Security
Payload
Giao thức đóng gói tải tin an toàn
GRE
Generic Routing
Encapsulation
Giao thức định tuyến của CISCO
HMAC
Hashed-keyed Message
Authenticaiton Code
Mã xác thực bản băm
ICV
Intergrity Check Value
Giá trị kiểm tra tính toàn vẹn dữ liệu
IETF
Internet Engineering Task
Force
Tổ chức tiêu chuẩn kỹ thuật Internet
IKE
Internet Key Exchange
Trao đổi khóa qua Internet
IP
Internet Protocol
Giao thức Internet
IPSec
IP Security Protocol
Giao thức an ninh Internet
ISAKMP
Internet Security
Association and Key
Management Protocol
Giao thức an ninh và quả lý khóa
thông qua Internet
ISP
Internet Service Provider
Nhà cung cấp dịch vụ
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang viii
L2F
Layer 2 Forwarding
Giao thức chuyển tiếp lớp 2
L2TP
Layer 2 Tunneling Protocol
Giao thức đường hầm lớp 2
LAN
Local Area Network
Mạng cụ bộ
LCP
Link Control Protocol
Giao thức điều khiển đường truyền
MAC
Message Authentication
Code
Mã xác thực vật lý
MD5
Message Digest 5
Thuật toán băm
NAS
Network Access Server
Máy chủ truy nhập mạng
OSI
Open System
Interconnnection
Mô hình tiêu chuẩn mạng
PAP
Password Authentication
Protocol
Giao thức xác thực bằng mật khẩu
PPP
Point to Point Protocol
Giao thức điểm tới điểm
PPTP
Point to Point Tunneling
Protocol
Giao thức đường hầm điểm tới diểm
RADIUS
Remote Authentication
Dial-in User Service
Dịch vụ xác nhận người dùng từ xa
RAS
Remote Access Service
Dịch vụ truy cập từ xa
RFC
Request for Comment
Tiêu chuẩn của IETF
RSA
Rivest-Shamir-Adleman
Thuật toán mã hóa bất đối xứng RSA
SPI
Security Parameter Index
Chỉ số an ninh
TCP
Transmission Control
Protocol
Giao thức điều khiển tải
UDP
User Data Protocol
Giao thức dữ liệu người dùng
VPN
Virtual Private Network
Mạng riêng ảo
WAN
Wide Area Network
Mạng diện rộng
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 1
CHƯƠNG I: TỒNG QUAN VỀ MẠNG RIÊNG ẢO (VPN)
1.1 Tổng quát
Ngày nay việc áp dụng công nghệ thông tin vào sản xuất, kinh doanh là một
yêu cầu tất yếu. Các công ty, xí nghiệp ứng dụng công nghệ thông tin vào việc quản
lý dây chuyền sản xuất, kinh doanh, quản lý dân sự Để làm được như thế ngoài
việc phải có máy tính thì việc kết nối các máy tính lại với nhau là tất yếu. Đáp ứng
được yêu cầu đó mạng máy tính phát triển không ngừng. ngoài việc kết nối các máy
tính gần với nhau thành mạng LAN thì công nghệ mạng có rất nhiều giải pháp kết
nối các máy tính ở các môi trường địa lý cách xa nhau.
Giải pháp kênh thuê riêng (leased line) là đường truyền riêng đề kết nối trên
môi trường internet. Leased line được nhà cung cấp đảm bảo tốc độ up/down riêng
biệt từng thuê bao. Chi phí cho việc đầu tư và duy trì kết nối rất cao nhưng được
đảm bảo bảo mật. loại hình kết nối này phù hợp cho các công ty quy mô lớn và yêu
cầu về bảo mật, tốc độ kết nối cao.
Bảng giá leased line internet (viettel)
TỐC ĐỘ
CƯỚC PHÍ SỬ DỤNG TRỌN GÓI(VNĐ)
01Mbps quốc tế, 10Mbps trong nước
9.032.400
02Mbps quốc tế, 20Mbps trong nước
15.666.000
03Mbps quốc tế, 30Mbps trong nước
21.212.800
04Mbps quốc tế, 40Mbps trong nước
25.909.100
06Mbps quốc tế, 60Mbps trong nước
35.997.500
08Mbps quốc tế, 80Mbps trong nước
42.793.400
10Mbps quốc tế, 100Mbps trong nước
52.160.550
Giải pháp VPN (Virtual Private Network) là dựa vào môi trường kết nối
internet sẵn có (ADSL hay cáp quang) để kết nối các site lại với nhau. Vì yếu tố là
dựa vào đường internet sẵn có nên việc bảo mật và tốc độ không được đảm bảo
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 2
bằng leased line. Nhưng việc đầu tư hay chi phí phát sinh hàng tháng rất vừa túi tiền
cho các doanh nghiệp vừa và nhỏ. Còn về giải pháp bảo mật thì ngày nay có rất
nhiều giải pháp kết hợp với VPN như: IPSec, L2TP, Cisco GRE
Bảng giá cáp quang internet (viettel)
VPN được hiểu như là việc mở rộng của một mạng riêng (LAN) thông qua
các đường mạng công cộng. Về cơ bản, mỗi VPN là một mạng riêng rẽ sử dụng một
mạng chung (thường là internet) để kết nối các site hay việc nhiều người sử dụng từ
xa. Thay sử dụng một kết nối thực, chuyên dụng như leased line, mỗi VPN sử dụng
các kết nối ảo được dẫn dường thông qua internet, từ mạng riêng của công ty đến
các site chi nhánh hay đến các nhân viên từ xa. Để có thể gởi nhận dữ liệu thông
qua mà công cộng mà vẫn an toàn và bảo mật. Trước khi truyền trên mạng internet
gói tin VPN được mã hóa theo một cơ chế riêng. Sau đó thêm header VPN, phần
header này biểu thị đường đi thông qua mạng công cộng một cách nhanh chóng. Dữ
liệu được mã hóa cẩn thận như vậy nên nếu các packet bị bắt lại trên đường truyền
công cộng cũng không có thể đọc được vì không có khóa để giải mã.
Hình 1.1: Ứng dụng của VPN
TỐC ĐỘ
CƯỚC PHÍ SỬ DỤNG TRỌN GÓI(VNĐ)
12Mbps trong nước, 640 Kbps quốc tế
350.000
32Mbps trong nước, 640Kbps quốc tế
700.000
34Mbps trong nước, 640Kbps quốc tế
1.400.000
50Mbpstrong nước, 1.5Mbps quốc tế
4.000.000
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 3
1.2 Phân loại, ứng dụng VPN
Việc kết nối VPN phải đảm bảo các yêu cầu sau:
Khi các nhân viên của công ty đi công tác ở xa phải có liên kết về trụ
sở để truy vấn và làm việc bình thường như đang ở công ty.
Khi công ty phát triển, mở thêm chi nhánh thì các nhân viên ở các chi
nhánh phải có thể truy vấn về trụ sử chính và các nhanh viên các chi
nhánh luôn có kết nối với nhau như trong mạng LAN.
Hay khi công ty có hợp tác với công ty khác thực hiện một dự án lớn,
việc trao đổi thông tin về dự án cũng là yêu cầu trong công việc rất
cao.
Đáp ứng các yêu cầu đó VPN được chia làm các loại sau:
1.2.1 Client to site (remote access)
Hình 1.2: VPN client to site.
VPN dạng này cho phép các nhân viên đi công tác xa vẫn có thề kết nối về
head office thông qua các phần mềm VPN để truy cập vào mạng intranet của công
ty thông qua VPN Server. Trong giải pháp này, các người dùng thường sử dụng các
công nghệ WAN truyền thống để tạo lại các tunnel về mạng head office của họ.
Thành phần chính của VPN client to site: VPN Server. Cơ chế hoạt động như
là Remote Access Server (RAS), được đặt tại trụ sở chính có nhiệm vụ xác nhận và
chứng thực các yêu cầu gởi tới. Bằng việc kết nối client to site này thì yêu cầu từ
client chỉ là có kết nối internet và có một phần mềm VPN client là đủ.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 4
Khi client cần liên kết về trụ sở chính để truy cập tài nguyên như là file
server chẳn hạn, thì trước tiên client này "quay số" đến VPN server. VPN server xác
thực người dùng cấp một kênh truyền ảo (tunnel). Liên kết này VPN server quản
lý.
1.2.2 Site to site
Hình 1.3: VPN Site to Site
Thay vì sử dụng kênh thuê riêng (leased linne) để liên kết các site các chi
nhánh lại với nhau. VPN site to site giải pháp rất hoàn hảo để giảm thiểu chi phí
nhưng cũng không kém phần bảo mật.
Thành phần chính của VPN site to site là 2 router mặt ngoài của các site. 2
router này đảm bảo việc tạo liên kết giữa 2 site bằng một đường hầm riêng. Cũng
giống như VPN client to site, 2 router này đảm nhiệm xác thức và chứng thực người
dùng.
Khác với VPN client to site, VPN site to site trong suốt với người sử dụng.
Phiên kết nối giữa các host người dùng không cần phải có phần mềm VPN chuyên
dụng. Việc kết nối được 2 router mặt ngoài của 2 site đảm nhiệm.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 5
1.2.3 VPN site to site mở rộng
Khái niệm VPN site to site mở rộng là khái niệm tương đối mới. Không
giống như VPN site to site và VPN client to site, VPN site to site mở rộng nó có cơ
chế cách ly một số thành phần không được phép truy cập ra. Vì cơ chế này, nên
VPN dạng này được ứng dụng để kết nối các đối tác cùng thực hiện một dự án lớn.
1.3 Các giao thức đường hầm (tunnel) VPN sử dụng
1.3.1 Giới thiệu giao thức tunnel
Các giao thức đường hầm (tunnel) là nền tảng của công nghệ VPN. Có nhiều
giao thức đường hầm khác nhau, và việc sử dụng giao thức nào là liên quan đến
phương pháp xác thực và mã hóa đi kèm. Các giao thức đường hầm phổ biến hiện
nay là:
Giao thức truyển tiếp layer 2 (L2F - layer two forwarding).
Giao thức truyền diểm đến diểm (PPTP - point to point tunneling
protocol).
Giao thức đường hầm lớp 2 (L2TP - layer two tunneling protocol).
L2F và PPTP là hai giao thức phát triển dựa trên giao thức PPP (Point to
Point Protocol). PPP là giao thức truyền thông layer 2, có thể sử dụng để đóng gói
dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên. Giao thức L2F do Cisco phát
triển độc lập, còn PPTP là do nhiều công ty hợp tác phát triển. Trên cơ sở L2F và
PPTP, IETF đã phát triển giao thức đường hầm L2TP. Hiện nay các giao thức PPTP
và L2TP được sử dụng phổ biến hơn L2F.
1.3.2 Giao thức Layer Two Forwarding (L2F)
Giao thức L2F được phát triển sớm nhất, là phương pháp truyền thống để
cho những người sử dụng ở xa truy nhập vào một mạng công ty thông qua thiết bị
truy nhập từ xa. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập
một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. Nó cho
phép đóng gói các gói PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết
dữ liệu.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 6
a) Cấu trúc gói L2F
Khuôn dạng gói tin L2F có cấu trúc như trên hình 1.4.
1bit
1bit
1bit
1bit
8bit
1bit
3bit
8bit
8bit
F
K
P
S
Reserved
C
Version
Protocol
Sequence
Multiplex ID
Client ID
Length
Offset
Key
Data
Checksum
Hình 1.4: Khuôn dạng gói của L2F
Ý nghĩa các trường trong gói L2F như sau:
- F: chỉ định trường “Offset” có mặt;
- K: chỉ định trường “Key” có mặt;
- P (Priority): thiết lập ưu tiên cho gói;
- S: chỉ định trường “Sequence” có mặt;
- Reserved: luôn được đặt là 00000000;
- Version: phiên bản của L2F dùng để tạo gói;
- Protocol: xác định giao thức đóng gói L2F;
- Sequence: số chuỗi được đưa ra nếu trong tiêu đề L2F bit S bằng 1.
- Multiplex ID: nhận dạng một kết nối riêng trong một đường hầm (tunnel);
- Client ID: giúp tách đường hầm tại những điểm cuối;
- Length: chiều dài của gói (tính bằng byte) không bao gồm phần checksum;
- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt
đầu. Trường này có mặt khi bit F bằng 1;
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 7
- Key: là một phần của quá trình xác thực (có mặt khi bit K bằng 1);
- Checksum: tổng kiểm tra của gói (có mặt khi bit C bằng 1).
b) Hoạt động của L2F
L2F đóng gói những gói tin lớp 2 (trong trường hợp này là PPP), sau đó
truyền chúng xuyên qua mạng. Hệ thống sử dụng L2F gồm các thành phần sau:
- Máy chủ truy nhập mạng NAS (Network Access Server): hướng lưu lượng
đến và đi giữa máy khách ở xa (Remote Client) và Home Gateway.
- Đường hầm (Tunnel): định hướng đường đi giữa NAS và Home Gateway.
Một đường hầm gồm một số kết nối.
- Home Gateway: Ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng
riêng.
- Kết nối (Connection): là một kết nối PPP trong đường hầm. Trong CLI,
một kết nối L2F được xem như là một phiên.
- Điểm đích (Destination): là điểm kết thúc ở đầu xa của đường hầm. Trong
trường hợp này thì Home Gateway là điểm đích.
Remote
User
RADIUS
Server
NAS
Home
gateway
Data
Tunnel
Mạng riêngMạng của ISP
Hình 1.5: Mô hình hệ thống sử dụng L2F
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 8
Các hoạt động của L2F bao gồm: thiết lập kết nối, đường hầm và phiên làm
việc. Các bước thực hiện cụ thể như sau:
1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết
nối PPP tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên
kết LCP (Link Control Protocol).
3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên miền (domain
name) hay xác thực RADIUS để quyết định xem người sử dụng có hay
không yêu cầu dịch vụ L2F.
4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận
địa chỉ của Gateway đích (Home Gateway).
5) Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa
chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai
đoạn xác thực từ ISP tới Gateway đích để chống lại tấn công bởi những
kẻ thứ ba.
6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác
động kéo dài phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết
nối này được thiết lập như sau: Home Gateway tiếp nhận các lựa chọn
và tất cả thông tin xác thực PAP/CHAP như đã thoả thuận bởi đầu cuối
người sử dụng và NAS. Home Gateway chấp nhận kết nối hay thoả
thuận lại LCP và xác thực lại người sử dụng.
7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu
lượng vào trong các khung L2F và hướng chúng vào trong đường hầm.
8) Tại Home Gateway khung L2F được tách bỏ, và dữ liệu đóng gói được
hướng tới mạng công ty.
c) Ưu nhược điểm của L2F
Giao thức L2F có các ưu điểm sau đây:
- Cho phép thiết lập đường hầm đa giao thức;
- Được hỗ trợ bởi nhiều nhà cung cấp.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 9
Các nhược điểm chính của L2F là:
- Không có mã hoá;
- Hạn chế trong việc xác thực người dùng;
- Không có điều khiển luồng cho đường hầm.
1.3.3 Giao thức Point to Point Tunneling Protocol (PPTP)
Giao thức đường hầm điểm tới điểm được đưa ra đầu tiên bởi một nhóm các
công ty được gọi là PPTP Forum. Ý tưởng cơ sở của giao thức này là tách các chức
năng chung và riêng của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để
tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng. Người dùng ở xa
chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường
hầm bảo mật tới mạng riêng của họ.
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng
quay số truy nhập tạo ra một đường hầm bảo mật thông qua Internet đến site đích.
PPTP sử dụng giao thức đóng gói định tuyến chung GRE được mô tả lại để đóng và
tách gói PPP. Giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác
không phải IP như IPX, NETBEUI.
a)Khái quát về hoạt động của PPTP
PPP đã trở thành giao thức truy nhập vào Internet và các mạng IP rất phổ
biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các
phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp.
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-điểm từ
máy gửi đến máy nhận.
PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram để
truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết
nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm, và một phiên bản
của giao thức GRE để đóng gói các khung PPP. Phần tải tin của khung PPP có thể
được mật mã và/hoặc nén.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 10
PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối logic.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng
PPTP) và PPTP server (VPN server sử dụng PPTP). PPTP client có thể được nối
trực tiếp qua việc quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là
giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP.
Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ
chế xác thực của kết nối PPP. Các cơ chế xác thực đó có thể là:
- EAP (Extensible Authentication Protocol) – giao thức xác thực mở rộng;
- CHAP (Challenge Handshake Authentication Protocol) – giao thức xác
thực đòi hỏi bắt tay;
- PAP (Password Authentication Protocol) – giao thức xác thực mật khẩu.
Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và
không có bảo mật. CHAP là một giao thức xác thực mạnh hơn, sử dụng phương
thức bắt tay ba chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng
các giá trị thách đố (Challenge Value) duy nhất và không thể đoán trước được.
PPTP cũng thừa hưởng việc mật mã và nén phần tải tin của PPP. Để mật mã
phần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE
(Microsoft Point to Point Encryption). MPPE chỉ cung cấp mật mã mức truyền dẫn,
không cung cấp mật mã đầu cuối đến đầu cuối. Nếu cần sử dụng mật mã đầu cuối
đến đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối
sau khi đường hầm PPTP đã được thiết lập.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP
để đóng các gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 11
bởi PPP, PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu, sau đó gán
chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP phân tách các
kênh điều khiển và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng
dữ liệu với giao thức IP. Kết nối TCP tạo giữa máy trạm PPTP (client) và máy chủ
PPTP (server) được sử dụng để trưyền thông báo điều khiển.
Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa
ứng dụng khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để
gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa máy
trạm và máy chủ PPTP. Máy chủ PPTP là một server sử dụng giao thức PPTP với
một giao diện nối với Internet và một giao diện khác nối với Intranet, còn phần
mềm client có thể nằm ở máy người dùng từ xa hoặc tại máy chủ của ISP.
b) Duy trì đường hầm bằng kết nối điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có
cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP
dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí
được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP Echo-
Request và PPTP Echo-Reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và
máy chủ PPTP. Các gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề
TCP, bản tin điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu.
Phần đuôi
liên kết dữ liệu
Tiêu đề TCP
Tiêu đề
liên kết dữ liệu
Bản tin
điều khiển PPTP
Tiêu đề IP
Hình 1.6: Gói dữ liệu kết nối điều khiển PPTP
c) Triển khai VPN dựa trên PPTP
Để triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải
có các thành phần thiết bị như chỉ ra trên hình 1.7, cụ thể bao gồm:
- Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo
mật vào VPN;
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 12
- Một máy chủ PPTP;
- Máy trạm PPTP với phần mềm client cần thiết.
Internet
Client PPTP
Computer
Computer
Computer
Computer
ComputerComputer
Máy chủ
mạngPPTP
Máy chủ
mạng PPTP
Mạng riêng
được bảo vệ
Mạng riêng
được bảo vệ
Kết nối
LAN-LAN
Client PPTP
Client PPTP
Bộ tập trung
truy cập mạng PPTP
Kết nối
Client -LAN
NAS
Hình 1.7: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do nhân viên trong
công ty quản lý.
Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính: đóng vai trò là điểm kết nối
của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng.
Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để có được
địa chỉ mạng của máy tính đích. Máy chủ PPTP cũng có khả năng lọc gói. Bằng
cách sử dụng cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ cho phép truy nhập
vào Internet, mạng riêng hay cả hai.
Thiết lập máy chủ PPTP tại site mạng có một hạn chế nếu như máy chủ
PPTP nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723
được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể
làm cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói
thì phải thiết lập nó cho phép GRE đi qua.
Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng
tương tự máy chủ PPTP gọi là chuyển mạch đường hầm. Mục đích của chuyển
mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 13
đường hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể được
sử dụng tại tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của
mạng nội bộ. Nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP
hoặc tên của người dùng từ xa.
Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay
phần mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu như
các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng client vẫn có
thể tạo kết nối bảo mật bằng cách đầu tiên quay số kết nối tới ISP bằng PPP, sau đó
quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở máy trạm.
Phần mềm client PPTP đã có sẵn trong Windows 9x, NT và các hệ điều hành ngày
nay. Khi chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ
PPTP đã có. Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP,
nếu thiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS.
Máy chủ truy nhập mạng
Máy chủ truy nhập mạng NAS còn có tên gọi khác là máy chủ truy nhập từ
xa (Remote Access Server) hay bộ tập trung truy nhập (Access Concentrator). NAS
cung cấp khả năng truy nhập đường dây dựa trên phần mềm, có khả năng tính cước
và có khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một
số lượng lớn người dùng có thể quay số truy nhập vào cùng một lúc.
Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép
PPTP để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows,
Macintosh, v.v. Trong truờng hợp này, máy chủ ISP đóng vai trò như một client
PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm
cuối của đường hầm, điểm cuối còn lại là máy chủ tại đầu mạng riêng.
d) Ưu nhược điểm và khả năng ứng dụng của PPTP
Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (liên kết dữ liệu)
trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 14
ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi
IPSec chỉ có thể truyền các gói IP trong đường hầm.
Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều
có kế hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá.
PPTP thích hợp cho quay số truy nhập với số lượng người dùng giới hạn hơn là cho
VPN kết nối LAN-LAN. Một vấn đề của PPTP là xử lý xác thực người dùng thông
qua Windows NT hay thông qua RADIUS. Máy chủ PPTP cũng quá tải với một số
lượng người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu trưyền qua, mà
điều này là một yêu cầu của kết nối LAN-LAN.
Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị của ISP thì một số
quyền quản lý phải chia sẻ cho ISP. Tính bảo mật của PPTP không mạnh bằng
IPSec. Tuy nhiên, quản ý bảo mật trong PPTP lại đơn giản hơn.
1.3.4 Giao thức Layer Two Tunneling Protocol (L2TP)
a) Khái quát về hoạt động của L2TP
Để tránh việc hai giao thức đường hầm không tương thích cùng tồn tại gây
khó khăn cho người sử dụng, IETF đã kết hợp hai giao thức L2F và PPTP và phát
triển thành L2TP. L2TP được xây dựng trên cơ sở tận dụng các ưu điểm của cả
PPTP và L2F, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng
của hai giao thức này. L2TP được mô tả trong khuyến nghị RFC 2661.
Một đường hầm L2TP có thể khởi tạo từ một PC ở xa quay về L2TP
Network Server (LNS) hay từ L2TP Access Concentrator (LAC) về LNS. Mặc dù
L2TP vẫn dùng PPP, nó định nghĩa cơ chế tạo đường hầm của riêng nó, tùy thuộc
vào phương tiện truyền chứ không dùng GRE.
L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay
hoặc ATM. Tuy nhiên, hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa.
Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP.
L2TP có thể được sử dụng như một giao thức đường hầm thông qua Internet hoặc
các mạng riêng Intranet. L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu
đường hầm cũng như các dữ liệu duy trì đường hầm. Phần tải của khung PPP đã
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 15
đóng gói có thể được mật mã và nén. Mật mã trong các kết nối L2TP thường được
thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP). Cũng có thể
tạo kết nối L2TP không sử dụng mật mã IPSec. Tuy nhiên, đây không phải là kết
nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mật mã. Các kết
nối L2TP không mật mã có thể sử dụng tạm thời để sửa các lỗi kết nối L2TP dùng
IPSec.
L2TP giả định tồn tại mạng IP giữa máy trạm (VPN client dùng giao thức
đường hầm L2TP và IPSec) và máy chủ L2TP. Máy trạm L2TP có thể được nối
trực tiếp với mạng IP để truy nhập tới máy chủ L2TP hoặc gián tiếp thông qua việc
quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP. Việc xác thực
trong quá trình hình thành đường hầm L2TP phải sử dụng các cơ chế xác thực trong
kết nối PPP như EAP, MS-CHAP, CHAP, PAP. Máy chủ L2TP là máy chủ IP-VPN
sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác
nối với mạng Intranet.
L2TP có thể dùng hai kiểu bản tin là điều khiển và dữ liệu. Các bản tin điều
khiển chịu trách nhiệm thiết lập, duy trì và hủy các đường hầm. Các bản tin dữ liệu
đóng gói các khung PPP được chuyển trên đường hầm. Các bản tin điều khiển dùng
cơ chế điều khiển tin cậy bên trong L2TP để đảm bảo việc phân phối, trong khi các
bản tin dữ liệu không được gửi lại khi bị mất trên đường truyền.
b) Duy trì đường hầm bằng bản tin điều khiển L2TP
Không giống PPTP, việc duy trì đường hầm L2TP không được thực hiện
thông qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi
được gửi đi như các bản tin UDP giữa máy trạm và máy chủ L2TP (đều sử dụng
cổng UDP 1701).
Các bản tin điều khiển L2TP qua mạng IP được gửi như các gói UDP. Gói
UDP lại được mật mã bởi IPSec ESP.
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 16
Phần đuôi
liên kết dữ
liệu
Tiêu đề
IPSec
ESP
Tiêu đề liên
kết dữ liệu
Tiêu đề IP
Tiêu đề
UDP
Phần đuôi
IPSec
ESP
Bản tin L2TP
Phần đuôi
xác thực
IPSec
ESP
Mã hóa bởi IPSec
Hình 1.8: Bản tin điều khiển L2TP
Vì không sử dụng kết nối TCP, L2TP dùng thứ tự bản tin để đảm bảo việc
truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next-Received
(tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence
Number) được sử dụng để duy trì thứ tự các bản tin điều khiển. Các gói không đúng
thứ tự bị loại bỏ. Các trường Next-Sent và Next-Received cũng có thể được sử dụng
để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường hầm.
L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường hầm. Trong bản tin điều khiển L2TP và
phần tiêu đề L2TP của dữ liệu đường hầm có một mã số đường hầm (Tunnel ID) để
xác định đường hầm, và một mã nhận dạng cuộc gọi (Call ID) để xác định cuộc gọi
trong đường hầm đó.
c) Triển khai VPN dựa trên L2TP
Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản sau:
bộ tập trung truy nhập mạng, máy chủ L2TP và các máy trạm L2TP
Internet
Client L2TP
Computer
Computer
Computer
Computer
ComputerComputer
Máy chủ
mạng L2TP
Máy chủ
mạng L2TP
Mạng riêng
được bảo vệ
Mạng riêng
được bảo vệ
Kết nối
LAN-LAN
Client L2TP
Client L2TP
Bộ tập trung
truy cập mạng L2TP
Kết nối
Client -LAN
Hình 1.9: Các thành phần của hệ thống cung cấp VPN dựa trên L2TP
VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh
SVTH: Trần Việt Thắng - DHTH8ALT
Trang 17
Máy chủ L2TP
Máy chủ L2TP có hai chức năng chính: đóng vai trò là điểm kết thúc của
đường hầm L2TP và chuyển các gói đến từ đường hầm đến mạng LAN riêng hay
ngược lại. Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để
có được địa chỉ mạng của máy tính đích.
Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói.
Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong thực
tế, người ta thường tích hợp máy chủ mạng và tường lửa. Việc tích hợp này mang
lại một số ưu điểm hơn so với PPTP, đó là:
- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trong
PPTP. Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa,
điều này gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng
trong khi cổng đó có thể đã thay đổi.
- Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên
việc thiết lập tường lủa sẽ đơn giản hơn. Do một số tường lửa không hỗ trợ
GRE nên chúng tương thích với L2TP hơn là với PPTP.
Phần mềm client L2TP
Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay
phần mềm bổ sung nào cho các máy trạm, chỉ cần kết nối chuẩn PPP là đủ. Tuy
nhiên, với các thiết lập như vậy thì không sử dụng được mã hoá của IPSec. Do vậy
ta nên sử dụng các phần mềm client tương thích L2TP cho kết nối L2TP VPN.
Một số đặc điểm của phần mềm client L2TP là:
- Tương thích với các thành phần khác của IPSec như máy chủ mã hoá, giao
thức chuyển khoá, giải thuật mã hoá, …
- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động;
- Hàm băm (hashing) xử lý được các địa chỉ IP động;
- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu);