3. Khi tiếp cận cách thiết kế và thực hiện VPN cần xem xét những vấn đề nào?
4. Thuật ngữ RAS là viết tắt của: __________.
a. Remote Access Standard
b. Remote Access Storage
c. Remote Access Server
d. Remote Access Subsystem
5. Chọn câu đúng trong các câu sau đây?
a. Intranet VPNs là độc lập với một WAN router Backbone
b. Extranets VPN là giải pháp chi phí cao hơn và phức tạp hơn
c. QoS không thể được đảm bảo trong một Intranet VPNs
6. Sự cần thiết của chính sách an toàn mạng
7. Nêu các nguyên tắc chung cho việc thiết lập chính sách an toàn mạng?
8. Chính sách an toàn mạng riêng ảo cần quan tâm đến những vấn đề nào?

Chương 2. Giao thức mạng riêng ảo tại tẩng 2
Trong chương này chúng ta thảo luận các giao thức cho phép một kết nối tại
tầng 2, điển hình như PPP được định đường hầm qua một mạng khác, điển hình
như mạng IP. Điều này giống như một phương pháp phức tạp kéo theo nhiều
overhead(phần thông tin phụ thêm được đưa vào), nhưng một số lợi ích nhận được
từ phương pháp này rất hữu dụng cho việc xây dựng VPN. Chúng ta sẽ thấy rằng
các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mật các giao dịch
qua VPN. Một số giao thức đường hầm được thực hiện tại tầng 2 - tầng liên kết dữ
liệu - của mô hình OSI, như được mô tả trong hình 2.1
Application Layer
Presentation
Layer
Session Layer
Transport Layer
Network Layer
Data Link Layer
Physical Layer

Hình 2.1 Vị trí các giao thức đường hầm tầng 2 trong mô hình OSI
Các giao thức này bao gồm: Giao thức đường hầm điểm - điểm (PPTP), Giao
thức chuyển tiếp lớp 2 (L2F), Giao thức đường hầm lớp 2 (L2TP).
2.1. Giao thức PPP
PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của
mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng. Thuận lợi
lớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nào bao gồm:
EIA/TIA-232-C và ITU-T V.35. Một điểm ưa thích của PPP là nó không hạn chế
tỷ lệ truyền dữ liệu. Trong khi truyền dữ liệu bị hạn chế bởi giao diện DTE/DCE
đang dùng.
L2F, PPTP, L2TP

Cuối cùng, chỉ yêu cầu của PPP là sẵn sàng với các kết nối kép (2 cách). Nó
có thể là đồng bộ hoặc không đồng bộ và có thể điều khiển cả các Switch hay các
mode chuyên dụng.
Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức IP và
việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm về các
chức năng sau:
- Chỉ định và quản trị các gói IP thành các gói không IP.
- Cấu hình và kiểm tra các liên kết đã thiết lập.
- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu.
- Phát hiện lỗi trong khi truyền dữ liệu.
- Dồn kênh các giao thức mạng lớp hai.
- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ.
PPP thực hiện các chức năng này theo ba chuẩn:
- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm.
- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của
giao thức kiểm soát liên kết(Link Control Protocol – LCP).
- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi
trong khi truyền theo dạng của giao thức kiểm soát mạng (Network Control

Protocol - NCP) thích hợp.
2.1.1. Quá trình thực hiện PPP
Giao thức PPP được sử dụng để đóng gói các gói tin thành các khung PPP và
gửi dữ liệu trên các kết nối điểm - điểm. Có năm bước cần tiến hành trong quá
trình thương lượng kết nối PPP, đó là:
1. Sau khi các gói dữ liệu đã được đóng gói, Node nguồn (hoặc khởi tạo) gửi
khung LPC qua kết nối điểm - điểm tới Node đích.
2. Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõ
các tham số và kiểm tra liên kết đã được thiết lập.
3. Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiết lập
thành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi các LCP.
4. Node nguồn sau đó gửi khung NCP để lựa chọn và cấu hình giao thức tầng
mạng.
5. Sau khi giao thức tầng mạng yêu cầu được cấu hình thì cả hai bắt đầu trao
đối dữ liệu.
`
Source Node
`
Destination Node
PPP Link
Link configuration
and testing
LCP Frames
Nagotiation of
Optional Parameter
NCP Frames
Establishment&Configuation
Of Network Layer Protocol
Data Exchange
6

1
2
3
4
5

Hình 2.2 Thiết lập liên kết PPP và trao đổi dữ liệu
Khi một liên kết PPP đã được thiết lập, nó tồn tại cho đến khi LCP hoặc NCP
ra hiệu kết thúc liên kết. Liên kết cũng có thể được kết thúc trong trường hợp nó bị
lỗi hoặc người dùng can thiệp vào.
2.1.2. Định dạng gói PPP
Sáu trường tạo thành khung PPP, như minh hoạ trong hình 2.3. Mô tả của các
trường cấu tạo thành khung PPP như sau:
Flag: Trường này xác định điểm bắt đầu và kết thúc của một khung. Độ dài
của trường này là 1 byte.
Address: Vì nó sử dụng các liên kết điểm - điểm. PPP không sử dụng các địa
chỉ của các Node riêng lẻ. Vì thế, các trường này chứa chuỗi nhị phân là 11111111,
đây là một địa chỉ Broadcast chuẩn. Độ dài của trường này là 1 byte.
Control: Trường này chứa chuỗi nhị phân là 00000011. Nó biểu thị rằng,
Frame đang mang dữ liệu người dùng là một Frame không tuần tự. Độ dài của
trường này là 1 byte.
Protocol: Trường này xác định giao thức mà dữ liệu được đóng gói trong
trường dữ liệu của Frame. Giao thức trong trường này được chỉ rõ theo số đã gán
trong RFC 3232. Độ dài của trường này là 2 byte. Tuy nhiên, trường này có thể
thương lượng để là 1 byte nếu cả hai đồng ý.
Data: Trường này chứa thông tin đang được trao đổi giữa Node nguồn và
đích. Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến 1500 byte.
FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tính chính
xác của thông tin đã nhận trong trường dữ liệu. Thông thường, độ dài của trường
này là 2 byte. Tuy nhiên, việc thực thi PPP có thể thương lượng một FCS 4 byte để

cải thiện việc phát hiện lỗi.
Flag Address Control
Protocol

Data FSC


Hình 2.3 Định dạng của một Frame PPP điển hình
2.1.2. Kiểm soát liên kết PPP
Ngoài việc trao đổi thành công dữ liệu giữa hai Node, PPP cũng chịu trách
nhiệm kiểm soát liên kết đã thiết lập giữa 2 thực thể truyền thông cuối. PPP sử
dụng LCP cho chức năng này, trong đó LCP chịu trách nhiệm về các chức năng
sau:
- Hỗ trợ việc thiết lập liên kết.
- Cấu hình liên kết đã thiết lập để thoả mãn các yêu cầu của các nhóm truyền
thông.
- Duy trì hiệu suất của liên kết PPP đã thiết lập.
- Kết thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất.
LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởi tạo liên
kết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng.
Sau đây ta sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết.
Variable
Size

1

Byte

1


Byte

1

Byte

2
-
4
Byte

2
Byte

- Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dữ liệu dựa trên PPP
giữa Node nguồn và đích được cho phép, LCP phải khởi tạo một kết nối giữa hai
thực thể cuối và thoả thuận các tham số cấu hình. LCP sử dụng các Frame khởi tạo
liên kết cho chức năng này. Khi mỗi thực thể cuối phản hồi lại bằng Frame cấu
hình ACK của nó, pha này kết thúc.
- Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn của liên
kết đã thiết lập được xác định cho các liên kết khác nhau đã sẵn sàng cho việc thoả
thuận các giao thức tầng mạng.
- Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầng mạng
của dữ liệu đã được đóng gói trong trường Protocol của Frame PPP được thoả
thuận.