Bài viết CCNP VPN

Tác giả: Đặng Quang Minh

BÀI GIẢNG VPN (UPDATED 11/5/2004)

I. GIỚI THIỆU:

Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa
trên hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng
chi nhánh (branch-office), các người dùng từ xa về văn phòng chính.

Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall,
Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao
gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và
Internet key Exchange (IKE).

I.1 IPSec:

- Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption),
Security Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm
bảo toàn vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu).
- Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi
tiết về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nh ận (receiver) có
thể đọc được dữ liệu.
- Security Association (SA) thường được quản lý bời IKE.
- SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA
signatures.
- SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng.
- Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay
đổi khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật

hash như Encapsulating Security payload (ESP), Authentication Header (AH),
Message-Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng
ESP hoặc AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn)
bị thay đổi.
- Origin Authentication là một option của IPSec. Thành phần này dùng digital
signatures hoặc digital certificate.

I.2. DES

- DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng
(private-key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có
có một khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi
(sender) và đầu nhận (receiver) phải giống nhau.
- Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã
hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc
dù quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp
dụng DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có
thể được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption
Resesarch” của nhà xuất bản O’ Reilly’s.
- Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ
trợ AES (Advance Encryption Standard) vào cuối năm 2001.

I.3.Triple DES

- 3DES dùng khóa có chiều dài là 168-bit.

I.4. IKE

- IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers.
- IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước

(pre-share keys), RSA và RSA signature.
- IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong
ISAKMP.
- Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế
của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết
nối VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale).
- Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key.

II. CÁC VÍ DỤ CẤU HÌNH VPN:

II.1. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa
biết trước (pre-share key)

1. Topology

E0-(HQ-Router)-s0 (Internet) s0-(Remotesite1) E0

Sơ đồ địa chỉ:

HeadQuater: E0: 10.1.1.1/24
HeadQuater: S0: 134.50.10.1/24
RemoteSite: S0 64.107.35.1/24
RemoteSite: E0: 172.16.1.0/24

2. Các bước cấu hình:

Bước 1: Cấu hình hostname

Router(config)# hostname hq-vpn-rtr


Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình
trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao
đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.

Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1

Bước 3: Cấu hình ISAKMP.

Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập
(authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes
value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu
hình cho những thông số khác với giá trị mặc định.

Hq-vpn-rtr(config)# crypto isakmp policy 10
Hq-vpn-rtr(config-isakmp)# encryption 3des
Hq-vpn-rtr(config-isakmp)# authentication pre-share

Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:

Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và
kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc
null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).

Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

Bước 6: Cấu hình crypto-map:

Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-

set được dùng. Tên của crypto map trong trường hợp này la netcg.

Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
Hp-vpn-rtr(config-crypto-map# match address 100

Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface
descriptions.

Hq-vpn-rtr(config)# interface f0/1
Hq-vpn-rtr(config-if)# description Inside network
Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0

Bước 8: cấu hình interface outside:

Hq-vpn-rtr(config)# interface s0/0
Hq-vpn-rtr(config-if)# description outside network
Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
Hq-vpn-rtr(config-if)# crypto map netcg

Cấu hình RemoteSite:

Router(config)#hostname site1-rtr-vpn
site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
site1-rtr-vpn(config)# crypto isakmp policy 10
site1-rtr-vpn(config-isakmp)# encryption 3des
site1-rtr-vpn(config-isakmp)# authentication pre-share
site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac


site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp
site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
site1-rtr-vpn (config-crypto-map)# set transform-set netcg
site1-rtr-vpn (config-crypto-map)# match address 100

site1-rtr-vpn (config)# interface F0/1
site1-rtr-vpn (config-if)# description inside network
site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0

site1-rtr-vpn (config)# interface s0/0
site1-rtr-vpn (config-if)# description outside network
site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
site1-rtr-vpn (config-if)# crypto map netcg

Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)


II.2. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa
biết trước (pre-share key) với NAT




Cấu hình host Headquarter
hostname hq
!
username cisco123 password 0 cisco123
username 123cisco password 0 123cisco
!

crypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp key cisco123 address 10.64.20.45
crypto isakmp key 123cisco address 0.0.0.0
crypto isakmp client configuration address-pool local test-pool
!
crypto ipsec transform-set testset esp-des esp-md5-hmac
mode transport
!
crypto dynamic-map test-dynamic 10
set transform-set testset
!
crypto map test client configuration address initiate
crypto map test client configuration address respond
!
crypto map test 5 ipsec-isakmp
set peer 10.64.20.45
set transform-set testset
match address 115
!
crypto map test 10 ipsec-isakmp dynamic test-dynamic
!
interface FastEthernet0/0
ip address 192.168.100.1 255.255.255.0
no ip directed-broadcast
ip nat inside
duplex auto
speed auto
!

interface Serial0/0
ip address 10.64.10.44 255.255.255.0
no ip directed-broadcast
ip nat outside
no fair-queue
crypto map test
!
ip local pool test-pool 192.168.1.1 192.168.1.254
ip nat inside source route-map nonat interface Serial0/0 overload
ip classless
ip route 0.0.0.0 0.0.0.0 10.64.10.43
ip http server
!
access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255
access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 110 permit ip 192.168.100.0 0.0.0.255 any
access-list 115 deny ip any 192.168.100.0 0.0.0.255
access-list 115 permit ip any any
!
route-map nonat permit 10
match ip address 110
Cấu hình host Internet
hostname Internet
!
ip subnet-zero
no ip domain-lookup
!
interface Ethernet0
ip address 192.168.1.1 255.255.255.0
interface Serial0

ip address 10.64.20.42 255.255.255.0
no fair-queue
clockrate 64000
!
interface Serial1
ip address 10.64.10.43 255.255.255.0
clockrate 64000
!
ip classless
ip route 10.64.10.0 255.255.255.0 Serial1
ip route 10.64.20.0 255.255.255.0 Serial0
Cấu hình host Branch
hostname Branch
!
ip subnet-zero
!
crypto isakmp policy 5
hash md5
authentication pre-share
crypto isakmp key cisco123 address 10.64.10.44
!
crypto ipsec transform-set testset esp-des esp-md5-hmac
mode transport
!
crypto map test 5 ipsec-isakmp
set peer 10.64.10.44
set transform-set testset
match address 115
!
interface Ethernet0

ip address 192.168.200.1 255.255.255.0
no ip directed-broadcast
ip nat inside
!
interface Serial0
ip address 10.64.20.45 255.255.255.0
no ip directed-broadcast
ip nat outside
crypto map test
!
ip nat inside source route-map nonat interface Serial0 overload
ip route 0.0.0.0 0.0.0.0 10.64.20.42
!
access-list 110 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 115 deny ip any 192.168.200.0 0.0.0.255
access-list 115 permit ip any any
route-map nonat permit 10
match ip address 110

End!

Ghi chú: để có thể thử nghiệm VPN, phiên bản IOS cần là IPSec/DES.

III. CÁC LOẠI VPN:

Một mạng riêng ảo (VPN) chỉ ra việc truyền các dữ liệu riêng trên một hạ tầng
mạng công cộng. So với các công nghệ khác, để hiểu về VPN và các đặc tính phức tạp thì
người học gặp nhiều khó khăn. Trong chương này, các vấn đề sau đây sẽ được trình bày:

• Service provider VPNs

• Enterprise VPNs
• Các công nghệ VPNs ở lớp datalinks
• IPSec and security associations
• IPSec modes and protocols
• Trao đổi khóa (Key exchange), băm (hashing) , và mã hóa (encryption) trong IPSec


III.1. Service Provider, Dedicated, and Access VPNs


Trong thế giới truyền thông trước đây, các nhà cung cấp dịch vụ thường nhấn mạnh đến
các dịch vụ truyền thông ở cấp thấp, ví dụ như leased line và Frame Relay. Trong thế giới
truyền thông ngày nay, các nhà cung cấp dịch vụ thường làm việc với khách hàng để đáp
ứng các nhu cầu về mạng của khách hàng thông qua việc sử dụng VPN. Dịch vụ VPN
của các nhà cung cấp dịch vụ (còn được gọi là provider dependant VPN) là một trong
những công nghệ chủ chốt mà các nhà cung cấp dịch vu sẽ dùng để cạnh tranh trong
những năm sắp đến. VPN cho phép mở rộng các kết nối mạng của các doanh nghiệp và
việc mở rộng này được triển khai trên hạ tầng mạng chung. Một VPN có thể được xây
dựng trên hạ tầng mạng Internet hoặc trên mạng IP, FrameRelay, ATM của nhà cung cấp
dịch vụ. Giải pháp này ngày nay còn được gọi là dedicated VPN hoặc là VPN kiểu cũ.


Một dịch vụ VPN mới được gọi là Remote Access to Multiprotocol Label Switching
Virtual Private Network (RA to MPLS VPN). Dịch vụ này cho phép những người dùng
mạng từ xa (remote user) kết nối vào mạng của công ty họ. Dịch vụ này quản lý các kết
nối từ xa cho các người dùng cơ động, các văn phòng nhỏ. Giải pháp này còn được gọi là
truy cập VPN.






Từ quan điểm của nhà cung cấp dịch vụ, MPLS là một đồ hình mạng dạng full-mash
hoặc dạng hub-and-spokes, tùy thuộc vào khách hàng muốn kết nối các chi nhánh của họ
như thế nào. Từ góc độ người dùng, các ISP sẽ cung cấp dịch vụ site-to-site VPN. ISP sẽ
xây dựng một mạng IP riêng và cho phép các khách hàng khác nhau kết nối các site của
họ trên mạng IP này. Công nghệ này cho phép các khách hàng riêng rẽ xem dịch vụ
MPLS như thể họ đang có một mạng riêng kết nối các chi nhánh. Tình huống này cho
phép khách hàng sử dụng những ưu điểm giống như của các công nghệ Layer 2 như
FrameRelay và ATM nhưng lại có những đặc tính mở rộng và khả năng quản lý của layer
3. Ngoài ra, bởi vì MPLS chạy trên một mạng IP riêng chứ không phải là Internet, các
ISP có thể cung cấp các mức khác nhau của chất lượng dịch vụ (QoS) và SLA. Tuy
nhiên, do MPLS được dựa trên mạng riêng của nhà cung cấp dịch vụ, khả năng cung cấp
dịch vụ bị giới hạn bởi các khu vực mà các ISP hoạt động.

Giải pháp Remote Access to MPLS VPN cung cấp các chọn lựa mở rộng đối với hệ thống
MPLS VPN hiện tại. Ở thời điểm hiện tại, một nhà cung cấp dịch vu ISP có thể tạo ra các
kết nối VPN hiệu quả trên hạ tầng mạng của ISP thông qua các kết nối dialup, DSL, và
Cable Modem (DOCSIS).

Với việc giới thiệu dịch vụ Remote Access to MPLS VPN, các nhà cung cấp dịch vụ đã
có thể tích hợp các phương thức truy cập khác nhau vào dịch vụ VPN của họ. Điều này
cho phép các nhà cung cấp dịch vụ ISP cung cấp thêm nhiều gói dịch vụ đến các khách
hàng. Các khuynh hướng công nghệ mới được ưa chuộng là dùng wireless, dùng vệ tinh
và multiprotocol VPN. Gần đây, Cisco cũng đã công bố công nghệ Any Transport Over
MPLS (AToM)2 tích hợp L2 tunneling vào mạng MPLS. Với việc dùng IP-based MPLS
với IPSEC/L2TP, các nhà cung cấp dịch vụ có thể cải tiến khả năng mở rộng và hiện thực
QoS.

III.2. Tổng quan về VPN cho doanh nghiệp


Enterprise VPN cung cấp các kết nối đưọc triển khai trên hạ tầng mạng công cộng với
cùng một policy như mạng riêng, ở đó các người dùng có thể có cùng performance, ứng
dụng và loại kết nối.

Cisco chia các giải pháp VPN ra thành 3 loại chính:

• Cisco Remote Access VPN
• Cisco Site-to-Site VPN
• Cisco Extranet VPN





Remote Access và site-to-site VPN cung cấp cung cấp một giải pháp để xây dựng mạng
riêng ảo cho mạng của doanh nghiệp. Các công ty có thể mở rộng mạng ra những nơi mà
trước đây không thể mở rộng. Ví dụ, trong nhiều ứng dụng, VPN cho phép tiết kiệm
nhiều chi phí thông qua các kết nối VPN. Ngoài ra, thay vì có nhiều kết nối về cùng HO,
VPN cho phép traffic cùng tích hợp vào một kết nối duy nhất.VPN còn tạo ra cơ hội để
giảm chi phí bên trong và bên ngoài doanh nghiệp. Mạng Internet hiện nay thật sự là một
hạ tầng rất tốt, cho phép doanh nghiệp thay đổi mạng của họ theo các chiều hướng chủ
chốt sau đây:


• Đối với Intranets: phần lớn các công ty, đặc biệt là các công ty lớn đều phải duy
trì các kết nối WAN tốn kém. Dễ dàng nhận thấy rằng các chi phí của leased lines
có thể bị cắt giảm bởi các kết nối VPN.
• Đối với extranets: các giải pháp hiện hành cho các doanh nghiệp lớn và các đối
tác của họ thường yêu cầu dùng các đường thuê bao riêng. VPN và Internet sẽ là

một giải pháp thay thế nghiêm túc.
• Đối với dịch vụ truy cập từ xa: thay vì dùng các đường kết nối tốc độ chậm hoặc
các dịch vụ đắc tiền như ISDN/Frame Relay, các người dùng từ xa bây giờ đã có
thể sử dụng VPN thông qua các công nghệ như:

- Truy cập tốc độ cao DSL và các dịch vụ cable modem
- ISDN, Dial, Frame Relay hoặc các dịch vụ được cung cấp bởi bưu điện.
- Những người dùng cơ động (mobile user) cũng có thể tận dụng các kết nối tốc
độ cao Ethernet trong các khách sạn, sân bay. Chỉ riêng yếu tố cắt giảm chi phí
cuộc gọi đường dài trong trường hợp này cũng là một lý do rất thuyết phục để
dùng VPN.
- Một trong những lợi ích khác của VPN là các công ty có thể triển khai các ứng
dụng mới ví dụ như e-commerce. Mặc dù Internet là một hạ tầng mạng tốt, một
vài yếu tố cũng cần xem xét và được xem là trở ngại của Internet là bảo mật, QoS,
độ tin cậy và khả năng quản lý.

III.3. Phân loại Enterprise VPN:

Tất cả các công nghệ mới đòi hỏi việc phân loại để phân biệt nó với các giải pháp khác.
Cisco phân loại các giải pháp VPN khác nhau vào hai nhóm chính:

- Nhóm chức năng (functional): nhấn mạnh đến các thiết kế đặc biệt của VPN
- Nhóm công nghệ (technological): định nghĩa giải pháp VPN dựa trên mô hình
OSI và các protocol cho từng lớp.

III.3.1. Functional VPN Categories

Ba nhóm công nghệ VPN mà Cisco chia ra là Remote Access VPN, site-to-site VPN và
firewall-based VPN. Cũng cần chú ý là có một kiểu phân loại khác là remote access
VPN, Intranet VPN, extranet VPN.


III.3.1.1 Remote Access VPNs

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để
truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản
chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong
giải pháp này, các người dùng thường thường sử dụng các công nghệ truyền thống để tạo
lại các tunnel về mạng HO của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó
một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết
kế này, các kết nối không dây cần phải kết nối về một trạm wireless và sau đó về mạng
của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi
tạo các kết nối bảo mật, còn được gọi là tunnel.

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để
đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu
này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui
trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service
[RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…).

III.3.1.2. Site-to-Site or LAN-to-LAN VPN

Site-to-site hay còn gọi là LAN-to-LAN VPN là việc kết nối các hệ thống mạng ở các nơi
khác nhau về mạng ở một vị trí khác thông qua VPN. Trong tình huống này, quá trình
xác thực ban đầu cho những người dùng sẽ là quá trình xác thực giữa các thiết bị. Các
thiết bị này hoạt động như gateways, truyền traffic một cách an toàn cho site kia. Các
routers hay firewall với khả năng VPN đều có khả năng thực hiện kết nối này.

LAN-to-LAN VPN có thể được xem như một Intranet hoặc Extranet VPN nếu xét từ
quan điểm quản lý chính sách. Nếu hạ tầng mạng này có chung một nguồn quản lý, nó có

thể được xem như Intranet VPN. Ngược lại, nó có thể xem là extranet. Vấn đề truy cập
giữa các sites phải được kiểm soát chặt chẽ bởi các thiết bị ở các site tương ứng.

Sự khác nhau giữa remote access VPN và LAN-to-LAN VPN chỉ là mang tính tượng
trưng. Một ví dụ là: các thiết bị VPN mới có thể hoạt động theo cả hai cách. Một ví dụ
khác là chế độ mở rộng của giải pháp EzVPN bằng cách dùng 806 hoặc Cisco 17xx
routers.

III.3.1.3. Firewall-Based VPNs:

Firewall-based VPN là giải pháp trong đó doanh nghiệp sẽ quản lý firewall và tự triển
khai VPN hoặc nhà cung cấp dịch vụ sẽ cung cấp các tính năng firewall nâng cao để hỗ
trợ VPN. Nhìn chung, giải pháp này dựa trên Cisco Pix firewall (??) bao gồm PIX 506
cho các văn phòng nhỏ, Pix 515 cho các doanh nghiệp vừa và Pix 525, 535 cho tầm cỡ
nhà cung cấp dich vụ và doanh nghiệp lớn.

Cisco cung cấp vài giải pháp cho VPN clients. Các giải pháp này bao gồm:

• Concentrator-based VPN clients—Cisco VPN Client 3.x.x and the VPN 3002
software and hardware client
• Cisco IOS(router)-based VPN solutions—Cisco 806 and 17xx end-user routers, and
EzVPN
• Cisco PIX firewall-based solutions—Cisco PIX 501

Một cách nhìn khác về giải pháp VPN của Cisco từ quan điểm phần mềm là

• Software clients:
— VPN client for Microsoft
— VPN client for Solaris
— VPN client for Linux

— VPN client for wireless devices
• Hardware clients:
— Easy VPN
— VPN 3002
— 806 Router
— PIX 501

Với việc đưa vào Pix 501, giải pháp VPN sẽ mở rộng những chọn lưa cho người dùng.



III.3.2. Phân loại dựa trên công nghệ và mô hình OSI:
Từ quan điểm công nghệ, VPN không phải là việc truyền các electrons trên hạ tầng mạng
chung mà thật ra là việc truyền các packets trên các mạng khác. Các packets được truyền
này sẽ được mã hóa và xác thực trong một cách để phân biệt nó với những packets khác.
Thông thường điều này kết hợp với việc dùng một tunnel trong hệ thống mạng.

Các giải pháp ban đầu bao gồm việc chia các mạch trong các tổng đài của nhà cung cấp
dịch vụ trong đó ngăn ngừa các truy cập trái phép giữa các đường leased lines cho các
doanh nghiệp riêng. Các giải pháp về sau bao gồm việc cài đặt các protocol Secure
Socket layer cho các trình duyệt web và các ứng dụng khác. Việc triển khai này cho phép
tất cả các ứng dụng được bảo vệ. Đây là giải pháp mã hoá VPN dựa trên lớp ứng dụng
của TCP/IP.





III.3.2.1. Datalink Layer VPN:


Trong môi trường mạng công cộng, các giải thuật mã hóa lớp datalink có thể được hiện
thực trong các thiết bị bên trong mạng riêng. Tuy nhiên, người dùng phải mã hóa traffic
trước khi traffic đi vào routers. Rõ ràng là trong tình huống này, traffic phải được bridged
hoặc được mã hóa/giải mã ở từng hop của mạng bởi vì lớp hai không có một sơ đồ địa
chỉ duy nhất. Kết quả là frame phải được mã hóa/giải mã vài lần và dẫn đến kết quả là độ
chậm trễ của hệ thống mạng tăng cao. ATM và Frame Relay thỉng thoảng được gọi là các
mạng VPN vì nó dùng hạ tầng mạng chung để cung cấp các dịch vụ mạng riêng. Các
công nghệ VPN ở lớp datalink được thiết kế để chạy trên lớp Datalink và bao gồm các
protocol sau:

• Point-to-Point Tunneling Protocol (PPTP) and generic routing encapsulation (GRE)
• L2TP

III.3.2.2. PPTP and GRE

PPPTP được định nghĩa bởi IETF trong RFC 2673. Protocol này đưọc thiết kế bởi
Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông qua
mạng Internet công cộng. Các phiên kết nối PPTP bảo mật cho phép kết nối vào mạng
doanh nghiệp thông qua Internet. Các cuộc gọi này thường được gọi vào các thiết bị phần
cứng, sau đó thiết bị này kết nối vào một Windows NT server. FEP sẽ truyền các gói PPP
từ người dùng cuối và sau đó đóng gói các gói đó vào mạng WAN. Bởi vì PPP hỗ trợ
nhiều giao thức khác nhau (IP, IPX, NetBEUI), nó có thể truy cập các hạ tầng mạng rất
khác nhau. Kiến trúc này bao gồm các ứng dụng client/server trong đó client là các PC
của người dùng, chạy PPTP. Về phía server, sẽ có các dial-in routers, VPN concentrator.

Cả hai đầu đều có thể khởi tạo tunnel. Khi người dùng ở xa khởi tạo một tunnel, nó được
gọi là chế độ xung phong (voluntary mode). Khi tunnel được tạo từ server, chế độ này
được gọi là compulsory mode. Một NAS có thể khởi tạo một tunnel ngay cả khi một
client không có chạy PPTP.


PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng IP,
chẳng hạn như mạng Internet/Intranet. PPTP sẽ kế thừa các đặc tính của PPP như mã hóa,
nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một PPTP server.
PPTP client có thể được kết nối vào một mạng IP mà PPTP server cũng kết nối vào mạng
IP này. Hoặc PPTP clients cũng có thể quay vào một NAS để thiết lập kết nối IP.

PPTP dùng TCP để tạo và hủy các tunnel. PPTP cũng dùng một phiên bản bổ sung của
GRE để đóng gói PPP như là dữ liệu của tunnel. Tải của khung PPP có thể được mã hóa
hoặc nén hoặc cả hai.

GRE được định nghĩa trong RFC 1701 và 1702, đơn giản chỉ là một cơ chế để thực hiện
quá trình đóng gói một giao thức lớp network tùy ý vào một giao thức khác. GRE cung
cấp một cơ chế đơn giản, gọn nhẹ để đóng gói data để gửi trên mạng IP. Vì vậy PPTP có
thể truyền các giao thức khác nhau ở lớp network, chẳng hạn như IP, IPX và NetBEUI.

Quá trình xác thực diễn ra trong giai đoạn tạo các kết nối VPN PPTP sử dụng cùng một
cơ chế nhưng các kết nối PPP; nghĩa là cũng dùng PAP hoặc CHAP. Một phiên bản nâng
cao của CHAP, được gọi là MS-CHAP được tạo ra bởi Microsoft dùng các thông tin
trong NT domain. Một chọn lựa khác cho quá trình xác thực là IETF PPP (Extensible
Authentication Protocol –EAP). Microsoft cũng đã tích hợp một giao thức khác gọi là
Microsoft Point-to-Point Encryption (MPPE)4 để mã hóa traffic trên các kết nối
PPP.MPPE dựa trên thuật toán RSA R4 (Rovest, Shamir, and Adelman (RSA) RC4).
Nếu quá trình mã hóa trên toàn bộ kết nối là cần thiết, IPSEC có thể mã hóa IP traffic từ
đầu kết nối cho đến cuối kết nối (end-to-end) sau khi một kênh PPTP đã được thiết lập.

Đối với Windows 2000, cả hai giao thức EAP-Transport Level Security (EAP-TLS) hoặc
MS-CHAP phải được dùng cho dữ liệu bên trong các PPP frame.


PPTP Control Connection and Tunnel Maintenance:


Kết nối PPTP giữa địa chỉ IP của PPTP client và IP address của PPTP server dùng port
1723. Các gói dữ liệu PPTP mang các thông tin điều khiển kết nối để duy trì PPTP
tunnel.





Sau giai đoạn bắt tay ban đầu, hai bên sẽ trao đổi một loạt các thông điệp bao gồm 12
thông điệp thiết lập và duy trì kết nối.


PPTP Data Tunneling PPTP

Quá trình đóng gói dữ liệu thông qua nhiều mức đóng gói khác nhau. Cấu trúc được thể
hiện trong hình sau:


Dữ liệu ban đầu được mã hóa và đóng gói trong các PPP header để tạo ra các frame PPP.
Frame PPP này sau đó sẽ được đóng gói với các GRE header.

III.3.2.3. L2TP


L2TP được mô tả trong RFC 2661. Giao thức này kết hợp tất cả các đặc điểm hay nhất
của hai giao thức hiện có: Cisco’s Layer 2 Forwarding (L2F) and Microsoft’s PPTP.

L2TP là một phiên bản mở rộng của PPP và là thành phần rất quan trọng của VPNs.
L2TP được xem là có khả năng mở rộng hơn PPTP và nó cũng hoạt động ở chế độ PPTP.

Một L2TP tunnel có thể khởi tạo từ một PC ở xa quay trở về L2TP Network server
(LNS) hay từ L2TP access concentrator (LAC) và LNS. Mặc dù L2TP vẫn dùng PPP, nó
định nghĩa cơ chế tunneling của riêng nó, tùy thuộc vào phương tiện truyền chứ không
dùng GRE.

L2TP có thể chuyển các giao thức lớp 3 khác nhau. L2TP có thể fùng PAP, CHAP và
EAP cho vấn đề kiểm tra xác thực, tuy nhiên một sự khác nhau chủ yếu là traffic có thể
được an toàn trên toàn bộ đường đi từ PC của người dùng đến mạng của công ty.

L2TP có thể dùng hai kiểu thông điệp: thông điệp điều khiển và thông điệp dữ liệu.



Các thông điệp điều khiển chịu trách nhiệm thiết lập, duy trì và hủy các tunnels. Các
thông điệp dữ liệu đóng gói các frame PPP được chuyển trên tunnels. Các thông điệp
điều khiển dùng các cơ chế điều khiển tin cậy bên trong L2TP để đảm bảo việc phân
phối; trong khi các thông điệp dữ liệu không được truyền lại khi thông điệp bị mất trong
quá trình truyền.

Các khung PPP được truyền trên các kênh dữ liệu và được đóng gói bởi một L2TP
header, sau đó được truyền bởi UDP/FrameRelay/ATM. Các thông điệp điều khiển được
gửi trên các kênh tin cậy. Các chỉ số tuần tự (sequence number) phải có trong tất cả các
thông điệp điều khiển. Chỉ số này sẽ giúp phát hiện hiện tượng mất packets.

Ví dụ dưới đây sẽ sẽ mô tả quá trình đóng gói L2TP trên đường truyền HDLC.