Đồ án tốt nghiệp Đại học
CHƯƠNG 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là
VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở
nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh
mẽ của Internet. Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là:
mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure
VPN).
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà
cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường
dây trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà
cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó.
Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để
duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng
xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật
dữ liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công
cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó
được giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền
trong một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn
công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng
đọc được vì dữ liệu đã được mật mã.
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử
dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các
site của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa
trên Internet. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa
trên Internet.
1.1 Định nghĩa
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và

bảo mật giống như mạng cục bộ.
Đoàn Thanh Bình, D01VT
1
Đồ án tốt nghiệp Đại học
Hình 1.1: Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một
kết nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng
với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm
của mạng Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất
chấp cơ sở hạ tầng mạng giữa những điểm đầu cuối.
Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị
truy cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi
vì giao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức
độ bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay
phần cứng VPN.
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,
những trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng,
dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có
để tạo nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã
từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn
chế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn.
Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng
mạng IP đã làm cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các
kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty
và đối tác của công ty đang sử dụng chung một mạng công cộng.

Đoàn Thanh Bình, D01VT
2

Đồ án tốt nghiệp Đại học
1.2 Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt
nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách
có hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện
rộng (WAN). Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN)
trước kia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để
thực hiện việc thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch
vụ dây chuyên dùng cho các khách hang lớn. Colisee có thể cung
cấp phương thức gọi số chuyên dùng cho khách hàng. Dịch vụ này
căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng
quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên
riêng là mạng được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra
Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho
một số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có
thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh
chóng dịch vụ này tại Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN;
Telstra của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở
khu vục châu Á – Thái Bình Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công
ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập
Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc

tế, trong đó có dịch vụ VPN.
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert,
cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
Đoàn Thanh Bình, D01VT
3
Đồ án tốt nghiệp Đại học
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn
cầu (GVPNS).
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn
thông Pháp (French Telecom) kết thành liên minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN,
Công nghệ này có mặt trên khắp các tạp chí khoa học công nghệ,
các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng
mạng Internet công cộng đã mang lại một khả năng mới, một cái
nhìn mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu
cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn.
Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP
(Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày
một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các
dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.3 Chức năng và ưu điểm của VPN
1.3.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),
tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
a) Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với
người mình mong muốn chứ không phải là một người khác.
b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.

c) Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm
như vậy, không một ai có thể truy nhập thông tin mà không được phép.
Thậm chí nếu có lấy được thì cũng không đọc được.
1.3.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng
VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa,
người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí
Đoàn Thanh Bình, D01VT
4
Đồ án tốt nghiệp Đại học
triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm
chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây
cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao
gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở
rộng (scalability) và một số ưu điểm khác.
a) Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi
phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu
nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị
mạng đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối
LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền
thống. Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.
Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng
đường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN.
Bảng 1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng đơn so với
Internet VPN. (2002)
Thành phố Khoảng cách
(dặm)
Chi phí cho T1 Cho phí cho

Internet VPN
Boston-New York
194 $4.570 $1.900
New York-Washington
235 $4.775 $1.900
Tổng
$9.345 $3.800
Bảng 2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với
Internet VPN.(2002)
Thành phố Khoảng cách
(dặm)
Chi phí cho T1 Chi phí cho
Internet VPN
San FranCisco- Denver
1.267 $13.535 $1.900
Denver-chicago
1.023 $12.315 $1.900
Chicago-New York
807 $11.235 $1.900
Denver-Salt Lake
537 $6.285 $1.900
Denver-Dallas
794 $7.570 $1.900
New York-Washington
235 $4.775 $1.900
New York- Boston
194 $4.570 $1.900
Tổng $60.285 $13.300
Đoàn Thanh Bình, D01VT
5

Đồ án tốt nghiệp Đại học
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và
khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có
thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng
có thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà
cung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là
kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),
bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng
công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh
động. Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty
bằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ
bỏ khi có nhu cầu.
Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu
băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng.
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP
của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về
nguồn hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp
dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ
trợ kỹ thuật đối với người sử dụng ngày càng giảm.
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng
quay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so
với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các
thiết bị đầu cuối và các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết
lập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, với
phần còn lại của kết nối được thực hiện bởi ISP. Bộ phận T1 có thể làm việc

thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch
nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu
lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet
cùng một lúc.
f) Đáp ứng các nhu cầu thương mại
Đoàn Thanh Bình, D01VT
6
Đồ án tốt nghiệp Đại học
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để
đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản
phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm
là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng,
tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại
của sản phẩm.
1.4 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ
bản sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc
di động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
1.4.1 Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời

điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy
nhập vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình
nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi
nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng
thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty
vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị
di động, những người sử dụng di động, những chi nhánh và những bạn hàng của
công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công
cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công
Đoàn Thanh Bình, D01VT
7
Đồ án tốt nghiệp Đại học
nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính
của người sử dụng.

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy
nhập từ xa truyền thống như:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi
vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những

nhược điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân
phát không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.
Đoàn Thanh Bình, D01VT
8
Đồ án tốt nghiệp Đại học
1.4.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo
mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn
dữ liệu được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình
như là một VPN Site- to- Site.

Hình 1.3: Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện
mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,
nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch
tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi
cùng như:
Đoàn Thanh Bình, D01VT
9
Đồ án tốt nghiệp Đại học
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet
– cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và
mức độ chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức
lớn trong môi trường Internet.
1.4.3 Mạng VPN mở rộng
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng
cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách
hàng, và các nhà cung cấp… .
Hình 1.4: Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng,
các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN
này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN
Site–to–Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự
truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
Đoàn Thanh Bình, D01VT
10
Đồ án tốt nghiệp Đại học

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có
nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp
với các nhu cầu của mỗi công ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì,
nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm
được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn
những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong
môi trường Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
Đoàn Thanh Bình, D01VT
11
Đồ án tốt nghiệp Đại học
CHƯƠNG 2
CÁC GIAO THỨC ĐƯỜNG HẦM VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và
an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một
giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể
cả Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của
giải pháp VPN. Có 4 giao thức đường hầm được sử dụng trong VPN đó là:
- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling
protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)
2.1 Giao thức định hướng lớp 2 - L2F
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp
cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua
cơ sở hạ tầng công cộng như Internet. L2F là giao thức được phát triển sớm
nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập
vào một mạng công ty thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên
kết dữ liệu.
2.1.1 Cấu trúc gói của L2F
1bit 1bit 1bit 1bit 8bit 1bit 3bit 8bit 8bit
F K P S Reserved C Version Protocol Sequence
Multiplex ID Client ID
Length Offset
Key
Data
Ckecksums
Hình 2.1: Khuôn dạng gói của L2F
Trong đó:
Đoàn Thanh Bình, D01VT
12
Đồ án tốt nghiệp Đại học
F: Trường “Offset” có mặt nếu bit này được thiết lập.
K: Trường “Key” có mặt nếu bít này được thiết lập.
P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.
S: Trường “Sequence” có mặt nếu bít này được thiết lập.
Reserved: luôn được đặt là: 00000000.
Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này luôn là 111.
Protocol : Xác định giao thức đóng gói L2F.

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.
Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).
Client ID: Giúp tách đường hầm tại những điểm cuối.
Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum.
Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu.
Trường này có khi bít F=1.
Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một phần của
quá trình nhận thực.
Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bít C=1.
2.1.2 Ưu nhược điểm của L2F
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:
- Không có mã hoá.
- Yếu trong việc xác thực người dùng.
- Không có điều khiển luồng cho đường hầm.
2.1.3 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,
truyền xuyên qua một mạng. L2F sử dụng các thiết bị:
NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và
gateway home. Hệ thống ERX hoạt động như NAS.
Tunne:l Định hướng đường đi giữa NAS và home gateway. Một đường
hầm gồm một số kết nối.
Home gateway: Ngang hàng với NAS.
Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI,
một kết nối L2F được xem như là một phiên.
Đoàn Thanh Bình, D01VT
13
Đồ án tốt nghiệp Đại học

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong
trường hợp này thì Home gateway là điểm đích.
Hình 2.2: Mô hình đặc trưng L2F
2.1.4 Hoạt động của L2F
Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và
phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F:
1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết
nối PPP tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên
kết LCP (Link Control Protocol).
3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name)
hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu
cầu dịch vụ L2F.
4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa
chỉ của gateway đích (home gateway).
5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng
chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận
thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.
6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo
dài phiên PPP từ người sử dụng ở xa tới home gateway. Kết nối này được
thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông
tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng
và NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và
nhận thực lại người sử dụng.
Đoàn Thanh Bình, D01VT
14
Đồ án tốt nghiệp Đại học
7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và
đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong
đường hầm.

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được
hướng tới mạng công ty.
2.1.5 Quản lý L2F
Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và
những phiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:
- Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên
mới.
- Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm
tunnel, những phiên.
- Có khả năng kiểm tra tổng UDP.
- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của
những đường hầm và những kết nối.
Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và
phiên tới điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các
phiên trong đường hầm đó. Ví dụ, Sự kết thúc ở điểm đích đóng tất cả các
đường hầm và phiên tới điểm đích đó.
L2F cung cấp các lệnh để thực hiện các chức năng. Ví dụ
L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung L2F sử
dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum
L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết lập trong
dải 10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200
2.2 Giao thức đường hầm điểm-điểm PPTP
Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một
nhóm các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty:
Ascend comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ
sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi
dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa
(client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch
vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.
Đoàn Thanh Bình, D01VT

15
Đồ án tốt nghiệp Đại học
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho
phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX,
NETBEUI.
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực.
PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương
thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point-
to- Point Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết
dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc
truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao
thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.
2.2.1 Kiến trúc của PPTP

Hình 2.3: Kiến trúc của PPTP
a) PPP và PPTP
PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng
TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình
OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác
nhau để truyền nối tiếp. Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức
điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và
kiểm tra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol)
cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau.
Đoàn Thanh Bình, D01VT
16
Đồ án tốt nghiệp Đại học

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-
điểm từ máy gửi đến máy nhận. Để viêc truyền thông có thể diễn ra thì mỗi PPP
phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác
thực. Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung
cấp bởi các ISP. Việc xác thực được thực hiện bởi PAP hay CHAP.
Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và
không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương
thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP
chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố
(challenge value) duy nhất và không thể đoán trước được. CHAP phát ra giá trị
thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể
giới hạn số lần bị đặt vào tình thế bị tấn công.
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng
và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP
để đóng các gói truyền trong đường hầm.
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại
gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều
khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và
kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao
thức IP. Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng
để trưyền thông báo điều khiển.
Các gói dữ liệu là dữ liêu thông thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu
giữa client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi
các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa
client PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng
từ xa hay nằm ở tại máy chủ của ISP.
Đoàn Thanh Bình, D01VT
17
Đồ án tốt nghiệp Đại học

Hình 2.4:Các giao thức dùng trong một kết nối PPTP
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu
được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập,
ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức
nào? Ethernet, Frame Relay hay kết nối PPP?


Hình 2.5 : bọc gói PPTP/ GRE
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu
truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.
b) Cấu trúc gói của PPTP
*Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói
khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đã được đóng gói
Đoàn Thanh Bình, D01VT
18
Đồ án tốt nghiệp Đại học

Hình 2.6: Cấu trúc gói dữ liệu trong đường hầm PPTP

+ Đóng gói khung PPP
Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản
sửa đổi giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác
nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường
nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết
lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi
qua mạng IP.
+ Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói
với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và
PPTP server.
+ Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và
phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi
qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer
Ethernet. Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới
điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP.
* Xử lý dữ liệu đường hầm PPTP
Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ
thực hiện các bước xử lý:
- xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
- Xử lý và loại bỏ IP Header.
Đoàn Thanh Bình, D01VT

19
Đồ án tốt nghiệp Đại học
- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.
- Xử lý phần payload để nhận hoặc chuyển tiếp.
* Sơ đồ đóng gói PPTP
Hình 2.7: Sơ đồ đóng gói PPTP
Quá trình:
- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao
diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN)
sử dụng NDIS (Network Driver Interface specification).
- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và
cung cấp PPP header. Phần mào đầu PPP này chỉ bao gồm trường mã số
giao thức PPP (PPP protocol ID field), không có các trường flag và FCS
(frame check sequence). Giả định trưòng địa chỉ và điều khiển đã được thoả
thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol)
trong quá trình kết nối PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với
phần mào đầu GRE. Trong GRE header, trường Call ID đựoc đặt giá trị
thích hợp để xác định đường hầm.
- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.
Đoàn Thanh Bình, D01VT
20
Đồ án tốt nghiệp Đại học
- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi
gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử
dụng NDIS.
- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer.
- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho
phần cứng quay số.

c) Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác
nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy
tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải
hỗ trợ PPTP). Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt
buộc.
Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng. Khi sử
dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm
bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi
giao thức TCP/IP bình thường. Đường hầm tự nguyện thường được sư dụng để
cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông
qua Internet.
Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong
suốt đối với người dùng. Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ
truy cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều
phải thông qua RAS.
Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể
truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với
đường hầm tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập
Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet
công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ
cho truy cập và được các site trong VPN mà thôi).
Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều
điểm kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa
phiên làm việc.
Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người
dùng nằm ngoài đường hầm nên dễ bị tấn công.
Đoàn Thanh Bình, D01VT
21
Đồ án tốt nghiệp Đại học

Hình 2.8 : đường hầm bắt buộc và đường hầm tự nguyện
Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó
là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người
dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ
bài (token) hay thẻ thông minh (smart card).
d) Xác thực người dùng quay số từ xa (RADIUS)
RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu
client/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ
xa của các người dùng trong các phiên làm việc. RADIUS client/server sử dụng
máy chủ truy cập mạng NAS để quản lý kết nối người dùng. Ngoài chức năng
của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client.
NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủ
RADIUS. Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ
chối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng. RADIUS
tạo một cơ sở dữ liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải
modem đa chủng loại. Trong RADIUS thông tin người dùng được lưu trong
máy chủ RADIUS.
Đoàn Thanh Bình, D01VT
22
Đồ án tốt nghiệp Đại học
RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng
cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay
đổi dữ liệu người dùng. Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người
dùng từ máy chủ RADIUS. Để RADIUS có thể điều khiển việc thiết lập một
đường hầm, nó cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này
bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của
máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng.
Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và
cấp quyền:
- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm.

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm
và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm.
- Xác thực tại hai đầu của đường hầm.
Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều
khiển tiến trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậy trung bình, nó
phụ thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứ ba có độ tin cậy cao và
làm việc tốt nếu như sử dụng máy chủ Proxy RADIUS.
e) Xác thực và mã hoá
Các client PPTP được xác thực cũng tương tự như các client RAS được xác
thực từ máy chủ PPP. Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP. MS-
CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người
dùng. PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu
xa và tại máy cục bộ. Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng
thì mật khẩu sẽ thay đổi. Với PAP và CHAP không thể gán các đặc quyền truy
cập mạng khác nhau cho những người dùng khác nhau tại cùng một máy tính ở
xa. Bởi vì khi cấp quyền đã được gán cho một máy tính thì mọi người dùng tại
máy tính đó đều có đặc quyền truy cập mạng như nhau.
Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft –
MPPE (Microsoft point-to-Point Encryption). Phương thức này dựa trên chuẩn
RSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được
sử dụng bởi PPP để thoả hiệp việc mã hoá. MS-CHAP được dùng để kiểm tra
tính hợp lý người dùng đầu cuối tại tên miền Windows NT.
Đoàn Thanh Bình, D01VT
23
Đồ án tốt nghiệp Đại học
Hình 2.9: Mã hoá gói trong PPTP
Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ
có thể cài đặt một phần mềm nâng cấp lên 128 bit. MPPE mã hoá các gói PPP
tại client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo
mật từ trạm làm việc đến máy chủ PPTP. Việc thay đổi khoá phiên có thể được

thoả thuận lại sau mỗi gói hay sau một số gói.
f) Đường hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối
vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-
LAN không được hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hướng
và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì
mới hỗ trợ đường hầm kết nối LAN-LAN. Kể từ đó các nhà cung cấp khác cũng
đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối
LAN-LAN.
Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như
IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN. Tuy nhiên, do kiến trúc
PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều
khiển bởi CHAP hoặc thông qua MS-CHAP. Để tạo đường hầm giữa hai site,
máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia. Khi đó máy
chủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại,
do đó một đường hầm tự nguyện được tạo ra giữa hai site.
Đoàn Thanh Bình, D01VT
24
Đồ án tốt nghiệp Đại học
Hình 2.10 : Đường hầm kết nối LAN-LAN
Do đường hầm PPTP có thể được đón gói bởi bất kỳ giao thức mạng nào
được hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài
nguyên tại site kia dựa trên quyền truy cập của họ. Điều này có nghĩa là cần phải
có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào site
kia. Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết
lập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào
tài nguyên của các site.
2.2.2 Sử dụng PPTP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng
dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP,

và PPTP client.
Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người
của công ty quản lý nhưng NAS phải do ISP hỗ trợ.
Đoàn Thanh Bình, D01VT
25