BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
MÔN MẠNG RIÊNG ẢO
Đề tài: Tìm hiểu về mạng VPN site-to-site,
Xây dựng cài đặt mạng VPN kiểu LAN nối LAN theo
giao thức L2TP/IPSec. Phân tích quá trình kết nối trao
đổi thông tin.
Giảng viên hướng dẫn:
Thành viên:
1. Đặng Ngọc Giang
2. Nguyễn Thái Hà
3. Nguyễn Văn Trung
4. Nguyễn Hoàng Việt
5. La Phon
Hà Nội, tháng 9 – 2014
LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ nói chung và Công Nghệ Thông Tin
nói riêng hiện nay, rất nhiều ứng dụng trên mọi mặt đã được áp dụng vào
thực tế, đi sâu vào đời sống, sinh hoạt, học tập và làm việc của con người
chúng ta. Nhu cầu trao đổi thông tin của chúng ta ngày càng cao, việc kết nối
vượt qua vị trí địa lý càng lúc càng quan trọng, nhưng lại nảy sinh các vấn đề
liên quan đến an toàn, bảo mật của dữ liệu. Từ tính cấp thiết đó, VPN – Mạng
Riêng Ảo ra đời. Nó cho phép chúng ta kết nối với nhau như trong một mạng
cục bộ thông qua mạng công cộng. Để từ đó có thể giao tiếp giữa các chi
nhánh trong 1 công ty, giữa các đối tác có cùng công việc chung, hay hỗ trợ
các nhân viên kết nối đến văn phòng từ xa vv Trong nội dung của báo cáo
này, nhóm em xin trình bày về một mô hình VPN thông dụng hiện nay: VPN
site-to-site, theo đó, giới thiệu cách xây dựng cài đặt, và đưa ra phân tích quá
trình trao đổi thông tin trong mô hình mạng này.
Báo cáo bao gồm 3 chương:
Chương 1: Giới thiệu tổng quan về VPN site-to-site, các khái niệm, kiến
thức liên quan.
Trình bày quá trình xây dựng cài đặt mô hình.
Chương 2: Phân tích quá trình trao đổi thông tin trong VPN site-to-site.
Thực nghiệm.
MỤC LỤC
DANH SÁCH HÌNH ẢNH
CHƯƠNG 1: TỔNG QUAN MÔ HÌNH MẠNG RIÊNG ẢO SITE-TO-SITE
1.1. Giới thiệu chung về mô hình VPN site-to-site
Mô tả mô hình:
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết
nối nhiều điểm cố định với nhau thông qua một mạng công cộng như
Internet. Loại này có thể dựa trên Intranet hoặc Extranet. Loại dựa trên
Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng
riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN
với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết
với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể
xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều
tổ chức khác nhau có thể làm việc trên một môi trường chung
(2)
.
Để thực thi xác thực dựa trên chứng chỉ cho các kết nối L2TP và xác thực
người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-
TLS. Một cơ sở hạ tầng về chứng chỉ được bố trí để phát hành các chứng chỉ
thích hợp cho quá trình xác thực và xác minh chức chỉ.
1.2. Các thành phần của mạng riêng ảo Site – to – Site:
Không giống với mạng riêng ảo truy cập từ xa, các liên kết Site – to –
Site đòi hỏi cả hai phía của liên kết phải có một tập đầy đủ các tài nguyên để
làm việc với nhau. Các thành phần chính của mạng riêng ảo Site – to – Site:
- Các Router VPN
- Cơ sở hạ tầng mạng Internet
- Cơ sở hạ tầng mạng chi nhánh
- Cơ sở hạ tầng AAA
- Cơ sở hạ tầng chứng chỉ
1.2.1. Các Router VPN
Các Router VPN là các Server kiểm soát tất cả các hoạt động kết nối từ
xa của liên kết Site – to – Site. Chúng là trung tâm của hệ thống mạng riêng
ảo Site – to – Site. Các Router VPN là các thực thể khởi tạo hoặc nhận các
kết nối theo yêu cầu quay số dựa trên VPN và có các thành phần cơ bản sau
được cài đặt trên đó:
- Dịch vụ định tuyến
- Các Port
- Các giao diện mạng
- Tài khoản người dùng
- Các đường định tuyến
- Chính sách truy cập từ xa
1.2.2. Cơ sở hạ tầng Internet
Để tạo một kết nối mạng riêng ảo tới một Router trả lời qua Internet, ta
cần đảm bảo rằng trình phân giải tên, IP và định tuyến, các dịch vụ được cấu
hình và hoạt động đúng. Ta cần nhớ ba vấn đề chính cho việc thiết lập các kết
nối thành công:
- Tên của Router trả lời phải có khả năng phân giải được.
- Có khả năng kết nối tới được Router trả lời.
- Luồng lưu lượng VPN phải được cho phép và từ Router trả lời.
1.2.3. Cơ sở hạ tầng mạng chi nhánh
Cơ sở hạ tầng của mạng chi nhánh là một phần tử quan trọng của thiết kế
VPN. Các Router gọi không thể chuyển tiếp các gói mà không có cơ sở hạ
tầng định tuyến thích hợp được đặt vào vị trí thích hợp.
1.2.4. Cơ sở hạ tầng AAA
Cơ sở hạ tầng AAA tồn tại để cung cấp xác thực các kết nối và ghi nhật
ký hoạt động của các kết nối đó sao cho vấn đền an toàn của mạng có thể
được giám sát. Một cơ sở hạ tầng AAA mạnh là điều kiện sống còn với sự an
toàn của mật kỳ mạng truy cập từ xa hay mạng Site –to – Site nào. Cơ sở hạ
tầng AAA thực hiện các nhiệm vụ sau:
- Xác thực các giấy uỷ quyền của các Router gọi.
- Cấp quyền cho kết nối mạng riêng ảo.
- Ghi lại các hoạt động của kết nối mạng riêng ảo phục vụ cho chức năng
kiểm toán.
Cơ sở hạ tầng AAA thường bao gồm:
- Router trả lời
- Máy chủ RADIUS
- Các trình điều khiển miền
1.2.5. Cơ sở hạ tầng chứng chỉ số
Để thực thi xác thực dựa trên chứng chỉ cho các kết nối L2TP và xác thực
người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-
TLS. Một cơ sở hạ tầng về chứng chỉ được bố trí để phát hành các chứng chỉ
thích hợp cho quá trình xác thực và xác minh chức chỉ.
1.3. Triển khai mạng riêng ảo Site – to – Site:
Trong phần này trước chúng ta đã mô tả các phần tử cần thiết cho mạng
riêng ảo theo mô hình kết nối Site – to – Site. Trong phần này chúng ta xem
xét các bước để triển khai giải pháp mạng riêng ảo Site – to – Site dựa trên
PPTP hoặc L2TP với IPSec. Việc triển khai giải pháp này bao gồm các bước
cơ bản như sau:
- Triển khai cơ sở hạ tầng cung cấp chứng chỉ: Cho phép ta triển khai các
dịch vụ cung cấp chứng chỉ cho cả hai phía của liên kết.
- Triển khai cơ sở hạ tầng Internet: Cho phép ta kết nối tới Internet từ cả
hai phía của liên kết.
- Triển khai Router trả lời: Triển khai máy chủ mạng riêng ảo sẽ nhận các
yêu cầu kết nối mạng riêng ảo.
- Triển khai Router gọi: Triển khai máy chủ mạng riêng ảo sẽ khởi tạo các
yêu cầu kết nối mạng riêng ảo.
- Triển khai cơ sở hạ tầng AAA: Cho phép xác thực, cấp quyền và kiểm
toán các kết nối cho cả hai phía của liên kết.
- Triển khai cơ sở hạ tầng của nhánh mạng bên trong: Cho phép chuyển
tiếp các gói dữ liệu tới các nhánh mạng qua kết nối mạng riêng ảo Site – to –
Site.
(3)
1.4. Kỹ thuật Tunneling
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển
đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel,
máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận
biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface),
nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi
mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như
GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ
trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua
Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định
tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng
một mạng riêng trên Internet.
Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm
thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy
chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE,
đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai
loại mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ
trợ ở cả hai giao diện Tunnel.
Hình 1.1. Mô hình VPN site-to-site
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng
chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn
ra), qua Tunnel để tới máy tính của văn phòng từ xa.
1.5. Giao thức L2TP
1.5.1. Giới thiệu
L2TP – Layer 2 Tunneling Protocol: Giao thức đường hầm lớp 2.
- Được phát triển và chuẩn hóa bởi IETF và nhận được sự đồng thuận của
nhiều hãng lớn.
- Là sự kết hợp những gì tốt nhất của PPTP và L2F:
• L2TP cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập
từ xa chi phí thấp
• Khả năng kết nối point-to-point nhanh nhất của PPTP.
1.5.2. Các thành phần của L2TP
Toàn bộ gói L2TP, bao gồm payload và header, được gửi trong một
datagram UDP. Nó thường mang các phiên PPP trong đường hầm L2TP.
L2TP bản thân nó không cung cấp xác thực mạnh hay bảo mật và thường sử
dụng IPSec cho 3 tính toàn vẹn, bí mật và xác thực.
Cần một server truy cập mạng (NAS – Network Access Server) cung cấp
kết nối cho người dùng ở xa, thiết lập kết nối đường hầm qua mạng công
cộng.
Hai điểm cuối của một đường hầm L2TP là LAC (L2TP Access
Concentrator) và LNS (L2TP Network Server). LAC là người khởi xướng
đường hầm trong khi LNS là server chờ đợi đường hầm mới. Khi một đường
hầm được thành lập, lưu lượng giữa chúng sẽ là 2 chiều. Để có lợi cho mạng,
các giao thức bậc cao hơn cũng được chạy qua đường hầm L2TP. Để thuận
tiện cho việc này, một phiên L2TP được thành lập trong đường hầm cho mỗi
giao thức bậc cao ví dụ như PPP. Lưu lượng của mỗi phiên sẽ được tách ra
bởi L2TP, nên có thể có nhiều mạng ảo tên một đường hầm duy nhất.
Các gói tin trao đổi trong đường hầm L2TP được phân loại : gói tin điều
khiển và gói tin dữ liệu. L2TP cung cấp tính tin cậy cho các gói điều khiển,
nhưng không cung cấp đối với gói dữ liệu. Độ tin cậy, nếu muốn, phải được
cung cấp bởi các giao thức lồng nhau chạy trong mỗi phiên của đường hầm
L2TP.
L2TP cho phép tạo ra một mạng quay số riêng ảo để kết nối client từ xa
tới mạng văn phòng sử dụng cơ sở hạ tầng chia sẻ, vd: Internet.
(1)
1.5.3. Cấu trúc gói tin L2TP
Như trên đã nói, với 2 loại gói tin L2TP, điều khiển và dữ liệu, chúng có
chung khuôn dạng Header:
Hình 1.2. Cấu trúc khuôn dạng L2TP Header
Nhưng trong đó, đối với gói dữ liệu thì các trường Length, Ns, Nr là tùy
chọn trong khi với gói điều khiển là bắt buộc.
Bit T (Type): Xác định dạng gói tin. Nó có giá trị bằng 0 đối với gói dữ
liệu và 1 với gói điều khiển.
Nếu bit L(Length) =1, trường Length sẽ xuất hiện, bit này bắt buộc phải =
1 với các gói điều khiển.
Các bit X được dành mở rộng cho tương lai. Tất cả các bit mở rộng phải
có giá trị 0 đối với các cuộc gọi đi và không cần quan tâm với các cuộc gọi
đến.
Khi bit S(Sequence) có giá trị =1 thì trường Ns và Nr phải xuất hiện. Bit
này bắt buộc phải bằng 1 với các gói điều khiển.
Khi bit (Offset) =1 thì trường Offset Size phải xuất hiện. Bit này có giá trị
bằng 0 đối với gói tin điều khiển.
Khi bit P (Priority : độ ưu tiên) = 1, gói tin dữ liệu này sẽ nhận được các
ưu tiên trong việc xếp hàng và truyền. Trong trường hợp này, một yêu cầu
LCP được gửi kèm đi cùng gói tin để đảm bảo liên kết luôn được hoạt động.
Nếu không có LCP, có thể có một lúc nào đó liên kết bị đứt quãng. Đặc điểm
này chỉ có đối với gói tin dữ liệu. Bit P sẽ có giá trị bằng 0 với gói tin điều
khiển.
Phần Ver phải bằng 2, đây là số version của L2TP. Giá trị 1 được dành để
dùng trong trường hợp các gói tin L2F đến lẫn với gói L2TP. Các gói tin nhận
được mà không có trường Ver sẽ bị loại bỏ.
Trường Chiều dài (Length): mô tả chiều dài gói tin tính theo byte.
Trường số hiệu đường hầm: Tunnel ID xác định số hiệu của điều khiển
kết nối. Đường hầm L2TP được đặt tên theo các số hiệu này tùy thuộc vào
từng khu vực. Tức là, cùng một đường hầm có thể được xác định bởi các số
hiệu đường hầm khác nhau tùy vào mỗi điểm cuối trên đường hầm. Tunnel
ID trong mỗi gói tin là của người nhận chứ không phải của người gửi. Tunnel
ID được lựa chọn và trao đổi khi thiết lập Tunnel ID AVPs trong quá trình tạo
đường hầm.
Trường số hiệu phiên Session ID xác định số hiệu phiên làm việc trong
một đường hầm. Một phiên L2TP được đặt tên theo các số hiệu này tùy thuộc
vào từng khu vực. Tức là: cùng một phiên có thể được xác định bởi các số
hiệu phiên khác nhau tùy vào mỗi điểm cuối đường hầm. Session ID trong
mỗi gói tin là của người nhận chứ không phải của người gửi. Session ID được
lựa chọn và trao đổi khi thiết lập Session ID AVPs trong quá trình tạo ra một
phiên.
Trường Ns xác định một dãy số cho các gói tin dữ liệu hoặc điều khiển,
bắt đầu bằng 0 và tăng thêm 1 mỗi khi một gói tin được truyền.
Trường Nr xác định số trong dãy số đối với gói tin điều khiển tiếp theo
chuẩn bị được nhận. Do đó, giá trị của Nr bằng giá trị cuối cùng của Ns cộng
thêm 1. Trong các gói tin dữ liệu, trường Nr được để dành và nếu có xuất
hiện khi bít S chỉ định thì cần bỏ qua khi nhận.
Trường Offset Size nếu có xuất hiện thì sẽ mô tả số byte được gửi qua
L2TP Header tại đó dữ liệu cần truyền được xem là sẽ bắt đầu. Thường thì
trường Offset Padding không xác định. Nếu trường Offset Size xuất hiện thì
L2TP Header kết thúc sau byte cuối cùng của trường Offset Padding.
1.5.4. Dữ liệu đường hầm.
Hình 1.3. Tiến trình đóng gói dữ liệu
- Đóng PPP vào dữ liệu: Không giống như việc đóng gói của PPTP, dữ
liệu không được mã hóa trước khi đóng gói. Chỉ có duy nhất một PPP
header được thêm vào.
- Đóng gói L2TP Header: Sau khi phần dữ liệu ban đầu được đóng gói
vào PPP thì một L2TP Header được thêm vào.
- Thêm UDP header: gói L2TP tiếp theo được đóng thành các khung
UDP. Nói cách khác, một UDP Header được thêm vào gói L2TP. Cổng
ngầm định là 1701, hoặc khác.
- Đóng gói IPSec: sau khi đã đóng gói UDP, khung UDP kết quả được
mã hóa và một IPSec ESP Header được thêm vào nó. Một IPSec AH
Trailer cũng được thêm vào dữ liệu sau khi nó đã được đóng gói và mã
hóa.
- Đóng gói IP: Một IP Header được thêm vào gói IPSec vừa nhận được.
Header này chứa IP của L2TP Server (LNS) và người dùng từ xa.
- Đóng gói lớp liên kết dữ liệu: Cuối cùng một header ở tầng liên kết dữ
liệu được thêm vào gói trên. Phần header và trailer của lớp liên kết dữ
liệu này giúp cho gói tin đến nút đích. Nếu như nút đích nằm trong
mạng cục bộ, các header và trailer này sẽ dựa trên kỹ thuật mạng cục
bộ (vd: Ethernet-based). Mặt khác nếu nút đích nằm ở xa, một PPP
Header và trailer sẽ được thêm vào gói tin đã được đóng gói trong
đường hầm.
Hình 1.4. Tiến trình mở gói dữ liệu
Ở bên nhận, quá trình xử lý như sau:
Khi một thành phần L2TP (người dùng cuối hoặc LNS) nhận được một
gói tin L2TP, nó sẽ xử lý bóc tách và loại bỏ header trailer của lớp liên kết dữ
liệu. Tiếp đến gói tin được xử lý kỹ hơn và phần IP Header bị loại bỏ. Gói tin
dữ liệu sau đó được xác thực bằng cách kiểm tra các thông tin có trong IPSec
ESP Header và AH Trailer. IPSec ESP Header cũng được sử dụng để giải mã
các thông tin đã mã hóa. Tiếp đến, UDP Header sẽ được xử lý và loại bỏ. Các
trường Tunnel ID và Call ID trong L2TP Header đóng vai trò xác định đường
hầm và phiên làm việc L2TP. Cuối cùng PPP Header được xử lý và loại bỏ,
phần tải PPP (payload) được truyền tới một giao thức phù hợp để xử lý.
1.5.5. Mô hình đường hầm L2TP
L2TP hỗ trợ 2 mô hình đường hầm:
- Đường hầm tự nguyện: được thiết lập giữa người dùng từ xa và LNS
của mạng chủ.
- Đường hầm bắt buộc: được thiết lập giữa LAC của ISP và LNS của
mạng chủ.
Mạng VPN site-to-site sử dụng mô hình đường hầm bắt buộc, trong đó
người dùng cuối không có vai trò gì trong việc thiết lập đường hầm ngoài
việc đưa ra yêu cầu kết nối.
1.6. IPSec
L2TP cung cấp giải pháp truyền dữ liệu an toàn khi sử dụng IPSec để mã
hóa trước khi truyền và dùng IPSec để xác thực từng gói tin nhận được.
IPsec được tích hợp trong rất nhiều giải pháp VPN "tiêu chuẩn", đặc biệt
trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2 mạng
LAN với nhau. IPsec hoạt động tại network layer (Layer 3) trong mô hình
OSI.
IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai
gateway hoặc giữa máy tính trạm và gateway. Như tên của nó, IPsec chỉ hoạt
động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based network).
Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN phải được
cài đặt sẵn phần mềm VPN client.
Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange
(IKE) hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật
hơn hoặc thông qua khóa mã chia sẻ (preshared key). IPSec VPN có thể bảo
vệ chống lại hầu hết các phương pháp tấn công thông dụng bao gồm Denial
of Service (DoS), replay, và "man-in-the-middle".
Rất nhiều nhà cung cấp đã tích hợp đặc tính "quản lý máy khách" trong
các phần mềm máy khách VPN của họ, cho phép thiết lập các chính sách truy
cập liên quan ví dụ như yêu cầu máy khách phải được cài đặt phần mềm
chống virus hoặc cài đặt phần mềm tường lửa cá nhân như là điều kiện để cho
phép truy cập vào VPN gateway.
CHƯƠNG 2: PHÂN TÍCH QUÁ TRÌNH TRAO ĐỔI THÔNG TIN VÀ
THỰC NGHIỆM
Hình 2.1. Quá trình thiết lập kết nối
Mô tả:
- Người dùng yêu cầu một kết nối PPP tới máy chủ NAS đặt tại ISP
- NAS xác thực người dùng. Quá trình xác thực này giúp cho NAS biết
danh tính của người dùng đang yêu cầu kết nối. Nếu định danh phù
hợp với cơ sở dữ liệu của ISP, những dịch vụ tương ứng với người
dùng này sẽ được cung cấp. Đồng thời NAS cũng xác định điểm cuối
đường hầm LNS.
- Nếu NAS đang rỗi có thể nhận kết nối, một kết nối PPP được thiết lập
giữa ISP và người dùng
- LAC thiết lập một đường hầm với LNS
- Nếu như kết nối được LNS chấp nhận, các khung PPP được đưa qua
đường hầm L2TP. Những khung được đóng gói L2TP này sau đó được
gửi đến LNS.
- Cuối cùng LNS xác thực người dùng và chấp nhận các gói dữ liệu.
Nếu như việc xác thực tốt đẹp, một địa chỉ IP sẽ được đóng vào khung
để sau đó khung này được gửi đến nút đích nằm trong mạng Intranet.
Quá trình hoạt động của L2TP giữa LAC và LNS:
Việc thiết lập một đường hầm cho phiên PPP bao gồm 2 bước:
- Thiết lập một điều khiển kết nối cho một đường hầm
- Thiết lập một phiên làm việc được kích hoạt bởi các cuộc gọi đến hoặc
gọi đi
Đường hầm và điều khiển kết nối cần được thiết lập trước khi các cuộc
gọi đến hay gọi đi bắt đầu. Một phiên làm việc phải được thiết lập trước
khi L2TP vận chuyển các gói tin PPP. Nhiều phiên làm việc có thể được
thực hiện trên cùng một đường hầm và nhiều đường hầm có thể cùng tồn
tại giữa một cặp LNS-LAC.
2.1. Thiết lập điều khiển kết nối
Là kết nối đầu tiên cần có giữa LNS-LAC trước khi phiên làm việc được
tiến hành.
Bao gồm: xác định sự tồn tại của nút, kiểm tra phiên bản, khung của nút
đó.
Ba thông điệp sẽ được truyền để thiết lập kết nối: SCCRQ, SCCRP,
SCCCN.
ZLB ACK được gửi khi không còn thông điệp nào còn đang xếp hàng để
chuyển đến nút này.
Bắt đầu yêu cầu thiết lập điều khiển liên kết (Start-Control-
Connection-Request: SCCRQ)
Thông điệp điều khiển SCCRQ được sử dụng để bắt đầu thiết lập một
đường hầm giữa LNS và LAC. Nó có thể được gửi từ LAC hoặc LNS để bắt
đầu quá trình thiết lập đường hầm.
Trả lời yêu cầu thiết lập điều khiển liên kết (Start-Control-
Connection-Reply: SCCRP)
SCCRP được sử dụng khi nhận được SCCRQ. Nó được sử dụng để chỉ ra
SCCRQ được chấp nhận và việc thiết lập được tiếp tục.
Bắt đầu kết nối thiết lập điều khiển liên kết (Start-Control-
Connection-Connected: SCCCN)
Thông điệp này gửi để trả lời SCCRP, thông báo hoàn thành quá trình
thiết lập.
2.2. Thiết lập phiên làm việc
Sau khi thiết lập điều khiển liên kết thành công, một phiên làm việc cụ
thể sẽ được bắt đầu. Mỗi phiên sẽ tương ứng 1 dòng PPP từ LAC sang LNS.
Không giống như quá trình thiết lập điều khiển, quá trình thiết lập phiên có
định hướng cụ thể đối với LAC hay LNS. LAC thì yêu cầu LNS chấp nhận
một phiên qua các cuộc gọi đến còn LNS thì yêu cầu LAC chấp nhận một
phiên qua các cuộc gọi đi.
Thiết lập cuộc gọi đến.
Hình 2.2. Thiết lập cuộc gọi đến
Yêu cầu một cuộc gọi đến (Incoming-Call-Request: ICRQ)
Gửi từ LAC sang LNS khi nó thấy một cuộc gọi đến.
ICRQ nói rằng cần một phiên làm việc và cung cấp cho LNS thông tin về các
tham số của phiên này.
LAC có thể trì hoãn trả lời cuộc gọi khác cho đến khi nhận được ICRP của
LNS này. Hoặc nếu không trì hoãn, LAC có thể trả lời cuộc gọi khác và dùng
thông tin thu được lựa chọn LNS.
Trả lời cuộc gọi đến (Incoming-Call-Reply: ICRP)
Được gửi từ LNS sang LAC để trả lời ICRQ. Chỉ ra rằng ICRQ đã thành
công và để LAC trả lời cuộc gọi nếu nó vẫn chưa trả lời.
Kết nối cuộc gọi đến (Incoming-Call_Connected: ICCN)
Trả lời ICRP, nói nó được chấp nhận, cuộc gọi đã được trả lời và phiên L2TP
được thành công. Đồng thời nó cũng cung cấp thêm các thông tin cho LNS về
các tham số nó dùng để trả lời cuộc gọi mà lúc gửi ICRQ chưa gửi.
ZLB ACK được gửi khi không còn thông điệp nào còn đang xếp hàng để
chuyển đến nút này.
Thiết lập cuộc gọi đi
Hình 2.3. Thiết lập cuộc gọi đi
Yêu cầu cuộc gọi đi (Outgoing-Call-Request: OCRQ)
Được gửi từ LNS sang LAC cho biết một cuộc gọi đi từ LAC sẽ được thành
lập. OCRQ được sử dụng để cho biết một phiên làm việc sẽ được thiết lập
giữa LAC và LNS đồng thời nó cung cấp cho LAC các tham số cần thiết để
thực hiện một phiên L2TP và cuộc gọi mà nó thực hiện.
Trả lời cuộc gọi đi (Outgoing-Call-Reply: OCRP)
Gửi từ LAC sang LNS trả lời OCRQ. Chỉ ra OCRQ đã thành công, và nói
rằng LAC đang cố gắng để thực hiện cuộc gọi. Nó cũng cho phép gửi trả các
tham số cần thiết của cuộc gọi.
Kết nối cuộc gọi đi (Outgoing-Call-Connected: OCCN)
Gửi từ LAC sang LNS sau khi đã gửi OCRP. Chỉ ra rằng yêu cầu một cuộc
gọi đã được chấp nhận. Đồng thời nó cũng cung cấp thông tin cho LNS về
các tham số thu được sau khi cuộc gọi được thiết lập.
ZLB ACK được gửi khi không còn thông điệp nào còn đang xếp hàng để
chuyển đến nút này.
2.3. Chuyển khung PPP
Quá trình thiết lập đường hầm đã hoàn thành, khung PPP được gửi tới
LAC và được xử lý đóng gói theo L2TP để gửi đi trong đường hầm thích
hợp. Việc gửi có liên quan đến Tunnel ID và Session ID trong header của tất
cả các cuộc gọi đi. Theo đó, những khung PPP có thể được đóng gói và bóc
tách trong cùng một đường hầm và một phiên làm việc.
Nhiều đường hầm có thể có cùng tồn tại giữa LAC-LNS, nhiều phiên làm
việc có thể cùng tồn tại trên một đường hầm.
2.4. Kiểm tra sự tồn tại của đường hầm
Cách một khoảng thời gian không có thông điệp nào được truyền, một gói
Hello được gửi đi. Đây là thông điệp điều khiển được truyền trên kênh tin
cậy, nếu có ngắt ở một phương tiện, quá trình truyền sẽ không thể gửi nó đi
và đường hầm sẽ bị hủy bỏ.
Mặc định là 60s sau khi không có gói nào được truyền trên đường hầm.
2.5. Bỏ một phiên làm việc
Có thể được yêu cầu bởi cả LNS và LAC bằng việc gửi CDN.
Thông báo kết thúc cuộc gọi (Call-Disconnect-Notify: CDN)
Thông báo nút nào muốn chấm dứt và nguyên nhân. Nút đó sẽ xóa bỏ
mọi thông tin và không gửi trả bất kỳ thông tin nào nhằm phản ánh sự thành
công hay thất bại của sự xóa bỏ đó.
2.6. Bỏ điều khiển kết nối
Có thể được yêu cầu bởi cả LAC lần LNS bằng việc gửi StopCNN.
Thông báo dừng điều khiển liên kết (Stop-Control-Connection-
Notification: StopCNN)
Bên nhận được sẽ gửi trả ZLB ACK thông báo đã nhận được StopCNN
và phải duy trì tình trạng điều khiển kết nối trong một khoảng thời gian đủ để
hoàn thành một chu kỳ gửi trả lại (đề phòng ZLB ACK bị thất lạc). Mặc định
là 31s.
Ta có thể xóa bỏ đường hầm và tất cả mọi phiên mà không cần quan tâm
đến các phiên làm việc cụ thể.
2.7. Kịch bản demo
Hình 2.4: Thực nghiệm mô hình VPN site to site.
Mô hình VPN Site to Site, LAN kết nối LAN sử dụng giao thức mã hóa
L2TP/IPSec.
Yêu cầu:
2 máy Client XP: client Hà Nội và client Sài Gòn.
2 máy Windows Server 2003 : Server VPN Hà Nội và Server VPN Sài
Gòn.
Công cụ phân tích gói tin: WireShark.
Chúng ta có 2 cơ sở Hà Nội và Sài Gòn cần kết nối VPN với nhau. Cấu
hình VPN site to site sử dụng giao thức L2TP/IPSec trên VPN server HN và
VPN server SG.
Sau khi cài đặt xong. Chúng ta tiến hành trao đổi thông tin giữa 2 client
Hà Nội và Sài Gòn.
Cài đặt công cụ phân tích gói tin trên Server VPN Sài Gòn (hoặc Hà Nội)
và trên client Sài Gòn (hoặc Hà Nội).
Tiến hành gửi gói tin từ clien HN đến Client SG và bắt gói tin trên Server
SG và client SG.
Hình 2.5 : Gói tin bắt được trên Server Sài Gòn.
Hình 2.6: Gói tin bắt trên client Sài Gòn
KẾT LUẬN
Qua quá trình nghiên cứu và tìm hiểu, nhóm đã có thể hoàn thành được
các yêu cầu đề ra đối với đề tài Tìm hiểu về mô hình VPN site-to-site, biết
được phương pháp cài đặt và triển khai, cùng với đó chặn bắt gói tin và phân
tích. Từ đó thấy được quá trình trao đổi thông tin của mạng VPN site-to-site
sử dụng L2TP/IPSec.
Trong nội dung báo cáo có thể còn nhiều thiếu sót, mong thầy và các bạn
góp ý để hoàn thiện báo cáo hơn.
TÀI LIỆU THAM KHẢO
1. VPN - />2. Mạng riêng ảo VPN - />7369.html
3. Giáo trình Mạng riêng ảo – Học Viện Kỹ Thuật Mật Mã.