Tải bản đầy đủ (.doc) (54 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

Báo Cáo THực Tập Cơ Sở mô hình VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (952.92 KB, 54 trang )


MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO 4
1.1 Khái quát chung 4
1.1.1 Khái ni m m ng riêng oệ ạ ả 4
1.1.2 L ch s hình thành c a VPNị ử ủ 5
1.1.3 L ch s phát tri n c a VPNị ử ể ủ 6
1.1.4 Ch c n ng c a VPNứ ă ủ 7
1.2 Ưu và nhược điểm của VPN 7
1.2.1 u đi mƯ ể 7
1.2.2 Nh c đi m ượ ể 8
1.3 Phân loại VPN 9
1.3.1 M ng VPN truy c p t xaạ ậ ừ 9
1.3.2 M ng VPN c c bạ ụ ộ 10
1.3.3 M ng VPN m r ngạ ở ộ 11
CHƯƠNG II CÁC GIAO THỨC SỬ DỤNG TRONG VPN 12
2.1 Giao th c đ nh h ng l p 2 – L2Fứ ị ướ ớ 13
1.4.2 Giao th c đ ng h m đi m – đi m PTPPứ ườ ầ ể ể 15
1.4.3 Giao th c đ ng h m l p 2 – L2TPứ ườ ầ ớ 25
1.4.4 Giao th c b o m t IP - IPSECứ ả ậ 31
CHƯƠNG III.THIẾT KẾ VÀ CÀI ĐẶT MÔ HÌNH SITE TO SITE 43
3.1 Bài toán đặt ra 43
3.2 Giải pháp 43
3.3 Mô hình triển khai 44
3.3.1 Mô hình h th ngệ ố 44
3.3.2 C u hình h th ngấ ệ ố 44
3.3.3 K t qu c u hìnhế ả ấ 46
KẾT LUẬN 47
TÀI LIỆU THAM KHẢO 49
PHỤ LỤC 50
1



DANH MỤC HÌNH ẢNH
DANH MỤC HÌNH ẢNH 2
LỜI NÓI ĐẦU 3
Hình 1.2: Mô hình mạng truy cập từ xa 10
Hình 1.4: Mô hình mạng VPN mở rộng 12
Hình 2.1: Mô hình đặc trưng L2F 14
Hình 2.3: Các giao thức dùng trong một kết nối PTPP 18
Hình 2.4: Bọc gói PPTP/GRE 18
Hình 2.5: Cấu trúc gói dữ liệu trong đường hầm PPTP 19
Hình 2.6: Sơ đồ đóng gói PPTP 20
Hình 2.7: Đường hầm bắt buộc và đường hầm tự nguyện 22
Hình 2.8: Mã hóa trong gói PPTP 23
Hình 2.9: Đường hầm kết nối LAN-LAN 24
Hình 2.10 : Các thành phần cơ bản của 1 VPN sử dụng PPTP 24
Hình 2.11: Kiến trúc của L2TP 26
Hình 2.12: Các giao thức sử dụng trong một kết nối L2TP 27
Hình 2.13: Bọc gói L2TP 27
Hình 2.14 : Cấu trúc gói dữ liệu trong đường hầm L2TP 28
Hình 2.15: Các đường hầm tự nguyện và bắt buộc 29
Hình 2.16: Đường hầm kết nối LAN-LAN 30
Hình 2.17: Các thành phần cơ bản của L2TP 31
Hình 2.18: 5 bước hoạt động của IPSec 32
Hình 2.19: Kích hoạt lưu lượng cần bảo vệ 34
Hình 2.20: IKE phase 1 35
Hình 2.21: Tập chính sách IKE 36
Hình 2.22: Xác thực các đối tác 37
Hình 2.23: Thoả thuận các thông số bảo mật IPSec 38
Hình 2.24: Tập chuyển đổi IPSec 39
Hình 2.25 : Các kết hợp an ninh 40

Hình 2.26: Đường hầm IPSec được thiết lập 41
Hình 2.27 : Kết thúc đường hầm 41
Hình 2.28 : Quá trình trao đổi thông tin 42
Hình 3.1: Mô hình mô phỏng hệ thống VPN site – to – site trên Packet Tracer
44
2

LỜI NÓI ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là
Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế
thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia
trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân
viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính
xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên
khắp thế giới, cũng như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ
Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
thuê các đường Leased- line của các nhà cung cấp để kết nối tất cả các mạng con
của công ty lại với nhau, sử dụng internet để liên lạc với nhau.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hòa hai loại dịch vụ trên,
nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng internet nhưng lại có được
các tính chất của một mạng cục bộ như khi sử dụng các đường Leased – line. Vì
vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế.
Với đề tài: “ Tìm hiểu về mạng riêng ảo VPN” trong lần thực tập này, em hy
vọng nó có thể góp phần tìm hiểu công nghệ VPN, đồng thời góp phần phổ biến
rộng rãi kỹ thuật VPN.
Em xin gửi lời cảm ơn chân thành đến các thầy cô Trường Đại Học Công
Nghệ Thông Tin và Truyền Thông Thái Nguyên đã tận tâm truyền đạt kiến thức và
đặc biệt em xin bày tỏ lòng biết ơn sâu sắc đến Cô Dương Thúy Hường đã tận tình
hướng dẫn và chỉ bảo em trong quá trình hoàn thành báo cáo thực tập.

Vì kiến thức và kinh nghiệm còn hạn chế,nên không tránh khỏi những sai sót
trong bài báo cáo này.Rất mong được sự đóng góp ý kiến của các thầy cô để bài
thực tập của em ngày càng hoàn thiện hơn.
Thái Nguyên,Tháng 04/2014
Sinh viên thực hiện
3

Đồng Hùng Mạnh
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1 Khái quát chung
1.1.1 Khái niệm mạng riêng ảo
Mạng riêng ảo - VPN(Virtual Private Network) về cơ bản là một mạng riêng
sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc
người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối
thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được
truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử
dụng ở xa.
Hình 1.1.Mô hình VPN
Các thuật ngữ dùng trong VPN:
Vitual – nghĩa là kết nối động, không được gắn cứng và tồn tại như một kết
nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với
nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của
mạng internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở
hạ tầng mạng giữa những điểm đầu cuối.
Private – nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị
truy cập bởi những người sử dụng được trao quyền. Điều này rất quan trọng bởi vì
giao thức internet ban đầu TCP/IP – không được thiết kế để cung cấp các mức độ
4

bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần

cứng VPN.
Network – là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,
những trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây
dẫn, vô tuyến, internet hay bất kỹ tài nguyên mạng dành riêng khác sẵn có để tạo
nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng
được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà
công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời
gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm
cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác công ty
đang sử dụng chung một mạng công cộng.
1.1.2 Lịch sử hình thành của VPN
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến
công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết
nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một
cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng
đó đang dùng. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là
router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet
thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức
chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền
thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo
dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện
thực.Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ
cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như
trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới
nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng
hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network -
VPN).
5


1.1.3 Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt
nguồn từ yêu cầu của khách hàng, mong muốn có thể kết nối một cách có hiệu quả
với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).
Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng
các đường thuê bao cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin
với nhau.
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây
chuyên dùng cho các khách hàng lớn. Colisee có thể cung cấp phương
thức gọi số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng
dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là
mạng được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số
xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm
gần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại
Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của
Australia đưa ra dịch vụ VPN trong nước đầu tiên ở khu vực châu Á –
Thái Bình Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thụy Điển thành lập công ty hợp
tác đầu tư Unisource, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên
minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong
đó có dịch vụ VPN.
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung

cấp dịch vụ VPN, dịch vụ chuyển tiếp khung,…
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
(GVPNS).
6

- Năm 1996, Sprint và Viễn thông Đức, Viễn thông Pháp kết thành liên
minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, công
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội
thảo… Các mạng VPN xây dựng trên cơ sở hạ tầng mạng internet công
cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN. Công
nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều
văn phòng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công
nghệ, cơ sở hạ tầng mạng IP ngày một hoàn thiện đã làm cho khả năng
của VPN ngày một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch
vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.1.4 Chức năng của VPN
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình
mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,
không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy
được thì cũng không đọc được.
1.2 Ưu và nhược điểm của VPN

1.2.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để
đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu
động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet
đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc
trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng
WAN riêng.
7

• Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với
thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên
làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các
nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập
vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa
phương, hạn chế gọi đường dài đến các modem tập trung
• Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy
cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ.
Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm
modem phức tạp.
• Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả
các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu
khác mà không cần quan tâm đến những phần phức tạp bên dưới.
• Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương
tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối
tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà
ISP cung cấp một điểm kết nối cục bộ POP.
1.2.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh
nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng

được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường
như đó vẫn là một vấn để khá lớn của VPN.
Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa
các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất
kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh
đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù và nhiều
mục đích khác của kẻ xấu muốn tấn công vào mạng công ty.
QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là
độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà
đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự
đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn.
Thường QoS trên Internet chỉ là best effort.
8

Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy
ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà
cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ
(ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức.
Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về
các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam
kết này cũng không đảm bảo 100%.
1.3 Phân loại VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba

loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN).
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
1.3.1 Mạng VPN truy cập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập
vào mạng của công ty.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy
trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,
những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.
Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách
sử dụng công nghệ quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu
một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.
9

Hình 1.2: Mô hình mạng truy cập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy
nhập từ xa truyền thống như:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì
quá trình kết nối từ xa được các ISP thực hiện.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

- Nguy cơ bị mất dữ liệu cao.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng
kể.
1.3.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.
Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu
được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
10

nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một
VPN Site- to- Site.
Hình 1.3: Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nhược điểm như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng - mạng Internet -
cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ
chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn
trong môi trường Internet.

1.3.3 Mạng VPN mở rộng
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần
thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các
nhà cung cấp.
11

Hình 1.4: Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng,
các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử
dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site-to-
Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập
mạng được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên
giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi
phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn
những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
CHƯƠNG II CÁC GIAO THỨC SỬ DỤNG TRONG VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn
dữ liệu trong VPN , dựa trên nền tảng là các giao thức đường hầm. Một giao thức
đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header tương ứng để truyền qua

Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4 giao thức đường
hầm được sử dụng trong VPN đó là:
12

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
- Giao thức bảo mật IP - IPSec (Internet Protocol Security)
2.1 Giao thức định hướng lớp 2 – L2F
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho
dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ
tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương
pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty
thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên
kết dữ liệu.
2.1.1 Ưu nhược điểm của L2F
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:
- Không có mã hoá.
- Yếu trong việc xác thực người dùng.
- Không có điều khiển luồng cho đường hầm.
2.1.2 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,
truyền xuyên qua một mạng. L2F sử dụng các thiết bị:
NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và
gateway home. Hệ thống ERX hoạt động như NAS.

Tunnel: Định hướng đường đi giữa NAS và home gateway. Một đường hầm
gồm một số kết nối.
Home gateway: Ngang hàng với NAS.
Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI, một
kết nối L2F được xem như là một phiên.
Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong
trường hợp này thì Home gateway là điểm đích.
13

Hình 2.1: Mô hình đặc trưng L2F
1.4.1.3 Hoạt động của L2F
Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và
phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F:
1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối
PPP tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết
LCP (Link Control Protocol).
3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay
nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch
vụ L2F.
4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ
của gateway đích (home gateway).
5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng
chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận
thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.
6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo
dài phiên PPP từ người sử dụng ở xa tới home gateway. Kết nối này được
thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin
nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và
NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận

thực lại người sử dụng.
7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng
gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm.
14

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được
hướng tới mạng công ty.
1.4.2 Giao thức đường hầm điểm – điểm PTPP
Giao thức đường hầm điểm - điểm PPTP được đưa ra đầu tiên bởi một nhóm
các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend
comm., Microsoft, ECI Telematicsunication và US Robotic.
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép
PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI.
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP
có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã
hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point
Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền
dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác
IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm
15

1.4.2.1 Kiến trúc PTPP

Hình 2.2.Kiến trúc PTPP
 PPP và PPTP

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng
TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI,
PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để
truyền nối tiếp. Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên
kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối;
Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập và
cấu hình các giao thức lớp mạng khác nhau.
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-
điểm từ máy gửi đến máy nhận. Để viêc truyền thông có thể diễn ra thì mỗi PPP
phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực.
Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các
ISP. Việc xác thực được thực hiện bởi PAP hay CHAP.
Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và
không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương thức
xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP chống lại
các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value)
duy nhất và không thể đoán trước được. CHAP phát ra giá trị thách đố trong suốt và
16

sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào
tình thế bị tấn công.
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng
và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP
để đóng các gói truyền trong đường hầm.
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại

gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển và
kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu
thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối
TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng để trưyền thông
báo điều khiển.
Các gói dữ liệu là dữ liêu thông thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữa
client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông
tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay
nằm ở tại máy chủ của ISP.
17

Hình 2.3: Các giao thức dùng trong một kết nối PTPP
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu
được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập,
ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP?
Hình 2.4: Bọc gói PPTP/GRE
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu
truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.
 Cấu trúc gói của PPTP
* Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói
khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đã được đóng gói:

18

Hình 2.5: Cấu trúc gói dữ liệu trong đường hầm PPTP
• Đóng gói khung PPP
Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản
sửa đổi giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận
32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhận
dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết lập bởi
PPTP client trong quá trình khởi tạo đường hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi
qua mạng IP.
• Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói
với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP
server.
• Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và
phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi
qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet.
Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được
đóng gói với phần Header và Trailer của giao thức PPP.
* Xử lý dữ liệu đường hầm PPTP
Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ
thực hiện các bước xử lý:

- Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
19

- Xử lý và loại bỏ IP Header.
- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.
- Xử lý phần payload để nhận hoặc chuyển tiếp.
* Sơ đồ đóng gói PPTP
Hình 2.6: Sơ đồ đóng gói PPTP
Quá trình:
- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao
diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử
dụng NDIS (Network Driver Interface specification).
- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và
cung cấp PPP header. Phần mào đầu PPP này chỉ bao gồm trường mã số giao
thức PPP (PPP protocol ID field), không có các trường flag và FCS (frame
check sequence). Giả định trưòng địa chỉ và điều khiển đã được thoả thuận ở
giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá
trình kết nối PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với
phần mào đầu GRE. Trong GRE header, trường Call ID đựoc đặt giá trị thích
hợp để xác định đường hầm.
- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.
- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi
gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử
dụng NDIS.
- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer.
20

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

phần cứng quay số.
 Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác
nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính
của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ
PPTP). Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc.
Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng. Khi sử
dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo
mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức
TCP/IP bình thường. Đường hầm tự nguyện thường được sư dụng để cung cấp tính
riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet.
Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong
suốt đối với người dùng. Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ
truy cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều
phải thông qua RAS.
Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể
truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường
hầm tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet
công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng
nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và
được các site trong VPN mà thôi).
Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm
kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm
việc.
Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng
nằm ngoài đường hầm nên dễ bị tấn công.
21

Hình 2.7: Đường hầm bắt buộc và đường hầm tự nguyện
Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó

là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người
dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài
(token) hay thẻ thông minh (smart card).
 Xác thực và mã hoá
Các client PPTP được xác thực cũng tương tự như các client RAS được xác
thực từ máy chủ PPP. Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP. MS-
CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng.
PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tại
máy cục bộ. Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu
sẽ thay đổi. Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác
nhau cho những người dùng khác nhau tại cùng một máy tính ở xa. Bởi vì khi cấp
quyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đó đều có đặc
quyền truy cập mạng như nhau.
Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft -
MPPE (Microsoft point-to-Point Encryption). Phương thức này dựa trên chuẩn RSA
RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được sử dụng
22

bởi PPP để thoả hiệp việc mã hoá. MS-CHAP được dùng để kiểm tra tính hợp lý
người dùng đầu cuối tại tên miền Windows NT.
Hình 2.8: Mã hóa trong gói PPTP
Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ
có thể cài đặt một phần mềm nâng cấp lên 128 bit. MPPE mã hoá các gói PPP tại
client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo mật từ
trạm làm việc đến máy chủ PPTP. Việc thay đổi khoá phiên có thể được thoả thuận
lại sau mỗi gói hay sau một số gói.
 Đường hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối
vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN
không được hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy

cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ
đường hầm kết nối LAN-LAN. Kể từ đó các nhà cung cấp khác cũng đã cung cấp
các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN.
Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như
IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN. Tuy nhiên, do kiến trúc
PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều
khiển bởi CHAP hoặc thông qua MS-CHAP. Để tạo đường hầm giữa hai site, máy
chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia. Khi đó máy chủ PPTP
trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại, do đó một
đường hầm tự nguyện được tạo ra giữa hai site.
23

Hình 2.9: Đường hầm kết nối LAN-LAN
Do đường hầm PPTP có thể được đón gói bởi bất kỳ giao thức mạng nào
được hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài
nguyên tại site kia dựa trên quyền truy cập của họ.
1.4.2.2 Sử dụng PTPP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng
dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và
PPTP client.
Hình 2.10 : Các thành phần cơ bản của 1 VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người
của công ty quản lý nhưng NAS phải do ISP hỗ trợ.
 Máy chủ PPTP
24

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối
của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng.
Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa
chỉ mạng của máy tính đích.

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.
Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào
Internet , mạng riêng hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như
máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sau cho chỉ có một cổng
TCP/IP (1723) được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình
cổng này có thể làm cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu
hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua.
 Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay
phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị
của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn
có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP,
sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở client.
1.4.3 Giao thức đường hầm lớp 2 – L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và
L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng.
Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại
IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng
gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và
PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi
trường vật lý khác.
L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng
một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền
thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù
nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×