Nghiên cứu và triển khai VPN trên thiết bị Cisco


Lời mở đầu
Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ
thông tin. Cùng với sự phát triển của các phương tiện truyền thông đại chúng, lĩnh
vực truyền thông mạng máy tính đã và đang phát triển không ngừng. Với internet,
bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con
người với nhau đã ngày càng giảm đi. Ngày nay theo thống kê có khoảng 2,4 tỷ
người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú.
Tuy nhiên khi internet làm giảm đi ranh giới giữa các công ty, tổ chức, giữa các cá
nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các thông tin cá
nhân, các tài nguyên thông tin,… cũng tăng lên.
Vậy làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi
tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng, vừa đảm
bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo
khả năng truy xuất thuận tiện, nhanh chóng . Vấn đề này đã trở nên hết sức quan
trọng trong thời buổi bùng nổ công nghệ thông tin hiện nay.Với những lý do trên,
em chọn đề tài “Nghiên cứu và triển khai VPN trên thiết bị Cisco” là đề tài
nguyên cứu thực tập tốt nghiệp của em.
VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối
an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua
mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm
được tính riêng tư của dữ liệu giống như đang truyền trên một hệ thống mạng
riêng.
Tp.Hồ Chí Minh, 10, tháng 05, năm 2013
Nghiên cứu và triển khai VPN trên thiết bị Cisco


Lời cảm ơn
Trong đợt thực tập vừa qua, em đã nhận được sự hướng dẫn, giúp đỡ và hỗ

trợ từ nhiều phía. Tất cả những điều đó đã trở thành một động lực rất lớn giúp em
có thể hoàn thành tốt mọi công việc được giao. Với tất cả sự cảm kích và trân
trọng, em xin gửi lời cảm ơn tới tất cả mọi người.
Trước tiên cho em gửi lời cảm ơn đến Ban lãnh đạo Công ty TNHH thương
mại và kỹ thuật tin học TTC (Số 58, Mạc Đĩnh Chi, Phường Đa Kao, Quận 1,
Tp.Hồ Chí Minh) đã tạo điều kiện cho em được tham gia thực tập tại công ty cũng
như hỗ trợ về mọi mặt trong thời gian thực tập vừa qua.Xin cảm ơn anh Nguyễn
Quang Lâm và các anh chị trong công ty đã tận tình giúp đỡ em trong suốt thời
gian thực tập tại công ty.
Em xin chân thành cảm ơn thầy Nguyễn Hữu Chân Thành cùng các thầy cô
trong bộ môn Truyền Thông và mạng máy tính đã tận tình hướng dẫn, giúp đỡ em
trong thời gian thực tập và hoàn thành bài báo cáo.
Xin trân trọng cảm ơn!





Nghiên cứu và triển khai VPN trên thiết bị Cisco


Nhật ký thực tập
Thời gian thực tập 25/02/2013 đến 03/05/2013.
 Tuần 1(25/02/2013 - 02/03/2012): Tìm hiểu về công ty, hoạt động lĩnh vực
kinh doanh, tác phong làm việc tại công ty.
 Tuần 2 (04/03/2013 - 09/03/2013): Cùng các anh trong phòng kỹ thuật tìm
hiểu công việc cơ bản và tham gia hỗ trợ một số công việc đơn giản.
 Tuần 3, 4, 5, 6, 7, 8 (18/03/2013 - 20/04/2013): Cùng các anh trong phòng
kỹ thuật đi sửa chữa hệ thống, bảo trì máy tính, giao hàng cho khách hàng
công ty.

 Tuần 9 (22/04/2013 - 27/04/2013): Tổng hợp tài liệu, hoàn thành báo cáo
thực tập tốt nghiệp.








Nghiên cứu và triển khai VPN trên thiết bị Cisco


Nhận xét và đánh giá của Ban lãnh đạo công ty:














Xác nhận của Công ty





Nghiên cứu và triển khai VPN trên thiết bị Cisco


Nhận xét và đánh giá của giảng viên hướng dẫn:














Giảng viên hướng dẫn


Nghiên cứu và triển khai VPN trên thiết bị Cisco


MỤC LỤC
Chương 1: TỔNG QUAN VỀ VPN 3
1.1 Định nghĩa về VPN 3

1.2 Lợi ích của VPN 5
1.3 Các thành phần cần thiết để tạo nên kết nối VPN 5
1.4 Các thành phần tạo nên hệ thống VPN của Cisco 6
1.5 Thiết lập một kết nối VPN 6
1.6 Các công nghệ VPN 7
1.6.1 Site - to - site VPN 7
1.6.1.1 Layer 2 VPN 8
1.6.1.2 Layer 3 VPN 8
1.6.1.3 GRE 9
1.6.1.4 MPLS VPN 9
1.6.2 Remote Access VPN 10
1.6.2.1 L2TP 11
1.6.2.2 IPSec 11
Chương 2: TÌM HIỂU VỀ IPSEC 13
2.1 IPSec Transport mode 13
2.2 IPSec Tunnel mode 15
2.3 Tổng quan về ESP và AH 16
2.3.1 ESP 16
2.3.1.1 ESP mode 16
2.3.1.2 ESP Packet Field 17
2.3.1.3 Quá trình hoạt động và mã hoá của ESP 18
2.3.2 AH (Authentication Header) 21
2.3.2.1 AH mode 21
2.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu 22
2.3.2.3 AH Header 23
2.3.2.4 Hoạt động của giao thức AH 24
2.3.2.5 AH version 3 25
2.3.2.6 AH Summary 26






Nghiên cứu và triển khai VPN trên thiết bị Cisco


2.4 IKE (Internet Key Exchange) 28
2.4.1 IKE Phase 29
2.4.1.1 IKE Phase I 29
2.4.1.2 IKE Phase II 30
2.4.1.3 IKE mode 31
Chương 3: TỔNG QUAN HỆ ĐIỀU HÀNH CISCO IOS 35
3.1 Kiến trúc hệ thống 35
3.2 Cisco IOS CLI 37
Chương 4: CẤU HÌNH VPN TRÊN THIẾT BỊ CISCO 40
4.1 Mô hình 40
4.2 Cấu hình 41
4.3 Kết quả 43
Tài liệu tham khảo 50








Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 1


Chương 1: TỔNG QUAN VỀ VPN
Trong thời buổi công nghệ hiện nay, mạng internet đã phát triển mạnh mẽ
về hệ tầng mạng cũng như các công nghệ đáp ứng cho nhu cầu sử dụng internet
của người dùng. Người dùng có thể kết nối, chia sẻ tài nguyên, dữ liệu,… một
cách nhanh chóng và chính xác, để làm được điều này chúng ta phải sử dụng 1
thiết bị gọi là router để kết nối các hệ thống mạng LAN, WAN với nhau. Các máy
tính kết nối với internet thông qua nhà cung cấp dịch vụ (Internet Service Provider
– ISP) cần có một giao thức chung là TCP/IP. Tuy nhiên internet có phạm vi toàn
cầu không một tổ chức nào có thể quản lý nên rất khó khăn trong việc bảo mật an
toàn dữ liệu và quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng
thỏa mãn các nhu cầu trên mà vẫn sử dụng các hạ tầng của mạng internet có sẵn,
đó chính là mô hình mạng riêng ảo – Virtual Private Network (VPN).Với mô hình
này, người dụng không cần phải đầu tư nhiều về hệ thống nhưng độ bảo mât, tin
cậy vẫn đảm bảo và đồng thời quản lý được hệ thống mạng riêng này. Nó đảm bảo
được sự an toàn dữ liệu giữa các đại lý, người cung cấp, các công ty với nhau
trong môi trường internet rộng lớn và đầy nguy cơ tấn công mạng.
1.1 Định nghĩa về VPN
VPN được hiểu như là sự mở rộng của 1 mạng riêng thông qua 1 mạng
chung. Về căn bản, mỗi VPN sẽ kết nối với cùng các VPN khác hay các người
dùng từ xa thông qua internet. Thay cho 1 kết nối thực như leased – line, VPN sử
dụng các kết nối ảo được thiết lập giữa các mạng riêng của các công ty tới các site
hay nhân viên làm việc từ xa thông qua internet.
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 2

VNP cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một
đường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi. Để có thể tạo ra một
Tunnel đó, dữ liệu phải được mã hóa, chỉ còn để lại phần header (là phần thông tin

cung cấp địa chỉ đường đi) để nó đi đến đúng đích thông qua mạng công cộng một
cách nhanh chóng. Do đó nếu các gói tin (packet) bị hacker bắt được trên đường
truyền công cộng cũng không thể đọc được vì đã bị mã hóa nội dung. Liên kết với
dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối
VPN thường được gọi là đường ống VPN (VPN Tunnel).

Hình 1.1 Mô hình kết nối VPN

Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 3

1.2 Lợi ích của VPN
VPN cung cấp nhiều đặc tính lợi ích hơn so với mạng truyền thống và
những mạng leased – line. Một số lợi ích như là:
 Chi phí thấp hơn các mạng riêng khác: VPN có thể giảm chi phí từ 20-40%
so với những mạng thuộc mạng leased – line và giảm chi phí truy cập từ xa
từ 60-80%.
 Tính linh hoạt cho khả năng sử dụng hệ thống mạng có sẵn.
 Sử dụng những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh
nặng: Sử dụng một giao thức Internet backbone tích hợp với kết nối hướng
những giao thức như Frame Relay và ATM.
 Tăng tính bảo mật: Các dữ liệu quan trọng được mã hóa và phân quyền sử
dụng cho từng người dùng (user) khác nhau.
 Hỗ trợ các giao thức mạng thông dụng hiện nay như TCP/IP.
 Bảo mật địa chỉ IP: Bời vì thông tin gửi đi trên VPN đã được mã hóa các
địa chỉ bên trong mạng riêng (private) và chỉ sử dụng các địa chỉ bên ngoài
(puplic) internet.
1.3 Các thành phần cần thiết để tạo kết nối VPN
 User Authentication: cung cấp cơ chế chứng thực người dùng. Chỉ cho phép

user hợp lệ kết nối và truy cập vào hệ thống VPN.
 Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi
gia nhập hệ thống VPN để có thể truy cập tới tài nguyên mạng nội bộ.
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 4

 Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trính truyền
nhằm bảo đảm tính bảo mật và toàn vẹn dữ liệu.
 Key Management: Cung cấp các giải pháp quản lý mã khóa dùng cho quá
trình mã hóa và giải mã dữ liệu trong quá trình truyền và nhận.
1.4 Các thành phần tạo nên hệ thống VNP của Cisco
 Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ trợ cho việc
bảo mật trong VPN. Có hiệu quả cao trong các mạng WAN hỗn hợp.
 Cisco Secure PIX Firewall: đưa ra các sự lựa chọn khác của cổng kết nối
VPN khi bảo mật nhóm riêng tư trong hệ thống VPN.
 Cisco VPN Concentrator series: Đưa ra các chức năng trong việc điều khiển
truy cập từ xa và tương thích với dạng site – to – site VPN.
 Cisco Secure VPN Client: VPN Client cho phép bảo mật truy cập từ xa tới
router Cisco và Pix Firewall và nó chạy trên hệ điều hành Windown.
 Cisco Secure Instrusion Detection System và Cisco Secure Scaner: thường
dùng để giám sát và kiểm tra các vấn đề bảo mật trong VPN.
 Cisco Secure Policy Manager and Cisco Works 2000: Cung cấp việc quản
lý một hệ thống VPN rộng lớn.
1.5 Thiết lập một kết nối VPN
 Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới
máy chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet.
 Máy chủ cung cấp dịch vụVPN trả lời kết nối tới máy VPN cần kết nối.
Nghiên cứu và triển khai VPN trên thiết bị Cisco


SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 5

 Máy chủ cung cấp dịch vụVPN chứng thực cho kết nối và cấp phép cho kết
nối vào hệ thống VPN.
 Bắt đầu trao đổi dữ liệu giữa VPN client và mạng nội
bộ.

Hình 1.2 Thiết lập một kết nối VPN
1.6 Các công nghệ VPN
Có thế chia VPN thành 2 loại công nghệ là: Site - to - site VPN và Remote Access
VPN.
1.6.1 Site - to - site VPN:
Theo cách hiểu đơn giản nhất thì VPN là một kết nối giữa 2 thiết bị đầu
cuối trên mạng công cộng để tạp nên một kết nối phù hợp với như cầu của công
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 6

ty, doanh nghiệp. Các kết nối này có thể thực hiện ở lớp 2 (Layer 2) hoặc lớp 3
(Layer 3) trong mô hình 7 lớp OSI và công nghệ VPN có thế được phân thành
Layer 2VPN và Layer 3 VPN. Việc thiết lập kết nối site - to - site trên Layer 2
hoặc Layer 3 là như nhau.
1.6.1.1 Layer 2 VPN
Layer 2 VPN hoạt động ở lớp 2 của mô hình 7 lớp OSI, đó là những kết nối
point - to - point và thiết lập kết nối giữa các trụ sở trên một mạch ảo (Virtual
Curcuit). Một mạch ảo là một kết nối end - to - end hợp lý giữa hai thiết bị đầu
cuối trong một mạng và có thể mở rộng nhiều yếu tố, nhiều phân đoạn vật lý của
một mạng. Các mạch ảo được cấu hình end - to - end và được gọi là một mạch ảo
thường trực (PVC). ATM và Frame Relay là hai trong số các công nghệ phổ biến
nhất ở Layer 2 VPN. Hai công nghệ này có thể cung cấp kết nối site - to - site cho

một công ty bằng cách cấu hình mạch ảo vĩnh viễn trên một mạng back - point
được chia sẻ.
Một trong những ưu điểm của Layer 2 VPN là sự độc lập lưu lượng có thể
thực hiện trên nó. ATM và Frame Relay dùng kết nối giữa các trụ sở có thể mạng
theo nhiều công nghệ của Layer 3 như IP, IPX, Apple Talk. Mặt khác ATM và
Frame Relay cũng cung cấp chất lượng dịch vụ (QoS), một điều rất quan trọng
trong các hệ thống mạng yêu cầu độ trễ như voice, video.
1.6.1.2 Layer 3 VPN
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 7

Một kết nối giữa các site có thể thực hiện trên lớp 3 (Network Layer) trên
mô hình 7 lớp OSI. Ví dụ phổ biến của Layer 3 VPN như GRE (Generic Routing
Encapsulation), MPLS (Multiprotocol Label Switchin) và IPSec VPN. Layer 3
VPN có thể là một kết nối point - to - point để kết nối 2 site như GRE hoặc IPSec
VPN hoặc thiết lập một kết nối any - to - any bằng cách dùng MPLS, một công
nghệ mà các nhà cung cấp dịch vu đang đầu tư rất lớn.
1.6.1.3 GRE
Là giao thức được phát triển đầu tiên bởi Cisco với mục đích tạo ra các
kênh truyền ảo (tunnel) để mang các giao thức Layer 3 thông qua mạng IP.
Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc
trưng chỉ định trong gói IP Header và tạo ra một kết nối ảo đến Cisco router cần
đến. Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi
trường có một giao thức chính, GRE Tunnel cho phép các giao thức khác nhau có
thể thuận lợi trong việc định tuyến cho gói tin.
1.6.1.4 MPLS VPN
MPLS là chuyển mạch nhãn đa giao thức được phát triển tiên phong bởi
Cisco. Một nguyên tắc phổ biến trong các công nghệ VPN là đóng gói dữ liệu với
một header, MPLS VPN sử dụng các nhãn để đóng gói dữ liệu, sau đó tạo thành

kết nối VPN giữa các site.
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 8

Một trong những lợi thế của MPLS VPN so với các công nghệ khác là nó
cung cấp sự linh hoạt để cấu hình tùy ý cấu trúc liên kết giữa các trụ sở VPN dựa
trên hạ tầng mạng có sẵn.

Hình 1.3 Mô hình MPLS VPN

1.6.2 Remote Access VPN
Như đã phân loại ở trên, VPN gồm site - to - site VPN và Remote Access
VPN. Trong đó, site - to - site VPN là các kết nối tĩnh, các site đều biết thông tin
cấu hình của nhau nên không đáp ứng được nhu cầu với các user di chuyển nhiều.
Ví dụ như các nhân viên làm việc từ xa (telecommuters) có thể truy cập vào dữ
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 9

liệu của các chi nhánh xa, từ đó giúp cho công việc đạt hiệu suất cao hơn. Hai
trong số các phương thức truy cập từ xa để VPN vào mạng nội bộ phổ biến là
Layer 2 Tunneling Protocol (L2TP) và IPSec VPN.
1.6.2.1 L2TP
Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sửdụng Layer 2
Forwarding (L2F) nhưlà giao thức chuẩn đểtạo kết nối VPN. L2TP ra đời sau với
những tính năng được tích hợp từL2F. L2TP là dạng kết hợp của Cisco L2F và
Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft hỗtrợ chuẩn PPTP
và L2TP trong các phiên bản WindowNT và 2000. L2TP được sử dụng đểtạo kết
nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up

Network). L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo
mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của
mạng nội bộ công ty. L2TP không cung cấp mã hóa.
1.6.2.2 IPSec
Một trong những sự quan tâm hàng đầu trong mạng VPN chính là sự an
toàn dữ liệu khi truyền thông mạng Internet. Có nghĩa là làm thế nào để chống
việc nghe trộm hay ăn cắp thông tin trong mạng VPN?
Mã hóa dữ liệu là một trong những cách để bảo vệ trước sự tấn công trên.
Mã hóa dữ liệu có thể thực hiện bằng cách dùng các thiết bị mã hóa - giải mã ở
mỗi site. IPSec là một bộ các giao thức được phát triển dưới sự bảo trợ của IETF
(Internet Engineering Task Force) để cung cấp các dịch vụ an toàn trên nền tảng
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 10

mạng chuyển mạch gói IP. Internet là mạng chuyển mạch gói phổ biến toàn cầu
nên IPSec VPN được triển khai thông qua mạng Internet. Chính vì thế có thê tiết
kiệm một chi phí đáng kể cho một công ty so với 1 đường truyền Leased Line.
IPSec cung cấp tính toàn vẹn (Intergery), tính xác thực (Authentication),
kiểm soát truy cập (Access Control) và tính bảo mật (Configurity). Với IPSec,
thông tin trao đổi giữa các chi nhánh từ xa có thể được mã hóa hoặc xác minh,
tránh được tình trạng mất mát dữ liệu khi truyền trong mạng Internet.
IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao
gồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu (integrity) và
việc chứng thực dữ liệu (Authentication). IPSec cung cấp dịch vụbảo mật sử dụng
KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục
bộ(group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sửdụng
trong IPSec.
Nghiên cứu và triển khai VPN trên thiết bị Cisco


SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 11


Hình 1.4 Mô hình dùng IPSec
Chương 2: TÌM HIỂU VỀ IPSEC
Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security. Nó
có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140, ) được phát triển bởi
Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec
là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa vào các giao thức IP.
Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng
được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (đó là lý do tại sao IPSec được
phát triển giao thức ở tầng 3 thay vì tầng 2). IPSec VPN dùng các dịch vụ được
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 12

định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí
mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng.
Encapsulating Security Payload (ESP) và Authentication Header (AH) là
hai giao thức được sử dụng để cung cấp tính toàn vẹn cho các gói tin IP. Nhưng
trước hết ta phải tìm hiểu về hai cơ chế hoạt động trong IPSec gồm có IPSec
Transport Mode và IPSec Tunnel Mode và các dịch vụ của nó.
2.1 IPSec Transport Mode
Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong
Transport mode , một IPSec Header (có thể là ESP hay AH) được chèn giữa phần
IP Header và phần header của tầng trên.

Hình 2.1 Mô hình Transport mode packet
Như mô hình trên, AH hoặc ESP sẽ được đặt sau IP header nguyên thủy. Vì

vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ
nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗtrợ IPSec. Chế độ
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 13

transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi gói tin và nó cũng
cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả
năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các
thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới
hạn khả năng kiểm tra của gói.
Khó khăn lớn nhất trong việc triển khai Transport mode trong thực tế là sự
phức tạp trong việc quản lý bảo mật các gói tin IP, vì trường IP Header trong
Transport mode không được mã hoá cộng với sự phức tạp trong việc định tuyến
giữ các site. Do sự phức tạp trong việc triển khai trong thực tế, nên người ta sẽ sử
dụng một VPN gateway để bảo vệ dữ liệu từ tất cả các site đến một site ngang
hàng.
2.2 IPSec Tunnel Mode
IPSec VPN sử dụng Transport mode và cơ chế đóng gói GRE là những
cách sử dụng phổ biến tại các site trong một mạng site - to - site VPN. Nhưng vì
một lý do nào đó một site lại không hỗ trợ GRE nhưng lại đòi hỏi thiết lập IPSec
VPN với các site khác. Trong trường hợp này IPSec Tunnel mode sẽ giúp giải
quyết vấn đề này một cách nhanh chóng.
Trong IPSec Tunnel mode, gói tin IP sẽ được đóng gói thêm một IP Header
mới và các IPSec Header (ESP hoặc AH) sẽ được chèn giữa IP Header cũ và mới.
Bởi vì được đóng gói với một IP Header mới nên IPSec Tunnel mode sẽ dùng để
tăng cường tính bảo mật trong việc truyền tải dữ liệu giữa các site thông qua hạ
tầng mạng công cộng.
Nghiên cứu và triển khai VPN trên thiết bị Cisco


SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 14

Các giao thức bảo mật trong IPSec gồm hai giao thức chính là ESP và AH.
ESP sử dụng IP Protocol number 50 và AH sử dụng IP Protocol number 51.
IPSec hoạt động ở hai mode chính đã nói ở trên là Transport mode và
Tunnel mode. Khi hoạt động ở Transport mode thì IP Header vẫn được giữ
nguyên và lúc này giao thức ESP sẽ được chèn vào giữa tải (Payload) và IP
Header của gói tin. Còn ở Tunnel mode thì sau khi đóng gói dữ liệu thì giao thức
ESP sẽ mã hoá payload và sẽ chèn một IP Header mới vào gói tin trước khi
forward đi.


2.3 Tổng quan về ESP và AH
2.3.1 ESP
Giao thức này đảm nhận công việc mã hoá, xác thực và đảm bảo tính toàn
vẹn dữ liệu. Sau khi đóng gói bằng giao thức ESP, mọi thông tin dùng mã hoá và
giải mã gói tin sẽ nằm trong ESP Header. Các thuật toán mã hoá dùng trong giao
thức này như là DES, 3DES, AES, MD5, SHA, Nhưng sự mã hoá của ESP có
thể bị vô hiệu hoá thông qua thuật toán mã hoá Null ESP Algorithm. Do đó ESP
có thể cung cấp chỉ mã hoá dữ liệu hoặc chỉ đảm bảo tính toàn vẹn dữ liệu hoặc
mã hoá và đảm bảo tính toàn vẹn dữ liệu.
2.3.1.1 ESP Mode
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 15

ESP hoạt động được ở hai mode: Transport mode và Tunnel mode
 Transport mode: ESP sử dụng IP header gốc của gói tin. ESP chỉ có thể mã
hoá hoặc đảm bảo tính toàn vẹn dữ liệu. ESP trong Transport mode không
tương thích với NAT

 Tunnel mode: ESP tạo ra một IP header mới cho mỗi gói tin và IP header
mới đó liệt kê các đầu cuối của ESP Tunnel nguồn và đích của gói tin. ESP
Tunnel mode được sử dụng phổ biến hơn Transport mode vì tốc độ truyền
nhanh hơn.


2.3.1.2 ESP Packet Fields
ESP thêm một header và trailer vào xung quanh nội dung của mỗi gói tin.
ESP Header được cấu thành bởi hai trường là: SPI và Sequence Number
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 16


Hình 2.2 ESP Packet Field
 SPI (32 bit): mỗi đầu cuối của mỗi kết nối IPSec được tuỳ chọn giá trị SPI.
Phía nhận sử dụng giá trị SPI với địa chỉ đích và giao thức IPSec sẽ xác
định chính sách SA (Security Associate) duy nhất áp dụng cho gói tin.
 Sequence Number: Thường được dùng cung cấp dịch vụ anti - replay. Khi
SPI được thiết lập, chỉ số này là 0. Trước khi mỗi gói tin được gửi, chỉ số
này luôn tăng lên 1 và được đặt trong ESP header. Để chắc chắn rằng không
có gói tin nào được công nhận thì chỉ số này không được phép ghi lên bằng
0.
 Phần kế tiếp là Payload, được tạo bởi payload data đã được mã hoá và
Initialization Vector (IV) không được mã hoá. Giá trị của IV trong suốt quá
trình mã hoá là khác nhau trong mỗi gói tin.
 Phần tiếp theo của gói tin là ESP Trailer, gồm 2 trường nhỏ là:
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 17


i. Padding (0 - 255 bytes): được thêm vào cho đủ kích thước của mỗi
gói tin.
ii. Padlength: Chiều dài của padding.
 Next Header: Trong Tunnel mode, payload là gói tin IP, giá trị Next Header
được cài đặt là 4. Trong Transport mode, payload luôn là giao thức lớp 4.
Nếu giao thức lớp 4 là TCP thì giá trị Next Header là 6, là UDP thì giá trị
Next Header là 17. Mỗi ESP Trailer luôn chứa một giá trị Next Header.
 Authentication data: trường này chứa giá trị Intergrity Check Value (ICV)
cho gói tin ESP, ICV được tính lên toàn bộ gói tin ESP, công nhận cho
trường dữ liệu xác thực của nó.
2.3.1.3 Quá trình hoạt động và mã hoá của ESP

Hình 2.3 Hoạt động của ESP
ESP sử dụng mật mã đối xứng để cung cấp sự mật mã hoá dữ liệu cho gói
tin IPSec. Cả hai bên đầu cuối đều phải dùng chung một key giống nhau mới mã
hoá và giải mã chính xác gói tin. Khi một đầu cuối mã hoá thì nó sẽ chia gói tin
thành các block nhỏ và sau đó thực hiện mã hoá nhiều lần, sử dụng các block dữ
Nghiên cứu và triển khai VPN trên thiết bị Cisco

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 18

liệu và key. Khi một đầu cuối nhận được dữ liệu mã hoá, nó dùng key giống như
lúc mã hoá của nguồn và thực hiện quá trình ngược với lúc mã hoá để giải mã dữ
liệu chính xác.
Gói tin ESP có chứa 5 đoạn: Ethernet Header, IP Header, ESP
Header,Encrypted Data và Authentication. Dữ liệu được mã hoá không thể xác
định dù gói tin truyền trong Transport mode hay Tunnel mode. Tuy vậy, vì IP
Header không được mã hoá nên trường giao thức IP trong header vẫn phát hiện
được giao thức dùng cho payload.


Hình 2.4 ESP Packet Capture
Hình dưới cho thấy, các trường ESP Header từ 4 gói tin đầu trong ESP
session giữa host A và B. Mỗi host dùng một giá trị SPI khác nhau, và giá trị
Sequence Number là 1 và tăng dần lên cho các gói tin sau.