Tải bản đầy đủ (.pdf) (53 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP NHỎ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.31 MB, 53 trang )

MỤC LỤC
LỜI MỞ ðẦU ........................................................................................................ 3
BẢNG ðỐI CHIẾU CỤM TỪ VIẾT TẮT ........................................................... 4
CHƯƠNG 1 ........................................................................................................... 5
TỔNG QUAN VỀ VPN (VIRTUAL PRIVATE NETWORK) ............................ 5
1.1. ðỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ðIỂM CỦA VPN ....................... 5
1.1.1. Khái niệm cơ bản về VPN ................................................................... 5
1.1.2. Chức năng của VPN ............................................................................. 6
1.1.3. Ưu ñiểm của VPN ................................................................................ 6
1.1.4. Các yêu cầu cơ bản ñối với một giải pháp VPN .................................. 8
1.1.5. ðường hầm và mã hóa ......................................................................... 9
1.2. CÁC KIỂU VPN ......................................................................................... 9
1.2.1. VPN truy cập từ xa (Remote Access VPNs)...................................... 10
1.2.2. VPN nội bộ (Intranet VPNs) .............................................................. 11
1.2.3. VPN mở rộng (Extranet VPNs) ......................................................... 13
CHƯƠNG 2 ......................................................................................................... 14
CÁC GIAO THỨC BẢO MẬT TRÊN VPN....................................................... 14
2.1. CÁC GIAO THỨC ðƯỜNG HẦM TRONG VPN ................................. 14
2.1.1. Giao thức ñường hầm ñiểm nối ñiểm (PPTP) .................................... 15
2.1.2. Giao thức chuyển tiếp lớp hai (L2F) .................................................. 19
2.1.3. Giao thức ñường hầm lớp hai (L2TP) ................................................ 21
2.1.4. Giao thức ñóng gói ñịnh tuyến chung (GRE) .................................... 26
2.1.5. Giao thức bảo mật IP (IPSec)............................................................. 27
2.2. BẢO MẬT TRONG VPN......................................................................... 32
2.2.1. Tổng quan về an ninh mạng ............................................................... 32
-1-


2.2.2. Một số phương thức tấn công mạng phổ biến.................................... 33
2.2.3. Các kỹ thuật bảo mật trong VPN ....................................................... 35
CHƯƠNG 3 ......................................................................................................... 37


TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP
NHỎ.......................................................................................................................... 37
3.1. PHÂN TÍCH NHU CẦU SỬ DỤNG VPN .............................................. 37
3.1.1. Hạ tầng mạng hiện tại ........................................................................ 37
3.1.2. Nhu cầu của doanh nghiệp ñối với dịch vụ VPN ............................... 37
3.2. CÁC BƯỚC TRIỂN KHAI ...................................................................... 38
3.2.1. Phần cứng, phần mềm ........................................................................ 38
KẾT LUẬN .......................................................................................................... 49
TÀI LIỆU THAM KHẢO .................................................................................... 51

-2-


LỜI MỞ ðẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự
phát triển của mạng internet ngày càng phát triển ña dạng và phong phú. Các dịch
vụ trên mạng ñã thâm nhập vào hầu hết các lĩnh vực trong ñời sống xã hội. Các
thông tin trên Internet cũng ña dạng về nội dung và hình thức, trong ñó có rất nhiều
thông tin cần ñược bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy
của nó.
Bên cạnh ñó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn.
Do ñó ñối với mỗi hệ thống, nhiệm vụ bảo mật ñược ñặt ra cho người quản trị mạng
là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế ñó, ñã có nhiều công
nghệ liên quan ñến bảo mật hệ thống mạng máy tính xuất hiện, việc nắm bắt các
công nghệ này là rất cần thiết.
Chính vì vậy, thông qua việc nghiên cứu một cách tổng quan về bảo mật hệ
thống và công nghệ liên quan ñến bảo mật hệ thống ñó là công nghệ Mạng Riêng
Ảo (Virtual Private Network - VPN) trong ñồ án này của tôi có thể góp phần vào
việc hiểu biết thêm và nắm bắt rõ kỹ thuật VPN trong doanh nghiệp cũng như trong
nhà trường giúp cho việc học tập và nghiên cứu.

Bảo mật hệ thống và kỹ thuật VPN là một vấn ñề rộng rãi và còn mới ñối với
Việt Nam, mặc dù là sinh viên học ngành quản trị mạng nhưng kinh nghiệm làm
việc và kỹ thuật còn hạn chế, nội dung của tài liệu còn có phần sai sót nên mong các
Thầy cùng các bạn sinh viên ñóng góp nhiều ý kiến bổ sung thêm ñể tôi có thể hoàn
thành ñồ án này một cách chính xác và hữu ích hơn. Trong quá trình xây dựng ñồ án
này, tôi ñã nhận ñược nhiều sự giúp ñỡ, góp ý của các giảng viên cùng các bạn
trong lớp. Tôi xin chân thành cảm ơn sự hướng dẫn của Thầy Trần Bàn Thạch là
thầy trực tiếp hướng dẫn ñồ án chuyên ngành cho tôi, giúp tôi có thể hoàn thành ñồ
án này.
ðà Nẵng, ngày….tháng….năm 2010
Sinh viên thực hiện

Tăng Viết Tuân

-3-


BẢNG ðỐI CHIẾU CỤM TỪ VIẾT TẮT
Danh sách ñiều khiển truy nhập

Access Control List (ACL)

Xác thực tiêu ñề

Authentication Header (AH)

ðóng gói bảo mật tải

Encapsulation Security Payload (ESP)


Giao thức mã hóa ñịnh tuyến

Generic Routing Encapsulution (GRE)

Nhà cung cấp dịch vụ Internet

Internet Service Provides (ISP)

Giao thức Internet

Internet Protocol (IP)

Bảo mật ñịa chỉ IP

IP Security (IPSec)

Nhóm ñặc nhiệm kỹ thuật Internet

Internet Engineering Task Force (IETF)

Giao thức thông ñiệp ñiều khiển
Internet

Internet Control Message Protocol (ICMP)

Giao thức quản lý nhóm Internet

Internet Group Management Protocol (IGMP)

Trao ñổi khóa Internet


Internet Key Exchange (IKE)

Giao thức ñiều khiển chuyển ñổi

Transfer Control Protocol/Internet Protocol (TCP/IP)

Máy chủ truy cập mạng

Network Access Server (NAS)

Truy cập tập trung giao thức tầng
hầm lớp 2

L2TP Access Concentrator (LAC)

Máy chủ mạng L2TP

L2TP Network Server (LNS)

Mạng cục bộ

Local Area Network (LAN)

Giao thức ñường hầm lớp 2

Layer 2 Tunneling Protocol (L2TP)

Chuyển tiếp lớp 2


Layer 2 Forwarding (L2F)

Mô hình liên kết các hệ thống mở

Open Systems Interconnection (OSI)

Giao thức ñiểm nối ñiểm

Point to Point Protocol (PPP)

Giao thức ñường hầm ñiểm nối
ñiểm

Point to Point Tunneling Protocol (PPTP)

Chất lượng phục vụ

Quanlity of Service v(QoS)

Máy chủ truy cập từ xa

Remote Access Server (RAS)

Mạng riêng ảo

Virtual Private Network (VPN)

Mạng diện rộng

Wide Area Network (WAN)


-4-


CHƯƠNG 1
TỔNG QUAN VỀ VPN (VIRTUAL PRIVATE NETWORK)
1.1. ðỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ðIỂM CỦA VPN
1.1.1. Khái niệm cơ bản về VPN
Phương án truyền thông nhanh, an toàn và tin cậy ñang trở thành mối quan tâm
của nhiều doanh nghiệp, ñặc biệt là các doanh nghiệp có các ñịa ñiểm phân tán về
mặt ñịa lý. Nếu như trước ñây giải pháp thông thường là thuê các ñường truyền
riêng (leased lines) ñể duy trì mạng WAN (Wide Are Network). Các ñường truyền
này giới hạn từ ISDN (128Kbps) ñến ñường cáp quang OC3 (Optical carrier-3,
155Mbps). Mỗi mạng WAN ñều có các ñiểm thuận lợi trên một mạng công cộng
như Internet trong ñộ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng ñể bảo trì
một mạng WAN, ñặc biệt khi sử dụng các ñường truyền riêng, có thể trở nên quá
ñắt khi doanh nghiệp muốn mở rộng các chi nhánh.
Khi tính phổ biến của Internet gia tăng, các doanh nghiệp ñầu tư vào nó như một
phương tiện quảng bá và mở rộng các mạng mà họ sở hữu. Ban ñầu là các mạng nội
bộ (Intranet) mà các site ñược bảo mật bằng mật khẩu ñược thiết kế cho việc sử
dụng chỉ bởi các thành viên trong công ty.

Hình 1.1 Mô hình VPN cơ bản
Về căn bản, mỗi VPN là một mạng riêng lẻ sử dụng một mạng chung (thường là
Internet) ñể kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng
từ xa. Thay cho việc sử dụng bởi kết nối thực, chuyên dụng như ñường Leased
-5-


Line, mỗi VPN sử dụng các kết nối ảo ñược dẫn qua ñường Internet từ mạng riêng

của công ty tới các site của các nhân viên từ xa.
Những thiết bị ở ñầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall.
Những thiết bị này có thể ñược quản trị bởi công ty hoặc các nhà cung cấp dịch vụ
như ISP.
VPN ñược gọi là mạng riêng ảo vì ñây là một cách thiết lập một mạng riêng qua
một mạng công cộng sử dụng các kết nối tạm thời. Những kết nối bảo mật ñược
thiết lập giữa hai host, giữa host và mạng hoặc giữa hai mạng với nhau.
Một VPN có thể xây dựng bằng cách sử dụng “ðường hầm” và “Mã hóa”. VPN
có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI. VPN là sự cải tiến cơ sở hạ
tầng mạng WAN mà làm thay ñổi hay làm tăng thêm tính chất của các mạng cục bộ.
1.1.2. Chức năng của VPN
VPN cung cấp ba chức năng chính:
Sự tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi
truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có thể truy
cập thông tin mà không ñược phép. Và nếu có lấy ñược thì cũng không ñọc ñược.
Tính toàn vẹn (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu ñã ñược
truyền qua mạng Internet mà không có sự thay ñổi nào.
Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn
gốc của gói dữ liệu, ñảm bảo và công nhận nguồn thông tin.
1.1.3. Ưu ñiểm của VPN
VPN có nhiều ưu ñiểm hơn so với các mạng leased line truyền thống. Các ưu
ñiểm cơ bản ñó là:
VPN làm giảm chi phí hơn so với mạng cục bộ: Tổng giá thành của việc sở hữu
một mạng VPN sẽ ñược thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông
ñường truyền, các thiết bị mạng ñường trục và hoạt ñộng của hệ thống. Giá thành
cho việc kết nối LAN to LAN giảm từ 20-30% so với việc sử dụng ñường truyền
leased line truyền thống. Việc truy cập từ xa thì giảm từ 60-80%.
VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN ñã kế thừa
phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các
-6-



mạng WAN truyền thống. ðiều này giúp các doanh nghiệp có thể nhanh chóng và
hiệu quả kinh tế cho việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, các người
sử dụng di ñộng…,và mở rộng các ñối tác kinh doanh khi có nhu cầu.
VPN làm ñơn giản hóa cho việc quản lý các công việc so với việc sở hữu và vận
hành một mạng cục bộ: Các doanh nghiệp có thể cho phếp sử dụng một vài hay tất
cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vaofcacs ñối
tượng kinh doanh chính thay vì quản lý một mạng WAN hay mạng quay số từ xa.
VPN cung cấp các kiểu mạng ñường hầm và làm giảm thiểu các công việc quản
lý: Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố ñịnh tương
ứng với các giao thức kết nối như là Frame Relay và ATM. ðiều này tạo ra một
kiểu mạng lưới hoàn chỉnh trong khi giảm ñược ñộ phức tạp và giá thành.

Hình 1.2 Ưu ñiểm của VPN so với mạng truyền thông
Một mạng VPN có ñược những ưu ñiểm của mạng cục bộ trên cơ sở hạ tầng của
mạng IP công cộng. Các ưu ñiểm này bao gồm tính bảo mật và sử dụng ña giao
thức.
Một mạng ảo ñược tạo ra nhờ các giao thức ñường hầm trên một kết nối IP
chuẩn. Các loại công nghệ ñường hầm ñược dùng phổ biến cho truy cập VPN gồm
có giao thức ñịnh ñường hầm ñiểm-ñiểm PPTP (Point to Point Tunneling Protocol),
chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) hoặc giao thức ñịnh ñường hầm lớp 2
L2TP (Layer 2 Tunneling Protocol) và IPSec (IP Security) hoặc gói ñịnh tuyến
chung GRE (Generic Router Encapsulation) ñể tạo nên các ñường hầm ảo thường
trực.

-7-


1.1.4. Các yêu cầu cơ bản ñối với một giải pháp VPN

Có 4 yêu cầu cần ñạt ñược khi xây dựng mạng riêng ảo:
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp ñều ñược xây
dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác
nhau và không tuân theo một chuẩn nhất ñịnh của nhà cung cấp dịch vụ. Rất nhiều
các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực
tiếp với Internet. ðể có thể sử dụng ñược IP VPN tất cả các hệ thống mạng riêng
ñều phải ñược chuyển sang một hệ thống ñịa chỉ theo chuẩn sử dụng trong Internet
cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài ñặt cổng kết nối Internet
có chức năng trong việc chuyển ñổi các thủ tục khác nhau sang chuẩn IP. 77% số
lượng khách hàng ñược hỏi yêu cầu khi chon một nhà cung cấp dịch vụ IP VPN
phải tương thích với các thiết bị hiện có của họ.
Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng
nhất ñối với một giải pháp VPN. Người sử dụng cần ñược ñảm bảo các dữ liệu
thông qua mạng VPN ñạt ñược mức ñộ an toàn giống như trong một hệ thống mạng
dùng riêng do họ tự xây dựng và quản lý.
Việc cung cấp các tính năng bảo ñảm an toàn cần ñảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử
dụng trong mạng và mã hóa dữ liệu khi truyền.
- ðơn giản trong việc duy trì quản lý, sử dụng. ðòi hỏi thuận tiện và ñơn giản cho
người sử dụng cũng như nhà quản trị mạng trong việc cài ñặt cũng như quản trị hệ
thống.
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp ñược
tính bảo ñảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.
Tiêu chuẩn về chất lượng dịch vụ (Quality of Service): Tiêu chuẩn ñánh giá của
một mạng lưới có khả năng ñảm bảo chất lượng dịch vụ cung cấp ñầu cuối ñến ñầu
cuối. QoS liên quan ñến khả năng ñảm bảo ñộ trễ dịch vụ trong một phạm vi nhất
ñịnh hoặc liên quan ñến cả hai vấn ñề trên.

-8-



1.1.5. ðường hầm và mã hóa
Chức năng chính của VPN ñó là cung cấp sự bảo mật bằng cách mã hóa qua một
ñường hầm.

Hình 1.3 ðường hầm và mã hóa của VPN
ðường hầm (Tunnel): Các ñường hầm chính là ñặc tính ảo của VPN, nó làm cho
một kết nối dường như một dòng lưu lượng duy nhất trên ñường dây. ðồng thời còn
tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như ñã
ñược áp dụng trong mạng nội bộ, bảo ñảm cho vai trò kiểm soát dòng lưu chuyển
dữ liệu. ðường hầm cũng làm cho VPN có tính riêng tư. Mã hóa ñược sử dụng ñể
tạo kết nối ñường hầm ñể dữ liệu chỉ có thể ñược ñọc bởi người nhận và người gửi.
Mã hóa (Encryption): Chắc chắn bản tin không bị ñọc bởi bất kỳ ai nhưng có thể
ñọc ñược bởi người nhận. Khi mà càng có nhiều thông tin lưu thông trên mạng thì
sự cần thiết ñối với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến
ñổi nội dung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong
dạng mật mã của nó. Chức năng giải mã ñể khôi phục văn bản mật mã thành nội
dung thông tin có thể dùng ñược cho người nhận. Mã hóa là tính năng tùy chọn nó
cũng ñóng góp vào ñặc ñiểm “riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho
những dòng dữ liệu quan trọng ñặc biệt, còn bình thường thì không cần vì việc mã
hóa có thể ảnh hưởng xấu ñến tốc ñộ, tăng gánh nặng cho bộ xử lý.
1.2. CÁC KIỂU VPN
VPNs nhằm hướng vào ba yêu cầu cơ bản sau ñây:
Có thể truy cập bất cứ lúc nào bằng ñiều khiển từ xa, bằng ñiện thoại cầm tay và
việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng.
-9-


Kết nối thông tin liên lạc giữa các chi nhánh văn phòng từ xa.
ðược ñiều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhà

cung cấp và những ñối tượng quan trọng của công ty nhằm hợp tác kinh doanh.
Dựa trên những yêu cầu cơ bản ñó, ngày nay VPNs ñã phát triển và phân chia
làm thành ba kiểu VPN chính như sau:
Remote Access VPNs
Intranet VPNs
Extranet PVNs
1.2.1. VPN truy cập từ xa (Remote Access VPNs)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, Mobile và
các thiết bị truyền thông của nhân viên các chi nhánh kết nối ñến tài nguyên mạng
của tổ chức.
Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm
VPN ñể truy cập vào mạng Intranet của công ty họ thông qua gateway hoặc VPN
concentrator (bản chất là một server). Vì lý do ñó nên giải pháp này ñược gọi là
client/server. Trong giải pháp này thì người dùng thường sử dụng công nghệ WAN
truyền thống ñể tạo lại các Tunnel về mạng của họ.
Hướng phát triển mới trong Remote Access VPNs là dùng wireless VPN, trong
ñó một nhân viên có thể truy cập về mạng của họ thông qua mạng không dây. Trong
thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless terminal
và sau ñó về mạng của công ty.
Một số thành phần chính:
Remote Access Server (RAS): ñược ñặt tại trung tâm có nhiệm vụ xác nhận và
chứng nhận các yêu cầu gửi tới.
Quay số kết nối tới trung tâm, ñiều này sẻ làm giảm chi phí cho một số yêu cầu ở
khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ
truy cập từ xa bởi người dùng.
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi
nhánh văn phòng chỉ cần cài ñặt một kết nối cục bộ ñến nhà cung cấp dịch vụ ISP
hoặc ISP’s POP và kết nối ñến tài nguyên thông qua Internet.
-10-



Hình 1.4 Mô hình Remote Access VPNs
Một số thuận lợi của Remote Access VPNs:
- Sự cần thiết của RAS và việc kết hợp với modem ñược loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân ñược loại trừ bởi vì kết nối từ xa ñã
ñược tạo ñiều kiện thuận lợi bởi ISP.
- Việc quay số từ xa ñược loại trừ
- Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
- Tốc ñộ kết nối sẽ cao hơn so với kết nối trực tiếp ñến những khoảng cách xa.
Một số bất lợi khác:
- Không ñảm bảo ñược chất lượng phục vụ
- Khả năng mất dữ liệu rất cao.
- Do phải truyền thông qua Internet nên khi trao ñổi các gói dữ liệu lớn như các
gói dữ liệu truyền thông, phim ảnh, âm thanh rất chậm.
1.2.2. VPN nội bộ (Intranet VPNs)
Intranet VPNs ñược sử dụng ñể kết nối ñến các chi nhánh văn phòng của tổ chức
ñến Corporate Intranet (backbone router) sử dụng campus router. Theo mô hình này
sẽ rất tốn chi phí do phải sử dụng 2 router ñể thiết lập ñược mạng, thêm vào ñó việc
triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc
vào lượng lưu thông trên mạng ñi trên nó và phạm vi ñịa lý của toàn bộ mạng
Intranet.

-11-


ðể giải quyết vấn ñề trên, sự tốn kém của WAN backbone ñược thay thế bởi các
kết nối Internet với chi phí thấp, ñiều này có thể giảm một lượng chi phí ñáng kể
cuản việc triển khai mạng Intranet.
Intranet VPNs là một VPN nội bộ ñược sử dụng ñể bảo mật các kết nối giữa các

ñịa ñiểm khác nhau của một công ty. Các VPN nội bộ liên kết các trụ sở chính, các
văn phòng và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các
kết nối mà luôn luôn ñược mã hóa dữ liệu. Kiểu VPN này thường ñược cấu hình
như là một VPN Site-to-Site.

Hình 1.5 Mô hình Intranet VPNs
Một số thuận lợi của Intranet VPNs:
- Giảm chi phí mua router ñược sử dụng ở WAN backbone
- Giảm nhân sự ở các trạm kết nối
- Dể dàng thiết lập những kết nối Peer-to-Peer mới vì có môi trường Internet làm
trung gian.
- Hiệu quả kinh tế có thể ñạt ñược bằng cách sử dụng ñường hầm VPN kết hợp với
kỹ thuật chuyển mạch nhanh như FR
- Truy xuất thông tin nhanh hơn và tốt hơn nhờ kết nối Dial-up cục bộ với ISP
- Giảm chi phí vận hành cho các doanh nghiệp
Một số bất lợi khác:
- Nguy cơ bị tấn công bằng từ chối dịch vụ (denial-of-service) vẫn còn là mối ñe
dọa an toàn thông tin
- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.

-12-


- Có thể gây quá tải, chậm hệ thống khi truyền những dữ liệu ña phương tiện vì
phụ thuộc vào mạng Internet.
1.2.3. VPN mở rộng (Extranet VPNs)
Không giống như giải pháp Intranet VPN và Remote Access VPN, Extranet VPN
không tách riêng với thế giới bên ngoài. Extranet VPN cho phép ñiều khiển sự truy
xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các ñối tác, khách
hàng hay nhà cung cấp, những người ñóng vai trò quan trọng trong hoạt ñộng

thương mại của tổ chức.

Hình 1.6 Mô hình Extranet VPNs
Các VPN mở rộng cung cấp một ñường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các ñối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối
mà luôn luôn ñược bảo mật. Kiểu VPN này thường ñược cấu hình như là một VPN
Site-to-Site. Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng ñó là sự truy
cập mạng mà ñược công nhận ở một trong hai ñầu cuối của VPN.
Một số thuận lợi của Extranet VPNs:
- Giảm chi phí rất nhiều so với phương pháp truyền thống.
- Dễ bảo trì và chỉnh sữa các thiết lập có sẵn.
- Do sử dụng ñường truyền Internet nên sẽ có nhiều sự lựa chọn dịch vụ sao cho
phù hợp với nhu cầu tổ chức.
- Do các thành phần Internet ñược bảo trì bởi ISP (nhà cung cấp dịch vụ Internet)
nên giảm ñược chi phí nhân sự do ñó giảm chi phí vận hành của toàn hệ thống.
Một số bất lợi khác:
-13-


- Nguy cơ bị tấn công DoS khá cao.
- Tăng rủi ro thâm nhập vào Intranet của tổ chức.
- Gây chậm ñường truyền và hệ thống khi truyền dữ liệu ña phương tiện do phụ
thuộc ñường truyền vào Internet.

Hình 1.7 Mô hình ba kiểu VPN

CHƯƠNG 2
CÁC GIAO THỨC BẢO MẬT TRÊN VPN
2.1. CÁC GIAO THỨC ðƯỜNG HẦM TRONG VPN
Giao thức ñường hầm là một nền tảng trong VPN. Giao thức ñường hầm ñóng

vai trò quan trọng trong việc thực hiện ñóng gói và vận chuyển gói tin ñể truyền
trên ñường mạng công cộng. Có ba giao thức ñường hầm cơ bản và ñược sử dụng
nhiều trong thực tế và ñang ñược sử dụng hiện nay là giao thức tầng hầm chuyển
tiếp lớp 2 L2F, giao thức ñường hầm ñiểm tới ñiểm (PPTP), giao thức tầng hầm lớp
2 Layer. Trong chương này sẽ ñi sâu hơn và cụ thể hơn các giao thức ñường hầm
nói trên. Nó liên quan ñến việc thực hiện IP-VPN trên mạng công cộng.
-14-


2.1.1. Giao thức ñường hầm ñiểm nối ñiểm (PPTP)
Giao thức này ñược nghiên cứu và phát triển bởi công ty chuyên về thiết bị công
nghệ viễn thông. Trên cơ sở của giao thức này là tách các chức năng chung và riêng
của việc truy nhập từ xa, dựa trên cơ sở hạ tầng Internet có sẵn ñể tạo kết nối ñường
hầm giữa người dùng và mạng riêng ảo. Người dùng ở xa có thể dùng phương pháp
quay số tới các nhà cung cấp dịch vụ Internet ñể có thể tạo ñường hầm riêng ñể kết
nối tới truy nhập tới mạng riêng ảo của người dùng ñó. Giao thức PPTP ñược xây
dựng dựa trên nền tảng của PPP, nó có thể cung cấp khả năng truy nhập tạo ñường
hầm thông qua Internet ñến các site ñích. PPTP sử dụng giao thức ñóng gói tin ñịnh
tuyến chung GRE ñược mô tả ñể ñóng lại và tách gói PPP. Giao thức này cho phép
PPTP linh hoạt trong xử lý các giao thức khác.
Nguyên tắc hoạt ñộng của PPTP
PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó
làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức
ñóng gói, tách gói IP, là truyền ñi trên chỗ kết nối ñiểm tới ñiểm từ máy này sang
máy khác.
PPTP ñóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP ñể
truyền qua mạng IP. PPTP dùng kết nối TCP ñể khởi tạo và duy trì, kết thức ñường
hầm và dùng một gói ñịnh tuyến chung GRE ñể ñóng gói các khung PPP. Phần tải
của khung PPP có thể ñược mã hoá và nén lại.
PPTP sử dụng PPP ñể thực hiện các chức năng thiết lập và kết thức kết nối vật lý,

xác ñịnh người dùng, và tạo các gói dữ liệu PPP.
PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP
khách có thể ñược ñấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS ñể
thiết lập kết nối IP. Khi kết nối ñược thực hiện có nghĩa là người dùng ñã ñược xác
nhận. ðó là giai ñoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn ñược cung cấp bởi
ISP. Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ
chế xác thực của kết nối PPP. Một số cơ chế xác thực ñược sử dụng là:
Giao thức xác thực có thử thách bắt tay CHAP (Challenge Handshake
Authentication) : Giao thức xác thực mật khẩu CHAP cũng ñược thiết kế tương tự
như giao thức PAP nhưng CHAP là giao thức bảo mật hơn, sử dụng phương pháp
-15-


bắt tay ba chiều ñể hoạt ñộng và chống lại các tấn công quay lại bằng cách sử dụng
các giá trị bí mật duy nhất và không thể ñoán và giải ñược.
Giao thức xác ñịnh mật khẩu PAP (Password Authentication Protocol) : Giao
thức xác thực mật khẩu PAP ñược thiết kế một cách ñơn giản cho một máy tính tự
xác thực ñến một máy tính khác khi giao thức ñiểm – ñiểm (Point-to-Point
Protocol) ñược sử dụng làm giao thức truyền thông. PAP là một giao thức bắt tay
hai chiều ñể hoạt ñộng. PAP không bảo mật bởi vì thông tin xác thực ñược truyền ñi
rõ ràng và không có gì bảo mật chống lại tấn công trở lại hay lặp lại quá nhiều bởi
những người tấn công.
Khi PPP ñược thiết lập kết nối, PPTP sử dụng quy luật ñóng gói của PPP ñể ñóng
gói các gói truyền trong ñường hầm. ðể có thể dựa trên những ưu ñiểm của kết nối
tạo bởi PPP, PPTP ñịnh nghĩa hai loại gói là ñiểu khiển và dữ liệu, sau ñó gán
chúng vào hai kênh riêng là kênh ñiều khiển và kênh dữ liệu. PPTP tách các kênh
ñiều khiển và kênh dữ liệu thành những luồng ñiều khiển với giao thức ñiều khiển
truyền dữ liệu TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo ra giữa các
máy khách và máy chủ ñược sử dụng ñể truyền thông báo ñiều khiển.
Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói ñiều khiển ñược

ñưa vào theo một chu kì ñể lấy thông tin và trạng thái kết nối và quản lý báo hiệu
giữa các máy khách PPTP và máy chủ PPTP. Các gói ñiều khiển cũng ñược dùng
ñể gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai ñầu ñường hầm.
Kênh ñiều khiển ñược yêu cầu cho việc thiết lập một ñường hầm giữa các máy
khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP
với một giao diện ñược nối với Internet và một giao diện khác nối với Intranet, còn
phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP.
Nguyên tắc kết nối ñiều khiển ñường hầm theo giao thức PPTP
Kết nối ñiều khiển PPTP là kết nối giữa ñịa chỉ IP của máy khách PPTP và ñịa
chỉ máy chủ. Kết nối ñiều khiển PPTP mang theo các gói tin ñiều khiển và quản lý
ñược sử dụng ñể duy trì ñường hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu
phản hồi và PPTP ñáp lại phản hồi ñịnh kỳ ñể phát hiện các lỗi kết nối giữa các máy
trạm và máy chủ PPTP. Các gói tin của kết nối ñiều khiển PPTP bao gồm tiêu ñề IP,

-16-


tiêu ñề TCP và bản tin ñiều khiển PPTP và tiêu ñề, phần cuối của lớp liên kết dữ
liệu.

Hình 2.1 Gói dữ liệu kết nối ñiều khiển PPTP
Nguyên lý ñóng gói dữ liệu ñường hầm PPTP
ðóng gói khung PPP và gói ñịnh tuyến chung GRE
Dữ liệu ñường hầm PPTP ñược ñóng gói thông qua các mức ñược mô tả theo mô
hình.

Hình 2.2 Mô hình ñóng gói dữ liệu ñường hầm PPTP
Phần tải của khung PPP ban ñầu ñược mã hoá và ñóng gói với tiêu ñề PPP ñể tạo
ra khung PPP. Khung PPP sau ñó ñược ñóng gói với phần tiêu ñề của phiên bản
giao thức GRE sửa ñổi.

GRE là giao thức ñóng gói chung, cung cấp cơ chế ñóng gói dữ liệu ñể ñịnh
tuyến qua mạng IP. ðối với PPTP, phần tiêu ñề của GRE ñược sửa ñổi một số ñiểm
ñó là. Một trường xác nhận dài 32 bits ñược thêm vào. Một bits xác nhận ñược sử
dụng ñể chỉ ñịnh sự có mặt của trường xác nhận 32 bits. trường Key ñược thay thế
bằng trường ñộ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits. Trường chỉ số
cuộc gọi ñược thiết lập bởi máy trạm PPTP trong quá trình khởi tạo ñường hầm.
ðóng gói IP
Trong khi truyền tải phần tải PPP và các tiêu ñề GRE sau ñó ñược ñóng gói với
một tiêu ñề IP chứa các thông tin ñịa chỉ nguồn và ñích thích hợp cho máy trạm và
máy chủ PPTP.
ðóng gói lớp liên kết dữ liệu
ðể có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ ñựơc ñóng
gói với một tiêu ñề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý ñầu ra.
Như trong mạng LAN thì nếu gói tin IP ñựơc gửi qua giao diện Ethernet, nó sẽ
ñược gói với phần tiêu ñề và ñuôi Ethernet. Nếu gói tin IP ñược gửi qua ñường
-17-


truyền WAN ñiểm tới ñiểm nó sẽ ñược ñóng gói với phần tiêu ñề và ñuôi của giao
thức PPP.
Sơ ñồ ñóng gói trong giao thức PPTP
Quá trình ñóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử
dụng modem ñược mô phỏng theo hình dưới ñây:

Hình 2.3 Sơ ñồ ñóng gói PPTP
- Các gói tin IP, IPX, hoặc khung NetBEUI ñược ñưa tới giao diện ảo ñại diện cho
kết nối VPN bằng các giao thức tương ứng sử dụng ñặc tả giao diện thiết bị mạng
NDIS.
- NDIS ñưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ
liệu, cũng như cung cấp tiêu ñề PPP phần tiêu ñề PPP này chỉ gồm trường mã số

giao thức PPP không có trường Flags và trường chuổi kiểm tra khung (FCS). Giả
ñịnh trường ñịa chỉ và ñiều khiển ñược thoả thuận ở giao thức ñiều khiển ñường
truyền (LCP) trong quá trình kết nối PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi ñóng gói khung PPP với phần
tiêu ñề GRE. Trong tiêu ñề GRE, trường chỉ số cuộc gọi ñược ñặt giá trị thích hợp
xác ñịnh ñường hầm.
- Giao thức PPTP sau ñó sẽ gửi gói tin vừa tạo ra tới TCP/IP.
- TCP/IP ñóng gói dữ liệu ñường hầm PPTP với phần tiêu ñề IP sau ñó gửi kết quả
tới giao diện ñại diện cho kết nối quay số tới ISP cục bộ NDIS.
- NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu ñề và ñuôi PPP.
-18-


- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng ñại diện cho phần
cứng quay số.
Nguyên tắc thực hiện gói tin dữ liệu tại ñầu cuối ñường hầm PPTP
Khi nhận ñược ñược dữ liệu ñường hầm PPTP, máy trạm và máy chủ PPTP, sẽ
thực hiện các bước sau:
- Xử lý và loại bỏ gói phần tiêu ñề và ñuôi của lớp liên kết dữ liệu hay gói tin.
- Xử lý và loại bỏ tiêu ñề IP.
- Xử lý và loại bỏ tiêu ñề GRE và PPP.
- Giải mã hoặc nén phần tải tin PPP.
- Xử lý phần tải tin ñể nhận hoặc chuyển tiếp.
Một số ưu nhược ñiểm của PPTP
Ưu ñiểm: ðược thiết kế ñể hoạt ñộng ở lớp 2 trong khi IPSec chạy ở lớp 3 của
mô hình OSI. Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong
ñường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin
IP trong ñường hầm.
Nhược ñiểm: Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo
mật do nó dùng mã hóa ñồng bộ trong khóa ñược xuất phát từ việc nó sử dụng mã

hóa ñối xứng là cách tạo ra khóa từ mật khẩu của người dùng. ðiều này càng nguy
hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác
nhận. Giao thức tạo ñường hầm kế tiếp (L2F) ñược phát triển nhằm cải thiện bảo
mật với mục ñích này.
2.1.2. Giao thức chuyển tiếp lớp hai (L2F)
Giao thức L2F ñược nghiên cứu và phát triển sớm nhất và là một trong những
phương pháp truyền thống ñể cho người sử dụng ở truy nhập từ xa vào mạng các
doanh nghiêp thông qua thiết bị. L2F cung cấp các giải cho dịch vụ quay số ảo bằng
thiết bị một ñường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet.
Nó cho phép ñóng gói các gói tin PPP trong khuôn dạng L2F và ñịnh ñường hầm ở
lớp liên kết dữ liệu.
Nguyên tắc hoạt ñộng của L2F
Giao thức chuyển tiếp L2F ñóng gói những gói tin lớp 2, sau ñó trong truyền chúng
ñi qua mạng. Hệ thống sử dụng L2F gồm các thành phần sau:
-19-


Máy trạm truy nhập mạng NAS: hướng lưu lượng ñến và ñi giữa các máy khách
ở xa và Home Gateway.
ðường hầm: ñịnh hướng ñường ñi giữa NAS và Home Gateway. Một ñường hầm
gồm một số kết nối.
Kết nối: Là một kết nối PPP trong ñường hầm. Trong LCP, một kết nối L2F ñược
xem như một phiên.
ðiểm ñích: Là ñiểm kết thúc ở ñâu xa của ñường hầm. Trong trường hợp này thì
Home Gateway là ñích.

Hình 2.4 Hệ thống sử dụng L2F
Quá trình hoạt ñộng của giao thức ñường hầm chuyển tiếp là một quá trình tương
ñối phức tạp. Một người sử dụng ở xa quay số tới hệ thống NAS và khởi ñầu một
kết nối PPP tới ISP. Với hệ thống NAS và máy trạm có thể trao ñổi các gói giao

thức ñiều khiển liên kết. NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới ñiểm tên
miền ñể quyết ñịnh xem người sử dụng có hay không yêu cầu dịch vụ L2F.
Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận ñịa chỉ của
Gateway ñích. Một ñường hầm ñược thiết lập từ NAS tới Gateway ñích nếu giữa
chúng có chưa có ñường hầm nào. Sự thành lập ñường hầm bao gồm giai ñoạn xác
thực từ ISP tới Gateway ñích ñể chống lại tấn công bởi những kẻ thứ ba. Một kết
nối PPP mới ñược tạo ra trong ñường hầm, ñiều này có tác ñộng kéo dài phiên PPP
mới ñược tạo ra người sử dụng ở xa tới Home Gateway. Kết nối này ñược thiết lập
theo một quy trình như sau. Home Gateway tiếp nhận các lựa chọn và tất cả thông
tin xác thực PAP/CHAP như thoả thuận bởi ñầu cuối người sử dụng và NAS. Home
-20-


Gateway chấp nhận kết nối hay thoả thuận lại LCP và xác thực lại người sử dụng.
Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó ñóng gói lưu lượng vào
trong các khung L2F và hướng chúng vào trong ñường hầm. Tại Home Gateway
khung ñược tách bỏ và dữ liệu ñóng gói ñược hướng tới mạng một doanh nghiệp
hay người dùng.
Khi hệ thống ñã thiết lập ñiểm ñích ñường hầm và những phiên kết nối, ta phải
ñiều khiển và quản lý lưu lượng L2F bằng cách. Ngăn cản tạo những ñích ñến,
ñường hầm và các phiên mới. ðóng và mở lại tất cả hay chọn lựa những ñiểm ñích,
ñường hầm và phiên, có khả năng kiểm tra tổng UDP. Thiết lập thời gian rỗi cho hệ
thống và lưu giữ cơ sở dữ liệu vào các ñường hầm kết nối.
Một số ưu nhược ñiểm của L2F
Ưu ñiểm:
- Nâng cao bảo mật cho quá trình giao dịch.
- Có nền tảng ñộc lập.
- Không cần những sự lắp ñặt ñặc biệt với ISP.
- Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như ATM, IPX, NetBEUI, và
Frame Relay.

Nhược ñiểm:
- L2F yêu cầu cấu hình và hỗ trợ lớn.
- Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không thể triển
khai L2F ñược.
2.1.3. Giao thức ñường hầm lớp hai (L2TP)
Giao thức ñịnh ñường hầm lớp 2-L2TP (Layer 2 Tunneling Protocol) là một mở
rộng của PPP. ðây là một bản thảo tiêu chuẩn của IETF xuất phát từ Cisco L2F và
giao thức ñịnh ñường hầm ñiểm – ñiểm của Microsoft. Tiêu chuẩn L2TP ñược hoàn
tất vào cuối năm 1998. L2TP là một công nghệ chính của Cisco Access VPN cung
cấp và phân phối phạm vi ñiều khiển bảo mật ñầy ñủ và các ñặc ñiểm quản lý chính
sách, bao gồm việc ñiều khiển bảo mật cho ñầu cuối người dùng.

-21-


Hình 2.5 ðường hầm L2TP
Các thành phần chính của L2TP:
Network Access Server (NAS): L2TP NASs là thiết bị truy cập ñiểm-ñiểm cung
cấp dựa trên yêu cầu kết nối Internet ñến người dùng từ xa, là những người quay số
(thông qua PSTN hoặc ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận
người dùng từ xa ở nhà cung cấp ISP cuối và xác ñịnh nếu có yêu cầu kết nối ảo.
Giống như PPTP NASs, L2TP NASs ñược ñặt tại ISP site và hành ñộng như client
trong qui trình thiết lập L2TP tunnel. NASs có thể hồi ñáp và hỗ trợ nhiều yêu cầu
kết nối ñồng thời và có thể hỗ trợ một phạm vi rộng các client.
L2TP Access Concentrator (LAC): Vai trò của LACs trong công nghệ tạo hầm
L2TP thiết lập một ñường hầm thông qua một mạng công cộng (như PSTN, ISDN,
hoặc Internet) ñến LNS ở tại ñiểm cuối mạng chủ. LACs phục vụ như ñiểm kết thúc
của môi trường vật lý giữa client và LNS của mạng chủ.
L2TP Network Server (LNS): LNSs ñược ñặt tại cuối mạng chủ. Do ñó, chúng
dùng ñể kết thúc kết nối L2TP ở cuối mạng chủ theo cùng cách kết thúc ñường hầm

từ client của LACs. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một
LAC, nó thiết lập ñường hầm và xác nhận người dùng, là người khởi tạo yêu cầu
kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo.
Nguyên tắc hoạt ñộng của L2TP:
Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc
mạng chung khác, theo các bước tuần tự sau ñây:

-22-


Bước 1: Người dùng từ xa gửi yêu cầu kết nối ñến ISP’s NAS gần nhất của nó và
bắt ñầu khởi tạo một kết nối PPP với nhà ISP cuối.
Bước 2: NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS
dùng phương pháp xác nhận PPP như PAP, CHAP, SPAP, và EAP cho mục ñích
này.
Bước 3: Sau ñó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của
mạng ñích.
Bước 4: Kế tiếp, LAC thiết lập một ñường hầm LAC-LNS thông qua mạng trung
gian giữa hai ñầu cuối.ðường hầm trung gian có thể là ATM, Frame Relay, hoặc
IP/UDP.
Bước 5: Sau khi ñường hầm ñã ñược thiết lập thành công, LAC chỉ ñịnh một Call
ID (CID) ñến kết nối và gửi một thông ñiệp thông báo ñến LNS. Thông báo xác
ñịnh này chứa thông tin có thể ñược dùng ñể xác nhận người dùng. Thông ñiệp
cũng mang theo LCP options dùng ñể thoả thuận giữa người dùng và LAC.
Bước 6: LNS dùng thông tin ñã nhận ñược từ thông ñiệp thông báo ñể xác nhận
người dùng cuối. Nếu người dùng ñược xác nhận thành công và LNS chấp nhận yêu
cầu ñường hầm, một giao diện PPP ảo (L2TP tunnel) ñược thiết lập cùng với sự
giúp ñỡ của LCP options nhận ñược trong thông ñiệp thông báo.
Bước 7: Sau ñó người dùng từ xa và LNS bắt ñầu trao ñổi dữ liệu thông qua
ñường hầm.


-23-


Hình 2.6 Mô tả quy trình thiết lập L2TP tunnel

Quá trình ñóng gói dữ liệu trong ñường hầm L2TP
Tương tự PPTP tunneled packets, L2TP ñóng gói dữ liệu trải qua nhiều tầng
ñóng gói. Sau ñây là một số giai ñoạn ñóng gói của L2TP data tunneling:
PPP ñóng gói dữ liệu không giống phương thức ñóng gói của PPTP, dữ liệu
không ñược mã hóa trước khi ñóng gói. Chỉ PPP header ñược thêm vào dữ liệu
payload gốc.
L2TP ñóng gói khung của PPP. Sau khi original payload ñược ñóng gói bên
trong một PPP packet, một L2TP header ñược thêm vào nó.
UDP Encapsulation of L2TP frames. Kế tiếp, gói dữ liệu ñóng gói L2TP ñược
ñóng gói thêm nữa bên trong một UDP frame. Hay nói cách khác, một UDP header
ñược thêm vào L2TP frame ñã ñóng gói. Cổng nguồn và ñích bên trong UDP
header ñược thiết lập ñến 1710 theo chỉ ñịnh.
IPSec Encapsulation of UDP datagrams. Sau khi L2TP frame trở thành UDP ñã
ñược ñóng gói, UDP frame này ñược mã hoá và một phần ñầu IPSec ESP ñược
thêm vào nó. Một phần ñuôi IPSec AH cũng ñược chèn vào gói dữ liệu ñã ñược mã
hóa và ñóng gói.
-24-


IP Encapsulation of IPSec-encapsulated datagrams. Kế tiếp, phần ñầu IP cuối
cùng ñược thêm vào gói dữ liệu IPSec ñã ñược ñóng gói. Phần ñầu IP chứa ñựng
ñịa chỉ IP của L2TP server (LNS) và người dùng từ xa.

Hình 2.7 Mô hình hoàn tất quá trình ñóng gói dữ liệu qua ñường hầm L2TP

ðóng gói tầng Data Link. Phần ñầu và phần cuối tầng Data Link cuối cùng ñược
thêm vào gói dữ liệu IP xuất phát từ quá trình ñóng gói IP cuối cùng. Phần ñầu và
phần cuối của tầng Data Link giúp gói dữ liệu ñi ñến nút ñích. Nếu nút ñích là nội
bộ, phần ñầu và phần cuối tầng Data Link ñược dựa trên công nghệ LAN (ví dụ,
chúng có thể là mạng Ethernet). Ở một khía cạnh khác, nếu gói dữ liệu là phương
tiện cho một vị trí từ xa, phần ñầu và phần cuối PPP ñược thêm vào gói dữ liệu
L2TP ñã ñóng gói.
Quá trình xử lý gói dữ liệu khi ra khỏi ñường hầm L2TP
Qui trình xử lý de-tunneling những gói dữ liệu L2TP ñã tunnel thì ngược lại với
qui trình ñường hầm. Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận
ñược L2TP tunneled packet, trước tiên nó xử lý gói dữ liệu bằng cách gỡ bỏ Data
-25-


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×