ỏn tt nghip i hc Phn m u
on Thanh Bỡnh, D01VT
M U
Ngy nay, vi s phỏt trin nhanh chúng ca khoa hc k thut c bit l
Cụng ngh thụng tin v Vin thụng ó gúp phn quan trng vo s phỏt trin
kinh t th gii.
Cỏc t chc, doanh nghip cú nhiu chi nhỏnh, cỏc cụng ty a quc gia
trong quỏ trỡnh hot ng luụn phi trao i thụng tin vi khỏch hng, i tỏc,
nhõn viờn ca h. Chớnh vỡ vy ũi hi phi luụn nm bt c thụng tin mi
nht, chớnh xỏc nht,

ng thi phi m bo tin cy cao gia cỏc chi nhỏnh
ca mỡnh trờn khp th gii, cng nh vi cỏc i tỏc v khỏch hng.
ỏp ng c nhng yờu cu ú trong quỏ kh cú hai loi hỡnh dch v
Vin thụng m cỏc t chc, doanh nghip cú th chn la s dng cho kt ni
ú l:
- Th nht, thuờ cỏc ng Leased-line ca cỏc nh cung cp dch v
kt ni tt c cỏc mng con ca cụng ty li vi nhau. Phng phỏp ny
rt tn kộm cho vic xõy dng ban u cng nh trong quỏ trỡnh vn
hnh, bo dng hay m rng sau ny.
- Th hai, h cú th s dng Internet liờn lc vi nhau, tuy nhiờn
phng phỏp ny li khụng ỏp ng c tớnh bo mt cao.
S ra i ca k thut mng riờng o VPN ó dung ho hai loi hỡnh dch
v trờn, nú cú th xõy dng trờn c s h tng sn cú ca mng Internet nhng
li cú c cỏc tớnh cht ca mt mng cc b nh khi s dng cỏc ng
Leased-line. Vỡ vy, cú th núi VPN chớnh l s la chn ti u cho cỏc doanh
nghip kinh t. Vi chi phớ hp lý, VPN cú th giỳp doanh nghip tip xỳc ton
cu nhanh chúng v hiu qu hn so vi cỏc gii phỏp mng din rng WAN.
Vi VPN, ta cú th gim chi phớ xõy dng do tn dng c c s h tng cụng
cng sn cú, gim chi phớ thng xuyờn, mm do trong xõy dng.
Vit Nam, khi nn kinh t cng ang trong thi k phỏt trin v hi nhp

quc t thỡ nhu cu s dng VPN va ỏp ng c cỏc yờu cu v thụng tin,
va gii quyt c nhng khú khn v kinh t.
Vi ti: Cụng ngh mng riờng o VPN: Cỏc giao thc ng hm
v bo mt trong ỏn Tt nghip ca mỡnh, tụi hy vng nú cú th gúp phn
tỡm hiu Cụng ngh VPN, ng thi gúp phn ph bin rng rói k thut VPN.
THệ VIEN ẹIEN Tệ TRệẽC TUYEN
Đồ án tốt nghiệp Đại học Phần mở đầu
Đồn Thanh Bình, D01VT
Nội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bày các vấn đề
cơ bản nhất của mạng VPN.
Chương 1: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ đó
làm cơ sở để phân loại các mạng VPN, đưa ra các thuận lợi và khó khăn khi sử
dụng các loại hình VPN đó.
Chương 2: Đây là chương trọng tâm giới thiệu về các giao thức, các đặc
điểm và hoạt động của các giao thức đường hầm L2F, PPTP, L2TP, và IPSec
được sử dụng trong VPN.
Chương 3: Trình bày các thành phần mạng cơ bản của VPN, các vấn đề
cần chú ý khi xây dựng VPN. Phần này cũng trình bày ví dụ về thiết lập một
phiên trao đổi thơng tin trong VPN để từ đó tìm hiểu về các thiết bị, thành tố để
xây dựng mạng VPN.
Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần quan trọng
trong VPN. Bảo mật trong VPN bao gồm: q trình mật mã và xác thực. Trong
chương này sẽ giới thiệu các giải pháp, thuật tốn mã hố và xác thực trong
VPN.
Chương 5: Trình bày một số vấn đề liên quan tới việc quản lý một mạng
VPN. Đó là các vấn đề: quản lý bảo mật, quản lý địa chỉ và quản lý hiệu năng.
Do nhiều mặt còn hạn chế nên nội dung của đề tài khơng tránh khỏi những
sai sót. Tác giả rất mong nhận được ý kiến đóng góp của các thầy cơ và bạn
đọc.
Em xin chân thành cảm ơn Ths Nguyễn Thị Thu Hằng đã tận tình hướng

dẫn em hồn thành đề tài.

Hà nội, ngày 24 tháng 10 năm 2005
Sinh viên: Đồn Thanh Bình

THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
Đồn Thanh Bình, D2001VT
iv
THUẬT NGỮ VIẾT TẮT

Từ viết tắt Từ đầy đủ Ý nghĩa
3DES
Triple Data Encryption Standard Thuật tốn mật mã 3DES
AD
Analog to Digital Chuyển đổi tương tự sang số
ADSL
Asymmetric Digital Subscriber
Line
Cơng nghệ truy nhập đường dây
th bao số bất đối xứng
AES
Advanced Encryption Standard Chuẩn mật mã cao cấp
AH
Authentication Header Giao thức tiêu đề xác thực
API
Application Programming
Interface
Giao diện chương trình ứng dụng
ATM

Asynchronous Tranfer Mode Cơng nghệ truyền tải khơng đồng
bộ
ARIN
American Registry for Internet
Number
Tiêu chuẩn Mỹ cho địa chỉ Internet
BGP
Border Gateway Protocol Giao thức định tuyến cổng miền
BICC
Bearer Independent Call Control
Protocol
Giao thức điều khiển cuộc gọi độc
lập với kênh mang
B-ISDN
Broadband Integrated Service
Digital Network
Mạng số đa dịch vụ băng rộng
CA
Certificate Authority Nhà phân phối chứng thực số
CIR
Committed Information Rate Tốc độ thơng tin cam kết
CHAP
Challenge Handshake
Authentication Protocol.
Giao thức xác thực u cầu bắt tay
CR
Cell Relay Cơng nghệ chuyển tiếp tế bào
CSU
Channel Service Unit Đơn vị dịch vụ kênh
DCE

Data Communication Equipment Thiết bị truyền thơng dữ liệu
DES
Data Encryption Standard Thuật tốn mật mã DES
DHCP
Dynamic Host Configuration
Protocol
Giao thức cấu hình host động
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
Đồn Thanh Bình, D2001VT
v
DNS
Domain Name System
hệ thống tên miền
DSL
Digital Subcriber Line Đường dây th bao số
DSP
Digital Signal Processors Bộ xử lý tín hiệu số
DSU
Data Service Unit Đơn vị dịch vụ dữ liệu
EAP
Extensible Authentication
Protocol
Giao thức xác thực mở rộng
ESP
Encapsulating Security Payload Giao thức tải an ninh đóng gói
FCS
Frame Check Sequence Chuỗi kiểm tra khung
FR
Frame Relay Chuyển tiếp khung dữ liệu

GVPNS
Global VPN Service Dịch vụ VPN tồn cầu
ICMP
Internet Control Message
Protocol
Giao thức bản tin điều khiển
Internet
IETF
Internet Engineering Task Force Cơ quan chuẩn Internet
IKE
Internet Key Exchange Giao thức trao đổi khố Internet
IGP
Interior Gateway Protocol Giao thức định tuyến trong miền
IN
Intelligent Network Mạng thơng minh
IP
Internet Protocol Giao thức Internet
IP-Sec
Internet Protocol Security Giao thức an ninh Internet
ISAKMP
Internet Security Asociasion and
Key Management Protocol
Giao thức quản lý khố và kết hợp
an ninh Internet
ISDN
Integrated Service Digital
Network
Mạng số đa dịch vụ
ISO
International Standard

Organization
Tổ chức chuẩn quốc tế
ISP
Internet Service Provider Nhà cung cấp dịch vụ internet
L2F
Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP
Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAC
L2TP Access Concentrator Bộ tập trung truy cập L2TP
LAN
Local Area Network Mạng cục bộ
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tốt nghiệp Đại học Thuật ngữ viết tắt
Đồn Thanh Bình, D2001VT
vi
LCP
Link Control Protocol Giao thức điều khiển liên kết
LNS
L2TP Network Server Máy chủ mạng L2TP
MAC
Message Authentication Code Mã xác thực bản tin
MD5
Message Digest 5 Thuật tốn MD5
MG
Media Gateway Cổng kết nối phương tiện
MGC
Media Gateway Controller Thiết bị điều khiển truy nhập
MGCP
Media Gateway Control Protocol Giao thức điều khiển cổng kết nối

phương tiện
MIB
Management Information Base Cơ sở dữ liệu thơng tin quản lý
MPLS
Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn
MPPE
Microsoft Point-to-Point
Encryption
Mã hố điểm-điểm của Microsoft
MTU
Maximum Transfer Unit Đơn vị truyền tải lớn nhất
NAS
Network Access Server Máy chủ truy nhập mạng
NCP
Network Control Protocol Giao thức điều khiển mạng
NDIS
Network Driver Interface
Specification
Xác định giao diện mạng
NGN
Next Generation Network Mạng thế hệ sau
NSA
National Security Agency Cơ quan an ninh quốc gia Mỹ
PAP
Passwork Authentication Protocol Giao thức xác thực mật khẩu.
PDU
Protocol Data Unit Đơn vị dữ liệu giao thức
PKI
Public Key Infrastructure Cơ sở hạ tầng khố cơng khai
POP

Point of presence Điểm truy cập truyền thống.
PPP
Point to Point Protocol Giao thức điểm tới điểm
PPTP
Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới
điểm
PVC
Permanrnent Virtual Circuit Mạng ảo cố định
QoS
Quality of Service Chất lượng dịch vụ
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ỏn tt nghip i hc Thut ng vit tt
on Thanh Bỡnh, D2001VT
vii
RAS
Remote Access Service Dch v truy nhp t xa
RADIUS
Remote Authentication Dial-In
User Service
Xỏc thc ngi dựng quay s t xa
RRAS
Routing and Remote Access
Server
Mỏy ch truy cp nh hng v
truy vp t xa.
SA
Securty Association Kt hp an ninh
SDH
Synchronous Digital Hierachy Phõn cp s ng b
SG

Signling Gateway Cng kt ni bỏo hiu
SIG
Session Initiation Protocol Giao thc khi to phiờn
SONET
Synchronous Optical Network Mng quang ng b
SPI
Sercurity Parameter Index Ch s thụng s an ninh
RTP
Real Time Protocol Giao thc thi gian thc
SVC
Switched Virtual Circuit Mch o chuyn mch
TCP
Transmission Control Protocol Giao thc iu khin ng truyn
TE
Terminal Equipment Thit b u cui
UNI
User Network Interface Giao din mng ngi s dng
UDP
User Datagram Protocol Giao thc UDP
VC
Virtual Circuit Kờnh o
VCI
Virtual Circuit Identifier Nhn dng kờnh o
VNS
Virtual Network Service Dch v mng o
VPI
Virtual Path Identifier Nhn dng ng o
VPN
Virtual Private Network Mng riờng o
WAN

Wide Area Network Mng din rng

THệ VIEN ẹIEN Tệ TRệẽC TUYEN
ỏn tt nghip i hc Chng 1. Tng quan v VPN

on Thanh Bỡnh, D01VT
1
CHNG 1

TNG QUAN V MNG RIấNG O VPN

Cm t Virtual Private Network (mng riờng o) thng c gi tt l
VPN l mt k thut ó xut hin t lõu, tuy nhiờn nú thc s bựng n v tr
nờn cnh tranh khi xut hin cụng ngh mng thụng minh vi phỏt trin mnh
m ca Internet. Trong thc t, ngi ta thng núi ti hai khỏi nim VPN ú l:
mng riờng o kiu tin tng (Trusted VPN) v mng riờng o an ton (Secure
VPN).
Mng riờng o kiu tin tng c xem nh mt s mch thuờ ca mt nh
cung cp dch v vin thụng. Mi mch thuờ riờng hot ng nh mt ng
dõy trong mt mng cc b. Tớnh riờng t ca trusted VPN th hin ch nh
cung cp dch v s m bo khụng cú mt ai s dng cựng mch thuờ riờng ú.
Khỏch hng ca mng riờng o loi ny tin tng vo nh cung cp dch v
duy trỡ tớnh ton vn v bo mt ca d liu truyn trờn mng. Cỏc mng riờng
xõy dng trờn cỏc ng dõy thuờ thuc dng trusted VPN.
Mng riờng o an ton l cỏc mng riờng o cú s dng mt mó bo mt
d liu. D liu u ra ca mt mng c mt mó ri chuyn vo mng cụng
cng (vớ d: mng Internet) nh cỏc d liu khỏc truyn ti ớch v sau ú
c gii mó d liu ti phớa thu. D liu ó mt mó cú th coi nh c truyn
trong mt ng hm (tunnel) bo mt t ngun ti ớch. Cho dự mt k tn
cụng cú th nhỡn thy d liu ú trờn ng truyn thỡ cng khụng cú kh nng

c c vỡ d liu ó c mt mó.
Mng riờng o xõy dng da trờn Internet l mng riờng o kiu an ton, s
dng c s h tng m v phõn tỏn ca Internet cho vic truyn d liu gia cỏc
site ca cỏc cụng ty. Trng tõm chớnh ca ỏn tt nghip ny bn v VPN da
trờn Internet. Khi núi n mng riờng o VPN phi hiu l mng riờng o da
trờn Internet.
1.1 nh ngha
Mng riờng o VPN c nh ngha l mt kt ni mng trin khai trờn c
s h tng mng cụng cng (nh mng Internet) vi cỏc chớnh sỏch qun lý v
bo mt ging nh mng cc b.

THệ VIEN ẹIEN Tệ TRệẽC TUYEN
ỏn tt nghip i hc Chng 1. Tng quan v VPN

on Thanh Bỡnh, D01VT
2

ng hm
Router

Internet
Router
Router
Router
RouterRouter
Mng riờng
(LAN)
Mng riờng
(LAN)



Hỡnh 1.1: Mụ hỡnh VPN
Cỏc thut ng dựng trong VPN nh sau:
Virtual- ngha l kt ni l ng, khụng c gn cng v tn ti nh mt
kt ni khi lu lng mng chuyn qua. Kt ni ny cú th thay i v thớch ng
vi nhiu mụi trng khỏc nhau v cú kh nng chu ng nhng khuyt im
ca mng Internet. Khi cú yờu cu kt ni thỡ nú c thit lp v duy trỡ bt
chp c s h tng mng gia nhng im u cui.
Private- ngha l d liu truyn luụn luụn c gi bớ mt v ch cú th b
truy cp bi nhng ngui s dng c trao quyn. iu ny rt quan trng bi
vỡ giao thc Internet ban u TCP/IP- khụng c thit k cung cp cỏc mc
bo mt. Do ú, bo mt s c cung cp bng cỏch thờm phn mm hay
phn cng VPN.
Network- l thc th h tng mng gia nhng ngi s dng u cui,
nhng trm hay nhng node mang d liu. S dng tớnh riờng t, cụng cng,
dõy dn, vụ tuyn, Internet hay bt k ti nguyờn mng dnh riờng khỏc sn cú
to nn mng.
Khỏi nim mng riờng o VPN khụng phi l khỏi nim mi, chỳng ó
tng c s dng trong cỏc mng in thoi trc õy nhng do mt s hn
ch m cụng ngh VPN cha cú c sc mnh v kh nng cnh tranh ln.
Trong thi gian gn õy, do s phỏt trin ca mng thụng minh, c s h tng
mng IP ó lm cho VPN thc s cú tớnh mi m. VPN cho phộp thit lp cỏc
kt ni riờng vi nhng ngi dựng xa, cỏc vn phũng chi nhỏnh ca cụng ty
v i tỏc ca cụng ty ang s dng chung mt mng cụng cng.

THệ VIEN ẹIEN Tệ TRệẽC TUYEN
ỏn tt nghip i hc Chng 1. Tng quan v VPN

on Thanh Bỡnh, D01VT
3

1.2 Lch s phỏt trin ca VPN
S xut hin mng chuyờn dựng o, cũn gi l mng riờng o (VPN), bt
ngun t yờu cu ca khỏch hng (client), mong mun cú th kt ni mt cỏch
cú hiu qu vi cỏc tng i thuờ bao (PBX) li vi nhau thụng qua mng din
rng (WAN). Trc kia,

h thng in thoi nhúm hoc l mng cc b (LAN)
trc kia s dng cỏc ng thuờ riờng cho vic t chc mng chuyờn dựng
thc hin vic thụng tin vi nhau.
Cỏc mc ỏnh du s phỏt trin ca VPN:
- Nm 1975, Franch Telecom a ra dch v Colisee, cung cp dch
v dõy chuyờn dựng cho cỏc khỏch hang ln. Colisee cú th cung
cp phng thc gi s chuyờn dựng cho khỏch hng. Dch v ny
cn c vo lng dch v m a ra cc phớ v nhiu tớnh nng
qun lý khỏc.
- Nm 1985, Sprint a ra VPN, AT&T a ra dch v VPN cú tờn
riờng l mng c nh ngha bng phn mm SDN.
- Nm 1986, Sprint a ra Vnet, Telefonica Tõy Ban Nha a ra
Ibercom.
- Nm 1988, n ra i chin cc phớ dch v VPN M, lm cho
mt s xớ nghip va v nh chu ni cc phớ s dng VPN v cú
th tit kim gn 30% chi phớ, ó kớch thớch s phỏt trin nhanh
chúng dch v ny ti M.
- Nm 1989, AT&T a ra dch v quc t IVPN l GSDN.
- Nm 1990, MCI v Sprint a ra dch v VPN quc t VPN;
Telstra ca ễ-xtrõy-li-a a ra dich v VPN rong nc u tiờn
khu vc chõu Thỏi Bỡnh Dng.
- Nm 1992, Vin thụng H Lan v Telia Thu in thnh lp cụng
ty hp tỏc u t Unisource, cung cp dch v VPN.
- Nm 1993, AT&T, KDD v vin thụng Singapo tuyờn b thnh lp

Liờn minh ton cu Worldparners, cung cp hng lot dch v quc
t, trong ú cú dch v VPN.
- Nm 1994, BT v MCI thnh lp cụng ty hp tỏc u t Concert,
cung cp dch v VPN, dch v chuyn tip khung (Frame relay)
THệ VIEN ẹIEN Tệ TRệẽC TUYEN
Đồ án tốt nghiệp Đại học Chương 1. Tổng quan về VPN

Đồn Thanh Bình, D01VT
4
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN tồn
cầu (GVPNS).
- Năm 1996, Sprint và viễn thơng Đức (Deustch Telecom), Viễn
thơng Pháp (French Telecom) kết thành liên minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với cơng nghệ VPN,
Cơng nghệ này có mặt trên khắp các tạp chí khoa học cơng nghệ,
các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng
mạng Internet cơng cộng đã mang lại một khả năng mới, một cái
nhìn mới cho VPN. Cơng nghệ VPN là giải pháp thơng tin tối ưu
cho các cơng ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn.
Ngày nay, với sự phát triển của cơng nghệ, cơ sở hạ tầng mạng IP
(Internet) ngày một hồn thiện đã làm cho khả năng của VPN ngày
một hồn thiện.
Hiện nay, VPN khơng chỉ dùng cho dịch vụ thoại mà còn dùng cho các
dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.3 Chức năng và ưu điểm của VPN
1.3.1
Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),
tính tồn vẹn (Integrity) và tính bảo mật (Confidentiality).

a) Tính xác thực :

Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin với
người mình mong muốn chứ khơng phải là một người khác.
b) Tính tồn vẹn : Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng có
bất kỳ sự xáo trộn nào trong q trình truyền dẫn.
c) Tính bảo mật : Người gửi có thể mã hố các gói dữ liệu trước khi truyền
qua mạng cơng cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm
như vậy, khơng một ai có thể truy nhập thơng tin mà khơng được phép.
Thậm chí nếu có lấy được thì cũng khơng đọc được.
1.3.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các cơng ty. Có thể dùng
VPN khơng chỉ để đơn giản hố việc thơng tin giữa các nhân viên làm việc ở xa,
người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ỏn tt nghip i hc Chng 1. Tng quan v VPN

on Thanh Bỡnh, D01VT
5
trin khai Extranet n tn khỏch hng v cỏc i tỏc ch cht m cũn lm gim
chi phớ cho cụng vic trờn thp hn nhiu so vi vic mua thit b v ng dõy
cho mng WAN riờng. Nhng li ớch ny dự trc tip hay giỏn tip u bao
gm: Tit kim chi phớ (cost saving), tớnh mm do (flexibility), kh nng m
rng (scalability) v mt s u im khỏc.
a) Tit kim chi phớ
Vic s dng mt VPN s giỳp cỏc cụng ty gim c chi phớ u t v chi
phớ thng xuyờn. Tng giỏ thnh ca vic s hu mt mng VPN s c thu
nh, do ch phi tr ớt hn cho vic thuờ bng thụng ng truyn, cỏc thit b
mng ng trc v duy trỡ hot ng ca h thng. Giỏ thnh cho vic kt ni

LAN-to-LAN gim t 20 ti

30% so vi vic s dng ng thuờ riờng truyn
thng. Cũn i vi vic truy cp t xa gim t 60 ti 80%.
Ta cú th thy rừ u im ca VPN qua vic so sỏnh chi phớ khi s dng
ng thuờ riờng T1 (1.5 Mbit/s) vi chi phớ khi s dng Internet VPN.
Bng 1: Chi phớ hng thỏng cho cỏc mng dựng ng thuờ riờng n so vi
Internet VPN. (2002)
Thnh ph Khong cỏch
(dm)
Chi phớ cho T1 Cho phớ cho
Internet VPN
Boston-New York
194 $4.570 $1.900
New York-Washington
235 $4.775 $1.900
Tng
$9.345 $3.800

Bng 2: Chi phớ hng thỏng cho cỏc mng dựng ng thuờ kộp so vi
Internet VPN.(2002)
Thnh ph Khong cỏch
(dm)
Chi phớ cho T1 Chi phớ cho
Internet VPN
San FranCisco- Denver
1.267 $13.535 $1.900
Denver-chicago
1.023 $12.315 $1.900
Chicago-New York

807 $11.235 $1.900
Denver-Salt Lake
537 $6.285 $1.900
Denver-Dallas
794 $7.570 $1.900
New York-Washington
235 $4.775 $1.900
New York- Boston
194 $4.570 $1.900
Tng $60.285 $13.300


THệ VIEN ẹIEN Tệ TRệẽC TUYEN
Đồ án tốt nghiệp Đại học Chương 1. Tổng quan về VPN

Đồn Thanh Bình, D01VT
6
b) Tính linh hoạt
Tính linh hoạt ở đây khơng chỉ là linh hoạt trong q trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với u cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể
được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung
cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết
nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng cơng cộng (Internet),
bất cứ ở nơi nào có mạng cơng cộng là đều có thể triển khai VPN. Mà mạng
cơng cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh
động. Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của cơng ty
bằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ

bỏ khi có nhu cầu.
Khả năng mở rộng băng thơng là khi một văn phòng, chi nhánh u cầu
băng thơng lớn hơn thì nó có thể được nâng cấp dễ dàng.
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hố trên một kiểu kết nối từ đối tượng di động đến một POP
của ISP và việc chuẩn hố các u cầu về bảo mật đã làm giảm thiểu nhu cầu về
nguồn hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp
dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những u cầu hỗ
trợ kỹ thuật đối với người sử dụng ngày càng giảm.
e) Giảm thiểu các u cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng
quay số truy cập Internet, VPN u cầu về thiết bị ít hơn, đơn giản hơn nhiều so
với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các
thiết bị đầu cuối và các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết
lập các thiết bị khách hàng cho một mơi trường đơn, như mơi trường T1, với
phần còn lại của kết nối được thực hiện bởi ISP. Bộ phận T1 có thể làm việc
thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch
nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu
lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet
cùng một lúc.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tốt nghiệp Đại học Chương 1. Tổng quan về VPN

Đồn Thanh Bình, D01VT
7
f) Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tn theo chuẩn chung hiện nay, một phần để
đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản
phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Cơng nghệ Viễn thơng mới thì vấn đề cần quan tâm

là chuẩn hố, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng,
tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại
của sản phẩm.
1.4 Phân loại mạng VPN
Mục tiêu đặt ra đối với cơng nghệ mạng VPN là thoả mãn ba u cầu cơ
bản sau:
- Tại mọi thời điểm, các nhân viên của cơng ty có thể truy nhập từ xa hoặc
di động vào mạng nội bộ của cơng ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ hoặc các đối tượng bên ngồi khác.
Dựa vào những u cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
1.4.1 Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy
nhập vào mạng của cơng ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình
nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi
nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng cơng ty tới những người sử dụng thơng
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng cơng ty vẫn
duy trì. Chúng có thể dùng để cung cấp truy nhập an tồn từ những thiết bị di
động, những người sử dụng di động, những chi nhánh và những bạn hàng của
cơng ty. Những kiểu VPN này được thực hiện thơng qua cơ sở hạ tầng cơng
cộng bằng cách sử dụng cơng nghệ ISDN, quay số, IP di động, DSL và cơng
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tốt nghiệp Đại học Chương 1. Tổng quan về VPN


Đồn Thanh Bình, D01VT
8
nghệ cáp và thường u cầu một vài kiểu phần mềm client chạy trên máy tính
của người sử dụng.
POPPOP
DSL
cable
Mobile
POP
Extranet
kh¸ch hµng tíi c«ng ty
Router
Internet
or
or


Hình 1.2 : Mơ hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy
nhập từ xa truyền thống như:
- Mạng VPN truy nhập từ xa khơng cần sự hỗ trợ của nhân viên mạng bởi
vì q trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thơng qua mạng
Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của cơng ty bởi
vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa khơng hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân
phát khơng đến nơi hoặc mất gói.
- Bởi vì thuật tốn mã hố phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tốt nghiệp Đại học Chương 1. Tổng quan về VPN

Đồn Thanh Bình, D01VT
9
1.4.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một cơng ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối ln được mã hố bảo
mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an tồn các nguồn
dữ liệu được phép trong tồn bộ mạng của cơng ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình
như là một VPN Site- to- Site.
v¨n phßng ë xa
Router
InternetInternet
POPPOP
Remote site
Central site
or




Hình 1.3: Mơ hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Các mạng lưới cục bộ hay tồn bộ có thể được thiết lập (với điều kiện
mạng thơng qua một hay nhiều nhà cung cấp dịch vụ).
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thơng qua mạng Internet,
nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thơng qua Internet kết hợp với cơng nghệ chuyển mạch
tốc độ cao. Ví dụ như cơng nghệ Frame Relay, ATM.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi
cùng như:
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ỏn tt nghip i hc Chng 1. Tng quan v VPN

on Thanh Bỡnh, D01VT
10
- Bi vỡ d liu c truyn ngm qua mng cụng cng mng Internet
cho nờn vn cũn nhng mi e da v mc bo mt d liu v
mc cht lng dch v (QoS).
- Kh nng cỏc gúi d liu b mt trong khi truyn dn vn cũn khỏ cao.
- Trng hp truyn dn khi lng ln d liu, nh l a phng tin, vi
yờu cu truyn dn tc cao v m bo thi gian thc l thỏch thc
ln trong mụi trng Internet.
1.4.3 Mng VPN m rng
Khụng ging nh mng VPN cc b v mng VPN truy nhp t xa, mng
VPN m rng khụng b cụ lp vi th gii bờn ngoi. Thc t mng VPN m
rng cung cp kh nng iu khin truy nhp ti nhng ngun ti nguyờn mng

cn thit m rng nhng i tng kinh doanh nh l cỏc i tỏc, khỏch
hng, v cỏc nh cung cp
.

Intranet
DSL
cable
Extranet
Business-to-business
Router
InternetInternet
POPPOP
Remote site
Central site
or

Hỡnh 1.4: Mụ hỡnh mng VPN m rng
Cỏc VPN m rng cung cp mt ng hm bo mt gia cỏc khỏch hng,
cỏc nh cung cp v cỏc i tỏc qua mt c s h tng cụng cng. Kiu VPN
ny s dng cỏc kt ni luụn luụn c bo mt v c cu hỡnh nh mt VPN
SitetoSite. S khỏc nhau gia mt VPN cc b v mt VPN m rng ú l s
truy cp mng c cụng nhn mt trong hai u cui ca VPN.
Nhng u im chớnh ca mng VPN m rng:
- Chi phớ cho mng VPN m rng thp hn rt nhiu so vi mng truyn
thng.
THệ VIEN ẹIEN Tệ TRệẽC TUYEN
ỏn tt nghip i hc Chng 1. Tng quan v VPN

on Thanh Bỡnh, D01VT
11

- D dng thit lp, bo trỡ v d dng thay i i vi mng ang hot
ng.
- Vỡ mng VPN m rng c xõy dng da trờn mng Internet nờn cú
nhiu c hi trong vic cung cp dch v v chn la gii phỏp phự hp
vi cỏc nhu cu ca mi cụng ty hn.
- Bi vỡ cỏc kt ni Internet c nh cung cp dch v Internet bo trỡ,
nờn gim c s lng nhõn viờn k thut h tr mng, do vy gim
c chi phớ vn hnh ca ton mng.
Bờn cnh nhng u im trờn gii phỏp mng VPN m rng cng cũn
nhng nhc im i cựng nh:
- Kh nng bo mt thụng tin, mt d liu trong khi truyn qua mng cụng
cng vn tn ti.
- Truyn dn khi lng ln d liu, nh l a phng tin, vi yờu cu
truyn dn tc cao v m bo thi gian thc, l thỏch thc ln trong
mụi trng Internet.
- Lm tng kh nng ri ro i vi cỏc mng cc b ca cụng ty.



THệ VIEN ẹIEN Tệ TRệẽC TUYEN
ỏn tụt nghip i hc Chng 2. Cỏc giao thc ng hm
on Thanh Bỡnh, D01VT
12
CHNG 2

CC GIAO THC NG HM VPN
Hin nay cú nhiu gii phỏp gii quyt hai vn v úng gúi d liu v
an ton d liu trong VPN, da trờn nn tng l cỏc giao thc ng hm. Mt
giao thc ng hm s thc hin úng gúi d liu vi phn Header (v cú th
c Trailer) tng ng truyn qua Internet. Giao thc ng hm l ct lừi ca

gii phỏp VPN. Cú 4 giao thc ng hm c s dng trong VPN ú l:
- Giao thc nh hng lp 2 - L2F (Layer 2 Forwarding)
- Giao thc ng hm im-im-PPTP (Point to Point Tunneling
protocol)
- Giao thc ng hm lp 2 - L2TP (Layer 2 tunneling protocol)
- Giao thc bo mt IP - IPSec (Internet Protocol Security)
2.1 Giao thc nh hng lp 2 - L2F
Giao thc nh hng lp 2 L2F do Cisco phỏt trin c lp v c phỏt
trin da trờn giao thc PPP (Point-to-Point Protocol). L2F cung cp gii phỏp
cho dch v quay s o bng cỏch thit lp mt ng hm bo mt thụng qua
c s h tng cụng cng nh

Internet. L2F l giao thc

c phỏt trin sm
nht, l phng phỏp truyn thng cho nhng ngi s dng xa truy cp
vo mt mng cụng ty thụng qua thit b truy cp t xa.
L2F cho phộp úng gúi cỏc gúi PPP trong L2F, nh ng hm lp liờn
kt d liu.
2.1.1 Cu trỳc gúi ca L2F
1bit 1bit 1bit 1bit 8bit 1bit 3bit 8bit 8bit
F K P S Reserved C Version Protocol Sequence
Multiplex ID Client ID
Length Offset
Key
Data
Ckecksums

Hỡnh 2.1: Khuụn dng gúi ca L2F
Trong ú:

F: Trng Offset cú mt nu bit ny c thit lp.
THệ VIEN ẹIEN Tệ TRệẽC TUYEN
Đồ án tơt nghiệp Đại học Chương 2. Các giao thức đường hầm
Đồn Thanh Bình, D01VT
13
K: Trường “Key” có mặt nếu bít này được thiết lập.
P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.
S: Trường “Sequence” có mặt nếu bít này được thiết lập.
Reserved: ln được đặt là: 00000000.
Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này ln là 111.
Protocol : Xác định giao thức đóng gói L2F.
Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.
Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).
Client ID: Giúp tách đường hầm tại những điểm cuối.
Length: chiều dài của gói (tính bằng Byte) khơng bao gồm phần checksum.
Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu.
Trường này có khi bít F=1.
Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một phần của
q trình nhận thực.
Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bít C=1.
2.1.2 Ưu nhược điểm của L2F
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:
- Khơng có mã hố.
- Yếu trong việc xác thực người dùng.
- Khơng có điều khiển luồng cho đường hầm.
2.1.3 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,

truyền xun qua một mạng. L2F sử dụng các thiết bị:
NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và
gateway home. Hệ thống ERX hoạt động như NAS.
Tunne:l Định hướng đường đi giữa NAS và home gateway. Một đường
hầm gồm một số kết nối.
Home gateway: Ngang hàng với NAS.
Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI,
một kết nối L2F được xem như là một phiên.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ỏn tụt nghip i hc Chng 2. Cỏc giao thc ng hm
on Thanh Bỡnh, D01VT
14
im ớch (Destination): L im kt thỳc u xa ca ng hm. Trong
trng hp ny thỡ Home gateway l im ớch.

Hỡnh 2.2: Mụ hỡnh c trng L2F
2.1.4 Hot ng ca L2F
Hot ng L2F bao gm cỏc hot ng: thit lp kt ni, ng hm v
phiờn lm vic. Ta xem xột vớ d minh ho hot ng ca L2F:
1) Mt ngi s dng xa quay s ti h thng NAS v khi u mt kt
ni PPP ti ISP.
2) H thng NAS v mỏy khỏch trao i cỏc gúi giao thc iu khin liờn
kt LCP (Link Control Protocol).
3) NAS s dng c s d liu cc b liờn quan ti tờn vựng (domain name)
hay nhn thc RADIUS quyt nh cú hay khụng ngi s dng yờu
cu dch v L2F.
4) Nu ngi s dng yờu cu L2F thỡ quỏ trỡnh tip tc: NAS thu nhn a
ch ca gateway ớch (home gateway).
5) Mt ng hm c thit lp t NAS ti gateway ớch nu gia chỳng
cha cú ng hm no. S thnh lp ng hm bao gm giai on nhn

thc t ISP ti gateway ớch chng li tn cụng bi nhng k th ba.
6) Mt kt ni PPP mi c to ra trong ng hm, iu ny tỏc ng kộo
di phiờn PPP t ngi s dng xa ti home gateway. Kt ni ny c
thit lp nh sau: Home gateway tip nhn cỏc la chn v tt c thụng tin
nhn thc PAP/CHAP, nh ó tho thun bi u cui ngi s dng v
NAS. Home gateway chp nhn kt ni hay nú tho thun li LCP v
nhn thc li ngi s dng.
THệ VIEN ẹIEN Tệ TRệẽC TUYEN
ỏn tụt nghip i hc Chng 2. Cỏc giao thc ng hm
on Thanh Bỡnh, D01VT
15
7) Khi NAS tip nhn lu lng d liu t ngi s dng, nú ly gúi v
úng gúi lu lng vo trong mt khung L2F v hng nú vo trong
ng hm.
8) Ti home gateway, khung L2F c tỏch b, v d liu úng gúi c
hng ti mng cụng ty.
2.1.5 Qun lý L2F
Khi h thng ó thit lp nhng im ớch, nhng ng hm tunnel, v
nhng phiờn kt ni ta phi iu khin v qun lý lu lng L2F nh sau:

- Ngn cn to nhng im ớch, nhng ng hm tunnel, nhng phiờn
mi.
- úng v m li tt c hay chn la nhng im ớch, nhng ng hm
tunnel, nhng phiờn.
- Cú kh nng kim tra tng UDP.
- Thit lp thi gian ri cho h thng v lu gi c s d liu vo ca
nhng ng hm v nhng kt ni.
S thay i mt im ớch lm nh hng ti tt c nhng ng hm v
phiờn ti im ớch ú; S thay i mt ng hm lm nh hng ti tt c cỏc
phiờn trong ng hm ú. Vớ d, S kt thỳc im ớch úng tt c cỏc

ng hm v phiờn ti im ớch ú.
L2F cung cp cỏc lnh

thc hin cỏc chc nng. Vớ d
L2F checksum: mc ớch kim tra ton vn d liu ca cỏc khung L2F s
dng kim tra tng UDP, vớ d host 1(config)#l2f checksum
L2F destruct-timeout: s dng thit lp thi gian ri, giỏ tr thit lp trong
di 10 -:- 3600 giõy, vớ d host1 (config)#l2f destruct-timeout 1200
2.2 Giao thc ng hm im-im PPTP
Giao thc ng hm imim PPTP c a ra u tiờn bi mt
nhúm cỏc cụng ty c gi l PPTP Forum. Nhúm ny bao gm 3 cụng ty:
Ascend comm., Microsoft, ECI Telematicsunication v US Robotic. í tng c
s ca giao thc ny l tỏch cỏc chc nng chung v riờng ca truy cp t xa, li
dng c s h tng Internet sn cú to kt ni bo mt gia ngi dựng xa
(client) v mng riờng. Ngi dựng xa ch vic quay s ti nh cung cp dch
v Internet a phng l cú th to ng hm bo mt ti mng riờng ca h.

THệ VIEN ẹIEN Tệ TRệẽC TUYEN
Đồ án tơt nghiệp Đại học Chương 2. Các giao thức đường hầm
Đồn Thanh Bình, D01VT
16
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đường hầm bảo mật thơng qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mơ tả lại để đóng gói và tách gói PPP, giao thức này cho
phép PPTP mềm dẻo xử lý các giao thức khác khơng phải IP như: IPX,
NETBEUI.
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực.
PPTP có thể sử dụng PPP để mã hố dữ liệu nhưng Microsoft đã đưa ra phương
thức mã hố khác mạnh hơn đó là mã hố điểm - điểm MPPE (Microsoft Point-

to- Point Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết
dữ liệu) trong khi IPSec chạy ở lớp 3 của mơ hình OSI. Bằng cách hỗ trợ việc
truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao
thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.
2.2.1

Kiến trúc của PPTP




Hình 2.3: Kiến trúc của PPTP
a) PPP và PPTP
PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng
TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mơ hình
OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác
nhau để truyền nối tiếp. Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức
điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và
kiểm tra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol)
cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
Đồ án tơt nghiệp Đại học Chương 2. Các giao thức đường hầm
Đồn Thanh Bình, D01VT
17
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-
điểm từ máy gửi đến máy nhận. Để viêc truyền thơng có thể diễn ra thì mỗi PPP
phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác
thực. Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó ln ln được cung

cấp bởi các ISP. Việc xác thực được thực hiện bởi PAP hay CHAP.
Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và
khơng có bảo mật để tránh khỏi bị tấn cơng thử và lỗi. CHAP là một phương
thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP
chống lại các vụ tấn cơng quay lại bằng cách sử dụng các giá trị thách đố
(challenge value) duy nhất và khơng thể đốn trước được. CHAP phát ra giá trị
thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể
giới hạn số lần bị đặt vào tình thế bị tấn cơng.
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng
và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP
để đóng các gói truyền trong đường hầm.
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại
gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều
khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và
kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao
thức IP. Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng
để trưyền thơng báo điều khiển.
Các gói dữ liệu là dữ liêu thơng thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thơng tin về trạng thài kết nối và quản lý báo hiệu
giữa client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi
các thơng tin quản lý thiết bị, thơng tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được u cầu cho việc thiết lập một đường hầm giữa
client PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng
từ xa hay nằm ở tại máy chủ của ISP.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN
ỏn tụt nghip i hc Chng 2. Cỏc giao thc ng hm

on Thanh Bỡnh, D01VT
18


Hỡnh 2.4:Cỏc giao thc dựng trong mt kt ni PPTP

Sau khi ng hm c thit lp thỡ d liu ngi dựng c truyn gia
client v mỏy ch PPTP. Cỏc gúi PPTP cha cỏc gúi d liu IP. Cỏc gúi d liu
c úng gúi bi tiờu GRE, s dng s ID ca Host cho iu khin truy cp,
ACK cho giỏm sỏt tc d liu truyn trong ng hm.
PPTP hot ng lp liờn kt d liu, nờn cn phi cú tiờu mụi trng
truyn trong gúi bit gúi d liu truyn trong ng hm theo phng thc
no? Ethernet, Frame Relay hay kt ni PPP?




Hỡnh 2.5 : bc gúi PPTP/ GRE
PPTP cng cú c ch iu khin tc nhm gii hn s lng d liu
truyn i. C ch ny lm gim ti thiu d liu phi truyn li do mt gúi.


b) Cu trỳc gúi ca PPTP
*úng gúi d liu ng hm PPTP
D liu ng hm PPTP c úng gúi thụng qua nhiu mc: úng gúi
khung PPP,

úng gúi cỏc gúi GRE, úng gúi lp liờn kt d liu.
Cu trỳc gúi d liu ó c úng gúi
THệ VIEN ẹIEN Tệ TRệẽC TUYEN

Đồ án tơt nghiệp Đại học Chương 2. Các giao thức đường hầm
Đồn Thanh Bình, D01VT
19


Hình 2.6: Cấu trúc gói dữ liệu trong đường hầm PPTP
+ Đóng gói khung PPP
Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản
sửa đổi giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác
nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường
nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết
lập bởi PPTP client trong q trình khởi tạo đường hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi
qua mạng IP.
+ Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hố và phần tiêu đề GRE được đóng gói
với một tiêu đề IP chứa thơng tin địa chỉ nguồn và đích cho PPTP client và
PPTP server.
+ Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mơ
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và
phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi
qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet.
Nếu IP datagram được gửi thơng qua đường truyền WAN điểm tới điểm thì sẽ
được đóng gói với phần Header và Trailer của giao thức PPP.

* Xử lý dữ liệu đường hầm PPTP
Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ
thực hiện các bước xử lý:
- xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
- Xử lý và loại bỏ IP Header.
THƯ VIỆN ĐIỆN TỬ TRỰC TUYẾN