Tải bản đầy đủ (.doc) (44 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Mạng riêng ảo VPN đồ án tốt nghiệp đại học

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (432.49 KB, 44 trang )

Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

Mai Quốc Phương – lớp 49K- Khoa CNTT
1


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

MỤC LỤC
Chương 1 – TỔNG QUAN ĐỀ TÀI...........................................................................................6
1.1 Tổng quan về mạng căn bản............................................................................................10
2. Mã hoá..................................................................................................................................31
2.1 Thuật toán mã hoá khoá bí mật (hay đối xứng)............................................................31
2.2 Thuật toán mã hoá khoá công cộng................................................................................32
KẾT LUẬN ..............................................................................................................................42
TÀI LIỆU THAM KHẢO........................................................................................................44

LỜI CẢM ƠN

Lời đầu tiên chúng em muốn gửi lời cảm ơn chân thành tới cô Hồ Thị
Huyền Thương – Khoa Công nghệ thông tin - Trường Đại Vinh đã tận tình
hướng dẫn em và tạo điều kiện tốt nhất để em hoàn thành đề tài tốt nghiệp này.
Em cũng xin cảm ơn các thầy cô giáo trong khoa Công nghệ thông tin
-Trường Đại học Vinh đã giúp đỡ chúng em trong suốt khóa học tại trường Đại
học Vinh. Cũng như sự đóng góp quý báu của các thầy cô đối với đề tài tốt
nghiệp này của em.
Lời cảm ơn sau cùng chúng em xin gửi tới toàn thể các bạn bè, đồng


nghiệp làm việc trong lĩnh vực công nghệ thông tin đã đóng góp cho chúng em
những kinh nghiệm quý báu và bổ ích.
Mai Quốc Phương – lớp 49K- Khoa CNTT
2


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

Vinh, ngày 22, tháng 12 , năm 2012
Sinh viên thực hiện:
Mai Quốc Phương

LỜI NÓI ĐẦU
Ngày nay, công nghệ viễn thông đang phát triển rất nhanh, trong đó công nghệ
mạng đóng vai trò hết sức quan trọng trong việc thông tin dữ liệu. Chỉ xét về góc độ
kinh doanh, nhu cầu truyền thông của các công ty, tổ chức là rất lớn. Một công ty có
một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ. Nhưng cũng
muốn các chi nhánh, văn phòng, nhân viên di động hay các đối tác từ xa có thể truy
cập vào mạng công ty. Có nhiều dịch vụ được cung cấp như Modem quay số, ISDN
server hay các đường WAN thuê riêng đắt tiền. Nhưng với sự phát triển rộng rãi của
Internet, một số công ty có thể kết nối với nhân viên, đối tác từ xa ở bất cứ đâu, thậm
chí trên toàn thể giới mà không cần sử dụng các dịch vụ đắt tiền trên.
Nhưng có một vấn đề là mạng nội bộ công ty chứa tài nguyên, dữ liệu quan
trọng mà chỉ cho phép người dùng có quyền hạn, được cấp phép mới được truy cập
vào mạng trong khi Internet là mạng công cộng và không bảo mật. Do đó, Internet có
thể là mối nguy hiểm cho hệ thống mạng, cơ sở dữ liệu quan trọng của công ty. Sự
thông tin qua môi trường Internet có thể bị làm sai lệch hoặc bị đánh cắp. Và đây
chính là chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả năng. VPN

cung cấp giải pháp thông tin dữ liệu riêng tư an toàn thông qua môi trường mạng
Internet công cộng với chi phí thấp, hiệu quả mà vẫn rất bảo mật. Sau thời gian được
học ở trường với sự dạy dỗ và định hướng của các thầy cô giáo trong khoa, chúng em
đã chọn đề tài “Hệ thống mạng ảo VPN” để làm đồ án tốt nghiệp cũng như để học hỏi
Mai Quốc Phương – lớp 49K- Khoa CNTT
3


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

thêm kiến thức để sau này áp dụng vào thực tế công việc của chúng em. Do thời gian
và kiến thức còn hạn chế nên đồ án này của chúng em sẽ còn nhiều thiếu sót. Kính
mong sự hướng dẫn, góp ý thêm của thầy cô và bạn bè.

Em xin chân thành cảm ơn!
Sinh viên :
Mai Quốc Phương

PHẦN MỞ ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là
Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế
thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong
quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của
họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất,
đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới,
cũng như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ
Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:

- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết
nối tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho
việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau
này.
- Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương
pháp này lại không đáp ứng được tính bảo mật cao. Sự ra đời của kỹ thuật mạng riêng
ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng
sẵn có của mạng Internet nhưng lại có được các tính chất của một mạng cục bộ như
khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính là sự lựa chọn tối
ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh nghiệp
tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng
WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công
cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng. Ở Việt Nam, khi

Mai Quốc Phương – lớp 49K- Khoa CNTT
4


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng
VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn
về kinh tế.
Với đề tài: "Hệ thống mạng ảo VPN” trong Đồ án Tốt nghiệp, em hy vọng nó
có thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ
thuật VPN.
Nội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bày các vấn đề cơ
bản nhất của mạng VPN.

Chương 1: Nêu một số khái niệm tổng quan, tính cấp thiết của đề tài, hướng
tiếp cận đề tài, ý nghĩa của việc sử dụng Hệ thống mạng ảo VPN trong thực tiễn. Từ
đó làm cơ sở để phát triển đề tài, đưa ra các thuận lợi và khó khăn khi sử dụng các loại
hình VPN đó.
Chương 2: Đây là chương giới thiệu về các dịch vụ mạng, định nghĩa những
ứng dụng trong quản trị mạng, đưa ra các khái niệm về VPN và các loại hình VPN,
phân loại mạng VPN.
Chương 3: Đây là chương trọng tâm giới thiệu về các giao thức, các đặc điểm
và hoạt động của các giao thức đường hầm PPTP, L2TP được sử dụng trong VPN.
Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần quan trọng trong
VPN. Bảo mật trong VPN bao gồm: quá trình mật mã và xác thực. Trong chương này
sẽ giới thiệu các giải pháp, thuật toán mã hoá và xác thực trong VPN.
Chương 5: Dựa vào những kiến thức đã tìm hiểu ở các chương trước để xây
dựng các dạng mạng ảo VPN trên lab ảo để đưa vào ứng dụng thực tế tại các doanh
nghiệp, công ty.
Do nhiều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những sai
sót. Em rất mong nhận được ý kiến đóng góp của các thầy cô và bạn.

Mai Quốc Phương – lớp 49K- Khoa CNTT
5


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

Chương 1 – TỔNG QUAN ĐỀ TÀI
Ngày nay việc ứng dụng hệ thống công nghệ thông tin vào cuộc sống đã được
triển khai, ứng dụng và phát triển mạnh mẽ, với những tiến bộ vượt bậc. Việc phát
triển nghành công nghệ thông tin cũng chỉ ra rằng đất nước đó đang phát trển tới mức

độ nào. Khi hệ thống mạng máy tính phát triển và được đưa vào ứng dụng thì kèm
theo sau nó là hàng loạt các dịch vụ ứng dụng cũng phát triển theo nhằm phục vụ cho
nhu cầu công việc của con người, làm cho công việc ngày một thuận tiện hơn và
nhanh chóng hơn. Trong những công nghệ kéo theo đó có Hệ thống mạng ảo VPN.
Hệ thống mạng ảo VPN được đưa ra nhằm giúp cho những công ty, doanh
nghiệp, hay những đối tác của nhau nhưng ở xa nhau về mặt địa lý có thể liên kết lại
được với nhau thông qua hệ thống mạng Internet mà vẫn đảm bảo được về mặt bảo
mật, an toàn dữ liệu.
1. Tính cấp thiết của đề tài
Cùng với sự ra đời của hệ thống mạng máy tình thì công nghệ mạng đã phát
triển một cách vượt bậc. Cách đây một thời gian thì mạng mạng máy tính còn là một
khái niệm xa vời. Nhưng bây giờ nó đã trở thành hiện thực và là một trong những nhu
cầu lớn của các hệ thống công ty và những doanh nghiệp. Việc xây dựng và phát triển
hệ thống mạng có ý nghĩa sống còn đối với mỗi đơn vị. Việc áp dụng hệ thống mạng
vào công việc mang lại nhiều lợi ích to lớn. Những lợi ích mà hệ thống mạng mang lại
không ai có thể phủ nhận đó là việc hỗ trợ trong công việc, việc truyền tải thông tin dữ
liệu một cách nhanh chóng thuận tiện. Tuy nhiên việc ra đời hệ thống mạng Internet
cũng kéo theo nhiều hệ lụy của chúng đó là việc phá hoại hệ thống của một số đối
tượng xấu. Việc giao tiếp và truyền tải dữ liệu trên mạng có thể bị can thiệp, đánh cắp
của một số phần tử xấu lợi dụng hệ thống mạng Internet.
Vì vậy để đảm bảo việc kết nối và truyền tải dữ liệu các đơn vị có thể chọn:
Mai Quốc Phương – lớp 49K- Khoa CNTT
6


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

-Thuê một đường truyền riêng Leased Line của nhà cung cấp để kết nối các

mạng con của công ty lại với nhau.
-Sử dụng mạng internet để liên lạc với nhau.
Và Microsoft đã cho ra đời một khái niệm hoàn toàn mới đó là thiết lập một hệ
thống mạng ảo Virtual and Private Network (VPN). VPN ra đời dung hòa được hai
khái niệm trên, nó được xây dựng trên nền tảng có sẵn của mạng Internet, nhưng lại có
được những tính chất của của một mạng cục bộ như khi sử dụng các đường Leased
line. VPN cho phép thiết lập một kênh kết nối hay một đường hầm riêng giữa hệ thống
các công ty cha và con. Giúp cho việc truyền tải và trao đổi dữ liệu diễn ra an toàn và
hiệu quả.
2. Tình hình nghiên cứu thực tế
Với sự hỗ trợ to lớn về mặt kiến thức của các thầy cô giáo trong khoa Công
nghệ thông tin - Trường Đại học Vinh và nguồn tri thức vô hạn từ hệ thống mạng
Internet. Việc nghiên cứu và phát triển đề tài là thực sự được hỗ trợ và phát huy hiệu
quả, toàn diện.
Thông qua việc tìm hiêu các đề tài về “Hệ thống mạng ảo VPN” khác đã được
nghiên cứu và xây dựng. Từ đó rút ra được những điểm mạnh và hạn chế những
khuyết điểm trong quá trình nghiên cứu thực tế.
Tuy nhiên bên cạnh những mặt thuận lợi đó là những khó khăn lớn. Mặc dù hệ
thống mạng ảo đã được phát triển và xây dựng từ lâu, song với lượng kiến thức còn hạ
chế nên việc nghiên cứu đề tài còn là một vấn đề lớn. Việc xây dựng đề tài làm sao để
có thể phát huy hết được nguồn tri thức của nhân loại và phát huy hếtkhả năng của hệ
thống mạng ảo (VPN) vào thực tế công việc còn phụ thuộc vào rất nhiều yếu tố khác
nữa.
3. Vấn đề đặt ra của đề tài
Xây dựng một hệ thống mạng ảo để có thể áp dụng vào thực tế hiện nay.
Việc xây dựng Hệ thống mạng ảo VPN có ý nghĩa sống còn trong các doanh
nghiệp lớn, nó giúp tiết kiệm chi phí và đảm bảo an ninh dữ liệu.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập
quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải
quyết được những khó khăn về kinh tế.

4. Mục đích và ý nghĩa
4.1 Mục đích
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (Thường là Internet)
để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung
tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra
Mai Quốc Phương – lớp 49K- Khoa CNTT
7


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm
hoặc người sử dụng ở xa.
Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có
xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay
toàn cầu). Tài nguyên ở trung tâm có thể kết nối tới từ nhiều nguồn nên tiết kiệm được
chi phí và thời gian.
Mục đích của VPN là việc sử dụng Internet và tính phổ cập của nó. Tuy nhiên,
do Internet là nguồn thông tin công cộng nên có thể được truy cập bởi bất kỳ ai, bất kỳ
lúc nào, bất kỳ nơi đâu và việc trao đổi thông tin trên mạng có thể bị nghe trộm, đánh
cắp. Sự trao đổi dữ liệu và truy cập bất hợp pháp của tin tặc.
Mục đích của VPN là cung cấp tính năng bảo mật dữ liệu, tính hiệu quả và độ
tin cậy trong mạng trong khi vẫn đảm bảo tính cân bằng và giá thành cho toàn bộ quá
trình xây dựng mạng.
VPN được hiểu là mở rộng của một mạng Intranet được kết nối thông qua
mạng công cộng nhằm đảm bảo an toàn và tăng hiệu quả giá thành kết nối giữa hai
đầu nối. Cơ chế và độ giới hạn bảo mật tinh vi cũng được sử dụng để đảm bảo tính an
toàn cho việc trao đổi dữ liệu dễ bị đánh cắp thông qua một môi trường không an toàn.

Cơ chế an toàn bao gồm những khái niệm sau đây:
* Encryption (Mã hóa): Mã hóa dữ liệu là một quá trình xử lý thay đổi dữ liệu
theo một chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn.
Để đọc được dữ liệu người nhận bắt buộc phải có chính xác một mã khóa giải mã dữ
liệu. Theo phương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khóa
để có thể giải mã và mã hóa dữ liệu. Lược đồ public-key sử dụng hai khóa, một khóa
được xem như một public-key (khóa công cộng) mà bất cứ ai cũng có thể dùng để mã
hóa và giải mã dữ liệu.
* Authentication (Chứng thực): Là một quá trình xử lý đảm bảo chắc chắn dữ
liệu sẽ được chuyển đến người nhận đồng thời cũng đảm bảo thông tin được nguyên
vẹn. Ở hình thức cơ bản Authentication đòi hỏi ít nhất phải tuân thủ việc phải nhập
vào Username và Password để có thể truy cập vào tài nguyên. Trong một số tình
huống phức tạp, sẽ có thêm secret-key hoặc public-key để mã hóa dữ liệu.
* Authorization (Ủy quyền): Đây là quá trình xử lý cấp quyền truy cập hoặc
ngăn cấm vào tài nguyên trên mạng sau khi đã thực hiện Authentication.
4.2 Ý nghĩa
Việc xây dựng hệ thống mạng ảo VPN dựa trên hệ thống mạng Internet thực sự
đã mang lại ý nghĩa và kết quả to lớn. Đó là việc thiết lập dùng mạng riêng trên nền
mạng công cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo” thông suốt và
Mai Quốc Phương – lớp 49K- Khoa CNTT
8


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

bảo mật.
Mạng riêng ảo ra đời đáp ứng nhu cầu của các doanh nghiệp muốn duy trì một
mạng riêng kết nối giữa các trụ sở chi nhánh và các nhân viên hoạt động ở ngoài công

ty với mức chi phí thấp hoạt động ổn định và độ bảo mật cao. Vì được thiết lập một
kênh riêng nên mang tính bảo mật cao và thuận tiện cho việc triển khai và mở rộng.
- Làm giảm chi phí thường xuyên.
- Giảm chi phí quản lý và hỗ trợ.
- Đảm bảo an toàn thông tin, tính toàn vẹn và xác thực.
Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được
truyền trong các đường hầm (Tunnel) nên thông tin có độ an toàn cao.
- Dễ dàng kết nối các chi nhánh thành một mạng cục bộ.
- Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
Bảo mật địa chỉ IP : thông tin được gửi đi trên VPN đã được mã hóa do đó các
địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.

Kết luận chương 1: Qua nội dung của chương 1 chúng ta có thể thấy được
tầm quan trọng, tính cấp thiết của hệ thống mạng ảo VPN trong việc sống còn của các
công ty, doanh nghiệp hiện nay, nó đáp ứng được hầu hết nhu cầu về việc trao đổi liên
lạc về mặt hành chính, chuyển dữ liệu giữa các chi nhánh công ty với nhau. Tuy nhiên
bên cạnh đó việc ứng dụng thực tế triển khai hệ thống mạng ảo VPN vào thực tế vẫn
còn khó khăn do còn thiếu nhân lực chất lượng cao trong lĩnh vực quản trị mạng tại
các công ty, doanh nghiệp.

Mai Quốc Phương – lớp 49K- Khoa CNTT
9


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

Chương 2 - CƠ SỞ LÝ THUYẾT
Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là

một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh
khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet.
Thông qua hệ thống mạng mà Hệ thống mạng riêng ảo VPN được xây dựng và phát
triển nhằm phục vụ cho công việc.
Trong chương 2 này sẽ đề cập tới những cơ sở lý thuyết về hệ thống mạng, hạ
tầng mạng, hệ điều hành và những dịch vụ mạng đi kèm, là định nghĩa, nền tảng để có
thể xây dựng một hệ thống mạng ảo VPN hoàn chỉnh, đáp ứng được nhu cầu công
việc.
1 - Tổng quan về mạng căn bản, quản trị mạng, Windows Server 2003,
Domain, AD, VPN và một số dịch vụ mạng
1.1 Tổng quan về mạng căn bản
* Định nghĩa mạng máy tính
Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường
truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua
lại cho nhau.
Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để
chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu điện tử đó
biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off). Tất cả các tín hiệu
được truyền giữa các máy tính đều thuộc một dạng sóng điện từ. Tùy theo tần số của
sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu. Ở
đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây
điện thoại, sóng vô tuyến ... Các đường truyền dữ liệu tạo nên cấu trúc của mạng. Hai
khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của mạng máy tính.
* Phân loại mạng máy tính
Do hiện nay mạng máy tính được phát triển khắp nơi với những ứng dụng ngày
càng đa dạng cho nên việc phân loại mạng máy tính là một việc rất phức tạp. Người ta
Mai Quốc Phương – lớp 49K- Khoa CNTT
10



Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

có thể chia các mạng máy tính theo khoảng cách địa lý ra làm hai loại: Mạng diện rộng
và Mạng cục bộ.
Mạng cục bộ (Local Area Networks - LAN) là mạng được thiết lập để liên kết
các máy tính trong một khu vực như trong một toà nhà, một khu nhà.
Mạng diện rộng (Wide Area Networks - WAN) là mạng được thiết lập để liên
kết các máy tính của hai hay nhiều khu vực khác nhau như giữa các thành phố hay các
tỉnh.
1.2 Tổng quan về quản trị mạng
Ngày nay, mạng máy tính là một khái niệm đã trở nên quen thuộc với hầu hết
tất cả mọi người đặc biệt chiếm vị trí hết sức quan trọng với các doanh nghiệp. Với xu
thế phát triển mạnh mẽ của hệ thống mạng như: Mạng Internet, hệ thống thương mại
điện tử, hệ thống thông tin trong các cơ quan, doanh nghiệp, ... vấn đề quản trị và an
ninh mạng trở nên hết sức cần thiết. Làm thế nào để thiết kế một mạng máy tính tối ưu
cho từng tổ chức, doanh nghiệp và làm thế nào để mạng máy tính đó hoạt động tốt với
tính bảo mật cao? Để hướng đến một xã hội thông tin an toàn và có độ tin cậy cao, có
thể triển khai được các dịch vụ, tiện ích qua mạng để phục vụ đời sống xã hội, chính
trị, quân sự, ... thì vấn đề quản trị và an ninh mạng phải được cân nhắc và đánh giá
đúng tầm quan trọng của nó.
Một định nghĩa khái quát về công tác quản trị mạng là rất khó vì tính bao hàm
rộng của nó. Quản trị mạng theo nghĩa mạng máy tính có thể được hiểu khái quát là
tập bao gồm của các công tác quản trị mạng lưới và quản trị hệ thống.Có thể khái quát
công tác quản trị mạng bao gồm các công việc sau:
* Quản trị cấu hình, tài nguyên mạng
* Quản trị người dùng, dịch vụ mạng
* Quản trị hiệu năng, hoạt động mạng
* Quản trị an ninh, an toàn mạng

1.3 Tổng quan về Windows Server 2003
Microsoft Windows Server 2003 là thế hệ tiếp theo của HĐH Windows
Server giúp các chuyên gia CNTT kiểm soát được cơ sở hạ tầng tối ưu nhất mà vẫn
đảm bảo khả năng quản lý, tính sẵn sàng, môi trường máy phục vụ mạnh mẽ, ổn định
và bảo mật hơn nhiều so với trước đây. Windows Server 2003 mang lại giá trị mới cho
tổ chức vì mọi người dù đang ở bất cứ đâu cũng nhận được đầy đủ mọi dịch vụ của
mạng. Windows Server 2003 cũng giúp hiểu biết sâu sắc hơn về hệ điều hành cùng
khả năng chẩn đoán sự cố để các nhà quản trị mạng có nhiều thời gian tập trung tạo
thêm giá trị nghiệp vụ.
Windows Server 2003 ra đời thì Microsoft cũng dựa vào những thính năng cơ
Mai Quốc Phương – lớp 49K- Khoa CNTT
11


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

bản của từng phiên bản để phân loại do đó có rất nhiều phiên bản được tung ra thị
trường. Tuy nhiên được sử dụng rộng rãi nhất là 4 phiên bản sau đây:
. Windows Server 2003 Standard Edition.
. Windows Server 2003 Enterprise Edition.
. Windows Server 2003 Datacenter Edition.
. Windows Server 2003 Web Edition.
1.4 Tổng quan về Domain
Một trong những khái niệm quan trọng nhất của mạng Windows là domain (tức
miền hay vùng). Một domain là tập hợp các tài khoản người dùng và tài khoản máy
tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là
dành cho các domain controller (Bộ điều khiển miền) nhằm giúp tài nguyên được khai
thác dễ dàng hơn.

Domain controller thực sự rất quan trọng. Trong mạng, bất kỳ máy trạm
(workstattion) nào đang chạy hệ điều hành Windows XP cũng có một nhóm tài khoản
người dùng tạo sẵn nào đó. Windows XP thậm chí còn cho phép bạn tạo một số tài
khoản bổ xung nếu thấy cần thiết. Nếu máy trạm có chức năng như một hệ thống độc
lập hoặc một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm
(được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài nguyên
trên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động như
với chức năng đảm bảo cho quản trị viên có thể thực hiện công việc bảo dưỡng, duy trì
máy trạm, không cho phép người dùng cuối khả năng can thiệp vào các thiết lập trên
máy trạm.
Tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép
điểu khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng
quản lý rất lớn. Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ.
Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ
phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay
đổi quyền hạn cho tài khoản. Vấn đề này không gây ra tác động gì lớn trong mạng
nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với một mạng lớn hay khi cần áp dụng thay đổi
rộng cho tất cả mọi tài khoản.
Một lý do khác là không ai muốn phải chuyển tài khoản người dùng từ máy này
sang máy khác. Chẳng hạn nếu máy tính của một người dùng bị phá hoại, người đó
không thể đăng nhập vào máy tính khác để làm việc. Vì tài khoản của họ chỉ có tác
dụng trên máy cũ. Nếu muốn làm được việc người đó phải tạo tài khoản mới trên máy
khác.
Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục
Mai Quốc Phương – lớp 49K- Khoa CNTT
12


Đồ án tốt nghiệp đại học


Đề tài : Mạng riêng ảo VPN

bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế. Thậm chí nếu bạn
muốn triển khai bảo mật này, Windows cũng không cho phép. Tài khoản người dùng
cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.
Về mặt nguyên lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm
trên 1 máy chủ (server), tài khoản người dùng mức server sẽ được dùng để điều khiển
truy cập. Tuy nhiên còn nhiều vấn đề mà Domain cung cấp cho người dùng hơn nữa.
Mỗi một Domain là duy nhất, hoạt động độc lập không bao giờ lặp lại nhưng
nguyên tắc hoạt động giống nhau. Trong domain tích hợp thêm thành phần Active
Directory (AD) cây thư mục quản lý và thẩm định người dùng trong Domain.
AD hoạt động như một nơi lưu trữ các đối tượng thư mục (directory), trong đó
có tài khoản người dùng (user account). Và một trong các công việc chính của bộ điều
khiển tên miền là cung cấp dịch vụ thẩm định. (Điều này sẽ được nghiên cứu sâu hơn
ở phần sau của báo cáo này).
Domain controller cung cấp dịch vụ thẩm định (Authetication) chứ không phải
là dich vụ cấp phép (Athoriztion). Tức là, khi một người dùng nào đó đăng nhập vào
mạng, một bộ điều khiển sẽ kiểm tra tính hợp lệ của Username và password họ nhập
vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay không. Nhưng domain
controller không nói với người dùng họ có quyền truy cập tài nguyên nào.
Tài nguyên trên mạng Windows được bảo vệ bởi các danh sách điều khiển truy
cập (ACL - Acscess Control List). Một ACL là danh sách chỉ rõ ai có quyền làm gì.
Khi người dùng cố gắng truy cập tài nguyên, họ đưa ra nhân dạng của mình cho máy
chủ chứa tài nguyên đó. Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùng
này đã được thẩm định. Sau đó tham chiếu chéo đến ACL để xem người dùng có
quyền làm gì.Domain Controller đóng vai trò hết sức quan trọng trong Windows
Server.
1.5 Tổng quan về AD
Active Director là một dịch vụ thư mục (directory service) đã được đăng ký bản
quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống

như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS),
Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý
dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương
tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho
các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.Active Directory có
thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng
cao, hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng
của hệ điều hành.Windows Server 2003 Active Directory cung cấp một tham chiếu,
Mai Quốc Phương – lớp 49K- Khoa CNTT
13


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có
user, groups,computer,printer, pocicy và permission.Với người dùng hoặc quản trị
viên, Active Directory cung cấp một khung hình mang tính cấu trúc để từ đó dễ dàng
truy cập và quản lý tất cả các tài nguyên trong mạng.
1.6 Tổng quan về VPN
a) VPN là gì?
Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là
một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một
dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với
mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá
nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công
cộng. Hai đặc điểm quan trọng của công nghệ VPN là ''riêng'' và ' ảo" tương ứng với
hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào
trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm

tăng thêm tích chất của mạng cục bộ cho mạng WAN.
b) Lợi ích của VPN đem lại :
* VPN làm giảm chi phí thường xuyên:
VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh
cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các
điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuê đường truy
cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan – to – Lan giảm đi đáng
kể so với việc thuê đường Leased-Line
• Giảm chi phí quản lý và hỗ trợ:
• VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực
• VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ
• VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
c) Các thành phần cần thiết tạo nên kết nối VPN:
User authentication : cung cấp cơ chế chứng thực người dùng, chỉ cho phép
người dùng hợp lệ kết nối vào hệ thống VPN
Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia
nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ
Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền
nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.
Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã
hóa và giải mã dữ liệu .
Mai Quốc Phương – lớp 49K- Khoa CNTT
14


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

d) Các loại VPN:

VPN được chia thành 2 loại :
* VPN Remote Accesss.
* VPN Site to Site:
+ VPN Intranet.
+ VPN Extranet.
* VPN Remote Access
VPN Remote Access : Cung cấp kết nối truy cập từ xa
đến một mạng Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ. VPN
Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable
để thiết lập kết nối đến các Mobile user.
Một đặc điểm quan trọng của VPN Remote Access là: Cho phép người dùng di
động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc.
* VPN Site - to - Site:
VPN Site - to - Site được chia làm hai loại nhỏ là VPN Intranet và VPN
Extranet
+ Intranet VPN : Kết nối văn phòng trung tâm, các chi nhánh và văn phòng ở
xa vào mạng nội bộ của công ty dựa trên hạ tầng mạng được chia sẻ. Intranet VPN
khác với Extranet VPN ở chỗ nó chỉ cho phép các nhân viên nội bộ trong công ty truy
cập vào hệ thống mạng nội bộ của công ty.
+ Extranet VPN : Kết nối bộ phận khách hàng của công ty, bộ phận tư vấn,
hoặc các đối tác của công ty thành một hệ thống mạng dựa trên hạ tầng được chia sẻ.
Extranet VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập
vào hệ thống..
2. Một số dịch vụ mạng khác
Cũng như các hệ điều hành khác Windows NT cũng có những ưu, khuyết điểm
của nó, tuy nhiên Windows NT hiện nay chinh phục được nhiều người dùng với những
ưu điểm không thể chối cãi. Là hệ điều hành mạng cho phép tổ chức quản lý một
cách chủ động theo nhiều mô hình khác nhau: peer-to-peer, clien/server.
Nó thích hợp với tất cả các kiến trúc mạng hiện nay như: hình sao (start), đường thẳng
(bus), vòng (ring) và phức hợp. Nó có một số đặc tính ưu việt bảo đảm thực hiện cùng

lúc nhiều chương trình mà không bị lỗi. Bản thân Windows NT đáp ứng được hầu hết
các giao thức phổ biến nhất trên mạng và cũng hỗ trợ được rất nhiều những dịch vụ
truyền thông trên mạng. Nó vừa đáp ứng được cho mạng cục bộ (LAN) và cho cả
mạng diện rộng (WAN).
Windows NT cho phép dùng giao thức Windows NT TCP/IP, vốn là một giao
Mai Quốc Phương – lớp 49K- Khoa CNTT
15


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

thức được sử dụng rất phổ biến trên hầu hết các mạng diện rộng và trên Internet.
Giao thức TCP/IP dùng tốt cho nhiều dịch vụ mạng trên môi trường
Windows NT.
a) Internet Information Server (IIS)
Internet Information Server là một ứng dụng chạy trên Windows NT, tích hợp
chặt với Windows NT, khi cài đặt IIS, IIS có đưa thêm vào tiện ích màn hình kiểm
soát (Performance monitor) một số mục như thống kê số lượng truy cập, số trang truy
cập. Việc kiểm tra người dùng truy cập cũng dựa trên cơ chế quản lý người sử dụng
của Windows NT. Sau khi cài đặt IIS, trong thư mục InetSrv sẽ có các thư mục gốc
tương ứng cho từng dịch vụ chọn cài đặt. IIS bao gồm 3 dịch vụ: World Wide Web
(WWW), chuyển file (FTP File Transfer Protocol) và Gopher. Cả 3 dịch vụ này đều sử
dụng kết nối theo giao thức TCP/IP.
* Các dịch vụ trong IIS
+) WWW (World Wide Web) .
+) FTP (File Transfer Protocol).
+) Gopher.
b) Dynamic Host Configuration Protocol (DHCP) :

Trong một mạng máy tính, việc cấp các địa chỉ IP tĩnh cố định cho các host sẽ
dẫn đến tình trạng lãng phí địa chỉ IP, vì trong cùng một lúc không phải các host hoạt
động đồng thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa. Để khắc phục tình
trạng đó, dịch vụ DHCP đưa ra để cấp phát các địa chỉ IP động trong mạng. Trong
mạng máy tính NT khi một máy phát ra yêu cầu về các thông tin của TCPIP thì gọi là
DHCP client, còn các máy cung cấp thông tin của TCPIP gọi là DHCP server. Các
máy DHCP server bắt buộc phải là Windows NT server.
Cách cấp phát địa chỉ IP trong DHCP: Một user khi log on vào mạng, nó cần
xin cấp 1 địa chỉ IP, theo 4 bước sau :
- Gửi thông báo đến tất cả các DHCP server để yêu cầu được cấp địa chỉ.
- Tất cả các DHCP server gửi trả lời địa chỉ sẽ cấp đến cho user đó.
- User chọn 1 địa chỉ trong số các địa chỉ, gửi thông báo đến server có địa chỉ
được chọn.
- Server được chọn gửi thông báo khẳng định đến user mà nó cấp địa chỉ.
c) Dịch vụ Domain Name Service (DNS)
Hiện nay trong mạng Internet số lượng các nút (host) lên tới hàng triệu nên
chúng ta không thể nhớ hết địa chỉ IP được, Mỗi host ngoài địa chỉ IP còn có một cái
tên phân biệt, DNS là 1 cơ sở dữ liệu phân tán cung cấp ánh xạ từ tên host đến địa chỉ
IP. Khi đưa ra 1 tên host, DNS server sẽ trả về địa chỉ IP hay 1 số thông tin của host
Mai Quốc Phương – lớp 49K- Khoa CNTT
16


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

đó. Điều này cho phép người quản lý mạng dễ dàng trong việc chọn tên cho host của
mình .DNS server được dùng trong các trường hợp sau :
-Chúng ta muốn có 1 tên domain riêng trên Interner để có thể tạo, tách rời các

domain con bên trong nó.
-Chúng ta cần 1 dịch vụ DNS để điều khiển cục bộ nhằm tăng tính linh hoạt
cho domain cục bộ của bạn.
-Chúng ta cần một bức tường lửa để bảo vệ không cho người ngoài thâm nhập
vào hệ thống mạng nội bộ của mình
-Có thể quản lý trực tiếp bằng các trình soạn thảo text để tạo và sửa đổi các file
hoặc dùng DNS manager để tạo và quản lý các đối tượng của DNS như: Servers,
Zone, Các mẫu tin, các Domains, Tích hợp với Win, .
d) Remote Access Service (RAS)
Ngoài những liên kết tại chỗ với mạng cục bộ (LAN) các nối kết từ xa vào
mạng LAN hiện đang là những yêu cầu cần thiết của người sử dụng. Việc liên kết đó
cho phép một máy từ xa như của một người sử dụng tại nhà có thể qua đường dây điện
thoại thâm nhập vào một mạng LAN và sử dụng tài nguyên của nó. Cách thông dụng
nhất hiện nay là dùng modem để có thể truyền trên đường dây điện thoại.Windows NT
cung cấp Dịch vụ Remote access Service cho phép các máy trạm có thể nối với tài
nguyên của Windows NT server thông qua đường dây điện thoại.

Kết luận chương 2: Qua chương 2 đã đưa ra cho chúng ta được những định
nghĩa, khái niệm tổng quan về việc quản trị mạng cũng như những ứng dụng của
chúng trong việc triển khai và quản trị hệ thống mạng. Qua đó chúng ta cũng có một
cái nhìn tổng quan và khái niệm về hệ thống mạng ảo VPN phân loại hệ thống mạng
ảo VPN. Để từ đó áp dụng vào thực tế.

Mai Quốc Phương – lớp 49K- Khoa CNTT
17


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN


Chương 3 - CÁC GIAO THỨC ĐƯỜNG HẦM VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an
toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao thức
đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương
ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4
giao thức đường hầm được sử dụng trong VPN đó là:
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
1. Giao thức đường hầm điểm-điểm PPTP
1.1- Kiến trúc của PPTP
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và
máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng
các gói truyền trong đường hầm.
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói:
Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển và kênh
dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu thành
luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP
được tạo giữa client PPTP và máy chủ PPTP được sử dụng để trưyền thông báo điều
khiển.
Các gói dữ liệu là dữ liệu thường của người dùng. Các gói điều khiển được gửi
theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa client PPTP
và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý
thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay

nằm ở tại máy chủ của ISP.
Đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và
máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu được đóng gói
bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát

Mai Quốc Phương – lớp 49K- Khoa CNTT
18


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP?
a) Cấu trúc gói của PPTP:
*Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung
PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đã được đóng gói
+ Đóng gói khung PPP
Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra
khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi
giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
• Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác
nhận 32 bit .
• Trường Key được thay thế bằng trường độ dài của Payload 16 bit và trường

nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc gọi Call ID được thiết
lập bởi PPTP client trong qua trinhfkhoiwr tạo đường hầm PPTP.
• Một trường xác nhận được đưa vào GRE là giao thức cung cấp cơ chế
chung cho phép đóng gói dữ liệu để gửi qua mạng IP.
+ Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hóa và phần tiêu đề GRE được đóng gói với
một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server.
+ Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 – Lớp liên kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần
kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ: Nếu IP datagram được gửi qua giao
diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet.
Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ
được đóng gói với phần Header và Trailer của giao thức PPP.
* Xử lý dữ liệu đường hầm PPTP
Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực
hiện các bước xử lý:
• Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
Mai Quốc Phương – lớp 49K- Khoa CNTT
19


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

• Xử lý và loại bỏ IP Header.
• Xử lý và loại bỏ GRE Header và PPP Header.
• Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.
• Xử lý phần payload để nhận hoặc chuyển tiếp.

b) Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác
nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính
của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ
PPTP). Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc.
Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng. Khi sử dụng
đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông
qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình
thường. Đường hầm tự nguyện thường được sư dụng để cung cấp tính riêng tư và toàn
vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet.
Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong
suốt đối với người dùng. Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ truy
cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông
qua RAS.
Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy
cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tự
nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì
đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho
phép họ thông qua Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các
site trong VPN mà thôi).
Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kết
nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc.
Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng
nằm ngoài đường hầm nên dễ bị tấn công.
Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là:
Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và
tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (token)
hay thẻ thông minh (smart card).
c) Xác thực người dùng quay số từ xa (RADIUS)
RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/

server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các
Mai Quốc Phương – lớp 49K- Khoa CNTT
20


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

người dùng trong các phiên làm việc. RADIUS client/server sử dụng máy chủ truy cập
mạng NAS để quản lý kết nối người dùng. Ngoài chức năng của máy chủ truy cập
mạng nó còn có một số chức năng cho RADIUS client. NAS sẽ nhận dạng người
dùng, thông tin về mật khẩu rồi chuyển đến máy chủ RADIUS. Máy chủ RADIUS sẽ
trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho NAS để cung
cấp dịch vụ cho người dùng. RADIUS tạo một cơ sở dữ liệu tập trung về người dùng,
các loại dịch vụ sẵn có, một dải modem đa chủng loại. Trong RADIUS thông tin
người dùng được lưu trong máy chủ RADIUS.
RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho
mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ liệu
người dùng. Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ máy chủ
RADIUS. Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó cần phải
lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm: giao thức đường hầm
được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong
đường hầm được sử dụng.
Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và cấp
quyền:
- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm.
- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cố
gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm.
- Xác thực tại hai đầu của đường hầm.

Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều
khiển tiến trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ
thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứ ba có độ tin cậy cao và làm việc tốt
nếu như sử dụng máy chủ Proxy RADIUS.
d) Xác thực và mã hoá
Các client PPTP được xác thực cũng tương tự như các client RAS được xác
thực từ máy chủ PPP. Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP. MS-CHAP
sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng. PAP và
CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tại máy cục
bộ. Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽ thay đổi.
Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác nhau cho những
người dùng khác nhau tại cùng một máy tính ở xa. Bởi vì khi cấp quyền đã được gán
cho một máy tính thì mọi người dùng tại máy tính đó đều có đặc quyền truy cập mạng
như nhau.
Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft –
Mai Quốc Phương – lớp 49K- Khoa CNTT
21


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

MPPE (Microsoft point-to-Point Encryption). Phương thức này dựa trên chuẩn RSA
RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được sử dụng bởi
PPP để thoả hiệp việc mã hoá. MS-CHAP được dùng để kiểm tra tính hợp lý người
dùng đầu cuối tại tên miền Windows NT.
e) Đường hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào
một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN không

được hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy cập từ xa
(Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ đường hầm kết
nối LAN-LAN. Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tương
thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN.
Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như
IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN. Tuy nhiên, do kiến trúc PPTP
không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều khiển bởi
CHAP hoặc thông qua MS-CHAP. Để tạo đường hầm giữa hai site, máy chủ PPTP tại
mỗi site sẽ được xác thực bởi PPTP ở site kia. Khi đó máy chủ PPTP trở thành client
PPTP của máy chủ PPTP ở đầu bên kia và ngược lại, do đó một đường hầm tự nguyện
được tạo ra giữa hai site.
Do đường hầm PPTP có thể được đóng gói bởi bất kỳ giao thức mạng nào được
hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài nguyên tại
site kia dựa trên quyền truy cập của họ. Điều này có nghĩa là cần phải có site quản lý
để đảm bảo người dùng tại một site có quyền truy cập vào site kia.
Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập
một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào tài
nguyên của các site.
1.2 Sử dụng PPTP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùng
cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và PPTP
client.Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người của
công ty quản lý nhưng NAS phải do ISP hỗ trợ.
a) Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối
của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng. Máy
chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ
mạng của máy tính đích.
Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.
Mai Quốc Phương – lớp 49K- Khoa CNTT

22


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào
Internet , mạng riêng hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máy
chủ PPTP nằm sau tường lửa. PPTP được thiết kế sau cho chỉ có một cổng TCP/IP
(1723) được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có
thể làm cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói
thì phải thiét lập nó cho phép GRE đi qua.
b) Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần
mềm nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị của ISP
không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn có thể tạo
kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số
một lần nữa thông qua cổng PPTP ảo được thiết lập ở client.
Client PPTP đã có sẵn ở Win NT, Win 9x và các hệ điều hành sau này. Khi
chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP đã có.
Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu
công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS.
c) Máy chủ truy cập mạng RAS
Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa
(Remote Access Services) hay bộ tập trung truy cập (Access Concentrator). NAS cung
cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính cước và có
khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một số
lượng lớn người dùng có thể quay số truy cập vào cùng một lúc.

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP,
để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows,
Macintosh. Trong truờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết
nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của
đường hầm, điểm kết thúc còn lại là máy chủ tại đầu mạng riêng.
2. Giao thức đường hầm lớp 2 - L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và
L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai
công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói
riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là
L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý
khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng
Mai Quốc Phương – lớp 49K- Khoa CNTT
23


Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ
TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên
ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của mạng riêng sau khi kết
nối được thiết lập.
L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một
giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông
qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều
công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một
hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng

ATM hay frame Relay có thể áp dụng cho đường hầm L2TP
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao
thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc
NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay
RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây
dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng
công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98.
2.1- Dạng thức của L2TP
Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm, đường
hầm, hệ thống xác thực và mã hoá. L2TP có thể sử dụng quản lý khoá để tăng thêm độ
bảo mật.
a) PPP và L2TP
L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập mạng
NAS. L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực ban đầu,
tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc.
Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấp
nhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm cho người
dùng đó. Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPP rồi truyền lên
môi trường mà ISP gán cho đường hầm đó. L2TP có thể tạo nhiều đường hầm giữa
NAS của ISP và máy chủ mạng, gán nhiều phiên làm việc cho đường hầm. L2TP tạo
ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chèn vào tiêu đề
L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào?
Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vào một
đường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cách này cho
phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳ theo chất
lượng dịch vụ.
Mai Quốc Phương – lớp 49K- Khoa CNTT
24



Đồ án tốt nghiệp đại học

Đề tài : Mạng riêng ảo VPN

Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo
điều khiển và thông báo dữ liệu. Thông báo điều khiển có chức năng điều khiển việc
thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm. Thông báo điều khiển
cũng cho ta biết tốc độ truyền và tham số của bộ đệm để điều khiển luồng các gói PPP
trong một phiên làm việc. Tuy nhiên, L2TP truyền cả hai loại thông báo này trên cùng
gói dữ liệu UDP và chung trên một luồng.
Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nên
trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đường hầm làm
việc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể là Ethernet, X.25,
Frame Relay, ATM, hay liên kết PPP.
b) Cấu trúc gói dữ liệu L2TP
*Đóng gói dữ liệu đường hầm L2TP
Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói.
Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ liệu
nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailer tương ứng
với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra. Ví dụ, khi các IP
datagram được gửi vào một giao diện Ethernet thì Ipdatagram này sẽ được đóng gói
với Ethernet header và Ethernet Trailer. Khi các IP datagram được gửi trên đường
truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện thoại hay ISDN, ) thì
IPdatagram được đóng gói với PPP header và PPP trailer.
* Xử lý dữ liệu đường hầm L2TP trên nền IPSec
Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay L2TP
server sẽ thực hiện các bước sau:
- Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu.
- Xử lý và loại bỏ IP header.

- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header.
- Dùng IPSec ESP header để giải mã phần gói đã mật mã.
- Xử lý UDP header và gửi gói L2TP tới lớp L2TP.
- L2TP xử lý Tunnel ID và Call ID trong L2TP header để xác định đường hầm
L2TP cụ thể.
- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao
thức để xử lý.
c) Đường hầm L2TP
L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo người sử
dụng là client PPP hay client L2TP mà sử dụng đường hầm là tự nguyện hay bắt buộc.
Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục đích
Mai Quốc Phương – lớp 49K- Khoa CNTT
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×