Tải bản đầy đủ (.doc) (112 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Công nghệ IP VPN luận văn tốt nghiệp đại học

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (743.04 KB, 112 trang )

TRƯỜNG ĐẠI HỌC VINH

KHOA ĐIỆN TỬ- VIỄN THÔNG

ĐỒ ÁN

TỐT NGHIỆP ĐẠI HỌC
Đề tài:

CÔNG NGHỆ IP-VPN

Sinh viên thực hiện

: NGUYỄN ĐÌNH VỆ

Lớp

: 47K-ĐTVT

Giảng viên hướng dẫn : TS. NGUYỄN THỊ QUỲNH HOA

Vinh, 5 - 2011

1


LỜI NÓI ĐẦU
Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế
ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi
một huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới. Một công ty
có thể có chi nhánh, có các đối tác kinh doanh ở nhiều quốc gia và giữa họ


luôn có nhu cầu trao đổi thông tin với nhau. Để bảo đảm bí mật các thông tin
được trao đổi thì theo cách truyền thống người ta dùng các kênh thuê riêng,
nhưng nhược điểm là nó đắt tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi
không nhiều và không thường xuyên. Vì thế người ta đã nghiên cứu ra những
công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông tin như thế
nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo.
VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an
ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy
nhập và đảm bảo an ninh như một mạng riêng. Đã có rất nhiều phương án
triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi
thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí
cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu
trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu
và không chắc chắn về vấn đề an ninh của kênh riêng này.
Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN sẽ tiết kiệm được
rất nhiều chi phí trong việc muốn kết nối các chi nhánh văn phòng với nhau,
truy cập từ xa vào mạng nội bộ, gọi điện thoại VoIP, với độ bảo mật cao.
Hiện nay ADSL đã trở nên phổ biến, chi phí thấp, nên việc thực hiện IP VPN
trở nên rất đơn giản, hiệu quả vì tận dụng được đường truyền Internet tốc độ
cao. Tính tương thích của IP VPN cao vì sự phổ biến của nó, nên bạn có thể
kết hợp nhiều thiết bị của những sản phẩm thương hiệu khác nhau.
Trên cơ sở đó, tôi quyết định chọn hướng nghiên cứu đ ồ án của mình là
công nghệ IP-VPN.
Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên
quan đến việc thực hiện IP-VPN.
Bố cục của đồ án gồm 5 chương:

2



- Chương 1 trình bày bộ giao thức TCP/IP. Chương này trình bày khái
quát về bộ giao thức của TCP/IP.
- Chương 2 khái quát công nghệ mạng riêng ảo trên Internet IP-VPN.
Chương này trình bày các khái niệm VPN, bắt đầu với việc phân tích khái
niệm IP-VPN, ưu điểm của nó có thể trở thành một giải pháp có khả năng
phát triển mạnh trên thị trường. Tiếp theo là trình bày về các khối chức năng
cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó. Cuối cùng
là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN.
- Chương 3 nói về giao thức IPSec cho IP-VPN. Chương này trình bày
các vấn đề về giao thức IPSec. Bộ giao thức rấ quan trọng IPSec dung cho IP
- VPN để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác
thực của truyền dữ liệu trên một hạ tầng mạng công cộng.
- Chương 4 trình bày An toàn dữ liệu trong IP-VPN. Trình bày một số
thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên
IPSec
- Chương 5 trình bày các phương pháp thực hiện IP – VPN hiện đang
được sử dụng.
Em xin gửi lời cảm ơn chân thành đến Trường Đại học Vinh, các thầy
cô trong Khoa Công Nghệ đã tạo điều kiện giúp đỡ em trong quá trình học
tập và nghiên cứu. Và đặc biệt em xin bày tỏ lòng kính trọng và biết ơn sâu
sắc đến TS Nguyễn Thị Quỳnh Hoa, người đã tận tình hướng dẫn và chỉ bảo
em trong quá trình nghiên cứu, xây dựng và hoàn thành đồ án.
Mặc dù nhận được rất nhiều sự giúp đỡ của cô giáo hướng dẫn, các
thầy cô giáo trong khoa Điện Tử-Viễn Thông và sự cố gắng của bản thân
nhưng đồ án không tránh khỏi sai sót vì vậy tôi mong nhận được sự đóng góp
nhiều hơn nữa ý kiến từ phía các thầy cô và ban bè cùng những người quan
tâm đến lĩnh vực này.
Sinh viên: Nguyễn Đình Vệ

3



Tóm Tắt Đồ Án
Công nghệ mạng riêng ảo IP-VPN cho phép tận dụng môi trường mạng
công cộng Internet để xây dựng các mạng riêng đảm bảo an ninh. Với những
ưu điểm về mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt trong
triển khai và mở rộng, VPN là một công nghệ hứa hẹn triển vọng thị trường
rất lớn.
Đồ án này đã đi sâu tìm hiểu các vấn đề kỹ thuật và mô hình thực hiện
của công nghệ IP-VPN. Trong đó, đường ngầm là nền tảng của IP-VPN,
phạm vi của đồ án này đã trình bày về các giao thức đường ngầm: PPTP,
L2TP và IPSec. PPTP và L2TP là những giao thức đường ngầm được phát
triển dựa trên giao thức PPP. Hai giao thức này là các chuẩn đã hoàn thiện và
các sản phẩm hỗ trợ chúng tương đối phổ biến.
Đối với những ứng dụng yêu cầu an toàn dữ liệu cao thì IPSec là giao
thức thích hợp. IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất,
có tính linh hoạt cao do không bị ràng buộc bởi một phương pháp xác thực
cũng như mật mã nào. Đây được xem là giao thức tối ưu nhất cho IP-VPN và
được tìm hiểu một cách chi tiết nhất

VPN technology allows the environmental advantage of public Internet
networks to build their own network security. With these advantages in terms
of cost, scope is not limited flexibility in the deployment and expansion, VPN
is a technology that promises a huge potential market.
This project has deep understanding of technical issues and implementation
model of IP-VPN technology. In particular, the tunnel is the foundation of the
IP-VPN, the scope of this project presented the tunnel protocols: PPTP, L2TP
and IPSec. PPTP and L2TP tunneling protocols are being developed based on
PPP. Two standard protocols are completed and the products they support are
relatively common.

For applications requiring higher data security, the IPSec protocol is
appropriate. IPSec supports authentication methods and the strongest
encryption, with high flexibility by not being bound by an authentication
method as well as passwords. This is considered the optimal protocol for IPVPN and is explored in detail the most

4


Chương 1. Bộ giao thức TCP/IP
1.1. Khái niệm mạng Internet
Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án
nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA)
đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang
với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của
ARPANET - tiền thân của mạng Internet hôm nay. Ban đầu, giao thức truyền
thông được sử dụng trong mạng ARPANET là NCP, nhưng sau đó được thay
thế bởi bộ giao thức TCP/IP. Bộ giao thức TCP/IP gồm một tập hợp các chuẩn
của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau,
cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng.
Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử
dụng giao thức IP”. Nhưng hiện nay, điều đó không còn chính xác nữa vì
nhiều mạng có kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn
có thể kết nối vào Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet.
Internet không chỉ là một tập hợp các mạng được liên kết với nhau,
Internetworking còn có nghĩa là các mạng được liên kết với nhau trên cơ sở
cùng đồng ý với nhau về các quy ước mà cho phép các máy tính liên lạc với
nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà chúng không được
đấu nối trực tiếp tới. Như vây, kỹ thuật Internet che dấu chi tiết phần cứng của
mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với những
liên kết mạng vật lý của chúng.

TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến:
- Độc lập với kiến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc
Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN.
- Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng
hay hệ điều hành nào. Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp
phần cứng cũng như phần mềm khác nhau.

5


- Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ
xác định duy nhất. Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header
gồm địa chỉ của máy đích cũng như địa chỉ của máy nguồn.
- Khung Client - Server: TCP/IP là khung cho những ứng dụng client server mạnh hoạt động trên mạng cục bộ và mạng diện rộng.
- Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập
trình phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung
cấp nhiều phương thức mức ứng dụng (những giao thức thực hiện các chức
năng dùng như E-mail, truyền nhận file) [1].
1.2. Mô hình phân lớp bộ giao thức TCP/IP
Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp
khác nhau, không chỉ có các giao thức TCP và IP. Mỗi lớp có chức năng
riêng. Mô hình TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng
dụng xuống lớp vật lý) như sau:

Hình 1.1. Mô hình phân lớp bộ giao thức TCP/IP
 Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng
cụ thể. Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI. Nó
gồm các giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng
dụng như SMTP, FTP, TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng
nghìn các giao thức thuộc lớp này. Các chương trình ứng dụng giao tiếp với


6


các giao thức ở lớp vận chuyển để truyền và nhận dữ liệu. Chương trình ứng
dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển để xử lý trước khi
chuyển xuống lớp Internet để tìm đường đi.
 Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông
điệp (message) từ một số tiến trình (một chương trình đang chạy) tới một tiến
trình khác. Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không
bị lỗi và đúng theo trật tự. Nó có 2 giao thức rất khác nhau là giao thức điều
khiển truyền dẫn TCP và giao thức dữ liệu đồ người sử dụng UDP.
 Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập
phần cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc
vật lý khác nhau. Lớp này điều khiển việc chuyển gói qua mạng, định tuyến
gói. (Hỗ trợ giao thức liên IP - khái niệm liên mạng là nói tới mạng lớn hơn:
mạng liên kết giữa các mạng LAN). Các giao thức của lớp này là IP, ICMP,
ARP, RARP.
 Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp
với mạng vật lý. Thông thường lớp này bao gồm các driver thiết bị trong hệ
thống vận hành và các card giao diện mạng tương ứng trong máy tính. Lớp
này thực hiện nhiệm vụ điều khiển tất cả các chi tiết phần cứng hoặc thực
hiện giao tiếp vật lý với cáp hoặc với bất kỳ môi trường nào được sử dụng.
Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng vật lý. Lớp này không định
nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giao thức chuẩn và độc
quyền. Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async, ATM,
SNA [1]…
1.3. Các giao thức trong mô hình TCP/IP
1.3.1. Giao thức Internet
1.3.1.1. Giới thiệu chung

Mục đích của giao thức Internet là chuyển thông tin từ nguồn tới đích.
IP sử dụng các gói tin dữ liệu đồ (datagram). Mỗi datagram có chứa địa chỉ
đích và IP sử dụng thông tin này để định tuyến gói tin tới đích của nó theo
đường đi thích hợp. Các gói tin của cùng một cặp người sử dụng dùng những
7


tuyến thông tin khác nhau, việc định tuyến là riêng biệt đối với từng gói tin.
Giao thức IP không lưu giữ trạng thái, sau khi datagram được chuyển đi thì
bên gửi không còn lưu thông tin gì về nó nữa, vì thế mà không có phương
pháp nào để phát hiện các gói bị mất và có thể dẫn tới trình trạng lặp gói và
sai thứ tự gói tin.

Hình 1.2. Định tuyến khi sử dụng IP Datagram
Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là
không cần thiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử
lí độc lập. IP không kiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của
gói là được kiểm tra để tránh gửi nhầm địa chỉ. Các gói tin có thể đi được theo
nhiều hướng khác nhau để tới đích. Vì vậy dữ liệu trong IP datagram không
được đảm bảo. Để xử lý nhược điểm mất hoặc lặp gói IP phải dựa vào giao
thức lớp cao hơn để truyền tin cậy (ví dụ TCP) [1].

Sender
Sender11

Data
Data

Receiver


Data

Sender
Sender22

Data
Data
Data

Hình 1.3. Giao thức kết nối vô hướng

8


1.3.1.2. Cấu trúc IPv4
Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP. Tiêu đề
này có chiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng
lựa chon được sử dụng. Cấu trúc gói IPv4 được mô tả như trong hình 1.4.

Hình 1.4. Cấu trúc gói tin IPv4
Giải thích ý nghĩa các trường:
* Version (phiên bản): chỉ ra phiên bản của giao thức IP dùng để tạo
datagram, được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống
nhất về định dạng lược đồ dữ liệu. Ở đây phiên bản là IPv4.
* IP header length (độ dài tiêu đề IP): cung cấp thông tin về độ dài của
tiêu đề datagram được tính theo các từ 32 bit.
* Type of service (loại dịch vụ): trường loại phục vụ dài 8 bit gồm 2
phần, trường ưu tiên và kiểu phục vụ. Trường ưu tiên gồm 3 bit dùng để gán
mức ưu tiên cho datagram, cung cấp cơ chế cho phép điều khiển các gói tin
qua mạng. Các bit còn lại dùng để xác định kiểu lưu lượng datagram tin khi

nó chuyển qua mạng như đặc tính thông, độ trễ và độ tin cậy. Tuy nhiên, bản
thân mạng Internet không đảm bảo chất lượng dịch vụ, vì vậy trường này chỉ
mạng tính yêu cầu chứ không mang tính đòi hỏi đối với các bộ định tuyến.
* Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác
định chiều dài của toàn bộ IP datagram.

9


* Identification (nhận dạng): trường nhận dạng dài 16 bit. Trường này
được máy chủ dùng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin.
Các bộ định tuyến sẽ chia nhỏ các datagram nếu như đơn vị truyền tin lớn nhất
của gói tin (MTU-Maximum Transmission Unit) lớn hơn MTU của môi trường
truyền.
* Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân
đoạn, bít đầu tiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép
phân đoạn gói tin, 2 bit giá trị thấp được sử dụng điều khiển phân đoạn, kết
hợp với trường nhận dạng để xác định được gói tin nhận sau quá trình phân
đoạn.
* Fragment offset: mạng thông tin về số lần chia một gói tin, kích thước
của gói tin phụ thuộc vào mạng cơ sở truyền tin, tức là độ dài gói tin không
thể vượt quá MTU của môi trường truyền.
* Time - to - live (thời gian sống): được dùng để ngăn việc các gói tin lặp
vòng trên mạng. Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các
gói tin đi quá lâu trong mạng. Bất kì gói tin nào có thời gian sống bằng 0 thì
gói tin đó sẽ bị bộ định tuyến hủy bỏ và thông báo lỗi sẽ được gửi về trạm
phát gói tin.
* Protocol (giao thức): trường này được dùng để xác nhận giao thức tầng
kế tiếp mức cao hơn đang sử dụng dịch vụ IP dưới dạng con số.
* Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được

tính toán trong tất cả các trường của tiêu đề IPv4. Một gói tin khi đi qua các
bộ định tuyến thì các trường trong phần tiêu đề có thể bị thay đổi, vì vậy
trường này cần phải được tính toán và cập nhập lại để đảm bảo độ tin cậy của
thông tin định tuyến.
* Source Address - Destination Address (địa chỉ nguồn và địa chỉ đích):
được các bộ định tuyến và các gateway sử dụng để định tuyến các đơn vị số
liệu, luôn luôn đi cùng với gói tin từ nguồn tới đích.

10


* Option and Padding (tùy chọn và đệm): có độ dài thay đổi, dùng để
thêm thông tin chọn và chèn đầy đảm bảo số liệu bắt đầu trong phạm vi 32
bit [2].
1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu
Giao thức IP khi thực hiện phải luôn có các thuật toán phân chia và hợp
nhất dữ liệu. Vì mỗi datagram đều được quy định một kích thước khung cho
phép tối đa trên một kết nối điểm - điểm, được gọi là MTU. Khi đi qua các
mạng khác nhau có các MTU khác nhau, gói sẽ bị phân chia tùy theo giá trị
MTU của mạng đó. Việc xác định MTU của một mạng phụ thuộc vào các đặc
điểm của mạng sao cho gói được truyền đi với tốc độ cao nhất.
Trong quá trình di chuyển từ nguồn tới đích, một datagram có thể đi qua
nhiều mạng khác nhau. Mỗi Router mở gói IP datagram từ khung dữ liệu nó
nhận được, xử lý và sau đó đóng gói nó trong một khung dữ liệu khác. Các
datagram hình thành sau khi phân chia sẻ được đánh số thứ tự để tiện lợi cho
qua trình hợp nhất sau này. Định dạng và kích cỡ của khung dữ liệu nhận
được phụ thuộc vào giao thức của mạng vật lý mà khung dữ liệu đi qua. Nếu
IP cần chuyển datagram có kích cỡ lớn hơn MTU thì nó gửi datagram trong
các mảnh (fragment), các mảnh này sẽ được ghép lại ở đầu thu để trở lại trạng
thái ban đầu. Hình 1.5 minh họa hiện tượng phân mảnh.


Hình 1.5. Hiện tượng phân mảnh trong IP

11


Khi phân mảnh, hầu hết các trường sẽ được lặp lại, chỉ có một vài thay
đổi và mỗi mảnh sẽ lại được tiếp tục bị chia nhỏ nếu nó gặp phải mạng có
MTU nhỏ hơn kích thước của nó. Chỉ có host đích là có khả năng ghép các
mảnh lại với nhau. Vì mỗi mảnh được xử lý độc lập nên có thể đi qua nhiều
mạng và node khác nhau để tới đích.
1.3.1.4. Địa chỉ và định tuyến IP
Địa chỉ: Mỗi trạm trong mạng đều được đặc trưng bởi một số hiệu nhất
định gọi là địa chỉ IP. Địa chỉ IP được sử dụng trong lớp mạng để định tuyến
các gói tin qua mạng. Do tổ chức và độ lớn của các mạng con trong liên mạng
khác nhau, nên người ta chia địa chỉ IP thành các lớp A, B, C, D, E.
Lớp A
0

Địa chỉ mạng(Net ID)

Địa chỉ trạm(Host) 24bit

Lớp B
1

0

Net ID


Host ID 16bit

Lớp C
1
1
Lớp D

0

1
Lớp E

1

1

1

1
1

Net ID
0

Host ID 8bit
Địa chỉ Multicast 28bit

1

Chưa được sử dụng

Hình 1.6. Các lớp địa chỉ IPv4

Định tuyến trong mạng Internet: việc định tuyến trong một hệ thống
mạng chuyển gói chỉ ra tiến trình lựa chọn tuyến đường để gửi gói dữ liệu qua
hệ thống đó. Router chính là thành phần thực hiện chức năng bộ định tuyến.
Việc định tuyến sẽ tạo nên mạng ảo bao gồm nhiều mạng vật lý cung cấp dịch
vụ phát chuyển gói tin theo một phương thức phi kết nối. Có nhiều giao thức
và phần mềm khác nhau được sử dụng để định tuyến. Việc chọn kênh cho
một gói tin dựa trên hai tiêu chuẩn: trạng thái của các nút và liên kết hoặc
khoảng cách tới đích (chiều dài quãng đường hoặc số hop trên đường). Một

12


khi tiêu chuẩn khoảng cách được chọn thì các tham số khác như: độ trễ, băng
thông hoặc xác suất mất gói… được tính đến khi lựa chọn tuyến [2].
1.3.1.5. Cấu trúc gói tin IPv6
Thế giới đang đối mặt với việc thiếu địa chỉ IP cho các thiết bị mạng, địa
chỉ dài 32 bit không đáp ứng được sự bùng nổ của mạng. Thêm nữa, IPv4 là
giao thức cũ, không đáp ứng được các yêu cầu mới về bảo mật, sự linh hoạt
trong định tuyến và hỗ trợ lưu lượng. Diễn đàn IPv6 được bắt đầu vào tháng
7-1999 bởi 50 nhà cung cấp Internet hàng đầu với mục đích phát triển giao
thức IPv6, nó được thiết kế bao gồm các chức năng và định dạng mở rộng
hơn IPv4 để giải quyết vấn đề cải thiện chất lượng và bảo mật của Internet.
IPv6 đặc biệt quan trong khi các thiết bị tính toán di động tiếp tục tham gia
vào Internet trong tương lai.
Do sự thay đổi bản chất của Internet và mạng thương mại mà giao thức
liên mạng IP trở nên lỗi thời. Trước đây, Internet và hầu hết mạng TCP cung
cấp sự hỗ trợ các ứng dụng phân tán khá đơn giản như truyền file, mail, truy
nhập từ xa TELNET. Song ngày nay, Internet ngày càng trở thành phương

tiện, môi trường giàu tính ứng dụng, dẫn đầu là dịch vụ www. Tất cả sự phát
triển này đã bỏ xa khả năng đáp ứng chức năng và dịch vụ của IP. Một môi
trường liên mạng cần phải hỗ trợ lưu lượng thời gian thực, kế hoạch điều khiển
tắc nghẽn linh hoạt và các đặc điểm bảo mật mà IPv4 hiện không đáp ứng được
đầy đủ. Hình 1.7 minh họa cấu trúc gói tin IPv6.

Hình 1.7. Cấu trúc tiêu đề IPv6
* Version (phiên bản): chỉ ra phiên bản IPv6.

13


* Traffic Class (lớp lưu lượng): có độ dài 8 bit, được dùng cho việc phân
biệt lưu lượng, từ đó ảnh hưởng đến khả năng ưu tiên của lưu lượng.
* Flow Label (nhãn luồng): có độ dài 20 bit, cho phép nguồn chỉ ra loại
thông tin trong dữ liệu để xác định cách xử lý đặc biệt từ nguồn tới đích theo
thứ tự gói. Ví dụ như: thoại, khung video hai loại này sẽ được ưu tiên hơn so
với dữ liệu máy tính thông thường khi qua gateway trung chuyển trong quá
trinh gói tin chuyển trên mạng.
* Payload Length (độ dài tải tin): có độ dài 16 bit, xác định độ dài của
phần tải tin phía sau header. Giá trị mặc định tối đa là 64K octet, song có thể
sử dụng lớn hơn bằng cách lập trường này bằng 0 và bao gồm trường mở rộng
với giá trị thực nằm trong trường mở rộng này. Thông tin mở rộng được mang
trong các header mở rộng tách biệt riêng. Chúng nằm sau trường địa chỉ đích
và hiện nay đã có một số header loại này được định nghĩa. Mỗi loại được
phân biệt bằng các giá trị khác nhau trong trường header.
* Hop Limit (giới hạn bước nhảy): có độ dài 8 bit, được dùng để ngăn
việc datagram liên tục xoay vòng trở lại. Giá trị này giảm mỗi khi datagram đi
qua một router và nếu nó có giá trị bằng 0 trước khi tới được đích chỉ định thì
datagram này sẽ bị hủy.

* Source Address và Destination Address (địa chỉ nguồn và địa chỉ đích):
trường địa chỉ nguồn và địa chỉ đích trong IPv6 có độ dài 128 bit, sử dụng hệ
16 (hecxa), ngăn cách bằng dấu hai chấm [3].
Những đặc điểm của IPv6
+ Mở rộng không gian địa chỉ cho phép phân cấp và giải quyết được sự
thiếu địa chỉ. Với IPv6 có 2128 địa chỉ (khoảng 3,4x1038 địa chỉ).
+ Hiệu quả hơn trong việc định tuyến: việc đăng ký địa chỉ IPv6 được
thiết kế để kích cỡ của bảng định tuyến đường trục không vượt quá giá trị
10.000 trong khi kích cỡ bảng định tuyến của IPv4 thường lớn hơn 100.000
bản ghi.

14


+ Tiêu đề nhỏ hơn so với các mở rộng tùy chọn, vì vậy một số trường bị
loại bỏ hoặc thay bằng tùy chọn nên làm giảm gánh nặng cho các quá trình xử
lý và giảm chi phí cho băng thông.
+ Tăng cường chất lượng dịch vụ.
+ Xây dựng sẵn cơ chế truyền tin an toàn.
+ Hỗ trợ mạng thông tin di động [3].
1.3.2. Giao thức lớp vận chuyển
1.3.2.1. Giao thức UDP
Giao thức UDP cung cấp cơ chế chính yếu mà các chương trình ứng
dụng sử dụng để gửi đi các gói tin tới các chương trình ứng dụng khác. UDP
cung cấp các cổng để phân biệt các chương trình ứng dụng trên một máy tính
đơn. Nghĩa là, cùng với mỗi một bản tin gửi đi, mỗi bản tin UDP còn bao gồm
một giá trị cổng nguồn và cổng đích, giúp cho phần mềm UDP tại đích có thể
phát chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại xác
nhận tin.
UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo

độ tin cậy như IP. UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin
đên đích hay không, không thực hiện sắp xếp các bản tin và không cung cấp
thông tin phản hồi để xác định mức độ truyền thông tin giữa hai máy. Chính
vì vậy, một chương trình ứng dụng sử dụng giao thức UDP chấp nhận hoàn
toàn trách nhiệm cho vấn đề xử lý độ tin cậy. Cấu trúc tiêu đề của UDP được
mô tả như trong hình 1.8.
Source Port

Destination port

Segmemt length

checksum

Hình 1.8. Cấu trúc tiêu đề UDP
Các trường cổng nguồn và cổng đích chứa các giá trị 16 bit dùng cho
cổng giao thức UDP được sử dụng để tách các gói tin trong tiến trình đang
đợi để nhận chúng. Cổng nguồn là trường dữ liệu tùy chọn. Khi sử dụng, nó

15


xác định cổng đáp xác nhận sẽ được gửi đến. Nếu không được dùng, nó có giá
trị zero. Trường độ dài chứa độ dài của UDP tính theo octet, bao gồm cả phần
đầu UDP và dữ liệu người sử dụng. Trường tổng kiểm tra là vùng tùy chọn,
cho phép việc cài đặt được thực hiện với ít bước tính toán hơn khi sử dụng
UDP trên mạng cục bộ có độ tin cậy cao. Tổng kiểm tra trong UDP cung cấp
cách duy nhất để đảm bảo rằng dữ liệu nhận được nguyên vẹn và nên được sử
dụng thường xuyên. Nếu giá trị của tổng kiểm tra bằng zero thì có nghĩa là
trường tổng kiểm tra chưa được tính và thường được thể hiện bằng cách cài

đặt toàn bộ các bit 1, tránh với trường hợp sau khi chạy thuật toán tổng kiểm
tra cũng có thể sinh ra kết quả là các bit được lập bằng 0 và giá trị của trường
tổng kiểm tra cũng được xem bằng zero. UDP sử dụng phương pháp gán phần
đàu giả vào gói tin UDP, thêm vào đó một octet có giá trị zero để có được
đúng bội số của 16 bit và tính tổng cho toàn bộ. Octet được nối vào phần đầu
giả sẽ không được truyền đi cùng với gói tin UDP và chúng không được tính
đến trong phần độ dài.
1.3.2.2. Giao thức TCP
Giao thức TCP cung cấp dịch vụ truyền thông dữ liệu định hướng truyền
thống cho các chương trình - dịch vụ chuyển dòng tin cậy. TCP cung cấp một
mạch ảo, còn được gọi là kết nối. Nó cấp khả năng đứt quảng, kiểm tra lỗi và
điều khiển luồng.
a) Cấu trúc tiêu đề TCP

Hình 1.9. Cấu trúc tiêu đề TCP
Giải thích ý nghĩa các trường:
* Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị
cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối. Mỗi khi

16


TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP.
Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ
để gửi dữ liệu đến chương trình ứng với số cổng đó. Song với TCP, giá trị
cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không tương ứng
với một đối tượng đơn. Thay vì vậy, TCP được xây dựng trên kết nối trừu
tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo,
không phải từng cổng. Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25
trên máy tính có địa chỉ 192.168.2.3.

* Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ
liệu trong segment của nơi gửi.
* Acknowledgment Number (số xác nhận): xác định số octet mà nguồn
đang đợi để nhận kế tiếp. Lưu ý là Sequence Number để chỉ đến lượng dữ liệu
theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để
chỉ đến dữ liệu ngược lại với segment đến.
* Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài
của phần đầu segment, được tính theo bội số của 32 bit. Giá trị này là cần
thiết vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã
được đưa vào.
* Unused (dự phòng): được dành riêng để sử dụng trong tương lai.
* Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của
segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit. Ví
dụ segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải
những yêu cầu để thiết lập hoặc ngắt nối.
* Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng
đêm cho quá trình truyền.
* Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài
dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ
liệu đến cho dù nó nằm ở đâu trong vùng dữ liệu. Sau khi xử lý xong dữ liệu

17


khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạng thái thông
thường.
Đơn vị truyền giữa hai phần mềm TCP trên hai máy được gọi là segment.
Các segment được trao đổi để thiết lập kết nối, để truyền dữ liệu, để gửi các
ACK (thông báo xác nhận đã nhận dữ liệu), để thông báo kích thước của cửa
sổ (nhằm tối ưu hóa quá trình truyền và nhận dữ liệu) và để ngắt kết nối [1].

b) Thiết lập và đóng một kết nối TCP
Để thiết lập một kết nối TCP sử dụng mô hình bắt tay ba bước, trong
trường hợp đơn giản có thể minh họa như sau:
Đầu cuối máy
tính gửi

Mạng

Đầu cuối máy
tính nhận

Gửi SYN
Seq = x
Nhận SYN
Gửi SYN seq = y, ACK x+1

Nhận SYN +ACK
ACK y+1
Nhận ACK

Hình 1.10. Thiết lập kết nối theo giao thức TCP
Gói tin khởi đầu cho kết nối được xác định bởi bit SYN trong trường dữ
liệu CODE, bản tin trả lời lập giá trị cho bit SYN và ACK để chuyển ý nghĩa
đồng bộ và tiếp tục tiến trình bắt tay. Bản tin cuối cùng chỉ có ý nghĩa như
một lời đáp và chỉ để đơn giản dùng để thông báo cho đích rằng cả hai bên
cùng đồng ý một kết nối đã được thiết lập.
Tiến trình bắt tay ba bước là điều kiện cần và đủ để có sự đồng bộ chính
xác giữa hai đầu của kết nối, thông thường các phần mềm TCP thường sử
dụng phương pháp đợi thụ động để chờ kết nối, nhưng điều này không gây
khó khăn trong quá trình kết nối vì các kết nối được thiết lập từ các bên độc

lập với nhau. Số thực tự được chọn ngẫu nhiên và độc lập với nhau cũng có
thể được gửi kèm cùng với dữ liệu. Trong những trường hợp đó, phần mềm

18


TCP giữ lại dữ liệu cho đên khi hoàn tất quá trình bắt tay kết nối. Một khi kết
nối được thiết lập, phần mêm TCP sẽ giải phóng dữ liệu trước đây và nhanh
chóng chuyển chúng tời các chương trình ứng dụng cấp cao hơn.
Thủ tục đóng kết nối TCP được thực hiện theo từng chiều, (giả thiết kết
nối TCP là song công). Một khi kết nối đóng lại theo chiều nào đó, TCP sẽ từ
chối nhận thêm dữ liệu trong kết nối của chiều đó, trong lúc dữ liệu vẫn di
chuyển theo chiều ngược lại cho đến khi nơi gửi thực hiện đóng kết nối. Như
vậy, lời đáp của kết nối vẫn được chuyển về nơi gửi ngay cả khi kết nối đã
đóng lại, khi cả hai chiều đều đóng, phần mềm TCP tại mỗi bên xóa bỏ những
ghi nhận về kết nối này.
Đầu cuối máy
tính gửi

Đầu cuối máy
tính nhận

Mạng

Gửi FIN
Seq = x

Nhận FIN
Gửi ACK x+1
Gửi FIN seq=x, ACK x+1


Nhận ACK
Nhận FIN+ACK
Gửi ACK y+1
Nhận ACK

Hình 1.11. Thủ tục đóng kết nối TCP
c) TCP là giao thức truyền tin cậy
Yêu cầu đối với TCP phát chuyển stream là khối dữ liệu lớn và cần độ
tin cậy. Các đặc trưng đối với dịch vụ phát chuyển tin cậy gồm:
- Định hướng stream: Khi hai chương trình ứng dụng (các tiến trình của
người sử dụng) truyền những khối lượng lón dữ liệu được xem như một chuỗi
bit, dữ liệu này được chia thành các octet. Dịch vụ chuyển phát stream chuyển
dữ liệu một cách chính xác tới máy nhận.
- Kết nối kênh ảo: Thực hiện việc truyền stream cũng tương tự như thực
hiện một cuộc gọi điện thoại. Trước khi việc truyền có thể bắt đầu, cả hai
chương trình ứng dụng gửi và nhận đều phải tương tác với hệ điều hành,

19


thông báo về yêu cầu thực hiện truyền stream. Về mặt khái niệm, một chương
trình ứng dụng sẽ thực hiện một cuộc gọi mà đầu kia chấp nhận, tức là thiết lập
kết nối - hay mạch ảo để truyền và nhận dữ liệu một các chính xác.
- Việc truyền có vùng đệm: Các chương trình ứng dụng gửi một dòng dữ
liệu qua mạch ảo bằng cách lặp lại việc chuyển các octet dữ liệu đến phần
mềm giao thức. Khi truyền dữ liệu, mỗi chương trình ứng dụng sử dụng bất
kỳ kích thước đơn vị truyền nào nó thấy thuận tiện, có thể chỉ bằng một octet.
Tại đầu nhận, phần mềm giao thức phát chuyển một cách tự động dữ liệu theo
đúng thứ tự mà chúng được gửi đi, làm cho chúng sẵn sàng được chương

trình ứng dụng nhận sử dụng ngay sau khi chúng được nhận và kiểm tra. Phần
mềm giao thức được tự do phân chia dòng dữ liệu thành những gói dữ liệu
độc lập với đơn vị mà chương trình ứng dụng truyền đi. Để làm cho việc
truyền hiệu quả hơn và tối thiểu giao thông trên mạng, các cài đặt thường tập
hợp cho đủ dữ liệu để đặt vào datagram có độ lớn thích hợp trước khi truyền
nó qua Internet.
Như vậy ngay cả khi chương trình ứng dụng phát sinh dòng dữ liệu có
kích thước là 1 octet mỗi lần thì việc truyền qua Internet vẫn hoàn toàn hiệu
quả.
Tương tự, nếu chương trình ứng dụng quyết định phát chuyển những
khối dữ liệu cực lớn, phần mềm giao thức có thể quyết định chia khối này
thành những khối nhỏ hơn khi truyền.
Đối với những chương trình ứng dụng mà dữ liệu phải được phát chuyển
ngay cả khi nó không đầy một vùng đệm, dịch vụ stream cung cấp cơ chế đẩy
cho các chương trình ứng dụng để bắt buộc truyền.
Stream không có cấu trúc: Dịch vụ TCP stream không xác định các dòng
dữ liệu có cấu trúc. Nghĩa là nó không phân biệt được cấu trúc hay nội dung
phân chia bên trong của dòng dữ liệu. Các chương trình ứng dụng sử dụng

20


dịch vụ stream phải hiểu nội dung stream và thống nhất với nhau về định
dạng stream trước khi khởi động việc kết nối.
Kết nối hai chiều: Các kết nối do dịch vụ TCP cấp cho phép truyền đồng
thời cả hai chiều. Cách kết nối này được gọi là song công. Nghĩa là từ quan
điểm của một tiến trình ứng dụng, kết nối 2 chiều bao gồm 2 dòng dữ liệu độc
lập chạy ngược nhau, không có tương tác hay va chạm. Dịch vụ stream cho
phép một tiến trình ứng dụng chấm dứt dòng chảy theo một chiều trong khi
dữ liệu vẫn tiếp tục chảy theo chiều kia làm cho kết nối trở thành một chiều

(half duplex). Ưu điểm chính của kết nối hai chiều là phần mềm giao thức cơ
sở có thể gửi thông tin điều khiển cho một tream ngược trở về nguồn trong
những datagram đang chuyển tải dữ liệu theo chiều ngược lại. Điều này làm
giảm bớt giao thông trên mạng.
Để thực hiện cung cấp tính tin cậy khi truyền tin, TCP sử dụng giao thức
xác nhận gói tin (ACK) đã nhận được và truyền lại những gói tin bị mất hoặc
bị lỗi. Bộ đếm thời gian bên gửi sẽ được kích hoạt mỗi khi gửi gói (mỗi gói
được gửi sẽ được một bộ thời gian đếm từ lúc gửi). Khi qúa thời gian của bộ
đếm mà chưa nhận được ACK thì mặc nhiên coi là mất gói hoặc hỏng gói và
gói sẽ được gửi lại. Số thứ tự gói trong tiêu đề dùng cho bên gửi và thu xác
định việc mất gói và trùng lặp dữ liệu, từ đó tái truyền hay loại bỏ gói lặp cho
phù hợp.
d) Kỹ thuật cửa sổ trượt
Để thực hiện việc điều khiển luồng, TCP sử dụng kỹ thuật cửa sổ trượt.
Cửa sổ trượt có kích thước cố định hoặc có thể thay đổi được cho phép xác
định số gói dữ liệu tối đa được truyền trước khi nhận được một ACK từ đích
xác nhận về. Kỹ thuật này giải quyết vấn đề quan trọng là tăng hiệu quả truyền
dẫn và điều khiển tốc độ dòng dữ liệu [1].

21


Hình 1.12. Cơ chế cửa sổ trượt với kích thước cố định
1.4. Tổng kết
Chương 1 trình bày sơ lược về bộ giao thức TCP/IP, giới thiệu chức năng
cơ bản của các lớp trong mô hình phân lớp của nó. Do phạm vi của đề tài nên
chỉ tập trung đi sâu về giao thức IP của lớp Internet và giao thức TCP/UDP
của lớp giao vận.
Đối với giao thức IP, ở đây chỉ trình bày các vấn đề địa chỉ, định tuyến,
phân mảnh và hợp nhất dữ liệu, cấu trúc gói tin IPv4 và IPv6. Đây là những

vấn đề cơ bản của giao thức IP và nó được sử dụng trong nội dung của các
chương tiếp theo của đồ án. Đặc biệt trong phần này là đi tìm hiểu sâu về cấu
trúc gói tin IPv4, IPv6 và các đặc điểm khác biệt của gói tin IPv6 so với gói
tin IPv4. Chú ý quan trọng rằng ở gói tin IPv6 đã bổ sung những chức năng
an toàn.

22


Chương 2. Công nghệ mạng riêng ảo trên internet
2.1. Gới thiệu về mạng riêng ảo trên Internet IP-VPN
2.1.1. Khái niệm về mạng riêng ảo trên nền tảng Internet
Như ta đã biết, các mạng riêng thường được định nghĩa là các phương
tiện nối mạng không chia sẻ để kết hợp các máy trạm (host) và các client trực
thuộc cùng một thực thể quản lí. Đặc tính của mạng riêng là hỗ trợ truyền
thông giữa những người dùng được phép, cho phép họ truy nhập tới các dịch
vụ và tài nguyên liên kết mạng khác nhau. Lưu lượng từ nguồn và đầu cuối
trong mạng riêng chỉ di chuyển dọc theo những node có mặt trong mạng
riêng. Thêm vào đó là sự cách li lưu lượng. Điều này có nghĩa là lưu lượng
tương ứng với mạng riêng không ảnh hưởng và không bị ảnh hưởng bởi lưu
lượng từ ngoài. IP-VPN kết hợp 2 khái niệm: nối mạng ảo và nối mạng riêng.
Trong một mạng ảo, các nút mạng ở xa nhau và phân tán có thể tương tác với
nhau theo cách mà chúng thường thực hiện trong một mạng, trong đó các nút
đặt tại cùng một vị trí địa lí. Cấu hình topo của mạng ảo độc lập với cấu hình
vật lí của các phương tiện sử dụng nó. Một người sử dụng bình thường của
một mạng ảo không biết sự thiết lập mạng vật lí, sẽ chỉ có thể nhận biết được
cấu hình topo ảo. Cấu hình của mạng ảo được xây dựng dựa trên sự chia sẻ
của cơ sở hạ tầng mạng vật lí đã tồn tại. Tuy nhiên, cấu hình mạng ảo và
mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau.
Chúng ta có thể đinh nghĩa IP-VPN như sau: Mạng riêng ảo trên nền

Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ
tầng mạng Internet công cộng chung không đảm bảo an ninh. Các thuộc tính
của IP-VPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa
các máy trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả
thuận mức dịch vụ và chất lượng dịch vụ cho tất cả các thực thể thông qua
môi trường Internet [5].

23


2.1.2. Khả năng ứng dụng của IP-VPN
Mạng riêng ảo có một ý nghĩa rất lớn đối với các tổ chức hoạt động phân
tán tại nhiều vùng địa lí khác nhau, nhân viên làm việc luôn di chuyển, hệ
thống khách hàng và đối tác kinh doanh rộng lớn… Nó là giải pháp thực hiện
truyền thông an toàn trên nền mạng công cộng. Điều này cho phép các tổ
chức có thể tiết kiệm đáng kể chi phí so với phương thức thuê kênh riêng. Mặt
khác VPN còn đảm bảo cho sự an toàn số liệu trong quá trình truyền thông và
khả năng mở rộng hoạt động rộng lớn ngay cả tại những vùng địa lí phức tạp.
2.2. Các khối cơ bản trong mạng IP-VPN
Các khối cơ bản của VPN bao gồm: điều khiển truy nhập, Nhận thực, An
ninh, Truyền Tunnel, Các thoả thuận mức dịch vụ
2.2.1. Điều khiển truy nhập
Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu
được định nghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập
đến các tài nguyên nối mạng riêng cho các phía được trao quyền. Các cơ chế
AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài
nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã
được nhận thực. Trong thế giới IP-VPN, các thực thể vật lí như các máy trạm
ở xa, tường lửa và cổng IP-VPN trong các mạng thuộc hãng tham dự vào
phiên thông tin thường chịu trách nhiệm (hay ít nhất chỉ trách nhiệm) cho quá

trình tham dự đảm bảo trạng thái kết nối IP-VPN.
Thí dụ các quyết định bao gồm: khởi đầu, Cho phép, Tiếp tục, Từ chối,
Kết thúc.
Mục đích chính của IP-VPN là cho phép truy nhập có đảm bảo an ninh
và có chọn lựa đến các tài nguyên nối mạng từ xa. Nếu chỉ có an ninh và nhận
thực mà không có AC, IP-VPN chỉ bảo vệ tính toàn vẹn, tính bí mật của lưu
lượng được truyền và ngăn cản các người sử dụng vô danh sử dụng mạng,
nhưng không quản lí truy nhập các tài nguyên nối mạng. AC thường phụ
thuộc vào thông tin mà thực thể yêu cầu kết nối ở dạng nhận dạng hay chứng

24


chỉ cũng như các quy tắc định nghĩa AC. Chẳng hạn một số IP-VPN có thể
được điều hành bởi một server tập trung hay thiết bị điều khiển IP-VPN khác
đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay có thể cổng IP-VPN
quản lí địa phương trong các mạng liên quan đến thông tin IP-VPN [5].
2.2.2. Nhận thực
Một trong các chức năng quan trọng nhất được IP-VPN hỗ trợ là nhận
thực. Trong nối mạng riêng ảo, mọi thực thể liên quan đến thông tin phải có
thể tự nhận dạng mình với các đối tác liên quan khác và ngược lại. Nhận thực
là một quá trình cho phép các thực thể thông tin kiểm tra các nhận dạng như
vậy. Một trong các phương pháp nhận thực phổ biến được sử dụng rộng rãi
hiện nay là PKI. Phương pháp này được gọi là nhận thực dựa trên chứng
nhận, và các bên tham dự thông tin nhận thực lẫn nhau bằng cách trao đổi các
chứng nhận của chúng. Các chứng nhận này được đảm bảo bởi quan hệ tin
tưởng với một bộ phận thẩm quyền chứng nhận.
Quá trình nhận thực có thể liên quan đến việc cung cấp thông tin nhận
thực dựa trên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu
lệnh/ trả lời của CHAP cho người nhận thực, hay như NAS (Network Access

Server) để nó tra cứu một file địa phương hay yêu cầu server [5].
2.2.3. An ninh
Theo định nghĩa thì VPN được xây dựng trên các phương tiện công cộng
dùng chung không an toàn, vì thế tính toàn vẹn và mật mã hoá là yều cầu nhất
thiết. Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các
phương pháp mật mã hoá đã có hay cơ chế mật mã hoá kết hợp với các hệ
thống phân bố khóa an ninh. Tuy nhiên cần nhắc lại rằng an ninh không chỉ là
mật mã hoá lưu lượng VPN. Nó cũng liên quan đến các thủ tục phức tạp của
nhà khai thác và các hạng cung cấp nó. Và khi VPN dựa trên mạng, cần thiết
lập quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hành VPN yêu cầu
thỏa thuận và triển khai cơ chế an ninh tương ứng. Chẳng hạn, có thể truy
nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×