Tải bản đầy đủ (.doc) (53 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Lập trình

ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.64 MB, 53 trang )

ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

LỜI MỞ ĐẦU
Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng
tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một
tỉnh, một nước mà còn mở rộng ra toàn thế giới. Một công ty có thể có chi nhánh , có
các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin
với nhau. Để bảo đảm bí mật các thông tin được trao đổi thì theo cách truyền thống
người ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài
nguyên khi dữ liêu trao đổi không nhiều và không thường xuyên. Vì thế người ta đã
nghiên cứu ra những công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông
tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo.
VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải
pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin
từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật. Hơn
thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết
từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu).
Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với công
nghệ luôn được cải tiến để an toàn hơn. Vì thế, em đã chọn đề tài “Tìm hiểu mạng
riêng ảo (VPN) và triển khai mô hình VPN site to site trên TGM 2010 ”. Nội dung đề
tài gồm hai phần chính là tìm hiểu khái quát về mạng riêng ảo và triển khai mô hình
VPN site to site (PPTP) trên TMG 2010.
Với khả năng và kiến thức còn hạn chế, đề tài không tránh khỏi những thiếu sót,
và hạn chế về nội dung, em mong nhận được sự góp ý sửa chữa của thầy cô và các
bạn.

Trang 1


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010


MỤC LỤC
LỜI MỞ ĐẦU............................................................................................................................1
MỤC LỤC..................................................................................................................................2
CHƯƠNG 1:TỔNG QUAN VỀ VPN......................................................................................4
1.1. Tổng quan.......................................................................................................................4
1.1.1 Định nghĩa VPN:......................................................................................................4
1.1.2. Lịch sử phát triển của VPN:...................................................................................4
1.1.3. Phân loại VPN:........................................................................................................5
1.1.4. Lợi ích của VPN:.....................................................................................................5
1.1.5. Chức năng của VPN:..............................................................................................6
1.1.6. Các ưu và nhược điểm của VPN:...........................................................................6
1.1.6.1 ưu điểm:..............................................................................................................6
1.1.6.2 nhược điểm:........................................................................................................7
1.2.Các đạng kết nối mạng riêng ảo:...................................................................................7
1.2.1 Remote Access VPN..................................................................................................7
1.2.1.1Một số thành phần chính :...................................................................................8
1.2.1.2 Ưu và nhược điểm của Remote Access VPN......................................................9
1.2.2 Mạng VPN cục bộ (Intranet VPN)........................................................................10
1.2.2.1Những ưu điểm của mạng VPN cục bộ :...........................................................11
1.2.2.2. Các nhược điểm của mạng VPN cục bộ..........................................................11
1.2.3 Mạng VPN mở rộng (Extranet VPN)....................................................................12
1.2.3.1Một số thuận lợi của Extranet :.........................................................................13
1.2.3.2Một số bất lợi của Extranet :.............................................................................13
1.3. An toàn bảo mật của VPN trên Intrenet....................................................................13
1.3.1 Bảo mật trong VPN................................................................................................13
1.3.2 Sự an toàn và tin cậy:.............................................................................................14
1.3.3 Hình thức an toàn..................................................................................................14
1.4 các yêu cầu cơ bản đối với một giải pháp vpn............................................................15
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.....................................................15
1.4.1 Tính tương thích.....................................................................................................15

1.4.2 Tính bảo mật...........................................................................................................15
1.4.3 Tính khả dụng........................................................................................................16
1.4.4 Khả năng hoạt động tương tác..............................................................................16
CHƯƠNG 2 CÁC GIAO THỨC VÀ KẾT NỐI TUNNEL TRONG VPN........................17
2.1. Tìm hiểu giao thức IPSec(IP Security).......................................................................17
2.1.1. khái quát về IPSec:................................................................................................17
2.1.2. Kiến trúc IPSec:.....................................................................................................18
2.1.3. Các dịch vụ của IPSec:.........................................................................................19
2.1.4. Ưu khuyết điểm của IPSec:...................................................................................19
2.1.5 Các chế độ hoạt động của IPSec:..........................................................................19
2.1.5.1 Transport Mode (chế độ vận chuyển)...............................................................19
2.1.5.2 Tunnel Mode (chế độ đường hầm):..................................................................20
2.2. Giao thức Point-to-Point Tunneling Protocol(PPTP)...............................................21
2.2.1. khái quát về PPTP:................................................................................................21
2.2.2. Vai trò của PPP trong giao dịch PPTP................................................................22
2.2.3 . Các thành phần của quá trình giao dịch PPTP.................................................23
2.2.3.1 PPTP Clients...................................................................................................23
2.2.3.2. PPTP Servers...................................................................................................24
2.2.3.3. PPTP Network Access Servers (NASs)............................................................24
2.2.4.Quá trình xữ lý PPTP.............................................................................................24
2.2.4.1 Điều khiển kết nối PPTP.................................................................................24
Trang 2


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
2.2.4.2 Quá trình tạo đường hầm dữ liệu và xữ lý PPTP............................................25
2.2.5 .Bảo mật trong PPTP..............................................................................................25
2.2.5.1 Mã hóa và nén dữ liệu PPTP...........................................................................26
2.2.5.2 PPTP Data Authentication..............................................................................26
2.2.5.3 Điều khiển truy cập PPTP...............................................................................26

2.2.5.4 Trích lọc các gói dữ liệu PPTP........................................................................26
2.2.6. Sơ đồ đóng gói PPTP.............................................................................................27
2.2.7 Ưu điểm và khuyết điểm của PPTP:......................................................................27
2.3. Giao thức Layer 2 Tunneling Protocol ( L2TP)........................................................28
2.3.1 khái niệm:...............................................................................................................28
2.3.2.Các thành phần của L2TP.....................................................................................29
2.3.2.1 Network Access Server (NAS).........................................................................29
2.3.2.2 Bộ tập kết truy cập L2TP.................................................................................29
2.3.2.3 L2TP Network Server......................................................................................29
2.3.4 Qui trình xữ lý L2TP..............................................................................................29
2.3.5.Quan hệ giữa L2TP và PPP...................................................................................30
2.3.6 Sơ đồ đóng gói L2TP trên nền IPSec....................................................................31
2.3.7.Ưu điểm và khuyết điểm của L2TP :.....................................................................32
2.4 Thiết lập kết nối tunnel................................................................................................32
2.4.1 Các loại giao thức...................................................................................................32
2.4.2. Kỹ thuật Tunneling trong mạng VPN..................................................................33
2.4.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa........................................33
2.4.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm.......................................33
CHƯƠNG 3: TRIỂN KHAI MÔ HÌNH SITE TO SITE TRÊN TMG 2010....................34
3.1. Mô hình:........................................................................................................................34
3.2. TRIỂN KHAI CHI TIẾT MÔ HÌNH SITE TO SITE.............................................35
Tài liệu tham khảo...........................................................................................................53

Trang 3


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

CHƯƠNG 1:TỔNG QUAN VỀ VPN
1.1. Tổng quan

1.1.1 Định nghĩa VPN:
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( PrivatNetwork)
thông qua các mạng công cộng căn bản mỗi VPN là một mạng riêng rẽ sử dụng một
mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay
nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như
đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ
mạng riêng của các công ty tới các site hay các nhân viên từ xa.
1.1.2. Lịch sử phát triển của VPN:
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn
từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả
với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng(WAN). Trước
kia,hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường
thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây
chuyên dùng cho các khách hang lớn. Colisee có thể cung cấp phương thức gọi số
chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa racước
phí và nhiều tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tênriêng là mạng
được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho mộtsố xí
nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần30% chi phí,
đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstracủa Ôxtrây-li-a đưa ra dich vụ VPN rong nước đầu tiênở khu vục châu Á– TháiBình
Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác
đầu tư Unisource, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh

toàn cầu Worldparners, cung cấp càng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert,cung cấp dịch
vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu(GVPNS).
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp
(French Telecom) kết thành liên minh Global One.

Trang 4


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN,Công nghệ này
có mặt tr ên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN
xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới,
một cái nh ìn mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu cho các
công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn.
Ngày nay, với sự phát triển công nghệ, cơ sở hạ tầng mạng IP (Internet)ngày một
hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện.Hiện nay, VPN không
chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụdữ liệu, hình ảnh và các dịch vụ
đa phương tiện.
1.1.3. Phân loại VPN:
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN
điểm-nối-điểm (site-to-site)
- VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo(VPDN), là một kết
nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần
liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn
thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP).
ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử
dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có
thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để

truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có
mật mã.
- VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối
nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có
thể dựa trên Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa
điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN
intranet (VPN nội bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty
có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách
hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN
để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung
1.1.4. Lợi ích của VPN:
Lợi ích cho công ty:
- Mở rộng kết nối ra nhiều khu vực và cả thế giới
- Tăng cường an ninh mạng
- Giảm chi phí so với thiết lập mạng WAN truyền thống
- Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả năng
tương tác.
- Đơn giản hoá mô hình kiến trúc mạng
- Hỗ trợ làm việc từ xa
- Cung cấp khả năng tương thích với mạng lưới băng thông rộng
- Quản lý dễ dàng
- Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử dụng
công nghệ DSL.
Trang 5


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
- Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trên
mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng liên kết lớn,
mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ.

Đối với nhà cung cấp dịch vụ:
- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng
giá trị khác kèm theo.
- Tăng hiệu quả sử dụng mạng internet hiện tại.
- Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu tố quan
trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là
các khách hàng lớn.
- Đầu tư không lớn hiệu quả đem lại cao.
- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịchvụ. Thiết bị sử dụng
cho mạng VPN.
1.1.5. Chức năng của VPN:
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn
vẹn(Integrity) và tính bảo mật (Confidentiality).
a)Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác
thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong
muốn chứ không phải là một người khác.
b)Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ
sự xáo trộn nào trong quá trình truyền dẫn.
c)Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không
một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì
cũng không đọc được.
1.1.6. Các ưu và nhược điểm của VPN:
1.1.6.1 ưu điểm:
Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty, giúp đơn giản
hoá việc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở
rộng Intranet đến từng văn phòng... Những lợi ích trực tiếp và gián tiếp mà VPN mang
lại bao gồm: tiết kiệm chi phí, tính linh hoạt, khả năng mở rộng, v.v…
a)Tiết kiệm chi phí : Việc sử dụng VPN sẽ giúp các công ty giảm được chi phí
đầu tư và chi phí thường xuyên. Nhiều số liệu cho thấy, giá thành cho việc kết nối

LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống,
còn đối với việc truy nhập từ xa giảm từ 60 tới 80%.
b)Tính linh hoạt: Tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận
hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng
có thể sử động
c)Khả năng mở rộng: Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công
cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet) đều có thể triển khai
VPN.Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu’
Trang 6


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
d)Giảm thiểu các hỗ trợ kỹ thuật: Việc chuẩn hoá trên một kiểu kết nối từ đối
tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm
giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN
e)Giảm thiểu các yêu cầu về thiết bị :Bằng việc cung cấp một giải pháp truy nhập
cho các doanh nghiệp qua đường Internet, VPN yêu cầu về thiết bị ít hơn và đơn giản
hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích cho thiết bị
đầu cuối và các máy chủ truy nhập từ xa.
f)Đáp ứng các nhu cầu thương mại: Đối với các thiết bị và công nghệ viễn thông
mới thì những vấn đề cần quan tâm là chuẩn hoá, các khả năng quản trị, mở rộng và
tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng
thương mại của sản phẩm.
1.1.6.2 nhược điểm:
a)Phụ thuộc nhiều vào chất lượng của mạng Internet: Sự quá tải hay tắc nghẽn
mạng làm ảnh hưởng đến chất lượng truyền thông tin.
b) Thiếu các giao thức kế thừa hỗ trợ : VPN hiện nay dựa hoàn toàn trên cơ sở kỹ
thuật IP.Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các
thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNskhông phù
hợp được với các thiết bị và giao thứcc)Vấn đề an ninh:Một mạng riêng ảo thường rẻ

và hiệu quả hơn so với giải pháp sử dụng kênh thuê riêng. Tuy nhiên, nó cũng tiềm ẩn
nhiều rủi ro an ninh khó lường trướcvà do đó sự an toàn sẽ không là tuyệt đối.
d)Độ tin cậy và sự thực thi : VPN sử dụng phương pháp mã hoá để bảo mật dữ
liệu, và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá
nặng.
1.2.Các đạng kết nối mạng riêng ảo:
Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản:
- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời
gian nào.
- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp
hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan. Dựa vào
những yêu cầu cơ bản trên VPN được chia thành :
- Mạng VPN truy cập từ xa (Remote Access VPN).
- Mạng VPN cục bộ (Intranet VPN).
- Mạng VPN mở rộng (Extranet VPN).
1.2.1 Remote Access VPN
Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc
nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết
nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di
chuyễn hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến
mạng Intranet hợp tác.

Trang 7


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

1.2.1.1Một số thành phần chính :
Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng

nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở
khá xa so với trung tâm.
Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ trợ
truy cập từ xa bởi người dùng.

Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chi
nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc
ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access
Setup được mô tả bởi hình vẽ sau :

Trang 8


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

1.2.1.2 Ưu và nhược điểm của Remote Access VPN
a) ưu điểm:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì
quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng
cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ
cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
b) nhược điểm:

- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có
thễ đi ra ngoài và bị thất thoát.
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này
gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based
diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như
các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng dịch
vụ. Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng
kể.Thêm vào đó việc nén dữ liệu IP xảy ra chậm.

Trang 9


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn thì sẽ
rất chậm.
1.2.2 Mạng VPN cục bộ (Intranet VPN).
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh
trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.Điều này
cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép
trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở
rộng,tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng
vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN
Site- to- Site
Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ
chức vớimạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN
thì ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router


Mô hình intranet sử dụng mạng trục WAN
Hệ thống có chi phí cao bởi có ít nhất là hai router cần thiết để kết nối.
Sự vận hành,bảo trì và quản lý intranet yêu cầu chi phí phụ thuộc vào lưu lượng
truyền tải tin của mạng và diện tích địa lý của mạng intranet.
Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone
được thay thếbằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho
mạng intranet sẽ giảm xuống.Giải pháp này được mô tả như hình dưới:

Trang 10


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

.Mô hình intranet xây dựng trên VPN
1.2.2.1Những ưu điểm của mạng VPN cục bộ :
- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WAN
backbone
- Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu,
các trạm ở một số remote site khác nhau.
- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ,
loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc
thực hiện Intranet.
1.2.2.2. Các nhược điểm của mạng VPN cục bộ
- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộngInternet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-ofservice), vẫn còn là một mối đe doạ an toàn thông tin.
- Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin
mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên,
và QoS cũng không được đảm bảo.

Trang 11


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
1.2.3 Mạng VPN mở rộng (Extranet VPN)
Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn
cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng
cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác
những người giữ vai trò quan trọng trong tổ chức.

Mô hình mạng Extranet truyền thống.
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp
lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có
nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị.
Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng
Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn
gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và
thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị
mạng.
Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranet
truyền thống. Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở
nên dễ dàng hơn và giảm chi phí. Thiết lập extranet VPN được mô tả như dưới:

Mô hình Extranet xây dựng trên VPN
Trang 12



ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
1.2.3.1Một số thuận lợi của Extranet :
- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi
lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên
cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
1.2.3.2Một số bất lợi của Extranet :
- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi
diễn ra chậm chạp.
- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
1.3. An toàn bảo mật của VPN trên Intrenet
1.3.1 Bảo mật trong VPN
a) Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn
có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức
được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể
nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet
Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
b) Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính
khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã
chung.
c) Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí
mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu
bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để
máy tính của người nhận có thể giải mã được.
d) Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng.
Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho
bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy

tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng
của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy
(PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
e) Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh
cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhậptoàn
diện hơn.
f) IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề
(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoà ra, tất
cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống
phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết
bị khác nhau như router với router, firewall với router, PC với router PC với máy chủ.
Trang 13


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
g) Máy chủ AAA : AAA là viết tắt của ba chữ Authentication (thẩm định quyền
truy cập) Authorization (cho phép) và Accounting (kiểm soát). Các server này được
dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới
từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạ
động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
1.3.2 Sự an toàn và tin cậy:
Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một
hệ thống đáng tin cậy được. Thuộc tính này của một hệ thống đựơc viện dẫn như sự
đáng tin cậy được.
Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
- Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong khoản thời
gian.Tính sẵn sang thường đựơc thực hiện qua những
hệ thống phần cứng dự phòng.
- Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các chức

năng của nó trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sang , nó được
đo trong cả một chu kỳ của thời gian. Nói tương ứng tới tính liên tục của một dịch vụ.
- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó
chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại
nào xuất hiện.
- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả
các tài nguyên hệ thống
Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an toàn ở
bất kỳ thời gian nào. Nó đảm bảo không một sự và chạm nào mà không cảnh báo
thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:
- Tính bí mật.
- Tính toàn vẹn
Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi
trong một ứng xử không hợp pháp trong thời gian tồn tại của nó. Tính sẵn sang, sự an
toàn và anh ninh là những thành phần phụ thuộc lẫn nhau. Sự an ninh bảo vệ hệ thống
khỏi những mối đe doạ và sự tấn công. Nó đảm bảo một hệ thống an toàn luôn sẵn
sang và đáng tin cậy.
1.3.3 Hình thức an toàn
Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó
Có 3 kiểu khác nhau của sự an toàn:


Sự an toàn phần cứng



Sự an toàn thông tin




Sự an toàn quản trị

An toàn phần cứng: Những mối đe doạ và tấn công có liên quan tới phần cứng
của hệ thống.
Nó có thể được phân ra vào 2 phạm trù:
Trang 14


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010


Sự an toàn vật lý



An toàn bắt nguồn

Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạ vật lý
bên ngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngập lụt. Tất cả
những thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảo
vệ chống lại tất cả những sự bảo vệ này.
An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần
cứng và sự kết hợp của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn
và truyền thông máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các
đối tượng chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ
chế điều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế
phần cứng, kỹ thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền.
An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà
con người lợi dụng tới một hệ thống máy tính. Những mối đe doạ này có thể là hoạt
động nhân sự. Sự an toàn nhân sự bao bao trùm việc bảo vệ của những đối tượng

chống lại sự tấn công từ những người dùng uỷ quyền.
Mỗi người dùng của hệ thống có những đặc quyền để truy nhập những tài nguyên
nhất định. Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại những người
dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụng những đặc
quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để nó thực sự là một cơ
chế bảo vệ sự an toàn hệ thống. Thống kê cho thấy những người dùng uỷ quyền có tỷ
lệ đe doạ cao hơn cho một hệ thống máy tính so với từ bên ngoài tấn công. Những
thông tin được thống kê cho thấy chỉ có 10% của tất cả các nguy hại máy tính đựơc
thực hiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những người dùng trong
cuộc và khoảng 50% là bởi người làm thuê
1.4 các yêu cầu cơ bản đối với một giải pháp vpn
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
1.4.1 Tính tương thích
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây
dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau
và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ
thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với
Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải
được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ
sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng
trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng
được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các
thiết bị hiện có của họ.
1.4.2 Tính bảo mật
Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng
nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông
qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng
riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm
bảo hai mục tiêu sau
Trang 15



ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử
dụng trong mạng và mã hoá dữ liệu khi truyề
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho
người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ
thống.
1.4.3 Tính khả dụng
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được
tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.
Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có
khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan
đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến
cả hai vấn đề trên.
1.4.4 Khả năng hoạt động tương tác
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu
chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các
nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú
ý việc lựa chọn thiết nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính
đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên
quan đến

Trang 16


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

CHƯƠNG 2 CÁC GIAO THỨC VÀ KẾT NỐI TUNNEL
TRONG VPN

Trong VPN có 3 giao thức chính để xây dựng lên một “mạng riêng ảo” hoàn
chỉnh đó là:
+ IP Sec (IP Security)
+ PPTP (Point-to-Point Tunneling Protocol)
+ L2TP (Layer 2 Tunneling Protocol)
Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểm
khác nhau khi triển khai vào mạng VPN
2.1. Tìm hiểu giao thức IPSec(IP Security)
2.1.1. khái quát về IPSec:
IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ
liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia
VPN.Các thiết bị này có thể là các hot hoặc là các sercurity gateway (router,
firewalls,VPN concentrator,...)hoặc là giữa 1 hot và gateway như trong rường hợp
remote access VPNs. IPSec bảo vệ đa luồng dữ liệu giữa các peers, và 1getway có thẻ
hỗ trợ đồng thời nhiều nguồn dữ liệu.
IPSec hoạt đồng ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE)
để thảo thuận các giao thức giữa các bên tham gia và IPSec sẽ phát khóa mã hóa và
xác thực để dùng.

IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất
trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ
chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.

Trang 17


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
2.1.2. Kiến trúc IPSec:
IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau

như mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa
trên các thành phần cơ bản sau đây:

-Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu
của IPSec.
- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và
xác thực thông tin trong IPSec.
- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần
giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc
AH, mỗi giao thức có ưu và nhược điểm riêng.
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong
IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong
AH và ESP.
- Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong
IPSec.
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi
IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế,
giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ
hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec
trong một tình huống cụ thể là chức năng của miền thực thi.
- Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với
IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và
Trang 18


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
xác thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai
thành phần:
+ Giao thức đóng gói, gồm AH và ESP

+ Giao thức trao đổi khoá IKE (Internet Key Exchange)
2.1.3. Các dịch vụ của IPSec:
- Quản lý truy xuất (access control)
- Toàn vẹn dữ liệu ở chế độ không kết nối (connectionless integrity)
- Xác thực nguồn gốc dữ liệu (data origin authentication )
- Chống phát lại (anti-replay)
- Mã hoá dữ liệu (encryption)
- Bảo mật dòng lưu lượng (traffic flow confidentiality)
2.1.4. Ưu khuyết điểm của IPSec:
a. Ưu điểm:
- Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng
riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó
mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo
mật
- IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong
suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại
các dịch vụ khi IPSec được triển khai.
- IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng
dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng
phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.
b. Hạn chế:
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các
tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống.
Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các
kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các
dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó
đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với

chính phủ một số quốc gia.
2.1.5 Các chế độ hoạt động của IPSec:
2.1.5.1 Transport Mode (chế độ vận chuyển)
- Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP,
UDP hoặc ICMP). Trong Transport mode, phần IPSec header được chèn vào giữa
phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH
Trang 19


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được
mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được
dùng khi cả hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào
vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa
chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các
mạng trung gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer
4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói.

AH Transport mode.

ESP Transport mode.

Transport mode thiếu mất quá trình xử lý phần đầu,do đó nó
n h a n h h ơ n . T u y nhiên, nó không hiệu quả trong trường hợp ESP có khả năng không
xác nhận mà cũng không mã hóa phần đầu IP
2.1.5.2 Tunnel Mode (chế độ đường hầm):

Trang 20



ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
Trong chế độ đường hầm, các gói tin IP gốc được đóng gói trong một gói IP, và
một tiêu đề IPSec(AH hoặc ESP) được chèn vào giữa các tiêu đề bên ngoài và bên
trong. Bởi vì điều này đóng gói với một gói tin IP ‘bên ngoài’, chế độ chế đọ đường
hầm có thể sử đụng để cung cấp dịch vụ an ninh giữa các trang wed thay mặt cho các
nút IP đằng sau các bộ định tuyến cổng giao tiếp với mỗi trang wed. Ngoài ra, chế độ
này có thể sử dụng cho các kịch bản telecommuter kết nối từ một máy chủ kết thúc với
một cửa ngõ IPSec tại một trang wed.Hình dưới cho thấy một gói tin IP được bảo vệ
bởi IPSec trong chế độ đường hầm.

Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header
mớivà phần header nguyên bản, như hình bên dưới.

ESP Tunnel mode

2.2. Giao thức Point-to-Point Tunneling Protocol(PPTP)
2.2.1. khái quát về PPTP:
PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa remote client
và enterprise server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung
gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend
Trang 21


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
Communications, 3COM, US Robotics, và ECI Telematics), PPTP được đưa ra dựa
trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo
điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường
mạng chung, mà còn qua mạng riêng intranet.
PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho
những kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho

nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ
kết nối từ điểm tới điểm.

PPTP chỉ hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi PPP mà
nó chỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông
PPP.

2.2.2. Vai trò của PPP trong giao dịch PPTP
PPTP là phần mở rộng của PPP, nó không thay đổi công nghệ PPP. Nó chỉ định
nghĩa một phương pháp mới trong việc vận chuyển lưu lượng VPN thông qua một
mạng chung không an toàn. Khá giống PPP, PPTP cũng không hổ trợ đa kết nối, tất cả
các kết nối PPTP đều ở dạng điểm-điểm. PPP thực hiện một số chức năng giao dịch
dựa trên PPP :


Thiết lặp và kết thúc các kết nối vật lý giữa 2 đầu cuối thông tin.



Xác thực PPTP clients.


Mã hóa IPX, NetBEUI, NetBIOS, TCP/IP datagrams để tạo ra PPP datagrams và
bảo mật dữ liệu trao đổi giữa các bên có liên quan.

Chú ý:
PPP có thể sử dụng một số cơ chế xác nhận như cleartext, encrypted, hoặc Microsoftencrypted cho việc xác nhận các PPTP clients.

Trang 22



ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

three responsibilities of PPP in a PPTP transaction.

2.2.3 . Các thành phần của quá trình giao dịch PPTP
B t k quá trình giao d ch nào d a trên PPTP tri n khai ít nh t 3 thành ph n, các thành ph n
ó là :

PPTP client

Network Access Server (NAS)

PPTP server

Mt

n g h m PPTP và ba thành ph n c a giao d ch d a trên PPTP

2.2.3.1 PPTP Clients
Một PPTP client là một nút mạng hổ trợ PPTP và có thể yêu cầu những nút khác
cho một phiên VPN. Nếu kết nối được yêu cầu từ một remote server. PPTP client phải
sử dụng dịch vụ của ISP’s NAS. Vì lý do đó, client phải dùng modem để kết nối vào
kết nối PPP tới nhà ISP. PPTP client cũng phải được kết nối vào thiết bị VPN để có
thể tunnel yêu cầu (và dữ liệu tiếp theo, nếu yêu cầu được chấp nhận) đến thiết bị VPN
trên mạng từ xa. Kết nối đến các thiết bị VPN từ xa sử dụng kết nối quay số đầu tiên
đến ISP’s NAS để thiết lặp một tunnel giữa hai thiết bị VPN thông quan Internet hoặc
các mạng trung gian khác.
Không giống những yêu cầu cho các phiên kết nối VPN từ xa, yêu cầu cho một
phiên VPN đến một mạng cục bộ không yêu cầu một kết nối đến ISP’s NAS. Cả client

và server đều đã được kết nối về mặt vật lý, việc tạo ra một kết nối đến ISP’s NAS là
không cần thiết. Client, trong trường hợp này, chỉ yêu cầu các phiên kết nối quay số
bằng thiết bị VPN trên server.
Khi các gói dữ liệu yêu cầu định tuyến cho một yêu cầu từ xa và một yêu cầu kết
nối cục bộ khác nhau, gói dữ liệu được gắn kèm với 2 yêu cầu được xử lý khác nhau.
Trang 23


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
Gói dữ liệu PPTP đến một server cục bộ mà được đặt trên thiế bị vật lý trung gian gắn
kèm card mạng của PPTP client. Ngược lại, gói dữ liệu PPTP đến remote server được
định tuyến thông qua phương tiện truyền thông vật lý được gắn kèm trong thiết bị
thông tin, chẳng hạn như router
2.2.3.2. PPTP Servers
PPTP Servers là những nút mạng hổ trợ PPTP và có khả năng duy trì cá
c
yêu cầu cho các phiên VPN từ những nút khác (từ xa hoặc nội bộ). Để đáp lại những
yêu cầu từ xa, những server phải hổ trợ khả năng định tuyến
2.2.3.3. PPTP Network Access Servers (NASs)
PPTP NASs được đặt tại nhà cung cấp dịch vụ ISP và cung cấp kết nối Internet
đến các client sử dụng PPP để quay số. Khả năng có nhiều client đồng thời đưa ra yêu
cầu phiên một VPN là rất cao, những server phải có khả năng hổ trợ đồng thời nhiều
client. Hơn nữa, PPTP client không bị hạn chế với các hệ điều hành không phải của
Microsoft. Do đó, PPTP NASs có khả năng xữ lý dùng nhiều hệ điều hành khác nhau
như Microsoft's Windows, Unix, và Apple's
2.2.4.Quá trình xữ lý PPTP
PPTP tận dụng 3 quá trình xữ lý để bảo đảm cho thông tin liên lạc PPTP thông
qua môi trường không an toàn. Những quá trình đó là :
• Quá trình thiết lặp kết nối PPP
• Điều khiển kết nối

• PPTP tunneling và trao đổi dữ liệu
2.2.4.1 Điều khiển kết nối PPTP
Sau khi kết nối PPP giữa PPTP client và server được thiết lặp, quá trình điều
khiển PPTP bắt đầu. Như hình 5-7, PPTP connection control được thiết lặp dựa trên cơ
sở địa chỉ IP của client và server, sử dụng cổng TCP động và chiếm giữ cổng TCP
1723. Sau khi quá trình điều khiển kết nối được thiết lặp, các thông tin điều khiển và
quản lý sẽ được trao đổi giữa các bên có liên quan trong quá trình giao tiếp. Những
thông tin đảm nhiệm vai trò bảo trì, quản lý và kết thúc PPP tunnel. Những thông điệp
này là những thông điệp có định kỳ bao gồm "PPTP-Echo-Request, PPTP-EchoReply" dùng để giúp đỡ trong việc dò tìm các kết nối PPTP hư hỏng giữa server và
client.

Trao đổi các thông điệp điều khiển PPTP trên một kết nối PPP

Trang 24


ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010
2.2.4.2 Quá trình tạo đường hầm dữ liệu và xữ lý PPTP.
Một gói dữ liệu PPTP phải trãi qua nhiều giai đoạn đóng gói, bao gồm những giai
đoạn sau:
1. Quá trình đóng gói dữ liệu. Thông tin nguyên bản (tối đa) được mã hóa và
được đóng gói bên trong một PPP frame. Một PPP header được thêm vào frame.
2. Quá trình đóng gói các PPP frame. Tổng hợp các PPP frame sau đó đóng gói
bên trong một Generic Routing Encapsulation (GRE) đã được sửa đổi. GRE header
chứa trường 4-byte Acknowledgement và một bit Acknowledgement hồi đáp. Ngoài
ra, trường khóa trong GRE frame được thay thế bằng trường 2 byte long gọi chiều dài
tối đa và 2 byte long được xem là ID. PPTP client xây dựng những trường này khi nó
tạo ra PPTP tuunel.
3. Quá trình đóng gói GRE. Kết tếp, một IP header đã được đóng gói bên trong
gói GRE được thêm vào PPP frame. Phần IP header này chứa dựng địa chỉ IP nguồn

của PPTP client và đích của server.
4. Quá trình đóng gói tầng Data Link. PPTP là một giao thức tạo đường hầm nằm
ở tầng 2. Vì vậy, phần header của Data Link và phần đuôi giữ vai trò quan trọng trong
việc tạo đường hầm cho dữ liệu. Trước khi được đặt vào môi trường truyền thông, tầng
Data Link thêm phần đầu và đuôi của nó vào gói dữ liệu. Nếu gói dữ liệu được truyền
qua PPTP tunnel cục bộ, gói dữ liệu được đóng gói bằng phần đầu và đuôi theo công
nghệ LAN (như Ethernet). Ơû một khía cạnh khác, nếu tunnel được đáp lại thông qua
một kết nối WAN, phần đầu và đuôi mà được thêm vào gói dữ liệu một lần nữa thì
không thay đổi.

Quá trình hình thành dữ liệu đường hầm PPTP
2.2.5 .Bảo mật trong PPTP
PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ
này bao gồm các dịch vụ sau :
• Mã hóa và nén gữ liệu.
• Thẩm định quyền (Authentication)
• Điều khiển truy cập (Access control)
Trang 25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×