Tải bản đầy đủ (.doc) (91 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tìm hiểu về VPN và triển khai hệ thống mạng VPN truy cập từ xa

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (647.49 KB, 91 trang )

riêng
chuyờn

NỘI DUNG
Ph ần 1Các v ấn đề t ổng quan c ủa VPN Các v ấn đề t ổng quan c ủa VPN
............................................................................................................................... 7
Khái quát v ề m ạng riêng ảo ........................................................................ 7
1.1. Thành phần của kết nối VPN...............................................................................................8
1.1.1. Máy phục vụ VPN..................................................................................................................8
1.1.2. Máy khách VPN......................................................................................................................8
1.1.3. Đường hầm...............................................................................................................................8
1.1.4. Kết nối VPN.............................................................................................................................9
1.1.5. Các giao thức tuyến truyền...................................................................................................9
1.1.6. Tunneled data..........................................................................................................................9
1.1.7. Truyền liên mạng...................................................................................................................9
1.2. Các kết nối VPN.........................................................................................................................9
1.2.1. Kết nối VPN truy cập từ xa..................................................................................................10
1.2.2. Kết nối VPN theo kiểu Router-to-Router..........................................................................10
1.3. Các tính chất của mạng riêng ảo.............................................................................10
1.3.1. Đóng gói.................................................................................................................................10
1.3.2. Xác thực..................................................................................................................................11
1.3.3. Mã hoá dữ liệu......................................................................................................................11
1.3.4. Phân phối địa chỉ và tại máy phục vụ................................................................................11
1.4. Các kết nối dựa trên Internet và Intranet..........................................................12
1.4.1. Các kếtnối VPN trên vào Internet......................................................................................12
1.4.2. Truy cập từ xa dựa trên Internet.........................................................................................12
1.4.3. Kết nối đến các mạng khác qua Internet...........................................................................13
1.4.4. Connecting Networks Using Dedicated WAN Links......................................................13
1.4.5. Kết nối đến các mạng sử dụng các liên kết Dial-Up........................................................13
1.4.6. Các kết nối VPN dựa vào intranet......................................................................................14
1.4.7. Truy cập từ xa qua mạng nội bộ.........................................................................................14


1.4.8. Kết nối các mạng qua Intranet............................................................................................15
1.5. Quản lý mạng riêng ảo......................................................................................................15
1.5.1. Quản lý người sử dụng.........................................................................................................16
1.5.2. Quản lý địa chỉ và tên của VPN server..............................................................................16
1.5.3. Quản lý truy cập...................................................................................................................16
1.5.4. Quản lý xác thực...................................................................................................................17
1.5.5. Xác thực của RADIUS...........................................................................................................17
1.5.6. Quản lý tài account...............................................................................................................17
1.5.7. Quản lý mạng........................................................................................................................18
Giao th ức Point-to-Point Tunneling Protocol - PPTP ...................... 19
1.6. Duy trì các tuyến truyền với kết nối điều khiển PPTP.....................................20
1.7. PPTP Data Tunneling..........................................................................................................21
1.7.1. Đóng gói PPP frame.............................................................................................................22
1.7.2. Đóng gói các gói tin GRE....................................................................................................23
1.7.3. Đóng gói ở tầng Data-Link..................................................................................................23
1.7.4. Xử lý dữ liệu của PPTP được truyền theo các tuyến........................................................23
Các gói tin PPTP và kiến trúc mạng Windows 2000................................................................23
B ảo m ật VPN ...................................................................................................... 25
1.8. Sự xác nhận người sử dụng với PPP................................................................................25
1.9. Mã hoá với MPPE.....................................................................................................................25
1.10. Lọc gói tin PPTP.....................................................................................................................25


Địa ch ỉ và định tuy ến cho các k ết n ối VPN .............................................. 27
1.11. Các kết nối VPN truy cập từ xa.....................................................................................27
1.11.1. Các địa chỉ IP và quay số máy khách VPN.....................................................................27
1.11.2. Các tuyến truyền mặc định và các Dial-up Client.........................................................28
1.11.3. Các tuyến truyền ngầm định và các VPNs khác qua Internet.....................................29
1.11.4. Địa chỉ chung........................................................................................................................31
1.11.5. Địa chỉ riêng.........................................................................................................................31

1.11.6. Địa chỉ nạp chồng và không hợp lệ..................................................................................31
1.12. Các kết nối VPN từ Router đến Router VPN...........................................................32
1.12.1. Mạng riêng ảo dựa vào Router-to-Router tạm thời và lâu dài....................................33
1.12.2. Các kết nối VPNs sử dụng Dial-Up ISP...........................................................................33
1.12.3. Cấu hình kết nối VPN yêu cầu tại bộ định tuyến của chi nhánh văn phòng...........34
1.12.4. Cấu hình corporate office router.....................................................................................34
1.12.5. Định tuyến tĩnh và động.....................................................................................................36
Khái quát v ề truy ền theo tuy ến .............................................................. 37
1.13. Giao thức Tunneling........................................................................................................37
Cách làm việc của Tunneling.......................................................................................................37
1.13.1. Giao thức Tunneling và yêu cầu cơ bản..........................................................................37
1.14. Giao thức Point-to-Point (PPP)....................................................................................38
1.14.1. Tạo liên kết PPP..................................................................................................................38
1.14.2. Xác nhận người sử dụng....................................................................................................39
1.14.3. Điều khiển PPP Callback....................................................................................................40
1.14.4. Triệu gọi giao thức tầng Mạng (Network Layer Protocols)..........................................40
1.14.5. Pha truyền dữ liệu..............................................................................................................40
1.15. Giao thức Point-to-Point Tunneling (PPTP)........................................................40
1.16. Giao thức Tunneling lớp thứ 2...................................................................................41
1.17. Mô hình đường ống sử dụng giao thức bảo mật IP (IPSec).............................41
1.18. Kiểu tuyến truyền (Tunnel)..........................................................................................42
1.18.1. Tuyến truyền tù nguyện....................................................................................................42
1.18.2. Tuyến truyền bắt buộc.......................................................................................................42
M ạng riêng ảo và Firewalls ....................................................................... 43
1.19. Cấu hình VPN Server and Firewall........................................................................43
1.19.1. VPN Server ở phía trước Firewall....................................................................................43
1.19.2. Lọc gói tin trong PPTP.......................................................................................................44
1.19.3. VPN Server nằm sau Firewall...........................................................................................45
1.19.4. Cáo bộ lọc PPTP..................................................................................................................46
Gi ải đáp nh ững th ắc m ắc v ề VPNs ................................................................ 47

1.20. Những vấn đề khác thường của mạng riêng ảo.................................................47
1.20.1. Một yêu cầu kết nối bị từ chối mà đáng ra nó phải được chấp nhận..........................47
1.20.2. Không thể truy cập đến các vùng ngoài tầm của VPN server.....................................48
1.20.3. Không thể thiết lập một tuyến truyền.............................................................................49
1.21. Các công cụ sửa lỗi.............................................................................................................50
1.21.1. Những lý do không biết rõ................................................................................................50
1.21.2. Giám sát mạng....................................................................................................................50
1.21.3. Ghi lại khác tin và dũ tỡm trong PPP..............................................................................51
Ph ần 2 h ệ th ống M ạng VPN truy c ập t ừ xa ............................................... 52
Gi ới thi ệu .......................................................................................................... 52
Các thành ph ần c ủa m ạng VPN truy c ập t ừ xa ....................................... 55
1.22. VPN client...............................................................................................................................55
1.22.1. Trình quản lý kết nối.........................................................................................................56
1.22.2. Đăng nhập một lần..............................................................................................................58
1.22.3. Những điều cần lưu ý khi cấu hình một VPN client.....................................................59


1.23. Cơ sở hạ tầng mạng Internet.........................................................................................59
1.23.1. Tên của VPN server............................................................................................................59
1.23.2. Khả năng kết nối đến VPN server....................................................................................60
1.23.3. Các VPN server và cấu hình firewall..............................................................................60
1.24. Các giao thức xác thực..................................................................................................61
1.24.1. Lựa chọn phương thức xác thực........................................................................................62
1.25. Các giao thức VPN..............................................................................................................62
1.25.1. Point-to-Point Tunneling Protocol....................................................................................62
1.25.2. Layer Two Tunneling Protocol with IPSec......................................................................62
1.25.3. Lựa chọn giữa PPTP và L2TP............................................................................................63
1.26. VPN Server...............................................................................................................................64
1.26.1. Cấu hình cho VPN Server.................................................................................................65
1.27. Hạ tầng mạng Intranet...................................................................................................66

1.27.1. Chuyển đổi tên....................................................................................................................66
1.27.2. Chuyển đổi tên để truy cập đến các tài nguyên............................................................67
1.28. Routing.....................................................................................................................................68
1.28.1. Đinh tuyến và các VPN server đa năng...........................................................................70
1.28.2. Hạ tầng dịch vụ định tuyến...............................................................................................71
1.29. Hạ tầng dịch vụ AAA...........................................................................................................72
1.29.1. Các chính sách truy cập từ xa..........................................................................................73
1.29.2. Ngăn chặn truyền khác phát đi từ VPN client...............................................................74
1.29.3. Một số điều cần lưu ý đối với hạ tầng dịch vụ AAA......................................................75
Tri ển khai h ệ th ống truy c ập t ừ xa PPTP ................................................. 77
1.30. Triển khai hạ tầng dịch vụ thẻ chứng nhận........................................................77
1.30.1. Triển khai các thẻ chứng nhận máy.................................................................................77
1.30.2. Triển khai hệ thống smart card.........................................................................................78
1.30.3. Triển khai các thẻ chứng nhận người sử dụng................................................................78
1.31. Triển khai hạ tầng dịch vụ Internet........................................................................79
1.31.1. Đặt các VPN server vào hệ thống mạng bao quát của Internet...................................79
1.31.2. Cài đặt Windows 2000 Server trên các VPN server và cấu hình kết nối Internet. . .79
1.31.3. Bổ sung các bản ghi vào Internet DNS............................................................................80
1.32. Triển khai hạ tầng dịch vụ AAA...................................................................................80
1.32.1. Cấu hình dịch vụ Active Directory cho các account người sử dụng hay các nhóm
làm việc............................................................................................................................................80
1.32.2. Cấu hình IAS server chính trên một trình điều khiển domain.................................80
1.32.3. Cấu hình một IAS server thứ cấp trên một trình điều khiển domain khác.............81
1.33. Triển khai các VPN Server.............................................................................................81
1.33.1. Cấu hình kết nối của VPN server với mạng nội bộ.......................................................82
1.33.2. Chạy trình Routing and Remote Access Server Setup Wizard...................................82
1.34. Hạ tầng mạng Intranet...................................................................................................83
1.34.1. Cấu hình cho việc định tuyến của VPN server..............................................................83
1.34.2. Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào
mạng nội bộ của tổ chức không.....................................................................................................83

1.34.3. Cấu hình việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet..............83
1.35. Triển khai các VPN Client.............................................................................................84
1.35.1. Trực tiếp cấu hình các VPN client...................................................................................84
1.35.2. Cấu hình các gói tin CM với trình CMAK....................................................................84
Tri ển khai h ệ th ống truy c ập t ừ xa L2TP .................................................. 85
1.36. Triển khai hạ tầng dịch vụ thẻ chứng nhận........................................................85
1.36.1. Triển khai các thẻ chứng nhận máy.................................................................................85
1.36.2. Triển khai hệ thống smart card.........................................................................................86
1.36.3. Triển khai các thẻ chứng nhận người sử dụng................................................................86
1.37. Triển khai hạ tầng dịch vụ Internet........................................................................86
1.37.1. Đặt các VPN server vào hệ thống mạng bao quát của Internet...................................87
1.37.2. Cài đặt Windows 2000 Server trên VPN server và cấu hình các kết nối Internet. . .87
1.37.3. Bổ sung các bản ghi vào Internet DNS............................................................................87
1.38. Triển khai hạ tầng dịch vụ AAA...................................................................................88
1.38.1. Cấu hình dịch vụ Active Directory cho các account người sử dụng hay các nhóm
làm việc............................................................................................................................................88


1.38.2. Cấu hình IAS server chính trên một trình điều khiển domain.................................88
1.38.3. Cấu hình một IAS server thữ cấp trên một trình điều khiển domain khác.............89
1.39. Triển khai các VPN Server.............................................................................................89
1.39.1. Cấu hình kết nối của VPN server với mạng nội bộ.......................................................89
1.39.2. Chạy trình Routing and Remote Access Server Setup Wizard...................................90
1.40. Hạ tầng hệ thống mạng Intranet..............................................................................91
1.40.1. Cấu hình cho việc định tuyến của VPN server..............................................................91
1.40.2. Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào
mạng nội bộ của tổ chức không.....................................................................................................91
1.40.3. Cấu hình việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet..............91
1.41. Triển khai các VPN Client.............................................................................................92
1.41.1. Trực tiếp cấu hình các VPN client...................................................................................92

1.41.2. Cấu hình các gói tin CM với trình CMAK....................................................................92
Tài li ệu tham kh ảo ......................................................................................... 93

Các giải pháp cho công nghệ VPN trên
Windows 2000


Phần 1Các vấn đề tổng quan của VPN

Các vấn đề tổng

quan của VPN
Khái quát về mạng riêng ảo
Một mạng riêng ảo (VPN) là một sự mở rộng của mạng riêng mà bao gồm các liên kết
qua việc chia sẻ hoặc mạng công cộng như Internet. Với một VPN bạn có thể gửi dữ
liệu giữa hai máy tính qua chia sẻ tài nguyên hoặc Internet công cộng theo một kiểu
cạnh tranh với các tính năng của liên kết riêng điểm nối điểm. Việc cấu hình và tạo ra
mạng riêng ảo được xem như là mạng riêng ảo.
Để cạnh tranh với liên kết điểm nối điểm, dữ liệu được đóng gói, với một phần header
cung cấp khác tin về tuyến đoạn cho phép nó đi qua các chia sẻ tài nguyên hoặc mạng
internet công cộng để tới đích. Để cạnh tranh với liên kết riêng, dữ liệu gửi đi được mã
hóa cẩn mật. Các gói mà bị chặn chia sẻ hoặc mạng chung không thể đọc được không
có các khóa đó mã hóa. Liên kết ở đó dữ liệu riêng được đóng gói và mã hóa được xem
như là một kết nối mạng riêng ảo.

Hình 1 : Minh hoạ khái niệm logic của mạng riêng ảo.
Các kết nối VPN cho phép người sử dụng có thể làm việc tại nhà hoặc trên đường nếu
nhận được một kết nối từ xa tới một máy phục vụ sử dụng cơ sở hạ tầng được cung cấp
7



bởi mạng công cộng như là Internet. Từ viễn cảnh của người sử dụng, VPN là một kết
ố điểm với điểm giữa máy tính, Máy khách VPN, máy phục vụ tổ chức, và máy phục vụ
VPN. Cơ sở hạ tầng đóng đắn của việc chia sẻ hoặc mạng công cộng là không thích hợp
bởi vì nó xuất hiện hợp lý như là dữ liệu được gửi qua một liên kết riêng chuyên dụng.
Các kết nối VPN còng cho phép các tổ chức định tuyến kết nối với các văn phòng xa
nhau hoặc với các tổ chức khác qua mạng công cộng như là intenet hoạt động như một
liên kết WAN chuyên dụng.
Với cả hai kết nối từ xa và kết nối đã được xác định, các kết nối VPN cho phép một tổ
chức hoạt động thương mại trong một khoảng cách xa hoặc các đường leased line tới
các nhà cung cấp dịch vụ Internet.

1.1. Thành phần của kết nối VPN
Một kết nối VPN Windows NT 4.0 bao gồm các thành phần được minh hoạ trong hình
2.

1.1.1. Máy phục vụ VPN
Một máy tính mà chấp nhận các kết nối VPN từ các máy khách VPN. Một máy phục vụ
VPN có thể cung cấp một kết nối VPN truy cập từ xa hoặc kết nối VPN từ tuyến đoạn
này tới tuyến đoạn khác. Để có nhiều thồng tin hơn xem phần Các kết nối VPN.

1.1.2. Máy khách VPN
Một máy tính khời đầu một kết nối VPN từ một máy phục vụ. Một máy khách VPN có
thể nhận được một kết nối VPN từ xa hoặc một tuyến đoạn mà nhận từ kết nối VPN
router-to-router. Các máy tính cài đặt Microsoftđ Windows NT version 4.0, Microsoftđ
Windows 95, và Microsoftđ Windowsđ 98 đều có thể tạo các kết nối VPN từ xa tới một
máy phục vụ VPN NT. Windows NT Server 4.0-based computers running the Routing
and Remote Access Service (RRAS) có thể tạo các kết nối VPN router-to-router tới
một máy Windows NT 4.0 với một máy phục vụ VPN dựa vào dịch vụ RAS. Các máy
khách VPN cũng có thể là bất kỳ máy khách nào dựa vào giao thức đường hầm điểm tới

điểm.

1.1.3. Đường hầm
Phần của kết nối mà ở đó dữ liệu được đóng gói.
8


1.1.4. Kết nối VPN
Phần của kết nối mà dữ liệu của bạn được mã hóa. Với các kết nối VPN bảo mật, dữ
liệu được mã hóa và đóng gói cùng với các phần của kết nối.
Chú ý Nó có thể tạo ra một đường hầm và gửi dữ liệu qua đường hầm mà không cần
mã hóa. Đõy không phải là kết nối VPN bởi vì dữ liệu riêng được gửi qua mạng chia sẻ
hoặc mạng công cộng trong một dạng không thể mã hóa và đọc dễ dàng.

1.1.5. Các giao thức tuyến truyền
Sử dụng để quản lý các tuyến truyền và dữ liệu riêng được đóng gói. (Dữ liệu mà được
tuyến truyền hoá cũng phải được mã hóa thành kết nối VPN).

1.1.6. Tunneled data
Dữ liệu thường xuyên được gửi qua liên kết điểm tới điểm riêng.

1.1.7. Truyền liên mạng
Mạng chia sẻ hoặc công cộng được đi qua bởi các dữ liệu được đóng gói. Với Windows
2000, lưu thụng liên mạng luụn dựa vào IP. Lưu khác liên mạng có thể là internet hoặc
mạng nội bộ dựa vào IP riêng.

Hình 2 Các thành phần của một kết nối VPN

1.2. Các kết nối VPN
Tạo kết nối VPN gần tương tự với việc thiết lập kết nối điểm tới điểm sử dụng mạng

quay số và các thủ tục định tuyến yêu cầu xử lý. Có hai dạng kết nối VPN: kết nối VPN
truy cập từ xa và kết nối VPN dựa vào router-to-router.

9


1.2.1. Kết nối VPN truy cập từ xa
Kết nối VPN truy cập từ xa được thực hiện bởi một máy khách truy cập từ xa, một máy
tính đơn, và kết nối tới mạng riêng. Máy phục vụ VPN cung cấp truy cập tới các tài
nguyên của máy phục vụ VPN hoặc tới toàn bộ mạng mà máy phục vụ ở đó. Các gói
được gửi từ máy khách từ xa qua kết nối VPN nguyên thuỷ tại các máy khách từ xa.
Máy khách truy cập từ xa ( máy khách VPN ) xác nhận chính nó máy phục vụ truy cập
từ xa ( máy phục vụ VPN ) và sự xác nhận qua lại , máy phục vụ tù xác nhận tới máy
khách.

1.2.2. Kết nối VPN theo kiểu Router-to-Router
Một kết nối VPN dựa vào router-to-router được thực hiện bởi một bộ định tuyến và kết
nối hai phần của mạng riêng. Máy phục vụ VPN cung cấp kết nối định tuyến tới mạng
mà máy phục vụ VPN ở đó. Trên kết nối VPN dựa vào router-to-router, các gói gửi từ
bộ định tuyến qua kết nối VPN đặc biệt không bắt đầu từ các bộ định tuyến.
Bộ định tuyến gọi (máy khách VPN) tự xác nhận tới các bộ định tuyến trả lời (máy phục
vụ VPN), và xác nhận qua lại lẫn nhau, bộ định tuyến trả lời xác nhận chính nó tới bộ
định tuyến gọi.

1.3. Các tính chất của mạng riêng ảo
Kết nối VPN sử dụng PPTP có các tính chất sau :


Đóng gói.




Xác thực



Mã hoá dữ liệu



Đánh địa chỉ và phân bổ tên server.

1.3.1. Đóng gói
Công nghệ VPN cung cấp một cách đóng gói dữ liệu riêng với một header mà cho phép
nó truyền qua liên mạng.

10


1.3.2. Xác thực
Với kết nối VPN được thiết lập, máy phục vụ VPN xác nhận dự định kết nối của máy
khách VPN và kiểm tra xem máy khách VPN có được sự cho phép thích hợp không.
Nếu sự xác nhận qua lại được sử dụng, máy khách VPN cũng xác nhận máy phục vụ
VPN, cung cấp các biện pháp bảo vệ chống lại các máy phục vụ VPN giả mạo.

1.3.3. Mã hoá dữ liệu
Để đảm bảo sự an toàn của dữ liệu khi nó truyền qua liên mạng chia sẻ hoặc công cộng,
nó được mã hóa bởi các bộ gửi và giải mã bởi các bộ nhận. Quá trình mã hóa và giải mã
phụ thuộc vào cả hai bộ gửi và bộ nhận và đều biết khóa mã chung.
Các gói bị chặn được gửi qua kết nối VPN trong lưu khác liên mạng không thể hiểu

được bởi bất cứ ai mà không có khóa mã chung. Độ dài của khóa mã là một tham số bảo
mật quan trọng. Công nghệ tính toán có thể được sử dụng để xác nhận khoá chung. Như
các công nghệ yêu cầu nhiều khả năng tính toán và thời gian tính toán khi các khóa mã
trở nmờn lớn hơn. Bởi vậy, rất quan trọng khi sử dụng kích thước lớn nhất có thể được
của khoá.
Hơn nữa, nhiều thụnmg tin được mã hóa với cùng một khoá, sẽ dễ dàng giải mã các dữ
liệu được mã hóa. Với một vài kỹ thuật mã hóa, ta có thể lựa chọn để cấu hình các khóa
mã khác thường được thay đổi trong khi kết nối.

1.3.4. Phân phối địa chỉ và tại máy phục vụ
Khi một máy phục vụ VPN được cấu hình, nó tạo ra một giao diện ảo mà ở đó thể hiện
tất cả các kết nối VPN được tạo ra. Khi một máy khách VPN hoàn thành một kết nối
VPN, một giao diện ảo được tạo ra trên máy khách VPN mà thể hiện một giao diện kết
nối tới máy phục vụ VPN. Giao diện ảo trên máy khách VPN được kết nối tới giao diện
ảo trên máy phục vụ VPN, tạo ra kết nối VPN theo kiểu point-to-point.
Các giao diện ảo trên máy khách VPN và máy phục vụ VPN phải được thiết khai báo
các địa chỉ IP. Việc khai báo các địa chỉ đó được thực hiện bởi máy phục vụ VPN. Theo
mặc định, máy phục vụ VPN chứa các địa chỉ IP cho chính nó và của các máy khách
VPN sử dụng Dynamic Host Configuration Protocol (DHCP). Bạ cũng có thể cấu hình
một vùngcác địa chỉ IP tĩnh.

11


Sự phân phối tên server, sự phân phối của hệ thống tên miền (DNS) và Windows
Internet Name Service (WINS) servers, cũng xảy ra trong khi kết nối VPN hoàn thỏnh
các quá trình. Máy khách VPN nhận được các địa cjỉ IP của hệ thống tên miền và các
server WINS từ các phục vụ VPN cho mạng nội bộ nơi mà máy phục vụ VPN gắn vào.

1.4. Các kết nối dựa trên Internet và Intranet

Các kết nối VPN có thể được sử dụng bất cứ khi nào một kết nối điểm tới điểm bảo mật
là cần thiết để kết nối tới người sử dụng hoặc mạng. Kết nối VPN điển hình đồng thời
dựa vào nền tảng của Internet và intranet.

1.4.1. Các kếtnối VPN trên vào Internet

Hình 3: Kết nối VPN kết nối một máy khách từ xa tới một mạng nội bộ riêng

Sử dụng một kết nối VPN dựa vào internet bạn có thể tránhcác khoảng cách xa và các
cuộc trao đổi điện thoại theo kiểu 1-800 khi tận dụng các ưu điểm và khả năng toàn cầu
của internet.

1.4.2. Truy cập từ xa dựa trên Internet
Hơn là một máy khách truy cập từ xa phải có một kết nối dài hoặc các cuộc gọi theo
kiểu 1-800 tới tổ chức hoặc máy phục vụ truy cập outsource network (NAS), máy khách
có thể gọi tới một nhà cung cấp dịch vụ internet địa phương. Bằng cách sử dụng kết nối
vật lý đã được xác lập bởi ISP địa phương, máy khách truy cập từ xa bắt đầu một kết
nối VPN qua Internet tới máy phục vụ VPN. Kết nối VPN đã được tạo ra, máy khách
12


truy cập từ xa có thể truy cập tới các tài nguyên của mạng nội bộ riêng. Hình 3 minh
hoạ truy cập từ xa qua Internet.

1.4.3. Kết nối đến các mạng khác qua Internet

Hình 4 Một VPN kết nối site từ xa qua Internet

Khi các mạng được kết nối qua Internet ( minh hoạ trong hình 4 ), một bộ định tuyến
hướng các gói tin tới bộ định tuyến khác qua kết nối VPN. Tới các bộ định tuyến, VPN

thụ hiện như một tầng liên kết dữ liệu.

1.4.4. Connecting Networks Using Dedicated WAN Links
Hơn là việc sử dụng một liên kết WAN chuyên dụng ở khoảng cách xa đắt tiền giữa các
văn phòng, các bộ đinh tuyến được kết nối tới Internet sử dụng các liên kết WAN
chuyên dụng tới ISP địa phương. Một kết nối VPN router-to-router được bắt đầu bởi bộ
định tuyến khác qua Internet. Tại một kết nối, các bộ định tuyến có thể hướng trực tiếp
hoặc giao thức định tuyến truyền qua lại lẫn nhau sử dụng kết nối VPN.

1.4.5. Kết nối đến các mạng sử dụng các liên kết Dial-Up
Hơn là có một bộ định tuyến tại các chi nhánh để thực hiện các kết nối từ khoảng cách
xa hoặc outsourced NAS, bộ định tuyến tại chi nhánh văn phòng gọi tới ISP địa phương.
Sử dụng các kết nối đã thiết lập tới ISP địa phương, một kết nối VPN dựa vào router-torouter được bắt đầu tại bộ định tuyến ở các chi nhánh tới bộ định tuyến tại tổ chức qua
Internet. Bộ định tuyến tại tổ chức hoạt động như một máy phục vụ VPN, phải được kết
nối tới ISP địa phương sử dụng liên kết WAN chuyên dụng.
Đế có nhiều khác tin hơn về cấu hình các kết nối VPN kết nối quay số tới ISP địa
phương hãy xem phần địa chỉ và định tuyến cho mạng riêng ảo ở phần sau.
13


Có thể các văn phòng kết nối tới Internet sử dụng liên kết WAN theo kiểu quay số. Tuy
nhiên, điều này chỉ klhả thi nếu các nhà cung cấp dịch vụ Internet cung cấp định tuyến
yêu cầu quay số tới các khách hàng. ISP gọi tới các bộ định tuyến khách hàng khi một
gói IP được phân phát tới khách hàng. Định tuyến yêu cầu quay số tới các khách hàng
không được cung cấp rộng rãi bới các nhà cung cấp dịch vụ.

1.4.6. Các kết nối VPN dựa vào intranet
Kết nối VPN dựa vào mạng nội bộ tận dụng các ưu điểm của kết nối IP trong một tổ
chức mạng nội bộ.


1.4.7. Truy cập từ xa qua mạng nội bộ
Trong một vài tổ chức mạng nội bộ, dữ liệu của một phòng, như là một tại phòng nhân
sự, dữ liệu quá quan trọng đến nỗi mà các vùng mạng của phòng không được kết nối vật
lý tới phần còn lại của tổ chức mạng nội bộ. Trong khi điều này bảo vệ dữ liệu của
phũng, nó tạo ra các vấn đề truy cập khác tin cho những người sử dụng không được kết
nối vật lý tới vùng mạng riêng biệt.

Hình 5: Một kết nối VPN cho phép truy cập từ xa tới mạng bảo mật qua một mạng nội bộ.

Các kết nối VPN cho phép các vùng mạng quan trọng của phòng được kết nối vật lý tới
tổ chức mạng nội bộ nhưng được tách ra bởi máy phục vụ VPN. Máy phục vụ VPN
không cung cấp một kết nối định tuyến trực tiếp giữa mạng nội bộ và vùng mạng riêng
biệt. Những người sử dụng trên mạng nội bộ với sự cho phép thích hợp có thể thực hiện
một kết nối VPN truy cập từ xa với maý phục vụ VPN và có thể nhận được truy cập tới
các tài nguyên được bảo vệ của vùng mạng quan trọng. Hơn nữa, tất cả các giao tiếp
qua kết nối VPN được mã hóa với các dữ liệu một cách cẩn mật. Với những người sử
14


dụng mà không được phép thực hiện một kết nối VPN, vùng mạng riêng được đặt với
họ. Hình 5 minh hoạ truy cập từ xa qua mạng nội bộ.

1.4.8. Kết nối các mạng qua Intranet

Hình 6 Một kết nối VPN hai mạng qua một mạng nội bộ
Bạn cũng có thể kết nối hai mạng qua một mạng nội bộ sử dụng kết nôi VPN dựa vào
router-to-router. Loại kết nối VPN này có thể cần thiết, ví dụ, hai phòng trong các
vùngriêng biệt, dữ liệu của nó có độ nhạy cảm cao, phải giao tiếp với nhau. Cho ví dụ,
phòng tài chính có thể cần giao tiếp với phòng nhân sự để trao đổi khác tin về lương.
Phòng tài chính và phòng nhân sự được kết nối tới mạng nội bộ chung với các máy tính

mà có thể hoạt động như các máy khách VPN hoặc các máy phục vụ VPN. Một kết nối
VPN được thiết lập, những người sử dụng máy tính trên cùng một mạng có thể trao đổi
dữ liệu quan trọng qua mạng nội bộ chung. Hình 6 Minh hoạ các mạng kết nối qua một
mạng nội bé.

1.5. Quản lý mạng riêng ảo
Mạng riêng ảo phải được quản lý như bất kỳ mạng nào khác, và các vấn đề bảo mật
VPN, đặc biệt với các kết nối VPN qua Internet, phải được đánh địa chỉ một cách cần
thận. Hãy xem xét các câu hỏi sau:


Tài khoản dữ liệu người sử dụng được lưu trữ ở đâu?



Các địa chỉ được khai báo tới các máy khách VPN như thế nào?



Những ai được phép tạo kết nối VPN?



Máy phục vụ VPN xác nhận nhận dạng người sử dụng gắn với kết nối VPN như
thế nào?



Máy phục vụ VPN ghi lại hoạt động của mạng riêng ảo như thế nào?
15





Máy phục vụ VPN có thể được quản lý bằng cách sử dụng các giao thức và cơ
sở hạ tầng của quản lý mạng theo chuẩn công nghiệp như thế nào?

1.5.1. Quản lý người sử dụng
Bởi vì nó không thể cung cấp quyền quản trị để tỏch các tài khoản người sử dụng trên
các máy phục vụ riêng biệt với cùng một người sử dụng và cố gắng giữ chúng thực hiện
đồng thời, hầu hết các nhà quản trị thiết lập một cơ sở dữ liệu các tài khoản tai nơi điều
khiển miền quan trọng (PDC) hoặc trên một phục vụ người sử dụng quay số xác nhận từ
xa (RADIUS). Điều này cho phép máy phục vụ VPN gửi quyền uỷ nhiệm xác nhận thiết
bị xác nhận trung tâm. Cùng một tài khoản người sử dụng được dóng chom cả hai quay
số truy cập từ xa và truy cập từ xa theo kiểu VPN.

1.5.2. Quản lý địa chỉ và tên của VPN server
Máy phục vụ VPN phải có các địa chỉ IP có khả năng để phân phối chúng tới giao diện
ảo của máy phục vụ VPN và các máy khách VPN trong khi giao thức điều khiển IP
(IPCP) các pha dàn xếp của tiến trình khởi tạo kết nối. Địa chỉ IP được phân phối tới
máy khách VPN được khai báo trên giao diện ảo của máy khách VPN.
Với For Windows NT 4.0-dựa vào các máy phục vụ VPN, các địa chỉ IP được phân
phối tới các máy khách VPN được nhận qua DHCP theo mặc định. Bạn cũng có thể cấu
hình một vùng địa chỉ IP tĩnh.
Máy phục vụ VPN cũng phải được cấu hình với các địa chỉ DNS và máy phục vụ
WINS để phân phối tới máy khách VPN trong khi dàn xếp IPCP.

1.5.3. Quản lý truy cập
Quản lý truy cập các kết nối VPN từ xa với Windows NT 4.0 được thực hiện ua việc
cấu hình các tính chất quya số trên các tài khoản người sử dụng. Để quản lý truy cập từ

xa trên cơ sở người sử dụng riêng, có thể cho phép người sử dụng thiết lập các tính chất
quay số của những tài khoản người sử dụng đó mà cho phép tạo ra các kết nối truy cập
từ xa và biến đổi các tính chất của phục vụ truy cập từ xa hoặc các phục vụ định tuyến
và truy cập từ xa với các tham số cần thiết.

16


1.5.4. Quản lý xác thực
Phục vụ truy cập từ xa của Windows NT 4.0 sử dụng khả năng xác nhận của Windows
NT. Định tuyến của Windows NT 4.0 và phục vụ truy cập từ xa (RRAS) có thể được
cấu hình để sử dụng cả Windows NT và RADIUS khi nhà cung cấp xác nhận.

1.5.5. Xác thực của RADIUS
Nếu RADIUS được chọn và cấu hình như nhà cung cấp xác nhận trên máy phục vụ
VPN, sự uỷ nhiệm người sử dụng và các tham số của yêu cầu kết nối được gửi như một
chuỗi khác điệp yêu cầu RADIUS tới máy phục vụ RADIUS.
Máy phục vụ RADIUS nhận một yêu cầu kết nối người sử dụng từ máy phục vụ VPN
xác nhận người sử dụng từ cơ sở dữ liệu xác nhận của nó. Một máy phục vụ RADIUS
cũng có thể duy trì một vùng cơ sở dữ liệu trung tâm của các tính chất người sử dụng
thích hợp khác. Hơn nữa có một câu trả lời có không tới một yêu cầu xác nhận,
RADIUS có thể cung cấp khác tin về các tham số kết nối khác trên máy phục vụ VPN
tới người sử dụng như là thời gian lớn nhất của một phiên, khai báo địa chỉ IP tĩnh, ....
RADIUS có thể trả lời các yêu cầu xác nhận dựa vào cở dữ liệu riêng của nó, hoặc nó
có thể ở trước điểm cuối của một máy phục vụ cơ sở dữ liệu khác như là một máy phục
vụ kết nối cơ sở dư liệu mở (ODBC) hoặc một Windows NT 4.0 PDC. Gầm đáy có thể
được phân bổ trên cùng một máy tính như máy phục vụ RADIUS, hoặc ở một nơi nào
khác. Thêm vào, một máy phục vụ VPN có thể hoạt động như một máy khách proxy tới
một máy phục vụ RADIUS từ xa.
Giao thức RADIUS được miêu tả trong RFC 2138 và RFC 2139.


1.5.6. Quản lý tài account
Định tuyến và phục vụ truy cập từ xa trên Windows NT 4.0 có thể được cấu hình để sử
dụng RADIUS như một nhà cung cấp tài khoản. Các khác điệp tính toán RADIUS được
gửi tới máy phục vụ RADIUS để tích luỹ và phân tích sau.
Hầu hết các máy phục vụ RADIUS có thể được cấu hình để đặt các bản ghi yêu cầu xác
nhận vào một file tài khoản. Có một tập các khác điệp ( từ máy phục vụ truy cập từ xa
tới máy phục vụ RADIUS ) mà yêu cầu các bản ghi tài khoản tai lúc bắt đầu cuộc gọi,
kết thúc cuộc gọi, và tại các khoảng thời gian định trước trong cuộc gọi. một nhóm
17


thuộc các đảng thứ ba đã viết hoá đơn và kiểm tra các gói mà đọc các bản ghi tài khoản
RADIUS đó và tạo ra các báo cáo có ích khác nhau.

1.5.7. Quản lý mạng
Hoạt động của máy tính như một máy phục vụ VPN có thể tham gia vào một môi
trường giao thức quản lý mạng đơn giản (SNMP) như một đại lý SNMP nếu phục vụ
SNMP của Windows NT 4.0 được cài đặt. Máy phục vụ VPN ghi lại các khác tin quản
lý trong các đối tượng định nghĩa khác nhau Internet Management Information Base
(MIB) II, mà được cài đặt với phục vụ SNMP của Windows NT 4.0. các đối tượng
trong MIB II được công bố trong RFC 1213.

18


Giao thức Point-to-Point Tunneling Protocol - PPTP
Giao thức đường ngầm điểm tới điểm (PPTP) đóng gói các khung của giao thức điểm
tới điểm (PPP) trong một gói IP để truyền qua một liên mạng dựa vào IP như Internet
hoặc một mạng riêng.

PPTP sử dụng một kết nối TCP được biết như kết nối điều khiển PPTP được tạo ra, duy
trì, và hoàn thành đường ngầm và một phiờm bản biến đổi của Generic Routing
Encapsulation (GRE) để đóng gói các khung PPP như dữ liệu đường ngầm. Trọng tải
của các khung PPP đã được đóng gói có thể được mã hóa hoặc nén hoặc cả hai.
PPTP cho rằng khả năng của một IP liên mạng giữa một máy khách PPTP ( một máy
khách đường ngầm sử dụng giao thức đường ngầm PPTP ) và một máy phục vụ PPTP
(một máy phục vụ đường ngầm sử dụng giao thức đường ngầm PPTP ). Máy khách
PPTP có thể đã được gắn với một địa chỉ IP liên mạng mà có thể tới được máy phục vụ
PPTP, hoặc máy khách PPTP có thể phải quay số tới một máy phục vụ truy cập mạng
(NAS) để thiết lập kết nối IP như ở trong trường họp người sử dụng quay số internet.
Sự xác nhận xảy ra khi tạo kết nối VPN dựa vào PPTP sử dụng cùng những cơ chế xác
nhận như các kết nối PPP, như là Extensible Authentication Protocol (EAP), Microsoft
Challenge-Handshake Authentication Protocol (MS-CHAP), CHAP, Shiva Password
Authentication Protocol (SPAP), và Password Authentication Protocol (PAP). PPTP kế
thừa sự mã hóa hoặc nén hoặc cả hai của tải trọng PPP từ PPP. Với Windows 2000, cả
EAP-Transport Level Security (EAP-TLS) và MS-CHAP phải được sử dụng để các tải
trọng PPP được mã hóa sử dụng mã hóa điờmt tới điểm của Microsoft (MPPE).
MPPE chỉ cung cấp mã hóa liên kết, không phải là mã hóa end-to-end. Mã hóa end-toend là mã hóa dữ liệu giữa ứng dụng của máy khách và máy phục vụ hoặc các phục vụ
được truy cập bởi ứng dụng khách.
Với các máy phục vụ PPTP dựa vào internet, máy phục vụ PPTP là một máy phục vụ
VPN có khả năng PPTP với một giao diện trên internet và giao diện thứ hai trên mạng
nội bộ.

19


1.6. Duy trì các tuyến truyền với kết nối điều khiển PPTP
Kết nối điều khiển PPTP ở giữa địa chỉ IP của máy khách PPTP sử dụng phân bố các
cổng TCP động và địa chỉ IP của máy phục vụ PPTP sử dụng cổng TCP dành riêng là
1723. Kết nối điều khiển PPTP mang các điều khiển cuộc gọi PPTP và các khác điệp

quản lý mà được sử dụng để duy trì đường ngàm PPTP. Điều này bao gồm sự tryền của
các yêu cầu dội lại theo định kỳ của PPTP và các khác điệp trả lời lại của PPTP để dò ra
các kết nối lỗi giữa máy khách PPTP và máy phục vụ PPTP. Các gói kết nối điều khiển
PPTP bao gồm phần đầu IP, phần đầu của TCP, và một khác điệp điều khiển PPTP như
minh hoạ trên hình 7. Gói kết nối điều khiển PPTP trong hình 7 còng bao gồm phầm
đầu và cuối của tầng liên kết dữ liệu.

Hình 7 Gửi tin PPTP Control Connection

Bảng 1 liệt kê các khác điệp điều khiển PPTP nguyên thuỷ mà được gửi qua kết nối
điều khiển PPTP. Với tất cả các khác điệp điều khiển PPTP, đường ngầm PPTP đặc biệt
được định nghĩa bởi kết nối TCP.
Dạng khác điệp

Mục đích

Start-Control-Connection-

Được gửi bởi máy khách PPTP để hoàn thành kết nối điều

Request

khiển. Mỗi đường ngầm PPTP yêu cầu một kết nối điều
khiển được thiết lập trưopức bất kỳ các khác điệp PPTP
khác có thể được đưa ra.

Start-Control-Connection-

Được gửi bởi máy phục vụ PPTP để trả lời khác điệp yêu


Reply

cấu bắt đầu kết nối điều khiển.

Outgoing-Call-Request

Được gửi bởi máy khách PPTP để tạo ra một đường ngầm
PPTP. Bao gồm ty khác điệp Outgoing-Call-Request là
một Call-ID mà được sử dụng trong header của GRE để
định nghĩa việc truyền qua đường ngầm của môt đường
ngầm đặc biệt.
20


Outgoing-Call-Reply

Được gửi bởi máy phục vụ PPTP khi trả lời lại khác điệp
Outgoing-Call-Request.

Echo-Request

Được gửi bởi cả máy khách PPTP và máy phục vụ PPTP
như một cơ chế keep-alive. Nếu yêu cầu trả lại không
được trả lời, cuối cùng đường ngầm PPTP cũng kết thúc.

Echo-Reply

Trả lời cho yêu cầu lại. Chú ý : Yêu cầu lại của PPTP và
khác điệp trả lại không liên quan tới yêu cầu lại và các
khác điệp trả lại ICMP.


WAN-Error-Notify

Được gửi bởi máy phục vụ PPTP tới tất cả các máy khách
VPN để chỉ ra các trường hợp lỗi trên giao diện PPP của
máy phục vụ PPTP.

Set-Link-Info

Được gửi bởi máy khách PPTP hoặc máy phục vụ PPTP
để thiết lập các lựa chọn dàn xếp PPP.

Call-Clear-Request

Được gửi bởi máy khách PPTP chỉ ra rằng một đường
ngầm kết thúc.

Call-Disconnect-Notify

Được gửi bởi máy phục vụ PPTP khi yêu cầu xoá cuộc
gọi hoặc cho các lý do khác để chỉ ra rằng một đường
ngầm đã bị ngắt. Nếu máy phục vụ PPTP ngắt đường
ngầm, một khác báo ngừng kết nối cuộc gọi sẽ được gửi.

Stop-Control-Connection-

Được gửi bởi máy khách PPTP hoặc máy phục vụ PPTP

Request


để khác báo kết nối điều khiển bị ngắt.

Stop-Control-Connection-

Sử dụng để trả lời khác điệp yêu cầu dừng kết nối điều

Reply

khiển.

Với cấu trúc chính xác của các khác điệp kết nối điều khiển PPTP, xem phần PPTP
internet.

1.7. PPTP Data Tunneling
Dữ liệu đường ngầm PPTP được thực hiện qua nhiều mức độ đóng gói.

21


Hình 8 Dữ liệu PPTP được truyền theo các tuyến
Hình 8 cấu trúc của PPTP tunneled data.

1.7.1. Đóng gói PPP frame
Khởi đầu tải lượng PPP được mã hóa và đóng gói với một header PPP để tạo ra một
khung PPP. Khung PPP sau đó được đóng gói với header GRE bị biến đổi. GRE được
công bố trong RFC 1701 và RFC 1702 và được thiết kế để cung cấp một cơ chế đơn
giản, gọn nhẹ, mục đích chung để đóng gói dữ liệu và gửi qua liên mạng. GRE là một
giao thức khách của IP sử dụng giao thức IP 47.
Với PPTP, phần header GRE được biến đổi theo các cách sau :



A 32-bit Acknowledgement field is added.



Một bit được thừa nhận được sử dụng để chỉ ra rằng trường 32 bit được đưa ra
và rất quan trọng.



Trường khoá được thay thế với một trường tải trọng độ dài 16 bit và một trường
Call-ID 16 bit. Trường Call-ID được thiết lập bởi máy khách PPTP khi tạo ra
đường ngầm PPTP.



Một trường xác nhận 32 bit được thêm.

Trong phần header của GRE, dạng giao thức được thiết lập tới 0x880B, EtherType
đánh giá cho một khung PPP.

Chú ý : GRE thỉnh thoảng được sử dụng bởi các nhà cung cấp dịch vụ hướng các thụng
tinh định tuyến bên trong mạng của ISP. Để chặn các khác tin định tuyến không bị
hướng tới các bộ định tuyến xương sống của internet. Như một kết quả của quá trình lọc
này, các đường ngầm PPTP có thể được tao bằng cách sử dụng các khác điệp điều khiển
PPTP, nhưng dữ liệu đường ngầm PPTP không bị hướng tới. Nếu bạn nghi ngờ rằng
đay là một vấn đề, hãy liên lạc với ISP của bạn.

22



1.7.2. Đóng gói các gói tin GRE
Kết quả của GRE và PPP được đóng gói là sau khi đóng gói với một phần đầu IP chứa
địa chỉ IP nguồn và đích chính xác của máy khách PPTP và máy phục vụ PPTP.

1.7.3. Đóng gói ở tầng Data-Link
Được gửi trên liên kết LAN hoăc WAN, các gói IP cuối cùng đã được đóng gói với một
phần đầu và cuối với công nghệ của tầng liên kết dữ liệu của giao diện vật lý bên ngoài.
Ví dụ, khi một gói IP được gửi trên giao diện Ethernet, gói IP đó được đóng gói với
header và trailer Ethernet. Khi gói IP được gửi qua liên kết WAN điểm tới điểm như
một đường điện thoại tương tự hoặc ISDN, gói IP sẽ được đóng gói phần header và
trailer theo PPP.

1.7.4. Xử lý dữ liệu của PPTP được truyền theo các tuyến
Dựa vào việc nhận dữ liệu đường ngầm PPTP, máy khách PPTP hoặc máy phục vụ
PPTP :
1. Xử lý và loại bỏ phần header và trailer của liên kết dữ liệu
2. Xử lý và loại bỏ phần header của IP
3. Xử lý và loại bỏ phần header của GRE và PPP
4. Giải mã hoặc giải nén, hoặc cả hai của tải trọng PPP (nếu cần thiết)
5. Xử lý tải trọng cho việc nhận hoặc gửi tiếp

Các gói tin PPTP và kiến trúc mạng Windows 2000
Hình 9 minh hoạ phần mà dữ liệu đường ngầm lấy qua kiến trúc mạng Windows 2000
từ một máy khách VPN qua kết nối VPN truy cập từ xa sử dụng một modem tương tù.
Các bước sau đưa ra tiến trình này :

1. Một gói IP, IPX, hoặc khung NetBEUI được xác nhận bởi giao thức tương ứng
của nó tới giao diện ảo mà đại diện kờts nối VPN sử dụng NDIS.
2. NDIS xác nhận gói tới NDISWAN, mà mã hóa hoặc nén dữ liệu, hoặc cả hai, và

cung cấp phần header PPP chỉ bao gồm trường ID của giao thức PPP. Các
trường không có cờ và khung kiểm tra tuần tự (FCS) được thêm. Điều này cho
23


thấy rằng địa chỉ và các trường nén điều khiển được dàn xếp trong pha giao thức
điờự khiển liên kết (LCP) của tiến trình kết nối PPP.

Hình 9 PPTP Packet Development

3. NDISWAN xác nhận dữ liệu tới điều khiển giao thức PPTP, nơi mà đóng gói
các khung PPP với một phần đầu GRE. Trong phần đầu GRE, CAll-ID được
thiết lập tới các giá trị thích hợp để định nghĩa đường ngầm.
4. Trình điều khiển giao thức PPTP xác nhận các gói kết quả tới trình điều khiển
giao thức TCP/IP.
5. Trình điều khiển giao thức TCP/IP đóng gói dữ liệu đường ngầm PPTP với mộtk
phần header IP và đưa gói kết quả tới giao diện mà thực hiện kết nối quay số tới
nhà cung cấp dịch vụ internet địa phương sử dụng NDIS.
6. NDIS đưa các gói tới NDISWAN, mà cung cấp các phần header và trailer PPP.
7. NDISWAN đưa khung PPP kết quả tới trình điều khiển miniport WAN thích
hợp thực hiện quay số bằng phần cứng ( ví dụ, cổng không đồng bộ cho một kết
nối modem).
Chú ý : Có thể dàn xếp một kết nối PPP được mã hóa cho kết nối quay số với ISP. Điều
này là không cần thiết và không được yêu cầu bởi vì dữ liệu riêng được gửi đi, các
khung PPP theo kiểu đường ngầm, đã được mã hoá. Mức độ mã hóa được thêm là
không cần thiết và có thể ảnh hưởng đến hiệu năng.

24



Bảo mật VPN
Bảo mật là một phần quan trọng của VPN. Như miêu tả trong các phần sau đây là sự
bảo mật dễ dàng của kết nối VPN dựa vào PPTP.

1.8. Sự xác nhận người sử dụng với PPP
Người sử dụng dự định có một kết nối PPTP được xác nhận sử dụng PPP dựa vào các
giao thức xác nhận người sử dụng như MS-CHAP, CHAP, SPAP, và PAP. Với những kết nối
PPTP MS-CHAP phiên bản 2 được đề nghị khi nó cung cấp sự xác nhận qua lại và nhất
là các biện pháp an toàn của việc thay đổi quyền uỷ nhiệm.

1.9. Mã hoá với MPPE
PPTP kế thừa mã hóa MPPE, sử dụng dòng mật mã RSA RC4. MPPE chỉ có khả năng
khi giao thức xác nhận MS-CHAP ( phiên bản 1 hoặc 2 ) được sử dụng.
MPPE có thể sử dụng khóa mã 40 bit hoặc 128 bit. Khoá 40 bit được thiết kế để sử
dụng quốc tế và gắn bó với mã hóa của Hoa kỳ. Khoá 128 bit được thiết kế cho vùng
Bắc Mỹ sử dụng. Theo mặc định, độ dài cao nhất được cung cấp bởi VPN client và
VPN server được dàn xếp khi tiến trình kết nối hoàn thành. Nếu VPN server yêu cầu
một độ dài khoá cao hơn được cung cấp bới VPN client, kết nối cố gắng đẩy ra.
MPPE được thiết kế nguyên thuỷ cho mã hỏo qua liên kết điểm tới điểm ở đó các gói
đến cùng một thứ tự mà chúng đó được gửi với gói nhỏ đã mất. Với môi trường này,
giải mã mỗi gói dựa vào việc giải mã của gói trước.
Tuy nhiên, với các kết nối VPN, các gói IP được gửi qua Internet có thể đến theo thứ tự
khác nhau và sự phân bố của các gói có thể bị mất. Bởi vậy, MPPE trong kết nối VPN
thay đổi các khóa mã cho mỗi gói. Việc giải mã mỗi gói độc lập với gói trước. MPPE có
các số liên tục trong header của MPPE. Nếu các gói bị mất hoặc đến không theo thứ tự,
khóa mã thay đổi quan hệ với số liên tiếp đó.

1.10. Lọc gói tin PPTP
Một VPN server dựa vào PPTP điển hình có hai giao diện vật lý : một là tại các sự chia
sẻ hoặc mạng công cộng như internet, và giao diện khác là mạng nội bộ riêng. Nó cũng

có một giao diện ảo kết nối tới tất cả các máy khách VPN. Với máy phục vụ VPN gửi
25


tới giữa các máy khách VPN, IP gửi tới phải có khả năng trên tất cả các giao diện. Tuy
nhiên, khả năng gửi đi giữa hai giao diện vật lý phụ thuộc vào máy phục vụ VPN định
tuyến tất cả các IP tới các chia sẻ hoặc mạng công cộng tới mạng nội bộ. Để bảo vệ
mạng nội bộ từ tất cả các giao dịch không được gửi bởi máy khách VPN, bộ lọc gói
PPTP phải được cấu hình sao cho máy phục vụ VPN chỉ thực hiện việc định tuyến giữa
cacs máy khách VPN và mạng nội bộ mà không phải quan tâm tới các khả năng nguy
hiểm của người sử dụng tại việc chia sẻ tài nguyên hoặc mạng công cộng và mạng nội
bộ.
Lọc gói PPTP có thể được cấu hình trên cả máy phục vụ VPN và trên cả firewall trung
gian.

26


Địa chỉ và định tuyến cho các kết nối VPN
Để hiểu VPN làm việc như thế nào, bạn phải hiểu việc đánh địa chỉ và định tuyến ảnh
hưởng như thế nào qua việc tạo các truy cập từ xa VPN và các kết nối VPN dựa vào
router-to-router. Một kết nối VPN tạo giao diện ảo phải được đăng ký một địa chỉ IP
thích hợp, và các tuyến đoạn phải được thay đổi hoặc thêm để đẩm bảo các giao dịch
chính xác được gửi qua kết nối VPN an toàn để thay thế việc chia sẻ hoặc truyền qua
mạng công cộng.

1.11. Các kết nối VPN truy cập từ xa
Với các kết nối VPN truy cập từ xa, một máy tính tạo ra một kết nối truy cập từ xa tới
máy phục vụ VPN. Trong quá trình kết nối máy phục vụ VPN phân bố một địa chỉ IP
cho máy khách VPN truy cập từ xa và thay đổi các tuyến đoạn mặc định trên máy khách

từ xa vì vậy giao dịch tuyến đoạn mặc định được gửi qua giao diện ảo.

1.11.1. Các địa chỉ IP và quay số máy khách VPN
Để quay số tới các máy khách VPN, nơi mà kết nối tới Internet trước khi tạo kết nối
VPN với một máy phục vụ VPN trên Internet, hai địa chỉ IP được phõn bố :


Khi tạo kết nối PPTP, IPCP vượt qua với nhà cung cấp dịch vụ NAS một địa chỉ
IP công cộng.



Khi tạo kết nối VPN, IPCP đi qua với máy phục vụ VPN bằng một địa chỉ IP nội
bộ. Địa chỉ IP được phân bố bởi máy phục vụ VPN có thể là một địa chỉ IP công
cộng hoặc một địa chỉ IP riêng, dựa vào tổ chức của bạn đang thực hiện việc
đánh địa chỉ riêng hoặc chung trên mạng nội bộ.

Trong mỗi trường hợp địa chỉ IP được phân bố tới máy khách VPN phải có thể tới được
bởi các host trên mạng nội bộ và vice versa. Máy phục vụ VPN phải có đầu vào thích
hợp trong bảng định tuyến để tới tất cả các host trên mạng nội bộ và các bộ định tuyến
của mạng nội bộ phải có các điểm vào thích hợp trong bảng định tuyến ddể tới các máy
khách VPN.
Dữ liệu đường ngầm gửi qua VPN được đánh địa chỉ từ máy khách VPN, máy phục vụ
VPN - phân bố địa chỉ tới một địa chỉ trên mạng nội bé . Header của IP bên ngoài được
đánh địa chỉ giữa nhà cung cấp - phân bố địa chỉ IP của máy khách VPN và đị chỉ công
27


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×