Tải bản đầy đủ (.pdf) (76 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.44 MB, 76 trang )

MỤC LỤC
Trang
MỤC LỤC ..........................................................................................................1
LỜI NÓI ĐẦU ....................................................................................................3
CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO...........................................4
1.1.

Định nghĩa mạng riêng ảo...................................................................4

1.2.

Chức năng và lợi ích của VPN............................................................5

1.2.1. Chức năng ........................................................................................5
1.2.2. Lợi ích ..............................................................................................5
1.3.

Các dạng kết nối VPN .......................................................................6

1.3.2. Site-to-Site VPN...............................................................................7
1.4.

Các thành phần cơ bản của một VPN ..............................................10

1.4.1. Máy chủ VPN...................................................................................10
1.4.2. Máy khách VPN ...............................................................................11
1.4.3. Bộ định tuyến VPN...........................................................................11
1.4.4. Bộ tập trung VPN (VPN Concentrators) ...........................................12
1.4.5. Cổng kết nối VPN ............................................................................12
CHƯƠNG 2: CÁC GIAO THỨC XÂY DỰNG VPN........................................14
2.1. Giao thức đường hầm điểm - điểm PPTP ............................................14


2.1.1. Kiến trúc của PPTP...........................................................................14
2.1.2. Sử dụng PPTP ..................................................................................18
2.1.3. Khả năng áp dụng trong thực tế của PPTP ........................................20
2.2. Giao thức đường hầm tầng 2_L2TP(Layer two Tunneling Protocol) 20
2.2.1. Dạng thức của L2TP.........................................................................21
2.2.2. Sử dụng L2TP ..................................................................................24
2.2.3. Khả năng áp dụng trong thực tế của L2TP ........................................26
2.3. Giao thức bảo mật IPSec ......................................................................27
2.3.1. Khung giao thức IPSec .....................................................................28
2.3.2. Hoạt động của IPSec.........................................................................32
2.3.3. Ví dụ về hoạt động của IPSec ...........................................................41

-1-


2.3.4. Các vấn đề còn tồn đọng trong IPSec................................................42
CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH CISCO ISO .......................43
3.1. Kiến trúc hệ thống.................................................................................43
3.2. Cisco IOS CLI .......................................................................................44
3.3. Các đặc điểm của phần mềm Cisco IOS ..............................................45
3.4. Hoạt động của phần mềm Cisco IOS ..................................................46
3.5. Quy trình cấu hình 4 bước IPSec/VPN trên Cisco IOS.......................47
3.5.1.

Chuẩn bị cho IKE và IPSec..........................................................47

3.5.2.

Cấu hình cho IKE Phase 1............................................................47


3.5.3.

Cấu hình cho IKE Phase 2............................................................48

3.6.

Kiểm tra lại việc thực hiện IPSec .....................................................55

CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN
CHO CÔNG TY TNHH THÀNH ĐẠT.............................................................57
4.1. Giới thiệu ...............................................................................................57
4.2.

Khảo sát hiện trạng hệ thống............................................................57

4.3. Sơ đồ hiện trạng hệ thống ...................................................................58
4.4 Giải pháp ..............................................................................................60
4.4.1 Sử dụng dịch vụ Internet Leased line ................................................60
4.4.2 Thiết lập mạng riêng ảo VPN ...........................................................62
4.5 Lựa chọn giải pháp................................................................................64
4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống :.............................65
4.5.1 Mô hình hệ thống...............................................................................65
4.5.2 Các bước cấu hình .............................................................................65
KẾT LUẬN......................................................................................................68
TÀI LIỆU THAM KHẢO .................................................................................70
PHỤ LỤC..........................................................................................................71

-2-



LỜI NÓI ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là
Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển
kinh tế thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa
quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng,
đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin
mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi
nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ
Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó
là: thuê các đường Leased – line của các nhà cung cấp để kết nối tất cả các mạng
con của công ty lại với nhau, sử dụng Internet để liên lạc với nhau.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch
vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại
có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leasedline. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp
kinh tế.
Với đề tài: ” Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site
VPN cho công ty TNHH Thành Đạt” trong đợt thực tập này, em hy vọng nó có
thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ
thuật VPN.
Em xin chân thành cảm ơn các thầy cô trong khoa và đặc biệt là thầy giáo
Dương Chính Cương đã giúp đỡ em trong đợt thực tập này.
Thái Nguyên tháng 06/2009

-3-


CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO
1.1. Định nghĩa mạng riêng ảo
Mạng riêng ảo - VPN (Virtual Private Network) về cơ bản là một mạng cục

bộ sử dụng hệ thống mạng công cộng sẵn có như Internet để kết nối các văn
phòng cũng như nhân viên ở xa. Một VPN (mạng riêng ảo) sử dụng các kết nối
ảo được thiết lập trong môi trường Internet từ mạng riêng của công ty tới các văn
phòng và nhân viên cách xa về địa lý. Để có thể gửi và nhận dữ liệu thông qua
mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ
chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi
và nơi nhận (Tunnel), giống như một kết nối point -to- point trên mạng riêng. Để
có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu
đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép
nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu
được mã hóa một cách cẩn thận, do đó nếu các packet bị bắt lại trên đường
truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải
mã.

Hình 1.1: Mạng VPN điển hình

-4-


1.2. Chức năng và lợi ích của VPN
1.2.1. Chức năng
VPN cung cấp 3 chức năng chính, đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
a) Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.
b) Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất
kỳ sự xáo trộn nào trong quá trình truyền dẫn.
c) Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,

không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có
lấy được thì cũng không đọc được.
1.2.2. Lợi ích
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và
những mạng leased-line. Một số lợi ích của VPN:
 Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền
tới 20-40% so với những mạng thuộc mạng leased-line và giảm chi phí truy cập
từ xa từ 60-80%.
 Tính linh hoạt cho khả năng kinh tế trên Internet: không chỉ linh hoạt
trong quá trình vận hành và khai thác mà VPN còn thực sự mềm dẻo đối với yêu
cầu sử dụng. Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và
nhiều kiểu kết nối khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ,
các đối tượng di động. Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa
chọn cho khách hàng: 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 ,…
 Có khả năng mở rộng cao: Do VPN được xây dựng dựa trên cơ sở hạ tầng
mạng công cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể
triển khai VPN. Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu. Khả năng mở rộng
băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó
có thể được nâng cấp dễ dàng.

-5-


 Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những
người không có quyền truy cập và cho phép truy cập đối với những người dùng
có quyền truy cập. Bên cạnh đó, địa chỉ IP cũng được bảo mật vì thông tin được
gửi đi trên VPN đã được mã hóa do đó các điạ chỉ bên trong mạng riêng được
che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.
 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
 Đáp ứng các nhu cầu thương mại: Các sản phẩm dịch vụ VPN tuân theo

chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm
nhưng quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể
làm việc với nhau.
1.3. Các dạng kết nối VPN
Dựa trên kiến trúc của VPN, người ta chia VPN thành 2 kiểu chính, đó là :
Remote Access VPN và Site-to-Site VPN.
1.3.1. Remote Access VPN
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy
nhập vào mạng của công ty. Đây là kiểu VPN điển hình nhất. Bởi vì, những VPN
này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,
những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.
Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng
cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và
thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử
dụng.
z
Hình 1.2:Mô hình mạng Remote Access VPN
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy
nhập từ xa truyền thống như:

-6-


- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói. Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao
thức tăng một cách đáng kể.
1.3.2. Site-to-Site VPN
1.3.2.1. Intranet VPN
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo
mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn
dữ liệu được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả
năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi
phí thấp nhưng vẫn đảm bảo tính mềm dẻo.

-7-


Hình 1.3: Mô hình mạng Intranet VPN
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện
mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,

nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường công cộng – mạng Internet.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm
đi cùng như:
- Vì dữ liệu được truyền “ngầm” qua mạng Internet nên vẫn còn những mối
đe dọa về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Khi truyền dẫn khối lượng lớn dữ liệu, với yêu cầu truyền dẫn tốc độ cao
và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.
1.3.2.2. Extranet VPN
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng

-8-


cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng,
và các nhà cung cấp…

Hình 1.4: Mô hình mạng Extranet VPN
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng,
các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Sự khác nhau
giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công
nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí thấp hơn nhiều so với mạng truyền thống.
- Dễ thiết lập, bảo trì và dễ thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có

nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các
nhu cầu của mỗi công ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên
giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí
vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn
những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.

-9-


- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi
trường Internet. Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
1.4. Các thành phần cơ bản của một VPN
Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers),
máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định
tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung
(Concentrator).

1.4.1. Máy chủ VPN
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm
máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng
VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp
dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ,
đồng thời các máy chủ luôn luôn sẵn sàng thực hiện những yêu cầu truy nhập từ
các máy khách.
Những chức năng chính của máy chủ VPN bao gồm:

 Tiếp nhận những yêu cầu kết nối vào mạng VPN.
 Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của
các quá trình bảo mật hay các quá trình xác lập.
 Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách
VPN.
 Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy
Khách.
 Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối
trong VPN. Điểm cuối còn lại được xác lập bởi người dùng cuối cùng.

- 10 -


1.4.2. Máy khách VPN
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới
máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới
điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách
VPN và máy chủ VPN mới có thể truyền thông được với nhau. Nhìn chung, một
máy khách VPN có thể được dựa trên phần mềm. Tuy nhiên, nó cũng có thể là
một thiết bị phần cứng dành riêng.
Đặc trưng của máy khách VPN gồm:
 Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng
để kết nối đến tài nguyên của công ty từ nhà.
 Những người dùng di động sử dụng máy tính xách tay,...để kết nối vào
mạng cục bộ của công ty thông qua mạng Internet.

 Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian,
như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát, sửa
chữa hoặc cài đặt dịch vụ hay các thiết bị.


Hình 1.5: Đặc trưng của máy khách VPN

1.4.3. Bộ định tuyến VPN
Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể
đảm nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì cách thiết
lập đó không hiệu quả trong trường hợp mạng VPN lớn. Trong trường hợp này,

- 11 -


sử dụng bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm
cuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa” (Firewall). Vai
trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục
bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả
những đường đi có thể, để đến được đích trong mạng, và chọn ra đường đi ngắn
nhất. Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong
mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định
tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn
thêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên
đường truyền.

1.4.4. Bộ tập trung VPN (VPN Concentrators)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập
trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy
cập từ xa có kích thước nhỏ. Ngoài việc làm tăng công suất và số lượng của
VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng
như năng lực xác thực cao. Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco
hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến.

1.4.5. Cổng kết nối VPN

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao
thức IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho
phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị
này có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa
trên phần mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập
ở biên của mạng cục bộ của công ty. Còn là giải pháp dựa trên phần mềm, thì
cổng kết nối IP được cài đặt trên mỗi máy. Ví dụ như phần mềm Novell’s Border
Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được
đặt giữa mạng công cộng và mạng riêng nhằm ngăn chặn xâm nhập trái phép vào

- 12 -


mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm
và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.

- 13 -


CHƯƠNG 2: CÁC GIAO THỨC XÂY DỰNG VPN
2.1. Giao thức đường hầm điểm - điểm PPTP
Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của
truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa
người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới
nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới
mạng riêng của họ.
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing

Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho
phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX,
NETBEUI.
2.1.1. Kiến trúc của PPTP

Hình 2.1: Kiến trúc của PPTP
a) PPP và PPTP
PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng
TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI,
PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau
để truyền nối tiếp. Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều
khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm

- 14 -


tra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc
thiết lập và cấu hình các giao thức lớp mạng khác nhau.
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểmđiểm từ máy gửi đến máy nhận. Để viêc truyền thông có thể diễn ra thì mỗi PPP
phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực.
Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi
các ISP. Việc xác thực được thực hiện bởi PAP hay CHAP.
Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và
không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương thức
xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP chống
lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge
value) duy nhất và không thể đoán trước được. CHAP phát ra giá trị thách đố
trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số
lần bị đặt vào tình thế bị tấn công.

PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng
và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP
để đóng các gói truyền trong đường hầm.
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại
gói: Gói điều khiển; Gói dữ liệu và gán chúng vào 2 kênh riêng là kênh điều
khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh dữ
liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP.
Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để
trưyền thông báo điều khiển.

- 15 -


Các gói dữ liệu là dữ liêu thông thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu
giữa client PPTP và máy chủ PPTP. Đồng thời nó cũng được dùng để gửi các
thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa
hay nằm ở tại máy chủ của ISP.
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng
số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền
trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức

nào? Ethernet, Frame Relay hay kết nối PPP?

Hình 2.2 : bọc gói PPTP/ GRE
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu
truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.
b) Cấu trúc gói của PPTP
*Đóng gói dữ liệu đường hầm PPTP

Hình 2.3: Cấu trúc gói dữ liệu trong đường hầm PPTP
+ Đóng gói khung PPP

- 16 -


Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản
sửa đổi giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác
nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường
nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết lập bởi
PPTP client trong quá trình khởi tạo đường hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để
gửi qua mạng IP.
+ Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói
với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP
server.

+ Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và
phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi
qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet.
Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ
được đóng gói với phần Header và Trailer của giao thức PPP.
* Xử lý dữ liệu đường hầm PPTP
Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ
thực hiện các bước xử lý:
- Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
- Xử lý và loại bỏ IP Header.

- 17 -


- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.
- Xử lý phần payload để nhận hoặc chuyển tiếp.
2.1.2. Sử dụng PPTP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng
dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP,
và PPTP client.

Hình 2.4: Các thành phần cơ bản của một VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người
của công ty quản lý nhưng NAS phải do ISP hỗ trợ.
a) Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết
nối của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN

riêng. Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để
được địa chỉ mạng của máy tính đích.
Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.
Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào
Internet , mạng riêng hay cả hai.

- 18 -


Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như
máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng
TCP/IP (1723) được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình
cổng này có thể làm cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được
cấu hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua.
b) Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay
phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết
bị của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự)
vẫn có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng
PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở client.
Client PPTP đã có sẵn ở Win NT, Win 9x và các hệ điều hành sau này. Khi
chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP đã
có. Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu
thiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS.
c) Máy chủ truy cập mạng RAS
Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa
(Remote Access Server) hay bộ tập trung truy cập (Access Concentrator). NAS
cung cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính
cước và có khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho
phép một số lượng lớn người dùng có thể quay số truy cập vào cùng một lúc.

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép
PPTP, để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows,
Macintosh. Trong truờng hợp này, máy chủ ISP đóng vai trò như một client
PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một
điểm cuối của đường hầm, điểm kết thúc còn lại là máy chủ tại đầu mạng riêng.

- 19 -


2.1.3. Khả năng áp dụng trong thực tế của PPTP

PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch
thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá. PPTP thích
hợp cho quay số truy cập với số lượng người dung giới hạn hơn là cho VPN kết
nối LAN–LAN. Một vấn đề của PPTP là xử lý xác thực quyền người dùng thông
qua Windows NT hay thông qua RADIUS. Máy chủ PPTP cũng qua tải với một
số lượng người dùng quay số truy cập hay một lưu lượng lớn dữ liệu trưyền qua,
mà điều này là một yêu cầu của kết nối LAN – LAN. Khi sử dụng VPN PPTP mà
có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ cho ISP. Tính bảo
mật của PPTP không mạnh bằng IPSec. Tuy nhiên, quản ý bảo mật trong PPTP
lại đơn giản hơn.

2.2. Giao thức đường hầm tầng 2_L2TP(Layer two Tunneling Protocol)
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và
L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng.
Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại
IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng
gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và
PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở

môi trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên
L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác.
Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm,
Sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập.
L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng
một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền
thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc
dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có
thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức

- 20 -


đường hầm. Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm
L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao
thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc
NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP
hay RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây
dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows
nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và
Windows 98.
2.2.1. Dạng thức của L2TP
Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm, đường
hầm, hệ thống xác thực và mã hoá. L2TP có thể sử dụng quản lý khoá để tăng
thêm độ bảo mật. Kiến trúc của L2TP như hình vẽ:

Hình 2.5: kiến trúc của L2TP
a)


PPP và L2TP
L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập

mạng NAS. L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực
ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc.

- 21 -


Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấp
nhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm cho
người dùng đó. Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPP rồi
truyền lên môi trường mà ISP gán cho đường hầm đó. L2TP có thể tạo nhiều
đường hầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc
cho đường hầm. L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên
làm việc và chèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc
nào?
Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vào
một đường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cách
này cho phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳ
theo chất lượng dịch vụ.
Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo
điều khiển và thông báo dữ liệu. Thông báo điều khiển có chức năng điều khiển
việc thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm. Thông báo
điều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điều
khiển luồng các gói PPP trong một phiên làm việc. Tuy nhiên, L2TP truyền cả
hai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng.
Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nên
trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đường hầm

làm việc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể là
Ethernet, X.25, Frame Relay, ATM, hay liên kết PPP.

Hình 2.6: Bọc gói L2TP
L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truy
cập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (hay
máy chủ mạng L2TP _LNS ( L2TP network Server) ).

- 22 -


b)

Cấu trúc gói dữ liệu L2TP
*Đóng gói dữ liệu đường hầm L2TP
Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói.

Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec.

Hình 2.7: Cấu trúc gói dữ liệu trong đường hầm L2TP
+ Đóng gói L2TP : phần tải PPP ban đầu được đóng gói với một PPP header
và một L2TP header.
+ Đóng gói UDP : Gói L2TP sau đó được đóng gói với một UDP header,
các địa chỉ nguồn và đích được đặt bằng 1701.
+ Đóng gói IPSec : Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã
và đóng gói với ESP IPSec header và ESP IPSec Trailer, IPSec Authentication
Trailer.
+ Đóng gói IP : Gói IPSec được đóng gói với IP header chứa địa chỉ IP
ngưồn và đích của VPN client và VPN server.
+ Đóng gói lớp liên kết dữ liệu :

Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ
liệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailer
tương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra. Ví
dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì IPdatagram này
sẽ được đóng gói với Ethernet header và Ethernet Trailer. Khi các IP datagram
được gửi trên đường truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện
thoại hay ISDN, ) thì IPdatagram được đóng gói với PPP header và PPP trailer.
* Xử lý dữ liệu đường hầm L2TP trên nền IPSec

- 23 -


Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay
L2TP server sẽ thực hiện các bước sau:
- Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu.
- Xử lý và loại bỏ IP header.
- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP
header.
- Dùng IPSec ESP header để giải mã phần gói đã mật mã.
- Xử lý UDP header và gửi gói L2TP tới lớp L2TP.
- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đường
hầm L2TP cụ thể.

- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng
giao thức để xử lý.

2.2.2. Sử dụng L2TP
Vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internet
nên các thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ
L2TP, và các L2TP client. Thành phần quan trọng nhất của L2TP là định nghĩa

điểm kết thúc một đường hầm, LAC và LNS. LNS có thể cài đặt ngay tại công ty
và điều hành bởi một nhóm làm việc của công ty còn LAC thì thường được hỗ
trợ của ISP. Các thành phần cơ bản của L2TP như hình vẽ:

Hình 2.8: Các thành phần cơ bản của L2TP

- 24 -


a) Máy chủ mạng L2TP
Máy chủ L2TP có hai chức năng chính là: đóng vai trò là điểm kết thúc của
đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng và
ngược lại. Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP
để có được địa chỉ mạng của máy tính đích.
Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các
gói. Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong
thực tế, người ta tích hợp máy chủ mạng và tường lửa. Việc tích hợp này mang
lại một số ưu điểm hơn so với PPTP, đó là:
- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như
trong PPTP. Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa,
điều này gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng đã
biết trong khi cổng đó có thể đã thay đổi.
- Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên
việc thiết lập tường lủa sẽ đơn giản hơn. Do một số tường lửa không hỗ trợ GRE
nên chúng tương thích với L2TP hơn là với PPTP.
b) Phần mềm client L2TP
Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay
phần mềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với
các thiết lập trên thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử
dụng các client tương thích L2TP cho L2TP VPN.

Một số đặc điểm của phần mềm client L2TP
-

Tương thích với các thành phần khác của IPSec như: máy chủ mã hoá,

giao thức chuyển khoá, giải thuật mã hoá,…
-

Đưa ra một chỉ báo rõ ràng khi IPSec đang hoat động.

-

Hỗ trợ tải SA về.

-

Hàm băm (hashing) xử lý được các địa chỉ IP động.

- 25 -


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×