Tải bản đầy đủ (.pdf) (78 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

Nghiên cứu và xây dựng hệ thống VPN cho công ty TNHH kraal enterprise

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.76 MB, 78 trang )

MỤC LỤC
MỤC LỤC.........................................................................................................1
DANH MỤC HÌNH .......................................................................................... 3
LỜI MỞ ĐẦU ...................................................................................................4
CHƯƠNG 1: CƠ SỞ LÝ THUYẾT.................................................................6
1.1 Tổng quan về TCP/IP ................................................................................6
1.1.1 Giới thiệu về TCP/IP ............................................................................6
1.1.2 Các lớp trong mô hình TCP/IP ............................................................. 6
1.1.2.1 Lớp ứng dụng...............................................................................6
1.1.2.2 Lớp vận chuyển.............................................................................7
1.1.2.3 Lớp Internet ................................................................................. 11
1.1.2.4 Lớp truy nhập mạng ..................................................................... 12
1.2 Tổng quan về mạng riêng ảo -VPN (Vitrual Private Network) ............. 12
1.2.1 Các khái niệm cơ bản về VPN ............................................................ 12
1.2.2 Các loại VPN...................................................................................... 14
1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs)............................... 14
1.2.2.2 Mạng VPN cục bộ (Intranet VPN) ............................................... 16
1.2.2.3 Mạng VPN mở rộng (Extranet VPN) .......................................... 17
1.2.3 Các giao thức đường hầm trong VPN................................................. 19
1.2.3.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding) ....................... 20
1.2.3.2 Giao thức PPTP (Point - to - Point Tunneling Protocol) ............... 21
1.2.3.3 Giao thức L2TP (Layer Two Tunneling Protocol)........................ 22
1.2.3.4 Giao thức IPSec (IP Security) ...................................................... 24
1.2.4 Cơ chế bảo mật trong VPN ................................................................. 31
1.2.4.1 Giới thiệu chung. ......................................................................... 31
1.2.4.2 Mật mã......................................................................................... 32
1.2.4.3 Xác Thực ..................................................................................... 35
1


CHƯƠNG 2: XÂY DỰNG HỆ THỐNG MẠNG RIÊNG ẢO VPN............. 41


2.1 Bài toán ................................................................................................... 41
2.2 Giải quyết bài toán .................................................................................. 41
2.2.1 Hiện trạng hệ thống............................................................................ 41
2.2.2 Phân tích đánh giá hệ thống cũ............................................................ 44
2.2.2.1 Vấn đề an ninh. ............................................................................ 44
2.2.2.2 Vấn đề tài chính .......................................................................... 45
2.2.2.3 Vấn đề trong quản lý và sử dụng tài nguyên................................. 47
2.2.3 Đề xuất giải pháp. ............................................................................... 49
2.2.3.1 Khả năng bảo mật . ...................................................................... 50
2.2.3.2 Chi phí xây dựng và bảo dưỡng hệ thống ..................................... 50
2.2.3.3 Tính cơ động của hệ thống VPN truy nhập từ xa .......................... 52
2.2.3.4 Ưu thế về tốc độ truyền................................................................ 52
2.2.4 Xây dựng hệ thống............................................................................. 53
2.2.4.1 Mô hình hệ thống......................................................................... 53
2.2.4.2 Các thiết bị sử dụng .................................................................... 53
2.2.4.3 Giá thành của hệ thống................................................................. 54
2.2.4.4 Cấu hình triển khai và test hệ thống ............................................. 55
KÊT LUẬN ..................................................................................................... 61
TÀI LIỆU THAM KHẢO .............................................................................. 63
PHỤ LỤC........................................................................................................ 64

2


DANH MỤC HÌNH
Hình 1.1: Cấu trúc tiêu đề TCP...........................................................................8
Hình 1.2: Thiết lập kết nối theo giao thức TCP ................................................ 10
Hình 1.3: Cơ chế cửa sổ trượt với kích thước cố định ...................................... 11
Hình 1.4: Mô hình VPN cơ bản ....................................................................... 14
Hình 1.5: Mô hình mạng VPN cục bộ.............................................................. 16

Hình 1.6: Mô hình mạng VPN mở rộng........................................................... 17
Hình 1.7: Mô hình mạng VNP mở rộng........................................................... 18
Hình 1.8: Mô hình VPN sử dụng L2F .............................................................. 20
Hình 1.9: Sơ đồ đóng gói PPTP ....................................................................... 21
Hình 1.10: Sơ đồ đóng gói L2TP ..................................................................... 23
Hình 1.11: Gói tin IP ở kiểu Transport.............................................................. 27
Hình 1.12: Gói tin IP ở kiểu Tunnel.................................................................. 28
Hình 1.13: Mô hình mịnh họa........................................................................... 28
Hình 1.14: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE .............. 30
Hình 1.15: Mã hoá khoá bí mật hay đối xứng ................................................... 33
Hình 1.16: Sơ đồ thuật toán DES...................................................................... 34
Hình 1.17: Thuật toán mã hoá khoá công cộng ................................................. 34
Hình 1.18: Cấu trúc cơ bản của MD5/SHA....................................................... 37
Hình 1.19: Xác thực bản tin MAC .................................................................... 38
Hình 2.1: Mô hình hiện trạng hệ thống mạng hiện thời của công ty .................. 43
Hình 2.2: Bảng so sánh chi phí Leased line và VPN ......................................... 51
Hình 2.3: Mô hình hệ thống mạng VPN đề xuất cho công ty ............................ 53
Hình 2.4: Mô hình mô phỏng cấu hình cơ bản .................................................. 55
Hình 2.5: Tạo kết nối VPN đến ASA ................................................................ 57
Hình 2.6: Chứng thực người dung .................................................................... 58
Hình 2.7: Kết nối thành công............................................................................ 58
Hình 2.8: Kiểm tra IP của máy Client và ping đến Server tại công ty................ 59
Hình 2.10: Trạng thái VPN Client sau khi truyền dữ liệu.................................. 60
3


LỜI MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế
giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới

cục bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải
rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với
một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp
thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu.
Cho đến gần đây, ứng dụng của những kênh truyền dẫn thông tin thuê riêng
(leased line) là giải pháp cơ bản đã giúp các công ty mở rộng mạng cục bộ ra
nhiều khu vực địa lý khác nhau. Những dịch vụ kết nối mạng diện rộng như thế đã
đem đến những lợi ích rõ ràng như tốc độ, an toàn thông tin và hiệu quả thực thi
công việc. Tuy nhiên việc duy trì những ứng dụng leased lines như thế có chi phí
khá đắt đỏ và chi phí này thường tăng lên cùng với sự gia tăng khoảng cách địa lý
giữa các văn phòng công ty .
Tuy nhiên việc các công ty chọn giải pháp đường Leased line thì chỉ giải
quyết được yêu cầu về các văn phòng đặt ở xa, còn vấn đề về nhân viên của họ đi
công tác xa thì sao? Giải pháp sử dụng Internet để liên lạc là giải pháp có vẻ tốt
cho vấn đề này. Tuy nhiên nó lại tiềm ẩn một nguy cơ cao về an ninh dữ liệu vì
Internet vốn là môi trường không an toàn.
Để giải quyết được hai vấn đề trên cho các doanh nghiệp, một giải pháp đã
được áp dụng. Đó là sử dụng công nghệ mạng riêng ảo VPN ( Virtual Private
Network ). VPN về cơ bản là một mạng cục bộ sử dụng hệ thống mạng công cộng
sẵn có như Internet để kết nối các văn phòng cũng như nhân viên ở xa. Thay vì sử
dụng kết nối chuyên biệt và trực tiếp giữa các văn phòng như kênh thuê riêng
leased lines, một VPN sử dụng các kết nối ảo được thiết lập trong môi trường
Internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa
lý. Không chỉ tận dụng được sự sẵn có và rộng khắp của Internet, VPN còn đảm
bảo được cả về bảo mật thông tin của giải pháp đường truyền riêng Leased line.
4


Với đề tài : “ Nghiên cứu và xây dựng hệ thống VPN cho công ty TNHH Kraal
EnterPrise “ em hy vọng mình sẽ góp một phần nhỏ bé vào quá trình ứng dụng

công nghệ này vào cuộc sống. Ngoài ra em cũng hy vọng đề tài này sẽ là một tài
liệu tham khảo có ích cho các công ty khi muốn triển khai hệ thống mạng riêng ảo
VPN cho công ty mình.
Đề tài có hai nội dung chính và được chia thành hai chương, cụ thể:
Chương 1: Đưa ra phần cơ sở lý thuyết cho quá trình triển khai hệ thống
mạng VPN. Từ đó thống kê được các kiến thức cần có khi xây dựng hệ thống
mạng VPN. Chương này cũng nêu ra được các khái niệm cơ bản về VPN, các loại
VPN, các giao thức đường hầm và bảo mật trong VPN.
Chương 2: Thực hiện triển khai hệ thống mạng riêng ảo VPN cho công ty
TNHH Karaal Enterprise theo hiện trạng cụ thể trực tiếp của công ty. Trong
chương này đã đi khảo sát cụ thể hiện trạng hệ thống mạng máy tính cũng như hệ
thống mạng lưới văn phòng đại diện của công ty, đưa ra được các đánh giá về ưu
nhược điểm. Tứ đó cũng đưa ra phương án khắc phục triển khai và thực hiện triển
khai phương án đã đưa ra.

5


CHƯƠNG 1: CƠ SỞ LÝ THUYẾT
1.1 Tổng quan về TCP/IP (Transmission Control Protocol /Internet Protocol)
1.1.1 Giới thiệu về TCP/IP
Tháng 6/1968, một cơ quan của Bộ Quốc phòng Hoa Kỳ là Cục các dự án
nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã
xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục
tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET tiền thân của mạng Internet hôm nay. Ban đầu, giao thức truyền thông được sử
dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó
cơ quan Bộ Quốc phòng Hoa Kỳ (DoD) đã tạo ra mô hình tham chiếu TCP/IP bởi
vì họ muốn một mạng có thể sống còn trong bất kỳ điều kiện nào. Bộ giao thức
TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy
tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định

tuyến cho mạng.
Mô hình TCP/IP có bốn lớp:
 Lớp ứng dụng ( Application Layer)
 Lớp Vận chuyển ( Transport Layer)
 Lớp Internet (Internet Layer)
 Lớp truy nhập mạng (Network access Layer)
1.1.2 Các lớp trong mô hình TCP/IP
1.1.2.1 Lớp ứng dụng
Lớp ứng dụng của mô hình TCP/IP kiểm soát các giao thức lớp cao, các
chủ đề về trình bày, biểu diễn thông tin, mã hóa và điều khiển hội thoại. Bộ giao
thức TCP/IP tổ hợp tất cả các ứng dụng liên quan đến các chủ đề vào một lớp và
đảm bảo số liệu này được đóng gói thích hợp trước khi chuyển nó đến lớp kế tiếp.
TCP/IP có các giao thức để hỗ trợ truyền file, email và remote login, thêm vào các
ứng dụng sau đây: File Transfer Protocol (FTP), Trivial File Transfer Protocol
(TFTP), Network File System (NFS), Simple Mail Transfer Protocol (SMTP),

6


Terminal emulation (Telnet), Simple Network Management Protocol (SNMP),
Domain Name System (DNS).
1.1.2.2 Lớp vận chuyển
Lớp vận chuyển cung ứng các dịch vụ vận chuyền từ host nguồn đến host
đích. Lớp vận chuyển thiết lập một cầu nối logic giữa các đầu cuối của mạng, giữa
host nhận và host truyền. Giao thức vận chuyển phân chia và tái thiết lập dữ liệu
của các ứng dụng lớp trên thành luồng dữ liệu giống nhau giữa các đầu cuối.
Luồng dữ liệu của lớp vận chuyển cung cấp các dịch vụ truyền tải tù đầu cuối này
đến đầu cuối kia của mạng.
Internet thường được biểu diễn bằng một đám mây mạng (cloud). Lớp vận
chuyển gửi các gói tin từ nguồn đến đích xuyên qua đám mây mạng này. Các dịch

vụ vận chuyển gồm tất cả các dịch vụ sau đây:
TCP và UDP
 Phân đoạn dữ liệu ứng dụng lớp trên.
 Truyền các segment từ một thiết bị đầu cuối này đến thiết bị đầu
cuối khác.
Riêng TCP
 Thiết lập các hoạt động end-to-end.
 Cửa sổ trượt cung cấp điều khiển luồng.
 Chỉ số tuần tự và báo nhận cung cấp độ tin cậy cho hoạt động.
Các giao thức lớp vận chuyển :
Giao thức TCP và UDP:
a)Giao thức UDP
Giao thức UDP (User Datagram Protocol) cung cấp cơ chế chính yếu mà
các chương trình ứng dụng sử dụng để gửi đi các gói tin tới các chương trình ứng
dụng khác. UDP cung cấp các cổng để phân biệt các chương trình ứng dụng trên
một máy tính đơn. Nghĩa là, cùng với mỗi một bản tin gửi đi, mỗi bản tin UDP
còn bao gồm một giá trị cổng nguồn và cổng đích, giúp cho phần mềm UDP tại

7


đích có thể phát chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại
xác nhận tin.
UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ
tin cậy như IP. UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích
hay không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản
hồi để xác định mức độ truyền thông tin giữa hai máy.
b) Giao thức TCP
Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền
thông dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển

dòng (stream) tin cậy. TCP cung cấp một mạch ảo, còn được gọi là kết nối. Nó cấp
khả năng đứt quảng, kiểm tra lỗi và điều khiển luồng.

- Cấu trúc tiêu đề TCP:

Hình 1.1: Cấu trúc tiêu đề TCP
Giải thích ý nghĩa các trường:
 Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị
cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối. Mỗi
khi TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu
TCP. Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về
dịch vụ để gửi dữ liệu đến chương trình ứng với số cổng đó. Song với TCP,
giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không
tương ứng với một đối tượng đơn. Thay vì vậy, TCP được xây dựng trên

8


kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết
mạch ảo, không phải từng cổng. Ví dụ như giá trị 192.168.2.3,25 xác định
cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3.
 Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu
trong segment của nơi gửi.
 Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang
đợi để nhận kế tiếp. Lưu ý là Sequence Number để chỉ đến lượng dữ liệu
theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để
chỉ đến dữ liệu ngược lại với segment đến.
 Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của
phần đầu segment, được tính theo bội số của 32 bit. Giá trị này là cần thiết
vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã

được đưa vào.
 Unused (dự phòng): được dành riêng để sử dụng trong tương lai.
 Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment,
diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit. Ví dụ
segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những
yêu cầu để thiết lập hoặc ngắt nối.
 Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm
cho quá trình truyền.
 Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng
xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu
đến cho dù nó nằm ở đâu trong vùng dữ liệu. Sau khi xử lý xong dữ liệu
khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạn thái thông
thường.

9


- Thiết lập một kết nối TCP
Để thiết lập một kết nối TCP sử dụng mô hình bắt tay ba bước, trong trường hợp
đơn giản có thể minh họa như sau:
Đầu cuối máy
tính gửi

Đầu cuối máy
tính nhận

Mạng

Gửi SYN
Seq = x

Nhận SYN
Gửi SYN seq = y, ACK x+1
Nhận SYN +ACK
ACK y+1
Nhận ACK

Hình 1.2: Thiết lập kết nối theo giao thức TCP
Gói tin khởi đầu cho kết nối được xác định bởi bit SYN trong trường dữ liệu
CODE, bản tin trả lời lập giá trị cho bit SYN và ACK để chuyển ý nghĩa đồng bộ
và tiếp tục tiến trình bắt tay. Bản tin cuối cùng chỉ có ý nghĩa như một lời đáp và
chỉ để đơn giản dùng để thông báo cho đích rằng cả hai bên cùng đồng ý một kết
nối đã được thiết lập.
Tiến trình bắt tay ba bước là điều kiện cần và đủ để có sự đồng bộ chính
xác giữa hai đầu của kết nối, thông thường các phần mềm TCP thường sử dụng
phương pháp đợi thụ động để chờ kết nối, nhưng điều này không gây khó khăn
trong quá trình kết nối vì các kết nối được thiết lập từ các bên độc lập với nhau. Số
thực tự được chọn ngẫu nhiên và độc lập với nhau cũng có thể được gửi kèm cùng
với dữ liệu. Trong những trường hợp đó, phần mềm TCP giữ lại dữ liệu cho đên
khi hoàn tất quá trình bắt tay kết nối. Một khi kết nối được thiết lập, phần mêm
TCP sẽ giải phóng dữ liệu trước đây và nhanh chóng chuyển chúng tời các chương
trình ứng dụng cấp cao hơn.

10


- Kỹ thuật cửa sổ trượt

Hình 1.3: Cơ chế cửa sổ trượt với kích thước cố định
Để thực hiện việc điều khiển luồng, TCP sử dụng kỹ thuật cửa sổ trượt. Cửa
sổ trượt có kích thước cố định hoặc có thể thay đổi được cho phép xác định số gói

dữ liệu tối đa được truyền trước khi nhận được một ACK từ đích xác nhận về. Kỹ
thuật này giải quyết vấn đề quan trọng là tăng hiệu quả truyền dẫn và điều khiển tốc
độ dòng dữ liệu.
1.1.2.3 Lớp Internet
Mục đích của lớp Internet là chọn lấy một đường dẫn tốt nhất xuyên qua
mạng cho các gói tin di chuyển tới đích. Giao thức chính hoạt động tại lớp này là
Internet Protocol (IP). Sự xác định đường đi tốt nhất và chuyển mạch gói diễn ra
tại lớp này.
Các giao thức sau đây hoạt động tại lớp Internet của mô hình TCP/IP: IP,
ICMP (Internet Control Message Protocol), ARP (Address Resolution Protocol),
RARP ( Reverse Address Resolution Protocol).
IP thực hiện các hoạt động sau:
 Định nghĩa một gói là một lược đồ đánh địa chỉ.
 Trung chuyển số liệu giữa lớp Internet và lớp truy nhập mạng.

11


 Định tuyến chuyển các gói đến host ở xa.
Đôi khi IP được đề cập đến như một giao thức thiếu tin cậy. Điều đó không có
nghĩa là IP sẽ chuyển phát số liệu qua mạng một cách không chính xác. Gọi IP là
một giao thức thiếu tin cậy đơn giản chỉ là do IP không thực hiện kiểm tra lỗi và
sửa lỗi. Chức năng này được giao phó cho các giao thức lớp trên như lớp vận
chuyển và lớp ứng dụng.
1.1.2.4 Lớp truy nhập mạng
Lớp truy nhập mạng cũng còn được gọi là lớp host-network. Lớp này liên
quan đến tất cả các chủ đề mà gói IP cần để thực hiện sự tạo ra một liên kết vật lý
đến môi trường truyền của mạng. Nó bao gồm các chi tiết của công nghệ LAN và
WAN và tất cả các chi tiết được chứa trong lớp vật lý và lớp liên kết dữ liệu trong
mô hình OSI, các Driver cho các ứng dụng, các Modem card và các thiết bị hoạt

động tại lớp truy nhập mạng này. Lớp truy nhập mạng định ra các thủ tục để giao
tiếp với phần cứng và truy nhập môi trường truyền. Các tiêu chuẩn giao thức
Modem như SLIP (Serial Line Internet Protocol) và PPP (Point –to- Ponit ) cung
cấp truy xuất mạng thông qua một kết nối dùng Modem. Bởi sự ảnh hưởng qua lại
khá rắc rối của phần cứng, phần mềm và các đặc tả mô trường truyền, nên có
nhiều giao thức hoạt động tại lớp này.
Các giao thức lớp truy nhập mạng bao gồm ánh xạ địa chỉ IP sang địa chỉ
vật lý và gói (Encapsulotion) các gói IP thành các Frame. Căn cứ vào dạng phần
cứng và giao tiếp mạng , lớp truy nhập mạng sẽ xác lập kết nối với đường truyền
vật lý của mạng.
1.2 Tổng quan về mạng riêng ảo -VPN (Vitrual Private Network)
1.2.1 Các khái niệm cơ bản về VPN
Như ta đã biết, các mạng riêng thường được định nghĩa là các phương tiện
nối mạng không chia sẻ để kết hợp các máy trạm (host) và các client trực thuộc
cùng một thực thể quản lí. Đặc tính của mạng riêng là hỗ trợ truyền thông giữa
những người dùng được phép, cho phép họ truy nhập tới các dịch vụ và tài nguyên
liên kết mạng khác nhau. Lưu lượng từ nguồn và đầu cuối trong mạng riêng chỉ di
12


chuyển dọc theo những node có mặt trong mạng riêng. Thêm vào đó là sự cách li
lưu lượng. Điều này có nghĩa là lưu lượng tương ứng với mạng riêng không ảnh
hưởng và không bị ảnh hưởng bởi lưu lượng từ ngoài. Thí dụ điển hình cho mạng
riêng là mạng Intranet của một hãng. VPN (Virtual Private Network) kết hợp 2
khái niệm: nối mạng ảo và nối mạng riêng. Trong một mạng ảo, các nút mạng ở xa
nhau và phân tán có thể tương tác với nhau theo cách mà chúng thường thực hiện
trong một mạng, trong đó các nút đặt tại cùng một vị trí địa lí. Cấu hình topo của
mạng ảo độc lập với cấu hình vật lí của các phương tiện sử dụng nó. Một người sử
dụng bình thường của một mạng ảo không biết sự thiết lập mạng vật lí, sẽ chỉ có
thể nhận biết được cấu hình topo ảo. Cấu hình của mạng ảo được xây dựng dựa

trên sự chia sẻ của cơ sở hạ tầng mạng vật lí đã tồn tại. Tuy nhiên, cấu hình mạng
ảo và mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau.
Chúng ta có thể đinh nghĩa IP VPN như sau: Mạng riêng ảo trên nền
Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng
mạng Internet công cộng chung không đảm bảo an ninh. Các thuộc tính của IPVPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa các máy
trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả thuận mức
dịch vụ và chất lượng dịch vụ cho tất cả các thực thể thông qua môi trường
Internet.
Tuy nhiên chúng ta có thể hiểu một cách đơn giản về mạng riêng ảo là thế
này: VPN được hiểu như là sự mở rộng của một mạng riêng (private network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử
dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng
riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối
thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được
dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân
viên từ xa.

13


1.2.2 Các loại VPN
1.2.2.1 VPN truy nhập từ xa (Remote Access VPNs)
VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di
động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm
tại bất cứ đâu có mạng Internet.
VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử
dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng
công ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn
cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những
bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ

tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và
công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy
tính của người sử dụng.

Hình 1.4: Mô hình VPN cơ bản

14


VPN truy nhập từ xa có các ưu điểm sau:
 Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến
mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng
kết nối Internet
 Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng
IP-VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP
hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành.
 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt
động ở tốc độ cao hơn so với các truy nhập khoảng cách xa.
 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
 Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng
của VPN cho phép thêm vào người dùng mới mà không tăng chi phí
cho cơ sở hạ tầng.
 Vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm người
sử dụng mới sẽ giúp các công ty có thể dễ dàng chuyển hướng kinh
doanh hơn.
 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty
bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Tuy nhiên bên cạnh đó VNP truy cập từ xa cũng có một số hạn chế cần
khác phục sau:
 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

 Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân
phát không đến nơi hoặc mất gói.
 Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một
cách đáng kể.

15


1.2.2.2 Mạng VPN cục bộ (Intranet VPN)
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo
mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ
liệu được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả
năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi
phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình
như là một VPN Site- to- Site.
Central site

Remote site
POP

Internet

or

Router

v¨n phßng ë xa


Hình 1.5: Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều
kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi
xa.
 Bởi vì những kết nối trung gian được thực hiện thông qua mạng
Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp
mới.
16


 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử
dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ
chuyển mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Tuy nhiên nó cũng mang một số nhược điểm cần khắc phục sau:
 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng
Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật
dữ liệu và mức độ chất lượng dịch vụ (QoS).
 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá
cao.
 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương
tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là
thách thức lớn trong môi trường Internet.
1.2.2.3 Mạng VPN mở rộng (Extranet VPN)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng
cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng,

và các nhà cung cấp…

Central site

Remote site
DSL
cable

POP

Internet

or

Router
Extranet
Business-to-business

Intranet

Hình 1.6: Mô hình mạng VPN mở rộng

17


Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng,
các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này
sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–
to–Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy
cập mạng được công nhận ở một trong hai đầu cuối của VPN.


Hình 1.7: Mô hình mạng VNP mở rộng

Mạng VPN mở rộng có những ưu điểm cơ bản sau:
 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng
truyền thống.
 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang
hoạt động.
 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên
có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp
phù hợp với các nhu cầu của mỗi công ty hơn
 Vì tận dụng kết nối Internet nên việc bảo trì chủ yếu do ISP đảm
nhiệm nên giảm đáng kể chi phí cho thuê nhân viên bảo trì hệ thống.

18


Tuy nhiên mạng VPN mở rộng cũng vẫn tồn tại một số nhược điểm sau:
 Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại.
 Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.
 Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá
tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào
mạng Internet.
 Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể
không ổn định và QoS không thể đảm bảo.
Mặc dù vẫn tồn tại nhiều nhược điểm nhưng nó không đủ để làm lu mờ đi
nhưng ưu điểm và lợi ích mang lại cho người sử dụng, vì thế VPN luôn được các
nhà quản trị mạng yêu thích , sử dụng. Và các doanh nghiệp thì cũng không phải là
ngoại lệ, thậm chí họ còn cảm thấy rất thích thú với công nghệ này.
1.2.3 Các giao thức đường hầm trong VPN

Các giao thức đường ngầm (hoặc đường hầm ) là nền tảng của công nghệ
VPN. Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với phần header
(và có thể có phần trailer) tương ứng để truyền qua Internet. Có nhiều giao thức
đường ngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên
quan đến các phương pháp xác thực và mật mã được dùng. Có 4 giao thức đường
ngầm trong IP-VPN như sau:
 Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
 Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling
protocol)
 Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
 Giao thức bảo mật IP - IPSec (Internet Protocol Security)

19


1.2.3.1 Giao thức định hướng lớp 2 (Layer 2 Forwarding)
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho
dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ
tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là
phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một
mạng công ty thông qua thiết bị truy cập từ xa.

Hình 1.8: Mô hình VPN sử dụng L2F

Ưu điểm và nhược điểm của L2F:
Ưu điểm:
 Cho phép thiết lập đường hầm đa giao thức.
 Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:

 Không có mã hóa
 Yếu trong việc xác thực người dùng
 Không có điều khiển luồng cho đường hầm.
20


1.2.3.2 Giao thức PPTP (Point - to - Point Tunneling Protocol)
Được phát triển bởi Microsoft, 3COM và Ascend Communications. PPTP
thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng
trong truyền thông tin hệ điều hành Windows.
Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức
năng của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm
bảo mật thông qua Internet đến site đích
PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram
để truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi
là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một
phiên bản của giao thức GRE (Generic Routing Encapsulation - đóng gói định
tuyến chung) để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được
mật mã hoặc/và giải nén.
PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng
giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP).
a) Đóng gói dữ liệu đường ngầm PPTP
Dữ liệu đường ngầm PPTP được đóng gói thông qua nhiều mức.

Hình 1.9: Sơ đồ đóng gói PPTP

21


b) Xử lí dữ liệu đường ngầm PPTP

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server
sẽ thực hiện các bước sau:
 Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
 Xử lý và loại bỏ IP Header.
 Xử lý và loại bỏ GRE Header và PPP Header.
 Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết).
 Xử lý phần Payload để nhận hoặc chuyển tiếp.

1.2.3.3 Giao thức L2TP (Layer Two Tunneling Protocol)
Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại gây
khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và
PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng
thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F.
L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay,
hoặc ATM. Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa. Khi truyền
qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP, L2TP có thể
được sử dụng như một giao thức đường ngầm thông qua Internet hoặc các mạng
riêng Intranet. L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường
ngầm cũng như các dữ liệu bảo dưỡng đường ngầm. Phần tải của khung PPP đã
đóng gói có thể được mật mã, nén. Tuy nhiên mật mã trong các kết nối L2TP
thường được thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP).
L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức
đường ngầm L2TP và IPSec). L2TP client có thể được nối trực tiếp tới mạng IP để
truy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy
nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP. Việc xác thực
trong quá trình hình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực
như trong các kết nối PPP như EAP, MS-CHAP, CHAP, PAP. Máy chủ L2TP là
22



máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và
một giao diện khác nối với mạng Intranet. Các dữ liệu đường ngầm và dữ liệu duy
trì đường ngầm có cùng cấu trúc gói.
- Xử lý dữ liệu đường ngầm L2TP trên nền IPSec
Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay
L2TP server sẽ thực hiện các bước sau:
 Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu.
 Xử lý và loại bỏ IP Header.
 Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP
Header.
 Dùng IPSec ESP Header để giải mã phần gói đã mật mã.
 Xử lý UDP Header và gửi gói L2TP tới L2TP.
 L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP
Header để xác định đường ngầm L2TP cụ thể.
 Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới
đúng giao thức để xử lý.

Hình 1.10: Sơ đồ đóng gói L2TP

23


1.2.3.4 Giao thức IPSec (IP Security)
1.2.3.4.1 Giới thiệu IPSec.
Như ta đã biết, mạng Internet nguyên thủy được phát triển để truyền thông
giữa các máy tính tin cây, vì vậy nó không hỗ trợ các dịch vụ an ninh. Cùng với
sự phát triển rộng khắp của Internet trên tòan cầu thì vấn đề an ninh là một
trong những vấn đề quan trọng. Giao thức IPSec được phát triển để giải quyết
vấn đề an ninh này và trong IP-VPN là một trong những ứng dụng của nó, bởi
có thể nói IPSec là giao thức được coi là tối ưu nhất cho phát triển công nghệ

VPN trên nền Internet.
IPSec (Internet Protocol Security) là một giao thức được IETF phát triển.
IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo
mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợp các tiêu
chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập
giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai
đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là
router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một
cổng bảo mật. Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu
và các gói dữ liệu yêu cầu an toàn được truyền trên đó. IPSec cũng thực hiện đóng
gói dữ liệu các thông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không
dùng đến nữa. Các gói tin truyền trong đường ngầm có khuôn dạng giống như các
gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như
những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi
phí để triển khai và quản lý.
IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH
(Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec
phải hỗ trợ ESP và có thể hỗ trợ AH:
 AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ
liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa
24


hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là
nó gửi đi thông tin dưới dạng bản rõ.
 ESP là một giao thức cung cấp tính an toàn của các gói tin được
truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm
tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật
của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lương ESP

đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu hướng
sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
 Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào
sự phân phối của các khóa mật mã và quản lý các luồng giao thông
có liên quan đến những giao thức an toàn này.
Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau
để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách
chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP
này, IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó
là một khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp. IPSec
sử dụng các thuật toán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toán
MD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản
tin; Thuật toán DES, 3DES để mật mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA
chữ ký số và RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực các bên.
Ngoài ra các chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA,
Blowfish và RC4.
IPSec có thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực
hai phía và làm giao thức thương lượng các chính sách bảo mật và nhận thực
thông qua việc xác định thuật toán được dùng để thiết lập kênh truyền, trao đổi
khóa cho mỗi phiên kết nối, dùng trong mỗi phiên truy cập. Mạng dùng IPSec để
bảo mật các dòng dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng
giấy chứng nhận số của hai người dùng trao đổi thông tin qua lại. Việc thương

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×