Tải bản đầy đủ (.doc) (56 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

cơ chế bảo mật trong VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (470.25 KB, 56 trang )

Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

LỜI NÓI ĐẦU
Hiện nay lĩnh vực viễn thông phát triển vượt bậc với những công nghệ
mới, chuyển mạch mềm dần dần thay thế cho chuyển mạch kênh, mọi thông
tin thoại, dữ liệu, hình ảnh... được truyền tải trên mạng Internet với công
nghệ IP.
Cùng với sự phổ cập ngày càng cao của Internet, các doanh nghiệp
đang dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng
mạng cục bộ sẵn có. Công nghệ mạng riêng ảo VPN (Virtual Private
Network) ra đời đã thoả mãn được nhu cầu kết nối từ xa giữa nhân viên với
văn phòng cũng như giữa các văn phòng cách xa về địa lý. Tuy nhiên Internet
là một môi trường không an toàn, dữ liệu truyền qua dễ bị truy cập bất hợp
pháp và nguy hiểm. Dữ liệu truyền trên mạng thường dễ bị tấn công bằng
nhiều cách. Việc đảm bảo an toàn dữ liệu là việc làm tối cần thiết. Do vậy
công nghệ mạng riêng ảo VPN có nhiều giải pháp để giải quyết vấn đề này.
Với mong muốn tìm hiểu cơ chế bảo mật trong VPN để làm cơ sở tìm
hiểu tiếp những vấn đề cốt lõi về công nghệ mạng riêng ảo VPN, IP. Được sự
đồng ý và hướng dẫn của giáo viên hướng dẫn em đã tiến hành làm đề tài
này.
Nội dung của đề tài đề cập đến các vấn đề sau:
- Tổng quan về mạng VPN. Một số cách tấn công phổ biến trên mạng
và vấn đề bảo mật thông tin trong VPN.
- Giao thức trao đổi khóa Internet IKE và hoạt động IKE trong giao
thức bảo mật IPSec của VPN.
Do còn nhiều mặt hạn chế nên nội dung không tránh khỏi những sai sót
và khiếm khuyết, em rất mong nhận được chỉ dẫn của thầy cô giáo và ý kiến
tham gia của các bạn.
MỤC LỤC



Nguyễn Phan Việt – Lớp: L10cqvt06 - B

1


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

LỜI NÓI ĐẦU......................................................................................................................1
CÁC THUẬT NGỮ VIẾT TẮT..........................................................................................3
CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO.............................................................9
Hình 1: Đường hầm của Mạng VPN trong môi trường Internet...................................10
1.1.2. Lợi ích của VPN........................................................................................................10
Tiết kiệm chi phí:................................................................................................................10
..............................................................................................................................................22
Hình 8: Bản tin điều khiển L2TP......................................................................................22
CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE.............................30
Hình 11: Khung giao thức được sử dụng trong IPSec....................................................34
Hình 12: 5 bước hoạt động của IPSec..............................................................................36
- Host A gửi lưu lượng cần bảo vệ tới Host B..................................................................36
Hình 13: Lưu lượng bảo vệ................................................................................................36
Hình 14: IKE Phase 1........................................................................................................37
Hình 15: Thoả thuận các thông số bảo mật IPSec..........................................................38
Hình 17: Kết thúc đường hầm..........................................................................................39
Hình 18: Tập chính sách IKE............................................................................................40
Chế độ nhanh (Aggressive mode) thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu
hơn). Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập
chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có

thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận
gửi trở lại mọi thứ cần thiết để hoàn thành (complete) việc trao đổi. Cuối cùng bên
khởi tạo khẳng định (confirm) việc trao đổi. .................................................................43
Trong VPN giữa hai nút cho phép thiết lập kênh được mã hóa, xác nhận giữa hai nút.
Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên làm việc VPN và được xác
nhận bởi HA tương ứng bằng cách mixed up an toàn đàm phán IPsec thích hợp, hay
giao thức tiêu đề xác thực AH. Sự thoả thuận là mỗi nút xác nhận mã nhận dạng của
mình. Như vậy, sau khi pha 1 được thiết lập, cả hai bên sẽ biết đang nói chuyện với
Endpoint nào và có một kênh an toàn để liên lạc. Không giống pha 2, SAs phase 1 là
hai chiều, như vậy một SA đơn bảo vệ cả hai lưu lượng ra và vào................................43
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

2


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

..............................................................................................................................................43
Hình 19: Một sự thoả thuận kiểu main mode..................................................................43
..............................................................................................................................................45
Hình 20: Kiểu Main mode với một khoá dùng chung....................................................45
..............................................................................................................................................47
Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký..............................................47
..............................................................................................................................................48
Hình 22: Kiểu Main mode với sự chứng thực chìa khóa chung....................................48
..............................................................................................................................................49
Hình 23: Kiểm tra sự chứng thực khoá chung kiểu Main mode...................................49
Hình 24: Đường hầm IPSec được thiết lập......................................................................50

Hình 25: Tập chuyển đổi IPSec.........................................................................................51
Hình 26: Các kết hợp an ninh...........................................................................................52
Hình 27: Kết thúc đường hầm........................................................................................53
KẾT LUẬN CHUNG.........................................................................................................55
DANH MỤC TÀI LIỆU THAM KHẢO..........................................................................55

CÁC THUẬT NGỮ VIẾT TẮT
Từ

viết Từ đầy đủ

tắt
AH
CA
DES

Authentication Header
Certificate Authority
Data Encryption Standard

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

Ý nghĩa
Giao thức tiêu đề xác thực
Nhà phân phối chứng thực số
Thuật toán mật mã DES
3


Học viện Bưu chính viễn thông


IETF
DHCP

Internet Engineering Task Force
Cơ quan chuẩn Internet
Dynamic
Host
Configuration Giao thức cấu hình host động

Protocol
IKE
Internet Key Exchange
IP
Internet Protocol
IP-Sec
Internet Protocol Security
ISAKMP Internet Security Asociasion and
MD5
PPTP
PVC
P-SK
QoS
SA
VC
VCI
VNS
VPI
VPN
WAN

PPP

Báo cáo thực tập tốt nghiệp

Giao thức trao đổi khoá Internet
Giao thức Internet
Giao thức an ninh Internet
Giao thức quản lý khoá và kết hợp

Key Management Protocol
Message Digest 5
Point to Point Tunneling Protocol

an ninh Internet
Thuật toán MD5
Giao thức đường ngầm điểm tới

Permanrnent Virtual Circuit
Pre-shared keys
Quality of Service
Securty Association
Virtual Circuit
Virtual Circuit Identifier
Virtual Network Service
Virtual Path Identifier
Virtual Private Network
Wide Area Network
Point to Point Protocol

điểm

Mạng ảo cố định
Các khoá chia sẻ trước
Chất lượng dịch vụ
Kết hợp an ninh
Kênh ảo
Nhận dạng kênh ảo
Dịch vụ mạng ảo
Nhận dạng đường ảo
Mạng riêng ảo
Mạng diện rộng
Giao thức điểm tới điểm

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

4


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

LỜI NÓI ĐẦU......................................................................................................................1
CÁC THUẬT NGỮ VIẾT TẮT..........................................................................................3
CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO.............................................................9
Hình 1: Đường hầm của Mạng VPN trong môi trường Internet...................................10
1.1.2. Lợi ích của VPN........................................................................................................10
Tiết kiệm chi phí:................................................................................................................10
..............................................................................................................................................22
Hình 8: Bản tin điều khiển L2TP......................................................................................22
CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE.............................30

Hình 11: Khung giao thức được sử dụng trong IPSec....................................................34
Hình 12: 5 bước hoạt động của IPSec..............................................................................36
- Host A gửi lưu lượng cần bảo vệ tới Host B..................................................................36
Hình 13: Lưu lượng bảo vệ................................................................................................36
Hình 14: IKE Phase 1........................................................................................................37
Hình 15: Thoả thuận các thông số bảo mật IPSec..........................................................38
Hình 17: Kết thúc đường hầm..........................................................................................39
Hình 18: Tập chính sách IKE............................................................................................40
Chế độ nhanh (Aggressive mode) thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu
hơn). Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập
chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có
thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

5


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

gửi trở lại mọi thứ cần thiết để hoàn thành (complete) việc trao đổi. Cuối cùng bên
khởi tạo khẳng định (confirm) việc trao đổi. .................................................................43
Trong VPN giữa hai nút cho phép thiết lập kênh được mã hóa, xác nhận giữa hai nút.
Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên làm việc VPN và được xác
nhận bởi HA tương ứng bằng cách mixed up an toàn đàm phán IPsec thích hợp, hay
giao thức tiêu đề xác thực AH. Sự thoả thuận là mỗi nút xác nhận mã nhận dạng của
mình. Như vậy, sau khi pha 1 được thiết lập, cả hai bên sẽ biết đang nói chuyện với
Endpoint nào và có một kênh an toàn để liên lạc. Không giống pha 2, SAs phase 1 là

hai chiều, như vậy một SA đơn bảo vệ cả hai lưu lượng ra và vào................................43
..............................................................................................................................................43
Hình 19: Một sự thoả thuận kiểu main mode..................................................................43
..............................................................................................................................................45
Hình 20: Kiểu Main mode với một khoá dùng chung....................................................45
..............................................................................................................................................47
Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký..............................................47
..............................................................................................................................................48
Hình 22: Kiểu Main mode với sự chứng thực chìa khóa chung....................................48
..............................................................................................................................................49
Hình 23: Kiểm tra sự chứng thực khoá chung kiểu Main mode...................................49
Hình 24: Đường hầm IPSec được thiết lập......................................................................50
Hình 25: Tập chuyển đổi IPSec.........................................................................................51
Hình 26: Các kết hợp an ninh...........................................................................................52
Hình 27: Kết thúc đường hầm........................................................................................53
KẾT LUẬN CHUNG.........................................................................................................55
DANH MỤC TÀI LIỆU THAM KHẢO..........................................................................55
LỜI NÓI ĐẦU......................................................................................................................1
CÁC THUẬT NGỮ VIẾT TẮT..........................................................................................3
CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO.............................................................9
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

6


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

Hình 1: Đường hầm của Mạng VPN trong môi trường Internet...................................10

1.1.2. Lợi ích của VPN........................................................................................................10
Tiết kiệm chi phí:................................................................................................................10
..............................................................................................................................................22
Hình 8: Bản tin điều khiển L2TP......................................................................................22
CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE.............................30
Hình 11: Khung giao thức được sử dụng trong IPSec....................................................34
Hình 12: 5 bước hoạt động của IPSec..............................................................................36
- Host A gửi lưu lượng cần bảo vệ tới Host B..................................................................36
Hình 13: Lưu lượng bảo vệ................................................................................................36
Hình 14: IKE Phase 1........................................................................................................37
Hình 15: Thoả thuận các thông số bảo mật IPSec..........................................................38
Hình 17: Kết thúc đường hầm..........................................................................................39
Hình 18: Tập chính sách IKE............................................................................................40
Chế độ nhanh (Aggressive mode) thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu
hơn). Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập
chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có
thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận
gửi trở lại mọi thứ cần thiết để hoàn thành (complete) việc trao đổi. Cuối cùng bên
khởi tạo khẳng định (confirm) việc trao đổi. .................................................................43
Trong VPN giữa hai nút cho phép thiết lập kênh được mã hóa, xác nhận giữa hai nút.
Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên làm việc VPN và được xác
nhận bởi HA tương ứng bằng cách mixed up an toàn đàm phán IPsec thích hợp, hay
giao thức tiêu đề xác thực AH. Sự thoả thuận là mỗi nút xác nhận mã nhận dạng của
mình. Như vậy, sau khi pha 1 được thiết lập, cả hai bên sẽ biết đang nói chuyện với
Endpoint nào và có một kênh an toàn để liên lạc. Không giống pha 2, SAs phase 1 là
hai chiều, như vậy một SA đơn bảo vệ cả hai lưu lượng ra và vào................................43
..............................................................................................................................................43
Hình 19: Một sự thoả thuận kiểu main mode..................................................................43
..............................................................................................................................................45
Nguyễn Phan Việt – Lớp: L10cqvt06 - B


7


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

Hình 20: Kiểu Main mode với một khoá dùng chung....................................................45
..............................................................................................................................................47
Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký..............................................47
..............................................................................................................................................48
Hình 22: Kiểu Main mode với sự chứng thực chìa khóa chung....................................48
..............................................................................................................................................49
Hình 23: Kiểm tra sự chứng thực khoá chung kiểu Main mode...................................49
Hình 24: Đường hầm IPSec được thiết lập......................................................................50
Hình 25: Tập chuyển đổi IPSec.........................................................................................51
Hình 26: Các kết hợp an ninh...........................................................................................52
Hình 27: Kết thúc đường hầm........................................................................................53
KẾT LUẬN CHUNG.........................................................................................................55
DANH MỤC TÀI LIỆU THAM KHẢO..........................................................................55

Chương 1: Giới thiệu đơn vị thực tập
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

8


Học viện Bưu chính viễn thông


Báo cáo thực tập tốt nghiệp

CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO
1.1. Giới thiệu chung về mạng riêng ảo (VPN).
1.1.1. Mục đích của VPN.
Theo tổ chức IETF mạng riêng ảo VPN được định nghĩa là việc tạo ra
một mạng diện rộng dùng riêng sử dụng các thiết bị và các phương tiện truyền
dẫn của một mạng công cộng.
VPN là một đường hầm truyền dữ liệu mạng riêng từ một hệ thống ở
đầu này đến hệ thống ở đầu kia qua mạng chung như mạng Internet mà
không để đường truyền nhận biết có những “hop” trung gian giữa hai đầu,
hoặc không để cho những “hop” trung gian nhận biết chúng đang chuyển
những gói tin trên mạng đã được mã hóa đi qua đường hầm.
Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ
đầu mạng giúp cho những chi nhánh hay văn phòng ở xa hoặc những người
làm việc lưu động có thể dùng Internet truy cập tài nguyên công ty một cách
bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng công ty.
Tuy nhiên Internet là một môi trường không an toàn, dữ liệu truyền qua dễ bị
truy cập bất hợp pháp và nguy hiểm .Vì vậy mục đích chính của VPN là cung
cấp sự bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo
cân bằng giá thành cho toàn bộ quá trình xây dựng mạng.

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

9


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp


Hình 1: Đường hầm của Mạng VPN trong môi trường Internet
1.1.2. Lợi ích của VPN.
Tiết kiệm chi phí:
- VPN có thể giúp các doanh nghiệp tiết kiệm từ 50% - 70% chi phí
đầu tư vào các kết nối Leased Line và Remote Access truyền thống, giảm
đáng kể các chi phí đầu tư cho hạ tầng truyền thông và chi phí hàng tháng đối
với các kết nối Site To Site.
Bảo mật:
- VPN cung cấp chế độ bảo mật cao nhất nhờ các cơ chế mã hóa trên
nền tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập và bảo
mật hệ thống).
- Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào
hệ thống mạng riêng ảo trong mạng nội bộ.
Linh hoạt:
- VPN giúp việc bổ sung các kết nối cho văn phòng hay người dùng
được thực hiện nhanh chóng và dễ dàng mà không cần phải thay đổi lớn về cơ
sở hạ tầng, thiết bị.
- Số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi
nhánh lớn, không hạn chế số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu
sẽ có mô hình VPN phù hợp với loại hình kinh doanh của doanh nghiệp.
Hiệu quả:
- Với việc kết nối nhanh chóng, dễ dàng với chi phí thấp giúp doanh
nghiệp nâng cao được hiệu quả công việc của mình. Người dùng có thể kết
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

10


Học viện Bưu chính viễn thông


Báo cáo thực tập tốt nghiệp

nối bất cứ khi nào, bất cứ nơi đâu, thông tin liên tục chỉ cần ở đó có thể truy
cập Internet. Ngoài ra, doanh nghiệp có thể phát triển mô hình “làm việc từ
xa” để giảm chi phí thuê mặt bằng, tăng thời gian làm việc nhờ giảm thời gian
di chuyển của nhân viên.
1.1.3. Tính năng của VPN.
- Xác thực truy cập (User Authentication): Cung cấp cơ chế chứng thực
người dùng, chỉ cho phép người dùng hợp lệ và được phép kết nối và truy cập
hệ thống truy cập từ xa (VPN Server).
- Quản lý phân cấp địa chỉ (Address Management): Cung cấp địa chỉ IP
hợp lệ cho người dùng sau khi đăng nhập vào hệ thống VPN và khai thác các
tài nguyên trong mạng nội bộ (LAN) tạo thành mạng diện rộng (WAN).
- Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hoá dữ liệu
trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.
- Quản lý cung cấp khóa (Key Management): Cung cấp giải pháp quản
lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu.
- Hệ thống bảo mật (Firewall): Microsoft ISA Server 2004 sẽ đáp ứng
được các cơ chế bảo mật đề ra: IPSec, 3Des, Client Policy, RADIUS, LDAP
theo các tiêu chuẩn bảo mật và mã hóa của thế giới. Tại phía người truy cập
sẽ được đảm bảo an ninh với các cơ chế đóng gói và mã hoá của ứng dụng
VPN (VPN Client Sofware).
1.2. Phân loại mạng riêng ảo.
Ở đây chúng ta sẽ đi phân loại IP-VPN theo kiến trúc của nó. Các kiến
trúc của IP-VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP-VPN
(còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ
xa. Các Site-to-Site bao gồm các phương án như: Extranet IP-VPN và Intranet
IP-VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế
để giải quyết các tập vấn đề khác nhau. IP-VPN truy nhập từ xa bao gồm các


Nguyễn Phan Việt – Lớp: L10cqvt06 - B

11


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

phương pháp truy nhập quay số và truy nhập gọi trực tiếp, các phương pháp
này cũng sẽ được đề cập ở dạng kiến trúc chính.
1.2.1. IP-VPN truy nhập từ xa.
Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những
văn phòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại
hình IP-VPN truy nhập từ xa. Truy nhập IP-VPN từ xa cho phép mở rộng
mạng lưới của một tổ chức tới người sử dụng của họ thông qua chia sẻ cơ sở
hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám sát được tất cả
những người dùng. Truy nhập từ xa là phương thức đầu tiên sử dụng VPN.
Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chức
cho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng
nhánh và những đối tác thương mại. Cấu trúc IP-VPN này là phương tiện
thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN
(mạng số đa dịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL
(đường dây thuê bao số) và điện thoại cácp. Cấu trúc IP-VPN này được quan
tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể
đâu thông qua Internet.
Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những
mạng quản lí riêng sang dạng IP-VPN truy nhập từ xa dưới đây:
- Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến

mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối
Internet.
- Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng
IP-VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc
trực tiếp kết nối qua mạng băng rộng luôn hiện hành.
- Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng
của IP-VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho
cơ sở hạ tầng.
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

12


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

- Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi
thêm người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh
doanh hơn.
Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy
nhập từ xa vẫn gặp phải khó khăn sau:
- Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi
truyền và giải mật mã khi nhận được thông tin. Mặc dù tiêu đề nhỏ, nhưng nó
cũng ảnh hưởng đến một số ứng dụng.
- Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ
nhỏ hơn 400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu
đề của giao thức đường ngầm cần có thời gian để xử lí dữ liệu.
- Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ
đợi. Bởi vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về

số lượng phải đợi nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu
qua Internet. Điều này có thể không phải là vấn đề quá khó khăn, nhưng nó
cũng cần sự quan tâm. Người dùng có thể cần đến chu kì thiết lập kết nối nếu họ
cảm thấy lâu.
Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn
bộ quốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence:
điểm hiện diện) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc
gọi đường dài được giảm đi, tất cả các lo lắng về thủ tục quay số có thể được
nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp truy nhập gánh chịu. Các
IP-VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp
truyền Tunnel bắt buộc hay tự ý. Trong một kịch bản truy nhập từ xa quay số
sử dụng phương tiện của hãng khác, người sử dụng quay số đế các POP địa
phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nối PPP
(Point to Point Protocol: Giao thức điểm tới điểm). Sau khi người sử dụng đã
được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập
theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một Tunnel
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

13


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến.
Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối.
Kiến trúc này được mô tả ở hình. Công nghệ truyền Tunnel được lựa chọn
cho IP-VPN truy nhập quay số theo phương tiện của hãng khác là L2TP.


Hình 2: IP-VPN truy nhập từ xa
1.2.2. Site-to-Site IP-VPN.
Site-to-Site IP-VPN (hay còn được gọi là LAN-to-LAN) được sử dụng
để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các
địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm.
1.2.2.1. Intranet IP-VPN.
Một tổ chức có thể dùng IP-VPN không chỉ để kết nối các site trực
thuộc tổ chức mà còn để kết nối trong miền quản lí của mình như là các văn
phòng từ xa hoặc là các văn phòng nhánh tại các vùng địa lí khác nhau tới
mạng đầu não thông qua cơ sở hạ tâng chia sẻ. Những kết nối này có thể dùng
một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới
điểm. Tuy nhiên khi sử dụng IP-VPN thì sẽ có những ưu điểm sau đây: Giảm
bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng mở rộng site
mới, và vấn đề an toàn dữ liệu được đảm bảo hơn. Với khả năng này, Intranet
IP-VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

14


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các
cầu hay các Router.

Hình 3: Intranet IP-VPN
1.2.2.2. Extranet IP-VPN.
Extranet IP-VPN được sử dụng khi một tập đoàn không chỉ muốn

tương tác với các văn phòng ở xa của mình mà cả với các site trực thuộc
khách hàng của họ, các nguồn cung cấp và các thực thể khác liên quan đến
các giao dịch hay trao đổi thông tin. Các thực thể này thường được gọi là các
mạng đối tác. Để hỗ trợ các thông tin này, các Tunnel IP-VPN có thể được
thiết lập giữa các mạng riêng trực thuộc các thực thể riêng khác nhau. Các
chức năng IP-VPN như điều khiển truy nhập, nhận thực và các dịch vụ an
ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài
nguyên cần thiết cho kinh doanh. Các nguy cơ an ninh đối với Extranet lớn
hơn trong Intranet, vì thế IP-VPN và Extranet phải thực hiện được thiết kế
cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an
ninh duy nhất giữa các thành viên Extranet.

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

15


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

Hình 4: Extranet IP-VPN
1.3. Các giao thức đường ngầm trong VPN.
Như đã trình bày trong phần trên, các giao thức đường ngầm là nền
tảng của công nghệ VPN. Một giao thức đường ngầm sẽ thực hiện đóng gói
dữ liệu với phần header (và có thể có phần trailer) tương ứng để truyền qua
Internet. Có nhiều giao thức đường ngầm, việc sử dụng giao thức đường
ngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật
mã được dùng. Có 4 giao thức đường ngầm trong IP-VPN như sau:


PPTP (Point - to - Point Tunneling Protocol).

L2F (Layer two Forwarding).

L2TP (Layer Two Tunneling Protocol).

IPSec (Internet Protocol Security).
Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F. PPTP là
giao thức do nhiều công ty hợp tác phát triển. L2F là do Cisco phát triển độc
lập. PPTP và L2F đều được phát triển dựa trên giao thức PPP (Point - to Point Protocol). PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử
dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên. Trên cơ
sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP. Hiện nay
giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F.
Trong các giao thức đường ngầm nói trên, IPSec là giải pháp tối ưu về
mặt an toàn dữ liệu. IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

16


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

nhất. Ngoài ra, IPSec còn có tính linh hoạt cao: Không bị ràng buộc bởi bất
cứ thuật toán xác thực, mật mã nào, đồng thời có thể sử dụng IPSec cùng với
các giao thức đường ngầm khác để làm tăng tính an toàn cho hệ thống.
Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm
khác về khả năng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm.
Thứ nhất, IPSec là một khung tiêu chuẩn mới và còn đang được tiếp tục phát

triển, do đó số lượng các nhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều.
Thứ hai, để tận dụng khả năng đảm bảo an toàn dữ liệu của IPSec thì cần phải
sử dụng một cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure)
phức tạp để giải quyết vấn đề như chứng thực số hay chữ ký số.
Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được
hoàn thiện, nên các sản phẩm hỗ trợ chúng tương đối phổ biến. PPTP có thể
triển khai với một hệ thống mật khẩu đơn giản mà không cần sử dụng PKI.
Ngoài ra PPTP và L2TP còn có một số ưu điểm khác so với IPSec như khả
năng hỗ trợ đa giao thức lớp trên. Vì vậy, trong khi IPSec còn đang hoàn thiện
thì PPTP và L2TP vẫn được sử dụng rộng rãi. Cụ thể PPTP và L2TP thường
được sử dụng trong các ứng dụng truy nhập từ xa.
Trong phần này chúng ta sẽ đi tìm hiểu 2 giao thức đường ngầm là
PPTP và L2TP.
1.3.1. PPTP (Point - to - Point Tunneling Protocol)
PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP
datagram để truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết
nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường
ngầm; và một phiên bản của giao thức GRE (Generic Routing Encapsulation đóng gói định tuyến chung) để đóng gói các khung PPP. Phần tải tin của
khung PPP có thể được mật mã hoặc/và giải nén.
PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử
dụng giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

17


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp


PPTP). PPTP client có thể được nối trực tiếp qua việc quay số tới máy chủ
truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP.
Việc xác thực trong quá trình thiết lập kết nối IP-VPN trên giao thức
PPTP sử dụng các cơ chế xác thực của kết nối PPP, ví dụ EAP (Extensible
Authentication Protocol: giao thức nhận thực mở rộng), CHAP (Challenge Handshake Authentication Protocol: giao thức nhận thực đòi hỏi bắt tay),
PAP (Password Authentication Protocol: giao thức nhận thực khẩu lệnh).
PPTP cũng thừa hưởng việc mật mã hoặc/ và nén phần tải tin của PPP. Mật
mã phần tải PPP sử dụng MPPE (Microsoft Point - to - Point Encryption: mật
mã điểm tới điểm của Microsoft) (với điều kiện xác thực sử dụng giao thức
EAP - TLS (EAP - Transport Level Security: EAP - an ninh mức truyền tải)
hoặc MS - CHAP của Microsoft). MPPE chỉ cung cấp mật mã mức truyền
dẫn, không cung cấp mật mã đầu cuối đến đầu cuối. Nếu cần sử dụng mật mã
đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa
các đầu cuối sau khi đường ngầm PPTP đã được thiết lập. Máy chủ PPTP là
máy chủ IP-VPN sử dụng giao thức PPTP với một giao diện nối với Internet
và một giao diện khác nối với Intranet.
1.3.1.1. Duy trì đường ngầm bằng kết nối điều khiển PPTP.
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP
(có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng
cổng TCP dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều
khiển và quản lí cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP.
Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho Reply định kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP server.
Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản
tin điều khiển PPTP và các header, trailer của lớp đường truyền dữ liệu.

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

18



Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

Hình 5: Gói dữ liệu của kết nối điều khiển PPTP
1.3.1.2. Đóng gói dữ liệu đường ngầm PPTP.
a) Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói
thông qua nhiều mức. Hình 2.8 là cấu trúc dữ liệu đã được đóng gói.

Hình 6: Dữ liệu đường ngầm PPTP
Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần
tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần
tiêu đề của phiên bản sửa đổi giao thức GRE (Generic Routing Encapsulation:
giao thức đóng gói định tuyến chung), giao thức này cung cấp cơ chế chung
cho phép đóng gói dữ liệu để gửi qua mạng IP.
Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:
• Một bit xác nhận được sử dụng để khẳng định sự có mặt
của trường xác nhận 32 bit.
• Trường Key được thay thế bằng trường độ dài Payload 16
bit và trường chỉ số cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết
lập bởi PPTP client trong quá trình khởi tạo đường ngầm PPTP.
• Một trường xác nhận dài 32 bit được thêm vào.
b) Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE
Header sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ
nguồn và đích thích hợp cho PPTP client và PPTP server.
c) Đóng gói lớp liên kết dữ liệu : để có thể truyền qua mạng LAN hoặc
WAN, IP datagram cuối cùng sẽ được đóng gói với một Header và Trailer của
lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Ví dụ, nếu IP datagram được gửi
qua giao diện Ethernet, nó sẽ được gói với phần Header và Trailer Ethernet.
Nếu IP datagram được gửi qua đường truyền WAN điểm tới điểm (ví dụ như

đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần Header
và Trailer của giao thức PPP.
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

19


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

1.3.1.3. Xử lí dữ liệu đường ngầm PPTP.
Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP
server sẽ thực hiện các bước sau:
- Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
- Xử lý và loại bỏ IP Header.
- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết).
- Xử lý phần Payload để nhận hoặc chuyển tiếp.
1.3.1.4. Sơ đồ đóng gói.
Hình 2.9 là sơ đồ đóng gói PPTP qua kiến trúc mạng (từ một IP-VPN
client qua kết nối truy nhập từ xa VPN, sử dụng modem tương tự).

Hình 7: Sơ đồ đóng gói PPTP
Quá trình được mô tả các bước sau:
- Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới
giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối
VPN) sử dụng NDIS (Network Driver Interface Specification).
- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ
liệu, và cung cấp PPP Header. Phần tiêu đề PPP này chỉ gồm trường mã số

giao thức PPP (PPP Protocol ID Field), không có các trường Flags và FCS
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

20


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

(Frame Check Sequence). Giả định trường địa chỉ và điều khiển đã được thỏa
thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong
quá trình kết nối PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP
với phần tiêu đề GRE. Trong GRE Header, trường chỉ số cuộc gọi được đặt
giá trị thích hợp để xác định đường ngầm.
- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức
TCP/IP.
- TCP/IP dóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau
đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng
NDIS.
- NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header và
Trailer.
- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện
cho phần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem).
1.3.2. L2TP (Layer Two Tunneling Protocol).
Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại
gây khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức
L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao
thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng

của PPTP và L2F. L2TP được mô tả trong khuyến nghị RFC 2661.
L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame
Relay, hoặc ATM. Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa.
Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin
UDP, L2TP có thể được sử dụng như một giao thức đường ngầm thông qua
Internet hoặc các mạng riêng Intranet. L2TP dùng các bản tin UDP qua mạng
IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm.
Phần tải của khung PPP đã đóng gói có thể được mật mã, nén. Tuy nhiên mật
mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

21


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

phải MPPE như đối với PPTP). Cũng có thể tạo kết nối L2TP không mật mã
IPSec. Tuy nhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được
đóng gói bởi L2TP không được mật mã. Các kết nối L2TP không mật mã có
thể sử dụng tạm thời để sửa lỗi các kết nối L2TP dùng IPSec.
L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao
thức đường ngầm L2TP và IPSec). L2TP client có thể được nối trực tiếp tới
mạng IP để truy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số
tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết
nối IP. Việc xác thực trong quá trình hình thành đường ngầm L2TP phải sử
dụng các cơ chế xác thực như trong các kết nối PPP như EAP, MS-CHAP,
CHAP, PAP. Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thức L2TP với
một giao diện nối với Internet và một giao diện khác nối với mạng Intranet.

Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm có cùng cấu trúc gói.
1.3.2.1. Duy trì đường ngầm bằng bản tin điều khiển L2TP.
Không giống PPTP, việc duy trì đường ngầm L2TP không được thực
hiện thông qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy
trì cuộc gọi được gửi đi như các bản tin UDP giữa L2TP client và L2TP
server (L2TP client và L2TP server đều sử dụng cổng UDP 1701).
Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP
datagram. UDP datagram lại được mật mã bởi IPSec ESP như trên hình 2.10.

Hình 8: Bản tin điều khiển L2TP
Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm
bảo việc truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường
Next-Received (tương tự như TCP Acknowledgment) và Next-Sent (tương tự
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

22


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

như TCP Sequence Number) được sử dụng để duy trì thực tự các bản tin điều
khiển. Các gói không đúng thứ tự bị loại bỏ. Các trường Next-Sent và NextReceived cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng
cho các dữ liệu đường ngầm.
L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm. Trong bản tin điều
khiển L2TP và phần tiêu đề L2TP của dữ liệu đường ngầm có một mã số
đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi
(Call ID)để xác định cuộc gọi trong đường ngầm đó.
1.3.2.2. Đường ngầm dữ liệu L2TP.

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng
gói. Hình 2.11 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên
nên IPSec.

Hình 9: Đóng bao gói tin L2TP
a) Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP
Header và một L2TP Trailer.
b) Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP
Header, các địa chỉ cổng nguồn và đích được đặt bằng 1701.
c)Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật
mã và đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec
Authentication Trailer.
d) Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP
nguồn và đích của IP-VPN client và IP-VPN server.
e)Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường
truyền LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần
Header và Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

23


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

diện vật lý đầu ra. Ví dụ, khi các IP datagram được gửi vào một giao diện
Ethernet, IP datagram sẽ được đóng gói với Ethernet Header và Trailer. Khi
các IP datagram được gửi trên đường truyền WAN điểm tới điểm (chẳng hạn
đường dây điện thoại ISDN), IP datagram được đóng gói với PPP Header và

Trailer.
1.3.2.3. Xử lý dữ liệu đường ngầm L2TP trên nền IPSec.
Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client
hay L2TP server sẽ thực hiện các bước sau:
- Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu.
- Xử lý và loại bỏ IP Header.
- Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP
Header.
- Dùng IPSec ESP Header để giải mã phần gói đã mật mã.
- Xử lý UDP Header và gửi gói L2TP tới L2TP.
- L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header
để xác định đường ngầm L2TP cụ thể.
- Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới
đúng giao thức để xử lý.
1.3.2.4. Sơ đồ đóng gói L2TP trên nền IPSec.
Hình 2.12 là sơ đồ đóng gói L2TP qua kiến trúc mạng từ một IP-VPN
client thông qua một kết nối IP-VPN truy nhập từ xa sử dụng một modem
tương tự.

Nguyễn Phan Việt – Lớp: L10cqvt06 - B

24


Học viện Bưu chính viễn thông

Báo cáo thực tập tốt nghiệp

Hình 10: Sơ đồ đóng gói L2TP
Các bước sau mô tả quá trình đó:

- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới
giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích
hợp.
- NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPP
Header chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS
không được thêm vào.
- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP
Frame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ
số cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm.
- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin
để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701
với các địa chỉ IP của IP-VPN client và IP-VPN server.
- Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP
Header thích hợp. IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính
sách IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đóng
gói và mật mã phần bản tin UDP của gói IP sử dụng các ESP Header và
Trailer phù hợp. IP Header ban đầu với Protocol field được đặt là 50 được
Nguyễn Phan Việt – Lớp: L10cqvt06 - B

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×