Tải bản đầy đủ (.pdf) (105 trang)
  1. Trang chủ
    2. >>
  2. Kỹ Thuật - Công Nghệ
    3. >>
  3. Kĩ thuật Viễn thông

Nghiên cứu và ứng dụng mạng riêng ảo

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.35 MB, 105 trang )

TÓM TẮT LUẬN VĂN THẠC SĨ

Đề tài : Nghiên cứu và ứng dụng mạng riêng ảo
Tác giả luận văn : Phạm Minh Phúc

Khóa : 2009

Người hướng dẫn : PGS.TS. Phạm Minh Việt
Nội dung tóm tắt :
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn
thế giới cả về số lượng và kĩ thuật. Cùng với sự phát triển đó thì các vấn đề về bảo
mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng
hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin
liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy
rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng
lợi nhuận của tổ chức. Và một giải pháp được đưa ra để giải quyết các vấn đề này
là mạng riêng ảo VPN.
VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng
dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng
hay kết hợp cả hai để tạo ra một kết nối bảo mật giữa hai hoặc nhiều mạng riêng
trên hạ tầng mạng công cộng. Hiện nay có nhiều phương án triển khai VPN trên
nền IP, trong đó IPSec là phương án hiệu quả và phổ biến nhất. Phương pháp này
cho phép giảm được chi phí vận hành, duy trì quản lý đơn giản, và có khả năng mở
rộng mạng trong các trường hợp khác nhau một cách linh hoạt, không hạn chế về
mặt khoảng cách. Bởi tính hữu dụng của nó mà VPN nói chung và IPSec VPN nói
riêng là một trong những đề tài được nghiên cứu nhiều nhất.
Từ đó, đồ án được thực hiện với mục đích giới thiệu các kiến thức cơ bản về kỹ
thuật mạng riêng ảo VPN và đi sâu nghiên cứu các giao thức bảo mật được sử
dụng trong VPN là các giao thức định đường hầm lớp 2 và đặc biệt là IPSec. Đồng
thời đồ án cũng tiến hành mô phỏng một kết nối VPN site-to-site trên hạ tầng
mạng sử dụng các Router của Cisco.




Đồ án gồm 4 chương:
Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN
Giới thiệu tổng quan về VPN, các thành phần của VPN, cơ chế an toàn và kỹ
thuật đường hầm được sử dụng trong mạng riêng ảo.
Chương 2: Các giao thức định đường hầm lớp 2
Tìm hiểu các giao thức định đường hầm lớp 2 là các giao thức PPTP, L2F, L2TP,
nghiên cứu đặc điểm và cơ chế hoạt động của chúng.
Chương 3: Giao thức bảo mật IPSec
Nghiên cứu giao thức bảo mật lớp 3 cho VPN là IPSec, bao gồm các đặc tính bảo
mật, thành phần của IPSec, và các chế độ hoạt động của IPSec.
Chương 4: Triển khai IPSec VPN trên thiết bị Router Cisco
Hướng dẫn cách thiết lập một mô hình VPN đơn giản nhưng hết sức phổ biến, sử
dụng giao thức IPSec. Qua đó ta sẽ có được cái nhìn về cách thức hoạt động của
IPSec trong thực tế.
Từ kết quả mô phỏng và cơ sở lý thuyết đã nghiên cứu có thể thấy VPN là giải
pháp truyền thông tương đối hiệu quả đối với các doanh nghiệp đang có nhu cầu
mở rộng trên phạm vi toàn cầu. Với các giao thức bảo mật – giao thức định đường
hầm lớp 2 và giao thức IPSec, VPN đảm bảo tính an toàn, bảo mật và toàn vẹn dữ
liệu trong quá trình truyền thông. Về mặt kinh tế, VPN là phương pháp tối ưu,
giảm thiểu chi phí về đường truyền cũng như các thiết bị đầu cuối cho doanh
nghiệp. Chính vì thế, cùng với sự phát triển mạnh mẽ của Internet, VPN ngày càng
được sử dụng rộng rãi và dần trở thành giải pháp hàng đầu khi các doanh nghiệp
có nhu cầu mở rộng.


LỜI NÓI ĐẦU
Sự phát triển của ngành công nghệ thông tin đã có tác động tới các ngành khác
của nền kinh tế xã hội. Có thể nói sự ra đời của mạng Internet là một bước phát

triển mang tính chất bước ngoặt. Internet đã tác động mạnh mẽ tới các doanh nghiệp
làm kinh tế. Các doanh nghiệp có thể tìm kiếm cơ hội giao thương với các đối tác
nước ngoài, mở rộng các chi nhánh của mình trên phạm vi toàn cầu thông qua việc
trao đổi thông tin qua mạng Internet.
Tuy nhiên, cùng với sự phát triển mạnh mẽ của mạng Internet thì tội phạm trên
mạng xuất hiện ngày càng nhiều. Các thông tin mang tính chất nhạy cảm của các
doanh nghiệp, thậm chí những thông tin mang tính chất bí mật quốc gia cũng có thể
bị lấy cắp. Vì vậy bảo mật thông tin truyền trên mạng Internet là một bài toán cấp
thiết cần thiết phải giải quyết.
Sự ra đời mạng riêng ảo VPN chính là câu trả lời phù hợp nhất cho bài toán này.
Mạng riêng ảo giúp việc trao đổi thông tin giữa trụ sở chính với các chi nhánh hoặc
giữa các chi nhánh với nhau của các doanh nghiệp, tổ chức trở nên cực kì an toàn.
Cơ chế hoạt động của mạng riêng ảo là tạo một “đường hầm” trên nền mạng
internet công cộng cho phép các máy tính ở các nơi xa nhau làm việc với nhau như
chúng đang nằm trên cùng một mạng cục bộ.
Các chuyên gia đã khẳng định rằng VPN một trong số các công nghệ mang tính
chất xuyên phá. VPN ngày nay đã hoàn thiện và ngày càng phát triển, được ứng
dụng khá rộng rãi. Trước xu thế đó em đã chọn đề tài nghiên cứu “ Nghiên cứu và
ứng dụng mạng riêng ảo” nhằm chuẩn bị những kiến thức cần thiết, làm chủ công
nghệ phục vụ cho công việc hiện nay.
Do thời gian có hạn nên đồ án không thể tránh khỏi thiếu sót. Rất mong nhận
được nhiều ý kiến đóng góp quí báu từ các thầy, các cô và các bạn để đồ án hoàn
thiện hơn. Cuối cùng em xin chân thành cảm ơn thầy giáo PGS.TS. Phạm Minh
Việt đã tận tình hướng dẫn em hoàn thành đồ án này.


Nghiên cứu và ứng dụng mạng riêng ảo

MỤC LỤC
LỜI CAM ĐOAN .......................................................................................................5

DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU..........................................................6
DANH SÁCH CÁC TỪ VIẾT TẮT...........................................................................8
PHẦN MỞ ĐẦU.......................................................................................................10
CHƯƠNG 1. GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN ....................12
1.1.

Tổng quan về VPN ..................................................................................... 12

1.1.1.

Lịch sử phát triển ................................................................................. 12

1.1.2.

Khái niệm VPN.................................................................................... 13

1.1.3.

Ưu điểm của VPN................................................................................ 14

1.1.4.

Khuyết điểm của VPN ......................................................................... 15

1.1.5.

Các mô hình VPN cơ bản .................................................................... 15

1.2.


Các thành phần cơ bản của VPN ................................................................ 19

1.3.

Các cơ chế an toàn trong VPN ................................................................... 25

1.4.

Cơ sở kỹ thuật đường hầm.......................................................................... 26

1.4.1.

Các thành phần của kỹ thuật đường hầm............................................. 26

1.4.2.

Phương thức hoạt động của kỹ thuật đường hầm ................................ 27

1.4.3.

Định dạng bản tin đường hầm ............................................................. 29

1.4.4.

Phân loại đường hầm ........................................................................... 30

1.4.5.

Giao thức đường hầm .......................................................................... 31


CHƯƠNG 2. CÁC GIAO THỨC ĐỊNH ĐƯỜNG HẦM LỚP 2 ............................33
2.1.

Giao thức PPP (Point-to-Point Protocol).................................................... 33

2.1.1.

Quá trình hoạt động PPP...................................................................... 34

2.1.2.

Định dạng bản tin PPP ......................................................................... 35

2.1.3.

Bảo mật trong PPP............................................................................... 36

2.2.

Giao thức PPTP (Point-to-Point Tunneling Protocol)................................ 38
2


Nghiên cứu và ứng dụng mạng riêng ảo

2.2.1.

Vai trò của PPP trong giao dịch PPTP................................................. 38

2.2.2.


Các thành phần của PPTP.................................................................... 39

2.2.3.

Quá trình hoạt động PPTP ................................................................... 40

2.2.4.

Bảo mật trong PPTP ............................................................................ 44

2.2.5.

Ưu điểm và nhược điểm của PPTP...................................................... 46

2.3.

Giao thức L2F (Layer 2 Forwarding Protocol) .......................................... 47

2.3.1.

Quá trình hoạt động L2F...................................................................... 48

2.3.2.

Đường hầm L2F................................................................................... 49

2.3.3.

Bảo mật trong L2F............................................................................... 50


2.3.4.

Ưu điểm và nhược điểm của L2F ........................................................ 52

2.4.

Giao thức L2TP (Layer 2 Tunneling Protocol) .......................................... 52

2.4.1.

Các thành phần của L2TP.................................................................... 53

2.4.2.

Quá trình hoạt động của L2TP............................................................. 54

2.4.3.

Phân loại đường hầm L2TP ................................................................. 59

2.4.4.

Bảo mật trong L2TP ............................................................................ 63

2.4.5.

Ưu điểm và nhược điểm của L2TP...................................................... 64

CHƯƠNG 3. GIAO THỨC BẢO MẬT IPSEC .......................................................66

3.1.

Tổng quan IPSec......................................................................................... 66

3.2.

Kết hợp bảo mật IPSec ............................................................................... 67

3.3.

Các giải thuật mật mã trong IPSec ............................................................. 68

3.3.1.

Giải thuật mã hóa................................................................................. 69

3.3.2.

Giải thuật chứng thực gói tin ............................................................... 70

3.3.3.

Giải thuật thiết lập khóa....................................................................... 70

3.4.

Các giao thức bảo mật trong IPSec ............................................................ 70

3.4.1.


Giao thức xác thực tiêu đề AH ............................................................ 71

3


Nghiên cứu và ứng dụng mạng riêng ảo

3.4.2.
3.5.

Giao thức đóng gói dữ liệu bảo mật ESP ............................................ 72

Các chế độ IPSec ........................................................................................ 74

3.5.1.

Chế độ truyền tải.................................................................................. 74

3.5.2.

Chế độ đường hầm............................................................................... 75

3.6.

Trao đổi khóa IKE ...................................................................................... 76

3.6.1.

Các giai đoạn IKE................................................................................ 77


3.6.2.

Các chế độ IKE .................................................................................... 81

CHƯƠNG 4. TRIỂN KHAI IPSEC VPN TRÊN THIẾT BỊ ROUTER CISCO......85
4.1.

Môi trường mô phỏng................................................................................. 85

4.1.1.

Công cụ mô phỏng............................................................................... 85

4.1.2.

Mô hình mạng...................................................................................... 88

4.2.

Cấu hình IPSec VPN site-to-site ................................................................ 89

4.2.1.

Cấu hình định tuyến cơ bản cho các Router ........................................ 89

4.2.2.

Cấu hình IPSec VPN cho các Router .................................................. 92

4.3.


Kiểm tra kết nối VPN ................................................................................. 94

KẾT LUẬN.............................................................................................................101
TÀI LIỆU THAM KHẢO.......................................................................................102

4


Nghiên cứu và ứng dụng mạng riêng ảo

LỜI CAM ĐOAN
Tôi là Phạm Minh Phúc, tôi xin cam đoan luận văn thạc sỹ đề tài “Nghiên cứu và
ứng dụng mạng riêng ảo” do chính tôi nghiên cứu và thực hiện. Các thông tin, số
liệu được sử dụng trong luận văn là trung thực và chính xác

Hà Nội, ngày 12 tháng 09 năm 2011

Phạm Minh Phúc

5


Nghiên cứu và ứng dụng mạng riêng ảo

DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU

Hình 1.1. Mô hình mạng VPN............................................................................................14
Hình 1.2. Mạng VPN truy cập từ xa ...................................................................................15
Hình 1.3. Mạng VPN cục bộ ..............................................................................................16

Hình 1.4. Mạng VPN mở rộng ...........................................................................................18
Hình 1.5. Các thành phần cơ bản của VPN ........................................................................19
Hình 1.6. Quá trình thiết lập đường hầm ............................................................................27
Hình 1.7. Quá trình trao đổi thông tin.................................................................................28
Hình 1.8. Định dạng một gói tin đường hầm......................................................................29
Hình 1.9. Đường hầm tùy ý ................................................................................................30
Hình 1.10. Đường hầm cưỡng bức .....................................................................................31
Hình 2.1. Vị trí các giao thức đường hầm ở lớp hai trong mô hình OSI. ...........................33
Hình 2.2. Quá trình hoạt động của PPP ..............................................................................34
Hình 2.3. Cấu trúc frame PPP.............................................................................................35
Hình 2.4. R1 gửi ID- mật khẩu cho R3...............................................................................36
Hình 2.5. R3 gửi trả lời cho R1 ..........................................................................................36
Hình 2.6. R3 gửi bản tin yêu cầu tới R1 .............................................................................37
Hình 2.7. R1 gửi trả lời ID và mật khẩu của nó tới R3.......................................................37
Hình 2.8. R3 so sánh thông tin nhận được với dữ liệu sẵn có ............................................37
Hình 2.9. Đường hầm PPTP ...............................................................................................39
Hình 2.10. Trao đổi các bản tin kiểm soát PPTP trên kết nối PPP .....................................41
Hình 2.11. Bản tin điều khiển PPTP...................................................................................42
Hình 2.12. Quy trình đóng gói dữ liệu tại bên phát ............................................................43
Hình 2.13. Quy trình tách dữ liệu tại bên nhận...................................................................44
Hình 2.14. Đường hầm L2F................................................................................................48
Hình 2.15. Quá trình thiết lập đường hầm L2F giữa máy chủ và máy khách từ xa. ..........49
Hình 2.16. Quá trình xử lý gói tin trên đường hầm L2F.....................................................49
Hình 2.17. Định dạng bản tin L2F ......................................................................................50
Hình 2.18. Các thành phần của L2TP.................................................................................53
6


Nghiên cứu và ứng dụng mạng riêng ảo


Hình 2.19. Định dạng bản tin điều khiển L2TP..................................................................54
Hình 2.20. Quy trình đóng gói dữ liệu L2TP tại bên phát..................................................56
Hình 2.21. Quy trình tách dữ liệu tại bên thu. ....................................................................57
Hình 2.22. Quy trình thiết lập đường hầm L2TP................................................................58
Hình 2.23. Đường hầm cưỡng bức L2TP ...........................................................................60
Hình 2.24. Thiết lập đường hầm cưỡng bức L2TP.............................................................60
Hình 2.25. Đường hầm tùy ý L2TP ....................................................................................61
Hình 2.26. Thiết lập đường hầm chủ động L2TP ...............................................................62
Hình 2.27. Đường hầm cưỡng bức sử dụng IPSec .............................................................63
Hình 2.28. Đường hầm tùy ý sử dụng IPSec ......................................................................64
Hình 3.1. Vị trí của IPSec trong mô hình OSI....................................................................67
Hình 3.2. Định dạng một IPSec SA ....................................................................................68
Hình 3.3. Gói IP sau khi thêm AH Header ........................................................................71
Hình 3.4. Định dạng của IPSec AH ....................................................................................72
Hình 3.5. Gói IP sau khi thêm ESP header và trailer..........................................................73
Hình 3.6. Định dạng của ESP Header.................................................................................74
Hình 3.7. Hai chế độ làm việc của IPSec............................................................................74
Hình 3.8. Chèn mã xác thực AH hoặc ESP trong chế độ truyền tải ...................................75
Hình 3.9. Chèn mã xức thực AH hoặc ESP trong chế độ đường hầm................................76
Hình 3.10. Hai pha IKE ......................................................................................................77
Hình 3.11. Quá trình trao đổi các bản tin trong chế độ chính.............................................82
Hình 3.12. Quá trình trao đổi các bản tin trong chế độ linh hoạt .......................................83
Hình 3.13. Quá trình trao đổi bản tin trong chế độ nhanh ..................................................84
Hình 3.14. Quá trình trao đổi bản tin trong chế độ nhóm mới ...........................................84
Hình 4.1. Mô hình thử nghiệm IPSec VPN ........................................................................89
Hình 4.2. Địa chỉ IP của các cổng sau khi cấu hình ...........................................................91

Bảng 1.1. Bảng so sánh hai loại đường hầm....................................................................... 31
Bảng 2.1. Một số bản tin phổ biến trong việc kiểm soát kết nối PPTP .............................. 41
Bảng 2.2. Danh sách một số bản tin điều khiển và duy trì L2TP ....................................... 55


7


Nghiên cứu và ứng dụng mạng riêng ảo

DANH SÁCH CÁC TỪ VIẾT TẮT
Thuật ngữ
viết tắt

Tên đầy đủ

Nghĩa tiếng Việt

3DES

Triple DES

Thuật toán mã hoá 3DES

ACL

Access Control List

Danh sách điều khiển truy nhập

Asymetric Digital Subcrible

Đường dây thuê bao số không đối
xứng


AES

Advanced Encrytion Standard

Chuẩn mã hoá cao cấp

AH

Authentication Header

Giao thức xác thực tiêu đề

ATM

Asynchronous Transfer Mode

Công nghệ truyền tải không đồng
bộ

CHAP

Challenge-Handshake
Authentication Protocol

Giao thức xác thực kiểu hỏi đáp

DCE

Data Communicaton Equipment


Thiết bị truyền thông dũ liệu

DES

Data Encrytion Standard

Chuẩn mã hoá dữ liệu

DTE

Data Terminal Equipment

Thiết bị đầu cuối dữ liệu

EAP

Extensible Authentication
Protocol

Giao thức xác thực mở rộng

ESP

Encapsulating Security Payload

Giao thức đóng gói tải an toàn

GRE


Generic Routing Protocol

Giao thức đóng gói định tuyến
chung

ADSL

HDLC

High-Level Data Link Control

IETF

Internet Engineering Task Force

Cơ quan chuẩn hoá Internet

IKE

Internet Key Exchange

Giao thức trao đổi khoá Internet

Internet Protocol

Giao thức Internet

Internet Protocol Security

Giao thức an ninh Internet


IP
IPSec

8


Nghiên cứu và ứng dụng mạng riêng ảo

ISDN

Integrated Service Digital
NetWork

Mạng số tích hợp đa dịch vụ

ISP

Internet Service Provider

Nhà cung cấp dịch vụ Internet

L2F

Layer 2 Forwarding

Giao thức chuyển tiếp lớp 2

L2TP


Layer 2 Tunneling Protocol

Giao thức đường hầm lớp 2

LAN

Local Area Network

Mạng cục bộ

LCP

Link Control Protocol

Giao thức điều khiển liên kết

MD5

Message Digest 5

Tổng kết thông điệp

MS-CHAP

Microsoft Challenge Handshake
Authentication

NAS

Network Access Server


Máy chủ truy nhập

NCP

Network Control Protocol

Giao thức điều khiển mạng

PAP

Password Authentication Protocol

PPP

Point-to-Point Protocol

Giao thức điểm tới điểm

Point to Point Tunneling Protocol

Giao thức đường hầm điểm tới
điểm

Security Assocciation

Kết hợp an ninh

SHA-1


Secure Hash Algorithm -1

Thuật toán băm SHA-1

SPI

Security Parameter Index

Chỉ số thông số an ninh

VPN

Virtual Private Network

Mạng riêng ảo

WAN

Wide Area Network

Mạng diện rộng

PPTP
PSTN
SA

9


Nghiên cứu và ứng dụng mạng riêng ảo


PHẦN MỞ ĐẦU
VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng
dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng
hay kết hợp cả hai để tạo ra một kết nối bảo mật giữa hai hoặc nhiều mạng riêng
trên hạ tầng mạng công cộng. Hiện nay có nhiều phương án triển khai VPN trên nền
IP, trong đó IPSec là phương án hiệu quả và phổ biến nhất. Phương pháp này cho
phép giảm được chi phí vận hành, duy trì quản lý đơn giản, và có khả năng mở rộng
mạng trong các trường hợp khác nhau một cách linh hoạt, không hạn chế về mặt
khoảng cách. Bởi tính hữu dụng của nó mà VPN nói chung và IPSec VPN nói riêng
là một trong những đề tài được nghiên cứ nhiều nhất.
Từ đó, đồ án được thực hiện với mục đích giới thiệu các kiến thức cơ bản về kỹ
thuật mạng riêng ảo VPN như các mô hình VPN, các thành phần cơ bản, cơ chế an
toàn trong VPN và đi sâu nghiên cứu các giao thức bảo mật được sử dụng trong
VPN là các giao thức định đường hầm lớp 2 và đặc biệt là IPSec.
Đồ án gồm 4 chương:
Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN
Giới thiệu tổng quan về VPN, các ứng dụng của VPN, các thành phần và kiến trúc
của mạng riêng ảo.
Chương 2: Các giao thức định đường hầm lớp 2
Tìm hiểu các giao thức định đường hầm lớp 2, nghiên cứu đặc điểm và cơ chế
hoạt động của chúng.
Chương 3: Giao thức bảo mật IPSec
Nghiên cứu giao thức bảo mật lớp 3 cho VPN là IPSec, bao gồm các đặc tính bảo
mật, thành phần của IPSec, và các chế độ hoạt động của IPSec.

10


Nghiên cứu và ứng dụng mạng riêng ảo


Chương 4: Triển khai IPSec VPN trên thiết bị Router Cisco
Hướng dẫn cách thiết lập một mô hình VPN đơn giản nhưng hết sức phổ biến, sử
dụng giao thức IPSec. Qua đó ta sẽ có được cái nhìn về cách thức hoạt động của
IPSec trong thực tế.

11


Nghiên cứu và ứng dụng mạng riêng ảo

CHƯƠNG 1. GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN
Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển sang
sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Cho
đến hiện nay, hầu hết các doanh nghiệp đã và đang thiết lập dịch vụ mạng riêng ảo
VPN nhằm thỏa mãn nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như
giữa các văn phòng cách xa về địa lý. VPN được xem là phương thức truyền thông
hữu hiệu và được sử dụng khá phổ biến hiện nay. Chương này sẽ nghiên cứu các
vấn đề cơ bản về VPN: các mô hình VPN, các thành phần cơ bản, các cơ chế an
toàn và cơ sở kỹ thuật đường hầm sử dụng trong VPN.
1.1. Tổng quan về VPN
1.1.1.

Lịch sử phát triển

VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã
được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế
hệ mạng cho đến ngày nay.
Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối thập niên tám
mươi. VPN được biết đến như là “mạng được định nghĩa bởi phần mềm” (Software

Defined Network - SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết
lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại
mỗi cố gắng truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ
được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng.
Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN
vào đầu thập kỷ chín mươi. Trong một thời gian, giao thức X25 qua mạng ISDN
được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình
truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị
lãng quên trong một thời gian ngắn.

12


Nghiên cứu và ứng dụng mạng riêng ảo

Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công nghệ Frame
Relay và công nghệ ATM ra đời và thế hệ thứ ba của VPN dựa trên 2 công nghệ
này. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo.
Trong thời gian gần đây, thương mại điện tử đã trở thành một phương thức thương
mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn.
Người dùng mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi,
quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở
mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN là IPVPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công
nghệ đường hầm.
1.1.2.

Khái niệm VPN

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng thông qua các
mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng

chung (thường là internet) để kết nối các site (các mạng riêng lẻ) hay nhiều người
sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường
leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng
riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ
liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung
cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm bảo mật
giữa nơi nhận và nơi gửi giống như một kết nối điểm-tới-điểm trên mạng riêng.
Theo định nghĩa chuẩn mà tổ chức IETF đưa ra thì VPN là “một sự mô phỏng
mạng WAN riêng sử dụng các tài nguyên của mạng IP công cộng chia sẻ chung như
mạng Internet hoặc mạng xương sống IP”.

13


Nghiên cứu và ứng dụng mạng riêng ảo

Hình 1.1. Mô hình mạng VPN

1.1.3.
-

Ưu điểm của VPN

Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải

pháp truyền tin truyền thống như Frame Relay, ATM hay ISDN. Lý do là VPNs đã
loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ
và mạng truyền tải như ISP.
-


Giảm chi phí vận hành: VPN giúp giảm chi phí truyền thông ở khoảng cách

xa, cũng như chi phí cho thiết bị đầu cuối được sử dụng trong mạng WAN. Ngoài ra
VPN còn giúp các doanh nghiệp giảm chi phí trong việc đào tạo và quản lý nhân sự.
-

Nâng cao kết nối: Do VPN sử dụng mạng Internet cho kết nối nội bộ giữa chi

nhánh, nên dù ở bất cứ chi nhánh nào người sử dụng cũng có thể kết nối dễ dàng
với mạng nội bộ của doanh nghiệp
-

Bảo mật: Bởi vì VPN sử dụng kỹ thuật đường hầm để truyền dữ liệu thông qua

mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử
dụng thêm các phương pháp tăng cường bảo mật như mã hóa, chứng thực và ủy
quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.
-

Hiệu suất băng thông: Trong kỹ thuật VPN thì các “đường hầm” chỉ được hình

thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có
kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.

14


Nghiên cứu và ứng dụng mạng riêng ảo

-


Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên nó cho phép

các mạng nội bộ của doanh nghiệp có thể được mở rộng khi mà hoạt động kinh
doanh phát triển hơn, mà không yêu cầu nâng cấp, hoặc đầu tư lại nhiều cho cơ sở
hạ tầng mạng
1.1.4.
-

Khuyết điểm của VPN

Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn

mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng
VPNs.
-

Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ

thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn và các thiết bị và
giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp
được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết ở một
chừng mực bởi các cơ chế đường hầm.
1.1.5.
a.

Các mô hình VPN cơ bản
Mạng VPN truy cập từ xa (Remote Access VPN)

Mạng VPN truy cập từ xa cho phép người dùng truy cập bất cứ lúc nào và bất cứ

ở đâu từ các thiết bị truyền thông đến tài nguyên mạng của doanh nghiệp. Ðặc biệt
là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ
mà không có kết nối thường xuyên đến mạng nội bộ của doanh nghiệp.

Hình 1.2. Mạng VPN truy cập từ xa
15


Nghiên cứu và ứng dụng mạng riêng ảo

Ưu điểm của mô hình VPN truy cập từ xa
-

Giảm chi phí cho các máy chủ, thiết bị đầu cuối không cần thiết.

-

Có khả năng mở rộng, dễ dàng thực hiện khi thêm người dùng mới.

-

Giảm chi phí truyền thông cho những kết nối ở khoảng cách xa.
Tuy nhiên, mô hình này cũng còn có những nhược điểm

-

Không đảm bảo chất lượng dịch vụ, đặc biệt khi trao đổi các gói dữ liệu lớn như

các gói dữ liệu âm thanh, hình cảnh.
-


Khả năng mất dữ liệu cao, overhead tăng đáng kể do thuật toán mã hóa phức

tạp.
b.

Mạng VPN cục bộ (Intranet VPN)

Mạng VPN cục bộ cung cấp một kênh ảo giữa các chi nhánh, văn phòng của một
công ty dựa trên việc sử dụng mạng công cộng Internet. Hạ tầng mạng WAN sẽ sử
dụng các phương pháp bảo mật như IPSec hoặc GRE để tạo một đường hầm giữa 2
chi nhánh. Mô hình này còn được biết đến như một mô hình VPN điểm-nối-điểm

Hình 1.3. Mạng VPN cục bộ

Những ưu điểm của mạng VPN cục bộ:
-

Giảm thiểu chi phí cho các thiết bị đầu cuối sử dụng trong mạng WAN.

16


Nghiên cứu và ứng dụng mạng riêng ảo

-

Mạng Internet sử dụng như một kết nối trung gian nên dễ dàng trong việc mở

rộng các site hay chi nhánh mới của doanh nghiệp.

-

Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ,

loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp doanh nghiệp giảm thiểu chi phí
cho việc thực hiện kết nối các mạng nội bộ.
Nhược điểm:
-

Khả năng mất gói khi truyền dữ liệu cao

-

Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ

thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
-

Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet nên

vẫn còn nhiều mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ.
c.

Mạng VPN mở rộng (Extranet VPN)

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN
mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng
cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết
để mở rộng cho những đối tượng kinh doanh như các đối tác, khách hàng và các
nhà cung cấp…

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử
dụng các kết nối luôn luôn được bảo mật và cũng được cấu hình như một VPN
điểm-nối-điểm. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự
truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.

17


Nghiên cứu và ứng dụng mạng riêng ảo

Hình 1.4. Mạng VPN mở rộng

Những ưu điểm chính của mạng VPN mở rộng:
-

Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.

-

Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.

-

Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ

hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của
mỗi doanh nghiệp.
-


Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm

được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm chi phí vận hành của
toàn mạng.
Tuy nhiên, mạng VPN mở rộng cũng còn những nhược điểm:
-

Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng

vẫn tồn tại.
-

Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền

dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường
Internet.
-

Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

18


Nghiên cứu và ứng dụng mạng riêng ảo

1.2. Các thành phần cơ bản của VPN
Người dùng truy
cập từ xa

Mạng Internet

CSU/DSU
Văn phòng trung tâm

CSU/DSU
Văn phòng từ xa
Bộ định
tuyến

Tường
lửa

User

Tường
lửa

User

Máy chủ
VPN
Máy chủ
VPN

Bộ định
tuyến

Máy chủ điều khiển truy
nhập và chứng thực

Máy chủ điều khiển truy

nhập và chứng thực

Hình 1.5. Các thành phần cơ bản của VPN

a.

Máy chủ VPN

Máy chủ VPN (VPN server) là thiết bị mạng dùng để chạy phần mềm máy chủ,
máy chủ có thể là máy tính tốc độ xử lý cao, dung lượng lớn và được cài đặt phần
mềm máy chủ. Nhiệm vụ của máy chủ là cung cấp dịch vụ cho máy khách và thực
hiện quá trình bảo mật cho mạng, máy chủ phải có tính sẵn sàng và độ tin cậy cao,
có khả năng phục vụ các yêu cầu kết nối tại mọi thời điểm.
Chức năng của máy chủ:
-

Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi có

nhiều yêu cầu kết nối đồng thời từ các máy khách.
-

Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho phép

người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất
hợp pháp.

19


Nghiên cứu và ứng dụng mạng riêng ảo


-

Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của

đường hầm là máy khách, máy chủ có thể thực hiện việc khởi tạo đường hầm nếu
sử dụng đường hầm cường bức.
-

Mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng công

cộng.
-

Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật chứng thực người

dùng...
-

Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách.

-

Máy chủ VPN có thể kiêm nhiệm luôn chức năng của một router hay một

gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách). Khi mạng lớn, vì
máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng
của router hay gateway thì máy chủ sẽ chạy chậm hơn.
b.


Máy khách VPN

Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các
máy tính nằm trong cùng một mạng cục bộ của một văn phòng công ty) hoặc thiết
bị ở xa (người dùng di động), nó khởi tạo kết nối đến máy chủ VPN, sau khi được
xác nhận và cấp phép máy khách sẽ được phép truy nhập vào máy chủ, khi đó máy
chủ và máy khách bắt đầu thực hiện quá trình truyền thông với nhau. Máy khách có
thể là một máy hoạt động dựa trên phần mềm hoặc là một thiết bị phần cứng chuyên
dụng.
Đặc trưng của một máy khách VPN:
-

Những người làm việc ở xa văn phòng trung tâm của công ty có thể thông qua

mạng công cộng để truy nhập vào mạng công ty, rất thuận tiện khi nhân viên làm
việc tại nhà.
-

Các nhà quản trị mạng có thể thông qua mạng công cộng để kết nối với những

nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa
chữa khắc phục sự cố cho các người dùng ở xa.

20


Nghiên cứu và ứng dụng mạng riêng ảo

c.


Bộ định tuyến VPN

Bộ định tuyến (router) có vai trò tạo ra kết nối với các nút ở đầu xa. Chức năng
chính của bộ định tuyến là định đường đi cho gói dữ liệu qua mạng, vì trong mạng
chuyển mạch gói để đi tới một nút có rất nhiều đường nên nhiệm vụ của bộ định
tuyến là tìm đường cho dữ liệu đến đích một cách nhanh nhất. Chức năng chính của
bộ định tuyến VPN cũng như bộ định tuyến thông thường, ngoài ra nó còn cung cấp
thêm các chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ
(QoS) trên đường truyền. Do đó bộ định tuyến thông thường cũng có thể dùng làm
bộ định tuyến VPN nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng
dịch vụ, khi xây dựng mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng
cho VPN.
Hiện nay người ta có thể nâng cấp các router thông thường thành router VPN
bằng cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một
ít thời gian để cấu hình, cài đăt và kiểm tra lỗi. Điều này giúp tận dụng được các
router cũ, từ đó góp phần giảm chi phí khi xây dựng VPN.
Thông thường nếu không sử dụng tường lửa (firewall) thì bộ định tuyến là điểm
cuối của đường hầm VPN. Máy chủ VPN cũng có khả năng đảm nhiệm vai trò của
router VPN. Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định
tuyến, còn những mạng lớn vì máy chủ phải thực hiện nhiều công việc, mạng phải
đáp ứng số lượng lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng.
Người ta có thể sử dụng bộ định tuyến kèm chức năng lọc gói. Tuy nhiên, lọc gói
không đủ để bảo mật đối với nhiều dạng tấn công có thể xảy ra trên mạng, đây là
một trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau. Trong
phạm vi của VPN, bộ định tuyến hiện đang được ưa chuông nhất là các bộ định
tuyến mã hóa.
Những yêu cầu đối với bộ định tuyến:

21



Nghiên cứu và ứng dụng mạng riêng ảo

-

Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết

nối mạng riêng biệt.
-

Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, HMAC-

MD5, HMAC-SHA-1…
-

Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng.

-

Hạn chế việc truy cập đến các khóa.

-

Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗi khi có một kết

nối mới.
-

Hỗ trợ cơ chế chống phát lại (anti-replay).


-

Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo quá trình

lặp lại những hoạt động không được phép.
-

Hỗ trợ cả hai chế độ truyền tải và đường hầm của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại lớp

mạng trong mô hình OSI, không dùng để xác thực người dùng. Do đó, cần phải có
thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN có tính
bảo mật.
d.

Bộ tập trung VPN

Bộ tập trung VPN (VPN concentrator) có chức năng giống như hub trong LAN
truyền thống, nó dùng để thiết lập một VPN truy nhập từ xa có kích thước nhỏ.
Nó giúp tăng dung lượng và công suất của hệ thống, đồng thời cũng cung cấp khả
năng xác thực và bảo mật cao.
e.

Cổng nối VPN

Cổng nối IP (IP gateway) là thiết bị chuyển các giao thức không phải là giao thức
IP sang giao thức IP và ngược lại. Nhờ đó mạng cục bộ có khả năng kết nối với
mạng Internet và thực hiện các giao dịch dựa trên nền IP. VPN gateway có thể là
thiết bị phần cứng chuyên dụng hoặc là giải pháp dựa trên phần mềm. Nếu là thiết


22


Nghiên cứu và ứng dụng mạng riêng ảo

bị phần cứng nó sẽ được đặt ở giữa mạng cục bộ với mạng bên ngoài, còn nếu là
giải pháp phần mềm nó được cài trên máy chủ.
Cổng nối VPN là các cổng nối bảo mật được đặt giữa mạng riêng và mạng công
cộng nhằm ngăn chặn sự xâm nhập bất hợp pháp từ ngoài vào mạng riêng. Ngoài ra
cổng nối VPN còn có khả năng thiết lập đường hầm VPN và mã hoá dữ liệu trước
khi truyền đi qua mạng công cộng.
f.

Tường lửa

Tường lửa là một tấm chắn ngăn chặn sự xâm nhập bất hợp pháp từ bên ngoài vào
mạng nội bộ. Tường lửa có nhiều loại, mỗi loại có cơ chế hoạt động riêng.
¾

Các loại tường lửa :

Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gói (Packet Filters),
các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application Proxies), kiểm
tra trạng thái.
-

Các bộ lọc gói:

Bộ lọc gói là loại tường lửa xuất hiện sớm nhất. Nó lọc gói dựa trên địa chỉ nguồn
và địa chỉ đích của tất cả các gói IP đến để đưa ra quyết định cấm hay cho phép

chuyển các gói này qua tường lửa dựa trên những quyền mà người quản trị mạng đã
thiết lập. Ngoài ra nó còn lọc gói dựa trên loại giao thức, dựa trên cổng TCP hoặc
UDP, dựa trên số hiệu phân mảnh.
Tường lửa lọc gói có một số ưu điểm đó là: cơ chế đơn giản, xử lý gói rất nhanh,
có thể tích hợp ngay trên phần mềm của bộ định tuyến và nó hoạt động mang tính
trong suốt đối với các người dùng đầu cuối.
Những bộ lọc gói có thể sử dụng như một thành phần trong VPN để giới hạn lưu
lượng chuyển qua một kênh. Tuy vây, việc lọc gói thường không yêu cầu phải sử
dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các
bộ định tuyến có hỗ trợ TCP/IP.

23


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×