LUẬN VĂN TỐT NGHIỆP KỸ SƯ NGÀNH CÔNG NGHỆ THÔNG TIN ĐỀ TÀI :TÌM HIỂU VÀ TRIỂN KHAI ỨNG DỤNG VPN TRÊN NỀN WINDOWS SERVER 2008
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.09 MB, 66 trang )
ĐẠI HỌC ĐÀ NẴNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA CÔNG NGHỆ THÔNG TIN
Tel. (84-511) 736 949, Fax. (84-511) 842 771
Website: itf.ud.edu.vn, E-mail:
LUẬN VĂN TỐT NGHIỆP KỸ SƯ
NGÀNH CÔNG NGHỆ THÔNG TIN
MÃ NGÀNH : 05115
ĐỀ TÀI :
TÌM HIỂU VÀ TRIỂN KHAI ỨNG DỤNG VPN TRÊN NỀN
WINDOWS SERVER 2008
Mã số : 06T3-019
Ngày bảo vệ : 15-16/06/2011
SINH VIÊN : NGUYỄN TRUNG KIÊN
LỚP :
06T3
CBHD :
PGS.TS PHAN HUY KHÁNH
ĐÀ NẴNG, 06/2011
LỜI CẢM ƠN
Đầu tiên em xin chân thành gởi lời cảm ơn đến quý thầy cô giáo của Đại Học
Đà Nẵng, Trường Đại Học Bách Khoa nói chung và các thầy cơ giáo của khoa Cơng
Nghệ Thơng Tin nói riêng đã tận tình dạy dỗ, truyền đạt kiến thức, kinh nghiệm cho
em trong suốt 5 năm học vừa qua.
Đặc biệt em xin cảm ơn thầy PGS.TS Phan Huy Khánh là giáo viên trực tiếp
hướng dẫn em nghiên cứu và hoàn thành luận văn tốt nghiệp.
Trong suốt quá trình thực hiện luận văn em đã cố gắng hoàn thành tốt đề tài
của mình song khơng tránh khỏi những sai sót, kính mong các thầy cô chỉ bảo để em
sửa chữa và rút ra bài học kinh nghiệm làm hành trang bước vào đời.
Em xin chân thành cảm ơn!
LỜI CAM ĐOAN
Tôi xin cam đoan :
1 Những nội dung trong báo cáo này là do em thực hiện dưới sự
hướng dẫn củathầy PHAN HUY KHÁNH.
2 Mọi tham khảo dùng trong báo cáo này đều được trích dẫn rõ ràng
tên tác giả, nguồn gốc, thời gian, địa điểm công bố.
3 Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá,
chúng tơi xin chịu hồn tồn trách nhiệm.
Sinh viên,
Nguyễn Trung Kiên
MỤC LỤC
MỞ ĐẦU...........................................................................................................1
I.
GIỚI THIỆU VỀ ĐỀ TÀI..........................................................................................1
I.1.
Lý do nghiên cứu về đề tài:...........................................................................1
I.2.
Mục đích của đề tài........................................................................................1
I.3.
Ứng dụng của đề tài.......................................................................................2
II.
PHẠM VI NGHIÊN CỨU CỦA ĐỀ TÀI..............................................................2
CƠ SỞ LÝ THUYẾT CỦA ĐỀ TÀI...............................................................3
I.
II.
III.
IV.
V.
Tổng quan về Windows Server 2008.........................................................................3
I.1.
Tổng quan.......................................................................................................3
I.2.
Những điểm mới trong Windows Server 2008..............................................3
Giới thiệu VPN.......................................................................................................5
II.1. Một số khái niệm............................................................................................5
II.2. Cơ chế đảm bảo an toàn.................................................................................6
II.3. Sư phát triển của VPN...................................................................................6
II.4. Giao thức đường hầmVPN............................................................................7
II.4.1.
Khái niệm đường hầm Tunneling...............................................................7
II.4.2.
Giao thức đường hầm chính......................................................................7
II.5. Ưu điểm và khuyết điểm của VPN................................................................8
II.5.1.
Ưu điểm......................................................................................................8
II.5.2.
Khuyết điểm................................................................................................9
II.6. Đánh giá VPN................................................................................................9
Các dạng của VPN...............................................................................................10
III.1. Remote Access VPN....................................................................................11
III.2. Intranet VPN................................................................................................13
III.3. Extranet VPN...............................................................................................15
Các giao thức đường hầm phổ biến.....................................................................17
IV.1. Tổng quan.....................................................................................................17
IV.2. Point-to-Point Tunneling Protocol (PPTP)..................................................17
IV.2.1. Các quy trình xử lý giao thức PPTP........................................................17
IV.2.2. Bảo mật PPTP.......................................................................................18
IV.2.3. Ưu điểm và khuyết điểm của PPTP.........................................................18
IV.2.4. Nhược điểm của PPTP.............................................................................18
IV.3. Layer 2 Tunneling Protocol (L2TP)............................................................19
IV.3.1. Bảo mật L2TP..........................................................................................20
IV.3.2. Ưu và khuyết điểm của L2TP...................................................................20
IV.3.3. Đặc điểm nổi bật của SSTP.....................................................................21
BẢO MẬT TRONG VPN....................................................................................22
V.1. Xác nhận người dùng và quản lý truy cập..................................................22
V.1.1.
Xác nhận người dùng...............................................................................23
V.1.2.
Quản lý truy cập.......................................................................................23
V.2. Mã hóa dữ liệu.............................................................................................23
TRIỂN KHAI ỨNG DỤNG VPN TRÊN WINDOWS SERVER 2008......25
I.
VPN Client to Site....................................................................................................25
i
I.1.
Cấu hình VPN Server bằng giao thức PPTP...............................................27
I.2.
Tạo user để VPN Client kết nối vào VPN Server.......................................31
I.3.
Cấu hình VPN client....................................................................................32
I.4.
Cấu hình VPN Server bằng giao thức L2TP...............................................40
II.
VPN SITE TO SITE.............................................................................................45
II.1. Cài đặt Role Routing and Remote Access trên VPN Server1 và VPN Server2
45
II.2. Cấu hình VPN trên máy VPN Server HCM.................................................48
II.3. Cấu hình trên VPNDN.................................................................................57
KẾT LUẬN....................................................................................................60
I. KẾT QUẢ ĐẠT ĐƯỢC...........................................................................................60
II.
HƯỚNG PHÁT TRIỂN ĐỀ TÀI.........................................................................60
ii
CHƯƠNG 1
MỞ ĐẦU
.I
.I.1.
GIỚI THIỆU VỀ ĐỀ TÀI
Lý do nghiên cứu về đề tài:
Trong thời đại hiện nay Internet đã phát triển bùng nổ với tốc độ chóng mặt trên
tồn thế giới. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào
hệ thống Internet mỗi giờ mà cịn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện
đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau. Thương mại điện tử, mọi
hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.
Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông
tin chuyển đến người sử dụng một cách tự do và nhanh chóng mà khơng xem xét đến
máy và mạng mà người sử dụng đó đang dùng. Để làm được điều này người ta sử
dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau. Các
máy tính kết nối vào Internet thơng qua nhà cung cấp dịch vụ (ISP-Internet Service
Provider), cần một giao thức chung là TCP/IP.
Chi phí bổ sung cho thơng tin liên lạc, truyền tải dữ liệu giữa các chi nhánh
trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng
mạng internet, từ đó có thể tăng lợi nhuận của tổ chức. Tuy nhiên, do Internet là
nguồn thông tin công cộng nên có thể được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất
kỳ nơi đâu, việc trao đổi thông tin có thể bị nghe trộm, bị thay đổi dữ liệu trong quá
trình trao đổi.
Vấn đề bảo vệ các nguồn thông tin quan trọng lưu trên hệ thống được coi
trọng hơn, tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan trọng
trên mạng công cộng khơng an tồn như Internet được quan tâm.
Chính vì lẽ đó, tơi chọn đề tài ”Tìm hiểu và triển khai ứng dụng VPN trên
nền Windows Server 2008” làm đề tài tốt nghiệp với mong muốn có thể góp phần giải
quyết vấn đề đã nêu trên.
.I.2.
Mục đích của đề tài
Tìm hiểu về VPN và kĩ thuật đường hầm sử dụng trong VPN
Nghiên cứu phương pháp cài đặt VPN
Mục đích chính của VPN là cung cấp sự bảo mật, tính hiệu quả và độ tin cậy
trong khi vẫn đảm bảo cân bằng giữa chi phí xây dựng và lợi ích của khách hàng.
Nguyễn Trung Kiên, Lớp: 06T3
60
.I.3.
Ứng dụng của đề tài
Với mơ hình VPN này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà
các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự
hoạt động của mạng này.
VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phịng
chi nhánh có thể kết nối an tồn đến máy chủ của tổ chức mình. Nó có thể đảm bảo an tồn
thơng tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi
trường truyền thông rộng lớn
Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy
nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng cơng cộng như Internet mà
đảm bảo tính riêng tư và tiết kiệm hơn nhiều.
.II PHẠM VI NGHIÊN CỨU CỦA ĐỀ TÀI
Triển khai ứng dụng VPN trên môi trường Windows Server 2008 các mơ hình sau:
Client to Site:
Site to Site
Nguyễn Trung Kiên, Lớp: 06T3
60
CHƯƠNG 2
CƠ SỞ LÝ THUYẾT CỦA ĐỀ TÀI
.I
Tổng quan về Windows Server 2008
.I.1.
Tổng quan
Microsoft Windows Server 2008 là thế hệ tiếp theo của hệ điều hành Windows
Server giúp các chuyên gia cơng nghệ thơng tin kiểm sốt được cơ sở hạ tầng tối ưu nhất
mà vẫn đảm bảo khả năng quản lý, tính sẵn sàng, mơi trường máy phục vụ mạnh mẽ, ổn
định, và bảo mật hơn nhiều so với trước đây.
Mang lại giá trị mới cho tổ chức vì mọi người dù đang ở bất cứ đâu cũng nhận
được đầy đủ mọi dịch vụ của mạng Windows Server 2008 cũng giúp hiểu biết sâu sắc hơn
về hệ điều hành cùng khả năng chẩn đoán sự cố để các nhà quản trị mạng có nhiều thời gian
tập trung tạo thêm giá trị nghiệp vụ.
Tuy vậy, Windows Server 2008 không chỉ cải tiến các hệ điều hành trước mà được
thiết kế để mang lại cho tổ chức một nền tảng có năng suất cao nhất để phục vụ các ứng
dụng, mạng và các dịch vụ Web từ nhóm làm việc đến trung tâm dữ liệu, bằng tính năng
mới, giá trị và hấp dẫn cùng những cải tiến lớn trong hệ điều hành cơ sở.
.I.2.
Những điểm mới trong Windows Server 2008
Ứng dụng nền tảng Web
Windows Server 2008 có một nền tảng tạo Web thống nhất, tích hợp Internet
Information Services (IIS) 7.0, ASP.NET, Windows Communication Foundation, Windows
Workflow Foundation, và Windows SharePoint Services 3.0.
IIS 7.0 là một bước nâng cao đáng kể cho Windows Web server đang tồn tại và
đóng vai trị trung tâm trong việc tích hợp các cơng nghệ nền tảng Web. IIS 7.0 giúp các
chuyên gia phát triển phần mềm và quản trị viên được quyền điều khiển trên các giao diện
mạng/Internet thơng qua một hệ thống chức năng chính gồm quản trị ủy nhiệm, bảo mật
nâng cao và giảm bề mặt tấn cơng, tích hợp ứng dụng và quản lý trạng thái cho các dịch vụ
Web, các công cụ quản trị được cải thiện.
Ảo hóa
Với cơng nghệ ảo hóa máy chủ, Windows Server 2008 cho phép bạn giảm được chi
phí, tăng khả năng tận dụng phần cứng, tối ưu được cơ sở hạ tầng, tăng khả năng phục vụ
của máy chủ.
Windows Server 2008 giới thiệu một số tính năng mới trong Terminal Services để
kết nối đến các máy tính và ứng dụng từ xa. Terminal Services RemoteApp tích hợp hoàn
toàn các ứng dụng đang chạy trên một máy chủ đầu cuối với các máy trạm của người dùng
để họ có thể sử dụng như đang chạy trên máy tính cục bộ của người dùng phân biệt; người
dùng có thể chạy các chương trình trên máy kế bên. Terminal Services Web Access cho
Nguyễn Trung Kiên, Lớp: 06T3
60
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
phép khả năng linh động như nhau này đối với việc truy cập ứng dụng từ xa thông qua trình
duyệt Web, cho phép người dùng có nhiều cách khác nhau để truy cập và sử dụng chương
trình đang tồn tại trên một máy chủ đầu cuối. Các tính năng này cùng với Terminal Services
Gateway cho phép người dùng có thể truy cập vào các máy trạm điều khiển xa và ứng dụng
từ xa thông qua HTTPS theo tường lửa thân thiện.
Bảo mật
Windows Server 2008 là Windows Server an tồn nhất chưa từng có. Hệ điều hành
vững chắc của nó và các cách tân về bảo mật gồm có Network Access Protection, Federated
Rights Management và Read-Only Domain Controller cung cấp những mức bảo vệ chưa
từng thấy cho mạng, dữ liệu và doanh nghiệp của bạn.
Network Access Protection (NAP): Một cơ cấu làm việc mới cho phép một quản
trị viên cơng nghệ thơng tin có thể định nghĩa các yêu cầu về tình trạng cho mạng và hạn
chế các máy tính khơng có đủ các u cầu đó truyền thơng với mạng. NAP bắt buộc các
chính sách mà quản trị viên định nghĩa để mơ tả trình trạng sức khỏe của mạng cho mỗi tổ
chức. Ví dụ, các yêu cầu cần thiết có thể được định nghĩa gồm có tất cả các nâng cấp cho
hệ điều hành được cài đặt, hoặc có phần mềm chống virus và chống spyware được cài đặt
và nâng cấp. Với cách này, các quản trị viên mạng có thể định nghĩa một mức bảo vệ cơ bản
cho tất cả các máy tính muốn kết nối vào mạng của họ.
Microsoft BitLocker cung cấp những tính năng bảo mật bổ sung đối với dữ liệu
thông qua việc mã hóa ấn bản đầy đủ trên nhiều ổ đĩa, thậm chí khi hệ thống khơng được
thẩm định hoặc đang chạy một hệ điều hành khác.
Read-Only Domain Controller (RODC): Một kiểu cấu hình bộ điều khiển miền mới
trong hệ điều hành Windows Server 2008 giúp các tổ chức dễ dàng triển khai bộ điều khiển
miền nhiều vị trí, nơi bảo mật vật lý của bộ điều khiển miền không thể được bảo đảm. Một
RODC quản lý một bản sao giống như thực (chỉ đọc) của cơ sở dữ liệu các dịch vụ thư mục
Active Directory cho miền được cho. Trước đây, người dùng phải thẩm định với mỗi bộ
điều khiển miền nhưng khi họ ở các văn phòng chi nhánh thì họ khơng thể cung cấp đầy đủ
bảo mật vật lý cho mỗi bộ điều khiển miền, từ đó phải thẩm định trên mạng diện rộng
(WAN). Trong nhiều trường hợp, điều này là không thể. Bằng cách đưa ra bản sao giống
như cơ sở dữ liệu Active Directory thật chỉ đọc cho những người dùng ở các chi nhánh,
những người này có thể hưởng lợi từ những lần đăng nhập nhanh hơn và truy cập hiệu quả
hơn vào tài ngun có thẩm định trong mạng, thậm chí trong các môi trường thiếu sự bảo
mật vật lý để triển khai bộ điều khiển miền truyền thống.
Failover Clustering (kết cụm chống lỗi): Những cải thiện được trang bị làm dễ
dàng hơn trong việc cấu hình các nhóm máy chủ, bên cạnh đó vẫn bảo vệ và khả năng có
sẵn của dữ liệu và các ứng dụng của bạn. Bằng sử dụng Validate Tool mới trong các nhóm
tự động chuyển đổi dự phịng, bạn có thể thực hiện các kiểm tra để xác định xem hệ thống,
lưu trữ và cấu hình mạng của bạn có thích hợp với nhóm hay khơng. Với khả năng tự động
chuyển đổi dự phịng nhóm trong Windows Server 2008, các quản trị viên có thể thực hiện
cài đặt, chuyển đổi cũng như quản lý các nhiệm vụ hoạt động dễ dàng hơn. Những cải thiện
để nhóm cơ sở hạ tầng giúp các quản trị viên tối đa được khả năng sẵn có dịch vụ mà họ
cung cấp cho người dùng, thực hiện lưu trữ, hiệu suất mạng và bảo mật tốt hơn
Nguyễn Trung Kiên, Lớp: 06T3
4
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
.II Giới thiệu VPN
.II.1. Một số khái niệm
Virtual Private Network (VPN) - Mạng riêng ảo được hiểu là sự mở rộng phạm vi
của mạng LAN (Local Area Network) thơng qua mạng cơng cộng mà khơng cần bất kì
đường dây riêng nào. Các hãng thương mại có thể dùng VPN để cung cấp quyền truy cập
mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành
một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ.
Để có thể gởi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an
tồn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một
đường ống bảo mật giữa nơi nhận và nơi gởi. Để có thể tạo ra đường ống bảo mật đó, dữ
liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thơng
tin về đường đi cho phép nó có thể đi đến đích thơng qua mạng cơng cộng một cách nhanh
chóng. Dữ liệu được mã hóa một cách cẩn thận do đó nếu các packer bị bắt lại trên đường
truyền cơng cộng cũng khơng thể đọc được nội dung vì khơng có khóa để giải mã.
Hình 1 Mơ hình thiết lập VPN cơ bản
Nguyễn Trung Kiên, Lớp: 06T3
5
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
.II.2. Cơ chế đảm bảo an toàn
Bao gồm những khái niệm sau đây:
Mã hóa (encryption) : Mã hố dữ liệu là một q trình xử lí thay đổi dữ liệu theo
một chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn. Ðể đọc
được dữ liệu người nhận buộc phải có chính xác khóa giải mã (decryption key) dữ liệu.
Chứng thực (authentication) : Là một q trình xử lí bảo đảm chắc chắn dữ liệu sẽ
được chuyển đến đúng người nhận người nhận đồng thời cũng bảo đảm thông tin nhận
được nguyên vẹn. Ở hình thức cơ bản, Authentication địi hỏi ít nhất phải nhập vào
Username và Password để có thể truy cập vào tài nguyên. Trong một số tình huống phức
tạp, sẽ có thêm secret-key (khóa bí mật) hoặc public-key (khóa cơng khai) để mã hoá dữ
liệu.
Ủy quyền (authorization) : là sự cho phép hay từ chối truy cập tài nguyên trên
mạng sau khi người sử dụng đã xác nhận thành công.
.II.3. Sư phát triển của VPN
VPN không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình
VPN đã phát triển được khoảng hơn 20 năm và trải qua một số thế hệ để trở thành như hiện
nay.
Mơ hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết
đến với tên Software Defined Network (SDN). SDN là mạng WAN, các kết nối dựa trên cơ
sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngồi. Dựa trên thơng tin
này, gói dữ liệu được định tuyến đường đi đến đích thơng qua hệ thống chuyển mạch chia
sẻ công cộng.
Nguyễn Trung Kiên, Lớp: 06T3
6
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và mạng dịch
vụ tích hợp kỹ thuật số (Integrated Services Digital Network ISDN) đầu những năm 90. Hai
công nghệ này cho phép truyền những dịng gói dữ liệu (package streams) qua các mạng
chia sẻ chung. Giao thức X.25 và ISDN được xem là nguồn gốc của kĩ thuật VPN. Tuy
nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu của con người nên
thời gian tồn tại của nó khá ngắn.
Sau khi thế hệ thứ hai của VPN ra đời, thị trường VPN tạm thời trầm xuống cho tới
khi có sự nổi lên của hai cơng nghệ cell-based Frame Relay (FR) và Asynchronous Tranfer
Mode (ATM). Thế hệ thứ ba của VPN đã phát triển dựa theo 2 công nghệ này. Hai kĩ thuật
này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin
khơng chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó chúng mang các con trỏ đến
mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ
liệu được cải thiện hơn so với trước.
Thế hệ thứ tư của VPN là IP VPN : IP VPN có thể là phần cứng hay phần mềm,
gồm VPN server và VPN client. Giao thức kết nối PPTP, IPSec, L2TP dựa trên các chế độ
mã hoá, thuật toán cao cấp như AH, ESP, DES, 3DEC, MD5, v.v… nên bảo mật rất cao.
Thế hệ thứ 5 là MPLS VPN : thế hệ mới đang được sử dụng hiện nay. MPLS là một
nền tảng để xây dựng VPN.
.II.4. Giao thức đường hầmVPN
.II.4.1.
Khái niệm đường hầm Tunneling
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet. Về bản chất, đây là q trình đặt tồn bộ gói tin vào trong một lớp header
(tiêu đề) chứa thơng tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những
"đường hầm" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các
máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ
phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngồi được cả mạng và hai điểm đầu cuối nhận biết.
Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và
đi ra trong mạng.
.II.4.2.
Giao thức đường hầm chính
Có 3 giao thức đường hầm chính được sử dụng trong VPN:
a. IP Security (IPSec): được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền
thơng tin an tồn xác nhận người sử dụng ở hệ thống mạng công cộng. Khơng giống như
các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mơ hình OSI (Open
System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng.
b. Point-to-Point Tunneling Protocol (PPTP): được phát triển bởi Microsoft,
3COM và Ascend Communications. Nó được đề xuất để thay thế cho IPSec. PPTP thi hành
Nguyễn Trung Kiên, Lớp: 06T3
7
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thơng tin
hệ điều hành Windows.
c. Layer 2 Tunneling Protocol (L2TP) : được phát triển bởi hệ thống Cisco nhằm
thay thế IPSec. Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền
thơng tin an tồn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã
hóa dữ liệu tốt hơn và có khả năng giao tiếp với Window. L2TP là sự phối hợp của L2F) và
PPTP. Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi
trên các mạng X.25, FR, và ATM.
Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biến nhất.
.II.5. Ưu điểm và khuyết điểm của VPN
.II.5.1.
Ưu điểm
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng
leased-line. Những lợi ích đầu tiên bao gồm:
Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40%
so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%.
VPN có thể dễ dàng kết nối hoặc ngắt kết nối từ xa của những văn phịng, những vị trí
ngồi quốc tế, những người truyền thông, những người dùng điện thoại di động, những người
hoạt động kinh doanh bên ngoài như những u cầu kinh doanh đã địi hỏi.
Tăng tính bảo mật: VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thơng qua
mạng cơng cộng cho nên tính bảo mật cũng được cải thiện, các dữ liệu quan trọng sẽ được
che giấu đối với những người khơng có quyền truy cập và cho phép truy cập đối với những
người dùng có quyền truy cập. Thêm vào đó, VPN sử dụng thêm các phương pháp tăng
cường bảo mật như mã hóa, xác nhận và ủy quyền.
Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP,SSL...
Bảo mật địa chỉ IP: bởi vì thơng tin được gửi đi trên VPN đã được mã hóa do đó các
điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngồi Internet.
Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháp
truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPN đã loại bỏ các kết
nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải
như ISP, hay ISP's Point of Presence (POP).
Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thơng khoảng cách xa,
VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngồi ra các tổ chức cũng
có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN sử dụng trong VPN được
quản lý bởi nhà cung cấp dịch vụ (ISP). Một nguyên nhân nữa giúp làm giảm chi phí vận
hành là nhân sự, tổ chức khơng mất chi phí để đào tạo và trả cho nhiều người người quản lý
mạng.
Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nối
nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập tồn cầu, do đó
Nguyễn Trung Kiên, Lớp: 06T3
8
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng
intranet chính.
Hiệu xuất băng thơng: Sự lãng phí băng thơng khi khơng có kết nối Internet nào
được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi có u
cầu truyền tải thơng tin. Băng thơng mạng chỉ được sử dụng khi có kích hoạt kết nối
Internet. Do đó hạn chế rất nhiều sự lãng phí băng thơng.
Có thể nâng cấp dễ dàng: Bởi bì VPN dựa trên cơ sở Internet nên các nó cho phép
các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển
hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng
intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu
tư lại nhiều cho cơ sở hạ tầng.
Cung cấp thêm một phương thức mạng toàn cầu.
.II.5.2.
Khuyết điểm
Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có
thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN.
Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ thuật
IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và
giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp được với
các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi
các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các
gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng.
Do phải truyền dữ liệu qua Internet nên khi trao đổi các dữ liệu lớn như các gói dữ
liệu truyền thơng, phim ảnh, âm thanh sẽ rất chậm.
Có khả năng mất dữ liệu, các phân đoạn của gói dữ liệu có thể đi ra ngồi và bị thất
thoát.
.II.6. Đánh giá VPN
Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụng các tiêu chí sau:
Bảo mật.
Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp.
Quản lý VPN tập trung.
Dễ dàng bổ sung các thành phần khác.
Sử dụng dễ dàng.
Khả năng nâng cấp (Scalability.
Performance.
Nguyễn Trung Kiên, Lớp: 06T3
9
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Quản lý băng thông.
Chọn nhà cung cấp dịch vụ internet (ISP.
Bảo vệ mạng khỏi các dữ liệu không mong muốn.
.III Các dạng của VPN
Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản:
Người sử dụng ở xa có thể truy cập vào tài ngun mạng đồn thể bất kỳ thời gian
nào.
Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay
các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa trên tiêu chí đó có thể phân loại VPN thành 3 nhóm chính:
Remote Access VPN
Intranet VPN
Extranet VPN
Nguyễn Trung Kiên, Lớp: 06T3
10
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
.III.1. Remote Access VPN
Hình 2 mơ tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm các thành
phần chính:
Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy
quyền của yêu cầu truy cập từ xa.
Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng
cách xa
Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản lý RAS
và hỗ trợ người dùng ở xa.
Hinh 2 Thiết lập truy cập từ xa không dùng VPN
Nguyễn Trung Kiên, Lớp: 06T3
11
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Để nâng cấp Remote Access VPN, người dùng xa và các văn phòng chi nhánh chỉ cần
thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm
thông qua Internet. Mô hình thiết lập Remote Access VPN được mơ tả ở hình 3.
Hình 3 Thiết lập VPN
Ưu khuyết điểm của Remote Access VPN so với Remote Access truyền thống:
Khơng có thành phần RAS và các thành phần modem liên quan
Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP
Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương.
Do đó chi phí vận hành giảm rất nhiều.
Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so
với phải truyền dữ liệu đi xa.
VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức
thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi
số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng
khả năng truy cập khơng hồn tồn mất.
Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm còn tồn tại của
Remote Access truyền thống:
Nguyễn Trung Kiên, Lớp: 06T3
12
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Remote Access VPN không đảm bảo chất lượng của dịch vụ QoS.
Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất
trật tự
Do tính phức tạp của thuật tốn mã hóa, giao thức từ mão sẽ tăng lên khá nhiều.
Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP- and
PPP-based là rất chậm và chất lượng ko tốt.
Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương
tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền.
.III.2. Intranet VPN
Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức
với mạng intranet trung tâm. Trong hệ thống intranet khơng sử dụng kĩ thuật VPN, thì mỗi
site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mơ hình được mơ tả
như hình 4:
Hình 4 Thiết lập intranet sử dụng WAN backbone
Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối.
Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể u cầu chi phí rất
cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet.
Nguyễn Trung Kiên, Lớp: 06T3
13
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế
bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống.
Giải pháp VPN được mơ tả như hình 5:
Hình 5 Thiết lập intranet dựa trên VPN
Ưu điểm:
Giảm chi phí cho router được sử dụng ở WAN backbone.
Giảm số nhân sự hỗ trợ ở các nơi, các trạm
Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-topeer mới.
Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩ
thuật chuyển mạch nhanh như FR
Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn. Sự
loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất
nhiều.
Khuyết điểm:
Nguyễn Trung Kiên, Lớp: 06T3
14
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet - mạng chia sẻ
công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch
vụ (denial-of-service)
Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể khơng ổn đinh và
QoS khơng thể đảm bảo.
.III.3. Extranet VPN
Không giống như giải pháp của intranet VPN và remote access VPN, extranet VPN
không tách riêng với thế giới ngoài. Extranet VPN cho phép điều khiển sự truy xuất các tài
nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung
cấp những người đóng vai trị quan trọng trong hoạt động thương mại của tổ chức
Mạng kết nối ngoài (extranet connectivity)truyền thống được mơ tả ở hình 6
Hình 6 Extranet truyền thống
Mơ hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet phải có
bộ phận kết nối (tailoring) tương xứng các mạng ngồi. Do đó sẽ vận hành và quản lý rất
phức tạp các mạng khác nhau. Ngồi ra u cầu nhân sự để bảo trì và quản lý hệ thống
phức tạp này trình độ cao. Ngồi ra, với thiết lập dạng này sẽ khơng dễ mở rộng mạng do
phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài
khác.
Nguyễn Trung Kiên, Lớp: 06T3
15
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng
hơn và giảm chi phí. Thiết lập extraner VPN được mơ tả như hình sau:
Hình 7 Extranet VPN
Ưu điểm:
Giảm chi phí rất nhiều so với phương pháp truyền thống
Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn.
Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải
pháp tailoring phù hợp với nhu cầu tổ chức
Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân
sự do đó giảm chi phí vận hành của toàn hệ thống.
Khuyết điểm:
Nguy cơ bảo mât như tấn cơng từ chối dịch vụ vẫn cịn tồn tại
Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
Nguyễn Trung Kiên, Lớp: 06T3
16
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể khơng ổn đinh
và QoS không thể đảm bảo.
.IV Các giao thức đường hầm phổ biến
.IV.1. Tổng quan
Giao thức đường hầm là cơ sở để xây dựng mạng riêng ảo và bảo mật đường truyền
trong mạng riêng ảo. Các chức năng của giao thức đường hầm thường được hiện thực ở lớp
2: lớp datalink trong cấu trúc mạng OSI
Các giao thức phổ biến ở lớp hai:
Point-to-Point Tunneling Protocol (PPTP)
Layer 2 Tunneling Protocol (L2TP)
Sercure Socket Tunneling Protocol (SSTP)
.IV.2. Point-to-Point Tunneling Protocol (PPTP)
Được phát triển bởi Microsoft và một số công ty công nghệ khác, là phương pháp
VPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy Windows. PPTP là sự mở rộng của
giao thức Internet chuẩn Point-to-Point (PPP) và sử dụng cùng kiểu xác thực như PPP (PAP,
SPAP, CHAP, MS-CHAP, EAP).
PPTP thiết lập đường hầm (tunnel) nhưng khơng mã hóa. Nó sử dụng cùng với giao
thức Microsoft Point-to-Point Encryption (MPPE) để tạo ra VPN bảo mật. PPTP cũng chạy
nhanh hơn các phương pháp kết nối VPN khác.
Do phần mềm kết nỗ hỗ trợ PPTP được tích hợp trong hầu hết các hệ điều hành,
triển khai PPTP Server trở nên dễ dàng hơn vì khơng phải cài đặt phần mềm hỗ trợ trên máy
trạm. PPTP đã từng bị chỉ trích nhiều vì nhiều khiếm khuyết về bảo mật và rất nhiều các lỗi
này đã được chỉ ra trong các phiên bản hiện thời của giao thức này. Sử dụng xác thực EAP
sẽ tăng cường đáng kể khả năng bảo mật của PPTP VPN vì EAP sử dụng chứng chỉ số
(digital certificates) để xác thực lẫn nhau giữa máy khách và máy chủ. Một trong các ưu
điểm của sử dụng PPTP là nó khơng u cầu hạ tầng mã khóa cơng cộng (Public Key
Infrastructure).
Có hai đặc tính nổi bật đóng vai trị quan trọng trong việc bảo mật của PPTP khi các
kết nối có khoảng cách xa:
Sử dụng mạng chuyển mạch điện thoại công cộng.
Cung cấp giao thức Non_IP.
.IV.2.1.
Các quy trình xử lý giao thức PPTP
PPTP sử dụng ba quy trình để bảo mật truyền thơng PPTP trên mạng không bảo mật.
Nguyễn Trung Kiên, Lớp: 06T3
17
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Thiết lập liên kết PPP
Kiểm soát kết nối
Tạo đường hầm PPTP và truyền dữ liệu
.IV.2.2.
Bảo mật PPTP
PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các dịch vụ bảo
mật bao gồm:
Mã hóa và nén dữ liệu
Chứng thực
Kiểm sốt truy cập
Lọc gói
Với các cơ chế bảo mật trên, PPTP có thể được sử dụng kết hợp với tương lửa và
các bộ định tuyến.
.IV.2.3.
Ưu điểm và khuyết điểm của PPTP
.1 Ưu điểm của PPTP
PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft (các sản
phẩm được sử dụng rất rộng rãi).
PPTP có thể hỗ trợ các giao thức non-IP.
PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh.
Các nền khơng hỗ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyến
được cài đặt sẵn khả năng của máy khách PPTP.
.IV.2.4.
Nhược điểm của PPTP
PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec.
PPTP phụ thuộc nền.
PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.
Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủ
truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa dụng các giải pháp định tuyến
bằng đưòng quay số.
Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với
khóa mã phát sinh từ password của user. Điều này càng nguy hiểm hơn khi password được
gửi trong mơi trường khơng an tồn để chứng thực. Giao thức đưòng hầm Layer 2
Tunneling Protocol (L2TP) được phát triển để tăng cường khả năng bảo mật.
Nguyễn Trung Kiên, Lớp: 06T3
18
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
.IV.3. Layer 2 Tunneling Protocol (L2TP)
Được cộng tác cùng phát triển bởi Cisco và Microsoft, kết hợp các đặc điểm của cả
PPTP và giao thức Layer 2 Forwarding (L2F) thuộc sở hữu của Cisco. Một trong các ưu
việt của L2TP so với PPTP là có có thể sử dụng trên các mạng non-IP networks ví dụ như
ATM, frame relay và X.25. Giống như PPTP, L2TP hoạt động tại lớp liên kết dữ liệu (data
link layer) của mơ hình mạng OSI.
Giao thức IP Security (IPSec) và một giao thức đặc biệt của nó là Encapsulating
Security Payload (ESP) protocol, cung cấp khả năng mã hóa cho L2TP tunnels.
L2TP yêu cầu sử dụng chứng chỉ số (digital certificates). Xác thực người dùng có
thể được thực hiện thơng qua cùng cơ chế xác thực PPP tương tự như PPTP, nhưng L2TP
cũng cung cấp cách xác thực máy tính (computer authentication). Điều này bổ sung thêm
mức độ bảo mật cho L2TP.
L2TP cung cấp thêm khả năng đảm bảo tính tồn vẹn dữ liệu (bảo vệ chống lại việc
sửa đổi dữ liệu trong khoảng thời gian nó di chuyển từ người gửi đến người nhận, khả năng
xác thực nguồn gốc (xác định người dùng đã gửi dữ liệu có thực sự đúng người), và khả
năng bảo vệ chống gửi lại – replay protection (chống lại việc hacker chặn dữ liệu đã được
gửi, ví dụ thơng tin quyền đăng nhập (credentials), rồi sau đó gửi lại (replay) chính thơng
tin đó để bẫy máy chủ. Mặt khác, do liên quan đến cung cấp các khả năng bảo mật mở rộng
làm cho L2TP chạy chậm hơn chút ít so với PPTP.
Lợi ích của L2TP kết hợp từ các tính năng của L2F và PPTP:
L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đó nó có
thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.
L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và
các mạng công cộng khác, như.
L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển hay
phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều không cần phải
thực thi phần mềm chuyện dụng
L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của riêng
truy cập mạng từ xa thông qua mạng công cộng.
Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. Do đó
ISPs không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của user từ xa. Hơn
nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và có các cơ chế bảo mật
riêng. Điều này làm cho quy trình thiết lập đường hầm của L2TP nhanh hơn so với các nghi
thức đường hầm trước nó.
Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất như PPTP
thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích) của mạng. Vì vậy
u cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ xa và gateway của ISP
Nguyễn Trung Kiên, Lớp: 06T3
19
Tìm hiểu và triển khai ứng dụng VPN trên nền windows server 2008
Hình 8 Đường hầm L2TP
Khi Frame PPP được gửi đi thơng qua đương hầm L2TP, nó sẽ được đóng gói dưới
dạng gói dữ liệu user : thơng điệp UDP(Uer Datagram Protocol). L2TP sử dụng thông điệp
UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gói dữ liệu đường hầm
và gói bảo trì đường hầm có chung cấu trúc.
.IV.3.1.
Bảo mật L2TP
L2TP sử dụng phương pháp chứng thực của PPP để chứng thực user. Các phương pháp
chứng thực thông dụng của L2TP:
PAP và SPAP
EAP
CHAP
Để bổ sung cho các phương pháp chứng thực kể trên, L2TP cũng sử dụng thêm IPSec
để chứng thực từng gói riêng biệt. Mặc dù việc chứng thực gói giảm tốc độ đường truyền
nhưng đảm bảo hacker và cracker không thể thâm nhập dữ liệu trong đường hầm
.IV.3.2.
Ưu và khuyết điểm của L2TP
.1 Ưu điểm
L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn
nữa L2TP có thể hỗ trợ giao tác thơng qua liên kết non-IP của mạng WAN mà không cần IP.
Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó khơng u cầu bổ
sung cấu hình của user từ xa và ISP.
L2TP cho phép tổ chức kiểm sốt chứng thực users thay vì.
L2TP hỗ trợ kiểm sốt luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải. do đó
giao tác trên L2TP nhanh hơn giao tác trên L2F.
L2TP cho phép users với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa
thông qua mạng công cộng.
Nguyễn Trung Kiên, Lớp: 06T3
20
