Tải bản đầy đủ (.pdf) (102 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Kỹ thuật - Công nghệ

Tìm hiểu mạng vpn và các ứng dụng của vpn

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.52 MB, 102 trang )

Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

TRƯờNG ĐạI HọC VINH
KHOA CÔNG NGHệ THÔNG TIN

Đồ áN TốT NGHIệP
Đề Tài :

TìM HIểU MạNG VPN Và
CáC ứNG DụNG CủA VPN
Ng-ời h-ớng dẫn : Ths Trần Xuân Hào
sinh viên thực hiện : Trần Ngọc Đáng
Lớp :

46k1 CNTT

vinh 05-2010

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

1


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN


mục lục
mở đầu
ch-ơng 1: tổng quan về mạng riêng ảo vpn và ipsec................................1
i Tổng quan về mạng riêng ảo VPN....................................................................1

1.1 Định nghĩa.....................................................................................................1
1.2 Chức năng và -u điểm của VPN.................................................................3
1.2.1 Chức năng.............................................................................................3
1.2.2 Ưu điểm ...............................................................................................3
1.3 Phân loại mạng VPN..................................................................................5
1.3.1 M¹ng VPN truy nhËp tõ xa. ..................................................................5
1.3.2 M¹ng VPN cơc bộ.. ...............................................................................6
1.3.3 Mạng VPN mở rộng...............................................................................8
II Tổng quan về IPSEC.........................................................................................9
ch-ơng 2: các giao thức đ-ờng hầm................................................................13
2.1 Giao thức định h-ớng lớp 2 - L2F ...........................................................13
2.1.1 Ưu nh-ợc điểm của L2F......................................................................13
2.1.2 Thực hiện L2F....................................................................................14
2.1.3 Hoạt động của L2F.............................................................................14
2.2

Giao thức đ-ờng hầm ®iĨm-®iĨm PPTP..................................................15

2.2.1 KiÕn tróc cđa PPTP............................................................................16
2.2.2 Sư dơng PPTP....................................................................................25
2.3 Giao thức đ-ờng hầm lớp 2 - L2TP.........................................................27
2.3.1

Kiến trúc của L2TP..........................................................................27


Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

2


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

2.3.2 Sử dụng L2TP...................................................................................33
2.4 Giao thức bảo mật IP IPSEC..............................................................34
2.4.1 Hoạt động của IPSec..........................................................................35
2.4.2 Ví dụ về hoạt động của IPSec..............................................................45
ch-ơng 3:

XÂY DựNG MạNG VPN.............................................................47

3.1 Thành phần cơ bản của một VPN..........................................................47
3.1.1 Máy chủ VPN.................................................................................47
3.1.2 Máy khách VPN.............................................................................48
3.1.3 Bộ định tuyến VPN.........................................................................49
3.1.4 Bộ tập trung VPN............................................................................50
3.1.5 Cổng kết nối VPN............................................................................50
3.2

Sự hoạt động của VPN............................................................................50

3.3


Cài đặt VPN Client to Site sữ dụng IPSEC.............................................52
3.3.1 Cài đặt VPN server........................................................................ 52
3.3.2 Cài đặt VPN từ Client2....................................................................62

ch-ơng 4:
4.1

các ứng dụng trên mạng vpn..........................................................69

X©y dùng profile, home folder.................................................................69
4.1.1 proflile............................................................................................69
4.1.2. home folder...................................................................................69
4.1.3 TriĨn khai profile & home folder...................................................69

4.2. DịCH Vụ DHCP.......................................................................................72
4.2.1 Giới thiệu.......................................................................................72
4.2.2. Hoạt động của dao thức DHCP......................................................72

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Th«ng Tin

3


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN


4.2.3. Cài đặt DHCP Server....................................................................72
4.2.4 Cấu hình DHCP Server..................................................................74
4.3. dịch vụ Webserver.........................................................................82
4.3.1

Giới thiệu......................................................................................82

4.3.2

Nguyên tắc hoạt động ..................................................................82

4.3.3

Cài đặt cấu hình Webserver chạy bằng tên miền và địa chỉ IP....82

4.5 ch-ơng trình chạy mô phỏng.......................................................................94
4.5.1

Nhiệm vụ và mục tiêu của bài toán ..............................................94

4.5.2

Phân tích và thiết kế ch-ơng trình ...............................................94

4.5.3

Một số Form của ch-ơng trình ....................................................96

KếT LUậN..............................................................................................
TàI LIệU THAM KHảO........................................................................


Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

4


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

lời mở đầu
Cùng với sự phát triển của công nghệ thông tin, mạng máy tính và đặc biệt là
mạng Internet ngày càng phát triển đa dạng và phong phú về cả nội dung lẫn
hình thức. Các dịch vụ trên mạng Internet đà xâm nhập vào hầu hết các lĩnh vực
trong đời sống xà hội.. Các thông tin trao đổi trên Internet có rất nhiều thông tin
cần bảo mật cao hơn bởi tính quan trọng, tính chính xác và tin cậy của nó.
Một yêu cầu đặt ra cho các doanh nghiệp là phải luôn nắm đ-ợc những
thông tin mới nhất, chính xác nhất và phải đảm bảo độ tin cậy cao về các chi
nhánh của mình trên khắp thế giới, cũng nh- các đối tác các khách hàng. Để làm
đ-ợc điều này thì các nhân viên ở xa, phải có thể truy nhập vào Intranet công ty,
với những nhân viên muốn làm việc cho công ty của mình vào bất cứ thời gian
nào, bất cứ đâu mà không cần có mặt ở công ty mà đáp ứng các yêu cầu.
- Thứ nhất, thuê các đ-ờng Leased-line của các nhà cung cấp dịch vụ
để nối tất cả các chi nhánh của công ty lại với nhau.
-

Thứ hai họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên


ph-ơng pháp này lại không đáp ứng đ-ợc tính bảo mật cao.
- Thứ ba phải đảm bảo tính ổn định và an toàn cao và đồng thời giảm chi
phí đầu t- cho cơ sở hạ tầng mạng mang ý nghĩa sống còn đối với các doanh
nghiệp.
Mạng Riêng ảo là một công nghệ mới có thể giải quyết hiệu quả những
vấn đề nêu trên. Đây cũng là nguyên nhân dẫn đến việc em chọn đề tài cho đồ án
tốt nghiệp của chúng em là Mạng Riêng ảo .
Em xin chân thành cảm ơn Ths Trần Xuân Hào đà tận tình h-ớng dẫn em hoàn
thành đề tài này.
Vinh, tháng 05 năm 2010
Sinh viên thực hiện: Trần Ngọc Đáng

Trần Ngọc Đáng Lớp46k1

Khoa Công NghƯ Th«ng Tin

5


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

CHƯƠNG 1

TổNG QUAN Về MạNG RIÊNG ảO VPN và Ip sec

I.

Tổng quan về mạng riêng ảo VPN

Trong thời đại ngày nay, Internet phát triển mạnh về mặt mô hình cho đến

công nghệ, đáp ứng các nhu cầu của ng-ời sữ dụng. Internet đà đ-ợc thiết kế để
kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến ng-ời sữ dụng
một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà ng-ời
sữ dụng đó đang dùng. Để làm đ-ợc điều này ng-ời ta sữ dụng một máy tính đặc
biệt gọi là router để kết nối các LAN và các WAN với nhau các máy tính kết nối
vào internet thông qua nhà cung cấp dịch vụ ISP-Internet Service Provider, cần
một giao thức chung là TCP/IP. Từ đó ng-ời ta đ-a ra mô hình mạng mới có thể
tận dụng lại đ-ợc những cơ sở hạ tầng hiện có của Iternet. Đó chính là mô hình
mạng riêng ảo Virtual Private Network (VPN).
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử
dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các
site của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa
trên Internet. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa
trên Internet.

1.1 Định nghĩa
Mạng riêng ảo VPN đ-ợc định nghĩa là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng (nh- mạng Internet) với các chính sách quản lý và
bảo mật giống nh- mạng cục bộ.

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

6


Đồ án tốt nghiệp Đại học


Chương 4. C¸c øng dơng trên mạng VPN

Mng riờng
(LAN)

Mng riờng
(LAN)
ng hm

Router

Router

Router

Internet

Router

Router
Router

Hình 1.1: Mô hình VPN
Các thuật ngữ dùng trong VPN nh- sau:
Virtual- nghĩa là kết nối là động, không đ-ợc gắn cứng và tồn tại nh- một
kết nối khi l-u l-ợng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng
với nhiều môi tr-ờng khác nhau và có khả năng chịu đựng những khuyết điểm
của mạng Internet. Khi có yêu cầu kết nối thì nó đ-ợc thiết lập và duy trì bất
chấp cơ sở hạ tầng mạng giữa những điểm đầu cuối.

Private- nghĩa là dữ liệu truyền luôn luôn đ-ợc giữ bí mật và chỉ có thể bị
truy cập bởi những ng-ời sử dụng đ-ợc trao quyền. Điều này rất quan trọng bởi
vì giao thức Internet ban đầu TCP/IP- không đ-ợc thiết kế để cung cấp các mức
độ bảo mật. Do đó, bảo mật sẽ đ-ợc cung cấp bằng cách thêm phần mềm hay
phần cứng VPN.
Network- là thực thể hạ tầng mạng giữa những ng-ời sử dụng đầu cuối,
những trạm hay những node để mang dữ liệu. Sử dụng tính riêng t-, công cộng,
dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có
để tạo nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đÃ
từng đ-ợc sử dụng trong các mạng điện thoại tr-ớc đây nh-ng do một số hạn chế
mà công nghệ VPN ch-a có đ-ợc sức mạnh và khả năng cạnh tranh lớn. Trong
thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP
đà làm cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối

Trần Ngọc Đáng Líp46k1

Khoa C«ng NghƯ Th«ng Tin

7


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

riêng với những ng-ời dùng ở xa, các văn phòng chi nhánh của công ty và đối
tác của công ty đang sử dụng chung một mạng công cộng.

1.2 Chức năng và -u điểm của VPN

1.2.1 Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),
tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
a) Tính xác thực : Để thiết lập một kết nối VPN thì tr-ớc hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với
ng-ời mình mong muốn chứ không phải là một ng-ời khác.
b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
c) Tính bảo mËt : Ng-êi gưi cã thĨ m· ho¸ c¸c gãi dữ liệu tr-ớc khi truyền
qua mạng công cộng và dữ liệu sẽ đ-ợc giải mà ở phía thu. Bằng cách làm
nh- vậy, không một ai có thể truy nhập thông tin mà không đ-ợc phép.
Thậm chí nếu có lấy đ-ợc thì cũng không đọc đ-ợc.

1.2.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN
không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ng-ời
dùng l-u động, mở rộng Intranet đến từng văn phòng, thậm chí triển khai
Extranet đến tận khách hàng và các đối tác chủ chốt . Những lợi ích này dù trực
tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo
(flexibility), khả năng mở rộng (scalability) ...
a) TiÕt kiƯm chi phÝ
ViƯc sư dơng mét VPN sẽ giúp các công ty giảm đ-ợc chi phí đầu t- và chi
phí th-ờng xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ đ-ợc thu
nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đ-ờng truyền, các thiết bị
mạng đ-ờng trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin


8


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đ-ờng thuê riêng truyền
thống. Còn đối với viƯc truy cËp tõ xa gi¶m tõ 60 tíi 80%.
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai
thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử
dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể
đ-ợc sử dụng để kết nối các văn phòng nhỏ, các đối t-ợng di động. Nhà cung
cấp dÞch vơ VPN cã thĨ cung cÊp nhiỊu lùa chän cho khách hàng, có thể là kết
nối modem 56 kbit/s, xDSL, T1, T3
c) Khả năng mở rộng
Do VPN đ-ợc xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),
bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng
công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh
động. Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty
bằng cách sử dụng đ-ờng dây điện thoại hay DSL
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối t-ợng di động đến một POP của
ISP và việc chuẩn hoá các yêu cầu về bảo mật đà làm giảm thiểu nhu cầu về
nguồn hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp
dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ
trợ kỹ thuật đối với ng-ời sử dụng ngày càng giảm .
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với
việc bảo trì các modem riêng biệt, các card t-ơng thích (adapter) cho các thiết bị
đầu cuối và các máy chủ truy cập từ xa.

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

9


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

f) Đáp ứng các nhu cầu th-ơng mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để
đảm bảo khả năng làm việc của sản phẩm nh-ng có lẽ quan trọng hơn là để sản
phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.

1.3 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mÃn ba yêu cầu cơ
bản sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc
di động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển đ-ợc quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ hoặc các đối t-ợng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN đ-ợc phân làm ba loại:
- Mạng VPN truy nhËp tõ xa (Remote Access VPN)

- M¹ng VPN cơc bé (Intranet VPN)
- M¹ng VPN më réng (Extranet VPN)

1.3.1 M¹ng VPN truy nhËp tõ xa
C¸c VPN truy nhËp tõ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy
nhập vào mạng của công ty.
VPN truy nhập từ xa mở rộng mạng công ty tới những ng-ời sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn
duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di
động, những ng-ời sử dụng di động, những chi nhánh và những bạn hàng của
công ty. Những kiểu VPN này đ-ợc thực hiện thông qua cơ sở hạ tầng công cộng
bằng cách sử dụng công nghệ quay số, IP di động, DSL và công nghệ cáp và
th-ờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của ng-ời sử
dụng.
Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

10


Đồ án tốt nghiệp Đại học

DSL
cable

Chương 4. C¸c øng dơng trên mạng VPN

or


POP

Internet
Router

or

POP
Mobile
Extranet

khách hàng tới công ty

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các -u điểm của mạng VPN truy nhập từ xa so với các ph-ơng pháp truy
nhập từ xa truyền thống nh-:
-

Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa đ-ợc các ISP thực hiện.

-

Cung cấp dịch vụ kết nối giá rẻ cho những ng-ời sử dụng ở xa.

-

Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa.


-

VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi
vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều -u điểm nh-ng mạng VPN truy nhập từ xa vẫn còn những

nh-ợc điểm cố hữu đi cùng nh-:
-

Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

-

Nguy cơ bị mất dữ liệu cao.

-

Bởi vì thuật toán mà hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.

1.3.2 Mạng VPN cục bộ
Các VPN cục bộ đ-ợc sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

11



Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn đ-ợc mà hoá bảo
mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn
dữ liệu đ-ợc phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN nh- khả năng mở
rộng, tính tin cậy và hỗ trợ cho nhiều kiĨu giao thøc kh¸c nhau víi chi phÝ thÊp
nh-ng vÉn đảm bảo tính mềm dẻo. Kiểu VPN này th-ờng đ-ợc cấu hình nh- là
một VPN Site- to- Site.
Central site

Remote site
POP

Internet

or

Router

PIX Firewall

văn phòng ở xa

Vn phũng
trung tõm


Hình 1.3: Mô hình mạng VPN cục bộ
Những -u điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Giảm đ-ợc số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian đ-ợc thực hiện thông qua mạng Internet,
nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu đ-ợc từ những lợi ích đạt đ-ợc bằng cách sử dụng
đ-ờng ngầm VPN thông qua Internet.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nh-ợc điểm nh-:
-

Bởi vì dữ liệu đ-ợc truyền ngầm qua mạng công cộng - mạng Internet cho nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và mức
độ chất l-ợng dịch vụ (QoS).

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

12


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

- Tr-ờng hợp truyền dẫn khối l-ợng lớn dữ liệu, nh- là đa ph-ơng tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn
trong môi tr-ờng Internet.


1.3.3 Mạng VPN mở rộng
Không giống nh- mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với thế giới bên ngoài . Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng
cần thiết để mở rộng những đối t-ợng kinh doanh nh- là các đối tác, khách hàng,
và các nhà cung cấp .

Central site

Remote site
DSL
DSL
cable

POP

Internet

or

Router

PIX Firewall
Extranet

Vn phũng
Intranet xa

Vn phũng

trung tõm

Business-to-business

Hình 1.4: Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đ-ờng hầm bảo mật giữa các khách hàng,
các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này
sử dụng các kết nối luôn luôn đ-ợc bảo mật và đ-ợc cấu hình nh- một VPN Siteto-Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy
cập mạng đ-ợc công nhận ở một trong hai đầu cuối của VPN.
Những -u điểm chính của mạng VPN mở rộng:
-

Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

13


Đồ án tốt nghiệp Đại học

-

Chương 4. C¸c øng dơng trên mạng VPN

Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động.


-

Bởi vì các kết nối Internet đ-ợc nhà cung cấp dịch vụ Internet bảo trì,
nên giảm đ-ợc số l-ợng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm
đ-ợc chi phí vận hành của toàn mạng.

Bên cạnh những -u điểm ở trên giải pháp mạng VPN mở rộng cũng còn
những nh-ợc điểm đi cùng nh-:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

II.

Tổng quan về IP SEC
IPSEC là một bộ các giao thức đ-ợc Internet Engineering Task Force

(IETF) thiết kế để bảo vệ dữ liệu bằng cách kí nhận và mà hoá các dữ liệu tr-ớc
khi nó đ-ợc di chuyển qua những mạng public.
-

IETF Request For Comments (RFCs) 2401-2409 xác định những giao

thức IPsec liên quan đến các giao thức bảo mật, các t-ơng thích bảo mật và quản
lý key, các thuật toán chứng thực và mà hoá. IPsec là một bộ khung của những
chuẩn mở cho các traffic TC/IP đ-ợc mà hoá có trong môi tr-ờng network. IPsec
làm việc bằng cách mà hoá thông tin chứa trong các gói dữ liệu thông qua việc
gói gọn lại. điều này cung cấp tính toàn vẹn dữ liệu ở mức ®é network, tÝnh tut
mËt cđa d÷ liƯu, chøng nhËn ban đầu dữ liệu, và bảo vệ replay.

những chức năng cơ bản của IPsec là:
-

Chứng thực: bảo vệ các network cá nhân và dữ liệu cá nhân chứa trong đó.

IPsec bảo vệ dữ liệu cá nhân khỏi những tấn công man-in-the-middle, từ khả
năng lừa tấn công đến những truy cập vào network, khỏi những kẻ tấn công thay
đổi nội dung của gói dữ liệu
-

MÃ hoá: giấu nội dung thật sự của các gói dữ liệu để các bên không có

quyền sở hữu không thể hiểu đ-ợc.
Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Th«ng Tin

14


Đồ án tốt nghiệp Đại học

-

Chương 4. C¸c øng dơng trên mạng VPN

IPsec còn có thể dùng để cung cấp các khả năng lọc gói. nó cũng có thể

chứng thực các traffic giữa hai host và mà hoá các traffic giữa các host. ipsec có
thể dùng để tạo mạng riêng ảo (VPN). IPsec có thể dùng để kích hoạt các giao

tiếp giữa các văn phòng ở xa và những khách hàng truy cập từ xa qua internet.
-

IPsec hoạt động ở mức độ network để cung cấp mà hoá end-to-end. về cơ

bản điều này có nghĩa là các dữ liệu đ-ợc mà hoá ở máy tính nguồn gởi dữ liệu.
tất cả c¸c hƯ thèng trung gian xư lý c¸c khóc m· hoá của các gói nh- là payload.
Các hệ thông trung gian nh- các router chỉ đơn thuần forward gói đến đích cuối
của nó. các hệ thống trung gian không giải mà các dữ liệu mà hoá. Các dữ liệu
mà hoá chỉ đ-ợc giảI khi nó đến đích.
-

IPsec giao tiếp với layer transport TCP/UDP và layer internet, và đ-ợc áp

dụng cho các ứng dụng một cách dễ dàng. IPsec cũng rất dễ để ng-ời dùng sử
dụng. về cơ bản điều này có nghĩa là IPsec có thể cung cấp bảo mật cho phần lớn
các giao thức có trong bộ giao thức TC/IP. khi nói đến các ứng dụng, tất cả các
ứng dụng đều dùng TC/IP có thể dùng các chức năng bảo mật của ipsec. bạn sẽ
không cần phải cấu hình bảo mật cho mỗi ứng dụng xác định dựa trên TC/IP. sử
dụng những nguyên tắc và các bộ lọc, IPsec có thể nhận các traffic network và
chọn những giao thức bảo mật an toàn, xác định cần dùng những thuật toán nào,
và có thể áp dụng các key mật mà do bất kỳ một thiết bị nào yêu cầu.
những chức năng và khả năng bảo mật của IPsec có thể dùng để bảo mật mạng
cá nhân và các dữ liệu cá nhân tuyệt mật khỏi bị:
-

Tấn công DOS

-


Ăn cắp dữ liệu

-

Sửa chữa dữ liệu

-

Ăn cắp chứng nhận của ng-ời dùng

Trong Windows Server 2003, IPsec dïng giao thøc Authentication Header (AH)
vµ giao thức Encapsulating Security Payload (ESP) để cung cấp bảo mật dữ liệu:
-

Máy tính client

-

Domain servers

Trần Ngọc Đáng Lớp46k1

Khoa Công NghƯ Th«ng Tin

15


ỏn tt nghip i hc

-


Workgroup tập đoàn

-

Mạng cục bộ lans

-

Mạng diện rộng wans

-

Các văn phòng ở xa

Chng 4. Các ứng dụng trên mạng VPN

Những chức năng và khả năng bảo mật do IPsec cung cấp có thể tóm tắt nh- sau:
- Chứng nhận: một chữ kí số đ-ợc dùng để xác định nhân diện của ng-ời gởi
thông tin. IPsec cã thĨ dïng Kerberos, mét preshared key, hay c¸c chøng nhận
số cho việc chứng nhận.
- Toàn vẹn dữ liệu: một thuật toán hash đ-ợc dùng để đảm bảo dữ liệu sẽ
không bị can thiệp vào. một checksum đ-ợc gọi là một mà chứng nhận tin nhắn
hash (HMAC) đ-ợc tính toán cho dữ liệu của gói. khi một gói đ-ợc thay đổi
trong khi đang di chuyển thì HMAC đà đ-ợc thay đổi sẽ đ-ợc l-u lại. Thay đổi
này sẽ bị xoá bởi máy tính nhận.
- Bảo mật dữ liệu: các thuật toán mà hoá đ-ợc thực hiện để đảm bảo dữ liệu
đ-ợc di chuyển sẽ không thể giải mà đ-ợc.
- Anti-replay: ngăn chặn kẻ tấn công gởi các gói khi cố gắng truy cập vào
mạng cá nhân

- Không từ chối: các chữ ký số key public đ-ợc sử dụng để chứng nhận tin
nhắn là nguyên vẹn
-

Rekeying dynamic: các key có thể đ-ợc tạo ra trong khi các dữ liệu đang

đ-ợc gởi đi để bảo vệ các khúc giao tiếp với những key khác nhau
- Tạo key: thuật toán key đồng thuận Diffie-Hellman đ-ợc sử dụng để kích hoạt
hai máy tính có thể trao đổi các key mà hoá đ-ợc chia sẻ.
-

Bộ lọc Ip Packet: chức năng lọc gói của IPsec có thể dùng để lọc và khóa

những dạng traffic nhất định, dựa trên những thành phần sau hoặc kết hợp tất cả
lại:
-

Địa chỉ IP

-

Các giao thức

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Th«ng Tin

16



Đồ án tốt nghiệp Đại học

-

Chương 4. C¸c øng dơng trên mạng VPN

Các cổng

Một vài chức năng IPsec mới đà cã trong Windows server 2003, cïng

víi nh÷ng cđng cè cho một số chức năng IPsec đà có trong các hệ điều hành
Windows tr-ớc đây
Windows server 2003 có công cụ mới IP Security Monitor thực thi nh- là một
snap-in MMC. Công cơ IP security monitor cđng cè viƯc qu¶n lý b¶o mật IPsec.
với công cụ IP security monitor, bạn có thể thực hiện những hoạt động quản trị
sau:
-

Tuỳ chỉnh hiển thị IP Security Monitor

-

Quản lý thông tin IPsec trên máy tính cục bộ

-

Quản lý thông tin IPsec trên các máy tính từ xa

-


Xem các phân tích IPsec

-

Xem các thông tin về những chính sách của IPsec

-

Xem các bộ lọc có đặc điểm chung

-

Xem các bộ lọc nhất định

Trần Ngọc Đáng Lớp46k1

Khoa C«ng NghƯ Th«ng Tin

17


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

CHƯƠNG 2

CáC GIAO THứC ĐƯờNG HầM VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và
an toàn dữ liệu trong VPN , dựa trên nền tảng là các giao thức ®-êng hÇm. Mét

giao thøc ®-êng hÇm sÏ thùc hiƯn ®ãng gói dữ liệu với phần Header t-ơng ứng
để truyền qua Internet. Giao thức đ-ờng hầm là cốt lõi của giải pháp VPN. Có 4
giao thức đ-ờng hầm đ-ợc sử dụng trong VPN đó là:
- Giao thức định h-ớng lớp 2 - L2F (Layer 2 Forwarding)
- Giao thức đ-ờng hầm điểm-điểm-PPTP (Point to Point Tunneling
protocol)
- Giao thức đ-ờng hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
- Giao thøc b¶o mËt IP - IPSec (Internet Protocol Security)

2.1 Giao thức định h-ớng lớp 2 - L2F
Giao thức định h-ớng lớp 2 L2F do Cisco phát triển độc lập và đ-ợc phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp
cho dịch vụ quay số ảo bằng cách thiết lập một đ-ờng hầm bảo mật thông qua cơ
sở hạ tầng công cộng nh- Internet. L2F là giao thức đ-ợc phát triển sớm nhất,
là ph-ơng pháp truyền thống để cho những ng-ời sử dụng ở xa truy cập vào một
mạng công ty thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đ-ờng hầm ở lớp liên
kết dữ liệu.

2.1.1 Ưu nh-ợc điểm của L2F
Ưu điểm:
- Cho phép thiết lập đ-ờng hầm đa giao thức.
- Đ-ợc cung cấp bởi nhiều nhà cung cấp.
Nh-ợc điểm:

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

18



Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

- Không có mà hoá.
- Yếu trong việc xác thực ng-ời dùng.
- Không có điều khiển luồng cho đ-ờng hầm.

2.1.2 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong tr-ờng hợp này là đóng gói PPP,
truyền xuyên qua một mạng. L2F sử dụng các thiết bị:
NAS: H-ớng l-u l-ợng đến và đi từ máy khách ở xa (remote client) và
gateway home. Hệ thống ERX hoạt động nh- NAS.
Tunne:l Định h-ớng đ-ờng đi giữa NAS và home gateway. Một đ-ờng hầm
gồm một số kết nối.
Home gateway: Ngang hµng víi NAS.
KÕt nèi (connection): Lµ mét kÕt nèi PPP trong đ-ờng hầm. Trong CLI,
một kết nối L2F đ-ợc xem nh- là một phiên.
Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đ-ờng hầm. Trong
tr-ờng hợp này thì Home gateway là điểm đích.

RADIUS
Server

Tunnel
Data
NAS
Remote

User

Home
gateway

Mng ca ISP

Mng riờng

Hình 2.2: Mô hình đặc tr-ng L2F

2.1.3 Hoạt động của L2F
Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đ-ờng hầm và
phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F:

Trần Ngọc Đáng Lớp46k1

Khoa Công NghƯ Th«ng Tin

19


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

1) Một ng-ời sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối
PPP tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết
LCP (Link Control Protocol).

3) NAS sử dụng cơ sở dữ liệu cục bé liªn quan tíi tªn vïng (domain name)
hay nhËn thùc RADIUS để quyết định có hay không ng-ời sử dụng yêu
cầu dịch vụ L2F.
4) Nếu ng-ời sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa
chỉ của gateway đích (home gateway).
5) Một đ-ờng hầm đ-ợc thiết lập từ NAS tới gateway đích nếu giữa chúng
ch-a có đ-ờng hầm nào. Sự thành lập đ-ờng hầm bao gồm giai đoạn nhận
thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.
6) Một kết nối PPP mới đ-ợc tạo ra trong đ-ờng hầm, điều này tác động kéo
dài phiên PPP từ ng-ời sử dụng ở xa tới home gateway. Kết nối này đ-ợc
thiết lập nh- sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin
nhận thực PAP/CHAP, nh- đà thoả thuận bởi đầu cuối ng-ời sử dụng và
NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhËn
thùc l¹i ng-êi sư dơng.
7) Khi NAS tiÕp nhËn l-u l-ợng dữ liệu từ ng-ời sử dụng, nó lấy gói và đóng
gói l-u l-ợng vào trong một khung L2F và h-ớng nó vào trong đ-ờng
hầm.
8) Tại home gateway, khung L2F đ-ợc tách bỏ, và dữ liệu đóng gói đ-ợc
h-ớng tới mạng công ty.

2.2

Giao thức đ-ờng hầm điểm-điểm PPTP
Giao thức đ-ờng hầm điểm - điểm PPTP đ-ợc đ-a ra đầu tiên bởi một

nhóm các công ty đ-ợc gọi là PPTP Forum. Nhóm này bao gồm 3 công ty:
Ascend comm., Microsoft, ECI Telematicsunication và US Robotic.
Giao thức PPTP đ-ợc xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đ-ờng hầm bảo mật thông qua Internet đến site
Trần Ngọc Đáng Lớp46k1


Khoa Công Nghệ Thông Tin

20


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) đ-ợc mô tả lại để đóng gói và tách gói PPP, giao thức này cho
phép PPTP mềm dẻo xử lý các giao thức khác không phải IP nh-: IPX,
NETBEUI.
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP
có thể sử dụng PPP để mà hoá dữ liệu nh-ng Microsoft đà đ-a ra ph-ơng thức
mà hoá khác mạnh hơn đó là mà hoá điểm - điểm MPPE (Microsoft Point- toPoint Encryption) ®Ĩ sư dơng cho PPTP.
Mét -u ®iĨm cđa PPTP là đ-ợc thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ viƯc trun
d÷ liƯu ë líp thø 2, PPTP cã thĨ truyền trong đ-ờng hầm bằng các giao thức khác
IP trong khi IPSec chØ cã thĨ trun c¸c gãi IP trong ®-êng hÇm.

2.2.1

KiÕn tróc cđa PPTP

PPP

PPP


Giải thuật mã
hóa

Giải thuật xác
thực

Bọc gói nh
tuyn chung

Hình 2.3: Kiến trúc của PPTP

a) PPP và PPTP
PPP ®· trë thµnh giao thøc quay sè truy cËp vµo Internet và các mạng
TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI,
PPP bao gồm các ph-ơng thức đóng, tách gói cho các loại gói dữ liệu khác nhau
để truyền nối tiếp. Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều

Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

21


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm
tra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc

thiết lập và cấu hình các giao thức lớp mạng khác nhau.
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểmđiểm từ máy gửi đến máy nhận. Để viêc truyền thông có thể diễn ra thì mỗi PPP
phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.
Khi một kết nối PPP đ-ợc thiết lập thì ng-ời dùng th-ờng đà đ-ợc xác thực.
Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn đ-ợc cung cấp bởi
các ISP. Việc xác thực đ-ợc thực hiện bởi PAP hay CHAP.
Với PAP mật khẩu đ-ợc gửi qua kết nối d-ới dạng văn bản đơn giản và
không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một ph-ơng
thức xác thực mạnh hơn, CHAP sử dụng ph-ơng thức bắt tay 3 chiều. CHAP
chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố
(challenge value) duy nhất và không thể đoán tr-ớc đ-ợc. CHAP phát ra giá trị
thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể
giới hạn số lần bị đặt vào tình thế bị tấn công.
PPTP đ-ợc thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng
và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực ng-ời dùng.
- Tạo các gãi d÷ liƯu PPP.
Sau khi PPP thiÕt lËp kÕt nèi, PPTP sử dụng các quy luật đóng gói của PPP
để đóng các gói truyền trong đ-ờng hầm.
Để tận dụng -u điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại
gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển
và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ
liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP.
Kết nối TCP đ-ợc tạo giữa client PPTP và máy chủ PPTP đ-ợc sủ dụng để tr-yền
thông báo điều khiển.
Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin


22


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

Các gói dữ liệu là dữ liêu thông th-ờng của ng-ời dùng. Các gói điều khiển
đ-ợc gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu
giữa client PPTP và máy chủ PPTP. Các gói điều khiển cũng đ-ợc dùng để gửi
các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đ-ờng hầm.
Kênh điều khiển đ-ợc yêu cầu cho việc thiết lập một đ-ờng hầm giữa client
PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy ng-ời dùng từ xa
hay nằm ở tại máy chủ của ISP.

Hình 2.4:Các giao thức dùng trong một kết nối PPTP

Sau khi đ-ờng hầm đ-ợc thiết lập thì dữ liệu ng-ời dùng đ-ợc truyền giữa
client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu
đ-ợc đóng gói bởi tiêu đề GRE, sử dơng sè ID cđa Host cho ®iỊu khiĨn truy cËp,
ACK cho giám sát tốc độ dữ liệu truyền trong đ-ờng hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi tr-ờng
truyền trong gói để biết gói dữ liệu truyền trong đ-ờng hầm theo ph-ơng thức
nào? Ethernet, Frame Relay hay kết nối PPP?

Trần Ngọc Đáng Líp46k1

Khoa C«ng NghƯ Th«ng Tin

23



Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN

Mụi trng

IP

GRE

PPP

Ti PPP

Hình 2.5 : bọc gói PPTP/ GRE
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số l-ợng dữ liệu
truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.
b) Cấu trúc gói của PPTP
* Đóng gói dữ liệu đ-ờng hầm PPTP
Dữ liệu đ-ờng hầm PPTP đ-ợc đóng gói thông qua nhiều mức: đóng gói
khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đà đ-ợc đóng gói
Ti PPP c
Tiờu đề
Tiêu đề Tiêu đề Tiêu đề
Phần đi
mã hố
liên kết dữ liệu

IP
GRE
PPP (IP, IPX, NETBEUI) liên kết dữ liệu

H×nh 2.6: CÊu trúc gói dữ liệu trong đ-ờng hầm PPTP
+ Đóng gói khung PPP
Phần tải PPP ban đầu đ-ợc mật mà và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó, khung PPP đ-ợc đóng gói với phần tiêu đề của phiên bản
sửa đổi giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE đ-ợc sử đổi một số điểm sau:
- Một bit xác nhận đ-ợc sử dụng để khẳng định sự có mặt của tr-ờng xác
nhận 32 bit.
- Tr-ờng Key đ-ợc thay thế bằng tr-ờng độ dài Payload 16bit và tr-ờng nhận
dạng cuộc gọi 16 bit. Tr-ờng nhận dạng cuộc goi Call ID đ-ợc thiết lập bởi
PPTP client trong quá trình khởi tạo đ-ờng hầm PPTP.
- Một tr-ờng xác nhận dài 32 bit đ-ợc thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua
mạng IP.
+ Đóng gói các gói GRE
Trần Ngọc Đáng Lớp46k1

Khoa Công Nghệ Thông Tin

24


Đồ án tốt nghiệp Đại học

Chương 4. C¸c øng dơng trên mạng VPN


Tiếp đó, phần tải PPP đà đ-ợc mà hoá và phần tiêu đề GRE đ-ợc đóng gói
với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP
server.
+ Đóng gói lớp liên kết dữ liệu
Do đ-ờng hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô
hình OSI nên l-ợc đồ dữ liệu IP sẽ đ-ợc đóng gói với phần tiêu đề (Header) và
phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram đ-ợc gửi
qua giao diện Ethernet thì sẽ đ-ợc đóng gói với phần Header và Trailer Ethernet.
Nếu IP datagram đ-ợc gửi thông qua đ-ờng truyền WAN điểm tới điểm thì sẽ
đ-ợc đóng gói với phần Header và Trailer của giao thức PPP.
* Xử lý dữ liệu đ-ờng hầm PPTP
Khi nhận đ-ợc dữ liệu đ-ờng hầm PPTP, PPTP client hay PPTP server sẽ
thực hiện các b-ớc xử lý:
- xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
- Xử lý và loại bỏ IP Header.
- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mà hoặc/và giải nén phần PPP payload nếu cần thiết.
- Xử lý phần payload để nhận hoặc chuyển tiếp.
* Sơ ®å ®ãng gãi PPTP
IP

IPX

NetBEUI

NDIS
NDISWAN

PPTP


Tiêu đề
liên kết
dữ liệu

Tiêu đề
IP

L2TP

Tiêu đề
GRE

Async

Tiêu đề
PPP

X.25

ISDN

Tải PPP c
Phn uụi
mó hoỏ
liờn kt
(IP, IPX, NETBEUI)
d liu

Hình 2.7: Sơ đồ đóng gói PPTP
Trần Ngọc Đáng Lớp46k1


Khoa Công Nghệ Thông Tin

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×