GVHD: ThS .Trần Xuân Tr-ờng

Mục lục
Lý THUYếT Về VPN
1.1.Định nghĩa, chức năng, và các -u điểm của VPN .................................. 1
1.1.1. Định nghĩa VPN ......................................................................... 1
1.1.2. Chức năng của VPN........2
1.1.3. -u ®iĨm khi sư dơng VPN……………………………………..3
1.1.4. Nh-ỵc ®iĨm cđa VPN……………………………………….... 4
1.1.5. Đánh giá VPN.
1.1.6. Các yêu cầu của VPN.

4
5

1.2.Các loại mạng VPN . …..................................................................... 12
1.2.1. VPN truy cËp tõ xa (Remote access VPN).............................. 12
1.2.2. VPN néi bé (Intranet VPN)..................................................... 14
1.2.3. VPN mở rộng (Extranet VPN)................................................. 16
1.3.Đ-ờng hầm và mà hoá.......................................................................... 17
1.3.1. Đ-ờng hầm (Tunnel)................................................................ 17
1.3.2. MÃ hoá (Encryption)................................................................ 17
1.4.T ổng quan vỊ c¸c giao thøc dïng cho VPN........................................ 18
1.4.1. Generic Routing Encapsulation (GRE) ...................................... 19
1.4.2. Giao thøc b¶o mËt IPSec (IP Security Protocol) ......................... 21
2.1. ESP (Encapsulation Security Payload) ................................................ .24
2.2. AH (Authentication Header)................................................................ 26
2.3. Mode Tunnel vµ Mode Transport ......................................................... 28
2.3.1. Mode Transport .......................................................................... 29
2.3.2. Mode Tunnel .............................................................................. 29
2.4. Qu¸ trình hoạt động của IPSec ............................................................. 30

2.4.1. B-ớc 1: Xác định traffic cần quan tâm....................................... 31
2.4.2. B-ớc 2: Giai đoạn 1 IKE (Internet Key Exchange) ................... 32
2.4.3. B-íc 3: Giai đoạn 2 IKE ............................................................ 35

Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT

1


GVHD: ThS .Trần Xuân Tr-ờng
2.4.4. B-ớc 4: Phiên IPSec ................................................................... 39
2.4.5. B-ớc 5: Kết thúc đ-ờng hầm ...................................................... 39
3.1. Point-to-Point Tunneling Protocol (PPTP) ........................................... 40
3.1.1. Đ-ờng hầm trong PPTP .............................................................. 43
3.1.1.1. Đ-ờng hầm tự nguyện .................................................. 43
3.1.1.2. Đ-ờng hầm bắt bc .................................................... 43
3.1.2. Sư dơng PPTP ............................................................................. 43
3.2. Layer 2 Tunneling Protocol (L2TP) ..................................................... 45
3.2.1. PPP trong L2TP .......................................................................... 46
3.2.2. §-êng hÇm L2TP ....................................................................... 49
3.2.2.1. §-êng hÇm tù ngun .................................................. 49
3.2.2.2. Đ-ờng hầm bắt buộc .................................................... 50
3.3. Xác thực và mà hoá trong L2TP ........................................................... 53

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT

2


GVHD: ThS .Trần Xuân Tr-ờng


LờI Mở ĐầU
Cùng với sự phát triển của công nghệ thông tin, mạng máy tính và
đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú về
cả nội dung lẫn hình thức. Các dịch vụ trên mạng Internet đà xâm nhập
vào hầu hết các lĩnh vực trong đời sống xà hội. Các thông tin trao đổi
trên Internet có rất nhiều thông tin cần bảo mật cao bởi tính quan trọng,
tính chính xác và tin cậy của nó.
Một yêu cầu đặt ra cho các doanh nghiệp là phải luôn luôn nắm đợc
những thông tin mới nhất, chính xác nhất và phải đảm bảo độ tin cậy cao
về các chi nhánh của mình trên khắp thế giới, cũng nh các đối tác, các
khách hàng. Ngoài ra tính hiệu quả và tiện lợi cho nhân viên và khách
hàng cũng là yếu tố cần đợc xem xét. Để làm đợc điều này thì các nhân
viên ở xa, chi nhánh ở xa, và khách hàng ở xa, phải có thể truy nhập đợc
vào mạng Intranet của công ty. Ví dụ: Một nhân viên làm việc ở Hà Nội
có chuyến công tác Sài Gòn, anh ta quên tài liệu của mình ở công ty.
Anh ta muốn lấy tài liệu này một cách an toàn và bảo mật?
Để đáp ứng đợc những yêu cầu trên. Trong quá khứ có một giải
pháp khá tốn kém là sử dụng đờng leaseline của các nhà cung cấp dịch
vụ để nối tất cả các chi nhánh của công ty lại với nhau thành một mạng
WAN. Giải pháp này rất khó khăn trong việc vận hành, bảo trì, và mở
rộng mạng.
Đây cũng là nguyên nhân dẫn đến việc em chọn đề tài cho đồ án tốt
nghiệp của em là Tìm hiểu các giao thức trong Mạng Riêng ảo-VPN .
Công nghệ mạng riêng ảo VPN (Virtual Private Network) là một công
nghệ tơng đối mới, việc nghiên cứu và triển khai các loại mạng VPN đòi
hỏi nhiều thời gian và công sức.Trong đề tài này, em đà cố gắng trình bày

Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT


3


GVHD: ThS .Trần Xuân Tr-ờng
những khái niệm cơ bản nhất về mạng riêng ảo, nghiên cứu một cách kỹ lỡng c¬ së lý thut cịng nh kü tht triĨn khai các kiểu mạng VPN trên
của Microsoft
Trong phần thực nghiệm của đề tài em đà xây dựng và cấu hình thành
công mạng VPN Client-to-Site trên phần mềm mô phỏng

Vware

Workstration.Trên cơ sở đó có thể triển khai mạng riêng ảo cho các doanh
nghiệp.
Một lần nữa em xin chân thành cảm ơn thầy Ths Trần Xuân Trờng GV
khoa CNTT trờng Đại Học Vinh đà tận tình giúp đỡ em hoàn thành đề tài
này.
Đinh Công Đức

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT

4


GVHD: ThS .Trần Xuân Tr-ờng

Lý THUYếT Về VPN
CHƯƠNG I
TổNG QUAN Về VPN
1.1 Định nghĩa, chức năng, và các -u điểm của VPN
1.1.1 Định nghĩa VPN

Theo tiêu chuẩn đ-ợc định nghĩa bëi Internet Engineering Task Force
(IETF), VPN lµ sù kÕt nèi các mạng WAN riêng (Wide Area Network) sử
dụng IP chia sẻ và công cộng nh- mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet)
sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai
thiết bị thông tin đầu cuối. Sự mở rộng đ-ợc thực hiện bởi các đ-ờng hầm
(Tunnels). Những đ-ờng hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối
nh- là giao thức thông tin point-to-point và kĩ thuật đ-ờng hầm là lõi cơ bản
của VPN
Một mạng VPN có thể ở giữa hai hệ thống đầu cuối, hoặc có thể ở giữa
hai hay nhiều mạng

Hình 1.1 Tổng quan về VPN
Tóm lại ta có thể định nghĩa ngắn ngọn về VPN nh- sau :

Sinh viên thực hiện: §inh C«ng §øc - Líp 46K1 - CNTT

5


GVHD: ThS .Trần Xuân Tr-ờng
VPN = Định đ-ờng hầm + Bảo mật + Các thỏa thuận về QOS
(QualityOf Service)
1.1.2 Chức năng của VPN
VPN cung cấp ba chức năng chính:
Sự tin cËy (Confidentiality): Ng-êi gưi cã thĨ m· ho¸ c¸c gói dữ liệu
tr-ớc khi truyền chúng qua mạng công cộng. Bằng cách làm nhvậy, không một ai có thể truy cập thông tin mà không đ-ợc cho
phép. Và nếu có lcho mỗi lần kết nối bằng các phần mềm

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT


49


GVHD: ThS .Trần Xuân Tr-ờng
client (Soft Client). Một bất lợi nữa là khi sử dụng đ-ờng hầm tự nguyện thì
ng-ời dùng nó trở thành mục tiêu của kẻ tấn công, và khi đà chiếm quyền
điều khiển máy tính của ng-ời sử dụng thì kẻ tấn công có thể thực hiện
những việc mà chỉ có ng-ời sử dụng hợp lệ mới làm đ-ợc.

Ngi dựng
t xa

Intranet ca
ISP

Yờu cu
kt ni

Yờu cu kt ni
ng ý hày từ chôi kết nối
Khung L 2TP
Lột bỏ thông
tin Tunnel
Xỏc thc
ngi dựng
Khung ti
Node ớch

Hình 3.9: Quá trình thiết lập đ-ờng hầm tự nguyện

Đầu tiên LAC (trong tr-ờng hợp này là ng-ời dùng từ xa) phát ra
một yêu cầu thiết lập một đ-ờng hầm tới LNS (L2TP Network Server).
Nếu yêu cầu thiết lập đuờng hầm đ-ợc đồng ý bởi LNS, LAC sẽ tạo
một đ-ờng hầm theo chuẩn L2TP và đóng gói các khung PPP và chuyển
qua đ-ờng hầm này.
LNS sẽ đồng ý các khung đóng gói trong đ-ờng hầm rồi lột bỏ
thông tin đ-ờng hầm và xử lý các khung này.
Cuối cùng, LNS sẽ xác thực ng-ời dùng và nếu ng-ời dùng này hợp
lệ thì nó sẽ chuyển tiếp các khung này tới node đích trong mạng Intranet.
3.2.2.2 Đ-ờng hầm bắt buộc

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT

50


GVHD: ThS .Trần Xuân Tr-ờng
Đ-ờng hầm bắt buộc đ-ợc tạo ra không thông qua ng-ời dùng nên nó
trong suốt với ng-ời dùng đầu cuối. Đ-ờng hầm bắt buộc đ-ợc khởi tạo từ
LAC tại ISP và kết thúc ở LNS của mạng riêng. Lúc này thì ISP phải hỗ
trợ L2TP. Trong việc thiết lập đ-ờng hầm bắt buộc thì ISP đóng vai trò rất
quan trọng.
Intranet ca
ISP
Ngi dựng
t xa

ng hm L2TP

Hình 3.10: Đ-ờng hầm L2TP bắt buộc

Trong tr-ờng hợp này thì ng-ời dùng cuối (end user) chỉ là một thực thể
bị động, và không có vai trò gì trong việc thiết lập đ-ờng hầm. Đ-ờng
hầm L2TP tự nguyện là sự lựa chọn tốt cho các yêu cầu bảo mật. Bởi vì
các kết nối dial-up tại ng-ời dùng cuối đ-ợc dùng để thiết lập một kết nối
PPP tới ISP. Kết quả là ng-ời dïng kh«ng thĨ truy nhËp internet nÕu
kh«ng qua gate-way cđa intranet của công ty. Điều này tạo điều kiện
thuận lợi cho các quản trị mạng có thể thực thi các cơ chế bảo mật
nghiêm ngặt, điều khiển luồng, và quản lý tài khoản ng-ời dùng.

Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT

51


GVHD: ThS .Trần Xuân Tr-ờng

Kt ni
PPP
User
t xa
Yờu cu kt ni
Yờu cầu
xác thực
Thiết lập kết
nối

Khởi tạo đường hầm L2TP
Đã thiết lập đường hầm
Frames qua đường hầm L2TP
Xác thực

User từ xa
Frames tới
Node ớch

Hình 3.11: Quá trình thiết lập đ-ờng hầm L2TP bắt buộc
Ng-ời dùng từ xa yêu cầu một kết nối PPP tới NAS tại ISP
NAS xác thực ng-ời dùng. Tiến trình xác thực này diễn ra nhsau: NAS sẽ kiểm tra trong cơ sở dữ liệu của nó xem có ID của
ng-ời dùng không, và nếu có thì t-ơng ứng với điểm LNS cuối
cùng của đ-ờng hầm nào.
Nếu NAS là rỗi thì nó sẽ đồng ý yêu cầu kết nối, và một liên kết
PPP sẽ đ-ợc khởi tạo giữa ISP và ng-ời dùng từ xa.
LAC sẽ khởi tạo một đ-ờng hầm L2TP tới LNS tại mạng riêng
của máy đích
Nếu LNS đồng ý kết nối thì các khung PPP phải đ-a vào quá
trình đóng gói của đ-ờng hầm L2TP. Sau đó thì các khung này
sẽ đ-ợc chuyển tiếp qua đ-ờng hầm L2TP đến LNS
LNS tiếp nhận các khung và lột bỏ để đ-a nó về khung PPP gốc
nh- lúc đầu.
Cuối cùng, LNS xác thực ng-ời dùng và nhận dữ liệu nếu ng-ời
dùng là hợp lệ.

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT

52


GVHD: ThS .Trần Xuân Tr-ờng
Một -u điểm nữa của đ-ờng hầm bắt buộc là nó có thể tải nhiều kết
nối. Đặc tính này làm giảm yêu cầu băng thông mạng cho các ứng dụng
đa phiên làm việc. Tuy vậy nó cũng có nh-ợc điểm là kết nối từ LAC tới

ng-ời dùng nằm ngoài đ-ờng hầm nên dễ bị tấn công.
3.3.

Xác thực và mà hoá trong L2TP

Việc xác thực ng-ời dùng diễn ra trong 3 giai đoạn: Giai đoạn đầu diễn
ra ở ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) diễn ra ở máy chủ của
mạng riêng. Trong giai đoạn đầu, ISP có thể sử dụng số điện thoại của
ng-ời dùng hoặc tên của ng-ời dùng để xác định dịch vụ L2TP đ-ợc yêu
cầu và khởi tạo kết nối đ-ờng hầm đến máy chủ của mạng riêng. Khi
đ-ờng hầm đ-ợc thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc
gọi (Call ID) mới để định danh cho kết nối trong đ-ờng hầm và khởi tạo
phiên làm việc mới trong đ-ờng hầm bằng cách chuyển thông tin xác
thực đến máy chủ của mạng riêng.
Máy chủ của mạng riêng sẽ tiến hành giai đoạn thứ 2 là quyết định chấp
nhận hay từ chối yêu cầu dựa vào thông tin PAP, hay CHAP. Nếu đ-ợc
chấp nhận thì máy chủ có thể có thể tiến hành giai đoạn 3 của việc xác
thực tại lớp PPP. Giai đoạn này t-ơng tự nh- viƯc m¸y chđ x¸c thùc mét
ng-êi dïng quay sè truy nhập thẳng vào máy chủ.
Mặc dù trong giai đoạn 3 này cho phép ng-ời dùng, ISP và máy chủ của
mạng riêng xác định đ-ợc tính chính xác của cuộc gọi nh-ng vẫn ch-a
bảo mật dữ liệu tránh bị can thiệp và sửa đổi. Do đó, cơ chế xác thực cũng
giống nh- thuộc tính bảo mật của CHAP nghĩa là nó vẫn đơn giản cho kẻ
tấn công xen vào và chiếm đ-ờng hầm ngay cả khi tính xác thực đ-ờng
hầm vừa mới hoàn tất.
Đ-ờng hầm kết nối LAN-LAN
Mặc dù chức năng chÝnh cđa L2TP lµ cho quay sè truy nhËp VPN bằng
cách sử dụng PPP client, nh-ng nó cũng thích hợp cho kết nối LAN-toLAN trong VPN.
Đ-ờng hầm kết nối LAN-to-LAN đ-ợc thiết lập giữa hai máy chủ L2TP
với điều kiện ít nhất một máy chủ phải đ-ợc kết nối với ISP để khởi tạo

phiên làm việc PPP. Thiết kế này thích hợp cho mạng LAN của văn
phòng chi nhánh kết nối với văn phòng chính của công ty. Kết nối này là

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT

53


GVHD: ThS .Trần Xuân Tr-ờng
một kết nối động. Hai bên đóng vai trò vừa là LAC và LNS, khởi tạo và
kết thúc đ-ờng hầm khi có nhu cầu.
3.4 Sử dụng L2TP
Chức năng chính của L2TP là cho quay số truy nhập VPN thông qua
internet nên các thành phần của L2TP cũng t-ơng tự nh- PPTP. Thành
phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một đ-ờng
hầm L2TP, LAC và LNS. Những điểm này có thể nằm trên thiết bị ISP nên
phần mềm cho ng-ời dùng di động nhiều khi không cần thiết. Mặc dù LNS
có thể cài đặt ngay tại công ty và đ-ợc điều hành bởi một nhóm ng-ời của
công ty, nh-ng LAC nên nhờ sự hỗ trợ của ISP. Tuy nhiên, nếu nguời dùng
từ xa có cài đặt client L2TP thì ISP không cần hỗ trợ thêm L2TP. Tại mạng
riêng, máy chủ L2TP đóng vai trò nh- một cổng kết nối bảo mật (Gateway), nối kÕt x¸c thùc víi RADIUS hay c¸c miỊn WindowsNT. Client
L2TP tại máy tính xách tay của ng-ời dùng có thể thực thi những chức
năng giống nh- phần mềm client IPSec.
Một máy chủ sử dụng L2TP có hai chức năng chính là điểm kết thúc một
đ-ờng hầm và chuyển dữ liệu d-ới dạng gói đến các mạng LAN, hay đến
các máy đích dựa vào địa chỉ mạng của máy đích thông qua quá trình xử lý
gói tin.
Nếu so sánh với giao thức PPTP thì L2TP có một nh-ợc điểm là không có
khả năng lọc gói, nh-ng khi tích hợp giữa máy chủ mạng và t-ờng lửa thì
L2TP lại có nhiều -u điểm hơn PPTP. Tr-ớc hết, L2TP không đòi hỏi một

cổng duy nhÊt g¸n cho t-êng lưa gièng nh- PPTP (cỉng mặc định cho
L2TP là 1701). Ch-ơng trình quản lý khoá có thể chọn một cổng khác để
gán cho t-ờng lửa điều này hạn chế việc bẻ khoá. Thứ hai là luồng dữ liệu
và thông tin điều khiển đ-ợc truyền trên mét UDP, do vËy viƯc thiÕt lËp
t-êng lưa sÏ dƠ dàng hơn. Do có một số t-ờng lửa không hỗ trợ GRE nên
chúng t-ơng thích L2TP hơn PPTP.

Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT

54


GVHD: ThS .Trần Xuân Tr-ờng
Mỏy ch
RADIUS

Tr s chớnh

Mỏy ch Proxy
RADIUS của ISP

`

`

INTERNET
`

Máy chủ
mạng L2TP


Bộ tập trung truy
nhập L2TP của ISP

Người
dùng

H×nh 3.13: Quay số L2TP trong VPN
Hình vẽ trên chỉ đề cập đến việc trao đổi dữ liệu giữa hai điểm cuối, không
quan tâm đến thông tin trong mạng đ-ợc bảo mật nh- thế nào.
Công ty sử dụng dịch vụ VPN có hỗ trợ ISP. Có nghĩa là ISP cung cấp
kết nối Internet cho công ty có máy chủ Proxy RADIUS và LAC, ở tại
công ty vẫn duy trì máy chủ RADIUS và LNS. Do ISP có hỗ trợ L2TP nên
ng-ời dùng ở xa không cần cài Client L2TP.
Khả năng ứng dơng thùc tÕ cđa L2TP
L2TP lµ mét giao thøc quay số truy nhập mới của VPN. Nó phối hợp những
đặc ®iĨm tèt nhÊt cđa PPTP vµ L2F. Giao thøc nµy chủ yếu dùng trên mạng
IP nh-ng nó vẫn hoạt động tốt trên các mạng khác nh- Frame Relay, ATM
L2TP cho phÐp mét sè l-ỵng ng-êi dïng tõ xa truy nhËp vào VPN hay cho
các kết nối LAN-to-LAN có dung l-ợng lớn. Ngoài ra, L2TP có cơ chế điểu
khiển luồng làm giảm tắc nghẽn trên đ-ờng hầm L2TP.
L2TP cho phép thiết lập nhiều đ-ờng hầm với cùng LAC và LNS. Mỗi
đ-ờng hầm có thể đ-ợc gán cho một ng-ời dùng xác định, hay một nhóm
các ng-ời dùng và gán cho các môi tr-ờng khác nhau tuỳ thuộc chất l-ợng
dịch vụ QoS của ng-ời dùng.

Sinh viên thực hiện: Đinh Công Đức - Líp 46K1 - CNTT

55



GVHD: ThS .Trần Xuân Tr-ờng

TàI LIệU THAM KHảO

1.

Microsoft Corporation www.microsoft.com

2.

Meeta Gupta (2003), “ Building a Virtual Private Network” , Publisher
Premier Press.

3.

Cisco Corporation www.cisco.com

4.

Charlie Scott, Paul Wolfe, Mike Erwin (1999), “ Virtual Private
Networks, Second Edition” , Publisher O'Reilly.

5.

Vijay Bollapragada, Mohamed Khalid, Scott Wainner (2005), “ IPSec
VPN Design” , publisher Cisco Press.

6.


Cisco System (2003), “ Cisco Secure PIX Firewall Advanced” ,
Publisher Cisco System.

7.

www.mediawiki.org.

8.

Todd Lammle (2004), “ Cisco Cettified Network Associate Study
Guide Forth Edition” , Publisher certification sybex.

9.

Vmware Workstration .

10.

Google Search

www.google.com

Sinh viªn thùc hiện: Đinh Công Đức - Lớp 46K1 - CNTT

56