Mạng riêng ảo mpls và thự tế triển khai tại bưu điện hà nội

88 Trang 5 Các từ viết tắtAH Authentication Header ATM Asynchronous Tranfer ModeBGP Border Gateway Protocol BRAS Broadband Remote Access Server CBR Constant Bit Rate CE Customer Equipm

Cao pH¬ng Huy

hµ néi 2006

Lời cam đoan

Tôi xin cam đoan toàn bộ nội dung đề cập trong luận văn “Mạng riêng

ảo MPLS và thực tế triển khai tại Bu điện Hà Nội” đợc viết dựa trên kết quả nghiên cứu theo đề cơng bởi cá nhân tôi dới sự hớng dẫn của PGS.TS Phạm Minh Hà Mọi thông tin và số liệu tham khảo đều đợc trích dẫn đầy đủ nguồn và sử dụng đúng theo luật bản quyền quy định Tôi xin hoàn toàn chịu trách nhiệm về nội dung luận văn của mình

Học viên cao học

CAO PHƯƠNG HUY

MụC LụC

18T Lời cam đoan 18T 1

18T MụC LụC 2 18T 18T Các từ viết tắt 18T 4

18T Danh mục các bảng 5 18 T 18T Danh mục các hình vẽ 5 18T 18T LờI Mở ĐầU 6 18T 18T Chơng I: Tổng quan về Công nghệ chuyển mạch nhãn đa giao thức và mạng riêng ảo 18T 7

18T I.1 tổng quan về Công nghệ chuyển mạch nhãn đa giao thức 7 18T 18T I.1.1 Nhu cầu và lịch sử phát triển của chuyển mạch nhãn đa giao thức 18T 7

18T I.1.2 Cơ chế hoạt động trong mạng chuyển mạch nhãn đa giao thức 18T 8

18TI.1.2.1 Các thành phần chính trong một mạng MPLS18T 8

18TI.1.2.2 Cơ chế hoạt động của MPLS18T 9

18T I.2 Tổng quan về mạng riêng ảo 18 18T 18T I.2.1 Khái niệm và phân loại 18T 18

18T I.2.2 Công nghệ IPSec VPN 18T 20

18TI.2.2.1 Các thành phần chính của một IPSec VPN18T 20

18TI.2.2.2 – Các công nghệ tạo đờng hầm18T 22

18T Chơng II: mạng riêng ảo trên nền chuyển mạch nhãn đa giao thức 18T 41

18T II.1 Các thành phần trong MPLS VPN 41 18T 18T II.1.1 Đờng hầm LSP 18T 42

18T II.1.2 VPN Traffic Engineering – VPN TE 18T 43

18T II.2 Các mô hình MPLS VPN 47 18T 18T II.2.1 MPLS cho kết nối riêng ảo 18T 47

18T II.2.2 MPLS kết nối mạng LAN ảo (VPLS-Virtual Private Lan Service) 18T 48

18T II.2.3 MPLS for VPRN (Virtual Private Routed Network) 18T 49

18T II.2.4 Các mô hình triển khai MPLS VPN nhìn từ góc độ quản lý 18T 49

18T II.3 CÔNG NGHệ BGP/MPLS VPN 51 18T II.3.1 Các thành phần của BGP/MPLS VPN 52

18TII.3.1.2 Router biên của nhà cung cấp18T 53

18TII.3.1.3 Router lõi của nhà cung cấp18T 54

18TII.3.1.4 Virtual Route Forwarding (VRF)18T 54

18T II.3.2 Mô hình hoạt động BGP/MPLS VPN 18T 56

18TII.3.2.1 Luồng điều khiển18T 56

18TII.3.2.2 Luồng dữ liệu18T 59

18TII.3.2.3 Phân bổ nhãn18T 60

18T II.3.3 Xem xét ví dụ BGP/MPLS VPN 18T 61

18T II.3.4 Ưu điểm và nhợc điểm của MPLS VPN 18T 63

18TII.3.4.1 Ưu điểm18T 63

18TII.3.4.2 Nhợc điểm của MPLS VPN18T 64

18T chơng iii thực tế cung cấp dịch vụ mạng riêng ảo tại bu điện thành phố hà nội 18T 65

18T III.1 Giới thiệu sơ lợc mạng Internet Bu điện Hà Nội 18T 65

18T III.1.1 Các công nghệ và giao thức truyền dẫn đợc sử dụng 18T 67

18T III.1.2 Các thiết bị đợc sử dụng trong mạng 18T 67

18TIII.1.2.1 Các thiết bị đợc sử dụng đóng vai trò Provider Edge Router18T 67

18TIII.1.2.2 Các thiết bị ghép kênh đợc sử dụng18T 70

18T III.2 Giới thiệu tổng quan mạng core MPLS của VNPT 74 18T 18T III.3 Cung cấp Dịch vụ mạng riêng ảo tại Bu điện Hà Nội tình – hình triển khai, khó khăn và hớng giải quyết 18T 76

18T III.3.1 Cấu hình thiết bị để tạo một VPN cho khách hàng 18T 76

18TIII.3.1.1 Từ khách hàng đến PE18T 76

18TIII.3.1.2 Liên kết giữa các VRF trên các thiết bị CE.18T 80

18T III.3.2 Một số mô hình đợc triển khai tại Bu điện Hà Nội 18T 81

18TIII.3.2.1 Mô hình cung cấp hai dịch vụ mạng riêng ảo và Internet đồng thời18T 81 18TIII.3.2.2 Hai mô hình Full-mesh và Hub -and- spoke18T 83

18T III.3.3 Các vấn đề thực tế và hớng giải quyết 18T 84

18T Kết luận 18T 87

18T Tài liệu tham khảo 18T 88

18T Tóm tắt luận văn 18T 89

C¸c tõ viÕt t¾t

AH Authentication Header

ATM Asynchronous Tranfer Mode

BGP Border Gateway Protocol

BRAS Broadband Remote Access Server

CBR Constant Bit Rate

CE Customer Equipment

CoS Class of Service

CR-LDP Constraint-based Routed LDP

DSL Digital Subscriber Line

DSLAM Digital Subscriber Access Multiplexer

ESP Encapsulating Security Payload

FEC Forwarding Equivalence Class

IP Internet Protocol

L2TP Layer 2 Tunneling Protocol

LDAP Lightweight Directory Access Protocol

LDP Label Distribution Protocol

LER Label Edge Router

LSP Label Switching Path

LSR Label Switching Router

MPLS Multi Protocol Label Switching

-NAS Network Access Server

OSPF Open Shortest Path First

PE Provider Edge

PPP Point To Point Protocol -

-PPTP Point To Point Tunneling Protocol -

-QoS Quality of Service

RADIUS Remote Authentication Dial In User Service

RD Route Distinguisher

RSVP Resource Reservation Protocol

RSVP-TE RSVP Traffic Engineering

VNPT Vietnam Posts and Telecoms Group

VPLS Virtual Private Lan Service

VPN Virtual Private Network

Danh mục các bảng

Bảng 3.1 Các vấn đề đã gặp phải khi triển khai tại BĐHN Trang 86

Danh mục các hình vẽ

Hình 1.3 Tổng quan về sự phân loại VPN Trang 19Hình 1.4 Gói kết nối điều khiển PPTP Trang 25

Hình 1.6 Cấu trúc dữ liệu đóng gói PPTP qua đờng hầm Trang 27

Hình 2.2 Các thành phần trong BGP/MPLS VPN Trang 52

Hình 2.6 Ví dụ hoạt động của mạng BGP/MPLS VPN Trang61Hình 3.1 Sơ đồ tổng quan hạ tầng mạng Internet BĐHN Trang 66 Hình 3.2 Thiết bị ERX 1410 đóng vai trò PE router Trang 68 Hình 3.3 Thiết bị Mini DSLAM của Siemens Trang 71

Hình 3.5 Sơ đồ tổng quát mạng core MPLS của VNPT Trang 75Hình 3.6 Mô hình thực thể kết nối từ VPN Site đến PE Trang 6 7Hình 3.7 Modem hoạt động ở chế độ Router Trang 77Hình 3.8 Modem hoạt động ở chế độ Bridge Trang 8 7Hình 3.9 Chỉ có một liên kết vật lý từ CE đến PE Trang 8 2Hình 3.10 Kết nối lớp 3- hai kết nối WAN từ Router đầu cuối Trang 8 3

LờI Mở ĐầU

Trong một thập niên trở lại đây, sự phát triển với tốc độ rất nhanh của mạng Internet trên thế giới nói chung và ở Việt Nam nói riêng đã thúc đẩy sự phát triển hàng loạt các dịch vụ mới, đáp ứng với nhu cầu đa dạng của việc ứng dụng công nghệ thông tin trong trong thời đại mới Mạng Internet phát triển tạo rất nhiều thuận lợi trong việc trao đổi và tìm kiếm thông tin trong một không gian rộng lớn Tuy nhiên, bên cạnh đó, do đặc tính không an toàn của nó, mạng Internet cũng đặt ra vấn đề rất lớn về anh ninh và bảo mật Dịch

vụ mạng riêng ảo ra đời đã góp phần giải quyết vấn đề đó với mục đích sử dụng các công nghệ để kết nối các máy tính hay các mạng nội bộ của cùng một cá nhân hoặc tổ chức thông qua các mạng công cộng (phổ biến nhất vẫn

là mạng Internet) mà vẫn có đợc tính bảo mật nh một mạng đợc thiết lập dùng riêng Mạng riêng ảo ra đời còn làm đơn giản hóa và dễ dạng thiết lập một mạng có tính chất dùng riêng linh hoạt với giá thành rất thấp mà một mạng riêng thực sự không đáp ứng đợc

Khái niệm mạng riêng ảo đã xuất hiện nhiều năm nay, nhng càng ngày càng có nhiều công nghệ triển khai mạng riêng ảo tiên tiến, u việt hơn và phù hợp cho nhiều đối tợng sử dụng Mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức là một công nghệ cung cấp mạng riêng ảo ra đời gần

đây nhng nó đã thể hiện một số u điểm vợt trội, đặc biệt là ở góc độ của nhà cung cấp dịch vụ

Luận văn này trình bầy về mạng riêng ảo trên nền công nghệ chuyển mạch nhãn đa giao thức và việc ứng dụng nó vào triển khai cung cấp dịch vụ tại Bu điện Thành phố Hà Nội

Chơng I:

Tổng quan về Công nghệ chuyển mạch nhãn đa giao thức

và mạng riêng ảo

I.1 tổng quan về Công nghệ chuyển mạch nhãn đa giao thức

I.1.1 Nhu cầu và lịch sử phát triển của chuyển mạch nhãn đa giao thức

Những năm gần đây, mạng Internet toàn cầu phát triển rất mạnh mẽ với Internet Protocol (IP) là thành phần chính trong kiến trúc của nó Tuyệt đại đa

số các mạng máy tính trên thế giới cũng đều sử dụng công nghệ IP Thực tế cũng cho thấy, các phơng tiện thông tin truyền thống và hiện đại nh thoại, truyền thanh, truyền hình, hội nghị truyền hình cũng đều đợc IP hóa dần dần Lý do là IP là giao thức chuyển mạch gói có độ tin cậy và khả năng mở rộng cao Tuy nhiên, do IP sử dụng phơng thức định tuyến theo từng chặng nên việc điều khiển lu lợng rất khó thực hiện Đồng thời, IP cung cũng không hỗ trợ chất lợng dịch vụ

Trớc đó, Asynchronous Tranfer Mode (ATM) là công nghệ truyền dẫn tốc độ cao đã khá biến ở các nớc phát triển Quá trình chuyển tế bào của ATM cũng tơng tự nh việc chuyển tin qua router Tuy nhiên, ATM chuyển mạch nhanh hơn vì nhãn trên cell có kích thớc cố định (nhỏ hơn của IP), ATM không phải đọc bảng định tuyến, kích thớc bảng chuyển tin nhỏ hơn nhiều so với của IP router, và việc này đợc thực hiện trên các thiết bị phần cứng chuyên dụng

Do đó, ngành công nghiệp viễn thông có nhu cầu tìm một phơng thức chuyển mạch có thể phối hợp u điểm của IP (nh cơ cấu định tuyến) và của ATM (nh thông lợng chuyển mạch)

Cơ chế chuyển mạch nhãn đa giao thức (Multi Protocol Layer Switching MPLS) đợc xây dựng trên cơ sở chuyển mạch thẻ của Cisco, một cơ chế xuất phát từ ý tởng chuyển mạch IP, một phơng pháp để chuyển mạch các gói tin IP trên ATM đợc Ipsilon Networks đề xuất Từ đó, MPLS

đã đợc IETF tiêu chuẩn hoá, đa ra một cấu trúc hớng kết nối vào trong mạng IP không hớng kết nối

I.1.2 Cơ chế hoạt động trong mạng chuyển mạch nhãn đa giao thức

PE

ELSR ELSR

Dới đây ta xem xét một số khái niệm trong mạng MPLS:

- FEC (Forwarding Equivalence Class) là một nhóm các gói tin ở lớp mạng đợc gán nhãn giống nhau và gửi đi theo một đờng đi cụ thể FEC cho một gói tin có thể đợc xác định bởi một hoặc nhiều tham

số nh địa chỉ IP nguồn hoặc đích, cổng nguồn hoặc đích, mã Diffserv

- Nhãn (Label): Một định dạng liên tục có độ dài cố định và ngắn

đợc dùng để nhận diện các FEC; nó lựa chọn chuyển gói tin đi thể nào

- LSR (Label Switching Router): là router có hỗ trợ các thủ tục phân

bổ nhãn, có thể chuyển các gói tin đi dựa vào nhãn, gọi là các node mạng

- LER( Label Edge Router Edge LSR): là các LSR ở biên mạng MPLS trong MPLS domain có thể thực hiện chức năng đánh nhãn, gồm có LER vào (Ingress LER) và LER ra (Egress LER) LSR nào

-có bất kỳ giao diện nào không thuộc MPLS đều -có thể đợc coi nh

là một LSR LER kết nối trực tiếp với các router của khách hàng

- LSP (Label Switching Path) là đờng đi xuất phát từ một LSR và kết thúc tại một LSR khác Tất cả các gói tin có cùng giá trị nhãn sẽ đi trên cùng một LSP

- MPLS domain là tập các nút mạng MPLS kề nhau hoặc kết nối với nhau

I.1.2.2 Cơ chế hoạt động của MPLS

Điểm cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng nh các thiết bị chuyển mạch ATM thành các LSR LSR có thể đợc xem nh một

sự kết hợp giữa hệ thống chuyển mạch ATM với các router truyền thống MPLS sinh ra các nhãn độ dài ngắn cố định hiện diện ở địa chỉ lớp 3 của một gói tin; tất cả các tác vụ chuyển mạch hoặc định tuyến tiếp theo đều dựa vào nhãn Nhãn đợc sử dụng trong tiến trình gửi gói tin sau khi đã thiết lập đờng

đi

MPLS sử dụng kỹ thuật chuyển mạch nhãn (label switching) để chuyển tiếp dữ liệu trên mạng Nhãn đợc chèn vào trớc của mỗi gói tin tại router

đầu vào của mạng MPLS (LER) Tại mỗi nút LSR dọc theo đờng đi trên mạng, mỗi LSR nhận đợc một gói đã dán nhãn sẽ gỡ bỏ nhãn vào (nhãn cũ)

và gắn nhãn ra (nhãn mới) tơng ứng vào gói tin và chuyển tiếp gói tin tới LSR tiếp theo trong mạng

Tuyến đờng mà dữ liệu đi qua trong mạng đợc định nghĩa bằng việc truyền các giá trị nhãn, nh là các nhãn đợc hoán chuyển tại mỗi router LSR Việc ánh xạ giữa các nhãn là không đổi tại mỗi LSR, cho nên đờng đi đợc xác định bởi giá trị nhãn ban đầu Đờng đi nh vậy gọi là một đờng đi chuyển mạch nhãn -Label Switched Path (LSP)

LSP đợc chia làm 2 loại: Hop by hop signaled LSP xác định đờng đi - hiệu quả nhất (best-effort path) và Explicit route signaled LSP(ER-LSP) - xác

định các tuyến đờng đi bắt nguồn từ nút gốc

Với Hop by hop LSP, mỗi LSR độc lập nhau chọn nút tiếp theo cho mỗi FEC Lựa chọn này đợc dùng cho các giao thức định tuyến thông thờng nh OSPF Nó có một số u điểm nhng do sự giới hạn của việc sử dụng hiệu năng các metric, nó không sẵn sàng hỗ trợ quản lý lu lợng hoặc chính sách cho QoS hoặc bảo mật

ER-LSP có đầy đủ các u điểm của MPLS nh khả năng định tuyến linh hoạt, xác định nhiều đờng đi đến đích, quản lý lu lợng linh hoạt, việc tìm đờng dựa trên quan hệ ràng buộc nh mạng ATM Các ER-LSP động cung cấp khả năng tốt nhất cho việc quản lý lu lợng

MPLS cũng đợc áp dụng cho các công nghệ chuyển mạch dữ liệu không phải là gói Đờng đi dữ liệu vẫn đợc định nghĩa bởi việc truyền các nhãn chuyển mạch và do đó vẫn gọi là LSP, tuy nhiên, các nhãn không dạng

sử dụng để thiết lập các kết nối chéo (gọi là crossconnect) tại các LSR Mỗi khi kết nối chéo đợc thiết lập, dữ liệu có thể đợc định tuyến mà không cần phải xem xét nó, do đó không cần phải đặt giá trị nhãn vào mỗi gói Nói cách khác, bớc sóng hay khe thời gian cũng chính là nhãn Tại đầu vào của mạng MPLS, mỗi gói đợc xem xét để xác định LSP nào đợc dùng và nhãn nào

đợc gán cho nó Việc quyết định này là vấn đề cục bộ, nhng cũng giống nh việc dựa vào các yếu tố nh địa chỉ đích, các yêu cầu về chất lợng dịch vụ và trạng thái hiện tại của mạng Điểm linh hoạt này là một yếu tố cơ bản làm MPLS trở nên hữu ích

Sự khác nhau chính giữa mạng MPLS và mạng IP truyền thống là các LSR đợc sử dụng trong miền MPLS Các giao thức MPLS đợc sử dụng để liên lạc giữa các LSR Các router biên MPLS đợc thiết kế thích ứng với công nghệ IP truyền thống tại biên của vùng MPLS

Do MPLS sử dụng nhãn để quyết định chặng kế tiếp, nên router làm việc ít hơn và hoạt động gần giống nh switch Vì các nhãn thể hiện các tuyến

đờng trong mạng nên ta có thể điều khiển chính xác quá trình xử lý lu lợng bằng cách dùng các chính sách gán nhãn

Các thủ tục làm việc MPLS có thể đợc trình bày một cách ngắn gọn nh sau:

- Giao thức phân bổ nhãn LDP cùng các giao thức định tuyến truyền thống (OSPF.v.v ) thiết lập bảng định tuyến và bảng sắp xếp nhãn trong LSR

- Tại router đầu tiên, router LSR ở biên chuyển gói tin xác định nhãn thích hợp tùy vào FEC của mỗi gói, từ đó xác định LSP đợc dùng, gán nhãn cho gói & chuyển gói đi tiếp tới giao diện phù hợp Việc xác định nhãn dựa vào nhiều đại lợng để điều khiển độ u tiên của

lu lợng, ví dụ địa chỉ đích, cấp u tiên CoS Trờng EXP trong MPLS header đợc dùng để mang các thông tin về CoS

- Tại chặng kế tiếp trong mạng MPLS, các LSR bên trong mạng là các LSR trung gian, chúng không thực hiện các thủ tục lớp 3 mà chỉ dùng giá trị nhãn của mỗi gói để xác định nút tiếp theo cần chuyển gói, gán nhãn mới rồi chuyển gói đi tiếp tới nút chuyển mạch phù hợp Thủ tục này thờng đợc thực hiện ở phần cứng, đồng thời hoán

đổi nhãn và chuyển tiếp gói tin, do đó cho phép các mạng MPLS

đợc xây dựng trên các phần cứng chuyển mạch nhãn có sẵn nh ATM và Frame Relay; cách chuyển tiếp gói tin ở mức này thờng nhanh hơn nhiều so với việc phải tìm kiếm toàn bộ header của gói tin để quyết định nút tiếp theo

- Tại router đầu ra của MPLS, các gói tin đợc gỡ bỏ nhãn và đợc chuyến tới đích cuối cùng Việc chuyển tiếp này sử dụng định tuyến lớp 3

Với MPLS, việc gán gói tin liên quan tới một FEC đợc thực hiện chỉ một lần tại LER là router đầu tiên xử lý gói tin bắt đầu vào mạng FEC đợc gán cho mỗi gói tin đợc mã hóa thành một nhãn Khi một gói tin đợc chuyển tiếp tới hop tiếp theo của nó, nhãn cũng đợc gửi kèm theo, do vậy thiết bị tiếp theo trên tuyến đờng đi của gói tin đó có thể chuyển tiếp nó dựa trên nhẵn thay vì phải phân tích các thông tin trong header của lớp 3

Vì gói tin đợc gán vào một FEC ngay khi nó vào mạng MPLS, nên LER dùng để thực việc gán nhãn này có thể dùng bất kỳ thông tin nào có liên quan tới gói tin, ví dụ nh bit thứ tự của IP, nguồn/đích hoặc loại ứng dụng , ngay cả những thông tin không liên quan gì tới header Ví dụ, các gói tin đến

từ các port khác nhau có thể đợc gán vào các FEC khác nhau Trong khi đó

packet header Điều này mang lại khả năng phân loại dịch vụ, với cùng một nhãn không chỉ định nghĩa đích đến của gói tin mà còn định nghĩa độ u tiên chuyển tiếp của gói tin đó

Tại tất cả các nút tiếp theo trong mạng, nhãn MPLS chứ không phải IP header đợc sử dụng để quyết định chuyển tiếp tới nút tiếp theo Tại điểm cuối của mạng MPLS, các LER đích sẽ gỡ bỏ nhãn và chuyển gói tin IP nguyên thủy tới thiết bị của khách hàng Từ phía ngời dùng, việc gán và gỡ bõ nhãn hoàn toàn trong suốt và không cần phải thay đổi bất kỳ cấu hình nào trên các router của khách hàng

là một phần của mạng MPLS trong mạng ATM chung Hình trên chỉ ra một số

dạng đóng gói MPLS dựa trên cell Phần lõi của mạng MPLS dựa trên cell sẽ bao gồm các bộ chuyển mạch ATM WAN với các phần điều khiển chuyển mạch nhãn

Để các router biên biết đợc phải gắn nhãn nào cho gói, và để các router bên trong biết cách chuyển tiếp gói dựa trên nhãn, các bảng chuyển tiếp (forwarding table) tại mỗi LSR phải đợc phân bố với việc ánh xạ từ {giao diện vào, giá trị nhãn } tới {giao diện ra, giá trị nhãn} Thủ tục này gọi là LSP setup, hay phân bổ nhãn -Label Distribution Giao thức phân bổ nhãn còn gọi

là giao thức báo hiệu trong mạng MPLS

Các giao thức báo hiệu báo cho các bộ chuyển mạch dọc theo đờng đi biết phải sử dụng nhãn và các đờng đi nào cho mỗi LSP Kiến trúc MPLS

đợc đề cập đến trong RFC 3031 không áp đặt một giao thức cụ thể nào cho việc phân bổ nhãn giữa các LSR Thực tế cho phép sử dụng nhiều giao thức phân bổ nhãn khác nhau trong từng trờng hợp cụ thể, bao gồm LDP, CR-LDP (constrain-base routing LDP) , RSVP TE, BGP4 và OSPF Một số giao -thức khác cũng có thể đợc dùng phụ thuộc yêu cầu của phần cứng và các chính sách quản trị sử dụng trong mạng

- RSVP TE: đợc dùng khi cần quản lý lu lợng (Traffic Engineering)

LDP: đợc dùng khi không cần quản lý lu lợng

- BGP cũng đợc dùng để kết hợp định tuyến và báo hiệu MPLS trong một số trờng hợp, một ví dụ là các mạng BGP/MPLS VPN

a) Giao thức RSVP -TE (RSVP Traffic Engineering):

Là một phơng pháp khác của việc thiết lập LSP điểm điểm đáp ứng

-đợc các yêu cầu về QoS trong mạng MPLS Nó là một mở rộng của giao thức

quản lý lu lợng (Traffic Engineering) hoặc gán băng thông cố định cho LSP Giao thức RSVP-TE giao tiếp với 2 loại bản tin cơ bản: PATH và RESV Bản tin PATH đợc gửi tới 1 hay nhiều đích, mỗi khi nhận đợc PATH, nơi nhận gửi lại bản tin RESV với nhãn của chính bản tin PATH

Các đặc điểm của RSVP-TE gồm duy trì trong trạng thái mềm, cần phải truyền lại các bản tin làm tơi để duy trì LSP; cung cấp việc phân bổ nhãn tới chiều xuống theo yêu cầu, dành các tài nguyên mạng cho các LSP cụ thể; sử dụng IP để truyền bản tin giữa các điểm thay vì TCP, do đó phải điều khiển sự thất thoát của chính bản tin phân bổ

b) Giao thức LDP (Label Distribution Protocol):

LDP thờng đợc dùng để thiết lập MPLS LSP khi không cần thiết phải

quản lý lu lợng (traffic engineering) Nó thiết lập các LSP best-effort theo

các tuyến IP có sẵn, rất thích hợp cho việc thiết lập mạng các LSP liên kết đầy

đủ giữa tất cả các router trong mạng Ưu điểm chính của LDP so với RSVP là

dễ thiết lập một mạng liên kết đầy đủ các đờng ống sử dụng chế độ không tự nguyện, do vậy nó thờng đợc sử dụng

LDP có thể hoạt động trong nhiều chế độ để phù hợp theo các yêu cầu khác nhau, tuy nhiên chế độ thông dụng nhất là chế độ tự nguyện (unsolicited), thiết lập liên kết đầy đủ các đờng ống giữa các router

Trong chế độ không tự nguyện, router đầu vào gửi một yêu cầu nhãn tới router chặng tiếp theo đợc xác định từ bảng định tuyến IP của nó Yêu cầu này đợc chuyển đi qua mỗi router trên mạng theo kiểu từng bớc (hop by- -hop) Khi yêu cầu tới đợc router đầu ra, một bản tin sẽ đợc trả về Bản tin này xác nhận LSP và báo cho mỗi router ánh xạ nhãn đợc dùng trên mỗi kết nối cho mỗi LSP

Trong chế độ tự nguyện, router đầu ra quảng bá các ánh xạ nhãn cho mỗi liên kết bên ngoài tới tất cả các router xung quang, thông tin này trải ra

theo các liên kết trong mạng tới khi chúng tới đợc các router đầu vào Qua mỗi nút, chúng báo cho các router phía trên về ánh xạ nhãn đợc dùng cho mỗi liên kết bên ngoài, và bằng cách “flooding” mạng, chúng thiết lập các LSPs giữa tất cả các liên kết bên ngoài

+ Giao thức CR-LDP (Constraint based routed LDP) - : Là một phơng pháp thiết lập LSP và QoS điểm-điểm trong mạng MPLS Các thuộc tính có ý nghĩa

đặc biệt khi cố gắng quản lý các kết nối trên mạng Internet công cộng hoặc khi thiết lập một VPN CR-LDP cho phép các tuyến nguồn, sử dụng cả 2 bớc nhảy chặt và lỏng, cung cấp độ linh hoạt cao nhất khi xây dựng một đờng đi

cụ thể trên mạng; nó cũng có khả năng xác lập băng thông dựa vào độ u tiên của LSP, tuy nhiên tới nay, CR LDP hiếm khi đợc sử dụng và đã không còn -

đợc IETF phát triển nữa

Các khả năng của CR LDP bao gồm: Duy trì trong trạng thái cứng và

-có thể coi nh là một kết nối vội vàng, -có cả thiết lập nguồn và ngắt kết nối nguồn, không cần phải làm tơi, mỗi khi trang thái UP, nó giữ nguyên trạng thái cho tới khi bị làm down và cung cấp một cơ chế khám phá lân cận bằng cách gửi Multicast các gói tin Hello (UDP) tới các cổng LDP để tìm tất cả các LSR kết nối trực tiếp

LDP hay TDP hoạt động giữa các router chạy MPLS để phân bổ thông tin ghép nhãn Khi một router cấu hình MPLS, cấu trúc cơ sở thông tin nhãn (LIB) đợc tạo ra trong router Lúc này, mỗi tiền tố IP trong bảng định tuyến

đợc gán một nhãn MPLS và thông tin liên kết đợc lu trong LIB LDP hay TDP dùng để phân bổ thông tin ghép nhãn/tiền tố IP tới tất cả các router MPLS láng giềng

Bản chất là một LSP đợc thiết lập từ yêu cầu của LSR phía đầu vào, hoặc bởi các LSR bên trong mạng, bao gồm cả các LSR đầu ra

Các router láng giềng lu trữ thông tin ghép nhãn trong LFIB (cơ sở thông tin chuyển tiếp nhãn) nếu thông tin ghép nhãn từ láng giềng phía trớc, nghĩa là thông tin này đến từ láng giềng đợc dùng nh là chặng kế IGP để

đến đích Thông tin ghép nhãn từ router chặng kế và ghép nhãn cục bộ đợc

đa vào LFIB Nếu không có thông tin ghép nhãn từ router chặng kế, LFIB

đánh dấu tiền tố đó là không gắn nhãn, router sẽ chuyển tiếp gói không dùng nhãn Nếu mạng kết nối trực tiếp với router, LFIB gán nhãn null cho tiền tố cho router biết rằng cần thiết phải chuyển tiếp IP cho gói

Các ý tởng mới đợc IETF đa ra trong MPLS Generalized Signaling cũng cho phép các nhãn đợc đẩy lên từ hớng đích trở lại để thiết lập LSP 2 hớng; một cách khác, các LSP có thể đợc cấu hình là LSP tĩnh bằng cách lập trình ghép nhãn tại mỗi LSP trên đờng đi sử dụng một số mẫu quản lý nh SNMP/MIB

Do mỗi khi các nhãn đợc yêu cầu cho một LSP đợc trao đổi giữa các LSR, lập tức các LSR chuyển tiếp LSP không cần xem xét nội dung của gói tin đợc chuyển theo LSP nên các LSP thờng giống một đờng hầm Điều này có nghĩa toàn bộ tải dữ liệu, bao gồm cả IP headers, có thể đợc mã hóa

an toàn mà không làm hỏng khả năng truyền tải dữ liệu của mạng

Một trong những thế mạnh của MPLS là định nghĩa các ngăn xếp nhãn (label stack), nghĩa là có thể chèn nhiều nhãn vào một gói tin, do đó nó có thể

hỗ trợ đợc thiết kế định tuyến có cấu trúc Có thể có nhiều nhãn chồng giữa các header để xác định LER đích và giao diện của khách hàng trên LER sẽ chuyển tiếp gói tin đi Ngăn xếp nhãn đợc tổ chức theo kiểu LIFO (last in fist out), tại mỗi LSR, các nhãn đều có thể đợc thêm vào hoặc gỡ bỏ khỏi ngăn xếp nhãn Điều này cho phép kết hợp nhiều LSP thành một LSP duy nhất Ngăn xếp nhãn cho phép giảm cả kích thớc của các bảng chuyển tiếp duy trì

trên các LSR ở mạng lõi, và làm giảm độ phức tạp của việc quản lý dữ liệu chuyển tiếp dọc theo mạng trục

Khi một thiết bị xác định 1 nhãn, nó có thể xác định từ :

- Vùng nhãn toàn cục (Per Platform Label Space): Nhãn có ý nghĩa toàn cục bên trong thiết bị và do đó giao diện ra và nhãn cho LSP có thể đợc nhận diện chỉ bằng nhãn Nó quảng bá nhãn cho tất cả các router kế cận nó, bảng lu thông tin nhãn LFIB không chứa interface Các router khác có thể gửi gói vào mạng ngay cả khi không nhận đợc nhãn, do vậy phơng pháp này không có sự bảo mật, thờng đợc dùng giữa các kết nối router-router

Vùng nhãn trên giao diện.( Per Interface Label Space): mỗi interface mang giá trị nhãn riêng, LFIB có thêm thông tin về interface, nhãn vào chỉ có thể đợc hiểu bởi giao diện vào, nghĩa là router chỉ nhận gói tin từ interface đã phân bổ nhãn đi, do vậy có độ bảo mật cao hơn Phơng pháp này thờng dùng trong các kết nối router-ATM switch

-Cần chú ý rằng một thiết bị có thể sử dụng các không gian nhãn trên giao diện cho một vài giao diện và sử dụng vùng nhãn toàn cục cho các giao diện khác Việc sử dụng vùng nhãn toàn cục cho tất cả các giao diện trên thiết

bị đem lại độ linh hoạt lớn nhất cho quá trình định tuyến lại nhng lại làm giảm độ linh hoạt chiếm giữ của các nhãn

I.2 Tổng quan về mạng riêng ảo

I.2.1 Khái niệm và phân loại

Cho tới giờ, luôn có một sự phân biệt rõ rạng giữa các mạng chung và mạng riêng Một mạng chung, giống nh hệ thống điện thoại công cộng và

Internet, là một tập hợp rộng lớn các thiết bị ngang hàng không liên quan trao

đổi thông tin nhiều hay ít tự do hơn với nhau

Một mạng riêng đợc lập ra gồm các máy tính đợc sở hữu bởi một tổ chức duy nhất chia sẻ thông tin đặc biệt với nhau Họ đợc đảm bảo là họ sẽ là ngời dùng duy nhất sử dụng mạng đó, và thông tin đó đợc gửi đi giữa họ trong trờng hợp tồi tệ nhất thì cũng chỉ đợc biết bởi những ngời khác trong nhóm đó mà thôi

Mạng riêng ảo (virtual private network – VPN) là một khái niệm không rõ ràng nằm giữa mạng chung và mạng riêng Các VPN cho phép chúng ta tạo rạo ra một mạng riêng, an toàn thông qua một mạng chung ví dụ nh mạng Internet Chúng có thể đợc tạo ra bằng phần mềm, phần cứng hoặc cả hai để tạo ra một kết nối an toàn giữa những ngời dùng ngang hàng của một mạng chung Việc này đợc thực hiện thông qua mã hóa, xác thực, tạo

đờng hầm và các tờng lửa

Có thể phân loại các VPN theo nhiều cách tiếp cận khác nhau Dới đây

là tổng quan về phân loại các VPN

Hình 1.3: Tổng quan về sự phân loại VPN

I.2.2 Công nghệ IPSec VPN

I.2.2.1 Các thành phần chính của một IPSec VPN

Chúng ta xem xét khái niệm về các thành phần cơ bản trong mạng VPN:

a) Máy chủ truy cập mạng

Network Access Server (NAS) là máy chủ cung cấp dịch vụ truy cập mạng Nếu NAS đặt tại mạng riêng của một công ty thì nó gọi là máy phục vụ truy cập từ xa Nếu đợc đặt trong mạng công cộng thì nó cung cấp dịch vụ truy cập tới hạ tầng mạng dùng chung đợc quản lý bởi nhà cung cấp dịch vụ

Định tuyến và lọc gói là các chức năng chính đợc hỗ trợ bởi các thiết bị này

b) Router

Router là thiết bị có chức năng tìm đờng (định tuyến) và chuyển tiếp gói tin, hoạt động ở lớp mạng (tơng ứng lớp 3 trong mô hình OSI) Các router

có thể đợc đặt cả ở phía mạng của một công ty và phía SP

c) Máy nguồn và máy đích đờng hầm

Các máy nguồn và máy đích đuờng hầm thiết lập hoặc huỷ bỏ các

đờng hầm Tất cả ngời sử dụng dịch vụ VPN đợc xác thực sẽ truy cập các tài nguyên trên mạng riêng của công ty thông qua một đờng hầm, đờng hầm này đợc kết thúc tại máy đích đờng hầm Sau đó nó sẽ chuyển các gói tin nhận đợc từ đờng hầm tới máy tơng ứng Nếu đây là phiên khởi tạo thì đầu tiên ngời gửi sẽ đợc xác thực, dựa vào đó ngời sử dụng sẽ đợc chấp nhận hoặc bị loại bỏ

d) Máy chủ xác thực và máy chủ LDAP

Khi một client kết nối vào NAS, NAS phải xác định xem client muốn truy cập tới Internet hay là sử dụng dịch vụ VPN để truy cập vào tài nguyên trong mạng riêng của công ty họ Các SP và các công ty có thể chọn lựa các

quyền truy cập đến các tài nguyên khác nhau trên mạng của họ cho những ngời sử dụng khác nhau

Trong nhiều trờng hợp một máy phục vụ đợc sử dụng cho việc xác thực, cấp phép và ghi lại các thông tin truy cập Có hai loại chính đợc sử dụng là Terminal Access Controller Access Control System (TACACS+) và Remote Authentication Dial In User Server (RADIUS)

Một NAS hoặc một máy đích đờng hầm sử dụng giao thức TACACS+

để liên lạc với máy phục vụ TACACS+ RADIUS cũng làm việc theo cơ chế nh vậy Nó là phiên bản sau, mã hoá dữ liệu trao đổi giữa nó với NAS hoặc máy đích đờng hầm, trong khi TACACS không mã hoá dữ liệu đợc trao đổi Các máy phục vụ này có một cơ sở dữ liệu cùng với các hồ sơ ngời sử dụng Những ngời sử dụng đợc cấp phép sẽ đợc gán các quyền riêng để truy cập vào các thiết bị hoặc các dịch vụ mạng cụ thể

Máy chủ LDAP quản lý một cơ sở dữ liệu tập trung, cơ sở dữ liệu này

có thể chứa tất cả các loại thông tin, ví dụ nh các thuật toán bảo mật để sử dụng cho các phiên truyền thông riêng biệt, số lần làm tơi khoá, chứng chỉ khoá công khai, thông tin về hồ sơ ngời sử dụng

Các thông tin đợc lu trữ dới dạng đã đợc chuẩn hoá sao cho các thông tin này có thể đợc truy cập bằng cách sử dụng LDAP (Lightweight Directory Access Protocol)

e) Firewall

Firewall đợc dùng để bảo vệ mạng riêng khỏi bị các truy cập bất hợp pháp, tất cả các gói tin vào hoặc ra khỏi mạng sẽ đợc kiểm tra và firewall sẽ quyết định cho qua hay cấm các gói tin này Thông thờng một Firewall là kết hợp một router và gateway ứng dụng Một Firewall thông thờng chỉ cung cấp dịch vụ cấp phép Nó không phân bổ các dịch vụ đảm bảo tính toàn vẹn dữ

liệu, tính bí mật dữ liệu và các dịch vụ xác thực Tuy nhiên Firewall có thể

đợc thực hiện với các kỹ thuật mã hoá và xác thực

f) VPN Gateway

Các VPN Gateway thực hiện các nhiệm vụ nh định tuyến, cung cấp các kỹ thuật bảo mật (IPSec), cung cấp các chính sách bảo mật để chỉ ra một cách chính xác ai có thể truy cập vào cái gì dựa trên địa chỉ IP, cung cấp chức năng chuyển dịch địa chỉ NAT và có thể cả chức năng của Firewall

I.2.2.2 – Các công nghệ tạo đờng hầm

Đợc hầm có mục đích để tạo ra một kênh truyền dữ liệu riêng giữa hai

điểm đầu cuối qua một hệ thống mạng dùng chung nh là Internet Các giao thức tạo đờng hầm trong VPN hoạt động ở lớp 2 và lớp 3 trong mô hình mạng OSI

a) Giao thức PPTP (Point - To - Point Tunning Protocol)

PPTP đợc định nghĩa trong RFC 2673 là giao thức do nhóm các công

ty 3Com, Ascend Communication, Microsoft, ECI Telematics và US Robotic

đa ra ý tởng chính của giao thức PPTP là tận dụng các u điểm của hạ tầng Internet để cung cấp các kết nối bảo mật giữa ngời dùng từ xa và mạng riêng của công ty

Giao thức đợc sử dụng để truy cập từ xa vào Internet phổ biến nhất là PPP PPTP xây dựng dựa trên chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể đợc đi qua một đờng hầm thông qua Internet

để tới đích Giao thức PPTP đóng gói các gói tin PPP vào trong một gói tin IP

để truyền qua liên mạng PPTP đợc đề cập đến trong RFC 2637, sử dụng một kết nối TCP nh là một kết nối điều khiển PPTP để tạo, duy trì và kết thúc

đờng hầm, sử dụng giao thức GRE (Generic Routing Encapsulation) để đóng

gói các gói tin PPP thành các dữ liệu truyền tải qua đờng hầm Tải của việc

đóng gói các khung PPP này có thể đợc mã hoã hoặc nén hoặc cả hai

Quá trình xác thực đợc thực hiện trong quá trình khởi tạo kết nối VPN trên PPTP, sử dụng các phơng thức xác thực giống nh các kết nối PPP nh giao thức EAP, MS- CHAP, CHAP hay PAP PPTP kế thừa việc mã hóa hoặc nén, hoặc cả hai của tải (payload) từ giao thức PPP

Mã hóa end- -to end là dữ liệu đợc mã hoã giữaa các ứng dụng client và máy chủ cung cấp dịch vụ đang đợc client truy cập Nếu mã hóa end- -end to

là cần thiết, IPsec có thể đợc sử dụng để mã hóa các lu lợng IP điểm cuối

đến điểm cuối sau khi các đờng hầm PPTP đợc thiết lập

Các thành phần chính liên quan đến việc triển khai PPTP

Kiến trúc PPTP bao gồm các ứng dụng client/server, nhìn chung có hai thành phần liên quan đến việc triển khai PPTP là client PPTP và máy phục vụ PPTP

+ Client PPTP:

Đây có thể là thiết bị của SP có hỗ trợ PPTP hoặc là một máy tính thực hiện việc quay số vào mạng có cài phần mềm PPTP

+ Máy phục vụ PPTP:

Máy phục vụ PPTP có hai nhiệm vụ chính: thứ nhất đóng vai trò nh là một điểm đầu cuối của đờng hầm PPTP và chuyển các gói tin tới và ra khỏi

đờng hầm Máy phục vụ PPTP chuyển gói tin tới máy đích bằng cách xử lý gói tin PPTP để thu đợc thông tin về tên máy tính hoặc địa chỉ đợc đóng gói trong gói tin PPP

Máy phục vụ PPTP cũng có thể là một bộ lọc các gói tin, sử dụng bộ lọc PPTP Với bộ lọc PPTP ta có thể thiết lập cho máy phục vụ để giới hạn ai có thể nối vào mạng cục bộ bên trong hoặc nối ra ngoài Internet

Việc thiết lập một máy phục vụ PPTP ở phía công ty có một số hạn chế,

đặc biệt là nếu máy phục vụ PPTP đợc đặt ở bên trong Firewall PPTP đợc thiết kế sao cho chỉ có một cổng TCP/IP có thể đợc sử dụng để chuyển dữ liệu qua Firewall – cổng 1723 Tuy nhiên việc thiếu cấu hình cổng có thể làm cho Firewall dễ bị tấn công Do vậy nếu ta có một Firewall đợc cấu hình

để lọc theo giao thức, cần thiết lập chúng để cho phép GRE đợc đi qua

Quá trình thực hiện PPTP

••••• Tạo kết nối PPP:

PPP là một giao thức truy cập từ xa đợc PPTP sử dụng để gửi dữ liệu đa giao thức qua mạng TCP/IP Giao thức PPP đóng gói các gói tin vào khung dữ liệu PPP và gửi chúng qua đờng kết nối Point- -to Point giữa máy tính gửi và máy tính nhận

Hầu hết các phiên làm việc PPTP đợc khởi tạo bằng cách client sử dụng PPP quay số vào máy phục vụ truy cập mạng thông qua mạng công cộng PPP thực hiện ba chức năng sau: Thiết lập và kết thúc kết nối vật lý, Xác thực ngời sử dụng và tạo ra các khung PPP có chứa các gói tin đã đợc mã hoá bên trong

••••• Tạo kết nối điều khiển PPTP:

Với kết nối PPP đã đợc thiết lập ở trên, giao thức PPTP tạo ra một kết nối

điều khiển từ client PPTP đến máy phục vụ PPTP Kết nối điều khiển là một phiên TCP chuẩn mà qua đó các thông điệp điều khiển đợc gửi giữa client PPTP và máy phục vụ PPTP Các thông điệp điều khiển sẽ thiết lập, duy trì và kết thúc đờng hầm PPTP; Nó bao gồm việc truyền các thông điệp yêu cầu phản hồi PPTP định kỳ và các thông điệp trả lời phản hồi PPTP để phát hiện ra kết nối bị hỏng giữa PPTP client và PPTP server

Các gói kết nối điều khiển PPTP gồm có IP Header, TCP Header, và một thông điệp điều khiển PPTP đợc minh họa ở hình 2.1 Gói kết nối điều khiển cũng bao gồm cả phần header và trailer của tầng liên kết dữ liệu

Hình 1.4: Gói kết nối điều khiển PPTP

Các thông điệp điều khiển đợc truyền trong các gói tin điều khiển (các gói tin TCP) Một kết nối TCP đợc tạo ra giữa client PPTP và máy phục vụ PPTP Kết nối TCP này đợc sử dụng để trao đổi các thông điệp điều khiển Thông tin thêm về cấu trúc thông điệp kết nối điều khiển đợc miêu tả trong RFC 2637 và có cấu trúc nh sau

Hình 1.5 : Cấu trúc khung của PPTP

Giao thức PPTP cho phép ngời sử dụng và các SP tạo ra một số dạng

đờng hầm khác nhau dựa trên khả năng máy tính đầu cuối của ngời sử dụng

và khả năng hỗ trợ của các SP cho giao thức này Máy tính đầu cuối của ngời

sử dụng sẽ quyết định xem điểm kết thúc của đờng hầm ở đâu – hoặc ở ngay trên máy tính đó nếu nó sử dụng một phần mềm khách PPTP hoặc là ở máy phục vụ truy cập từ xa của SP nếu máy tính chỉ hỗ trợ giao thức PPP mà không hỗ trợ giao thức PPTP Trong trờng hợp thứ hai máy phục vụ truy cập của SP phải hỗ trợ giao thức PPTP Còn trong trờng hợp thứ nhất không cần

có yêu cầu gì đặc biệt cho SP

Sự phân chia nh trên sẽ đa ra hai loại đờng hầm, đó là đờng hầm chủ động (voluntary tunnel) và đờng hầm thụ động (compulsory tunnel)

Đờng hầm chủ động đợc tạo ra do máy tính đầu cuối ngời sử dụng đa ra yêu cầu, còn đờng hầm thụ động đợc tạo ra một cách tự động mà không cần bất kỳ một yêu cầu nào từ phía ngời sử dụng và quan trọng hơn là không cho phép ngời sử dụng có bất sự lựa chọn nào

Khi sử dụng một đờng hầm chủ động, ngời sử dụng đầu cuối có thể

mở một đờng hầm bảo mật thông qua Internet , đồng thời họ cũng có thể truy cập vào các máy trên Internet mà không cần có đờng hầm Điểm đầu cuối phía client của đờng hầm chủ động nằm tại máy tính của ngời sử dụng Các

đờng hầm chủ động thờng đợc sử dụng để cung cấp tính bí mật và tính toàn vẹn dữ liệu cho việc trao đổi dữ liệu thông qua Internet

Bởi vì các đờng hầm thụ động đợc tạo ra mà không cần có sự chấp thuận của ngời sử dụng, cho nên nó có thể là trong suốt đối với ngời sử dụng Điểm đầu cuối phía client của đờng hầm thụ động nằm tại máy phục

vụ truy cập mạng của SP Tất cả các lu lợng xuất phát từ máy tính của ngời

sử dụng đợc chuyển tiếp qua đờng hầm PPTP đợc tạo ra từ máy phục vụ truy cập mạng Việc truy cập tới các tài nguyên khác nằm bên ngoài mạng nội

bộ đợc điều khiển bởi ngời quản trị mạng PPTP cho phép nhiều kết nối

đợc chuyển qua một đờng hầm

Bởi vì một đờng hầm thụ động không cho phép ngời sử dụng truy cập vào các tài nguyên khác trên mạng Internet , cho nên các đờng hầm này đa

ra một chính sách điều khiển truy cập tốt hơn so với đờng hầm chủ động Ví

dụ nếu chính sách của một công ty không cho phép các nhân viên truy cập vào các nguồn tài nguyên trên Internet thì việc sử dụng đờng hầm thụ động sẽ cho phép thực hiện đợc việc đó trong khi vẫn cho phép họ sử dụng Internet

đờng hầm thụ động là có thể tải nhiều kết nối thông qua một đờng hầm

Điều này làm giảm băng thông mạng đợc yêu cầu cho việc truyền tải nhiều phiên làm việc bởi vì việc điều khiển chi phí cho một đờng hầm thụ động có thể tải đợc nhiều phiên làm việc trong đó thì thấp hơn so với trờng hợp nhiều đờng hầm chủ động mà mỗi đờng hầm chỉ tải đợc một phiên làm việc

Tuy nhiên một nhợc điểm của các đờng hầm thụ động là đoạn kết nối giữa máy tính ngời sử dụng và máy phục vụ truy cập mạng của SP nằm ngoài

đờng hầm, do vậy ở đoạn này dễ bị tấn công hơn

••••• Gửi dữ liệu qua đờng hầm PPTP:

Bớc cuối cùng giao thức PPTP sẽ tạo ra các gói tin IP (chứa các gói tin PPP đã đợc mã hoá) và gửi tới máy phục vụ PPTP thông qua đờng hầm PPTP đã đợc tạo ra ở trên Máy phục vụ PPTP sẽ mở các gói tin IP và giải mã các gói tin PPP bên trong Sau đó nó sẽ chuyển các gói tin PPP đã đợc giải mã tới máy đích

Dữ liệu gửi qua đờng hầm PPTP đợc thực hiện qua nhiều mức đóng gói khác nhau Cấu trúc gói tin dữ liệu để gửi qua đờng hầm nh sau:

Tải PPP đã

mã hóa

Data link Trailer

-Hình 1.6: Cấu trúc dữ liệu đóng gói PPTP qua đờng hầm

••••• Đóng gói khung PPP

Dữ liệu ngời sử dụng đợc giao thức PPTP chuyển đi là các gói tin PPP Các gói tin PPP đợc truyền giữa client và máy phục vụ PPTP đợc đóng gói vào gói tin GRE với header sửa đổi, gói tin GRE đợc truyền đi thông qua IP Các gói tin PPP đã đợc đóng gói về cơ bản là các gói dữ liệu PPP mà không có

các thành phần đặc trng của một khung dữ liệu nh là trờng FCS (Frame Check Sequence), trờng điều khiển, cờ

Phần đầu GRE sử dụng trong giao thức PPTP đợc bổ sung một ít so với giao thức GRE hiện thời Sự khác nhau chính là có thêm một trờng Acknowledgment Number Đối với PPTP, GRE header đợc sửa đổi theo hớng sau:

- Một bit thông báo (acknowledgement bit) đợc sử dụng chỉ ra sự hiện diện của trờng 32 bit acknowledgement.-

- Trờng khóa (Key) đợc thay thế bởi một trờng độ dài tải (Payload Length) 16 bit và và một trờng định danh cuộc gọi (Call ID)16 bit Trờng Call ID đợc đặt bởi PPTP client trong quá trình tạo đờng hầm PPTP

- Một trờng 32 bit Acknowledgement đợc thêm vào

-Bên trong GRE header, trờng loại giao thức đợc đặt là 0x880B, đây là giá trị biểu diễn loại giao thức Ethernet cho khung PPP

GRE đôi khi đợc sử dụng bởi các SP để chuyển tiếp thông tin định tuyến bên trong mạng của SP Để ngăn ngừa thông tin định tuyến bị chuyển tiếp tới các router lõi Internet, các SP lọc ra các giao thông GRE trên các giao diện kết nối tới Internet backbone Vì kết quả của việc lọc này, các đờng hầm PPTP có thể đợc tạo ra sử dụng thông điệp điều khiển PPTP, nhng dữ liệu

đờng hầm PPTP không đợc chuyển tiếp

••••• Đóng gói các gói GRE

Kết quả của việc đóng gói tải GRE và PPP sau đó đợc đóng gói tiếp với một IP header chứa các địa chỉ IP nguồn và đích của PPTP client và server

••••• Đóng gói tầng liên kết dữ liệu

Để gửi đợc trên mạng LAN hoặc WAN, gói IP cuối cùng đợc đóng gói với phần đầu và đuôi cho tầng liên kết dữ liệu Ví dụ: Khi một gói IP đợc gửi lên Ethernet interface, gói IP đợc đóng gói với một ethernet header và trailer Khi gói IP đợc gửi lên đờng kết nối PPP WAN, ví dụ nh đờng điện thoại hoặc ISDN, gói IP đợc đóng gói với một PPP header và trailer

••••• Xử lý dữ liệu đờng hầm PPTP

Dựa trên việc nhận dữ liệu đờng hầm PPTP, PPTP client hoặc server sẽ xử

lý và dỡ bỏ header và trailer của tầng liên kết dữ liệu, xử lý và dỡ bỏ IP header, xử lý và dỡ bỏ GRE và PPP header, giải mã hoặc giải nén tải PPP nếu cần thiết, hoặc cả hai và xử lý tải cho việc nhận và chuyển tiếp

b) Giao thức L2TP (Layer 2 Tunneling Protocol)

Giao thức đờng hầm lớp 2 (Layer Two Tunneling Protocol, L2TP) là

sự kết hợp của giao thức PPTP và giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding, L2F) do của Cisco Systems đa ra L2TP đợc định nghĩa trong RFC 2661

Giống nh PPTP, L2F đợc thiết kế nh là một giao thức đờng hầm,

sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở lớp 2 Sự khác nhau chính giữa PPTP và L2F ở chỗ việc tạo đờng hầm trong giao thức L2F không phụ thuộc vào IP và GRE, L2F khác PPTP ở việc định nghĩa các kết nối bên trong một đờng hầm, cho phép một đờng hầm hỗ trợ nhiều kết nối Điều này cho phép nó làm việc với các phơng tiện truyền vật

lý khác Ngoài ra việc L2F sử dụng giao thức PPP để xác thực ngời sử dụng,

nó còn hỗ trợ cho TACACS+ và RADIUS để xác thực

Những đặc điểm này của L2F đợc chuyển cho L2TP Giống nh PPTP, L2F sử dụng chức năng của PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể đợc đi qua một đờng hầm thông qua Internet để tới đích Tuy

nhiên L2TP định nghĩa giao thức tạo đờng hầm riêng của nó, dựa trên cơ cấu của L2F Cơ cấu này tiếp tục định nghĩa việc truyền L2TP qua các mạng nh

IP, X25, Frame Relay hoặc ATM Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử dụng giao thức UDP trên mạng IP, ta vẫn có khả năng thiết lập một hệ thống L2TP không sử dụng IP Một mạng sử dụng ATM hoặc Frame Relay cũng có thể đợc triển khai cho các đờng hầm L2TP Nếu đợc gửi qua mạng IP các khung L2TP đợc đóng gói thành các thông điệp UDP (UDP messages) L2TP sử dụng các thông điệp UDP qua mạng IP cho cả việc duy trì đờng hầm và việc gửi dữ liệu qua hầm

L2TP thừa nhận tính sẵn sàng của một liên mạng IP giữa L2TP client và L2TP server L2TP client có thể đã đợc kết nối trực tiếp vào liên một mạng

IP có thể nhìn thấy L2TP server, hoặc L2TP client có thể quay số vào Máy chủ truy cập mạng (NAS) để thiết lập kết nối IP giống nh ngời dùng quay

số vào internet

Xác thực trong quá trình tạo ra các đờng hầm L2TP phải sử dụng cùng cơ chế xác thực nh các kết nối PPP nh: EAP, MS-CHAP, CHAP, SPAP, và PAP

Giống nh giao thức PPTP, có ba thành phần liên quan đến việc triển khai L2TP:

- Client L2TP

- Máy phục vụ truy cập mạng

- Máy phục vụ L2TP

Giao thức L2TP sử dụng PPP để thiết lập kết nối vật lý, thực hiện phiên xác thực ngời sử dụng đầu tiên, tạo gói tin PPP và đóng kết nối khi phiên làm việc kết thúc Vì L2TP là giao thức lớp 2 nên nó đa ra cho ngời sử dụng khả

Khi PPP thiết lập kết nối xong, L2TP sẽ thực hiện nhiệm vụ của nó

Đầu tiên L2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có nhận ra ngời sử dụng đầu cuối hay không và có sẵn sàng phục vụ nh là một điểm

đầu cuối của đờng hầm hay không Nếu đờng hầm có thể đợc tạo ra L2TP

sẽ thực hiện vai trò đóng gói các gói tin PPP để truyền đi

Khi L2TP tạo ra các đờng hầm giữa bộ tập trung truy cập mạng của SP

và máy phục vụ mạng phía công ty, nó có thể gán một hoặc nhiều phiên làm

việc trong một đờng hầm L2TP tạo ra một số nhận dạng cuộc gọi (Call ID)

và chèn Call ID này vào phần đầu của L2TP trong mỗi một gói tin để chỉ ra gói tin đó thuộc phiên làm việc nào Bằng cách lựa chọn để gán một phiên làm việc của một ngời sử dụng vào một đờng hầm so với việc dồn nhiều phiên làm việc vào trong một đờng hầm, các phơng tiện truyền khác nhau có thể

đợc gán cho các ngời sử dụng khác nhau tuỳ thuộc vào yêu cầu chất lợng

của dịch vụ (Quality – of – Service) của họ L2TP bao gồm một số nhận dạng đờng hầm sao cho các đờng hầm riêng biệt có thể đợc nhận ra khi nó

đến từ một phía nào đó, hoặc từ phía bộ tập trung truy cập mạng của SP hoặc

từ phía máy phục vụ mạng của công ty

Cũng giống nh giao thức PPTP, giao thức L2TP định nghĩa hai loại thông điệp khác nhau Đó là thông điệp điều khiển và thông điệp dữ liệu Thông điệp điều khiển đợc sử dụng để thiết lập, quản lý và giải phóng các phiên làm việc đợc tải qua đờng hầm, cũng nh là trạng thái của chính

đờng hầm đó Còn thông điệp dữ liệu đợc sử dụng để truyền dữ liệu qua

đờng hầm đó Tuy nhiên không giống nh giao thức PPTP, giao thức L2TP truyền cả thông điệp điều khiển và thông điệp dữ liệu nh là một phần của cùng một luồng thông tin Ví dụ nếu các đờng hầm đợc truyền qua một mạng IP thì thông điệp điều khiển và thông điệp dữ liệu đợc gửi trong cùng gói tin UDP

Không nh PPTP, Việc duy trì đờng hầm L2TP không đợc thực hiện trên một kết nối TCP riêng lẻ nào L2TP điều khiển cuộc gọi và quản lý giao thông đợc gửi bởi các thông điệp UDP giữa L2TP client và server

Thông điệp điều khiển L2TP trên IP đợc gửi nh các gói dữ liệu UDP

Ví dụ trong Window 2000, thông điệp điều khiển L2TP gửi nh các gói dữ liệu UDP đợc gửi đi nh là tải mã hóa của IPSec ESP nh minh hoạ ở Hình 2.2

Hình 1 7 - Thông điệp điều khiển L2TP

Do không sử dụng kết nối TCP, L2TP sắp xếp thứ tự các thông điệp để

đảm bảo việc chuyển các thông điệp L2TP Bên trong thông điệp L2TP, trờng Next Received (tơng tự nh trờng Acknowledgment trong TCP) và -trờng Next Send (tơng tự nh trờng Sequence Number trong TCP) đợc sử -dụng để duy trì thứ tự của các thông điệp điều khiển Nếu các gói có thứ tự không đúng thì chúng thì chúng sẽ bị huỷ bỏ Các trờng Next-Sent và Next-Received có thể cũng đợc sử dụng cho thứ tự phân phát và điều khiển luồng cho dữ liệu đờng hầm

Dữ liệu truyền qua đờng hầm L2TP đợc thực hiện qua nhiều cấp

đóng gói

+ Đóng gói L2TP: Tải PPP ban đầu đợc đóng gói với một PPP header và

một L2TP header

+ Đóng gói UDP: Gói đã đợc đóng L2TP sau đó đợc đóng gói với một

UDP header Với sản phẩm của Microsoft, với cổng nguồn và cổng đích đợc

đặt là 1701

+ Đóng gói IP: Gói IPSec đợc đóng gói với một IP header cuối cùng chứa

các địa chỉ IP nguồn và đích của client VPN và máy chủ VPN

+ Đóng gói lớp liên kết dữ liệu: Để gửi đợc trên đờng truyền LAN hoặc

WAN, gói IP cuối cùng đợc đóng gói với một header và trailer theo công nghệ của lớp liên kết dữ liệu của interface vật lý đầu ra Ví dụ, khi một gói IP

đợc gửi lên một Ethernet interface, gói IP đợc đóng gói với một Ethernet header và trailer Khi các gói IP đợc gửi lên đờng truyền PPP WAN ví dụ nh đờng điện thoại hoặc ISDN, gói IP này đợc đóng gói với PPP header và

trailer

+ Quá trình mở gói L2TP trên đờng hầm dữ liệu :

- Xử lý và tháo bỏ header và trailer tầng liên kết dữ liệu

- Xử lý và tháo bỏ IP header

- Dùng trailer xác thực của IPSec ESP để xác thực IP và IPSec ESP header

- Dùng IPSec ESP header để giải mã phần đã mã hóa của gói

- Xử lý UDP header và gửi L2TP gói cho L2TP

- L2TP sử dụng Tunnel ID và Call ID trong phần L2TP header để xác

định đờng hầm cụ thể

- Sử dụng PPP header để xác định tải PPP và chuyển tiếp nó cho giao thức phù hợp để xử lý

L2TP cũng trợ giúp để giảm lu lợng mạng, cho phép các máy phục

vụ điều khiển việc tắc nghẽn đờng truyền bằng cách thực hiện cơ chế điều

khiển luồng giữa máy phục vụ truy cập mạng của SP, còn gọi là bộ tập trung

truy cập L2TP (L2TP Access Concentrator – LAC), và máy phục vụ mạng

phía công ty, còn gọi là máy phục vụ mạng L2TP (L2TP Network Server –

LNS) Các thông điệp điều khiển đợc sử dụng để xác định tỷ lệ truyền và các thông số bộ đệm, để điều khiển luồng các gói tin PPP của một phiên làm việc trong một đờng hầm

L2TP phân chia đờng hầm ra làm hai loại Đờng hầm chủ động và - thụ động

- Đờng hầm chủ động đợc tạo ra do máy tính đầu cuối đa ra yêu cầu Khi sử dụng một đờng hầm chủ động, ngời sử dụng có thể mở một

đờng hầm bảo mật thông qua Internet, đồng thời họ cũng có thể truy cập vào các máy trên Internet mà không cần có đờng hầm Điểm đầu cuối phía client của đờng hầm chủ động nằm tại máy tính của ngời dùng Đờng hầm chủ động thờng đợc sử dụng để cung cấp tính bí mật và tính toàn vẹn dữ liệu cho việc trao đổi dữ liệu thông

- Đờng hầm thụ động đợc tự động tạo ra mà không cần bất kỳ yêu cầu nào từ phía ngời sử dụng, quan trọng hơn là không cho phép ngời sử dụng có bất kỳ sự lựa chọn nào Do đó, nó trong suốt đối với ngời sử dụng Điểm đầu cuối phía client của đờng hầm thụ động nằm tại LAC của SP Tất cả các lu lợng xuất phát từ máy tính của ngời sử dụng

đợc chuyển tiếp qua đờng hầm L2TP đợc tạo ra từ LAC Việc truy cập tới các tài nguyên khác nằm bên ngoài mạng nội bộ đợc điều khiển bởi ngời quản trị mạng L2TP cũng cho phép nhiều kết nối đợc chuyển qua một đờng hầm, cho phép giảm chi phí quản lý đờng hầm trên mạng

c) Giao thức IPSec (IP Security Protocol)

Bộ giao thức TCP/IP không có bất kỳ các đặc tính bảo mật nào Để bảo mật ở mức các gói tin trong mạng IP, tổ chức IETF đã đa ra một số tiêu chuẩn đợc định nghĩa trong RFC 2401 2411 và 2451 mới để xác thực và mã -hoá các gói tin IP IPSec là một chuẩn mở kết hợp nhiều công nghệ để đảm bảo truyền thông bảo mật trên nền các mạng công cộng nh Internet Các công nghệ này đợc kết hợp thành một hệ thống hoàn chỉnh cung cấp các dịch

vụ bảo mật ở lớp IP, bao gồm xác thực, mã hóa hoặc kết hợp cả hai IPSec cung cấp bảo mật bằng cách cho các hệ thống chọn các giao thức bảo mật yêu cầu rồi xác định các thuật toán sử dụng cho dịch vụ, sau đó mã hóa bằng mật mã cần thiết

Các tiêu chuẩn này đa ra các giao thức để thiết lập cơ sở của kiến trúc IPSec, bao gồm hai phần đầu khác nhau đợc thiết kế để sử dụng trong gói tin

IP Hai phần đầu trong gói tin IP dùng để quản lý việc xác thực và mã hoá là:

IP Authentication Header (AH) dùng để xác thực và Encapsulating Security Payload (ESP) dùng để mã hoá và xác thực

Trớc khi có IPSec, mạng phải triển khai các giải pháp riêng lẻ và chỉ giải quyết đợc một phần của vấn đề, ví dụ nh SSL IPSec thực hiện mã hoá

và xác thực lớp mạng, cung cấp giải pháp bảo mật điểm cuối tới điểm cuối trong kiến trúc mạng, các ứng dụng và các hệ thống cuối không cần bất kỳ sự thay đổi nào Do các gói tin đợc mã hoá trông giống các gói IP gốc, chúng dễ dàng đợc gửi thông qua mạng IP bất kỳ, chẳng hạn nh Internet mà không cần bất kỳ sự thay đổi nào cho thiết bị mạng trung gian, đặc điểm này làm giảm cả chi phí thực thi và quản lý

IPSec đợc xây dựng dựa trên một số kỹ thuật mật mã đợc chuẩn hoá

để cung cấp việc xác thực, đảm bảo tính bí mật, tin cậy và toàn vẹn dữ liệu khi truyền dữ liệu qua mạng IP công cộng IPSec sử dụng các kỹ thuật nh :

- Trao đổi khoá Diffe Hellman để phân bổ các khoá bí mật giữa các cặp trao đổi thông tin trong một mạng công cộng

Mã hoá khoá công khai để đánh dấu việc trao đổi khoá Diffe Hellman

-đảm bảo việc nhận dạng của 2 thành phần tham gia trao đổi thông tin với nhau

- Các thuật toán nh DES và các thuật toán mã hoá khác để mã hoá dữ liệu

- Các thuật toán băm (HMAC, MD5 và SHA) để xác thực gói tin

- Chứng chỉ số để hợp lệ các khoá công khai

Các chuẩn này bao gồm:

- Giao thức bảo mật IP riêng, giao thức này định nghĩa thông tin để thêm vào các gói IP để cho phép các điều khiển sự tin cậy, tính toàn vẹn và tính xác thực cũng nh định nghĩa để mã hoá gói dữ liệu nh thế nào

- Trao đổi khóa Internet (IKE): dàn xếp sự kết hợp bảo mật giữa hai thực thể và trao đổi key material Không cần thiết sử dụng IKE nhng những

sự kết hợp cấu hình bảo mật thủ công thì khó khăn và là thủ công IKE

có thể đợc sử dụng trong hầu hết ứng dụng thực để cho phép bảo mật các giao tiếp diện rộng

IPSec định nghĩa tập hợp các header mới để thêm vào IP datagram Các header mới này đợc đặt sau IP header và trớc giao thức lớp 4 (TCP,UDP, ) Các header mới này cung cấp thông tin cho bảo mật tải của gói IP

IPSec cung cấp hai phơng thức hoặt động, phơng thức truyền tải và phơng thức đờng hầm

Phơng truyền tải, chỉ có phần tải IP là đợc mã hóa còn các đầu IP

nguồn và đích cuối cùng của một gói Khả năng này cho phép ngời ta thực hiện việc xử lý đặc biệt (ví dụ QoS) trên một mạng trung chuyển dựa trên các thông tin của IP header, header lớp 4 sẽ đợc mã hóa và làm hạn chế việc xem xét các gói Việc chuyển các IP header dới dạng tờng minh sẽ cho phép một

kẻ tấn công phân tích đợc gói tin, nhng chỉ có thể biết là các gói IP đã đợc gửi đi nhng không xác định đợc gói tin đó là của ứng dụng nào

Phơng thức truyền tải chỉ đợc dùng khi các peer là các điểm cuối của truyền thông, với các kết nối router- -to router thờng thì một số kiểu đóng gói khác, chẳng hạn nh Generic Route Encapsulation (GRE) sẽ đợc sử dụng Nếu không thì sẽ sử dụng phơng pháp đờng hầm

Phơng thức đờng hầm, toàn bộ gói IP gốc bị mã hoá và nó trở thành tải trong gói IP mới Trong phơng pháp này, L2TP hoặc PPTP đợc dùng để liên kết với IPSec, cho phép thiết bị mạng, ví dụ nh router, hoạt động nh một IPSec proxy Khi đó, router thực hiện mã hoá nhân danh các hosts Router nguồn mã hoá các gói và gửi chúng theo đờng hầm IPSec Router đích giải mã gói IP gốc và gửi nó về hệ thống đích Lợi ích chính của phơng thức này

là hệ thống cuối không cần phải thay đổi hởng các lợi ích của IPSec Phơng thức đờng hầm cũng bảo vệ chống lại phân tích giao thông, trong đó những

kẻ tấn công có thể chỉ xác định điểm cuối của đờng hầm mà không thể xác

định đợc nguồn và đích của các gói đợc gửi qua đờng hầm ngay cả khi chúng giống nh các điểm cuối của đờng hầm

Theo định nghĩa của IETF, phơng thức truyền tải có thể chỉ đợc sử dụng khi cả hệ thống nguồn và đích hiểu IPSec Trong hầu hết các trờng hợp, ngời ta có thể triển khai IPSec bằng phơng thức đờng hầm, điều này cho phép thực hiện IPSec trong kiến trúc mạng mà không cần phải thay đổi hệ

điều hành hoặc các ứng dụng bất kỳ trên máy tính cá nhân, máy chủ và client

Authentication Header (AH)

AH đợc thêm vào IP datagram để đảm bảo tính toàn vẹn và xác thực của phần header của gói tin IP AH sử dụng chức năng keyed-hash thay vì sử dụng chữ ký số (CA) vì công nghệ chữ ký số thờng chậm và làm giảm thông lợng mạng

AH chèn một header 24byte phía sau IP header IP header ở đây có thể là IP header nguyên thủy (nếu AH làm việc ở chế độ truyền tải -Transport mode) hoặc một IPheader mới (nếu AH làm việc ở chế độ đờng hầm -Tunnel mode)

Authenticated

Hình 1.8 – AH trong chế độ truyền tải

Trong cả hai chế độ trên toàn bộ gói tin IP đợc xác thực Tuy nhiên tất cả nội dung trong gói tin tin IP ở dạng cha đợc mã hoá, do vậy nó có thể

đọc đợc khi truyền qua mạng

IP Header mới AH Header IP Header IP Payload

Authenticated

Hình 1 – AH trong chế độ đờng hầm 9

Trong chế độ truyền tải, phần IP Header chứa địa chỉ nguồn và đích của hai thiết bị đầu cuối tham gia truyền tin Còn trong chế độ đờng hầm, một IP Header mới đợc tạo ra để đóng gói toàn bộ gói tin IP gốc và AH Header Địa chỉ nguồn và đích của hai thiết bị đầu cuối tham gia truyền tin nằm trong phần

IP Header Còn địa chỉ nguồn và đích của hai gateway nằm ở phần New IP Header Do vậy trong chế độ đờng hầm địa chỉ IP đích thực của hai thiết bị

Encapsulating Security Payload (ESP)

ESP đợc thêm vào IP datagram sẽ bảo vệ tính tin cậy, tính toàn vẹn và tính xác thực của dữ liệu Khi ESP đợc sử dụng để công nhận tính toàn vẹn dữ liệu thì nó không bao gồm các trờng bất biến trong IP header

IP Header ESP Header IP Payload ESP Trailer ESP Auth

Encrypted

Hình vẽ 1.10 – ESP Transport mode

ESP sử dụng một số thứ tự (sequence number) để cung cấp lựa chọn chống phá hoại kiểu replay; số này tự động đợc thêm vào mỗi gói những phía nhận không cần phải kiểm tra nó Do đó, ESP cho phép nơi nhận từ chối các gói tin cũ hoặc trùng nhau để chống lại hiên tợng tấn công replay Mỗi điểm IPSec sẽ giữ một cửa số với một số số sequence hợp lệ, các bản tin với các số sequence bên ngoài cửa sổ này sẽ bị loại bỏ

Cũng giống AH, ESP có hai chế độ là chế độ truyền tải và chế độ đờng hầm ESP chèn một header 8-byte phía sau IP header IP header này có thể là

IP header nguyên thủy (trong chế độ truyền tải) hoặc một IP header đợc đóng gói mới (trong chế độ đờng hầm) ESP cũng chèn thêm 2-byte trailer (14 bytes) nếu sử dụng dịch vụ xác thực Trong chế độ đờng hầm một IP Header mới (chứa địa chỉ IP nguồn và đích) đợc sử dụng nhằm mục đích che dấu địa chỉ IP thực (nằm ở trong phần IP Header) của hai thiết bị đầu cuối khi gói tin

IP đợc truyền qua mạng

ESP khác với AH ở hai điểm sau:

- ESP mã hoá dữ liệu trớc khi gửi đi, do vậy nó đảm bảo đợc tính bí mật của dữ liệu