1. Trang chủ
  2. » Luận Văn - Báo Cáo

báo cáo kiến trúc phần mềm mạng đề tài thiết lập hệ thống mạng mô phỏng internet

31 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 31
Dung lượng 1,11 MB

Nội dung

Trong báo cáo này, chúng em xin trình bày đề tài: “Thiết kế hệ thống mô phỏng Internet” với cơ sở lý thuyết, phân tích thiết kế, xây dựng và triển khai dịch vụ VPN trên một hệ thống mô p

Trang 1

ĐẠI HỌC BÁCH KHOA HÀ NỘI TRƯỜNG CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

-

🙞🙜🕮🙞🙜 -BÁO CÁO

KIẾN TRÚC PHẦN MỀM MẠNG

Đề tài: Thiết lập hệ thống mạng mô phỏng Internet

Giảng viên hướng dẫn: TS Phạm Huy Hoàng

Bộ môn: Truyền thông và mạng máy tính Nhóm sinh viên thực hiện:

1 Phạm Tuấn Dũng - 20176728

2 Nguyễn Tài Thao - 20176875

3 Vũ Nguyễn Khánh - 20176795

4 Nguyễn Văn Giang - 20176740

5 Nguyễn Tuấn Việt - 20176909 Lớp: Information Technology Specialist-CNTT Việt Nhật - K62

Hà Nội, tháng 1 năm 2022

Trang 2

1

MỤC LỤC

2.4 Virtual Private Network (VPN) 10

Trang 3

5.2 Minh họa dịch vụ VPN 28 5.2.1 Trước khi áp dụng khởi tạo kết nối VPN đến gateway 28

Trang 4

3

LỜI NÓI ĐẦU

Hiện nay, trong đời sống hàng ngày nhu cầu sử dụng mạng internet là không thể thiếu đối với mỗi cá nhân Tuy nhiên, người dùng sẽ có thể bị chặn truy cập tới một vài trang web hay ứng dụng (điển hình là những năm 2010, khi các nhà cung cấp mạng chặn IP của mạng xã hội Facebook khiến người dùng không thể truy cập được) VPN chính là giải pháp cho vấn đề này Tuy nhiên đó không phải là thứ duy nhất mà VPN làm được VPN còn làm được rất nhiều thứ, mang lại lợi ích to lớn trong công việc và bảo mật thông tin

VPN là từ viết tắt của Virtual Private Network, hay còn gọi là mạng riêng ảo, mạng ảo Đây

là một công nghệ mạng giúp tạo nên những kết nối mạng an toàn khi tham gia mạng riêng của nhà cung cấp dịch vụ hoặc mạng công cộng internet, intranet

Trong báo cáo này, chúng em xin trình bày đề tài: “Thiết kế hệ thống mô phỏng Internet” với

cơ sở lý thuyết, phân tích thiết kế, xây dựng và triển khai dịch vụ VPN trên một hệ thống mô phỏng mạng Internet để kiểm tra và nắm vững lại các kiến thức trong học phần Kiến trúc phần mềm mạng Chúng em xin cảm ơn TS Phạm Huy Hoàng giảng viên bộ môn Truyền thông và mạng máy - tính, Trường Công nghệ thông tin, Đại học Bách khoa Hà Nội đã tận tình giảng dạy cung cấp những kiến thức đầy đủ, trực quan và các tài liệu liên quan cho môn học Kiến trúc phần mềm mạng (IT4152) để chúng em để hoàn thành bài báo cáo này

Trang 5

4

CHƯƠNG 1: KHẢO SÁT BÀI TOÁN 1.1 Giới thiệu bài toán

Thiết lập 1 hệ thống mạng mô phỏng Internet bao gồm:

● Thiết kế 3 AS kết nối với nhau trong đó 1 AS đóng vai trò là Tier 1 và 2 AS đóng vai trò

là các ISP

● Mỗi AS có tối thiểu 3 router sử dụng RIP hoặc OSPF

● Mỗi ISP cần phải được kết nối với 1 home network

● Triển khai dịch vụ VPN trên mạng Internet mô phỏng này để cho phép 2 máy tính tại

2 home network kết nối dịch vụ với nhau

1.2 Khảo sát bài toán

● Bài toán được triển khai trong môi trường mô phỏng trên hệ thống máy ảo để nghiên cứu

và nắm rõ các kiến thức liên quan đến cách thức hoạt động của mạng Internet

● Từ việc mô phỏng hệ thống mạng có thể áp dụng cho hệ thống thực tế để triển khai các

dịch multicast

Trang 6

Liên mạng có thể được liên kết bởi LAN to LAN LAN to WAN, và WAN to WAN Có ba phương pháp liên kết liên mạng phổ biến tương ứng với 3 tầng cuối của mô hình OSI Phương pháp liên

kết tại tầng vật lý, cùng cấu trúc và phương thức trao đổi thông tin Bộ lặp Repeater hoạt động tại tầng vật lý, là thiết bị được sử dụng để mở rộng chiều dài của một mạng LAN Phương pháp liên kết tại tầng liên kết dữ liệu Datalink, có cấu trúc khác nhau và phương thức trao đổi thông tin khác nhau Cầu Bridge và các bộ chuyển mạch Switched tầng 2 hoạt động tại tầng liên kết dữ liệu

Những thiết bị này hỗ trợ cho các giao thức tầng vật lý khác nhau và có thể liên kết giữa các mạng LAN có cấu trúc khác nhau Phương pháp liên kết sử dụng tầng mạng Network Layer hay tầng

Internet Layer cho các mạng khác nhau về phần cứng, khác nhau về phần mềm, khác nhau về giao thức và thường cung cấp những chức năng và ứng dụng khác nhau

Internet backbone (đường trục internet) có thể hiểu là một đường truyền đặc biệt nó được xác ,

định bởi các tuyến dữ liệu chính giữa các mạng máy tính lớn, được kết nối chiến lược và các bộ

định tuyến lõi của Internet Nó là một đường truyền dữ liệu tốc độ rất cao cung cấp các thiết bị

mạng cho các nhà cung cấp dịch vụ Internet tương đối nhỏ nhưng tốc độ cao trên toàn thế giới

Internet backbone yêu cầu kết nối băng thông tốc độ cao và máy chủ hay bộ định tuyến có hiệu

phải học thông tin về đường đi tới các mạng khác Thông tin về đường đi tới các mạng

khác sẽ được người quản trị cấu hình cho router Khi cấu trúc mạng thay đổi, người quản trị mạng phải tự thay đổi bảng định tuyến của router

● Kỹ thuật định tuyến tĩnh đơn giản, dễ thực hiện, ít hao tốn tài nguyên mạng và CPU xử lý trên router (do không phải trao đổi thông tin định tuyến và không phải tính toán định

tuyến) Tuy nhiên kỹ thuật này không hội tụ với các thay đổi diễn ra trên mạng và không

thích hợp với những mạng có quy mô lớn (khi đó số lượng route quá lớn, không thể khai

báo bằng tay được)

● Ưu điểm:

- Sử dụng ít bandwidth hơn định tuyến động

- Không tiêu tốn tài nguyên để tính toán và phân tích gói tin định tuyến

● Nhược điểm:

Trang 7

6

- Không có khả năng tự động cập nhật đường đi

- Phải cấu hình thủ công khi mạng có sự thay đổi

- Phù hợp với mạng nhỏ, rất khó triển khai trên mạng lớn

● Một số tình huống bắt buộc dùng định tuyến tĩnh:

- Đường truyền có băng thông thấp

- Người quản trị mạng cần kiểm soát các kết nối

- Kết nối dùng định tuyến tĩnh là đường dự phòng cho đường kết nối dùng giao

thức định tuyến động

- Chỉ có một đường duy nhất đi ra mạng bên ngoài (mạng stub)

- Router có ít tài nguyên và không thể chạy một giao thức định tuyến động

- Người quản trị mạng cần kiểm soát bảng định tuyến và cho phép các giao thức

classful và classless

2.2.2 Dynamic routing

● Các router sẽ trao đổi thông tin định tuyến với nhau Từ thông tin nhận được, mỗi router

sẽ thực hiện tính toán định tuyến từ đó xây dựng bảng định tuyến gồm các đường đi tối

ưu nhất đến mọi điểm trong hệ thống mạng Với định tuyến động, các router phải chạy

các giao thức định tuyến (routing protocol) Giao thức định tuyến động không chỉ thực

hiện chức năng tự tìm đường và cập nhật bảng định tuyến, nó còn có thể xác định tuyến

đường đi tốt nhất thay thế khi tuyến đường đi tốt nhất không thể sử dụng được Khả năng thích ứng nhanh với sự thay đổi mạng là lợi thế rõ rệt nhất của giao thức định tuyến động

so với giao thức định tuyến tĩnh

● Ưu điểm:

- Đơn giản trong việc cấu hình

- Tự động tìm ra những tuyến đường thay thế khi mạng thay đổi

● Nhược điểm:

- Yêu cầu xử lý của CPU của router cao hơn so với định tuyến tĩnh

- Tiêu tốn một phần băng thông trên mạng để xây dựng bảng định tuyến

● Tất cả các giao thức định tuyến động được xây dựng dựa trên giải thuật Định tuyến

động chia thành hai trường phái: các giao thức định tuyến ngoài - Exterior Gateway

Protocol (EGP) và các giao thức định tuyến trong - Interior Gateway Protocol (IGP)

- Các giao thức định tuyến ngoài (EGP) với giao thức tiêu biểu: BGP (Border

Gateway Protocol) là loại giao thức được dùng để chạy giữa các router thuộc các

AS khác nhau, phục vụ cho việc trao đổi thông tin định tuyến giữa các AS AS -

Autonomous System - tạm dịch là Hệ tự trị là tập hợp các router chung một chính sách về định tuyến

- Các giao thức định tuyến trong (IGP) gồm các giao thức tiêu biểu như: RIP,

OSPF, EIGRP Trong đó, RIP và OSPF là các giao thức chuẩn quốc tế, EIGRP là

giao thức của Cisco, chỉ chạy trên thiết bị Cisco IGP là loại giao thức định tuyến

chạy giữa các router nằm bên trong một AS

2.3 Các giải thuật tìm đường trong mạng

2.3.1 RIP (Routing Information Protocol)

● RIP (tiếng Anh: Routing Information Protocol) là một giao thức định tuyến bên trong

miền sử dụng thuật toán định tuyến distance vector RIP được dùng trên Internet và

-phổ biến trên môi trường NetWare như phương thức trao đổi thông tin định tuyến giữa

các bộ định tuyến Giao thức định tuyến chuẩn Internet OSPF (Open Shortest Path

Trang 8

7

First) là một phiên bản kế thừa của RIP

- RIP có hai phiên bản là RIPv1 và phiên bản mới hơn là RIPv2

- Đây là một giao thức dạng Vector khoảng cách

- Nó chọn đường đi theo số nút mạng đi qua(# of hops, Max =15 hops)

- RIP chọn đường dạng DV(bạn của bạn là bạn)

● RIP trao đổi thông tin theo cách sau:

○ Trao đổi bảng chọn đường

○ Định kỳ

- Các vector khoảng cách được trao đổi định kỳ mỗi 30s

- Mỗi thông điệp chứa tối đa 25 mục

- Trong thực tế nhiều thông điệp được sử dụng

- Khởi tạo lại mỗi khi nhận được thông tin chọn đường

- Nếu sau 180s mà không nhận được thông tin thì chuyển sang trạng thái

Hold Down

○ Hold down timer:

- Giữ lại trạng thái Hold Down trong 180s

- Chuyển sang trạng thái Down

○ Flush timer:

- Khởi tạo lại mỗi khi nhận được thông tin chọn đường

- Sau 120s xóa mục tương ứng trong bảng chọn đường

2.3.2 OSPF (Open Shortest Path First)

● OSPF - Open Shortest Path First là một giao thức định tuyến động theo kiểu Link

State Đây là một giao thức được sử dụng rộng rãi trong các mạng có quy mô lớn

Trang 9

8

● Một số đặc điểm chính của giao thức OSPF:

- OSPF là một giao thức Link State điển hình Mỗi router khi chạy giao thức sẽ

gửi các trạng thái đường link của nó cho tất cả các router trong vùng (area) Sau

một thời gian trao đổi, các router sẽ đồng nhất được bảng cơ sở dữ liệu trạng

thái đường link (Link State Database – LSDB) với nhau, mỗi router đều có được

“bản đồ mạng” của cả vùng Từ đó mỗi router sẽ chạy giải thuật Dijkstra tính

toán ra một cây đường đi ngắn nhất (Shortest Path Tree) và dựa vào cây này để

xây dựng nên bảng định tuyến

- OSPF có AD = 110

- Metric của OSPF còn gọi là cost, được tính theo bandwidth trên cổng chạy

OSPF

- OSPF chạy trực tiếp trên nền IP, có protocol ID là 89

- OSPF là một giao thức chuẩn quốc tế, được định nghĩa trong RFC – 2328

● Các bước hoạt động của OSPF:

- Bầu chọn Router ID

- Thiết lập quan hệ láng giềng (neighbor)

- Trao đổi LSDB

- Tính toán xây dựng bảng định tuyến

2.3.3 BGP (Border Gateway Protocol)

● BGP là giao thức tìm đường nòng cốt trên Internet Nó hoạt động dựa trên việc cập

nhật một bảng chứa các địa chỉ mạng (prefix) cho biết mối liên kết giữa các hệ thống

tự trị (autonomous system, tập hợp các hệ thống mạng dưới cùng sự điều hành của một

nhà quản trị mạng, thông thường là một nhà cung cấp dịch vụ Internet, ISP) BGP là

một giao thức vector đường đi (path vector) Khác với các giao thức tìm đường khác

như RIP (vector độ dài), OSPF (trạng thái liên kết), BGP chọn đường bằng một tập

các chính sách và luật Phiên bản BGP hiện nay là phiên bản 4, dựa trên RFC 4271

● BGP hỗ trợ tìm đường liên vùng phi lớp (CIDR Classless Inter Domain Routing) và

-dùng kỹ thuật kết hợp đường đi để giảm kích thước bảng tìm đường (ví dụ nếu một

mạng chiếm 255 địa chỉ lớp C từ 203.162.0.0/24 203.162.254.0/24 thì chỉ dùng 1 địa -

Trang 10

9

chỉ 203.162.0.0/16 để định danh mạng)

● BGP được sử dụng thay thế cho EGP và xóa hẳn mạng xương sống NSFNET nhằm

giúp cho Internet trở thành một hệ thống phân tán đúng nghĩa

● Ngoài việc sử dụng BGP giữa các AS, BGP cũng có thể được sử dụng trong các mạng

riêng quy mô lớn do OSPF không đáp ứng được Một lý do khác là dùng BGP để hỗ

trợ multihome

● Đa số người sử dụng Internet thường không sử dụng BGP một cách trực tiếp Chỉ có

các nhà cung cấp dịch vụ Internet sử dụng BGP để trao đổi đường đi BGP là một

trong những giao thức quan trọng nhất đảm bảo tính kết nối của Internet

● Hoạt động của BGP:

- Các thiết bị tìm đường (router) sử dụng BGP kết nối từng cặp (peering) với nhau

bằng cách thiết lập phiên làm việc trên giao thức TCP qua cổng 179 Phiên kết

nối này được duy trì bằng việc gửi các thông điệp keep alive 19 byte mỗi 60

-giây (mặc định)

- Có bốn loại thông điệp BGP là open (mở phiên kết nối), update (thông báo hoặc

rút lại một đường đi), notification (thông báo lỗi), keep alive (duy trì phiên kết

-nối)

- BGP có 4 thông điệp kết nối

● Thứ tự ưu tiên trong cơ chế tìm đường của BGP:

- Chọn đường đi tường minh trong bảng trước(so với đường đi mặc định)

- Chọn đường đi có trọng số cao nhất (weight) (chỉ với router của Cisco)

- Chọn đường đi có độ ưu tiên cục bộ cao nhất (local preference)

- Chọn đường đi do chính người quản trị mạng cài đặt trên router (static route, có

thuộc tính origin là INCOMPLETE)

- Chọn đường đi đi qua ít AS nhất (AS path ngắn nhất)

- Chọn đường đi có nguồn gốc bên trong trước (origin = IGP < EGP)

- Chọn đường đi có độ ưu tiên gần/xa thấp nhất MED (Multi exit discriminator)

- Chọn đường đi ra bên ngoài trước (external path)

- Chọn đường đi có độ đo IGP đến hop tiếp theo thấp nhất (IGP metric to the next

hop)

- Chọn đường đi tồn tại trong bảng lâu nhất (oldest one)

- Chọn đường đi đến router tiếp theo có BGP ID thấp nhất

● Các vấn đề hiện tại của BGP:

- Đường đi không ổn định, thay đổi liên tục theo chu kỳ (route flapping)

- Sự tăng trưởng của kích thước bảng tìm đường

- Độ trễ của việc hội tụ bảng tìm đường (thời gian để cập nhật bảng tìm đường

Trang 11

10

cho tất cả router khi có sự thay đổi, convergence delay)

- Vòng lặp trong việc chuyển thông tin đường đi (looping behavior)

- Độ tin cậy và cơ chế mã hóa thông tin

2.4 Virtual Private Network (VPN)

2.4.1 Giới thiệu

● Virtual Private Network là mạng riêng ảo hay còn được biết đến với từ viết tắt VPN,

đây không phải là một khái niệm mới trong công nghệ mạng VPN có thể được định

nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống

mạng công cộng VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu

động từ xa kết nối về văn phòng chính

● Virtual Private Network s dử ụng kỹ thuật Tunneling Protocols, Đây là kỹ thuật đóng

gói một gói tin dữ liệu bên trong một gói tin khác để tạo ra một kênh truyền an toàn

● VPN cung cấp nhiều đặc tính hữ ích bao gồm:u

- Chi phí thiết lập mạng VPN thấp do sử ụ d ng chung h t ng Internet ạ ầ

- Tính linh hoạt: VPN đã xóa bỏ rào cản về mặt địa lý cho hệ thống mạng, sẵn

sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi

trường Internet

- Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người

không có quyền truy cập và cho phép truy cập đối với những người dùng có

quyền truy cập Sử dụng các giao thức đóng gói, các thuật toán mã hóa và các

phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền

- Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó

các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên

ngoài Internet

Trang 12

11

2.4.2 Các Mode Hoạt Động Của VPN

● Mode hoạt động của VPN là khái niệm dùng để chỉ sự quy định các đóng gói dữ liệu

trong quá trình truyền giữa các thiết bị VPN có hai mode hoạt động là Transport và

Tunnel

- Transports mode: Dữ liệu được mã hóa sẽ nằm trong ESP header và ESP sẽ

chèn vào giữa Layer 2 header và layer 3 header

- Tunnel mode: Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với

source và des IP mới

● VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào

mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp Công nghệ VPN

có thể được phân thành 2 loại cơ bản: Site- -Site to VPN và Remote Access VPN

● VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec,

GRE, MPLS, SSL, TLS

a) Site- -Site VPN to

● Là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành

Trang 13

12

một hệ thống mạng thống nhất Ở loại kết nối này thì việc chứng thực ban đầu

phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như

Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một

cách an toàn giữa các Site

● Lan- -to Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN

(xem xét về mặt chính sách quản lý) Nếu chúng ta xem xét dướI góc độ chứng

thực nó có thể được xem như là một intranet VPN, ngược lại chúng được xem

như là một extranet VPN Tính chặt chẽ trong việc truy cập giữa các site có thể

được điều khiển bởi cả hai (intranet và extranet VPN) theo các site tương ứng

của chúng

b) Remote Access VPN

● Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và

các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên

mạng của tổ chức

● Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm

VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN

concentrator (bản chất là một server) Vì lý do này, giải pháp này thường được

gọi là client/server Trong giải pháp này, các người dùng thường thường sử dụng

các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ

● Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà

muốn kết nối vào mạng công ty một cách an toàn Cũng có thể áp dụng cho văn

phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty

● Remote Access VPN còn được xem như là dạng User- -toLAN, cho phép người

dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server

● Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,

trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không

dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm

wireless (wireless terminal) và sau đó về mạng của công ty Trong cả hai trường

hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật,

còn được gọi là tunnel

● Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu

nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thường thì

giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty

Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote

Authentication Dial-InUser Service [RADIUS], Terminal Access Controller

Access Control System Plus [TACACS+]…)

Trang 14

13

● Point- -Point Tunneling Protocol (PPTP)To

- PPTP được viết tắt từ Point to Point Tunneling Protocol Là sự mở rộng của

-giao thức Internet chuẩn Point- -toPoint (PPP) và sử dụng cùng kiểu xác thực

như PPP (PAP, SPAP, CHAP, MS-CHAP, EAP)

- Là phương pháp VPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy

Windows PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa Ưu điểm

khi sử dụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng (Public Key

Infrastructure)

● Layer 2 Forwarding L2F–

- Được Cisco phát triển L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào

được PPP hỗ trợ

● Layer 2 Tunneling Protocol L2TP–

- Là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF

Tiêu chuẩn L2TP được hoàn tất vào cuối năm 1998

- Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec

L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN

điểm-nối-điểm và VPN truy cập từ xa

- Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và

router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an

toàn hơn

● IPSec-VPN

- IPsec được tích hợp trong rất nhiều giải pháp VPN “tiêu chuẩn”, đặc biệt trong

các giải pháp VPN gateway- -gateway (site- -to tosite) để nối 2 mạng LAN với

nhau

- IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai gateway

hoặc giữa máy tính trạm và gateway

- IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based

network) Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN phải

được cài đặt sẵn phần mềm VPN client

- IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data Link như các

-giao thức dùng trong VPN khác như L2TP, PPTP

Trang 15

14

- IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính

nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng

công cộng Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:

+ Tính bảo mật dữ liệu – Data confidentiality

+ Tính toàn vẹn dữ liệu – Data Integrity

+ Tính chứng thực nguồn dữ liệu – Data origin authentication

+ Tính tránh trùng lặp gói tin – Anti-replay

- Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE)

hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc

thông qua khóa mã chia sẻ (preshared key)

- IPSec VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông

dụng bao gồm Denial of Service (DoS), replay, và “man- -the-in middle”

● SSL-VPN

- SSL VPN còn được gọi là giải pháp “clientless” Điều này cũng có nghĩa là các

giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn

- Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc

một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới

một số ứng dụng cụ thể

- Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa

trên trình duyệt (browser based), thì cần phải tạo ra một plug ins Java hoặc -

-Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt

- SSL VPN hoạt động ở session layer, điều này cho nó khả năng điều khiển truy

cập theo khối tốt hơn

- SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server

- SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình

duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích “quản lý máy

khách ” bằng cách buộc trình duyệt phải chạy các applets

● OpenVPN

- OpenVPN là phần mềm mã nguồn mở tạo các kết nối và thực hiện bảo mật

mạng ở tầng 2 và 3

- Sử dụng SSL/TLS để tạo ra kênh truyền bảo mật (đã được sử dụng rộng rãi trên

thế giới và các hãng đang bắt đầu hỗ trợ VPN qua giao thức này như Microsoft,

Cisco )

- Sử dụng thư viện SSL API để thực hiện mã hóa, do đó ta có thể linh động thay

đổi bằng những thuật toán khác

Ngày đăng: 17/06/2024, 17:26

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w