2.2 Khái niệmVề cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng thường là Internet để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.. Th
Trang 1TRƯỜNG ĐẠI HỌC CÔNG NGHỆ - ĐH QUỐC GIA HÀ NỘI
Khoa Điện tử viễn thông
- -BÀI TIỂU LUẬN
HỆ THỐNG VIỄN THÔNG VỚI CÔNG NGHỆ MỚI
Đề tài: Tổng quan về công nghệ VPN
LÊ VŨ THẮNG NGUYỄN VĂN DŨNG THẮNG NGUYỄN HOÀNG TÙNG
Hà Nội – 2007
Trang 2Phần1 Đề tài và mục đích thực hiện đề tài 3
1.1 Đề Tài 3
1.2 Mục đính thực hiện 4
Phần 2: Tổng quan về mạng VPN 4
2.1 Giới thiệu về công nghệ VPN 4
2.2 Khái niệm 5
2.3 Các loại VPN 5
VPN điểm-nối-điểm 7
2.4 Các yêu cầu đối với VPN 7
2.4.1 Bảo mật trong VPN 8
Máy chủ AAA 9
2.4.2 Tính sẵn sàng và tính tin cây 9
2.4.3 Chất lượng dịch vụ 9
2.4.4 Khả năng quản trị 10
2.4.5 Khả năng tương thích 10
2.4.6 Sản phẩm công nghệ dành cho VPN 11
2.5 Các kĩ thuật trong mạng VPN 11
2.5.1 Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm 12
2.5.2 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 12
2.6 Các thành phần trong mạng VPN 12
2.6.1 Các thành phần của một tunning 12
2.6.2 Định dạng gói dữ liệu VPN 13
2.7 Hoạt động của VPN 14
Phần 3: Công Nghệ Mạng Riêng Ảo (VPN) 16
3.1 Point-to-Point Protocol (PPP) 16
3.1.1 Quá trình hoạt động PPP 17
Trang 33.1.2 PPP Packet Format 18
3.1.3 PPP Link Control 18
3.2 Point-to-Point Tunneling Protocol (PPTP) 19
3.2.1 Vai trò của PPP trong giao dịch PPTP 20
3.2.2 Các thành phần của quá trình giao dịch PPTP 21
3.2.3 Quá trình xữ lý PPTP 22
Phần 4: Triển khai hệ thống VPN 25
4.1 Mô tả mô hình 25
4.3 Cấu hình cho máy chủ và máy khách kết nối VPN 29
4.3.1 Tệp cấu hình cho máy chủ 29
4.3.2 Tệp cấu hình cho máy khách 34
4.3.3 Kết quả: 36
Phần 5: Kết luận 38
5.1.1 Thuận lợi 39
5.1.2 Bất lợi 39
Phần1 Đề tài và mục đích thực hiện đề tài
1.1 Đề Tài
Trang 41.2 Mục đính thực hiện
Trên thế giới, mạng riêng ảo đã được phát triển và ứng dụng rất nhiều trong thực tế Ở Việt Nam thời gian gần đây việc sử dụng mạng VPN đã được triển khai ở một số công ty lớn yêu cầu tính bảo mật cao, chi phí đầu tư thấp
Trong bài tiểu luận này, chúng tôi nghiên cứu các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo (VPN) Nghiên cứu để có cái nhìn đầy đủ về công nghệ VPN từ lý thuyết đến triển khai thực tế Nghiên cứu khuôn dạng các gói tin VPN, các mô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên các hệ thống mạng
Mặc dù đã cố gắng hết sức, song chắc chắn không chánh khởi những thiếu sót Chúng em rất mong nhận được sự thông cảm và chỉ bảo tận tình của quý thầy cô, các anh chị và các bạn.
Hà Nội 10/2007
Nhóm sinh viên thực hiện
Phần 2: Tổng quan về mạng VPN
2.1 Giới thiệu về công nghệ VPN
Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian
Trang 52.2 Khái niệm
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa
Hinh1-Mô hình mạng VPN
Theo định nghĩa chuẩn được cung cấp bởi IETF, VPN là “Một sự mô phỏng mạng WAN riêng
sử dụng khả năng IP được chia sẻ hay công cộng như Internet hay IP backbone riêng.”
Được gọi là “Virtual” bởi vì VPN sử dụng các kết nối ảo Đó là các kết nối tạm thời chứ không phải các kết nối vật lý thực sự, nhưng các gói tin sẽ được định tuyến thông qua các máy riêng trên mạng khi các kết nối ảo an toàn đã được tạo giữa hai máy, giữa một máy và một mạng hoặc giữa hai mạng
VPN cho phép khai thác mọi tiềm năng của mạng công cộng nhưng vẫn đảm báo tính bảo mật của tổ chức Chúng ta có thể tạo ra một mạng riêng trên một mạng công cộng bằng các kĩ thuật
mã hóa, xác thực các gói và truyền các gói qua các đường hầm kết nối cộng với các kĩ thuật tường lửa
2.3 Các loại VPN
Mục tiêu của công nghệ VPN là quan tâm đến các yếu tố sau đây:
- Các nhân viên liên lạc từ xa, người dùng di động có thể truy cập vào tài nguyên mạng công ty của họ một cách an toàn bất cứ lúc nào
- Có khả năng kết nối giữa các chi nhánh văn phòng, chi nhánh vơí văn phòng trung tâm
Trang 6- Kiểm soát được truy cập tới các tài nguyên mạng của người dùng.
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa
Trang 7VPN điểm-nối-điểm
Hình3: VPN Site to site
Là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ
có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều
tổ chức khác nhau có thể làm việc trên một môi trường chung
2.4 Các yêu cầu đối với VPN
Trang 82.4.1 Bảo mật trong VPN
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tai nguyên mạng không được truy cập bởi mạng công cộng Vì vậy nguy cơ bị truy cập trái phép của người dùng đến Intranet
là rất thấp Tuy nhiên với công nghệ VPN có sử dụng Internet và các mạng công cộng khác như
mạng thoại PSTN…cho truyền thông Như vậy môi trường mạng riêng ảo VPN mạng lại cho
các Hacker cơ hội thuận lợi để truy cập đến các mạng riêng và luồng dữ liệu qua nó qua các mạng công cộng, kết quả là có nhiều nguy cơ về bảo mật Do đó vấn đề bảo mật trong mạng VPN là điều then chốt và quyết định lớn đến sự tồn tại của công nghệ này.
Hiện nay công nghệ VPN cung cấp các cơ chế bảo mật sau:
Tường lửa (firewall) thực thi các kĩ thuật phòng thủ vòng ngoài và là rào chắn vững chắc giữa
mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Firewall không chỉ kiểm tra kĩ lưu lượng vào mà còn kiểm tra với cả lưu lượng ra vì vậy đẩm bảo mức độ bảo mật cao
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có
máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì
Mã hóa dữ liệu: Thực thi các cơ chế mã hóa dữ liệu nhằm đảm bảo tính xác thực, tính toàn vẹn
và tính tin cậy của dữ liệu khi truyền qua môi trường không tin cậy Giao thức bảo mật giao thức
Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn,
quá trình thẩm định quyền đăng nhập toàn diện hơn
IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể
mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ
Trang 9Máy chủ AAA
AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép)
và Accounting (kiểm soát) Các server này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích
an toàn
2.4.2 Tính sẵn sàng và tính tin cây.
Tính sẵn sàng chỉ tổng thời gian tối đa mà người dùng có thể truy cập vào mạng trong các mạng riêng và mạng Intranet thời gian này tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và do tổ chức tự quản lý Mặc dù vậy VPN sử dụng các mạng tương tác trung gian như Internet vì vậy các các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian Mà nhân tố then chốt trong trường hợp này chính là tính sẵn sàng của các ISP
Tính tin cậy cũng là một yêu cầu quan trọng của mạng VPN và nó gắn chặt với nhân tố tính sẵn sàng Tính tin cậy trong VPN bảo đảm rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh Cũng như hầu hết các thiết lập mạng khác, tinh tin cậy trong môi trường dựa trên VPN có thể thể đạt được bằng cách chuyển mạch các gói dữ liệu trên các đường dẫn khác nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi Toàn bộ quá trình này trong suốt với người dùng cuối Và có thể đạt được bằng việc thực hiện dư thừa kết nối
2.4.3 Chất lượng dịch vụ
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách gán một tỉ lệ phần trăm cao của băng thông mạng và các tài nguyên giới hạn lỗi cho các ứng dụng nhạy cảm với độ trễ và giới hạn của băng thông Ví dụ như các ứng dụng hội nghị trực tuyến, giao dịch tài chính…rất nhạy cảm với độ trễ và yêu cầu băng thông lớn đáp ứng liên tục, ổn định
Chất lượng dịch vụ bao gồm hai yếu tố: Góc trễ và Thông lượng
• Góc trễ là độ trễ trong một quá trình truyền thông đang tiếp diễn và rất quan trọng với các ứng dụng âm thanh và video
• Thông lượng liên quan đến tính sẵn có của băng thông thích hợp cho tất cả các ứng dụng.Trong VPN QoS đảm bảo nhiều ứng dụng khác nhau có thể chạy trên VPN Trong cấu trúc VPN, một chính sách thường được dùng để phân loại ứng dụng, người dùng hoặc nhóm người dùng dựa vào quyền ưu tiên đã xác định
Trang 102.4.4 Khả năng quản trị
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc quản trị thích hợp là rất quan trọng đặt ra với các đơn vị tổ chức có mạng kết nối toàn cầu Hầu hết mạng của các tổ chức ngày nay kết nối với các nguồn tài nguyên của thế giới bằng sự trợ giúp của các ISP dẫn đến việc không thể kiểm soát được các đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng trung gian của các ISP Nhờ có mạng VPN mà công việc quản trị có thể được phân chia giữa các tổ chức và ISP
2.4.5 Khả năng tương thích
VPN sử dụng mạng công cộng để kết nối các đầu cuối ở xa, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể trên các công nghệ khác như FR, ATM Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và các giao thức cơ sở
Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng dùng địa chỉ IP
và các ứng dụng IP, để đảm bảo khả năng tương thích với cơ sở hạ tầng trên nền IP, các phương pháp sau phải được tích hợp vào VPN
Sử dụng Gateway IP: Gateway IP dịch chuyển các các giao thức không dựa trên IP thành các giao thức IP Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc các phần mềm ứng dụng Gateway IP được cài đặt trên mọi Server thường được dùng để chuyển đổi dòng lưu lượng
Sử dụng đường hầm: Tạo đường hầm là kĩ thuật đóng gói các gói dữ liệu không IP thành các gói
IP để truyền trên một hạ tầng IP Các thiết bị cuối khác khi nhân được các gói dữ liệu đã đóng gói này sẽ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc
Sử dụng định tuyến IP ảo (VIPR): VIPR làm việc bằng cách phân vùng logic một router vậ lý tại
vị trí nhà cung cấp dịch vụ sau cùng (Thuộc ISP) Mỗi một phân vùng được cấu hình quản trị như một Router vật lý để hỗ trợ một VPN Như vậy ta có thể hiểu mỗi một phân vùng logic được coi như một router với đầy đủ các chức năng của nó Kết quả là, phân vùng Router logic có thể
hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng Với các công nghệ và giao thức không dựa trên IP như ATP, công nghệ đường điện thoại riêng VPT được sử dụng VPT tương thích với nhiều giao thức và dựa trên công nghệ chuyển mạch gói Vì vậy nó sử dụng các kênh
cố định ảo PVC và kênh chuyển mạch ảo SVC cho việc truyền dữ liệu Các PVC thường được dùng cho việ liên kết các site trong một mạng riêng hoặc Intranet SVC thì ngược lại được dùng
để liên kết các site trong một Extranet
Trang 112.4.6 Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:
• Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa
• Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX
• Server VPN cao cấp dành cho dịch vụ Dial-up
• NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa
• Mạng VPN và trung tâm quản lý
2.5 Các kĩ thuật trong mạng VPN
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel)
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol) Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin
đi vào và đi ra trong mạng
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
• Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có
thông tin đang đi qua
• Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,
IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc
• Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được
truyền đi (như IPX, NetBeui, IP)
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet
Trang 122.5.1 Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập
từ xa và điểm- nối-điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel
2.5.2 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa
L2F (Layer 2 Forwarding) được Cisco phát triển L2 F dùng bất kỳ cơ chế thẩm định quyền truy
cập nào được PPP hỗ trợ
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát triển Giao thức này
hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum,
Cisco và IETF Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn
Trang 13• HA (Home Agent) Chương trình này thường chú tại các nút mạng (Router) trong mạng đích và làm nhiệm vụ xác nhận những yêu cầu gửi đến để xác thực chúng từ những host
đã được ủy quyền Khi xác nhận thành công, HA cho phép thiết lập tunnel
• FA (Foreign Agent) Chương trinh thường cư chú tại các nút khởi tạo hoặc ở các nút truy cập mạng của hệ thống mạng Các nút khởi tạo dùng FA để yêu cầu một phiên VPN từ
HA ở mạng đích
2.6.2 Định dạng gói dữ liệu VPN.
Như đã được mô tả ở phần trước, trước khi gói dữ liệu nguyên gốc được phân phát đến mạng đích thông qua tunnel, nó đã được mã hóa bởi FA Gói dữ liệu mã hóa này được đề cập như một tunneled packet Định dạng của một tunneled packet được mô tả theo hình bên dưới
Hình 4: Định dạng của tunneled packet
Như đã thấy ở hình 4, một tunneled packet bao gồm 3 phần:
1 Header of the routable protocol Phần đầu chứa địa chỉ nguồn (FA) và đích (HA) Bởi
vì quá trình giao dịch thông qua Internet chủ yếu là dựa trên cơ sở IP, phần đầu này là phần IP header chuẩn phổ biến và chứa địa chỉ IP của FA, HA tham gia trong qua trinh giao dịch
2 Tunnel packet header Phần đầu này chứa 5 phần sau :
• Protocol type Trường này chỉ ra loại giao thức của gói dữ liệu nguyên gốc (hoặc
pay-load)
• Kiểm tra tổng (Checksum) Phần này chứa thông tin kiểm tra tổng quát liệu gói
dữ liệu có bị mất mát trong suốt qua trình giao dịch Thông tin này tùy chọn
• Khóa (Key) Thông tin này được dùng để nhận dạng hoặc xác nhận nguồn thực
của dữ liệu (bộ khởi tạo)
• Số tuần tự (Sequence number) Trường này chứa đựng 1 con số mà chỉ ra số
tuần tự của gói dữ liệu trong một loạt các gói dữ liệu đãvà đang trao đổi
Trang 14• Source routing Trường này chứa đựng thêm thông tin định tuyến, phần này tuỳ
chọn
3 Payload Gói dữ liệu nguyên gốc được gửi đến FA bởi bộ khởi tạo Nó cũng chứa đựng
phần đầu nguyên gốc
2.7 Hoạt động của VPN
Quá trình tạo đường hầm được chia làm hai giai đoạn cơ bản sau:
• Giai đoạn I Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên làm việc VPN và
được xác nhận bởi HA tương ứng
• Giai đoạn II Dữ liệu thực sự được chuyễn qua mạng thông qua tunnel
Trong giai đoạn I , một kết nối yêu cầu được khởi tạo và những tham số phiên được đàm phán (Giai đoạn này cũng có thể được xem như là giai đoạn thiết lập tunnel.) nếu yêu cầu được chấp nhận và tham số phiên được đàm phán thành công, một tunnel được thiết lập giữa hai nút thông tin đầu cuối Điều này xảy ra qua những việc chính sau :
1 Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng
2 FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu được cung cấp bởi người dùng (Thông thường FA sử dụng các dịch vụ của một máy chủ Remote Access Dial-Up Services (RADIUS) để xác nhận sự thống nhất của các nút khởi tạo.)
3 Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ, yêu cầu phiên làm việc VPN bị từ chối Ngược lại, nếu quá trình xác nhận sự thống nhất của FA thành công,
nó sẽ chuyễn yêu cầu đến mạng đích HA
4 Nếu yêu cầu được HA chấp nhận, FA gửi login ID đã được mã hóa và mật khẩu tương ứng đến nó
5 HA kiểm chứng thông tin đã được cung cấp Nếu quá trình kiểm chứng thành công, HA gửi những Register Reply, phụ thuộc vào một số tunnel đến FA
6 Một tunnel được thiết lập khi FA nhận Register Reply và số tunnel
1 Nút khởi tạo bắt đầu chuyển hướng các gói dữ liệu đến FA
Trang 152 FA tạo tunnel header và chèn nó vào từng gói dữ liệu Thông tin header của giao thức định tuyến (được đàm phán trong giai đoạn I) sau đó được gắn vào gói dữ liệu
3 FA chuyển hướng các gói dữ liệu đã mã hóa đến HA bằng cách sử dụng tunnel number
đã được cung cấp
4 Trong quá trình nhận thông tin mã hóa, HA cởi bỏ tunnel header và header của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó
5 Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần đến trong mạng
Hình 5: Quá trình truyền dữ liệu qua tunnel
Trang 16Phần 3: Công Nghệ Mạng Riêng Ảo (VPN)
Như phần trên đã trình bày, việc tạo ra đường hầm và hỗ trợ của nó trong việc đảm bảo an toàn bảo mật cho các giao dịch qua mạng trung gian không an toàn Phần này sẽ trình bày về các giao thức cho phép và hỗ trợ các công nghệ đường hầm này Giao thức đường hầm là cơ sở để xây dựng VPN và bảo mật các giao dịch qua mạng VPN Chức năng tạo giao thức đường hầm hầu hết được thực thi tại lớp 2 của mô hình OSI
3.1 Point-to-Point Protocol (PPP).
PPP là một giao thức đóng gói dữ liệu thuận tiện trong việc vận chuyển lưu thông mạng thông qua các kết nối nối tiếp point-to-point Thuận lợi lớn nhất của PPP là nó có thể hoạt động đem lại hiệu quả cho bất kỳ Data Terminal Equipment (DTE) hoặc Data Connection Equipment (DCE) bao gồm EIA/TIA-232-C và ITU-T V.35 một điểm yêu thích nữa của PPP là nó không giới hạn
tỉ lệ giao dịch Cuối cùng, chỉ thiết bị PPP có thể cho một kết nối kép (2 chiều) có thể đối xứng hoặc không đối xứng và có thể thao tác theo phương thức chuyễn mạch hoặc chuyên dụng
Chú ý : EIA/TIA-232-C trước đây được hiểu là RS-232C.
Ngoài việc đóng gói dữ liệu IP và non-IP và nó vận chuyễn qua các kết nối nối tiếp, PPP cũng đảm nhiệm một số chức năng sau đây :
• Chỉ định và quản lý từ các địa chỉ IP đến các gam dữ liệu non-IP
• Cấu hình và kiểm tra các kết nối đã được thiết lặp
• Đóng gói không đồng bộ và đồng bộ các gam dữ liệu
• Phát hiện lỗi trong suốt quá trình giao dịch
• Trộn các đa giao thức ở tầng 2
• Đàm phán các tham số cấu hình tuỳ chọn, như nén và đánh địa chỉ dữ liệu PPP thực hiện chức năng này bằng 3 tiêu chuẩn :
• Tiêu chuẩn cho việc đóng gói những gói dữ liệu qua các nối kết điểm-điểm
Chú ý : Tiêu chuẩn cho việc đóng gói các gói dữ liệu thông qua các kết nối điểm-điểm là phương
thức lỏng lẻo trong giao thức High-Level Data Link Control (HDLC) Ngoài ra, cũng có sự khác nhau giữa 2 chuẩn Ví dụ : HDLC phân chia gói dữ liệu ra thành frame, PPP thì không
Trang 17• Tiêu chuẩn cho việc thiết lặp, cấu hình, và kiểm tra kết nối điểm-điểm với sự
giúp đở của Link Control Protocol (LCP)
• Tiêu chuẩn cho việc thiết lặp và cấu hình một số các giao thức tầng mạng và
phát hiện lỗi trong suốt quá trình giao dịch dưới hình thức của Network Control Protocol (NCP) phù hợp
3.1.1 Quá trình hoạt động PPP
Các hoạt động của PPP được tiến hành theo những phương cách sau :
1 Sau khi đóng gói các gói dữ liệu, nút nguồn (hay bộ khởi tạo) gửi LCP frame thông qua liên kết điểm-điểm đến nút cần đến
2 Những frame này được dùng để cấu hình kết nối theo tham số xác định và kiểm tra các kết nối đã được thiết lặp nếu có
3 Sau khi nút đích chấp nhận yêu cầu kết nối và một kết nối được thiết lặp thành công, những tùy chọn thuận lợi được đã đàm phán, được xác định bời LCPs
4 Sau đó nút nguồn gửi các frame NCP để lựa chọn và cấu hình các giao thức tầng mạng
5 Sau khi các giao thức tầng mạng đã được cấu hình , 2 điểm cuối bắt đầu trao đổi dữ liệu cho nhau
Hình 6: Khởi tạo một liên kết PPP và trao đổi dữ liệu
Khi một kết nối được thiết lặp, nó sẽ tồn tại cho đến khi LCP hay NCP frame báo hiệu điểm cuối liên kết Nối kết sẽ bị ngắt trong trường hợp nối kết không thành công hoặc có sự can thiệp của người dùng
Trang 183.1.2 PPP Packet Format
Có 6 trừơng cấu thành một PPP frame :
• Flag Trường này chỉ định phần đầu và phần đuôi của 1 frame Chiều dài của trường này
là 1 byte
• Address Bởi vì sử dụng kết nối điểm-điểm, PPP không dùng địa chỉ của các nút riêng lẻ
Do đó, trường này chứa một chuổi số nhị phân 11111111, là địa chỉ broadcast Chiều dài của trường này là 1 byte
• Control Trường này chứa dãy số nhị phân 00000011, có nghĩa là frame đang mang dữ
liệu của người dùng là một frame thiếu trình tự chỉ ra tính chất quá trình giao dịch không kết nối của PPP Chiều dài của trường này là 1 byte
• Protocol Trường này chỉ ra giao thức của dữ liệu đã được đóng gói trong trường dữ liệu
của frame Giao thức trong trường này được xác định theo con số đính kèm trong bộ RFC
3232 chiều dài của trường này là 2 byte The length of the field is two bytes Tuy nhiên, cũng có thể là 1 byte nếu cả hai ngang cấp
• Data Trường này chứa đựng thông tin hiện tại được trao đổi giữa các nút nguồn và đích
Chiều dài của trường này rất khác nhau, tuy nhiên chiều dài tối đa của trường này có thể lên đến 1500 byte
• FCS (Frame Check Sequence) Trường này chứa đựng trình tự kiểm tra giúp người nhậ
xác nhận chính xác thông tin vừa nhận trong trường dữ liệu Thông thường, chiều dài của trường là 2 byte Tuy nhiên, việc triển khai PPP có thể đạt đến 4 byte FCS nhằm mục đích tăng khả năng phát hiện lỗi
Hinh7: Định dạng của PPP frame.
3.1.3 PPP Link Control
Để tăng khả năng thành công khi trao đổi dữ liệu giữa 2 nút, PPP cũng đảm nhiệm chức năng điều khiển kết nối được thiết lặp giữa hai thông tin đầu cuối PPP sử dụng LCP trong mục đích này, sau đây là những chức năng của LCP :
• Giúp đỡ thiết lặp nối kết PPP
• Cấu hình các nối kết đã được thiết lặp nhằm đáp ứng các yêu cầu của các bên thông tin
Trang 19• Thực hiện chức năng bảo trì thường xuyên các kết nối PPP.
• Kết thúc nối kết nếu dữ liệu trao đổi giữa hai đầu cuối hoàn thành
Chú ý :
Trong PPP, thuật ngữ “link” (nối kết) đại diện cho kết nối điểm-điểm
LCP dựa trên điều khiển kết nối xảy ra trong 4 giai đoạn, giai đoạn thiết lặp kết nối và đàm
phán, giai đoạn xác định chất lượng kết nối, giai đoạn đàm phán giao thức tầng mạng, và giai đoạn kết thúc kết nối Mô tả dưới đây tổng kết lại 4 giai đoạn điều khiển kết nối :
Link establishment and negotiation Trước khi có bất kỳ sự trao đổi dựa trên PPP có thể xảy ra
giữa 2 nút nguồn và đích, LCP phải thiết lặp (mở) kết nối giữa 2 đầu cuối và đàm phán các tham
số cấu hình LCP dùng Link-establishment frames cho mục đích này Khi mỗi đầu cuối trả lại với chính Configuration-Ack frame của nó, giai đoạn này kết thúc
Link quality determination Giai đoạn này là giai đoạn tùy chọn, nhằm xác định xem chất
lượng của kết nối đã sẵn sàng cho các giao thức tầng mạng không
Network-layer protocol negotiation Trong giai đoạn này, dữ liệu của giao thức tầng dưới (tầng
Network) mà đã được đóng gói trong trường Protocol của PPP frame được đàm phán
Link termination Đây là giai đoạn cuối cùng của LCP và dùng để kết thúc kết nối PPP đã thiết
lặp trước giữa hai đầu cuối Công việc kết thúc kết nối có thể diễn ra suôn sẽ, tế nhị và cũng có thể đột ngột, bất thình lình Sự ngắt kết nối tế nhị xảy ra sau khi dữ liệu trao đổi giữa hai đầu cuối hoàn thành, hoặc ở yêu cầu của một trong hai bên (đầu cuối) Một sự kiện vật lý, như mất người vận chuyễn hoặc hết thời hạn của một khoảng thời gian nhàn rổi, sự ngắt kết nối bất thình lình sẽ xảy ra Link-termination frames được trao đổi giữa các bên có liên quan trước khi bị ngắt kết nối
Ngoài Link-establishment và Link-termination frames, PPP sử dụng một loại frame thứ 3 được gọi là Link-maintenance frames Những frame này, giống như tên gợi ra, được trao đổi trong những vấn đề có liên kết nối và dùng để quản lý và debug các kết nối PPP
Ngày nay mặc dù không được sử dụng như VPNs, công nghệ PPP là nguyên tắc cơ bản cho các giao thức tunneling khác sử dụng rộng rãi trong VPNs Thật vậy, tất cả các giao thức tunneling phổ biến đều dựa trên PPP và đóng gói PPP frames vào IP hay các datagram khác cho việc giao dịch thông qua mạng trung gian
3.2 Point-to-Point Tunneling Protocol (PPTP)