Báo Cáo THực Tập Cơ Sở mô hình VPN

Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.

MỤC LỤC

DANH MỤC HÌNH ẢNH 2 LỜI NÓI ĐẦU 3

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO 4

1.1 Khái quát chung 4

1.1.1 Khái niệm mạng riêng ảo 4

1.1.2 Lịch sử hình thành của VPN 5

1.1.3 Lịch sử phát triển của VPN 6

1.1.4 Chức năng của VPN 7

1.2 Ưu và nhược điểm của VPN 7

1.2.1 Ưu điểm 7

1.2.2 Nhược điểm 8

1.3 Phân loại VPN 9

1.3.1 Mạng VPN truy cập từ xa 9

1.3.2 Mạng VPN cục bộ 10

1.3.3 Mạng VPN mở rộng 12

CHƯƠNG II CÁC GIAO THỨC SỬ DỤNG TRONG VPN 13 2.1 Giao thức định hướng lớp 2 – L2F 13

1.4.2 Giao thức đường hầm điểm – điểm PTPP 15

1.4.3 Giao thức đường hầm lớp 2 – L2TP 25

1.4.4 Giao thức bảo mật IP - IPSEC 32

CHƯƠNG III.THIẾT KẾ VÀ CÀI ĐẶT MÔ HÌNH SITE TO SITE 43 3.1 Bài toán đặt ra 43

3.3 Mô hình triển khai 44

3.3.1 Mô hình hệ thống 44

3.3.2 Cấu hình hệ thống 44

3.3.3 Kết quả cấu hình 47

KẾT LUẬN 48 TÀI LIỆU THAM KHẢO 50

PHỤ LỤC 51

DANH MỤC HÌNH ẢNH

Hình 1.1:Mô hình mạng VPN……….4

Hình 1.2: Mô hình mạng truy cập từ xa 10

Hình 1.3: Mô hình mạng VPN cục bộ……… 11

Hình 1.4: Mô hình mạng VPN mở rộng 12

Hình 2.1: Mô hình đặc trưng L2F 14

Hình 2.2:Kiến trúc PTPP……… 17

Hình 2.3: Các giao thức dùng trong một kết nối PTPP 18

Hình 2.4: Bọc gói PPTP/GRE 18

Hình 2.5: Cấu trúc gói dữ liệu trong đường hầm PPTP 19

Hình 2.6: Sơ đồ đóng gói PPTP 20

Hình 2.7: Đường hầm bắt buộc và đường hầm tự nguyện 22

Hình 2.8: Mã hóa trong gói PPTP 23

Hình 2.9: Đường hầm kết nối LAN-LAN 24

Hình 2.10: Các thành phần cơ bản của 1 VPN sử dụng PPTP 24

Hình 2.11: Kiến trúc của L2TP 26

Hình 2.12: Các giao thức sử dụng trong một kết nối L2TP 27

Hình 2.13: Bọc gói L2TP 27

Hình 2.14: Cấu trúc gói dữ liệu trong đường hầm L2TP 28

Hình 2.15: Các đường hầm tự nguyện và bắt buộc 29

Hình 2.16: Đường hầm kết nối LAN-LAN 30

Hình 2.17: Các thành phần cơ bản của L2TP 31

Hình 2.18: 5 bước hoạt động của IPSec 33

Hình 2.19: Kích hoạt lưu lượng cần bảo vệ 34

Hình 2.20: IKE phase 1 35

Hình 2.21: Tập chính sách IKE 36

Hình 2.22: Xác thực các đối tác 37

Hình 2.23: Thoả thuận các thông số bảo mật IPSec 38

Hình 2.24: Tập chuyển đổi IPSec 39

Hình 2.25 : Các kết hợp an ninh 40

Hình 2.26: Đường hầm IPSec được thiết lập 41

Hình 2.27: Kết thúc đường hầm 41

Hình 2.28: Quá trình trao đổi thông tin 42

Hình 3.1:Mô hình mô phỏng hệ thống VPN site – to – site trên Packet Tracer 44

Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt làCông nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tếthế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc giatrong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhânviên của họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chínhxác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trênkhắp thế giới, cũng như với các đối tác và khách hàng.

Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụViễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:thuê các đường Leased- line của các nhà cung cấp để kết nối tất cả các mạng concủa công ty lại với nhau, sử dụng internet để liên lạc với nhau

Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hòa hai loại dịch vụ trên,

nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng internet nhưng lại có đượccác tính chất của một mạng cục bộ như khi sử dụng các đường Leased – line Vìvậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế

Với đề tài: “ Tìm hiểu về mạng riêng ảo VPN” trong lần thực tập này, em hy

vọng nó có thể góp phần tìm hiểu công nghệ VPN, đồng thời góp phần phổ biếnrộng rãi kỹ thuật VPN

Em xin gửi lời cảm ơn chân thành đến các thầy cô Trường Đại Học CôngNghệ Thông Tin và Truyền Thông Thái Nguyên đã tận tâm truyền đạt kiến thức vàđặc biệt em xin bày tỏ lòng biết ơn sâu sắc đến Cô Dương Thúy Hường đã tận tìnhhướng dẫn và chỉ bảo em trong quá trình hoàn thành báo cáo thực tập

Vì kiến thức và kinh nghiệm còn hạn chế,nên không tránh khỏi những sai sóttrong bài báo cáo này.Rất mong được sự đóng góp ý kiến của các thầy cô để bàithực tập của em ngày càng hoàn thiện hơn

Thái Nguyên,Tháng 04/2014 Sinh viên thực hiện

Đồng Hùng Mạnh

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1.1 Khái quát chung

1.1.1 Khái niệm mạng riêng ảo

Mạng riêng ảo - VPN(Virtual Private Network) về cơ bản là một mạng riêng

sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặcngười sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nốithật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo đượctruyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sửdụng ở xa

Router

Mạng riêng

(LAN)

Mạng riêng(LAN)

Hình 1.1.Mô hình VPN

Các thuật ngữ dùng trong VPN:

Vitual – nghĩa là kết nối động, không được gắn cứng và tồn tại như một kết

nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng vớinhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm củamạng internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở

hạ tầng mạng giữa những điểm đầu cuối

Private – nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị

truy cập bởi những người sử dụng được trao quyền Điều này rất quan trọng bởi vìgiao thức internet ban đầu TCP/IP – không được thiết kế để cung cấp các mức độ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phầncứng VPN

Network – là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dâydẫn, vô tuyến, internet hay bất kỹ tài nguyên mạng dành riêng khác sẵn có để tạonền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từngđược sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế màcông nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thờigian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làmcho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêng vớinhững người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác công tyđang sử dụng chung một mạng công cộng

1.1.2 Lịch sử hình thành của VPN

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đếncông nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế để kếtnối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng mộtcách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng

đó đang dùng Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi làrouter để kết nối các LAN và WAN với nhau Các máy tính kết nối vào Internetthông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thứcchung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyềnthông của các mạng viễn thông công cộng Với Internet, những dịch vụ như giáodục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiệnthực.Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ

cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng nhưtrong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mớinhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầnghiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network -VPN)

1.1.3 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắtnguồn từ yêu cầu của khách hàng, mong muốn có thể kết nối một cách có hiệu quảvới các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụngcác đường thuê bao cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tinvới nhau

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dâychuyên dùng cho các khách hàng lớn Colisee có thể cung cấp phươngthức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượngdịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng làmạng được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số

xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệmgần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tạiMỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra củaAustralia đưa ra dịch vụ VPN trong nước đầu tiên ở khu vực châu Á –Thái Bình Dương

- Năm 1992, Viễn thông Hà Lan và Telia Thụy Điển thành lập công ty hợptác đầu tư Unisource, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liênminh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong

đó có dịch vụ VPN

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cungcấp dịch vụ VPN, dịch vụ chuyển tiếp khung,…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu(GVPNS).

- Năm 1996, Sprint và Viễn thông Đức, Viễn thông Pháp kết thành liênminh Global One

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, côngnghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hộithảo… Các mạng VPN xây dựng trên cơ sở hạ tầng mạng internet côngcộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN Côngnghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiềuvăn phòng, chi nhánh lựa chọn Ngày nay, với sự phát triển của côngnghệ, cơ sở hạ tầng mạng IP ngày một hoàn thiện đã làm cho khả năngcủa VPN ngày một hoàn thiện

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch

vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

1.1.4 Chức năng của VPN

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tínhtoàn vẹn (Integrity) và tính bảo mật (Confidentiality)

Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mìnhmong muốn chứ không phải là một người khác

Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy,không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấyđược thì cũng không đọc được

1.2 Ưu và nhược điểm của VPN

1.2.1 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho công ty Có thể dùng VPN đểđơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưuđộng, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet

trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạngWAN riêng.

 Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so vớithuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viênlàm việc ở xa Giảm được cước phí đường dài khi truy cập VPN cho cácnhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cậpvào mạng thông qua các điểm kết nối POP (Point of Presence) ở địaphương, hạn chế gọi đường dài đến các modem tập trung

 Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ địnhtuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truycập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ.Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhómmodem phức tạp

 Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cảcác dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếukhác mà không cần quan tâm đến những phần phức tạp bên dưới

 Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương

tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đốitượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào màISP cung cấp một điểm kết nối cục bộ POP

1.2.2 Nhược điểm

Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanhnghiệp Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừngđược cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dườngnhư đó vẫn là một vấn để khá lớn của VPN

Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưacác thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rấtkém ( thường là Internet) Lý do bị tấn công của VPN thì có vài lý do sau : sự tranhđua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù và nhiềumục đích khác của kẻ xấu muốn tấn công vào mạng công ty

QoS cho VPN cũng là một vấn đề đau đầu Hai thông số về QoS cho mạng là

độ trễ và thông lượng Ta biết rằng VPN chạy trên một mạng chung Internet Màđặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự

đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn.Thường QoS trên Internet chỉ là best effort.

Khả năng quản lý cũng là vấn đề khó khăn của VPN Cũng với lý do là chạyngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhàcung cấp đơn lẻ là điều không thể thực hiện được Vì thế nhà cung cấp dịch vụ(ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức.Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về cácthông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng Tuy nhiên các cam kếtnày cũng không đảm bảo 100%

1.3 Phân loại VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bảnsau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di

động vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm baloại:

- Mạng VPN truy nhập từ xa (Remote Access VPN).

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thôngqua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duytrì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động,những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách

sử dụng công nghệ quay số, IP di động, DSL và công nghệ cáp và thường yêu cầumột vài kiểu phần mềm client chạy trên máy tính của người sử dụng

POP

DSL cable

Hình 1.2: Mô hình mạng truy cập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truynhập từ xa truyền thống như:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì

quá trình kết nối từ xa được các ISP thực hiện

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc

độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì

chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn nhữngnhược điểm cố hữu đi cùng như:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

- Nguy cơ bị mất dữ liệu cao

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng

kể

1.3.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi

Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệuđược phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấpnhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là mộtVPN Site- to- Site

Văn phòng trung tâm

Hình 1.3: Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên

nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng

đường ngầm VPN thông qua Internet

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nhược điểm như:

Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng mạng Internet

-cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độchất lượng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với

yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớntrong môi trường Internet

1.3.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạngVPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mởrộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cầnthiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và cácnhà cung cấp

Intranet

DSL

cable

Extranet Business-to-business

Văn phòng

ở xa

Văn phòng trung tâm

DSL

Hình 1.4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sửdụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site-to-Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền

thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên

giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chiphí vận hành của toàn mạng

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công

cộng vẫn tồn tại

CHƯƠNG II CÁC GIAO THỨC SỬ DỤNG TRONG VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn

dữ liệu trong VPN , dựa trên nền tảng là các giao thức đường hầm Một giao thứcđường hầm sẽ thực hiện đóng gói dữ liệu với phần Header tương ứng để truyền quaInternet Giao thức đường hầm là cốt lõi của giải pháp VPN Có 4 giao thức đườnghầm được sử dụng trong VPN đó là:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)

2.1 Giao thức định hướng lớp 2 – L2F

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được pháttriển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp chodịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạtầng công cộng như Internet L2F là giao thức được phát triển sớm nhất, là phươngpháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công tythông qua thiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liênkết dữ liệu

2.1.1 Ưu nhược điểm của L2F

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được cung cấp bởi nhiều nhà cung cấp

Nhược điểm:

- Không có mã hoá

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

2.1.2 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,truyền xuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động như NAS

Tunnel: Định hướng đường đi giữa NAS và home gateway Một đường hầm

gồm một số kết nối

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI, một

kết nối L2F được xem như là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích

Remote

User

RADIUS Server

gateway

Data Tunnel

Mạng riêng Mạng của ISP

2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết

LCP (Link Control Protocol)

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay

nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch

vụ L2F

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ

của gateway đích (home gateway)

5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng

chưa có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhậnthực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba

6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo

dài phiên PPP từ người sử dụng ở xa tới home gateway Kết nối này đượcthiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tinnhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng vàNAS Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhậnthực lại người sử dụng

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng

gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được

hướng tới mạng công ty

1.4.2 Giao thức đường hầm điểm – điểm PTPP

Giao thức đường hầm điểm - điểm PPTP được đưa ra đầu tiên bởi một nhómcác công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascendcomm., Microsoft, ECI Telematicsunication và US Robotic

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khảnăng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến siteđích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic RoutingEncapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phépPPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP

có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mãhoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- PointEncryption) để sử dụng cho PPTP

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữliệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc truyền

dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác

IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

1.4.2.1 Kiến trúc PTPP

Giải thuật mã hóa

Giải thuật xác thực

Bọc gói định tuyến chung

Hình 2.2.Kiến trúc PTPP

 PPP và PPTP

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạngTCP/IP rất phổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong mô hình OSI,PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau đểtruyền nối tiếp Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều khiển liênkết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối;Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập vàcấu hình các giao thức lớp mạng khác nhau

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm từ máy gửi đến máy nhận Để viêc truyền thông có thể diễn ra thì mỗi PPPphải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu

điểm-Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực.Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi cácISP Việc xác thực được thực hiện bởi PAP hay CHAP

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản vàkhông có bảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phương thứcxác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAP chống lạicác vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value)duy nhất và không thể đoán trước được CHAP phát ra giá trị thách đố trong suốt và

sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vàotình thế bị tấn công.

PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng

và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP

để đóng các gói truyền trong đường hầm

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loạigói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển vàkênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệuthành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nốiTCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng để trưyền thôngbáo điều khiển

Các gói dữ liệu là dữ liêu thông thường của người dùng Các gói điều khiểnđược gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữaclient PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thôngtin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa clientPPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng từ xa haynằm ở tại máy chủ của ISP

Hình 2.3: Các giao thức dùng trong một kết nối PTPP

Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữaclient và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệuđược đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập,ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trườngtruyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?Ethernet, Frame Relay hay kết nối PPP?

Tải PPPPPP

Hình 2.4: Bọc gói PPTP/GREPPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệutruyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

 Cấu trúc gói của PPTP

* Đóng gói dữ liệu đường hầm PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng góikhung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Cấu trúc gói dữ liệu đã được đóng gói:

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá(IP, IPX, NETBEUI)

Phần đuôi liên kết dữ liệu

Tiêu đề

liên kết dữ liệu

Hình 2.5: Cấu trúc gói dữ liệu trong đường hầm PPTP

 Đóng gói khung PPP

Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bảnsửa đổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận

32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhận

dạng cuộc gọi 16 bit Trường nhận dạng cuộc goi Call ID được thiết lập bởiPPTP client trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửiqua mạng IP

 Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng góivới một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTPserver

 Đóng gói lớp liên kết dữ liệu

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong môhình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) vàphần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửiqua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet.Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ đượcđóng gói với phần Header và Trailer của giao thức PPP

* Xử lý dữ liệu đường hầm PPTP

Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ

- Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.

- Xử lý và loại bỏ IP Header.

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.

- Xử lý phần payload để nhận hoặc chuyển tiếp.

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá (IP, IPX, NETBEUI)

Phần đuôi liên kết

dữ liệu

Tiêu đề liên kết

dữ liệu

Hình 2.6: Sơ đồ đóng gói PPTP

Quá trình:

- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao

diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sửdụng NDIS (Network Driver Interface specification)

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và

cung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trường mã số giaothức PPP (PPP protocol ID field), không có các trường flag và FCS (framecheck sequence) Giả định trưòng địa chỉ và điều khiển đã được thoả thuận ởgiao thức điều khiển đường truyền LCP (Link Control Protocol) trong quátrình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với

phần mào đầu GRE Trong GRE header, trường Call ID đựoc đặt giá trị thíchhợp để xác định đường hầm

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi

gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sửdụng NDIS

- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer.

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

phần cứng quay số

 Đường hầm

PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khácnhau Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tínhcủa mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợPPTP) Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc

Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sửdụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảomật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thứcTCP/IP bình thường Đường hầm tự nguyện thường được sư dụng để cung cấp tínhriêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet

Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trongsuốt đối với người dùng Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủtruy cập từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đềuphải thông qua RAS

Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thểtruy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đườnghầm tự nguyện Nếu vì tính bảo mật mà không cho người dùng truy cập Internetcông cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộngnhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập vàđược các site trong VPN mà thôi)

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểmkết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làmviệc

Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng

Hình 2.7: Đường hầm bắt buộc và đường hầm tự nguyện

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đólà: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực ngườidùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài(token) hay thẻ thông minh (smart card)

 Xác thực và mã hoá

Các client PPTP được xác thực cũng tương tự như các client RAS được xácthực từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng.PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tạimáy cục bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu

sẽ thay đổi Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khácnhau cho những người dùng khác nhau tại cùng một máy tính ở xa Bởi vì khi cấpquyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đó đều có đặcquyền truy cập mạng như nhau

Với PPTP thì dữ liệu được mã hoá theo mã hóa điểmđiểm của Microsoft MPPE (Microsoft point-to-Point Encryption) Phương thức này dựa trên chuẩn RSA

-bởi PPP để thoả hiệp việc mã hoá MS-CHAP được dùng để kiểm tra tính hợp lýngười dùng đầu cuối tại tên miền Windows NT.

Hình 2.8: Mã hóa trong gói PPTP

Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ

có thể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPP tạiclient trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo mật từtrạm làm việc đến máy chủ PPTP Việc thay đổi khoá phiên có thể được thoả thuậnlại sau mỗi gói hay sau một số gói

 Đường hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nốivào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LANkhông được hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truycập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợđường hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng đã cung cấpcác máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống nhưIPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúcPPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điềukhiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site, máychủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia Khi đó máy chủ PPTPtrở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại, do đó một

Hình 2.9: Đường hầm kết nối LAN-LAN

Do đường hầm PPTP có thể được đón gói bởi bất kỳ giao thức mạng nàođược hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tàinguyên tại site kia dựa trên quyền truy cập của họ

1.4.2.2 Sử dụng PTPP

Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và PPTP client

Hình 2.10 : Các thành phần cơ bản của 1 VPN sử dụng PPTP

Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm ngườicủa công ty quản lý nhưng NAS phải do ISP hỗ trợ

 Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nốicủa đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng.Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địachỉ mạng của máy tính đích.

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vàoInternet , mạng riêng hay cả hai

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu nhưmáy chủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổngTCP/IP (1723) được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu hìnhcổng này có thể làm cho tường lửa dễ bị tấn công hơn Nếu như tường lửa được cấuhình để lọc gói thì phải thiét lập nó cho phép GRE đi qua

 Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hayphần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu như các thiết bịcủa ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn

có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP,sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở client

1.4.3 Giao thức đường hầm lớp 2 – L2TP

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP vàL2F- chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng.Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tạiIETF

Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng góiriêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F và PPTP

là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trườngvật lý khác

L2TP mang đặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêngmột giao thức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TP truyềnthông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM Mặc dù

thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đườnghầm Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP.

Hình 2.11: Kiến trúc của L2TP

 PPP và L2TP

L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cậpmạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thựcban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc

Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấpnhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm chongười dùng đó Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPP rồitruyền lên môi trường mà ISP gán cho đường hầm đó L2TP có thể tạo nhiều đườnghầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc cho đườnghầm L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc vàchèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào?

Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vào mộtđường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cách nàycho phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳ theochất lượng dịch vụ

Hình 2.12: Các giao thức sử dụng trong một kết nối L2TP

Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báođiều khiển và thông báo dữ liệu Thông báo điều khiển có chức năng điều khiểnviệc thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm Thông báođiều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điều khiểnluồng các gói PPP trong một phiên làm việc Tuy nhiên, L2TP truyền cả hai loạithông báo này trên cùng gói dữ liệu UDP và chung trên một luồng

Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nêntrong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đường hầm làmviệc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể là Ethernet,X.25, Frame Relay, ATM, hay liên kết PPP

Tải PPP PPP

Hình 2.13: Bọc gói L2TP

L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truy cậpL2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (hay máychủ mạng L2TP _LNS ( L2TP network Server) )

 Cấu trúc gói dữ liệu L2TP

* Đóng gói dữ liệu đường hầm L2TP

Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói