Công nghệmạng riêng ảo VPN: Các giao thức đường hầm và bảo mật

Trình bày một sốvấn đềliên quan tới việc quản lý một mạng VPN. Đó là các vấn đề: quản lý bảo mật, quản lý địa chỉvà quản lý hiệu năng.

MỞ ĐẦU

Ngày nay, v ới sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là

Công ngh ệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển

kinh t ế thế giới

Các t ổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia

trong quá trình ho ạt động luôn phải trao đổi thông tin với khách hàng, đối tác,

nhân viên c ủa họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới

nh ất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh

c ủa mình trên khắp thế giới, cũng như với các đối tác và khách hàng

Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ

Vi ễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối

đó là:

- Th ứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để

k ết nối tất cả các mạng con của công ty lại với nhau Phương pháp này

r ất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận

hành, b ảo dưỡng hay mở rộng sau này

- Th ứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên

ph ương pháp này lại không đáp ứng được tính bảo mật cao

S ự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch

v ụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng

l ại có được các tính chất của một mạng cục bộ như khi sử dụng các đường

Leased-line Vì v ậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh

nghi ệp kinh tế Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn

c ầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN

V ới VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công

c ộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập

qu ốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin,

v ừa giải quyết được những khó khăn về kinh tế

V ới đề tài: ” Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm

và bảo mật ” trong Đồ án Tốt nghiệp của mình, tôi hy vọng nó có thể góp phần

tìm hi ểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN

N ội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bày các vấn đề

c ơ bản nhất của mạng VPN

Chương 1: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ đó

làm c ơ sở để phân loại các mạng VPN, đưa ra các thuận lợi và khó khăn khi sử

d ụng các loại hình VPN đó

Chương 2: Đây là chương trọng tâm giới thiệu về các giao thức, các đặc

điểm và hoạt động của các giao thức đường hầm L2F, PPTP, L2TP, và IPSec

được sử dụng trong VPN

Chương 3: Trình bày các thành phần mạng cơ bản của VPN, các vấn đề

c ần chú ý khi xây dựng VPN Phần này cũng trình bày ví dụ về thiết lập một

phiên trao đổi thông tin trong VPN để từ đó tìm hiểu về các thiết bị, thành tố để

xây d ựng mạng VPN

Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần quan trọng

trong VPN B ảo mật trong VPN bao gồm: quá trình mật mã và xác thực Trong

ch ương này sẽ giới thiệu các giải pháp, thuật toán mã hoá và xác thực trong

VPN

Chương 5: Trình bày một số vấn đề liên quan tới việc quản lý một mạng

VPN Đó là các vấn đề: quản lý bảo mật, quản lý địa chỉ và quản lý hiệu năng

Do nhi ều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những

sai sót Tác gi ả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn

đọc

Em xin chân thành c ảm ơn Ths Nguyễn Thị Thu Hằng đã tận tình hướng

d ẫn em hoàn thành đề tài

Hà n ội, ngày 24 tháng 10 năm 2005

Sinh viên: Đoàn Thanh Bình

THUẬT NGỮ VIẾT TẮT

3DES Triple Data Encryption Standard Thuật toán mật mã 3DES

ADSL Asymmetric Digital Subscriber

Line

Công nghệ truy nhập đường dây thuê bao số bất đối xứng

Interface

Giao diện chương trình ứng dụng

bộ

ARIN American Registry for Internet

Number

Tiêu chuẩn Mỹ cho địa chỉ Internet

BICC Bearer Independent Call Control

CHAP Challenge Handshake

Authentication Protocol

Giao thức xác thực yêu cầu bắt tay

DCE Data Communication Equipment Thiết bị truyền thông dữ liệu

DHCP Dynamic Host Configuration

Protocol

Giao thức cấu hình host động

DNS Domain Name System hệ thống tên miền

Protocol

Giao thức xác thực mở rộng

ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói

GVPNS Global VPN Service Dịch vụ VPN toàn cầu

ICMP Internet Control Message

Protocol

Giao thức bản tin điều khiển Internet

IETF Internet Engineering Task Force Cơ quan chuẩn Internet

IP-Sec Internet Protocol Security Giao thức an ninh Internet

ISAKMP Internet Security Asociasion and

Key Management Protocol

Giao thức quản lý khoá và kết hợp

L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2

LCP Link Control Protocol Giao thức điều khiển liên kết

MGCP Media Gateway Control Protocol Giao thức điều khiển cổng kết nối

phương tiện

MPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn

MPPE Microsoft Point-to-Point

Encryption

Mã hoá điểm-điểm của Microsoft

NDIS Network Driver Interface

Specification

Xác định giao diện mạng

PAP Passwork Authentication Protocol Giao thức xác thực mật khẩu

PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới

điểm

RAS Remote Access Service Dịch vụ truy nhập từ xa

RADIUS Remote Authentication Dial-In

SONET Synchronous Optical Network Mạng quang đồng bộ

TCP Transmission Control Protocol Giao thức điều khiển đường truyền

CHƯƠNG 1

TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là

VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở

nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh

mẽ của Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là:

mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure

VPN)

Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà

cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường

dây trong một mạng cục bộ Tính riêng tư của trusted VPN thể hiện ở chỗ nhà

cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó

Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để

duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng Các mạng riêng

xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật

dữ liệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công

cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó

được giải mã dữ liệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền

trong một đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn

công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng

đọc được vì dữ liệu đã được mật mã

Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử

dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các

site của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa

trên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa

trên Internet

1.1 Định nghĩa

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và

bảo mật giống như mạng cục bộ

Mạng riêng

(LAN)

Mạng riêng(LAN)

Hình 1.1: Mô hình VPN Các thuật ngữ dùng trong VPN như sau:

Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một

kết nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng

với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm

của mạng Internet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất

chấp cơ sở hạ tầng mạng giữa những điểm đầu cuối

Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị

truy cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi

vì giao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức

độ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay

phần cứng VPN

Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng,

dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có

để tạo nền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã

từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn

chế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn

Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng

mạng IP đã làm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các

kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty

và đối tác của công ty đang sử dụng chung một mạng công cộng

1.2 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt

nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách

có hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện

rộng (WAN) Trước kia,hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN)

trước kia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để

thực hiện việc thông tin với nhau

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch

vụ dây chuyên dùng cho các khách hang lớn Colisee có thể cung cấp phương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên

riêng là mạng được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra

Ibercom

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho

một số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN;

Telstra của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái Bình Dương

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công

ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập

Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc

tế, trong đó có dịch vụ VPN

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert,

cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn

cầu (GVPNS)

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn

thông Pháp (French Telecom) kết thành liên minh Global One

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN,

Công nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn

Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các

dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

1.3 Chức năng và ưu điểm của VPN

1.3.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),

tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

a) Tính xác thực :Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với

người mình mong muốn chứ không phải là một người khác

b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c) Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm

như vậy, không một ai có thể truy nhập thông tin mà không được phép

Thậm chí nếu có lấy được thì cũng không đọc được

1.3.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng

VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa,

người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí

triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm

chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây

cho mạng WAN riêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao

gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở

rộng (scalability) và một số ưu điểm khác

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi

phí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu

nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị

mạng đường trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối

LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền

thống Còn đối với việc truy cập từ xa giảm từ 60 tới 80%

Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng

đường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN

Bảng 1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng đơn so với

Internet VPN (2002) Thành phố Khoảng cách

(dặm) Chi phí cho T1 Internet VPN Chi phí cho

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai

thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử

dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể

được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung

cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết

nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),

bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng

công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh

động Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty

bằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ

bỏ khi có nhu cầu

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu

băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP

của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về

nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp

dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ

trợ kỹ thuật đối với người sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng

quay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so

với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các

thiết bị đầu cuối và các máy chủ truy cập từ xa Một doanh nghiệp có thể thiết

lập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, với

phần còn lại của kết nối được thực hiện bởi ISP Bộ phận T1 có thể làm việc

thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch

nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu

lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet

cùng một lúc

f) Đáp ứng các nhu cầu thương mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để

đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản

phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm

là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng,

tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại

của sản phẩm

1.4 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ

bản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà

cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.4.1 Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời

điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy

nhập vào mạng của công ty Kiểu VPN truy nhập từ xa là kiểu VPN điển hình

nhất Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi

nào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông

qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn

duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di

động, những người sử dụng di động, những chi nhánh và những bạn hàng của

công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công

cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công

nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính

của người sử dụng

POP

DSL cable

nhập từ xa truyền thống như:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi

vì quá trình kết nối từ xa được các ISP thực hiện

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối

khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng

Internet

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động

ở tốc độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi

vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những

nhược điểm cố hữu đi cùng như:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân

phát không đến nơi hoặc mất gói

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể

1.4.2 Mạng VPN cục bộ

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm

khác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi

nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo

mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn

dữ liệu được phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí

thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình

như là một VPN Site- to- Site

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện

mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,

nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng

đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch

tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi

cùng như:

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet

– cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và

mức độ chất lượng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với

yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức

lớn trong môi trường Internet

1.4.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng

VPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở

rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng

cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng,

các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN

này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN

Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự

truy cập mạng được công nhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền

thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt

động

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có

nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp

với các nhu cầu của mỗi công ty hơn

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì,

nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm

được chi phí vận hành của toàn mạng

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn

những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công

cộng vẫn tồn tại

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu

truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong

môi trường Internet

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

CHƯƠNG 2

CÁC GIAO THỨC ĐƯỜNG HẦM VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và

an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một

giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể

cả Trailer) tương ứng để truyền qua Internet Giao thức đường hầm là cốt lõi của

giải pháp VPN Có 4 giao thức đường hầm được sử dụng trong VPN đó là:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling

protocol)

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)

2.1 Giao thức định hướng lớp 2 - L2F

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát

triển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp

cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua

cơ sở hạ tầng công cộng như Internet L2F là giao thức được phát triển sớm

nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập

vào một mạng công ty thông qua thiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên

kết dữ liệu

2.1.1 Cấu trúc gói của L2F

F K P S Reserved C Version Protocol Sequence

Key Data Ckecksums

Hình 2.1: Khuôn dạng gói của L2F Trong đó:

F: Trường “Offset” có mặt nếu bit này được thiết lập

K: Trường “Key” có mặt nếu bít này được thiết lập

P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập

S: Trường “Sequence” có mặt nếu bít này được thiết lập

Reserved: luôn được đặt là: 00000000

Version : Phiên bản chính của L2F dùng để tạo gói 3 bit này luôn là 111

Protocol : Xác định giao thức đóng gói L2F

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1

Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel)

Client ID: Giúp tách đường hầm tại những điểm cuối

Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum

Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu

Trường này có khi bít F=1

Key: Trường này được trình bày nếu bit K được thiết lập Đây là một phần của

quá trình nhận thực

Checksum: Kiểm tra tổng của gói Trường checksum có nếu bít C=1

2.1.2 Ưu nhược điểm của L2F

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được cung cấp bởi nhiều nhà cung cấp

Nhược điểm:

- Không có mã hoá

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

2.1.3 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,

truyền xuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động như NAS

Tunne:l Định hướng đường đi giữa NAS và home gateway Một đường

hầm gồm một số kết nối

Home gateway: Ngang hàng với NAS

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI,

một kết nối L2F được xem như là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích

Hình 2.2: Mô hình đặc trưng L2F

2.1.4 Hoạt động của L2F

Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và

phiên làm việc Ta xem xét ví dụ minh hoạ hoạt động của L2F:

1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết

nối PPP tới ISP

2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên

kết LCP (Link Control Protocol)

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name)

hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu

cầu dịch vụ L2F

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa

chỉ của gateway đích (home gateway)

5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng

chưa có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhận

thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba

6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo

dài phiên PPP từ người sử dụng ở xa tới home gateway Kết nối này được

thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin

nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và

NAS Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và

nhận thực lại người sử dụng

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và

đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong

đường hầm

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được

hướng tới mạng công ty

2.1.5 Quản lý L2F

Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và

những phiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:

- Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên

mới

- Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm

tunnel, những phiên

- Có khả năng kiểm tra tổng UDP

- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của

những đường hầm và những kết nối

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và

phiên tới điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các

phiên trong đường hầm đó Ví dụ, Sự kết thúc ở điểm đích đóng tất cả các

đường hầm và phiên tới điểm đích đó

L2F cung cấp các lệnh đểthực hiện các chức năng Ví dụ

L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung L2F sử

dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum

L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết lập trong

dải 10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200

2.2 Giao thức đường hầm điểm-điểm PPTP

Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một

nhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty:

Ascend comm., Microsoft, ECI Telematicsunication và US Robotic Ý tưởng cơ

sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi

dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa

(client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch

vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả

năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site

đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing

Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho

phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX,

NETBEUI

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực

PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương

thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point-

to- Point Encryption) để sử dụng cho PPTP

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết

dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc

truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao

thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

2.2.1 Kiến trúc của PPTP

Hình 2.3: Kiến trúc của PPTP

a) PPP và PPTP

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng

TCP/IP rất phổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong mô hình

OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác

nhau để truyền nối tiếp Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức

điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và

kiểm tra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol)

cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối

điểm-điểm từ máy gửi đến máy nhận Để viêc truyền thông có thể diễn ra thì mỗi PPP

phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu

Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác

thực Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung

cấp bởi các ISP Việc xác thực được thực hiện bởi PAP hay CHAP

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và

không có bảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phương

thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAP

chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố

(challenge value) duy nhất và không thể đoán trước được CHAP phát ra giá trị

thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể

giới hạn số lần bị đặt vào tình thế bị tấn công

PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng

và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP

để đóng các gói truyền trong đường hầm

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại

gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều

khiển và kênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh và

kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao

thức IP Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng

để trưyền thông báo điều khiển

Các gói dữ liệu là dữ liêu thông thường của người dùng Các gói điều khiển

được gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu

giữa client PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi

các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa

client PPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng

từ xa hay nằm ở tại máy chủ của ISP

Hình 2.4:Các giao thức dùng trong một kết nối PPTP Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa

client và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu

được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập,

ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường

truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức

nào? Ethernet, Frame Relay hay kết nối PPP?

Hình 2.5 : bọc gói PPTP/ GRE PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu

truyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

b) Cấu trúc gói của PPTP

*Đóng gói dữ liệu đường hầm PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói

khung PPP,đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Cấu trúc gói dữ liệu đã được đóng gói

Hình 2.6: Cấu trúc gói dữ liệu trong đường hầm PPTP

+ Đóng gói khung PPP

Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản

sửa đổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác

nhận 32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường

nhận dạng cuộc gọi 16 bit Trường nhận dạng cuộc goi Call ID được thiết

lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi

qua mạng IP

+ Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói

với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và

PPTP server

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô

hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và

phần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửi

qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet

Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ

được đóng gói với phần Header và Trailer của giao thức PPP

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết

- Xử lý phần payload để nhận hoặc chuyển tiếp

* Sơ đồ đóng gói PPTP

Hình 2.7: Sơ đồ đóng gói PPTP Quá trình:

- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao

diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN)

sử dụng NDIS (Network Driver Interface specification)

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và

cung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trường mã số

giao thức PPP (PPP protocol ID field), không có các trường flag và FCS

(frame check sequence) Giả định trưòng địa chỉ và điều khiển đã được thoả

thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol)

trong quá trình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với

phần mào đầu GRE Trong GRE header, trường Call ID đựoc đặt giá trị

thích hợp để xác định đường hầm

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi

gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử

dụng NDIS

- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

phần cứng quay số

c) Đường hầm

PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác

nhau Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy

tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải

hỗ trợ PPTP) Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt

buộc

Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sử

dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm

bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi

giao thức TCP/IP bình thường Đường hầm tự nguyện thường được sư dụng để

cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông

qua Internet

Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong

suốt đối với người dùng Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ

truy cập từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều

phải thông qua RAS

Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể

truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với

đường hầm tự nguyện Nếu vì tính bảo mật mà không cho người dùng truy cập

Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet

công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ

cho truy cập và được các site trong VPN mà thôi)

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều

điểm kết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa

phiên làm việc

Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người

dùng nằm ngoài đường hầm nên dễ bị tấn công

Đường hầm bắt buộc

Hình 2.8 : đường hầm bắt buộc và đường hầm tự nguyện

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó

là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người

dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ

bài (token) hay thẻ thông minh (smart card)

d) Xác thực người dùng quay số từ xa (RADIUS)

RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu

client/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ

xa của các người dùng trong các phiên làm việc RADIUS client/server sử dụng

máy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngoài chức năng

của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client

NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủ

RADIUS Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ

chối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng RADIUS

tạo một cơ sở dữ liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải

modem đa chủng loại Trong RADIUS thông tin người dùng được lưu trong

máy chủ RADIUS

RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng

cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay

đổi dữ liệu người dùng Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người

dùng từ máy chủ RADIUS Để RADIUS có thể điều khiển việc thiết lập một

đường hầm, nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính này

bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của

máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng

Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và

cấp quyền:

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm

- Xác thực tại hai đầu của đường hầm

Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều

khiển tiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, nó

phụ thuộc cách RADIUS trả lời xác thực Tuỳ chọn thứ ba có độ tin cậy cao và

làm việc tốt nếu như sử dụng máy chủ Proxy RADIUS

e) Xác thực và mã hoá

Các client PPTP được xác thực cũng tương tự như các client RAS được xác

thực từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, CHAP

MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người

dùng PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu

xa và tại máy cục bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng

thì mật khẩu sẽ thay đổi Với PAP và CHAP không thể gán các đặc quyền truy

cập mạng khác nhau cho những người dùng khác nhau tại cùng một máy tính ở

xa Bởi vì khi cấp quyền đã được gán cho một máy tính thì mọi người dùng tại

máy tính đó đều có đặc quyền truy cập mạng như nhau

Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft –

MPPE (Microsoft point-to-Point Encryption) Phương thức này dựa trên chuẩn

RSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được

sử dụng bởi PPP để thoả hiệp việc mã hoá MS-CHAP được dùng để kiểm tra

tính hợp lý người dùng đầu cuối tại tên miền Windows NT

Máy chủ Computer

Computer Computer

Mạng riêng

được bảo vệ

LAN

Máy chủ truy cập mạng

Client

IP, IPX, NETBEUI

IP, IPX, NETBEUI IP, IPX, NETBEUI

PPP

GRE

PPP GRE PPP

Hình 2.9: Mã hoá gói trong PPTP Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ

có thể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPP

tại client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo

mật từ trạm làm việc đến máy chủ PPTP Việc thay đổi khoá phiên có thể được

thoả thuận lại sau mỗi gói hay sau một số gói

f) Đường hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối

vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối

LAN-LAN không được hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng

và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì

mới hỗ trợ đường hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng

đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối

LAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như

IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúc

PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều

khiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site,

máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia Khi đó máy

chủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại,

do đó một đường hầm tự nguyện được tạo ra giữa hai site

Hình 2.10 : Đường hầm kết nối LAN-LAN

Do đường hầm PPTP có thể được đón gói bởi bất kỳ giao thức mạng nào

được hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài

nguyên tại site kia dựa trên quyền truy cập của họ Điều này có nghĩa là cần phải

có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào site

kia Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết

lập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào

tài nguyên của các site

2.2.2 Sử dụng PPTP

Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng

dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP,

và PPTP client

Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP

Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người

của công ty quản lý nhưng NAS phải do ISP hỗ trợ

a) Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết

nối của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN

riêng Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để

được địa chỉ mạng của máy tính đích

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP

Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào

Internet , mạng riêng hay cả hai

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như

máy chủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổng

TCP/IP (1723) được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu

hình cổng này có thể làm cho tường lửa dễ bị tấn công hơn Nếu như tường lửa

được cấu hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng

tương tự máy chủ PPTP được gọi là chuyển mạch đường hầm Mục đích của

chuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng

khác, trải rông đường hầm từ mạng của ISP đến mạng riêng Chuển mạch đường

hầm có thể được sử dụng tại tường lửa làm tăng khả năng quản lý truy cập từ xa

vào tài nguyên của mạng nội bộ, nó có thể kiểm tra các gói đến và về, giao thức

của các khung PPP hoặc tên của người dùng từ xa

b) Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay

phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu như các thiết

bị của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự)

vẫn có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng

PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở

client

Client PPTP đã có sẵn ở Win NT, Win 9x và các hệ điều hành sau này Khi

chọn client PPTP cần phẩi so sánh các chức năng của nó với máy chủ PPTP đã

có Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu

thiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS

c) Máy chủ truy cập mạng RAS

Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa

(Remote Access Server) hay bộ tập trung truy cập (Access Concentrator) NAS

cung cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính

cước và có khả năng chịu đựng lỗi tại ISP POP NAS của ISP được thiết kế cho

phép một số lượng lớn người dùng có thể quay số truy cập vào cùng một lúc

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép

PPTP, để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows,

Macintosh Trong truờng hợp này, máy chủ ISP đóng vai trò như một client

PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một

điểm cuối của đường hầm, điểm kết thúc còn lại là máy chủ tại đầu mạng riêng

2.2.3 Khả năng áp dụng trong thực tế của PPTP

PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế

hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá PPTP

thích hợp cho quay số truy cập với số lượng người dung giới hạn hơn là cho

VPN kết nối LAN–LAN Một vấn đề của PPTP là xử lý xác thực quyền người

dùng thông qua Windows NT hay thông qua RADIUS Máy chủ PPTP cũng qua

tải với một số lượng người dùng quay số truy cập hay một lưu lượng lớn dữ liệu

trưyền qua, mà điều này là một yêu cầu của kết nối LAN – LAN Khi sử dụng

VPN PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ

cho ISP Tính bảo mật của PPTP không mạnh bằng IPSec Tuy nhiên, quản ý

bảo mật trong PPTP lại đơn giản hơn

2.3 Giao thức đường hầm lớp 2 - L2TP

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và

L2F- chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởi

xướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký

chuẩn hoá tại IETF

Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng

gói riêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F và

PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở

môi trường vật lý khác Bởi vì GRE không sử dụng như giao thức đóng gói, nên

L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác

Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực Có hai mức

xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở

cổng nối của mạng riêng sau khi kết nối được thiết lập

L2TP mang dặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêng

một giao thức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TP

truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay,

ATM Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng

IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm

giao thức đường hầm Một mạng ATM hay frame Relay có thể áp dụng cho

đường hầm L2TP

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các

giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc

NETBEUI Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP

hay RADIUS

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây

dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows

nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và

Windows 98

2.3.1 Dạng thức của L2TP

Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm,

đường hầm, hệ thống xác thực và mã hoá L2TP có thể sử dụng quản lý khoá để

tăng thêm độ bảo mật Kiến trúc của L2TP như hình vẽ:

Hình 2.12: kiến trúc của L2TP

a) PPP và L2TP

L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập

mạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác

thực ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc

Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấp

nhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm cho

người dùng đó Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPP

rồi truyền lên môi trường mà ISP gán cho đường hầm đó L2TP có thể tạo nhiều

đường hầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc

cho đường hầm L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên

làm việc và chèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm

việc nào?

Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vào

một đường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cách

này cho phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳ

theo chất lượng dịch vụ

Hình 2.13: các giao thức sử dụng trong một kết nối L2TP

Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo

điều khiển và thông báo dữ liệu Thông báo điều khiển có chức năng điều khiển

việc thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm Thông báo

điều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điều

khiển luồng các gói PPP trong một phiên làm việc Tuy nhiên, L2TP truyền cả

hai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng

Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI

nên trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đường

hầm làm việc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể là

Ethernet, X.25, Frame Relay, ATM, hay liên kết PPP

Hình 2.14: Bọc gói L2TPL2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truy

cập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (hay

máy chủ mạng L2TP _LNS ( L2TP network Server) )

b) Cấu trúc gói dữ liệu L2TP

*Đóng gói dữ liệu đường hầm L2TP

Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói

Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec

Hình 2.15: Cấu trúc gói dữ liệu trong đường hầm L2TP + Đóng gói L2TP

phần tải PPP ban đầu được đóng gói với một PPP header và một L2TP header

+ Đóng gói UDP

Gói L2TP sau đó được đóng gói với một UDP header, các địa chỉ nguồn và

đích được đặt bằng 1701

+ Đóng gói IPSec

Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với ESP

IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer

+ Đóng gói IP

Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của VPN

client và VPN server

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ

liệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailer

tương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra

Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì IPdatagram

này sẽ được đóng gói với Ethernet header và Ethernet Trailer Khi các IP

datagram được gửi trên đường truyền WAN điểm-tới-điểm (chẳng hạn đường

dây điện thoại hay ISDN, ) thì IPdatagram được đóng gói với PPP header và

PPP trailer

* Xử lý dữ liệu đường hầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay

L2TP server sẽ thực hiện các bước sau:

- Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu

- Xử lý và loại bỏ IP header

- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP

header

- Dùng IPSec ESP header để giải mã phần gói đã mật mã

- Xử lý UDP header và gửi gói L2TP tới lớp L2TP

- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đường

hầm L2TP cụ thể

- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao

thức để xử lý

* Sơ đồ đóng gói L2TP trên nền IPSec

Sơ đồ đóng gói L2TP qua kiến trúc mạng từ một VPN client thông qua một

kết nối VPN truy cập từ xa sử dụng một modem tương tự như hình vẽ:

Hình 2.16: Sơ đồ đóng gói L2TP Các bước của quá trình:

- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao

diện ảo đại diện cho kết nối VPN sử dụng NDIS bằng giao thức thích hợp

- NDIS đưa Packet tới NDISWAN, tại đây có thể nén và cung cấp PPP

header chỉ bao gồm trường PPP protocol ID Các trường Flag hay FCS

không được thêm vào

- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP frame

với một L2TP header Trong L2TP header, Tunnel ID và Call ID được thiết

lập các giá trị thích hợp để xác định đường hầm

- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửi

gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng 1701 với các

địa chỉ IP của VPN client và VPN server

- Giao thức TCP/IP xây dựng một gói IP với các IP header và UDP header

thích hợp Sau đó IPSec sẽ phân tích gói IP và so sánh với ác chính sách

IPSec hiện thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói

và mật mã phần bản tin UDP của gói tin IP sử dụng các ESP header và

ESP trailer phù hợp IP header ban đầu với Protocol field được dặt là 50

được thêm vào phía trước của gói ESP Giao thức TCP/IP sau đó gửi gói

tin thu được tới giao diện đại diện cho kết nối quay số tới ISP địa phương

sử dụng NDIS

- NDIS gửi gói tới NDISWAN

- NDISWAN cung cấp PPP header, PPP trailer và gửi khung PPP thu đựoc

tới cổng WAN thích hợp đại diện cho phần cứng dial-up

c) Đường hầm L2TP

L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo người

dùng sử dụng là client PPP hay client L2TP mà sử dụng đường hầm là tự

nguyện hay bắt buộc

Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục

đích cụ thể Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời

mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất

kỳ trên Internet theo giao thức TCP/IP bình thường Điểm kết thúc của đường

hầm tự nguyện nằm ở máy tính người dùng Đường hầm tự nguyện thường được

sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet gửi

thông qua Internet

Máy chủ mạng L2TP

Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Đường hầm bắt buộc (L2TP)

Hình 2.17: Các đường hầm tự nguyện và bắt buộc

Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ

phía nguời dùng và không cho phép người dùng chọn lựa Do đường hầm bắt

buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người

dùng đầu cuối Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC của

ISP và nên kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tự

nguyện Nếu như vì tính bảo mật mà không cho người dùng truy cập vào

Internet công cộng nhưng vẫn cho phép dùng Internet để truy nhập VPN

Một ưu điểm của đường hầm bắt buộc là một đường hầm có thể tải nhiều

kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm

việc Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người

dùng nằm ngoài đường hầm nên đẽ bị tấn công

Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho

người dùng, nhưng điều này gây lãng phí tài nguyên mạng Có cách khác cho

phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động

Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với

máy chủ RADIUS

Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần

phải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức

đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường

truyền dẫn trong đường hầm được sử dụng Sử dụng máy chủ RADIUS để thiết

lập đường hầm bắt buộc có một số ưu điểm như:

- Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực

người dùng

- Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác

d) Xác thực và mã hóa trong L2TP

Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giai

đoạn 1 diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ

của mạng riêng

Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên

người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường

hầm đến máy chủ mạng riêng Khi đường hầm được thiết lập, LAC của ISP chỉ

định một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong

đường hầm và khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ

của mạng riêng Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2