khái quát về lộ trình phát triển của công nghệ di động qua các thế hệ 1G, 2G và 3G

. Công nghệ tương tự - 0G và 1G

MỤC LỤC

MỤC LỤC i

Danh mục bảng biểu v

Danh sách hình vẽ vi

Ký hiệu viết tắt ix

LỜI NÓI ĐẦU 1

Chương 1 BỘ GIAO THỨC TCP/IP 3

1.1 Khái niệm mạng Internet 3

1.2 Mô hình phân lớp bộ giao thức TCP/IP 4

1.3 Các giao thức trong mô hình TCP/IP 5

1.3.1 Giao thức Internet 5

1.3.1.1 Giới thiệu chung 5

1.3.1.2 Cấu trúc IPv4 6

1.3.1.3 Phân mảnh IP và hợp nhất dữ liệu 8

1.3.1.4 Địa chỉ và định tuyến IP 9

1.3.1.5 Cấu trúc gói tin IPv6 9

1.3.2 Giao thức lớp vận chuyển 11

1.3.2.1 Giao thức UDP 11

1.3.2.2 Giao thức TCP 12

1.4 Tổng kết 17

Chương 2 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 18

2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN 18

2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet 18

2.1.2 Khả năng ứng dụng của IP-VPN 18

2.2 Các khối cơ bản trong mạng IP-VPN 19

2.2.1 Điều khiển truy nhập 19

2.2.2 Nhận thực 20

2.2.3 An ninh 21

2.2.4 Truyền Tunnel nền tảng IP-VPN 21

2.2.5 Các thỏa thuận mức dịch vụ 23

2.3 Phân loại mạng riêng ảo theo kiến trúc 23

2.3.1 IP-VPN truy nhập từ xa 23

2.3.2 Site-to-Site IP-VPN 25

2.3.2.1 Intranet IP-VPN 25

2.3.2.2 Extranet IP-VPN 26

2.4 Các giao thức đường ngầm trong IP-VPN 27

2.4.1 PPTP (Point - to - Point Tunneling Protocol) 28

2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 28

2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP 29

2.4.1.3 Xử lí dữ liệu đường ngầm PPTP 30

2.4.1.4 Sơ đồ đóng gói 30

2.4.2 L2TP (Layer Two Tunneling Protocol) 31

2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP 32

2.4.2.2 Đường ngầm dữ liệu L2TP 32

2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 33

2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec 33

2.5 Tổng kết 35

Chương 3 GIAO THỨC IPSEC CHO IP-VPN 36

3.1 Gới thiệu 36

3.1.1 Khái niệm về IPSec 36

3.1.2 Các chuẩn tham chiếu có liên quan 37

3.2 Đóng gói thông tin của IPSec 39

3.2.1 Các kiểu sử dụng 39

3.2.1.1 Kiểu Transport 39

3.1.1.2 Kiểu Tunnel 39

3.2.2 Giao thức tiêu đề xác thực AH 40

3.2.2.1 Giới thiệu 40

3.2.2.2 Cấu trúc gói tin AH 41

3.2.2.3 Quá trình xử lý AH 42

3.2.3 Giao thức đóng gói an toàn tải tin ESP 45

3.2.3.1 Giới thiệu 45

3.2.3.2 Cấu trúc gói tin ESP 46

3.2.3.3 Quá trình xử lý ESP 48

3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 53

3.3.1 Kết hợp an ninh SA 53

3.3.1.1 Định nghĩa và mục tiêu 53

3.3.1.2 Kết hợp các SA 54

3.3.1.3 Cơ sở dữ liệu SA 55

3.3.2 Giao thức trao đổi khóa IKE 56

3.3.2.1 Bước thứ nhất 57

3.3.2.2 Bước thứ hai 58

3.3.2.3 Bước thứ ba 60

3.3.2.4 Bước thứ tư 62

3.3.2.5 Kết thúc đường ngầm 62

3.4 Những giao thức đang được ứng dụng cho xử lý IPSec 62

3.4.1 Mật mã bản tin 62

3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 62

3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 63

3.4.2 Toàn vẹn bản tin 63

3.4.2.1 Mã nhận thực bản tin băm HMAC 64

3.4.2.2 Thuật toán MD5 64

3.4.2.3 Thuật toán băm an toàn SHA 64

3.4.3 Nhận thực các bên 65

3.4.3.1 Khóa chia sẻ trước 65

3.4.3.2 Chữ ký số RSA 65

3.4.3.3 RSA mật mã nonces 65

3.4.4 Quản lí khóa 66

3.4.4.1 Giao thức Diffie-Hellman 66

3.4.4.2 Quyền chứng nhận CA 67

3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 68

3.6 Tổng kết 69

Chương 4 AN TOÀN DỮ LIỆU TRONG IP-VPN 70

4.1 Giới thiệu 70

4.2 Mật mã 71

4.2.1 Khái niệm mật mã 71

4.2.2 Các hệ thống mật mã khóa đối xứng 72

4.2.2.1 Các chế độ làm việc ECB, CBC 72

4.2.2.2 Giải thuật DES (Data Encryption Standard) 74

4.2.2.3 Giới thiệu AES (Advanced Encryption Standard) 76

4.2.2.4Thuật toán mật mã luồng (stream cipher) 77

4.2.3 Hệ thống mật mã khóa công khai 77

4.2.3.1 Giới thiệu và lý thuyết về mã khóa công khai 77

4.2.3.2 Hệ thống mật mã khóa công khai RSA 79

4.2.4 Thuật toán trao đổi khóa Diffie-Hellman 81

4.3 Xác thực 82

4.3.1 Xác thực tính toàn vẹn của dữ liệu 82

4.3.1.1 Giản lược thông điệp MD dựa trên các hàm băm một chiều 82

4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa 85

4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai 87

4.3.2 Xác thực nguồn gốc dữ liệu 88

4.3.2.1 Các phương thức xác thực 88

4.3.2.2 Các chứng thực số (digital certificates) 91

Chương 5 THỰC HIỆN IP-VPN 94

5.1 Giới thiệu 94

5.2 Các mô hình thực hiện IP-VPN 95

5.2.1 Access VPN 96

5.2.1.1 Kiến trúc khởi tạo từ máy khách 96

5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 97

5.2.2 Intranet IP-VPN và Extranet IP-VPN 97

5.2.3 Một số sản phẩm thực hiện VPN 98

5.3 Ví dụ về thực hiện IP-VPN 98

5.3.1 Kết nối Client-to-LAN 99

5.3.2 Kết nối LAN-to-LAN 101

KẾT LUẬN 102

Tài liệu tham khảo 103

Các website tham khảo 104

Danh mục bảng biểu

Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec -38

Bảng 3.2: Kết quả khi kết hợp lệnh permit và deny -58

Bảng 3.3: Tổng kết chương các giao thức của IPSec -69

Bảng 4.1: Một số giao thức và thuật toán ứng dụng thông dụng -70

Bảng 4.2: Thời gian bẻ khóa trong giải thuật RSSA/DSS và ECC. -79

Bảng 4.3: Tóm tắt giải thuật RSA và độ phức tạp -80

Bảng 4.4: Các bước thực hiện để trao đổi khóa Diffie Hellman -81

Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen -98

Danh sách hình vẽ

Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP 4

Hình 1.2: Định tuyến khi sử dụng IP Datagram 5

Hình 1 3: Giao thức kết nối vô hướng 6

Hình 1.4: Cấu trúc gói tin IPv4 6

Hình 1.5: Hiện tượng phân mảnh trong IP 8

Hình 1.6: Các lớp địa chỉ IPv4 9

Hình 1.7: Cấu trúc tiêu đề IPv6 10

Hình 1.8: Cấu trúc tiêu đề UDP 12

Hình 1.9: Cấu trúc tiêu đề TCP 12

Hình 1.10: Thiết lập kết nối theo giao thức TCP 14

Hình 1.11: Thủ tục đóng kết nối TCP 15

Hình 1.12: Cơ chế cửa sổ trượt với kích thước cố định 17

Hình 2.1: Truyền Tunnel trong nối mạng riêng ảo 21

Hình 2.2: Che đậy địa chỉ IP riêng bằng truyền Tunnel 22

Hình 2.3: IP-VPN truy nhập từ xa 25

Hình 2.4: Intranet IP-VPN 26

Hình 2.5: Extranet IP-VPN 26

Hình 2.6: Gói dữ liệu của kết nối điều khiển PPTP 29

Hình 2.7: Dữ liệu đường ngầm PPTP 29

Hình 2.8: Sơ đồ đóng gói PPTP 30

Hình 2.9: Bản tin điều khiển L2TP 32

Hình 2.10: Đóng bao gói tin L2TP 32

Hình 2.11: Sơ đồ đóng gói L2TP 34

Hình 3.1 Gói tin IP ở kiểu Transport 39

Hình 3.2: Gói tin IP ở kiểu Tunnel 39

Hình 3.3: Thiết bị mạng thực hiện IPSec kiểu Tunnel 40

Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram 41

Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport 43

Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport 43

Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel 44

Hình 3.8: Xử lý đóng gói ESP 46

Hình 3.9: Khuôn dạng gói ESP 46

Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 48

Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 49

Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel 49

Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau 54

Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau 55

Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau 55

Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 56

Hình 3.17: Danh sách bí mật ACL 57

Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) 59

Hình 3.19: Các tập chuyển đổi IPSec 61

Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec 68

Hình 4.1: Các khái niệm chung sử dụng trong các thuật toán mật mã 71

Hình 4.2: Chế độ chính sách mã điện tử ECB 73

Hình 4.3: Thuật toán mật mã khối ở chế độ CBC 73

Hình 4.4: Sơ đồ thuật toán DES 74

Hình 4.5: Mạng Fiestel 75

Hình 4.6: Phân phối khóa trong hệ thống mật mã khóa đối xứng 76

Hình 4.7: Mật mã luồng 77

Hình 4.8: Sơ đồ mã khóa công khai 78

Hình 4.9: Một bít thay đổi trong bản tin dẫn đến 50% các bít MD thay đổi 83

Hình 4.10: Các hàm băm thông dụng MD5, SHA 84

Hình 4.11: Cấu trúc cơ bản của MD5, SHA 84

Hình 4.12: Xác thực tính toàn vẹn dựa trên mã xác thực bản tin MAC 85

Hình 4.13: Quá trình tạo mã xác thực bản tin MAC 86

Hình 4.14: Chữ ký số 88

Hình 4.15: Giao thức hỏi đáp MAC 89

Hình 4.16: Giao thức hỏi đáp sử dụng chữ ký số 90

Hình 4.17: Mô hình tin tưởng thứ nhất (PGP Web of Trust) 91

Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs) 92

Hình 4.19: Cấu trúc chung của một chứng thực X.509 93

Hình 5.1: Ba mô hình IP-VPN 95

Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 96

Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ 97

Hình 5.4: IP-VPN khởi tạo từ routers 97

Hình 5.5: Các thành phần của kết nối Client-to-LAN 99

Hình 5.6: Đường ngầm IPSec Client-to-LAN 100

Hình 5.7: Phần mềm IPSec Client 101

Hình 5.8: Đường ngầm IPSec LAN-to-LAN 101

Ký hiệu viết tắt

Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt

AAA Authentication, Authorization

and Accounting

Nhận thực, trao quyền và thanh toán

ACL Acess Control List Danh sách điều khiển truy nhập

ADSL Asymmetric Digital Subscriber

Line

Công nghệ truy nhập đường dây thuê bao số không đối xứng

AH Authentication Header Giao thức tiêu đề xác thực

ARP Address Resolution Protocol Giao thức phân giải địa chỉ

ARPA Advanced Research Project

B-ISDN Broadband-Intergrated Service

Digital Network

Mạng số tích hợp đa dịch vụ băng rộng

CA Certificate Authority Thẩm quyền chứng nhận

CBC Cipher Block Chaining Chế độ chuỗi khối mật mã

CHAP Challenge - Handshake

Authentication Protocol

Giao thức nhận thực đòi hỏi bắt tay

CSU Channel Service Unit Đơn vị dịch vụ kênh

DCE Data communication Equipment Thiết bị truyền thông dữ liệu

DES Data Encryption Standard Thuật toán mã DES

DH Diffie-Hellman Giao thức trao đổi khóa Diffie-HellmanDLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu

DSL Digital Subscriber Line Công nghệ đường dây thuê bao sốDSLAM DSL Access Multiplex Bộ ghép kênh DSL

DTE Data Terminal Equipment Thiết bị đầu cuối số liệu

EAP Extensible Authentication Giao thức xác thực mở rộng

ProtocolECB Electronic Code Book Mode Chế độ sách mã điện tử

ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin

FCS Frame Check Sequence Chuỗi kiểm tra khung

FDDI Fiber Distributed Data Interface Giao diện dữ liệu cáp quang phân tánFPST Fast Packet Switched

Technology

Kỹ thuật chuyển mạch gói nhanh

FTP File Transfer Protocol Giao thức truyền file

GRE Generic Routing Encapsulation Đóng gói định tuyến chung

HMAC Hashed-keyed Message

Authenticaiton Code

Mã nhận thực bản tin băm

IBM International Bussiness Machine Công ty IBM

ICMP Internet Control Message

Protocol

Giao thức bản tin điều khiển Internet

ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn

IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho InternetIKE Internet Key Exchange Giao thức trao đổi khóa

IKMP Internet Key Management

Protocol

Giao thức quản lí khóa qua Internet

IN Intelligent Network Công nghệ mạng thông minh

IP Internet Protocol Giao thức lớp Internet

IPSec IP Security Protocol Giao thức an ninh Internet

ISAKMP Internet Security Association

and Key Management Protocol

Giao thức kết hợp an ninh và quản lí khóa qua Internet

ISDN Intergrated Service Digital

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2

LCP Link Control Protocol Giao thức điều khiển đường truyềnMAC Message Authentication Code Mã nhận thực bản tin

MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5

MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất

NAS Network Access Server Máy chủ truy nhập mạng

NGN Next Generation Network Mạng thế hệ kế tiếp

NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ

OSI Open System Interconnnection Kết nối hệ thống mở

OSPF Open Shortest Path First Giao thức định tuyến OSPF

PAP Password Authentication

Protocol

Giao thức nhận thực khẩu lệnh

PDU Protocol Data Unit Đơn vị dữ liệu giao thức

PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng

POP Point - Of - Presence Điểm hiển diễn

PPP Point-to-Point Protocol Giao thức điểm tới điểm

PPTP Point-to-Point Tunneling

Protocol

Giao thức đường ngầm điểm tới điểm

PSTN Public Switched Telephone

Network

Mạng chuyển mạch thoại công cộng

RADIUS Remote Authentication Dial-in

User Service

Dịch vụ nhận thực người dùng quay số

từ xaRARP Reverse Address Resolution

Protocol

Giao thức phân giải địa chỉ ngược

RAS Remote Access Service Dịch vụ truy nhập từ xa

RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF

đưa raRIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực

RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa

công cộng

SA Security Association Liên kết an ninh

SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1

SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản

SPI Security Parameter Index Chỉ số thông số an ninh

SS7 Signalling System No7 Hệ thống báo hiệu số 7

TCP Transmission Control Protocol Giao thức điều khiển truyền tải

TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường

TLS Transport Level Security An ninh mức truyền tải

UDP User Data Protocol Giao thức dữ liệu người sử dụng

VPN Virtual Private Network Mạng riêng ảo

Các ký hiệu toán học

Ký hiệu Ý nghĩa

D Thuật toán giải mã

DK Thuật toán giải mã với khóa K

E Thuật toán mật mã

EK Thuật toán mật mã với khóa K

IV Vectơ khởi tạo

Chương 1

BỘ GIAO THỨC TCP/IP 1.1 Khái niệm mạng Internet

Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứutiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nốikết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tàinguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hômnay Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP(Network Control Protocol), nhưng sau đó được thay thế bởi bộ giao thức TCP/IP(Transfer Control Protocol/ Internet Protocol) Bộ giao thức TCP/IP gồm một tập hợp cácchuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũngnhư quy ước cho đấu nối liên mạng và định tuyến cho mạng

Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụnggiao thức IP” Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có kiếntrúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn có thể kết nối vào Internet vàvẫn có thể sử dụng đầy đủ các dịch vụ Internet Internet không chỉ là một tập hợp cácmạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng được liên kếtvới nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép các máy tính liênlạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà chúng không đượcđấu nối trực tiếp tới Như vây, kỹ thuật Internet che dấu chi tiết phần cứng của mạng, vàcho phép các hệ thống máy tính trao đổi thông tin độc lập với những liên kết mạng vật lýcủa chúng

TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến:

Độc lập với kến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet, TokenRing, trong mạng cục bộ LAN cũng như mạng diện rộng WAN

 Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệđiều hành nào Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng nhưphần mềm khác nhau

 Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xácđịnh duy nhất Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉcủa máy đích cũng như địa chỉ của máy nguồn

 Khung Client - Server: TCP/IP là khung cho những ứng dụng client - servermạnh hoạt động trên mạng cục bộ và mạng diện rộng

 Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trìnhphương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều phươngthức mức ứng dụng (những giao thức thực hiện các chức năng dùng như E-mail, truyềnnhận file).

1.2 Mô hình phân lớp bộ giao thức TCP/IP

Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khácnhau, không chỉ có các giao thức TCP và IP Mỗi lớp có chức năng riêng Mô hình TCP/

IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) như sau:

Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP

Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng cụ thể

Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI Nó gồm các giaothức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng như SMTP, FTP,TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng nghìn các giao thức thuộc lớp này.Các chương trình ứng dụng giao tiếp với các giao thức ở lớp vận chuyển để truyền vànhận dữ liệu Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển

để xử lý trước khi chuyển xuống lớp Internet để tìm đường đi

 Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp(message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác Lớpvận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không bị lỗi và đúng theo trật tự

Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao thức dữliệu đồ người sử dụng UDP

 Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phầncứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc vật lý khác nhau.Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói (Hỗ trợ giao thức liên IP -

khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng LAN) Cácgiao thức của lớp này là IP, ICMP, ARP, RARP.

 Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạngvật lý (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành vàcác card giao diện mạng tương ứng trong máy tính Lớp này thực hiện nhiệm vụ điềukhiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý vớ cácp (hoặc với bất

kỳ môi trường nào được sử dụng)) Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạngvật lý Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giaothức chuẩn và độc quyền Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async,ATM, SNA…

1.3 Các giao thức trong mô hình TCP/IP

1.3.1 Giao thức Internet

1.3.1.1 Giới thiệu chung

Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích

IP sử dụng các gói tin dữ liệu đồ (datagram) Mỗi datagram có chứa địa chỉ đích và IP sửdụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp Cácgói tin của cùng một cặp người sử dụng dùng những tuyến thông tin khác nhau, việcđịnh tuyến là riêng biệt đối với từng gói tin Giao thức IP không lưu giữ trạng thái, saukhi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó nữa, vì thế màkhông có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới trình trạng lặpgói và sai thứ tự gói tin

2

Hình 1.2: Định tuyến khi sử dụng IP Datagram.

Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là không cầnthiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử lí độc lập IP khôngkiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của gói là được kiểm tra để tránhgửi nhầm địa chỉ Các gói tin có thể đi được theo nhiều hướng khác nhau để tới đích Vì

vậy dữ liệu trong IP datagram không được đảm bảo Để xử lý nhược điểm mất hoặc lặpgói IP phải dựa vào giao thức lớp cao hơn để truyền tin cậy (ví dụ TCP).

Hình 1 3: Giao thức kết nối vô hướng

1.3.1.2 Cấu trúc IPv4

Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP Tiêu đề này cóchiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng lựa chon được

sử dụng Cấu trúc gói IPv4 được mô tả như trong hình 1.4

Hình 1.4: Cấu trúc gói tin IPv4

Giải thích ý nghĩa các trường:

* Version (phiên bản): chỉ ra phiên bản của giao thức IP dùng để tạo datagram,được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống nhất về định dạnglược đồ dữ liệu Ở đây phiên bản là IPv4

DataDataData

DataDataData

Sender 2

* IP header length (độ dài tiêu đề IP): cung cấp thông tin về độ dài của tiêu đềdatagram được tính theo các từ 32 bit.

* Type of service (loại dịch vụ): trường loại phục vụ dài 8 bit gồm 2 phần, trường

ưu tiên và kiểu phục vụ Trường ưu tiên gồm 3 bit dùng để gán mức ưu tiên chodatagram, cung cấp cơ chế cho phép điều khiển các gói tin qua mạng Các bit còn lạidùng để xác định kiểu lưu lượng datagram tin khi nó chuyển qua mạng như đặc tínhthông, độ trễ và độ tin cậy Tuy nhiên, bản thân mạng Internet không đảm bảo chấtlượng dịch vụ, vì vậy trường này chỉ mạng tính yêu cầu chứ không mang tính đòi hỏi đốivới các bộ định tuyến

* Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác định chiềudài của toàn bộ IP datagram

* Identification (nhận dạng): trường nhận dạng dài 16 bit Trường này được máychủ dùng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin Các bộ định tuyến sẽchia nhỏ các datagram nếu như dơn vị truyền tin lớn nhất của gói tin (MTU-MaximumTransmission Unit) lớn hơn MTU của môi trường truyền

* Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân đoạn, bít đầutiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép phân đoạn gói tin, 2 bitgiá trị thấp được sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để xácđịnh được gói tin nhận sau quá trình phân đoạn.Fragment offset: mạng thông tin về sốlần chỉa một gói tin, kích thước của gói tin phụ thuộc vào mạng cơ sở truyền tin, tức là

đọ dài gói tin không thể vượt quá MTU của môi trường truyền

* Time - to - live (thời gian sống): được dùng để ngăn việc các gói tin lặp vòngtrên mạng Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các gói tin đi quá lâutrong mạng Bất kì gói tin nào có thời gian sống bằng 0 thì gói tin đó sẽ bị bộ định tuyếnhủy bỏ và thông báo lỗi sẽ được gửi về trạm phát gói tin

* Protocol (giao thức): trường này được dùng để xác nhận giao thức tầng kế tiếpmức cao hơn đang sử dụng dịch vụ IP dưới dạng con số

* Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được tính toántrong tất cả các trường của tiêu đề IPv4 Một gói tin khi đi qua các bộ định tuyến thì cáctrường trong phần tiêu đề có thể bị thay đổi, vì vậy trường này cần phải được tính toán

và cập nhập lại để đảm bảo độ tin cậy của thông tin định tuyến

* Source Address - Destination Address (địa chỉ nguồn và địa chỉ đích): được các

bộ định tuyến và các gateway sử dụng để định tuyến các đơn vị số liệu, luôn luôn đicùng với gói tin từ nguồn tới đích

* Option and Padding (tùy chọn và đệm): có độ dài thay đổi, dùng để thêm thôngtin chọn và chèn đầy đảm bảo số liệu bắt đầu trong phạm vi 32 bit.

1.3.1.3 Phân mảnh IP và hợp nhất dữ liệu

Giao thức IP khi thực hiện phải luôn có các thuật toán phân chia và hợp nhất dữliệu Vì mỗi datagram đều được quy định một kích thước khung cho phép tối đa trên mộtkết nối điểm - điểm, được gọi là MTU Khi đi qua các mạng khác nhau có các MTUkhác nhau, gói sẽ bị phân chia tùy theo giá trị MTU của mạng đó Việc xác định MTUcủa một mạng phụ thuộc vào các đặc điểm của mạng sao cho gói được truyền đi với tốc

Hình 1.5: Hiện tượng phân mảnh trong IP

Khi phân mảnh, hầu hết các trường sẽ được lặp lại, chỉ có một vài thay đổi và mỗimảnh sẽ lại được tiếp tục bị chia nhỏ nếu nó gặp phải mạng có MTU nhỏ hơn kích thướccủa nó Chỉ có host đích là có khả năng ghép các mảnh lại với nhau Vì mỗi mảnh được

xử lý độc lập nên có thể đi qua nhiều mạng và node khác nhau để tới đích

1.3.1.4 Địa chỉ và định tuyến IP

Địa chỉ: Mỗi trạm trong mạng đều được đặc trưng bởi một số hiệu nhất định gọi

là địa chỉ IP Địa chỉ IP được sử dụng trong lớp mạng để định tuyến các gói tin quamạng Do tổ chức và độ lớn của các mạng con trong liên mạng khác nhau, nên người tachia địa chỉ IP thành các lớp A, B, C, D, E

Hình 1.6: Các lớp địa chỉ IPv4

Định tuyến trong mạng Internet: việc định tuyến trong một hệ thống mạng

chuyển gói chỉ ra tiến trình lựa chọn tuyến đường để gửi gói dữ liệu qua hệ thống đó.Router chính là thành phần thực hiện chức năng bộ định tuyến Việc định tuyến sẽ tạonên mạng ảo bao gồm nhiều mạng vật lý cung cấp dịch vụ phát chuyển gói tin theo mộtphương thức phi kết nối Có nhiều giao thức và phần mềm khác nhau được sử dụng đểđịnh tuyến Việc chọn kênh cho một gói tin dựa trên hai tiêu chuẩn: trạng thái của cácnút và liên kết hoặc khoảng cách tới đích (chiều dài quãng đường hoặc số hop trênđường) Một khi tiêu chuẩn khoảng cách được chọn thì các tham số khác như: độ trễ,băng thông hoặc xác suất mất gói…được tính đến khi lựa chọn tuyến

1.3.1.5 Cấu trúc gói tin IPv6

Thế giới đang đối mặt với việc thiếu địa chỉ IP cho các thiết bị mạng, địa chỉ dài

32 bit không đáp ứng được sự bùng nổ của mạng Thêm nữa, IPv4 là giao thức cũ,không đáp ứng được các yêu cầu mới về bảo mật, sự linh hoạt trong định tuyến và hỗ trợlưu lượng Diễn đàn IPv6 được bắt đầu vào tháng 7-1999 bởi 50 nhà cung cấp Internethàng đầu với mục đích phát triển giao thức IPv6, nó được thiết kế bao gồm các chứcnăng và định dạng mở rộng hơn IPv4 để giải quyết vấn đề cải thiện chất lượng và bảomật của Internet IPv6 đặc biệt quan trong khi các thiết bị tính toán di động tiếp tục thamgia vào Internet trong tương lai

Do sự thay đổi bản chất của Internet và mạng thương mại mà giao thức liên mạng

IP trở nên lỗi thời Trước đây, Internet và hầu hết mạng TCP cung cấp sự hỗ trợ các ứngdụng phân tán khá đơn giản như truyền file, mail, truy nhập từ xa TELNET Song ngàynay, Internet ngày càng trở thành phương tiện, môi trường giàu tính ứng dụng, dẫn đầu làdịch vụ www (World Wide Web) Tất cả sự phát triển này đã bỏ xa khả năng đáp ứngchức năng và dịch vụ của IP Một môi trường liên mạng cần phải hỗ trợ lưu lượng thờigian thực, kế hoạch điều khiển tắc nghẽn linh hoạt và các đặc điểm bảo mật mà IPv4 hiệnkhông đáp ứng được đầy đủ Hình 1.7 minh họa cấu trúc gói tin IPv6

Source Address

00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31

Destination Address

Hình 1.7: Cấu trúc tiêu đề IPv6

* Version (phiên bản): chỉ ra phiên bản IPv6

* Traffic Class (lớp lưu lượng): có độ dài 8 bit, được dùng cho việc phân biệt lưulượng, từ đó ảnh hưởng đến khả năng ưu tiên của lưu lượng

* Flow Label (nhãn luồng): có độ dài 20 bit, cho phép nguồn chỉ ra loại thông tintrong dữ liệu để xác định cách xử lý đặc biệt từ nguồn tới đích theo thứ tự gói Ví dụ như:thoại, khung video hai loại này sẽ được ưu tiên hơn so với dữ liệu máy tính thông thườngkhi qua gateway trung chuyển trong quá trinh gói tin chuyển trên mạng

* Payload Length (độ dài tải tin): có độ dài 16 bit, xác định độ dài của phần tải tinphía sau header Giá trị mặc định tối đa là 64K octet, song có thể sử dụng lớn hơn bằngcách lập trường này bằng 0 và bao gồm trường mở rộng (sau phần header cơ bản) với giátrị thực nằm trong trường mở rộng này Thông tin mở rộng được mang trong các header

mở rộng tách biệt riêng Chúng nằm sau trường địa chỉ đích và hiện nay đã có một sốheader loại này được định nghĩa Mỗi loại được phân biệt bằng các giá trị khác nhautrong trường header

* Hop Limit (giới hạn bước nhảy): có độ dài 8 bit, được dùng để ngăn việcdatagram liên tục xoay vòng trở lại Giá trị này giảm mỗi khi datagram đi qua một router

và nếu nó có giá trị bằng 0 trước khi tới được đích chỉ định thì datagram này sẽ bị hủy

* Source Address và Destination Address (địa chỉ nguồn và địa chỉ đích): trườngđịa chỉ nguồn và địa chỉ đích trong IPv6 có độ dài 128 bit, sử dụng hệ 16 (hecxa), ngăncách bằng dấu hai chấm

Những đặc điểm của IPv6

+ Mở rộng không gian địa chỉ cho phép phân cấp và giải quyết được sự thiếu địachỉ Với IPv6 có 2128 địa chỉ (khoảng 3,4x1038 địa chỉ)

+ Hiệu quả hơn trong việc định tuyến: việc đăng ký địa chỉ IPv6 được thiết kế đểkích cỡ của bảng định tuyến đường trục không vượt quá giá trị 10.000 trong khi kích cỡbảng định tuyến của IPv4 thường lớn hơn 100.000 bản ghi

+ Tiêu đề nhỏ hơn so với các mở rộng tùy chọn, vì vậy một số trường bị loại bỏhoặc thay bằng tùy chọn nên làm giảm gánh nặng cho các quá trình xử lý và giảm chiphí cho băng thông

+ Tăng cường chất lượng dịch vụ

+ Xây dựng sẵn cơ chế truyền tin an toàn

UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin cậynhư IP UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích hay không,không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để xác địnhmức độ truyền thông tin giữa hai máy Chính vì vậy, một chương trình ứng dụng sửdụng giao thức UDP chấp nhận hoàn toàn trách nhiệm cho vấn đề xử lý độ tin cậy Cấutrúc tiêu đề của UDP được mô tả như trong hình 1.8

Source Port Destination Port

Hình 1.8: Cấu trúc tiêu đề UDP

Các trường cổng nguồn và cổng đích chứa các giá trị 16 bit dùng cho cổng giaothức UDP được sử dụng để tách các gói tin trong tiến trình đang đợi để nhận chúng.Cổng nguồn là trường dữ liệu tùy chọn Khi sử dụng, nó xác định cổng đáp xác nhận sẽđược gửi đến Nếu không được dùng, nó có giá trị zero Trường độ dài chứa độ dài củaUDP tính theo octet, bao gồm cả phần đầu UDP và dữ liệu người sử dụng Trường tổngkiểm tra là vùng tùy chọn, cho phép việc cài đặt được thực hiện với ít bước tính toán hơnkhi sử dụng UDP trên mạng cục bộ có độ tin cậy cao Tổng kiểm tra trong UDP cungcấp cách duy nhất để đảm bảo rằng dữ liệu nhận được nguyên vẹn và nên được sử dụngthường xuyên Nếu giá trị của tổng kiểm tra bằng zero thì có nghĩa là trường tổng kiểmtra chưa được tính và thường được thể hiện bằng cách cài đặt toàn bộ các bit 1, tránh vớitrường hợp sau khi chạy thuật toán tổng kiểm tra cũng có thể sinh ra kết quả là các bitđược lập bằng 0 và giá trị của trường tổng kiểm tra cũng được xem bằng zero UDP sửdụng phương pháp gán phần đàu giả vào gói tin UDP, thêm vào đó một octet có giá trịzero để có được đúng bội số của 16 bit và tính tổng cho toàn bộ Octet được nối vàophần đầu giả sẽ không được truyền đi cùng với gói tin UDP và chúng không được tínhđến trong phần độ dài

1.3.2.2 Giao thức TCP

Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền thông

dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển dòng (stream)tin cậy TCP cung cấp một mạch ảo, còn được gọi là kết nối Nó cấp khả năng đứtquảng, kiểm tra lỗi và điều khiển luồng

Hình 1.9: Cấu trúc tiêu đề TCP

Giải thích ý nghĩa các trường:

* Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị cổngTCP để xác định các chương trình ứng dụng tại hai đầu kết nối Mỗi khi TCP nhận gói

dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP Khi đọc Destination port,

nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ để gửi dữ liệu đến chương trình ứngvới số cổng đó Song với TCP, giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCPcho trước không tương ứng với một đối tượng đơn Thay vì vậy, TCP được xây dựngtrên kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo,không phải từng cổng Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25 trên máytính có địa chỉ 192.168.2.3

* Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu trongsegment của nơi gửi

* Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang đợi

để nhận kế tiếp Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo cùng chiềuvới segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu ngược lại vớisegment đến

* Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của phầnđầu segment, được tính theo bội số của 32 bit Giá trị này là cần thiết vì có phần Options

có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào

* Unused (dự phòng): được dành riêng để sử dụng trong tương lai

* Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment,diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit Ví dụ segment chỉchuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để thiết lập hoặcngắt nối

* Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm choquá trình truyền

* Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng xácđịnh, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến cho dù nónằm ở đâu trong vùng dữ liệu Sau khi xử lý xong dữ liệu khẩn cấp, TCP thông báo chochương trình ứng dụng trở về trạn thái thông thường

Đơn vị truyền giữa hai phần mềm TCP trên hai máy được gọi là segment Cácsegment được trao đổi để thiết lập kết nối, để truyền dữ liệu, để gửi các ACK (thông báoxác nhận đã nhận dữ liệu), để thông báo kích thước của cửa sổ (nhằm tối ưu hóa quátrình truyền và nhận dữ liệu) và để ngắt kết nối.

b) Thiết lập và đóng một kết nối TCP

Để thiết lập một kết nối TCP sử dụng mô hình bắt tay ba bước, trong trường hợpđơn giản có thể minh họa như sau:

Hình 1.10: Thiết lập kết nối theo giao thức TCP

Gói tin khởi đầu cho kết nối được xác định bởi bit SYN trong trường dữ liệuCODE, bản tin trả lời lập giá trị cho bit SYN và ACK để chuyển ý nghĩa đồng bộ và tiếptục tiến trình bắt tay Bản tin cuối cùng chỉ có ý nghĩa như một lời đáp và chỉ để đơngiản dùng để thông báo cho đích rằng cả hai bên cùng đồng ý một kết nối đã được thiếtlập

Tiến trình bắt tay ba bước là điều kiện cần và đủ để có sự đồng bộ chính xác giữahai đầu của kết nối, thông thường các phần mềm TCP thường sử dụng phương pháp đợithụ động để chờ kết nối, nhưng điều này không gây khó khăn trong quá trình kết nối vìcác kết nối được thiết lập từ các bên độc lập với nhau Số thực tự được chọn ngẫu nhiên

và độc lập với nhau cũng có thể được gửi kèm cùng với dữ liệu Trong những trườnghợp đó, phần mềm TCP giữ lại dữ liệu cho đên khi hoàn tất quá trình bắt tay kết nối.Một khi kết nối được thiết lập, phần mêm TCP sẽ giải phóng dữ liệu trước đây và nhanhchóng chuyển chúng tời các chương trình ứng dụng cấp cao hơn

Thủ tục đóng kết nối TCP được thực hiện theo từng chiều, (giả thiết kết nối TCP

là song công) Một khi kết nối đóng lại theo chiều nào đó, TCP sẽ từ chối nhận thêm dữliệu trong kết nối của chiều đó, trong lúc dữ liệu vẫn di chuyển theo chiều ngược lại

Nhận SYN Gửi SYN seq = y, ACK x+1

Nhận ACK

cho đến khi nơi gửi thực hiện đóng kết nối Như vây, lời đáp của kết nối vẫn đượcchuyển về nơi gửi ngay cả khi kết nối đã đóng lại, khi cả hai chiều đều đóng, phần mềmTCP tại mỗi bên xóa bỏ những ghi nhận về kết nối này.

Hình 1.11: Thủ tục đóng kết nối TCP

c) TCP là giao thức truyền tin cậy

Yêu cầu đối với TCP phát chuyển stream (luồng) là khối dữ liệu lớn và cần độ tincậy Các đặc trưng đối với dịch vụ phát chuyển tin cậy gồm:

- Định hướng stream: Khi hai chương trình ứng dụng (các tiến trình của người sửdụng) truyền những khối lượng lón dữ liệu được xem như một chuỗi bit, dữ liệu nàyđược chia thành các octet Dịch vụ chuyển phát stream chuyển dữ liệu một cách chínhxác tới máy nhận

- Kết nối kênh ảo: Thực hiện việc truyền stream cũng tương tự như thực hiện mộtcuộc gọi điện thoại Trước khi việc truyền có thể bắt đầu, cả hai chương trình ứng dụnggửi và nhận đều phải tương tác với hệ điều hành, thông báo về yêu cầu thực hiện truyềnstream Về mặt khái niệm, một chương trình ứng dụng sẽ thực hiện một cuộc gọi mà đầukia chấp nhận, tức là thiết lập kết nối - hay mạch ảo để truyền và nhận dữ liệu một cácchính xác

- Việc truyền có vùng đệm: Các chương trình ứng dụng gửi một dòng dữ liệu quamạch ảo bằng cách lặp lại việc chuyển các octet dữ liệu đến phần mềm giao thức Khitruyền dữ liệu, mỗi chương trình ứng dụng sử dụng bất kỳ kích thước đơn vị truyền nào

nó thấy thuận tiện, có thể chỉ bằng một octet Tại đầu nhận, phần mềm giao thức phátchuyển một cách tự động dữ liệu theo đúng thứ tự mà chúng được gửi đi, làm cho chúngsẵn sàng được chương trình ứng dụng nhận sử dụng ngay sau khi chúng được nhận vàkiểm tra Phần mềm giao thức được tự do phân chia dòng dữ liệu thành những gói dữliệu độc lập với đơn vị mà chương trình ứng dụng truyền đi Để làm cho việc truyền hiệu

Nhận FIN+ACK

Gửi ACK y+1

quả hơn và tối thiểu giao thông trên mạng, các cài đặt thường tập hợp cho đủ dữ liệu đểđặt vào datagram có độ lớn thích hợp trước khi truyền nó qua Internet.

Như vậy ngay cả khi chương trình ứng dụng phát sinh dòng dữ liệu có kích thước

là 1 octet mỗi lần thì việc truyền qua Internet vẫn hoàn toàn hiệu quả

Tương tự, nếu chương trình ứng dụng quyết định phát chuyển những khối dữ liệucực lớn, phần mềm giao thức có thể quyết định chia khối này thành những khối nhỏ hơnkhi truyền

Đối với những chương trình ứng dụng mà dữ liệu phải được phát chuyển ngay cảkhi nó không đầy một vùng đệm, dịch vụ stream cung cấp cơ chế đẩy cho các chươngtrình ứng dụng để bắt buộc truyền

Stream không có cấu trúc: Dịch vụ TCP stream không xác định các dòng dữ liệu

có cấu trúc Nghĩa là nó không phân biệt được cấu trúc hay nội dung phân chia bên trongcủa dòng dữ liệu Các chương trình ứng dụng sử dụng dịch vụ stream phải hiểu nội dungstream và thống nhất với nhau về định dạng stream trước khi khởi động việc kết nối

Kết nối hai chiều: Các kết nối do dịch vụ TCP cấp cho phép truyền đồng thời cảhai chiều Cách kết nối này được gọi là song công Nghĩa là từ quan điểm của một tiếntrình ứng dụng, kết nối 2 chiều bao gồm 2 dòng dữ liệu độc lập chạy ngược nhau, không

có tương tác hay va chạm Dịch vụ stream cho phép một tiến trình ứng dụng chấm dứtdòng chảy theo một chiều trong khi dữ liệu vẫn tiếp tục chảy theo chiều kia làm cho kếtnối trở thành một chiều (half duplex) Ưu điểm chính của kết nối hai chiều là phần mềmgiao thức cơ sở có thể gửi thông tin điều khiển cho một tream ngược trở về nguồn trongnhững datagram đang chuyển tải dữ liệu theo chiều ngược lại Điều này làm giảm bớtgiao thông trên mạng

Để thực hiện cung cấp tính tin cậy khi truyền tin, TCP sử dụng giao thức xácnhận gói tin (ACK) đã nhận được và truyền lại những gói tin bị mất hoặc bị lỗi Bộ đếmthời gian bên gửi sẽ được kích hoạt mỗi khi gửi gói (mỗi gói được gửi sẽ được một bộthời gian đếm từ lúc gửi) Khi qúa thời gian của bộ đếm mà chưa nhận được ACK thìmặc nhiên coi là mất gói hoặc hỏng gói và gói sẽ được gửi lại Số thứ tự gói trong tiêu

đề dùng cho bên gửi và thu xác định việc mất gói và trùng lặp dữ liệu, từ đó tái truyềnhay loại bỏ gói lặp cho phù hợp

d) Kỹ thuật cửa sổ trượt

Để thực hiện việc điều khiển luồng, TCP sử dụng kỹ thuật cửa sổ trượt Cửa sổtrượt có kích thước cố định hoặc có thể thay đổi được cho phép xác định số gói dữ liệu tối

đa được truyền trước khi nhận được một ACK từ đích xác nhận về Kỹ thuật này giảiquyết vấn đề quan trọng là tăng hiệu quả truyền dẫn và điều khiển tốc độ dòng dữ liệu

quá thời gian

Gửi lại gói 2

ACK 1ACK 2ACK 3

Hình 1.12: Cơ chế cửa sổ trượt với kích thước cố định

1.4 Tổng kết

Chương 1 trình bày sơ lược về bộ giao thức TCP/IP, giới thiệu chức năng cơ bảncủa các lớp trong mô hình phân lớp của nó Do phạm vi của đề tài nên chỉ tập trung đisâu về giao thức IP của lớp Internet và giao thức TCP/UDP của lớp giao vận

Đối với giao thức IP, ở đây chỉ trình bày các vấn đề địa chỉ, định tuyến, phânmảnh và hợp nhất dữ liệu, cấu trúc gói tin IPv4 và IPv6 Đây là những vấn đề cơ bản củagiao thức IP và nó được sử dụng trong nội dung của các chương tiếp theo của đồ án Đặcbiệt trong phần này là đi tìm hiểu sâu về cấu trúc gói tin IPv4, IPv6 và các đặc điểmkhác biệt của gói tin IPv6 so với gói tin IPv4 Chú ý quan trọng rằng ở gói tin IPv6 đã bổsung những chức năng an toàn

Qua chương này, chúng ta cũng biết được rằng Internet là mạng thông tin pháttriển rộng khắp trên phạm vi toàn cầu, trở thành môi trường truyền tin của rất nhiều ứngdụng khác nhau Xu hướng phát triển của mạng viễn thông là IP hóa Tuy nhiên mộtnhược điểm lớn nhất của Internet là nó không cung cấp tính an toàn cho dữ liệu khitruyền trên nó Cùng với sự phát triển của Internet, yêu cầu về an toàn dữ liệu được đặt

ra như là một yêu cầu tất yếu Có rất nhiều giải pháp để đảm bảo an toàn dữ liệu choInternet, trong đó IP-VPN là một trong những giải pháp hiệu quả

Chương 2 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN

2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN

2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet

Như ta đã biết, các mạng riêng thường được định nghĩa là các phương tiện nốimạng không chia sẻ để kết hợp các máy trạm (host) và các client trực thuộc cùng mộtthực thể quản lí Đặc tính của mạng riêng là hỗ trợ truyền thông giữa những người dùngđược phép, cho phép họ truy nhập tới các dịch vụ và tài nguyên liên kết mạng khácnhau Lưu lượng từ nguồn và đầu cuối trong mạng riêng chỉ di chuyển dọc theo nhữngnode có mặt trong mạng riêng Thêm vào đó là sự cách li lưu lượng Điều này có nghĩa

là lưu lượng tương ứng với mạng riêng không ảnh hưởng và không bị ảnh hưởng bởi lưulượng từ ngoài Thí dụ điển hình cho mạng riêng là mạng Intranet của một hãng IP-VPN(Internet Protocol Virtual Private Network) kết hợp 2 khái niệm: nối mạng ảo và nốimạng riêng Trong một mạng ảo, các nút mạng ở xa nhau và phân tán có thể tương tácvới nhau theo cách mà chúng thường thực hiện trong một mạng, trong đó các nút đặt tạicùng một vị trí địa lí Cấu hình topo của mạng ảo độc lập với cấu hình vật lí của cácphương tiện sử dụng nó Một người sử dụng bình thường của một mạng ảo không biết sựthiết lập mạng vật lí, sẽ chỉ có thể nhận biết được cấu hình topo ảo Cấu hình của mạng

ảo được xây dựng dựa trên sự chia sẻ của cơ sở hạ tầng mạng vật lí đã tồn tại Tuy nhiên,cấu hình mạng ảo và mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau

Chúng ta có thể đinh nghĩa IP-VPN như sau: Mạng riêng ảo trên nền Internet là

mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh Các thuộc tính của IP-VPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa các máy trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả thuận mức dịch vụ và chất lượng dịch vụ cho tất

cả các thực thể thông qua môi trường Internet.

2.1.2 Khả năng ứng dụng của IP-VPN

Mạng riêng ảo có một ý nghĩa rất lớn đối với các tổ chức hoạt động phân tán tạinhiều vùng địa lí khác nhau, nhân viên làm việc luôn di chuyển, hệ thống khách hàng vàđối tác kinh doanh rộng lớn … Nó là giải pháp thực hiện truyền thông an toàn trên nềnmạng công cộng Điều này cho phép các tổ chức có thể tiết kiệm đáng kể chi phí so vớiphương thức thuê kênh riêng Mặt khác VPN còn đảm bảo cho sự an toàn số liệu trong

quá trình truyền thông và khả năng mở rộng hoạt động rộng lớn ngay cả tại những vùngđịa lí phức tạp.

2.2 Các khối cơ bản trong mạng IP-VPN

Các khối cơ bản của VPN bao gồm:

 Điều khiển truy nhập

 Nhận thực

 An ninh

 Truyền Tunnel

 Các thoả thuận mức dịch vụ

2.2.1 Điều khiển truy nhập

Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu được địnhnghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập đến các tài nguyên nốimạng riêng cho các phía được trao quyền Các cơ chế AC hoạt động độc lập với nhậnthực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sửdụng cụ thể sau khi người này đã được nhận thực Trong thế giới IP-VPN, các thực thểvật lí như các máy trạm ở xa, tường lửa và cổng IP-VPN trong các mạng thuộc hãngtham dự vào phiên thông tin thường chịu trách nhiệm (hay ít nhất chỉ trách nhiệm) choquá trình tham dự đảm bảo trạng thái kết nối IP-VPN

Tập các quy tắc và các quy luật quy định các quyền truy nhập đến các tài nguyên

mạng được gọi là chính sách điều khiển truy nhập Chính sách truy cập đảm bảo mục

đích kinh doanh, chẳng hạn, chính sách “Cho phép truy nhập cho các thuê bao chưa vượtquá 60 giờ sử dụng” có thể thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS(Remote Authentication Dial-in User Service: Dịch vụ nhận thực người dùng quay số từxa) và sử dụng một bộ đếm thời gian mỗi khi người sử dụng truy nhập Về mặt lí thuyết

có thể sử dụng bản tin RADIUS DISCONNECT (tháo gỡ kết nối radius) để ngắt phiêncủa người sử dụng khi đã vượt quá 60 giờ, tuy nhiên đôi khi chính sách này chỉ được ápdụng tại thời gian đăng nhập, khi tin tưởng người sử dụng không thường xuyên ở trìnhtrạng đăng nhập, hay bằng cách đặt ra một giới hạn phiên như bên trên của mức độ sửdụng khi vượt quá thời gian cho phép cực đại Có thể thực hiện các chính sách tương tựbằng cách thay giới hạn thời gian bằng một giới hạn tính chỉ có thể liên quan đến tàikhoản trả trước

2.2.2 Nhận thực

Một trong các chức năng quan trọng nhất được IP-VPN hỗ trợ là nhận thực.Trong nối mạng riêng ảo, mọi thực thể liên quan đến thông tin phải có thể tự nhận dạngmình với các đối tác liên quan khác và ngược lại Nhận thực là một quá trình cho phépcác thực thể thông tin kiểm tra các nhận dạng như vậy Một trong các phương pháp nhậnthực phổ biến được sử dụng rộng rãi hiện nay là PKI (Public Key Infrasrtucture: cơ sởhạn tầng khóa công cộng) Phương pháp này được gọi là nhận thực dựa trên chứng nhận,

và các bên tham dự thông tin nhận thực lẫn nhau bằng cách trao đổi các chứng nhận củachúng Các chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộ phận thẩmquyền chứng nhận

Quá trình nhận thực có thể liên quan đến việc cung cấp thông tin nhận thực dựatrên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu lệnh/ trả lời của CHAPcho người nhận thực, hay như NAS (Network Access Server) để nó tra cứu một file địaphương hay yêu cầu server RADIUS Về mặt này, hoạt động của VPN gồm hai kiểunhận thực: nhận thực kiểu client - cổng và cổng - cổng Trong trường hợp nhận thực kiểuclient - cổng, chỉ khi nào người dùng truy nhập thành công với VPN cổng thì mới đượcphép vào IPSec Tunnel nối đến IPSec của mạng khách hàng Trường hợp thứ hai, nóthường gặp khi kết nối site - site được thiết lập hay khi các mạng quay số ảo được sửdụng và nhận thực thiết lập Tunnel L2TP được yêu cầu giữa LAC (L2TP AccessConcentrator) và LNS (L2TP Network Server)

2.2.3 An ninh

Theo định nghĩa thì VPN được xây dựng trên các phương tiện công cộng dùngchung không an toàn, vì thế tính toàn vẹn và mật mã hoá là yều cầu nhất thiết Có thểđảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật mã hoá

đã có hay cơ chế mật mã hoá kết hợp với các hệ thống phân bố khóa an ninh Tuy nhiêncần nhắc lại rằng an ninh không chỉ là mật mã hoá lưu lượng VPN Nó cũng liên quanđến các thủ tục phức tạp của nhà khai thác và các hạng cung cấp nó Và khi VPN dựatrên mạng, cần thiết lập quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hànhVPN yêu cầu thỏa thuận và triển khai cơ chế an ninh tương ứng Chẳng hạn, có thể truynhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS thông quaIPSec khi chúng truyền trên cơ sở hạ tầng mạng chung Ngoài AAA server có thể trựcthuộc một mạng không ở trong VPN để cách ly lưu lựong AAA với lưu lượng người sửdụng

2.2.4 Truyền Tunnel nền tảng IP-VPN

Truyền Tunnel là công nghệ quan trọng duy nhất để xây dựng IP-VPN TruyềnTunnel bao gồm đóng bao (Encapsulation) một số gói số liệu vào các gói khác theo mộttập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel Kết quả là nội dung đượcđóng bao trong Tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơicác gói được truyền Các vấn đề cụ thể về công nghệ Tunnel được trình bày trong cácphần sau

Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được trình bàytrong hình 2.2 sau đây Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm

Z phải qua rất nhiều chuyển mạch và router Nếu router C đóng gói đến từ máy A vàcổng Y mở bao gói, thì các nút khác mà gói này đi qua sẽ không nhận biết được góiđóng bao “bên ngoài” này và sẽ không thể biết được phần tải tin cũng như địa chỉ điểmnhận cuối cùng của nó Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ đượcnhận biết bởi 2 nút mạng này và các máy A, Z là nơi khởi đầu và kết thúc cuối lưulượng Điều này tạo ra một Tunnel một cách hiệu quả để qua đó qua đó các gói đượctruyền tải với mức an ninh mong muốn

Tunnel Một chặng Kết nối vật lý

Internet

Mạng riêng A

Có thể định nghĩa Tunnel bởi các điểm cuối, các thực thể mạng nơi sử dụng cácgiao thức tháo bao và đóng bao Các kỹ thuật truyền Tunnel hỗ trợ IP-VPN như L2TPhay PPTP được sử dụng để đóng bao các khung lớp liên kết (PPP) Tương tự các kỹthuật truyền Tunnel như IP trong IP và các giao thức IPSec được sử dụng để đóng baocác gói lớp mạng.

Theo ngữ cảnh nối mạng riêng ảo, truyền Tunnel có thể thực hiện ba nhiệm vụchính sau:

+ Đóng bao

+Tính trong suốt đánh địa chỉ riêng

+ Bảo vệ tính toàn vẹn và bí mật số liệu đầu cuối đến đầu cuối

Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên hạ tầng

IP nơi cho phép đánh địa chỉ công cộng Vì các nội dung của gói được truyền Tunnel vàcác thông số, như các địa chỉ, chỉ có thể hiểu bên ngoài các điểm cuối Tunnel, đánh địachỉ IP riêng hoàn toàn che đậy khỏi mạng IP công cộng bằng cách sử dụng các địa chỉhợp lệ

Địa chỉ riêng Địa chỉ công cộng Địa chỉ riêng

Hình 2.2: Che đậy địa chỉ IP riêng bằng truyền Tunnel

Các chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ không được phép khôngthể thay đổi các gói truyền Tunnel của người sử dụng và nhờ vậy nội dung của gói đượcbảo vệ chống việc truy nhập trái phép Ngoài ra, tùy chọn truyền Tunnel có thể bảo vệ sựtoàn vẹn của tiêu đề gói IP bên ngoài, vì thế đảm bảo nhận thực nguồn gốc số liệu.Chẳng hạn, trong IP-VPN có thể sử dụng tiêu đề IPSec AH để bảo vệ các địa chỉ IP củacác đầu cuối Tunnel không bị bắt chước Tuy nhiên trong công nghệ số liệu, trong nhiềutrường hợp điều này không được coi là quan trọng và thực tế nhiều cổng IP-VPN thậmchí không áp dụng AH Lí do vì nều gói truyền Tunnel của người sử dụng được bảo bệESP và gói này được mật mã hóa bằng cách sử dụng phân phối khóa an ninh và các kỹthuật quản lý cũng như các giải thuật gần như là không thể bị phá vỡ như 3DES, thì mọi

ý đồ sử dụng sự thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều vô nghĩa Vì thếcác điểm cuối có ý đồ xấu không có cách nào tham dự vào liên kết an ninh trên IPSec

ESP và vì thế việc tách hú họa an ninh hiện thời sẽ không dễ dàng và mức độ không thểdiễn dải số liệu đánh cắp là rất cao Đây là điều mà các khách hàng IP-VPN quan tâm vàcũng là lý do sử dụng hạn chế AH Cần lưu ý rằng AH hữu ích khi cần cung cấp thôngtin điều khiển thiết lập Tunnel.

2.2.5 Các thỏa thuận mức dịch vụ

Các thực thể tham dự vào nối mạng ảo như các ISP, các hãng vô tuyến, các hãng

và người sử dụng từ xa bị ràng buộc bởi các thỏa thuận để đạt được các mức dịch vụ yêucầu cũng như các lợi nhuận mong muốn đối với các dịch vụ được cung cấp Các thỏathuận này được dự thảo giữa các bên quan tâm và các đối tác của họ để định nghĩa cácmức cho phép định lượng và đánh giá dịch vụ được gọi là các SLA (Service LevelAgreement: thỏa thuận mức dịch vụ) Các SLA đã được sử dụng ở nhiều dạng Tuynhiên chúng đặc biệt quan trọng đối với các mạng ảo dựa trên cơ sở hạ tầng dùngchung

Dưới đây là các nhân tố ảnh hưởng khi xem xet đến SLA cho VPN:

2.3 Phân loại mạng riêng ảo theo kiến trúc

Ở đây chúng ta sẽ đi phân loại IP-VPN theo kiến trúc của nó Các kiến trúc củaIP-VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP-VPN (còn được gọi làLAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ xa Các Site-to-Site baogồm các phương án như: Extranet IP-VPN và Intranet IP-VPN, các phương án này đều

có chung các thuộc tính nhưng được thiết kế để giải quyết các tập vấn đề khác nhau VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gọi trựctiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến trúc chính

dụng VPN Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chứccho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng nhánh vànhững đối tác thương mại Cấu trúc IP-VPN này là phương tiện thông qua một cơ sở hạtầng công cộng chung sử dụng đường dây ISDN (mạng số đa dịch vụ), dial (quay số),tương tự, Mobile IP (di động IP), DSL (đường dây thuê bao số) và điện thoại cácp Cấutrúc IP-VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thờiđiểm nào và bất kể đâu thông qua Internet.

Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạng quản

lí riêng sang dạng IP-VPN truy nhập từ xa dưới đây:

+ Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổchức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet

+ Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng IP-VPN chỉcần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạngbăng rộng luôn hiện hành

+ Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho cơ sở hạ tầng

IP-+ Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêmngười sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn

Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập từ xa vẫngặp phải khó khăn sau:

+ Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền

và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởngđến một số ứng dụng

+ Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn 400kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thức đườngngầm cần có thời gian để xử lí dữ liệu

+ Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi vì

cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợi nênđụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này có thểkhông phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm Người dùng có thểcần đến chu kì thiết lập kết nối nếu họ cảm thấy lâu

Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn bộ quốcgia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiện diện)quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm

đi, tất cả các lo lắng về thủ tục quay số có thể được nhà cung cấp dịch vụ Internet (ISP)

và nhà cung cấp truy nhập gánh chịu Các IP-VPN truy nhập từ xa quay số có thể đượcxây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý Trong một kịch bảntruy nhập từ xa quay số sử dụng phương tiện của hãng khác, người sử dụng quay số đếcác POP địa phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nốiPPP (Point to Point Protocol: Giao thức điểm tới điểm) Sau khi người sử dụng đã đượcnhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập theo cách bắtbuộc (nghĩa là trong suốt đối với người sử dụng) một Tunnel đến một cổng trong mạngriêng mà người sử dụng ở xa muốn truy nhập đến Mạng riêng thực hiện nhận thựcngười sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ở hình 2.4 Côngnghệ truyền Tunnel được lựa chọn cho IP-VPN truy nhập quay số theo phương tiện củahãng khác là L2TP

IPSec Client

ISDN Modem

DSL

Chuyển mạch DSLAM

LNS: L2TP Network Server- Server mạng L2TP L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2 RAS: Remote Access Server- Server truy nhập xa

DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL

2.3.2.1 Intranet IP-VPN

Một tổ chức có thể dùng IP-VPN không chỉ để kết nối các site trực thuộc tổ chức

mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc là cácvăn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạ tângchia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay,ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng IP-VPN thì sẽ có những ưu điểm

site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn Với khả năng này, Intranet VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các nhóm người

IP-sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các Router

Internet/

IP-VPN device1 d evice3 de vice 2 1

Remote office

device1 de vi ce3 device2 1

Remote

Home office

an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cầnthiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vì thếIP-VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điều khiểntruy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet

Internet/

IP-VPN

device1 dev ice3 dev ice 2 1

Remote office

device1 de vic e3 dev ic e2 1

Remote

Home office

POP

POP

POP

Business Partner

Customer

Supplier

Hình 2.5: Extranet IP-VPN

2.4 Các giao thức đường ngầm trong IP-VPN

Như đã trình bày trong phần trên, các giao thức đường ngầm là nền tảng của côngnghệ VPN Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với phần header(và có thể có phần trailer) tương ứng để truyền qua Internet Có nhiều giao thức đườngngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên quan đến cácphương pháp xác thực và mật mã được dùng Có 4 giao thức đường ngầm trong IP-VPNnhư sau:

 PPTP (Point - to - Point Tunneling Protocol)

 L2F (Layer two Forwarding)

 L2TP (Layer Two Tunneling Protocol)

 IPSec (Internet Protocol Security)

Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F PPTP là giao thức donhiều công ty hợp tác phát triển L2F là do Cisco phát triển độc lập PPTP và L2F đềuđược phát triển dựa trên giao thức PPP (Point - to - Point Protocol) PPP là một giao thứctruyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đagiao thức lớp trên Trên cơ sở PPTP và L2F, IETF đã phát triển giao thức đường ngầmL2TP Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F

Trong các giao thức đường ngầm nói trên, IPSec là giải pháp tối ưu về mặt antoàn dữ liệu IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất Ngoài ra,IPSec còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác thực, mật

mã nào, đồng thời có thể sử dụng IPSec cùng với các giao thức đường ngầm khác để làmtăng tính an toàn cho hệ thống

Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm khác về khảnăng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm Thứ nhất, IPSec làmột khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các nhàcung cấp sản phẩm hỗ trợ IPSec chưa nhiều Thứ hai, để tận dụng khả năng đảm bảo antoàn dữ liệu của IPSec thì cần phải sử dụng một cơ sở hạ tầng khóa công khai PKI(Public Key Infrastructure) phức tạp để giải quyết vấn đề như chứng thực số hay chữ ký

số

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện,nên các sản phẩm hỗ trợ chúng tương đối phổ biến PPTP có thể triển khai với một hệthống mật khẩu đơn giản mà không cần sử dụng PKI Ngoài ra PPTP và L2TP còn cómột số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên Vì vậy,