Cài đặt và đánh giá VPN và DMVPN trên hệ thống router cisco mô phỏng bằng GNS3

VPN được sử dụng khá phổ biến tại các cơ quan doanh nghiệp có nhiều chi nhánh, tuy nhiên với những nhược điểm của mình như chi phí khá cao, tốn công sức cho người quan trị mạng công ty …

LỜI CẢM ƠN

Để hoàn thành đồ án tốt nghiệp này, lời đầu tiên em xin gửi lời cảm ơn chân thành tới các thầy cô giáo trong trường Đại học Công nghệ thông tin và Truyền thông Thái Nguyên nói chung và các thầy cô giáo trong khoa Công nghệ thông tin,

bộ môn Mạng và Truyền Thông nói riêng, những người đã dạy dỗ trang bị cho em những kiến thức bổ ích trong năm năm học vừa qua

Đặc biệt em xin gửi lời cảm ơn sâu sắc đến thầy giáo Th.S Vũ Huy Lượng, thầy đã tận tình hướng dẫn, trực tiếp chỉ bảo và giúp đỡ em trong suốt quá trình làm

đồ án tốt nghiệp

Sau cùng em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên,

cổ vũ và đóng góp ý kiến trong quá trình học tập và nghiên cứu hoàn thành đồ án tốt nghiệp

Em xin chân thành cảm ơn!

Thái Nguyên, ngày 08 tháng 06 năm 2012

Sinh Viên Tuấn

Phùng Trung Tuấn

LỜI CAM ĐOAN

Em xin cam đoan bản đồ án này do em tự tính toán, thiết kế và nghiên cứu dưới sự hướng dẫn của thầy giáo Th.S Vũ Huy Lượng

Để hoàn thành đồ án này, em đã sử dụng những tài liệu ghi trong mục tài liệu tham khảo, ngoài ra không sử dụng bất cứ tài liệu nào khác

Nếu sai, em xin chịu mọi hình thức kỷ luật theo quy định của nhà trường

Sinh viên thực hiện

Tuấn

Phùng Trung Tuấn

MỤC LỤC

DANH MỤC HÌNH VẼ

Hình 1.1: Mô hình DMVPN cơ bản

Hình 1.2: Mô hình VPN cơ bản

Hình 1.3: Giao diện GNS3

Hình 1.4: Thiết lập Qemu Host

Hình 1.5: Thiết lập IOS image file

Hình 1.11: Mô hình Hub to Spoke VPN

Hình 1.12: Mô hình Hub to Spoke DMVPN

Hình 1.13: Mô hình triển khai DMVPN

Hình 2.6: Cấu trúc gói tin của GRE

Hình 2.7: Cấu trúc gói tin GRE trong Tunnel mode và Transport mode

Hình 3.3: Một chi nhánh mới tham gia vào mạng

Hình 3.4: Tạo Tunnel trên VPN

Hình 3.5: Tạo Tunnel trên DMVPN

Bảng 1: So sánh các giao thức định tuyến trong DMVPN

MỞ ĐẦU

Ngày nay, mạng Internet ngày càng mở rộng ở khắp nơi trên thế giới, chỉ cần máy tính kết nối Internet thì việc sử dụng nguồn tài nguyên này là vô cùng phong phú Kéo theo vấn đề trao đổi thông tin liên lạc cực kỳ quan trọng đặc biệt với những tổ chức, doanh nghiệp có trụ sở và chi nhánh ở nhiều nơi khác nhau vẫn muốn truy cập tài nguyên của mình như trong mạng nội bộ Ở Việt Nam, cũng không nằm ngoài xu hướng phát triển đó Và giải pháp đặt ra lúc này là phải đáp ứng nhu cầu trao đổi thông tin mặt khác vấn đề bảo mật cũng được đặt lên hàng đầu Một số phương pháp có thể sử dụng để giải quyết vấn đề này là sử dụng các công nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ, tuy nhiên vấn đề bảo mật không cao và chi phí đắt Một giải pháp truyền thống là thuê những đường truyền Lease-line, vừa bảo mật và có băng thông rộng Nhưng không khả thi khi phải kết nối những nơi có khoảng cách xa và vấn đề tài chính cũng là một khó khăn Vì vậy một câu hỏi đặt ra là hướng giải quyết tối ưu cho vấn đề này là như thế nào?

Hiện nay, giải pháp mà các tổ chức sử dụng rộng rãi là mạng riêng ảo (VPN) hoặc đa điểm động trọng mạng riêng ảo (DMVPN), hai công nghệ mạng này có tính bảo mật khá cao, đường truyền nhanh và giá thành cũng không phải là quá đắt Tuy vậy chúng vẫn có nhiều điểm khác nhau Trong đồ án tốt nghiệp này, em xin nghiên cứu Cài đặt và đánh giá VPN và DMVPN trên hệ thống Router Cisco mô phỏng bằng GNS3 Nghiên cứu vấn đề này có ý nghĩa quan trọng đối với những sinh viên đam mê quản trị mạng, họ có thể triển khai thành công mạng riêng ảo và đa điểm động trong mạng riêng ảo trong hệ thống mạng của doanh nghiệp Đây sẽ là một hành trang thiết thực sau khi ra trường

Nội dung thực hiện và bố cục đồ án được trình bày trong ba chương:

Chương 1 trình bày cơ sở lý thuyết về hai công nghệ mạng VPN và DMVPN: khái niệm, phân loại, mô hình hoạt động, bộ mô phỏng GNS3

Chương 2 phân tích cách triển khai, cài đặt VPN to-site và DMVPN to-site, các giao thức chính trong hệ thống của hai mô hình mạng.

site-Chương 3 trình bày về đánh giá VPN và DMVPN: các tiêu chí đánh giá mạng riêng ảo nói chung và so sánh với các giao thức khác

Tiếp theo là phần kết luận, cuối cùng là tài liệu tham khảo

hạ tầng mạng chung – Wan VPN được sử dụng khá phổ biến tại các cơ quan doanh nghiệp có nhiều chi nhánh, tuy nhiên với những nhược điểm của mình như chi phí khá cao, tốn công sức cho người quan trị mạng công ty … mà Cisco đã đưa ra một giải pháp mới là DMVPN – Dynamic Multipoint VPN, đây cũng được coi là một ứng dụng trong mạng VPN Dynamic – động, kết nối này hoàn toàn tự động, Multipoint – đa điểm, có nhiều chi nhánh có thể tham gia vào quá trình truyền thông, nó gần giống với VPN dạng site – to –site, sự kết nối giữa chi nhánh (branch)

và trung tâm (central) Việc phân tích, đánh giá giữa VPN và giải pháp mới DMVPN

sẽ được trình bày cụ thể ở dưới đây

1.2 Mục đích đề tài

DMVPN ngày càng được ứng dụng rộng rãi trong các công ty, tổ chức vì tính hiệu quả, chi phí thấp và bảo mật cao Tuy không thay thế hoàn toàn mạng riêng ảo VPN nhưng độ mở rộng của nó là rất cao, DMVPN được sử dụng cho hệ thống mạng của công ty khá lớn, thông thường là ngân hàng hoặc các công ty bảo hiểm, tài chính Trong các cơ quan này, DataCenter được triển khai DMVPN thông qua mGRE tunnel (một công nghệ tạo kênh truyền ảo) thực hiện kết nối giữa trung tâm đến chi nhánh hoặc các chi nhánh trong công ty với nhau Việc kết nối như vậy có tính hiệu quả cao mặc dù chi phí bỏ ra không phải là nhiều Do các chi nhánh có thể

sử dụng địa chỉ IP động do nhà cung cấp dịch vụ ISP cấp phát, tiết kiệm đi phần nào

chi phí cho công ty hàng tháng Ngoài ra độ bảo mật của DMVPN cũng rất cao, vì được sử dụng IPSec Cụ thể sẽ được trình bày trong chương hai Với những ý nghĩa thiết thực như vậy việc chọn lựa giữa mạng được mọi người sử dụng phổ biến – VPN và công nghệ mới – DMVPN rất quan trọng, cần những đánh giá cụ thể để việc lựa chọn chính xác hơn, và dưới đây là mô hình cơ bản về DMVPN và VPN Các đường nét liền biễu diễn kết nối Serial giữa các Router trong mạng, đường nét đứt tương ứng với những đường hầm do công nghệ GRE triển khai trong công ty.

Hình 1.1: Mô hình DMVPN cơ bản

Hình 1.2: Mô hình VPN cơ bản

Một số mục đích dự kiến đạt được trong đề tài:

- Nắm bắt thành công về mạng riêng ảo

- Nắm bắt thành công lý thuyết DMVPN

- Cài đặt VPN và DMVPN site-to-site trên thiết bị Router của Cisco

- Cài đặt các phương pháp bảo mật cho DMVPN site-to-site

- Phân tích, đánh giá VPN và DMVPN

1.3 Phương pháp nghiên cứu và ý nghĩa của đề tài

Phương pháp nghiên cứu sử dụng để thực hiện đề tài chủ yếu dựa vào nguồn thông tin và tư liệu Việc phân tích tài liệu dựa trên những kiến thức đã có để đánh giá, tổng hợp lấy ra những thông tin phù hợp nhất Bên cạnh đó phương pháp thống

kê, so sánh các thông tin cũng rất quan trọng, nó chỉ ra những điểm mạnh điểm yếu

và đem lại một cái nhìn tổng quan hơn về các vấn đề cụ thể Trong đề tài, phương pháp nghiên cứu xây dựng mô phỏng là dựa trên mô hình tổ chức, thiết kế mạng của một công ty, tổ chức thường sử dụng và những hiểu biết về một số câu lệnh sử dụng trong Router của Cisco

Ý nghĩa của đề tài: Triển khai VPN và DMVPN trong các doanh nghiệp lớn

là rất quan trọng, làm thế nào để việc triển khai đó thành công như mong đợi? Câu hỏi này sẽ dễ có lời giải đáp nếu sự phân tích, đánh giá giữa VPN và DMVPN là chính xác Điều này không chi tiết kiệm chi phí cho doanh nghiệp, xã hội mà còn giúp các quản trị mạng dễ dàng hơn khi cấu hình và quản trị các Server trong công ty

1.4 Lý thuyết về GNS3

GNS3 – Graphical Network Simulator là một bộ mô phỏng đồ họa mạng cho phép mô phỏng các mạng phức tạp Để cung cấp các mô phỏng đầy đủ và chính xác, GNS3 được liên kết chặt chẽ với:

-Dynamips, giả lập Cisco IOS

-Dynagen, một văn bản dựa trên Dynamips

-Qemu, mã nguồn mở và tổng quát giả lập máy tính

-Virtual Box, một phần mềm ảo hóa miễn phí và mạnh mẽ

Dynamips: Dynamips là một trình mô phỏng router Cisco được viết bởi Christophe Fillot Nó mô phỏng các dòng 1700, 2600, 3600 và 7200, sử dụng các IOS image chuẩn Dĩ nhiên, phần mềm mô phỏng này không thể thay thế các router thật, nó chỉ đơn giản là một công cụ bổ sung cho các bài lab thực tế.

Dynagen là một giao tiếp dựa trên nền văn bản (text-base) dành cho Dynamips, cung cấp một bộ OOP API riêng được sử dụng bởi GNS3 để tương tác với Dynamips GNS3 cũng sử dụng tập tin cấu hình tương tự INI của Dynagen và có tích hợp trình quản lý CLI của Dynagen cho phép người dùng liệt kê các thiết bị, tạm ngưng và nạp lại các thể hiện (của các thiết bị - ND), xác định và quản lý các giá trị idle-pc, bắt gói tin … (Bùi quốc hoàn – GNS3 Documentation 2007)

GNS3 được đánh giá là một công cụ bổ sung rất hiệu quả cho các kỹ sư mạng thực hành, quản trị viên và những ai muốn học các chứng chỉ của Cisco, Juniper.Ngoài ra nó cũng có thể được sử dụng để thử nghiệm các tính năng của Cisco IOS,

hệ điều hành JunOS của Juniper, kiểm tra cấu hình cần phải được triển khai trên bộ định tuyến Với việc tích hợp cả VirtualBox, thậm chí cả các kỹ sư hệ thống và người quản trị có thể tận dụng lợi thế của GNS3 để làm trong phòng thí nghiệm và nghiên cứu cho Redhat (RHCE, RHCT), Microsoft (MCSA, MCITP) và các nhà cung cấp xác thực khác Có thể thấy xây dựng mô phỏng trên GNS3 rất hiệu quả, sát với thực tế Nó chạy các thiết bị giả lập hệ điều hành thật của Cisco, vì vậy rất phù hợp với việc xây dựng mô phỏng DMVPN

Phiên bản mới nhất của GNS3 là 0.8.2 Beta, nhưng ở đây sẽ giới thiệu bản GNS3 0.7.4 được sử dụng khá phổ biến hiện nay (GNS3.net, 2012)

Hình 1.3: Giao diện GNS3

Một số Platforms hỗ trợ bao gồm: Router 1700, 2600, 2691, 3600, 3700,

7200 Muốn sử dụng được Router nào phải cấu hình file IOS image cho router

(c7200-adventerprisek9-mz.124-24.T5.bin), trong đề tài này sẽ sử dụng Router 7200

để cấu hình các Hub và Spoke Tiếp theo là cài đặt để được sử dụng các máy tính trong GNS3, Qemu Host có thể dùng là CLI (Microcore) hoặc GUI (Tinycore) Cài

đặt Qemu Host trong GNS3 , chọn Edit->Preferences -> Qemu -> Qemu Host, điền thông số như hình 1.4, với điều kiện đã có hai file qemuwrapper.exe và linux- microcore-2.11.5.img tại nơi cài đặt GNS3 trên máy tính

Hình 1.4: Thiết lập Qemu Host

Tương tự cấu hình file IOS để được sử dụng Router C7200 phục vụ quá trình

làm demo, tại giao diện chính của GNS3 chọn Edit->IOS images and hypervisor và

chọn nơi lưu file IOS của Router C7200 trong máy tính, Save để lưu lại cấu hình cho C7200 Tương tự với những IOS image khác nếu có nhu cầu sử dụng

Hình 1.5: Thiết lập IOS image file

1.5 Tổng quan về mạng riêng ảo

1.5.1 Lịch sử hình thành và phát triển

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN- Virtual Private Network), bắt nguồn từ yêu cầu của khách hàng (client) mong muốn có thể kết nối một cách hiệu quả với các tổng đài thuê bao (PBX- Private Branch Exchange) lại với nhau thông qua mạng diện rộng (WAN) Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) sử dụng các đường thuê bao riêng cho việc

tổ chức mạng chuyên dùng để thực hiện việc truyên thông với nhau

Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây chuyên dụng cho các khách hàng lớn Colisee có thể cung cấp phương thức gọi số chuyên dùng cho khách hàng, căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác Mạng dây chuyên dụng là hình thức đầu tiên của mạng VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển

mạch âm thanh và quản lý mạng lưới hộ khách Nhưng phạm vi hoạt động của VPN lấy tổng đài làm cơ sở để thực hiện điều này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhận PBX mà không thể tiếp nhập bộ dùng chỉ có một đôi dây nên không thực sự linh hoạt Năm 1985, hai công ty viễn thông lớn tại

Mỹ là AT&T và Sprint lần lượt đưa ra dịch vụ mạng chuyên dùng ảo có tên là SDN (Software Defined Netwwork – mạng được định bởi phần mềm), VPN SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng SDN dựa vào cơ sở dữ liệu truy nhập để phân loại truy cập vào mạng ở gần hoặc từ xa Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng mạng chuyển mạch công cộng (PSTN) Những dịch vụ này được coi là một phương tiện tương đối rẻ dùng để thay thế cho dây chuyên dụng của Colisee Năm 1988, nổ

ra những tranh chấp dịch vụ VPN ở Mỹ, lúc này một số xí nghiệp vừa và nhỏ chịu được cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, điều này đã kích thích sự phát triển nhanh chóng dịch vụ VPN tại Mỹ lúc bấy giờ Năm 1997 có thể coi là một năm phát triển mạnh đối với công nghệ VPN, công ngệ này đã có mặt trên khắp các tạp trí khoa học công nghệ, các cuộc hội thảo… Các mạng VPN xây dựng trên cơ sở hạ tầng internet công cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN Công nghệ VPN là giải pháp tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ khác này, những tổ chức này ồ ạt chuyển từ các mạng chuyên dùng đã được thiết lập sang sử dụng VPN Ngoài ra một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành kiệp hội hộ dùng VPN như EVUA hiệp hội dùng VPN châu Âu Ngày nay với sự phát triển của công nghệ, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện làm cho khả năng của VPN ngày một hoàn thiện

1.5.2 Khái niệm mạng riêng ảo VPN

Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tùy theo hình thức tổ chức mạng và thiết bị của nhà cung cấp Hiểu đơn giản nhất VPN được hiểu như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin

về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một các nhanh chóng Dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa

để giải mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN(VPN Tunnel)

Công nghệ VPN nhằm hướng vào ba yêu cầu cơ bản sau đây: Có thể truy nhập tới tài nguyên của tổ chức bất cứ lúc nào, kết nối thông tin liên lạc giữa các chi nhánh văn phòng với nhau và kiểm soát truy cập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức

Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân chia ra làm ba mô hình chính:

• Remote Access VPN

• Intranet VPN

• Extranet VPN

a) Remote Access VPN

Remote Access VPN- Truy cập từ xa VPN cho phép truy cập bất cứ lúc nào bằng Remote, mobile và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức Đặc biết là những người dùng thường xuyên

di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác Một số thành phần chính của Remote Access VPN:

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận

và chứng nhận các yêu cầu gửi tới Quay số kết nối trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng

Hình 1.6: Mô hình mạng VPN truy cập từ xa

Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP và kết nối đến tài nguyên thông qua Internet (Triển khai hệ thống IPSec trên Window server 2003, Nguyễn Trần Tường Vinh, 2010)

Hình 1.7: Thiết lập Remote Access VPN

Ưu điểm của Remote Access VPN:

• Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

• Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó là những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

• Giảm giá thành chi phí cho các kết nối với khoảng cách xa

• VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch

vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

• Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa

đã được tạo điều kiện thuận lợi bởi ISP

Nhược diểm:

• Remote Access VPN cũng không bảo đảm được chất lượng phục vụ

• Khả năng mất dữ liệu cao, thêm nữa là các phân đoạn của gói dữ liệu có thể

đi ra ngoài và bị thất thoát

• Do độ phức tạp của thuật toán mã hóa nên gây khó khăn cho quá trình xác nhận Thêm nữa là việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp

• Do phải truyền dữ liệu thông qua Internet nên khai trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

Site-to-Site: Sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công ty có thể tạo ra kết nối với rất nhiều các site qua một mạng công cộng như

Những thuận lợi chính của Intranet VPN:

• Giảm thiểu chi phí cho các thiết bị đầu cuối sử dụng trong mạng WAN

• Dễ dàng cung cấp những kết nối ngang hàng, kết nối nhanh hơn và tốt hơn do

về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách

xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet

• Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch

vụ, loại bỏ vấn đề thực hiện kết nối các mạng nội bộ

Những nhược điểm chính:

• Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao

• Trong một số trường hợp nhất là khi dữ liệu là những tập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.

• Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục và QoS cũng không được đảm bảo

c) Extranet VPN

Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài, Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức Khi một công ty có mối quan hệ mật thiết với một công ty khác, họ có thể xây dựng một mạng VPN Extranet ( VPN

mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng

Sự khác nhau giữa một VPN cục bộ (Intrarnet VPN) và VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của mạng riêng ảo

Một số ưu điểm của Extranet:

• Do hoạt động trên môi trường Internet, có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháo giải quyết tùy theo nhu cầu của tổ chức

• Giảm chi phí bảo trì

• Dễ dàng triển khai, quản lý và chỉnh sửa thông tin

Nhược điểm của Extranet:

• Dựa trên Internet nên QoS cũng không được đảm bảo thường xuyên

• Vẫn bị đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn tồn tại

1.5.3 Các yếu tố thúc đẩy sự phát triển của VPN

VPN có thể được phát triển trên môi trường khác nhau: X.25, Frame Relay, ATM, Internet Tuy nhiên trên các môi trường khác nhau thì sự phát triển của VPN

có các đặc điểm khác nhau về mặt kỹ thuật cũng như về mặt đáp ứng yêu cầu của khách hàng Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là một xu thế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng Có bốn lý do dẫn đến quá trình hội tụ này ở Việt Nam cũng như trên thế giới:

 Sự phát triển về khoa học công nghệ và các công ty dẫn đến sự gia tăng về số lượng nhân viên hoạt động phân tán điều này gây khó khăn trong việc quản lý của mạng dùng riêng Nhu cầu liên lạc và làm việc trong khi đi công tác hay

xu hướng làm việc tại nhà, xu hướng hội nhập và mở rộng của các công ty diễn ra mạnh mẽ làm cho các hệ thống mạng dùng riêng không đáp ứng được nhanh chóng VPN chính là một giải pháp trong trường hợp này

 Nhu cầu sử dụng tác nghiệp trực tuyến Sự phát triển của nền kinh tế dẫn đến

xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như đối với nhiều đối tượng khách hàng khác nhau Mỗi nhà cung cấp dịch vụ sản phẩm, khách hàng sử dụng cấu trúc mạng khác nhau (thủ tục, ứng dụng, nhà cung cấp dịch vụ, hệ thống quản trị mạng lưới …) Điều này là một thách thức lớn đối với một mạng dùng riêng trong việc kết nối với tất cả các mạng này

 Chi phí cho việc cài đặt và duy trì một mạng diện rộng là khá lớn Điều này đặc biệt ảnh hưởng tới các doanh nghiệp có phạm vi hoạt động vượt ra khỏi biên giới quốc gia

 Nhu cầu tích hợp và đơn giản hóa giao diện cho người dùng.

1.6 Đa điểm động trong mạng riêng ảo

1.6.1 Định nghĩa đa điểm động trong mạng riêng ảo

a) Đặt vấn đề

Như đã biết VPN cho phép thông qua mạng Internet để thiết lập một mạng LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN Dữ liệu được truyền tải thông qua Internet sẽ được đóng gói và mã hóa Có nhiều giao thức

để mã hóa dữ liệu này như đã phân tích trong phần 1.1, trong đó phổ biến nhất là IPSec Phần này sẽ giới thiệu một kỹ thuật mới có liên quan đến VPN đó là Dynamic Multipoint VPN Một số vấn đề trên thực tế như khi một công ty muốn kết nối các site chi nhánh với nhau, trong khi đồng thời kết nối thông qua một site hub, điều này sẽ hữu ích khi hai spoke trong cùng một thành phố Hub ở đây là trung tâm (central) tức là hệ thống mạng ở trung tâm của công ty Còn Spoke là chi nhánh, văn phòng Với giải pháp IPSec Dynamic VPN các site spoke có thể tự động thiết lập kết nối an toàn giữa chúng DMVPN cung cấp một sự kết hợp giữa tĩnh và động (static and dynamic) theo yêu cầu của đường hầm Các đường hầm VPN tĩnh được kết nối đến một site hub trong cấu hình hub to spoke Việc thiết kế hub to spoke là cấu hình phù hợp nhất khi phần lớn các lưu lượng truy cập được nhắm mục tiêu đến hub và các mạng lõi Khi một số site spoke yêu cầu truy cập trực tiếp giữa chúng, một kết nối IPSec bổ sung sẽ được thiết lập DMVPN sử dụng giao thức mGRE (multi Generic Routing Encapsulation) hoặc NHRP (Next Hop Resolution Protocol) để cung cấp địa chỉ đích của mạng ngang hàng (peer) và quá trình mã hóa IPSec sẽ bắt đầu tự động NHRP cung cấp cho các router spoke khả năng học các địa chỉ vật lý của các router trong mạng VPN Điều này khá là quan trọng bởi nếu lưu lượng dữ liệu của spoke to spoke được gửi thông qua các router hub, nó phải được mã hóa và giải mã hai lần, do đó tăng sự chậm trễ và tăng tải trên các router hub Mỗi spoke có một đường hầm IPSec cố định đến hub và không có đến các spoke khác trong hệ thống mạng, mỗi spoke đăng ký như là một client của NHRP server (router hub

chính là NHRP server) Trường hợp khi một spoke cần phải gửi một gói tin đến một mạng con phía trong spoke khác, nó yêu cầu NHRP cho địa chỉ (bên ngoài) thực sự của spoke đích Sau khi spoke gốc biết địa chỉ peer của spoke đích, nó có thể bắt đầu một đường hầm IPSec động với spoke đích Đường hầm spoke to spoke được xây dựng trên giao diện mGRE Các đường spoke to spoke được thành lập bất cứ khi nào có nhu cầu truyền thông giữa các spoke Đến lúc này các gói tin có thể bỏ qua hub và sử dụng các đường hầm Spoke-to-Spoke.

Hình 1.10: Mô hình DMVPN

b) Khái niệm

Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần mềm của hãng Cisco là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP Các công nghệ này được kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo một cách dễ dàng

c) Ưu nhược điểm của DMVPN

Để hiểu ưu và nhược điểm của DMVPN rõ ràng, cùng bắt đầu xem xét một

mô hình VPN trong công ty sử dụng IPSec và GRE

Hình 1.11: Mô hình Hub to Spoke VPN

Mô hình mạng của công ty gồm một site trung tâm (hub) kết nối đến các site chi nhánh (spoke A và Spoke B) qua Internet, với việc sử dụng VPN thông thường (IPSec+GRE), rõ ràng trên router hub cần cấu hình hai Tunnel đến Spoke A và Spoke B Chính vì vậy mô hình này sẽ phát sinh một số hạn chế:

- Khi tạo Tunnel point-to-point, điều bắt buộc là phải biết địa chỉ IP của nguồn và đích Do đó, ở các Spoke và hub phải thuê những địa chỉ IP tĩnh, dẫn đến chi phí cao

- Ở router hub, phải cấu hình hai tunnel, một cho Spoke A và một cho Spoke

B Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router hub sẽ phải cấu hình rất nhiều tunnel Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm Như vậy trên router phải lưu trữ một cơ sở dữ liệu khá lớn Điều này dẫn đến sự tiêu tốn bộ nhớ và CPU trên router hub là khá lớn

- Hạn chế thứ ba là khi Spoke A muốn giao tiếp với Spoke B, nó phải thông qua hub Điều này không linh động

Những hạn chế trên được giải quyết trong DMVPN, với DMVPN trên mỗi router ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint) Việc sử dụng mGRE sẽ giải quyết được hai hạn chế:

Thứ nhất ở mỗi Spoke không cần phải dùng một địa chỉ tĩnh nữa, mà có thể

sử dụng địa chỉ IP động do ISP cung cấp Vì mGRE chỉ yêu cầu xác định địa chỉ nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định Còn trên router hub cũng bắt buộc phải là một địa chi tĩnh

Thứ hai, trên router Hub bây giờ chỉ cần cấu hình một Tunnel mGRE, nếu thêm một spoke tham gia vào mạng của công ty thì trên Hub cũng không cần phải cấu hình thêm Điều này làm giảm tải bộ nhớ và CPU ở router Hub Còn việc xác định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP như đã trình bày ở trên

Hình 1.12: Mô hình Hub to Spoke DMVPN

Bên cạnh những mặt ưu điểm như phân tích trên thì DMVPN cũng còn nhiều hạn chế, cụ thể:

• Tạo ra một kích thước cấu hình cố định trên router hub kể cả khi thêm một router spoke vào mạng.

Như đã nói ở phần 1.6.1 DMVPN sử dụng ba công nghệ sau:

- IPSec - Internet Protocol Security: Giao thức cho phép bảo vệ sự thay đổi của các gói tin tại lớp IP Dựa trên khóa công khai trên mode Tunnel, cả nội dung và tiêu đề của gói tin được mã hóa đều được bảo vệ

- mGRE – Multipoint Generic Routing Encapsulation: Giao thức truyền trên Tunnel, đóng gói các loại gói tin thành một loại lớn trong IP Tunnel, sau đó tạo point to point

ảo kết nối với các router ở xa trong cấu trúc mạng IP Multipoint GRE Tunnel Interface cho phép một interface GRE hỗ trợ nhiều IPSec Tunnel, nó có kích thước đơn giản và cấu hình phức tạp

- NHRP – Next Hop Resolution Protocol: Giao thức được sử dụng bởi các Router phát hiện MAC address của các Router khác và host khác Nó cung cấp địa chỉ thực của các spoke đích NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm giảm những vấn đề mạng NBMA (Non-broacast multipoint access) NBMA

là mạng đa truy cập không sử dụng broadcast, là một mạng máy tính mà có nhiều máy chủ, nhưng dữ liệu chỉ được truyền trực tiếp từ máy tính đến một máy chủ duy nhất trên một mạch ảo, nó không hỗ trợ truyền thông multicast hoặc broadcast Một

số ví dụ phổ biến của công nghệ mạng NBMA gồm ATM, Frame relay, X.25,…Với NHRP, các hệ thông học địa chỉ NBMA của các hệ thống khác được cố định đến mạng NBMA một cách linh động Cho phép các mạng này thông qua trực tiếp với nhau mà không cần hop trung gian Hai chức năng của NHRP hỗ trợ cho các mạng NBMA:

Giao thức NHRP giống như giao thức phân giải địa chỉ cho phép Next Hop Clients (NHCs) được đăng ký một cách linh động với Next Hop Servers (NHSs)

Điều này cho phép NHCs được nối đến mạng NBMA mà không cần thay đổi cấu hình trên NHSs, đặc biệt là trong trường hợp NHCs có địa chỉ IP động hoặc router

có Network Address Translation (NAT) sẽ làm thay đổi địa chỉ IP vật lý Thứ hai NHRP là một giao thức phân giải cho phép một NHC (Spoke) để định vị logical VPN IP đến NBMA IP mapping cho NHC khác trong cùng mạng NBMA Nếu không có sự định vị này, các gói tin IP đang đi từ các host của một Spoke này đến các host của một Spoke khác sẽ đi qua hướng của NHS (Hub), điều này làm tăng sự

sử dụng băng thông của Hub và CPU cho việc xử lý các gói tin này

NHRP thuận tiện cho việc xây dựng VPN VPN bao gồm: mạng ảo layer được xây dựng trên nền layer 3 mạng thực tế Cấu trúc mà ta sử dụng qua VPN là độc lập đối với mạng lớp trên và các giao thức mà ta chạy qua hoàn toàn độc lập với

nó Mạng DMVPN dựa trên GRE đường hầm logics được tạo ra có thể được bảo vệ bằng cách thêm vào IPSec để mã hóa GRE IP tunnels Việc kết nối đến mạng NBMA là một hay nhiều trạm mà NHRP thực hiện và được xem như là NHSs và NHCs

1.6.3 Mô hình triển khai và hoạt động của DMVPN

Trong DMVPN có hai mô hình được triển khai rộng rãi đó là: Hub-to-Spoke

và Spoke-to-Spoke

Hình 1.13: Mô hình triển khai DMVPN

Như hình trên, đường màu xanh là kết nối giữa Spoke-to-Spoke, còn màu đỏ chính là kết nối Hub-to-Spoke Như vậy, Hub-to-Spoke là kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm site-to-site trong VPN Khái niệm mới ở đây

là Spoke-to-Spoke, kết nối giữa các chi nhánh với nhau Lưu ý, khi nói đến Hub và Spoke là nói đến router đang thực hiện chức năng DMVPN ở trung tâm và chi nhánh, còn Site Central và Site Branch (Central, Branch) là nơi trung tâm, chi nhánh

cụ thể và có nhiều thiết bị ở đó

Hoạt động chính của DMVPN dựa vào hai công nghệ của Cisco đã thử nghiệm: NHRP và mGRE DMVPN không làm thay đổi các chuẩn của IPSec VPN Tunnel nhưng nó thay đổi cấu hình của chúng Ban đầu Hub duy trì cơ sở dữ liệu địa chỉ thực của tất cả các spoke (mỗi spoke đăng ký địa chỉ thực của nó khi khởi động), sau đó các Spoke yêu cầu cơ sở dữ liệu trong NHRP cho địa chỉ thực của các Spoke đích mà xây dựng Tunnel trực tiếp tới nó mGRE cho phép hỗ trợ nhiều IPSec Tunnel, các Spoke có một IPSec tunnel cố định đến Hub, nhưng không đến các Spoke Các Spoke được xem như là client của NHRP server Khi một Spoke cần gửi gói tin đến đích (đích dạng private) trên Spoke khác, nó yêu cầu NHRP cấp các địa chỉ thực của Spoke đích Đến đây Spoke nguồn có thể khởi tạo một dynamic IPSec Tunnel đến Spoke đích Đường hầm từ Spoke-to-Spoke được xây dựng qua mGRE Tunnel Quá trình tạo đường hầm Spoke-to-Spoke hoàn tất

1.6.4 Định tuyến trong DMVPN

Định tuyến là một vấn đề quan trọng không chỉ riêng với DMVPN, nó chỉ ra những con đường tối ưu cho dữ liệu truyền qua một cách nhanh nhất hoặc kết nối những mạng khác nhau… Trong DMVPN định tuyến động được yêu cầu qua đường hầm Hub to Spoke Spoke thì học tất cả các mạng riêng trên các spoke khác và Hub thông qua cập nhật từ bảng định tuyến được gửi từ Hub Có bốn giao thức định tuyến được dùng: Enhanced Interior Gateway Routing Protocol (EIGRP), Open Shortest Path First (OSPF), Border Gateway Protocol (BGP), Routing Information Protocol (RIP)

EIGRP là một giao thức mở rộng của IGRP, là một phát triển riêng của Cisco nhằm khắc phục các nhược điểm của RIP/IGRP, nó là giao thức định tuyến lai giữa Distance Vector và Link State EIGRP là giao thức thuộc lớp classless routing protocol EIGRP sử dụng Diffusing Update Algorithm (DUAL) thuật toán truyền tin cập nhật nhằm ngăn chặn tình trạng loop Dual cung cấp một danh sách tuyến dự phòng giúp cho EIGRP có thời gian hội tụ nhanh hơn EIGRP chỉ gửi bản tin update khi có sự thay đổi trạng thái trong các tuyến đường (bản tin update gửi đi chỉ gồm thong tin thay đổi trong lộ trình định tuyến chứ không phải toàn bộ bảng định tuyến được gửi đi Bản tin update sẽ được gửi trong các trường hợp như khi một router láng giềng xuất hiện, một router láng giềng đi từ trạng thái active sang trạng thái passive hay khi có một sự thay đổi trong tính toán metric cho một địa chỉ mạng đích…) và chỉ có những router liên quan mới được thong báo về thay đổi EIGRP sử dụng địa chỉ multicast (224.0.0.10) để trao đổi thông tin cập nhật định tuyến Giao thức EIGRP được khuyến cáo sử dụng nhiều nhất trong DMVPN, bởi vì giao thức định tuyến động này duy trì định tuyến theo chu kỳ của CPU và băng thông mạng, cũng như thời gian hội tụ nhanh chóng của nó EIGRP cung cấp một loạt các tùy chọn để tổng hợp địa chỉ (summarization) và quảng bá định tuyến mặc định (default route) Câu lệnh cấu hình một router sử dụng giao thức định tuyến EIGRP:

Router(config)#router eigrp <AS number>

Router(config-router)#network <network-number><Wildcard mask-number>

(Wildcard mask=255.255.255.255 – SM)

OSPF là một giao thức định tuyến theo trạng thái đường liên kết được triển khai dựa trên các chuẩn mở, không có tính độc quyền Nó thuộc giao thức định tuyến nhóm Link State thường được triển khai trong các hệ thống mạng phức tạp

Do vậy nó có thể tự do tìm nhanh chóng sự thay đổi của topology và tính toán lại những route mới sau chu kỳ hội tụ Các router chạy giao thức Link State thường tốn nhiều bộ nhớ Ram và CPU hơn Distance Vector Một số đặc điểm cơ bản của OSPF: hội tụ rất nhanh (thường nhỏ hơn 10s), hỗ trợ VLSM, dùng bản tin hello để truy trì

mối quan hệ hàng xóm (nếu sau một thời gian mà không nhận được gói tin hello, router cho rằng hàng xóm của nó bị down, nó gửi update khi có thay đổi và gửi quảng bá full update sau mỗi 30s, hạn chế của OSPF là khả năng mở rộng thấp

BGP là giao thức tìm đường nòng cốt trên Internet Nó hoạt động dựa trên việc cập nhật một bảng chứa các địa chỉ mạng (prefix) cho biết mỗi liên kết giữa các

hệ thống tự trị (autonomous system AS, tập hợp các hệ thống mạng dưới cùng sự điều hành của một nhà quản trị mạng, thông thường là ISP) Mục đích chính của BGP là kết nối các mạng rất lớn hoặc các AS Các công ty lớn có thể dùng BGP như

là một kết nối giữa các mạng ở các quốc gia khác nhau BGP có thể được thể hiển giữa các AS khác nhau hay trong cùng một AS Khi dùng BGP để kết nối các AS khác nhau, BGP được gọi là eBGP Giao thức này cũng có thể được dùng để mang thông tin giữa các router eBGP trong một AS, khi đó BGP được gọi là iBGP Hình 1.14 biểu diễn hai thành phần trên

Hình 1.14: Một số loại BGP

Các vấn đề hiện tại của BGP như: Đường đi không ổn định, thay đổi liên tục theo chu kỳ và độ trễ của việc hội tụ bảng tìm đường chậm Cũng giống như giao thức EIGRP, OSPF, BGP hỗ trợ hai kiểu mạng Hub-Spoke, Spoke-Spoke trong DMVPN

RIP là giao thức định tuyến theo vector khoảng cách (distance vector), nó cập nhật toàn bộ hoặc một phần bảng định tuyến của mình cho các router láng giềng kết nối trực tiếp với nó Thuộc giao thức định tuyến kiểu classful (định tuyến theo lớp địa chỉ) vì RIP không mang theo thông tin SM (FLSM) Cơ chế chọn đường đi dựa

vào thông số định tuyến là Hop Count, chính vì thế có một số đường mà RIP chọn không phải là đường tối ưu nhất đến mạng đích Một đặc trưng của RIP là thời gian hội tụ rất lớn (chậm) so với các giao thức khác như EIRGP, OSPF hay BGP

Bảng 1: So sánh các giao thức định tuyến trong DMVPN

Giao thức Kiểu mạng Điều khiển

Spoke-Spoke Tốt Chậm Trung Bình Trung Bình

CHƯƠNG 2 CÀI ĐẶT CHƯƠNG TRÌNH

2.1 Cài đặt VPN site-to-site

Đa phần VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những tunnel (đường ống) riêng Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol) giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel, nơi gói tin đi vào và đi ra trong mạng Kỹ thuật Tunneling yêu cầu ba giao thức khác nhau:

- Giao thức tuyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) gồm các giao thức như L2F (Layer 2 Forwarding), PPTP (Point-to-Point Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), GRE (Generic Routing Encapsulation), IPSec

(Internet Protocol Security) Các giao thức này được bọc quanh gói dữ liệu gốc.

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi như IPX, NetBeui, IP

Trong giao thức gói tin có thể đặt một gói tin sử dụng giao thức không được

hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet hoặc có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói tin khác dùng địa chi IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

Trong giao thức mã hóa dữ liệu, ba giao thức L2F, PPTP và L2TP đều được

kế thừa và phát triển dựa trên giao thức PPP (Point to Point Protocol) và dùng trong mạng VPN truy cập từ xa Có thể nói PPP là một giao thức cơ bản và được sử dụng nối tiếp lớp 2, được xây dựng dựa trên nền tảng giao thức điều khiển truyền dữ liệu lớp cao (High-Level Data link control HDLC), nó cung cấp cơ chế truyền tải dữ liệu của nhiều giao thức trên một đường truyền và có hai thành phần chính là LCP (Link Control Protocol), NCP (Network Control Protocol) Giao thức L2F được Cisco phát triển, được dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ PPTP được tập đoàn PPTP Forum phát triển, giao thức này hỗ trợ mã hóa 40bit và 128bit, giống như L2F nó cũng dùng bất kỳ cơ chế thẩm định quyền nào được PPP hỗ trợ Còn L2TP là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF Được kết hợp các tính năng của cả PPTP và L2F, nó cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm nối điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một Tunnel giữa máy khách và router, router và router So với PPTP thì L2TP có nhiều đặc tính mạnh và

an toàn hơn Nhưng trong các giao thức đường hầm nói trên thì giao thức IPSec là một trong những giải pháp tối ưu về an toàn dữ liệu của gói tin Nó được sử dụng các phương pháp xác thực và mật mã tương đối cao IPSec được mang tính linh động cao hơn, không bị rằng buộc bởi các thuật toán xác thực hay mật mã nào cả Dưới đây sẽ phân tích cụ thể các giao thức mã hóa dữ liệu

2.1.1 Giao thức mã hóa dữ liệu

a) Giao thức L2F

Giao thức Layer 2 Forwarding là giao thức được phát triển khá sớm bởi Cisco System Đây là một giao thức cho phép người sử dụng từ xa có thể truy xuất đến mạng Intranet cua một tổ chức thông qua cơ sở hạ tầng mạng công cộng với tính bảo mật và khả năng quản lý chặt chẽ L2F cho phép bảo mật mạng truy xuất cá nhân thông qua hạ tầng mạng công cộng bằng việc xây dựng một Tunnel thông qua mạng công cộng giữa Client và Host Vì nó là một giao thức lớp 2, nên có thể được dùng cho các giao thức khác ngoài IP như IPX, NetBeui

- Nếu NAS hiện hữu ở ISP, mà POP chấp nhận yêu cầu kết nối thì kết nối PPP sẽ được thiết lập giữa NAS và user

- User được chứng thực ở ISP Có thể sử dụng CHAP hay PAP để thực hiện chứng thực

- Nếu không có đường hầm nào tồn tại ở cổng vào của mạng đích mong muốn thì một đường hầm sẽ được khởi tạo.

- Sau khi đường hầm được thiết lập xong, sẽ có một multiplex ID (MID) duy nhất được chỉ định trên kết nối Một thông điệp thông báo sẽ được gửi tới cổng vào của máy chủ mạng Thông điệp này thông báo cho cổng vào về yêu cầu kết nối từ user

từ xa

- Lúc này Gateway có thể chấp nhận hay hủy bỏ yêu cầu kết nối Trong trường hợp yêu cầu bị hủy bỏ thì user sẽ được thông báo điều này và kết nối quay số kết thúc Ngược lại gateway của máychủ sẽ gửi thông báo khởi tạo cài đặt tới user từ xa Đáp ứng này có thể bao gồm cả thông tin về chứng thực mà gateway sử dụng để chứng thực user từ xa

- Sau khi user đã được chứng thực bởi máy chủ mạng, một giao thức ảo sẽ được thiết lập giữa hai đầu cuối của kết nối

Ưu và nhược điểm của L2F: cho phép thiết lập đường hầm đa giao thức và được cung cấp bởi nhiều nhà doanh nghiệp Bên cạnh những ưu điểm đó thì L2F tồn tại một vài nhược điểm như không có mã hóa, yếu trong việc xác thực người dùng

và không có điều khiển luồng cho đường hầm

b) Giao thức PPTP

Hình 2.2: Mô hình PPTP cơ bản

Giao thức đường hầm điểm - điểm được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm ba công ty: Ascend Comm Microsoft, ECI Telematicsunication vs US Robotic PPTP là một “đường hầm” an toàn cho vận chuyển lưu lượng qua địa chỉ IP bằng cách sử dụng PPP PPTP gói gọn PPP trong dòng ảo chạy trên IP PPTP kết hợp PPP và MPPE (Microsoft Point to Point Encryption) để tạo liên kết được mã hóa Mục đích của giao thức này là làm cho quản lý kết nối an toàn giữa các bộ định tuyến cũng như giữa các bộ định tuyến

và máy khách PPTP Ý tưởng cơ sở của giao thức này là tách các chức năng chung

và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ PPTP đóng gói các khung dữ liệu của giao thức PPP vào các IP datagram để truyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản của giao thức GRE để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hoặc giải nén PPTP giả định tồn tại một mạng IP