Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 8'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
mạng nội công ty Nếu người sử dụng xa quay số kết nối tới ISP cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, Firewall tổ chức phải mở cổng cho người sử dụng vào mạng cục bộ, điều tạo lỗ hỗng Vì vậy, khơng phải họ kết nối tới ISP vào mạng cục 2.2.2 Chuyển tiếp tầng (L2F) Như đề cập trước đây, dịch vụ mạng quay số truyền thống thực qua Internet dựa cơng nghệ IP Điều giải thích giải pháp đường hầm lại thông dụng PPP PPTP, chứng tỏ thành công sở hạ tầng IP so với công nghệ mạng đương thời ATM, FR Bảo mật vấn đề khác Bất chấp yêu cầu Microsoft giao dịch bảo mật, PPTP dựa MS-CHAP khơng thật an tồn Vấn đề làm cho tổ chức công nghiệp chuyên gia tìm đến giải pháp thay đem lại bảo mật liền mạch cho nhiều dịch vụ quay số ảo nhiều giao thức Cisco System với Nortel nhà cung cấp hàng đầu giải pháp theo hướng: - Có khả bảo mật giao dịch - Cung cấp truy cập qua sở hạ tầng Internet mạng công cộng trung gian khác - Hỗ trợ nhiều công nghệ mạng ATM, FDDI, IPX, Net-BEUI, Frame Relay Hình 2.11 Đường hầm L2F từ POP ISP tới Gateway mạng riêng Sau thời gian dài tìm kiếm, Cisco mở rộng nghiên cứu L2F Ngoài việc thực đầy đủ mục đích trên, L2F mang lại thuận lợi khác công nghệ truy cập từ xa Các đường hầm L2F hỗ trợ nhiều phiên đồng thời đường hầm Theo cách nói đơn giản nhiều người dùng từ xa truy cập vào mạng cục riêng qua kết nối quay số đơn L2F đạt điều cách định nghĩa nhiều kết nối đường hầm nơi kết nối mơ tả dịng PPP đơn Hơn nữa, dịng người dùng từ xa đơn lẻ từ nhiều người dùng Vì đường hầm hỗ trợ nhiều kết nối đồng thời, vài kết nối yêu cầu từ Site xa tới ISP từ POP ISP tới Gateway mạng riêng Điều đặc biệt hữu ích việc giảm chi phí người dùng Hình 2.11 mơ tả đường hầm L2F 2.2.2.1 Tiến trình L2F Khi Client quay số từ xa khởi tạo kết nối tới Host cục Intranet riêng Private Network ISP'sIntranet Internet Remote NAS User PPP Connection Request Request Accepted/ Rejected Host Network Gateway Server User Authentication (PAP, CHAP) L2F Tunnel Initiation Tunnel Establishment Allocated 6b Tunnel Established Notification 6a Connection RequestAccepted/ Rejected 7a User Authentication 7b Tunnel Established Hình 2.12 Thiết lập đường hầm L2F người dùng từ xa Server Các tiến trình sau thực tuần tự: Người dùng từ xa khởi tạo kết nối PPP tới ISP họ Nếu người dùng từ xa phần mạng LAN, người dùng tận dụng ISDN liên kết để kết nối tới ISP Nếu người dùng phần Intranet nào, họ cần sử dụng dịch vụ PSTN Nếu NAS đặt POP ISP chấp nhận yêu cầu kết nối, kết nối PPP thiết lập NAS người dùng Người dùng xác thực ISP cuối cùng, CHAP PAP sử dụng cho chức Nếu khơng có đường hầm tới Gateway mạng đích tồn tại, đường hầm khởi tạo Sau đường hầm thiết lập thành công, ID (MID) đa công phân phối tới kết nối Một thông điệp thông báo gửi tới Gateway máy chủ mạng Thông điệp thông báo cho Gateway yêu cầu kết nối từ người dùng xa Gateway chấp nhận từ chối yêu cầu kết nối Nếu yêu cầu bị từ chối, người dùng thông báo lỗi kết nối quay số bị kết thúc Trong trường hợp yêu cầu chấp nhận, máy chủ Gateway gửi thông báo khởi tạo cài đặt tới Client từ xa, phản hồi bao gồm thơng tin xác thực, dùng Gateway để xác thực người dùng từ xa Sau người dùng xác thực máy chủ Gateway mạng, giao diện ảo thiết lập đầu cuối 2.2.2.2 Đường hầm L2F Khi người dùng từ xa xác thực yêu cầu kết nối chấp nhận, đường hầm NAS nhà cung cấp Gateway máy chủ mạng thiết lập, hình 2.13 Hình 2.13 Quá trình định đường hầm liệu dựa L2F Sau đường hầm đầu cuối thiết lập xong Các Frame tầng trao đổi qua đường hầm sau: Người dùng từ xa chuyển tiếp frame thông thường tới NAS đặt ISP POP cắt bỏ thông tin tầng liên kết liệu hay byte trình diễn, thêm vào tiêu đề L2F đánh dấu frame Sau frame đóng gói chuyển tiếp tới mạng đích qua đường hầm Máy chủ Gateway mạng chấp nhận gói đường hầm này, cắt bỏ tiêu đề L2F, đánh dấu chuyển tiếp frame tới Node đích mạng Intranet Node đích xử lý frame nhận gói khơng qua đường hầm Chú ý: Đường hầm L2F xem “Giao diện ảo” Bất kỳ phản hồi từ máy chủ đích mạng phải qua q trình ngược lại Đó là, host gửi frame tầng liên kết liệu thông thường tới Gateway, Gateway đóng gói frame vào gói L2F (như hình 2.14) chuyển tiếp tới NAS đặt Site ISP NAS cắt bỏ thông tin L2F từ frame thêm vào thông tin tầng liên kết liệu thích hợp với Frame sau chuyển tiếp tới người dùng từ xa L2F Header Payload Packet(PPP/SLIP) L2F CheckSum Hình 2.14 định dạng gói L2F 2.2.2.3 Bảo mật L2F L2F cung cấp dịch vụ: Mã hoá liệu xác thực Mã hoá liệu L2F L2F sử dụng MPPE cho chức mã hoá Tuy nhiên khơng an tồn với kỹ thuật Hacking tiên tiến ngày Và phải sử dụng mã hoá dựa IPSEC để đảm bảo liệu giao dịch bí mật IPSec sử dụng hai giao thức cho chức mã hố: đóng gói tải bảo mật(ESP) xác thực tiêu đề (AH) Thêm vào đó, để làm tăng tính bảo mật khố pha trao đổi khoá, IPSec sử dụng giao thức bên thứ ba trao đổi khố Internet(IKE) Xác thực liệu L2F Xác thực L2F hoàn thành hai mức Mức thứ xác thực dựa L2F xuất người dùng từ xa sử dụng đường quay số tới POP ISP Tại đây, trình thiết lập đường hầm bắt đầu sau người dùng xác thực thành công Mức thứ hai xác thực thực máy chủ Gateway mạng, khơng thiết lập đường hầm hai điểm đầu cuối xác thực người dùng từ xa Giống PPTP, L2F sử dụng dịch vụ bảo mật hỗ trợ PPP cho xác thực Kết L2F sử dụng PAP để xác thực Client từ xa Gateway L2F nhận yêu cầu kết nối L2F sử dụng lược đồ xác thực sau để nâng cao tính bảo mật liệu: - Giao thức xác thực có thăm dị trước(CHAP) - Giao thực xác thực mở rộng (EAP) 2.2.2.4 Các ưu nhược điểm L2F Mặc dù L2F yêu cầu mở rộng để khắc phục khác với LCP tuỳ chọn xác thực, đắt PPTP giải pháp chuyển tiếp Frame mức thấp, cung cấp giải pháp VPN cho mạng doanh nghiệp tốt PPTP Những ưu điểm việc thực thi giải pháp L2F bao gồm: - Nâng cao tính bảo mật phiên giao dịch - Độc lập với - Không cần phải đàm phán với ISP - Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, Frame Relay Ngồi ưu điểm trên, có số nhược điểm: - Việc thực thi giải pháp dựa L2F phụ thuộc nhiều vào ISP, ISP không hỗ trợ L2F khơng thể thực giải pháp - L2F khơng cung cấp kiểm sốt luồng Và vậy, đường hầm bị đầy gói liệu bị xố tuỳ tiện Điều nguyên nhân việc phải phát lại gói liệu, làm chậm tốc độ truyền - Do kết hợp xác thực mã hoá, giao dịch thực qua đường hầm dựa L2F chậm so sánh với PPTP ... cho mạng doanh nghiệp tốt PPTP Những ưu điểm việc thực thi giải pháp L2F bao gồm: - Nâng cao tính bảo mật phiên giao dịch - Độc lập với - Không cần phải đàm phán với ISP - Hỗ trợ nhiều công nghệ. .. hầm tới Gateway mạng đích tồn tại, đường hầm khởi tạo Sau đường hầm thiết lập thành công, ID (MID) đa công phân phối tới kết nối Một thông điệp thông báo gửi tới Gateway máy chủ mạng Thông điệp... Gateway mạng riêng Điều đặc biệt hữu ích việc giảm chi phí người dùng Hình 2.11 mơ tả đường hầm L2F 2.2.2.1 Tiến trình L2F Khi Client quay số từ xa khởi tạo kết nối tới Host cục Intranet riêng