HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG BÀI TIỂU LUẬN ĐỀ TÀI: Kỹ thuật đường hầm tunneling VPN giao thức layer VPN MƠN: Chun Đề Giảng viên: Nguyễn Chiến Trinh Nhóm mơn học 04: Sinh viên thực Trần Đức Dự - B17DCVT072 Đỗ Đình Thịnh - B17DCVT343 Nguyễn Tiến Đức - B17DCVT078 Nghiêm Xuân Thắng - B17DCVT328 Năm học 2020 -2021 ĐỀ CƯƠNG Bảng danh mục viết tắt Bảng danh mục hình vẽ Chương I: Tổng quan VPN 1.1 Định Nghĩa VPN 1.2 Những lợi ích VPN mang lại 1.3 Các mơ hình kết nối VPN thơng dụng 1.3.1 Remote VPN 1.3.2 Intranet VPN 1.3.3 Extranet VPN Chương II: KỸ THUẬT ĐƯỜNG HẦM VÀ CÁC GIAO THỨC TẠI LAYER TRONG VPN 2.1 Kỹ thuật đường hầm 2.1.1 Kỹ thuật Tunneling mạng VPN Remote Access 2.1.2 Kỹ thuật Tunneling mạng VPN Site-to-Site 2.2 Các giao thức layer vpn 2.2.1 Giao thức chuyển tiếp lớp L2F (Layer Forwarding) 2.2.1.1 Giới thiệu tổng quan đường hầm L2F 2.2.1.2 Quá trình thiết lập đường hầm L2F 2.2.1.3 Quá trình định hướng đường hầm dựa L2F 2.2.1.4 Tính bảo mật L2F 2.2.2 Giao thức đường hầm điểm điểm PPTP (Point-to-Point Tunneling Protocol) 2.2.2.1 Các thành phần giao thức PPTP 2.2.2.2 Vai trò PPP giao thức PPTP 2.2.2.3 Tiến trình PPTP 2.2.2.4 Xử lý định đường hầm PPTP 2.2.2.5 Tính bảo mật PPTP 2.2.3 Giao thức tunneling lớp L2TP (Layer Tunneling Protocol) 2.2.3.1 Giới thiệu tổng L2TP 2.2.3.2 Thành phần L2TP 2.2.3.3 Quá trình thiết lập đường hầm L2TP 2.2.3.4 Quá trình xử lý định hướng đường hầm liệu L2TP 2.2.3.5 Các mơ hình đường hầm L2TP 2.2.4 So sánh giao thức Kết luận chung Chuyên Đề Mục Lục Danh mục hình vẽ Danh mục từ viết tắt VPN LAN WAN QoS ISP PPP TCP/I P GRE IPSec L2F FDDI Virtual Private Network Local Area Network Wide Area Network Quality of Service Internet Service Provider Point-to-Point Protocol TransmissionControl Protocol/Internet Protocol Generic Routing Encapsulation Internet Protocol Security Layer Two Forwarding Fiber Distributed Data Interface IPX PSTN Internet Packet Exchange Public Switching Telephone Network Network Access Sever NAS Mạng riêng ảo Mạng máy tính nội Mạng diện rộng Chất lượng dịch vụ Nhà cung cấp Internet Giao thức kết nối điểm-điểm Giao thức điều khiển truyền nhận/Giao thức liên mạng Đóng gói định tuyến chung Giao thức internet bảo mật Chuyển tiếp lớp hai Là tiêu chuẩn để truyền liệu mạng cục Trao đổi gói Internet Mạng điện thoại chuyển mạch cơng cộng Là công nghệ lưu trữ liệu Chuyên Đề POP Post Office Protocol CHAP Challenge Handshake Authentication Protocol Password Authentication Protocol Identification Encapsulating Security Microsoft Point-to-Point Encryption Authentication Header Point-to-Point Tunneling Protocol Internet Key Exchange Link Control Protocol Access control Remote Accsess Switch Asynchronous Transfer Mode Frame Relay User Datagram Protocol PAP ID ESP MPPE AH PPTP IKE LCP AC RAS ATM FR UDP L2TP LAC ISDN LNS Layer Tunneling Protocol L2TP Access Concentrator Integrated Services Digital Network Local Network Service mạng máy tính Một tiêu chuẩn Internet cho phép tải email từ máy chủ email Giao thức xác thực có thăm dị trước Giao thức xác thực mật Nhận biết Đóng gói bảo mật Mã hóa điểm-điểm Microsoft Xác thực tiêu đề Giao thức đường hầm điểm-điểm Trao đổi khóa Internet Giao thức kiểm sốt liên kết Kiểm sốt truy cập Cơng tắc truy cập từ xa Chế độ truy cập không đồng Chuyển tiếp khung hình Là giao thức cốt lõi TCP/IP Giao thức đường hầm lớp hai Bộ tập trung truy cập L2TP Dịch vụ tích hợp Mạng kỹ thuật số Dịch vụ mạng cục Chuyên Đề Chương I: Tổng quan VPN Chương I: Tổng quan VPN 1.1 Định nghĩa VPN Mạng riêng ảo hay VPN (Virtual Private Network) định nghĩa kết nối mạng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa với sách quản lý bảo vệ giống mạng cục Mạng VPN mở rộng mô hình mạng LAN Trong thực tế người ta nói đến hai khái niệm: VPN tin cậy VPN an toàn VPN tin cậy: Như số mạch thuê bao nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê bao hoạt động đường dây mạng cục VPN an toàn: Là mạng riêng ảo có sử dụng mật mã để bảo vệ liệu Dữ liệu đầu mạng mật mã chuyển vào mạng công cộng liêu khác để truyền tới đích sau giải mả phía thu Hình 1.1: Mơ hình mạng riêng ảo 1.2 Lợi ích VPN mang lại hệ thống VPN kết nối nhiều site khác nhau, dựa khu vực, diện tích địa lý tượng tự chuẩn Wide Area Network (WAN) Bên cạnh đó, VPN cịn dùng để "khuếch tán", mở rộng mơ hình Intranet nhằm truyền tải thơng tin, liệu tốt Ví dụ, trường học phải dùng VPN để nối khuôn viên trường (hoặc chi nhánh với trụ sở chính) lại với Bước vào kỷ nguyên thông tin, công nghệ thông tin viễn thông hội tụ sau sắc đóng góp vai trị quan trọng phát triển kinh tế, xã hội toàn cầu Xu hướng tồn cầu hóa bắt buộc doanh nghiệp, tổ chức ngày phải hiệu hóa hệ thống Chuyên Đề Chương I: Tổng quan VPN thông tin Với hệ thống trụ sở, chi nhánh rải rộng khắp giới, việc sử dụng mạng kết nối – trao đổi thông tin riêng ( WAN – Wide Area Network ) nội vơ quan trọng để có kêt sản xuất kinh doanh thực hiệu Tuy nhiên, mạng dùng riêng (WAN) giải pháp đắt tiền, địi hỏi mức chi phí đầu tư lớn, khó phù hợp cho doanh nghiệp vừa nhỏ Việt Nam Với công nghệ mạng trước Leased Line Frame Relay VPN, để kết nối chi nhánh với Văn Phòng, doanh nghiệp phải đầu tư chi phí lớn thiết bị mạng chi phí sử dụng Tuy nhiên, hạn chế công nghệ, công nghệ mạng truyền thống phức tạp, khó quản trị, khả mở rộng mạng khó khăn Hình 1.2 Mạng riêng ảo có mã hóa đường hầm Mạng riêng ảo VPN giải pháp công nghệ cho phép thiết lập mạng dùng riêng mạng cơng cộng sẵ có chế mã hóa, tạo “đường hầm ảo” thơng suốt bảo mật Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp tự đầu tư thiết bị, từ mã hóa chịu trách nhiệm mạng Đây điều khó khăn cho doanh nghiệp không chuyên viễn thông công nghệ thông tin 1.2.1 Ưu điểm Mạng riêng ảo mang lại lợi ích thiết thực tức thời cho công ty: • Tiết kiệm chi phí Chuyên Đề • • • • • Chương I: Tổng quan VPN Tính linh hoạt Khả mở rộng tốt Giảm thiểu hỗ trợ kỹ thuật Giảm thiểu yêu cầu thiết bị Đáp ứng nhu cầu thương mại 1.2.2 Nhược điểm Ngồi ưu điểm trên, mạng VPN cịn có nhược điểm: • • • Sự rủi ro an ninh Độ tin cậy khả thực thi Vấn đề lựa chọn giao thức 1.3 Các mơ hình kết nối VPN thông dụng 1.3.1 VPN truy cập từ xa ( Remote access VPN ) Remote Access VPN cho phép người dùng xa sử dụng VPN client để tru cập vào mạng Intranet Công ty thông qua Gateway VPN concentrator ( chất server ) Vì vậy, giải pháp này, người dùng thường sử dụng công nghệ WAN truyền thống để tạo tunnel mạng trung tâm họ Hình 1.3 Remote Access VPN Ưu điểm Remote Access VPN: • • • VPN truy nhận từ xa không cần đến hỗ trợ quản trị mạng kết nối từ xa nhà cung cấp dịch vụ Internet đảm nhiệm Giảm giá thành chi phí kết nối với khoảng cách xa kết nối VPN truy nhập từ xa kết nối Internet VPN cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu Chuyên Đề Chương I: Tổng quan VPN Nhược điểm Remote Access VPN: • • Không đảm bảo chất lượng dịch vụ ( QoS ) Khả dự liệu cao, thêm phân đoạn gói liệu bị thất • Do độ phức tạp thuật tốn mã hóa nên gây khó khăn cho trình xác nhận 1.3.2 Intranet VPN Intranet VPN sử dụng để kết nối đến chi nhánh văn phòng trổ chức đến Corperate Intranet (backbone router) sử dụng campus router (Hình 1.3.2.a) Theo mơ hình tốn chi phí phải sử dụng router để thiết lập mạng Để giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều giảm lượng chi phí đáng kể việc triển khai mạng Intranet (Hình 1.3.2.b) Hình 1.4 Intranet VPN kết nối qua Backbone router Hình 1.5 Intranet VPN kết nối qua Internet Ưu điểm Intranet: • • Các mạng cục diện rộng thiết lập thơng qua hay nhiều nhà cung cấp dịch vụ Internet Giảm nhân lực hỗ trợ kỹ thuật mạng chi nhánh xa Chuyên Đề • • • • • Chương I: Tổng quan VPN Do kết nối trung gian thực thơng qua Internet nên dễ dàng thiết lập thêm liene kết hàng ngang Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Nhược điểm Intranet: Do liệu truyền qua mạng công cộng ( mã hóa ) nên mối đe dọa mức độ bảo mật liệu chất lượng dịch vụ (QoS) Khả gói liệu bị thất truyền cao 1.3.3 VPN mở rộng (Extranet VPN) Giải pháp VPN mở rộng cung cấp khả điều khiển truy nhập tới nguồn tài nguyên mạng cần thiết để mở rộng tới đối tượng kinh doanh Sự khác VPN nội VPN mở rộng truy nhập mạng công nhận hai đầu cuối VPN Hình 1.6 Extranet VPN Ưu điểm Extranet: • • • Do hoạt động mơi trường Internet, bạn lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tùy theo nhu cầu tổ chức Bởi phần Internet-connectivity bảo trì nhà cung cấp (ISP) nên giảm chi phí bảo trì thuê nhân viên bảo trì Dễ dàng triển khai, quản lý chỉnh sữa thông tin Nhược điểm Extranet: • • Sự đe dọa tính an tồn, bị cơng từ chối dịch vụ cịn tồn Tăng thêm nguy hiểm xâm nhập tổ chức Extranet Do dựa Internet nên liệu loại high-end data việc trao đổi diễn chậm chạp 10 Chuyên Đề 2.2.2.4 Xử lý định đường hầm liệu PPTP Một gói liệu PPTP phải trải qua nhiều giai đoạn đóng gói Đó giai đoạn Bao gói liệu: Thơng tin gốc mã hố sau bao gói vào bên Frame PPP Một tiêu đề PPP thêm vào Frame Bao gói Frame PPP: Frame PPP kết sau bao gói vào Sự đóng gói định tuyến chung(GRE) sửa đổi Tiêu đề GRE sửa đổi chứa trường ACK byte bit ACK tương ứng thông báo có mặt trường ACK Hơn nữa, trường khố frame GRE thay trường có độ dài byte gọi độ dài tải trường có độ dài byte gọi định danh gọi, PPTP client thiết lập trường tạo đường hầm PPTP, Bao gói gói liệu GRE: Tiếp theo, tiêu đề IP thêm vào khung PPP, bao gói vào gói GRE Tiêu đề IP chứa địa IP PPTP client nguồn PPTP Server đích Bao gói Layer 2: Như biết, PPTP giao thức tạo đường hầm tầng 2, vậy, tiêu đề tăng liên kết liệu lân theo đánh dấu quy luật quan trọng đường hầm liệu trước đặt lên phương tiện truyền phát, tầng liên kết liệu thêm vào tiêu đề đánh dấu cho gói liệu Nếu gói liệu phải chuyển qua đường hăm PPTP Cục bộ, gói liệu đóng gói vào đánh dấu tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn) Mặt khác, đường hầm trải qua liên kết WAN, tiêu đề đánh dấu ln thêm vào gói liệu lần Hình 2.16 Mơ tả tiến trình xử lý liệu PPTP đường hầm 20 Chuyên Đề Khi liệu PPTP truyền thành công đến người nhận, người nhận phải xử lý gói liệu đóng gói đường hầm để thu liệu gốc Quá trình ngược lại với trình định đường hầm liệu PPTP Để lấy lại liệu góc Node PPTP người nhận phải thực sau: Người nhận loại bỏ tiêu đề đánh dấu tầng liên kết liệu thêm người gửi • Tiếp đó, loại bỏ tiêu đề GRE • Tiêu đề IP xử lý loại bỏ • Cuối cùng, thơng tin gốc giải mã (nếu u cầu) • Hình 2.17 Q trình xử lý gói liệu để nhận gói liệu gốc 2.2.2.5 Bảo mật PPTP PPTP đưa nhiều dịch vụ bảo mật xây dựng sẵn khác cho PPTP Server Client Các dịch vụ bảo mật bao gồm: Mã hóa nén liệu, xác thực, kiểm sốt truy cập lọc gói tin Hơn chế bảo mật đề cập trên, PPTP dùng chung với Firewall Router - Mã hoá nén liệu PPTP: PPTP khơng cung cấp chế mã hố để bảo mật liệu Thay vào đó, sử dụng dịch vụ mã hoá đề xuất PPP, PPP sử dụng mã hố Microsoft Pointto-Point, dựa phương pháp mã hố chia sẻ bí mật 21 Chuyên Đề - Xác thực liệu PPTP: PPTP hỗ trợ chế xác thực Microsoft sau đây: • • Giao thức xác thực có thăm dị trước Microsoft(MS CHAP):MS CHAP phiên thương mại Microsoft dùng cho xác thực dựa PPP Vì tương đồng cao với CHẠP, chức MS CHAP giống với CHẠP Điểm khác chúng CHAP dựa RSA thuật tốn MD5 MS CHAP dựa RSA RCA DES Mục đích MSCHAP phát triển cho sản phẩm Microsoft, khơng hỗ trợ khác b Giao thức xác thực mật khẩu(PAP): Là giao thức đơn giản giao thức xác thực đường quay số thơng dụng Nó dùng để xác thực kết nối dựa PPP Tuy nhiên gửi ID mật người dùng qua liên kết mà khơng mã hố Và vậy, khơng đưa bảo vệ từ việc phát lại hay thử lặp công lỗi Một lô hông PẬP khác thực thể truyền thông cuối xác thực lần khởi tạo kết nối Vì vậy, kẻ cơng vượt qua lần khơng phải lo lắng vấn đề xác thực tương lai nữa! Vì lý này, PAP xem giao thức xác thực phức tạp chế xác thực ưa thích VPN - Kiểm sốt truy cập PPTP: Sau Client PPTP từ xa xác thực thành cơng, truy cập đến tài nguyên mạng bị hạn chế mục đích bảo mật nâng cao, Mục tiêu hoàn thành việc thực thi bổ sung thể kiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm lọc gói PPTP Lọc gói PPTP cho phép Server PPTP mạng riêng chấp nhận định tuyến gói từ Client PPTP xác thực thành công Kết là, Client PPTP xác thực truy cập lại tới mạng từ xa xác định Trong cách này, PPIP không cung cấp chế xác thực, kiểm sốt truy cập mã hố, mà cịn làm tăng thêm an toàn mạng - PPTP với Firewall Router Các thiết bị PPTP chấp nhận lưu lượng TTP IP Cổng 123 47 Tuy nhiên, PPTP dùng chung với Firewall Router, lưu lượng dự tính cho Cơng định tuyến qua Firewall Router, chúng lọc lưu lượng sở danh sách kiểm soát truy cập (AC) sách bảo mật khác, PPTP nâng cao dịch vụ bảo mật mà đưa 22 Chuyên Đề 2.2.2.6 Các tính PPTP -Tính sẵn có: PPTP hỗ trợ nhiều hệ điều hành: Windows NT Server, Workstation Vì vậy, PPTP thực sẵn có Platform người sử dụng Không cần mua thêm phần mềm bổ sung Microsoft đưa cách nâng cấp PPTP tất phiên Windows, bổ sung nhiều nhánh Switch truy cập từ xa thiết bị Ascend, 3Com EC Telematics PPTP trở thành phần gói tin hệ điều hành mạng phần lớn Switch truy cập từ xa Một nhà quản trị mạng Window NT thử nghiệm VPN mà không cần tốn thêm chi phí - Dễ thi hành: Nhiều nhà quản trị mạng Window NT quen thuộc với cách thiết lập giao thức mạng RAS sử dụng PPTP khơng khó khăn với họ Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua ISP sử dụng Switch truy cập từ xa (Remote ACCsess Switch) có hỗ trợ PPTP cần bố sung địa IP RAS Server vào Profile họ, ISP dễ dàng đóng gói gói tin PPP theo khn dạng PPTP - Tạo đường hầm đa giao thức: Đây tính vượt trội PPTP, vài phần mềm tạo đường hầm cho phép tạo đường hầm với gói tin IP giao thức PPTP tạo đường hầm cho tất giao thức mà máy chủ RAS cho phép - Khả sử dụng địa IP không đăng ký cách đồng bộ: Khi người dùng VPN tạo kết nối PPTP tới máy chủ RAS máy chủ gán cho địa IP Địa phần dãi địa IP tổ chức thế, hệ thống người sử dụng RAS trực tuyến mạng IP tổ chức Các tổ chức không sử dụng địa IP đăng ký (là địa cung cấp Cơ quan có thẩm quyền, hệ thống mạng) hệ thống mạng riêng Cơ quan thẩm quyền Internet Assigned Numbers (ANA) thiết lập khối địa IP không đăng ký để sử dụng mạng riêng Intranet hệ thống mạng không cho phép truy cập Internet hay truy cập qua Router Nếu cơng ty có sử dụng tập Các địa không đăng ký RAS Client sử dụng giao thức PPTP để thiết lập kết nối, cung cấp địa số địa truy cập tới mạng nội công ty Nếu người sử dụng xa quay số kết nối tới ISP có gắng truy cập tới mạng không hỗ trợ giao thức PPTP, Firewall tổ chức phải mở cống cho người sử dụng vào mạng cục bộ, điều tạo lỗ hổng Vì vậy, khơng phải họ kết nối tới ISP vào mạng cục 23 Chuyên Đề 2.2.3 Giao thức đường hầm L2TP 2.2.3.1 Giới thiệu tổng L2TP Điểm mấu chốt thuận lợi mang lại L2TP tích hợp đặc trưng L2F PPTP Đó lợi ích sau: • • • • 2TP hỗ trợ nhiều giao thức công nghệ mạng, IP, ATM, FR PPP Kết hỗ trợ công nghệ riêng biệt thiết bị truy cập thông thường L2TP không yêu cầu bổ sung thêm phần mềm thêm trình điều khiển hay hỗ trợ hệ điều hành Cho nên người dùng từ xa người dùng Intranet riêng không cần phải thực thi phần mềm đặc biệt L2TP cho phép người dùng từ xa chưa đăng ký địa IP truy cập mạng từ xa qua mạng công cộng Xác thực cấp quyền L2TP thực Gateway mạng chủ Vì ISP khơng cần phải trì sở liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa Hơn nữa, mạng Intranet định nghĩa sách bảo mật truy cập cho họ Điều làm cho tiến trình thiết lập đường hầm nhanh nhiều so với giao thức đường hầm trước Đặc trưng đường hầm L2TP L2TP thiết lập đường hầm PPP mà không giống với PPTP không kết thúc Site ISP gần Để thay thế, đường hầm mở rộng tới Gateway mạng chủ (mạng đích) Như hình 2.12 u cầu đường hầm L2TP bị kết thúc người dùng từ xa Gateway ISP Hình 2.18 Đường hầm L2TP 24 Chuyên Đề Lúc Frame PPP gửi qua đường hầm L2TP, chúng đóng gói lại thông điệp giao thức UDP, L2TP sử dụng thông điệp UDP cho liệu đường hầm việc trì đường hầm Cũng vậy, liệu đường hầm L2TP gói trì đường hầm khơng giống với giao thức trước Có cấu trúc gói 2.2.3.2 Thành phần L2TP Các giao dịch dựa L2TP tận dụng thành phần sau: Một Server truy cập mạng (NAS), tập trung truy cập L2TP (LAC) Server mạng L2TP (LNS) Server truy cập mạng (NAS) :Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới người dùng quay số từ xa (qua đường ISDN PSTN) dùng kết PPP NAS chịu trách nhiệm xác thực người dùng từ xa điểm ISP sau định xem kết nối quay số ảo Có phải yêu cầu thật hay không Giống NAS PPTP, NAS L2TP đặt vị trí ISP hoạt động Client tiến trình thiết lập đường hầm L2TP, NAS trả lời hỗ trợ nhiều yêu cầu kết nối đồng thời hỗ trợ nhiều loại Client (Sản phẩm Microsoft, Unix, Linux, ) Bộ tập trung truy cập L2TP (LAC): • • Vai trị LẠC cơng nghệ đường hầm L2TP thiết lập đường hầm qua mạng công cộng (như PSTN, ISDN, Internet) tới LNS mạng sau Trong khía cạnh này, LAC server điểm kết thúc môi trường vật lý Client sau LNS mạng chủ Một điều quan trọng LAC thường đặt điểm xuất ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa Server mạng L2TP (LNS) • • LNS điểm cuối đầu kết nối từ xa Nó đặt mạng trung tâm cho phép nhiều kết nối từ xa lúc Khi LNS nhận yêu cầu cho yêu cầu kết nối ảo từ LÁC, thiết lập đường hầm xác thực người dùng khởi tạo kết nối Nếu LNS | chấp nhận yêu cầu kết nối, tạo giao diện ảo 25 Chuyên Đề 2.2.3.3 Các tiến trình L2TP Hình 2.19 Mơ tả q trình thiết lập đường truyền L2TP Khi người dùng từ xa cần thiết lập đường hầm L2TP qua mạng Internet mạng công cộng, bước sau: Người dùng từ xa gửi yêu cầu kết nối tới NAS ISP gần đồng thời khởi tạo kết nối PPP với ISP sau NAS chấp nhận yêu cầu kết nối sau xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa PPP, PAP, CHAP, SPAP EAP cho chức NAS sau khởi động LÁC, nơi chứa thơng tin LNS mạng đích Tiếp theo, LẠC thiết lập đường hầm LẠC-LNS qua mạng trung gian hai đầu cuối Mơi trường đường hầm ATM, Frame Relay IP/UDP Sau đường hầm thiết lập thành công, LẠC phân phối định danh gọi(Call ID - CID) để kết nối gửi thông điệp thông báo tới LNS.thông điệp chứa thơng tin mà dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu) Thông điệp mang | tuỳ chọn LCP thương lượng người dùng với LAC LNS sử dụng thông tin nhận thông điệp thông báo để xác thực người dùng cuối Nếu người dùng xác thực thành công LNS chấp nhận yêu cầu tạo lập đường hầm, giao diện PPP ảo thiết lập với trợ giúp tuỳ chọn nhận từ thông điệp thông báo 26 Chuyên Đề Người dùng từ xa LNS bắt đầu trao đổi liệu qua đường hầm 2.2.3.4 Dữ liệu đường hầm L2TP Hình 2.20 Quá trình xử lý đường hầm liệu L2TP Tương tự gói đường hầm PPTP, gói L2TP trải qua nhiều mức đóng gói Các giai đoạn minh hoạ hình 2.14, bao gồm: • • • • • Đóng gói PPP liệu: Khơng giống đóng gói dựa PPTP, liệu khơng mã hố trước đóng gói Chỉ tiêu đề PPP thêm vào gói liệu gốc tải Đóng gói L2TP Frame: Sau gói tải gốc đóng gói vào gói PPP, tiêu đề L2TP thêm vào Đóng gói UDP Frame: Tiếp theo, gói liệu L2TP đóng gói lại đóng gói vào Frame UDP Tiếp sau đó, tiêu đề UDP thêm vào Frame L2TP đóng gói Cổng nguồn đích UDP thiết lập 1701 Đóng gói IPSec gói liệu UDP: Sau Frame L2TP đóng gói UDP, UDP mã hố tiêu đề đóng gói tải bảo mật IPSec thêm vào Một đánh dấu xác thực tiêu đề IPSec gắn vào để mã hố đóng gói liệu Đóng gói IP gói liệu IPSec bọc gói: Tiếp theo, tiêu đề IP cuối thêm vào gói IPSec đóng gói Tiêu đề IP chứa địa IP LNS người dùng từ xa 27 Chun Đề • Đóng gói tầng liên kết liệu: Một tiêu đề tầng liên kết liệu đánh dấu cuối thêm vào gói IP nhận từ việc đóng gói IP cuối Tiêu đề đánh dấu giúp cho gói liệu tới Node đích Nếu Node đích node cục bộ, tiêu đề đánh dấu dựa công nghệ mạng LAN Trong trường hợp khác, gói liệu giành cho đích xa, tiêu đề PPP đánh dấu thêm vào gói liệu đường hầm L2TP • Hình 2.21 Tiến trình mở gói liệu đường hầm L2TP Tiến trình mở gói liệu đường hầm ngược lại thủ tục tạo đường hầm Khi thành phần L2TP (LNS người dùng cuối) nhận gói liệu đường hầm L2TP, trước tiên loại bỏ tiêu đề tầng liên kết liệu đánh dấu, tiếp gói liệu loại bỏ tiêu đề IP, gói liệu sau xác thực việc dùng thơng tin mang tiêu đề ESP IPSec đánh dấu AH, tiêu đề ESP IPSec dùng để giải mã thông tin Tiếp theo tiêu đề UDP xử lý loại bỏ Định danh đường hầm CID tiêu đề L2TP phục vụ để định danh đường hầm L2TP phiên làm việc Cuối cùng, tiêu đề PPP xử lý loại bỏ, gói tải PPP chuyển tiếp tới thiết bị giao thức thích hợp để xử lý Hình 2.17 mơ tả tiến trình 2.2.3.5 Mơ hình đường hầm L2TP: - Đường hầm L2TP kiểu bắt buộc: • Một đường hầm L2TP bắt buộc, ta thấy hình 2.18 thiết lập LẠC ISP sau LNS mạng chủ Điều quan trọng để thiết lập thành 28 Chuyên Đề cơng đường hầm ISP có khả hỗ trợ công nghệ L2TP Hơn nữa, ISP phải dùng luật khoá việc thiết lập đường hầm L2TP Hình 2.22 Đường hầm bắt buộc L2TP Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) thực thể bị động Khác với việc phát yêu cầu kết nối gốc, người dùng cuối khơng có vai trị tiến trình thiết lập đường hầm Vì vậy, khơng có thay đổi lớn yêu cầu người dùng cuối L2TP • Việc tạo lập đường hầm L2TP cân nhắc tuỳ chọn tốt từ quan điểm bảo mật kết nối đường quay số người dùng cuối dùng để thiết lập kết nối PPP với ISP, Kết là, người dùng truy cập ngoại trừ qua Gateway Intranet Nó cho phép người quản trị mạng thực thi chế bảo mật nghiêm ngặt, kiểm soát truy cập chiến lược kiểm toán • Hình 2.23 Quá trình thiết lập đường hầm bắt buộc Các bước thiết lập đường hầm bắt buộc mơ tả hình bao gồm: 29 Chuyên Đề Người dùng từ xa yêu cầu kết nối từ NAS cục tới ISP NAS xác thực người dùng, tiến trình xác thực giúp cho NAS biết định danh người dùng yêu cầu kết nối Nếu định danh người dùng ánh xạ tới thực thể sở liệu trì ISP, dịch vụ cho phép người dùng ánh xạ NAS xác định điểm cuối đường hầm L2TP Nếu NAS chấp nhận kết nối, liên kết PPP thiết lập ISP người dùng từ xa LẠC khởi tạo đường hầm L2TP tới LNS mạng chủ sau Nếu kết nối chấp nhận LNS, Frame PPP trải qua việc tạo đường hầm L2TP LNS chấp nhận Frame khôi phục lại Frame PPP gốc Cuối cùng, LNS xác thực người dùng nhận gói liệu Nếu người dùng xác nhận thành công, địa IP thích hợp ánh xạ tới Frame sau Frame chuyển tiếp tới Node đích Intranet - Đường hầm L2TP kiểu tự nguyện • Một đường hầm tự nguyện L2TP hình 2.20 thiết lập người dùng từ xa LNS đặt mạng chủ cuối Trong trường hợp này, người dùng từ xa tự hoạt động LAC Bởi luật ISP việc thiết lập đường hầm tự nguyện L2TP tối thiểu Cơ sở hạ tầng ISP suốt với người dùng cuối Điều làm cho bạn nhớ đường hầm dựa PPP Intranet ISP suốt Hình 2.24 Đường hầm tự nguyện L2TP • Ưu điểm lớn đường hầm L2TP tự nguyện cho phép người dùng từ xa kết nối đến Internet thiết lập nhiều phiên VPN đồng thời Tuy nhiên để sử dụng ưu điểm này, người dùng từ xa phải gắn vào nhiều địa IP Một nhiều IP dùng cho kết nối PPP tới ISP thường dùng để hỗ trợ cho đường hầm L2TP riêng biệt Tuy nhiên ưu điểm bất lợi client từ xa, mạng chủ dễ dàng bị cơng 30 Chun Đề Hình 2.25 Q trình thiết lập đường hầm L2TP tự nguyện Việc thiết lập đường hầm loại đơn giản thiết lập đường hầm bắt buộc người dùng từ xa tận dụng kết nối PPP thiết lập trước tới ISP sau Các bước thiết lập đường hầm bao gồm: LẠC (trong trường hợp người dùng từ xa) phát yêu cầu đường hầm tới LNS Nếu yêu cầu đường hầm chấp nhận LNS, DC tạo đường hầm cho Frame PPP L2TP xác định chuyển tiếp frame qua đường hầm LNS nhận Frame qua đường hầm, loại bỏ thông tin đường hầm xử lý Frame Cuối cùng, LNS xác thực định danh người dùng người dùng xác thực thành cơng, chuyển tiếp Frame tới Node đích Intranet Tiến trình thiết lập đường hầm L2TP tự nguyện minh hoạ hình Việc sử dụng L2TP VPN u cầu chi phí thấp nhiên bên cạnh nhiều vấn đề bảo mật chưa đáp ứng 2.4 So sánh giao thức: Đặc tính PPPTP L2F L2TP 31 Chuyên Đề Hỗ trợ nhiều giao thức Có Có Có Hỗ trợ nhiều kết nối đường hầm Hỗ trợ nhiêu liên kết PPP Khơng Có Có Khơng Có Có Các chế độ đường hầm hỗ trợ Voluntary Voluntary & Compulsory Voluntary & Compulsory Giao thức carier IP/GRE Giao thức kiểm soát Cơ chế xác thực TCP, port: 1723 IP/UDP, IP/FR, IP/ATM UDP, port: 1701 IP/UDP, IP/FR, IP/ATM UDP, port: 1701 MS-CHAP, PAP Cơ chế mã hóa MPPE CHAP, PAP, SPAP, EAP, IPSEC MPPE, IPSEC CHAP, PAP, SPAP, EAP, IPSEC, TACACS MPPE, IPSEC 32 Chuyên Đề Kết Luận 33 Chuyên Đề 34 ... GIAO THỨC TẠI LAYER TRONG VPN 2.1 Kỹ thuật đường hầm 2.1.1 Kỹ thuật Tunneling mạng VPN Remote Access 2.1.2 Kỹ thuật Tunneling mạng VPN Site-to-Site 2.2 Các giao thức layer vpn 2.2.1 Giao thức chuyển... trao đổi diễn chậm chạp 10 Chuyên Đề Chương II: Kỹ thuật đường hầm giao thức layer VPN 2.1 Kỹ thuật đường hầm Hầu hết VPN dựa vào kỹ thuật gọi Tunneling để tạo mạng riêng Internet Về chất, q... cầu đường hầm tới LNS Nếu yêu cầu đường hầm chấp nhận LNS, DC tạo đường hầm cho Frame PPP L2TP xác định chuyển tiếp frame qua đường hầm LNS nhận Frame qua đường hầm, loại bỏ thông tin đường hầm