1. Trang chủ
  2. » Luận Văn - Báo Cáo

Công nghệ ip vpn

108 10 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 108
Dung lượng 1,46 MB

Nội dung

TRƯỜNG ĐẠI HỌC VINH KHOA ĐIỆN TỬ- VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: CÔNG NGHỆ IP-VPN Sinh vi n th c : NGUYỄN Đ NH VỆ Lớp : 47K-ĐTVT Giảng vi n hướng dẫn : TS NGUYỄN TH QU NH HO Vinh, - 2011 LỜI NĨI ĐẦU Cùng với xu tồn cầu hóa, s mở rộng giao lưu hợp tác quốc tế ngày tăng, quan hệ hợp tác kinh doanh không dừng lại phạm vi huyện, tỉnh, nước mà cịn mở rộng tồn giới Một cơng ty có chi nhánh, có đối tác kinh doanh nhiều quốc gia họ ln có nhu cầu trao đổi thơng tin với Để bảo đảm bí mật thơng tin trao đổi theo cách truyền thống người ta dùng k nh thu ri ng, nhược điểm đắt tiền, gây lãng phí tài nguy n li u trao đổi không nhiều không thường xuy n Vì người ta nghi n cứu cơng nghệ khác đáp ứng nhu cầu trao đổi thông tin đỡ tốn thuận tiện hơn, giải pháp mạng ri ng ảo VPN định nghĩa mạng kết nối site khách hàng đảm bảo an ninh tr n sở hạ tầng mạng chung với sách điều khiển truy nhập đảm bảo an ninh mạng ri ng Đã có nhiều phương án triển khai VPN như: X 25, TM, Frame Relay, leased line… Tuy nhi n th c giải pháp chi phí lớn để mua sắm thiết bị, chi phí cho vận hành, trì, quản lý lớn doanh nghiệp phải gánh chịu nhà cung cấp dịch vụ đảm bảo k nh ri ng cho số liệu không chắn vấn đề an ninh k nh ri ng Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN tiết kiệm nhiều chi phí việc muốn kết nối chi nhánh văn phòng với nhau, truy cập từ xa vào mạng nội bộ, gọi điện thoại VoIP, với độ bảo mật cao Hiện DSL trở n n phổ biến, chi phí thấp, n n việc th c IP VPN trở n n đơn giản, hiệu tận dụng đường truyền Internet tốc độ cao Tính tương thích IP VPN cao s phổ biến nó, n n bạn kết hợp nhiều thiết bị sản phẩm thương hiệu khác Tr n sở đó, tơi định chọn hướng nghi n cứu đồ án cơng nghệ IP-VPN Mục đích đồ án tìm hiểu vấn đề kỹ thuật có li n quan đến việc th c IP-VPN Bố cục đồ án gồm chương: - Chương trình bày giao thức TCP/IP Chương trình bày khái quát giao thức TCP/IP - Chương khái quát công nghệ mạng ri ng ảo tr n Internet IP-VPN Chương trình bày khái niệm VPN, bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm trở thành giải pháp có khả phát triển mạnh tr n thị trường Tiếp theo trình bày khối chức IP-VPN, phân loại mạng ri ng ảo theo cấu trúc Cuối trình bày giao thức đường ngầm sử dụng cho IP-VPN - Chương nói giao thức IPSec cho IP-VPN Chương trình bày vấn đề giao thức IPSec Bộ giao thức rấ quan trọng IPSec dung cho IP - VPN để đảm bảo tính tồn vẹn liệu, tính qn, tính bí mật xác th c truyền liệu tr n hạ tầng mạng công cộng - Chương trình bày n tồn liệu IP-VPN Trình bày số thuật tốn áp dụng để đảm bảo an toàn liệu cho IP-VPN d a tr n IPSec - Chương trình bày phương pháp th c IP – VPN sử dụng Em xin gửi lời cảm ơn chân thành đến Trường Đại học Vinh, thầy cô Khoa Công Nghệ tạo điều kiện giúp đỡ em trình học tập nghi n cứu Và đặc biệt em xin bày tỏ lịng kính trọng biết ơn sâu sắc đến TS Nguyễn Thị Quỳnh Hoa, người tận tình hướng dẫn bảo em q trình nghi n cứu, xây d ng hồn thành đồ án Mặc dù nhận nhiều s giúp đỡ cô giáo hướng dẫn, thầy cô giáo khoa Điện Tử-Viễn Thông s cố gắng thân đồ án không tránh khỏi sai sót tơi mong nhận s đóng góp nhiều ý kiến từ phía thầy ban bè người quan tâm đến lĩnh v c Sinh viên: Nguyễn Đình Vệ Tóm Tắt Đồ Án Công nghệ mạng ri ng ảo IP-VPN cho phép tận dụng môi trường mạng công cộng Internet để xây d ng mạng ri ng đảm bảo an ninh Với ưu điểm mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt triển khai mở rộng, VPN công nghệ hứa hẹn triển vọng thị trường lớn Đồ án sâu tìm hiểu vấn đề kỹ thuật mơ hình th c cơng nghệ IP-VPN Trong đó, đường ngầm tảng IP-VPN, phạm vi đồ án trình bày giao thức đường ngầm: PPTP, L2TP IPSec PPTP L2TP giao thức đường ngầm phát triển d a tr n giao thức PPP Hai giao thức chuẩn hoàn thiện sản phẩm hỗ trợ chúng tương đối phổ biến Đối với ứng dụng y u cầu an toàn liệu cao IPSec giao thức thích hợp IPSec hỗ trợ phương pháp xác th c mật mã mạnh nhất, có tính linh hoạt cao khơng bị ràng buộc phương pháp xác th c mật mã Đây xem giao thức tối ưu cho IP-VPN tìm hiểu cách chi tiết VPN technology allows the environmental advantage of public Internet networks to build their own network security With these advantages in terms of cost, scope is not limited flexibility in the deployment and expansion, VPN is a technology that promises a huge potential market This project has deep understanding of technical issues and implementation model of IP-VPN technology In particular, the tunnel is the foundation of the IP-VPN, the scope of this project presented the tunnel protocols: PPTP, L2TP and IPSec PPTP and L2TP tunneling protocols are being developed based on PPP Two standard protocols are completed and the products they support are relatively common For applications requiring higher data security, the IPSec protocol is appropriate IPSec supports authentication methods and the strongest encryption, with high flexibility by not being bound by an authentication method as well as passwords This is considered the optimal protocol for IPVPN and is explored in detail the most Chương Bộ giao thức TCP/IP 1.1 Khái niệm mạng Internet Tháng 6/1968, quan Bộ Quốc phòng Mỹ Cục d án nghi n cứu ti n tiến ( dvanced Research Project gency - viết tắt RP ) xây d ng d án nối kết trung tâm nghi n cứu lớn toàn liên bang với mục ti u chia sẻ, trao đổi tài nguy n thông tin, đánh dấu s đời ARPANET - tiền thân mạng Internet hôm Ban đầu, giao thức truyền thông sử dụng mạng RP NET NCP, sau thay giao thức TCP/IP Bộ giao thức TCP/IP gồm tập hợp chuẩn mạng, đặc tả chi tiết cách thức cho máy tính thơng tin li n lạc với nhau, quy ước cho đấu nối li n mạng định tuyến cho mạng Trước đây, người ta định nghĩa “Internet mạng tất mạng sử dụng giao thức IP” Nhưng nay, điều khơng cịn xác nhiều mạng có kiến trúc khác nhờ cầu nối giao thức n n kết nối vào Internet sử dụng đầy đủ dịch vụ Internet Internet không tập hợp mạng li n kết với nhau, Internetworking cịn có nghĩa mạng li n kết với tr n sở đồng ý với quy ước mà cho phép máy tính li n lạc với nhau, cho dù đường li n lạc qua mạng mà chúng không đấu nối tr c tiếp tới Như vây, kỹ thuật Internet che dấu chi tiết phần cứng mạng, cho phép hệ thống máy tính trao đổi thông tin độc lập với li n kết mạng vật lý chúng TCP/IP có đặc điểm sau làm cho trở n n phổ biến: - Độc lập với kiến trúc mạng: TCP/IP sử dụng kiến trúc Ethernet, Token Ring, mạng cục L N mạng diện rộng W N - Chuẩn giao thức mở: TCP/IP th c tr n phần cứng hay hệ điều hành Do đó, TCP/IP tập giao thức lý tưởng để kết hợp phần cứng phần mềm khác - Sơ đồ địa tồn cầu: máy tính tr n mạng TCP/IP có địa xác định Mỗi gói liệu gửi tr n mạng TCP/IP có Header gồm địa máy đích địa máy nguồn - Khung Client - Server: TCP/IP khung cho ứng dụng client server mạnh hoạt động tr n mạng cục mạng diện rộng - Chuẩn giao thức ứng dụng: TCP/IP không cung cấp cho người lập trình phương thức truyền liệu tr n mạng ứng dụng mà cung cấp nhiều phương thức mức ứng dụng (những giao thức th c chức dùng E-mail, truyền nhận file) [1] 1.2 Mơ hình phân lớp giao thức TCP/IP Bộ giao thức TCP/IP s kết hợp giao thức khác lớp khác nhau, khơng có giao thức TCP IP Mỗi lớp có chức ri ng Mơ hình TCP/IP tổ chức thành lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) sau: OSI TCP/IP Lớp ứng dụng Lớp ứng dụng Lớp trình bày SMTP Lớp phi n FTP TELNET DNS Lớp vận chuyển Lớp vận chuyển TCP UDP Lớp Internet Lớp mạng IGMP ICMP ARP RARP Lớp li n kết liệu Lớp truy cập mạng Lớp vật lý Hình 1.1 Mơ hình phân lớp giao thức TCP/IP  Lớp ứng dụng ( pplication layer): Điều khiển chi tiết ứng dụng cụ thể Nó tương ứng với lớp ứng dụng, trình diễn mơ hình OSI Nó gồm giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng SMTP, FTP, TFTP … Hiện có hàng trăm chí hàng nghìn giao thức thuộc lớp Các chương trình ứng dụng giao tiếp với giao thức lớp vận chuyển để truyền nhận liệu Chương trình ứng dụng truyền liệu dạng y u cầu đến lớp vận chuyển để xử lý trước chuyển xuống lớp Internet để tìm đường  Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ số tiến trình (một chương trình chạy) tới tiến trình khác Lớp vận chuyển đảm bảo thông tin truyền đến nơi nhận không bị lỗi theo trật t Nó có giao thức khác giao thức điều khiển truyền dẫn TCP giao thức liệu đồ người sử dụng UDP  Lớp Internet (Internet layer): Cung cấp chức đánh địa chỉ, độc lập phần cứng mà nhờ liệu di chuyển mạng có kiến trúc vật lý khác Lớp điều khiển việc chuyển gói qua mạng, định tuyến gói (Hỗ trợ giao thức li n IP - khái niệm li n mạng nói tới mạng lớn hơn: mạng li n kết mạng L N) Các giao thức lớp IP, ICMP, ARP, RARP  Lớp truy cập mạng (Network ccess Network): Cung cấp giao tiếp với mạng vật lý Thông thường lớp bao gồm driver thiết bị hệ thống vận hành card giao diện mạng tương ứng máy tính Lớp th c nhiệm vụ điều khiển tất chi tiết phần cứng th c giao tiếp vật lý với cáp với môi trường sử dụng Cung cấp kiểm soát lỗi liệu phân bố tr n mạng vật lý Lớp không định nghĩa giao thức ri ng cả, hỗ trợ tất giao thức chuẩn độc quyền Ví dụ: Ethernet, Tocken Ring, FDDI, X 25, wireless, sync, TM, SN [1]… 1.3 Các giao thức mơ hình TCP/IP 1.3.1 Giao thức Internet 1.3.1.1 Giới thiệu chung Mục đích giao thức Internet chuyển thơng tin từ nguồn tới đích IP sử dụng gói tin liệu đồ (datagram) Mỗi datagram có chứa địa đích IP sử dụng thơng tin để định tuyến gói tin tới đích theo đường thích hợp Các gói tin cặp người sử dụng dùng tuyến thông tin khác nhau, việc định tuyến ri ng biệt gói tin Giao thức IP không lưu giữ trạng thái, sau datagram chuyển b n gửi khơng cịn lưu thơng tin nữa, mà khơng có phương pháp để phát gói bị dẫn tới trình trạng lặp gói sai thứ t gói tin 1 2 3 2 3 Hình 1.2 Định tuyến sử dụng IP Datagram Giao thức Internet giao thức phi kết nối (connectionless), nghĩa không cần thiết lập đường dẫn trước truyền liệu gói tin xử lí độc lập IP khơng kiểm tra tổng cho phần liệu nó, có Header gói kiểm tra để tránh gửi nhầm địa Các gói tin theo nhiều hướng khác để tới đích Vì liệu IP datagram khơng đảm bảo Để xử lý nhược điểm lặp gói IP phải d a vào giao thức lớp cao để truyền tin cậy (ví dụ TCP) [1] Sender Data Data Receiver Data Sender Data Data Data Hình 1.3 Giao thức kết nối vô hướng 1.3.1.2 Cấu trúc IPv4 Thông tin nhận từ lớp vận chuyển gán th m vào ti u đề IP Ti u đề có chiều dài từ 20 đến 60 bytes tr n đường tùy thuộc vào chức l a chon sử dụng Cấu trúc gói IPv4 mơ tả hình Hình 1.4 Cấu trúc gói tin IPv4 Giải thích ý nghĩa trường: * Version (phiên bản): phi n giao thức IP dùng để tạo datagram, sử dụng để máy gửi, máy nhận, định tuyến thống định dạng lược đồ liệu Ở phi n IPv4 * IP header length (độ dài ti u đề IP): cung cấp thông tin độ dài ti u đề datagram tính theo từ 32 bit * Type of service (loại dịch vụ): trường loại phục vụ dài bit gồm phần, trường ưu ti n kiểu phục vụ Trường ưu ti n gồm bit dùng để gán mức ưu ti n cho datagram, cung cấp chế cho phép điều khiển gói tin qua mạng Các bit lại dùng để xác định kiểu lưu lượng datagram tin chuyển qua mạng đặc tính thơng, độ trễ độ tin cậy Tuy nhi n, thân mạng Internet không đảm bảo chất lượng dịch vụ, trường mạng tính y u cầu khơng mang tính địi hỏi định tuyến * Total length (tổng độ dài): trường gồm 16 bit, sử dụng để xác định chiều dài toàn IP datagram * Identification (nhận dạng): trường nhận dạng dài 16 bit Trường máy chủ dùng để phát nhóm đoạn bị chia nhỏ gói tin Các định tuyến chia nhỏ datagram đơn vị truyền tin lớn gói tin (MTU-Maximum Transmission Unit) lớn MTU môi trường truyền * Flags (cờ): chứa bit sử dụng cho trình điều khiển phân đoạn, bít đầu ti n thị tới định tuyến cho phép không cho phép phân đoạn gói tin, bit giá trị thấp sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để xác định gói tin nhận sau trình phân đoạn * Fragment offset: mạng thơng tin số lần chia gói tin, kích thước gói tin phụ thuộc vào mạng sở truyền tin, tức độ dài gói tin khơng thể vượt MTU môi trường truyền * Time - to - live (thời gian sống): dùng để ngăn việc gói tin lặp vịng tr n mạng Nó có vai trị đếm ngược, tránh tượng gói tin lâu mạng Bất kì gói tin có thời gian sống gói tin bị định tuyến hủy bỏ thông báo lỗi gửi trạm phát gói tin * Protocol (giao thức): trường dùng để xác nhận giao thức tầng mức cao sử dụng dịch vụ IP dạng số * Header checksum: trường kiểm tra tổng header có độ dài 16 bit, tính tốn tất trường ti u đề IPv4 Một gói tin qua định tuyến trường phần ti u đề bị thay đổi, trường cần phải tính tốn cập nhập lại để đảm bảo độ tin cậy thông tin định tuyến * Source Address - Destination ddress (địa nguồn địa đích): định tuyến gateway sử dụng để định tuyến đơn vị số liệu, luôn với gói tin từ nguồn tới đích 10 Tunnel VPN Concentrator VPN Concentrator Internet VPN public IP 172.26.26.1 Computer Application Server 192.168.1.10 VPN public IP 203.16.5.19 172.26.26.1 203.16.5.19 ESP Computer PC IP Address 192.168.1.20 192.168.1.10 192.168.1.20 DATA Hình 5.8 Đường ngầm IPSec LAN-to-LAN 5.4 Tình hình triển khai VPN Việt Nam Hiện nay, Vi t Nam có nhiều hãng cung cấp giải pháp VPN cho doanh nghiệp Trong đó, đứng đầu thị trường VPN Việt Nam hãng Juniper Networks Juniper hãng thiết bị hàng đầu Mỹ lĩnh v c bảo mật an tồn cho giao dịch truyền thơng môi trường mạng IP đơn lẻ Hiện Juniper hợp tác với VNPT phát triển mạng hệ sau NGN Theo số liệu từ doanh nghiệp thị trường SSL VPN (Secure Socket Layer) phát triển mạnh với tốc độ tăng trưởng bình quân hàng năm 67% Hãng cung cấp thiết bị cho nhiều cơng ty lớn Viêt Nam, có Bảo Việt B n cạnh đó, Juniper Network tìm cách để li n kết với ISP để đưa sản phẩm S 6000 SP cung cấp VPN dịch vụ gia tăng cho doanh nghiệp vừa nhỏ B n cạnh đó, VDC công ty cung cấp dịch vụ VPN cho khách hàng Việt Nam VDC li n kết với Singtel (Singapore Telecommunications Limited) có điểm kết nối IP-VPN Hà Nội, Đà Nẵng, TP HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương Dung lượng dịch vụ kết nối VDC Singtel IP-VPN 5MB Đối tượng khách hàng hướng tới VDC Singtel công ty hoạt động phân bố tr n địa bàn khác mong muốn tăng kết nối từ xa với chi phí giảm bảo hiểm, ngân hàng, hàng hải, doanh nghiệp hoạt động khu cơng nghiệp, văn phịng đại diện cơng ty nước ngồi 94 KẾT LUẬN VPN cơng nghệ sử dụng phổ biến nhằm cung cấp kết nối an toàn hiệu để truy cập tài nguy n nội công ty từ b n ngồi thơng qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ bảo đảm tính ri ng tư liệu giống truyền thông tr n hệ thống mạng ri ng Đồ án sâu tìm hiểu vấn đề kỹ thuật mơ hình th c cơng nghệ IP-VPN Trong đó, đường ngầm tảng IP-VPN, phạm vi đồ án trình bày giao thức đường ngầm: PPTP, L2TP IPSec PPTP L2TP giao thức đường ngầm phát triển d a tr n giao thức PPP Hai giao thức chuẩn hoàn thiện sản phẩm hỗ trợ chúng tương đối phổ biến Đối với ứng dụng y u cầu an tồn liệu cao IPSec giao thức thích hợp IPSec hỗ trợ phương pháp xác th c mật mã mạnh nhất, có tính linh hoạt cao không bị ràng buộc phương pháp xác th c mật mã Đây xem giao thức tối ưu cho IP-VPN tìm hiểu cách chi tiết B n cạnh đó, đồ án trình bày số thuật tốn mật mã, xác th c, tồn vẹn liệu thuật toán dùng kết hợp với IPSec Hiện nay, Việt Nam có nhiều hãng cung cấp giải pháp VPN cho doanh nghiệp, hãng có cấu hình VPN ri ng Do nhu cầu bảo mật thông tin ngày doanh nghiệp quan tâm nhiều n n công nghệ IP – VPN hứa hẹn cơng nghệ có tiềm phát triển mạnh tương lai Hiện mạng viễn thông tr n giới chuyển sang xu hướng IP hóa sử dụng cơng nghệ cho mạng hệ sau NGN Do việc tích hợp cố định di động đươc quan tâm phát triển Vì vậy, 95 tương lai IP-VPN ứng dụng cho mạng điện thoại di động Khi đó, dịch vụ viễn thơng linh hoạt, kết hợp truyền hình ảnh, số liệu thoại Đây hướng phát triển đề tài Mặc dù cố gắng, cơng nghệ IP-VPN có nhiều giải pháp để th c li n quan đến nhiều giao thức thuật tốn phức tạp, thời gian trình độ có hạn n n đồ án khó tránh khỏi thiếu sót em mong nhận ý kiến đóng góp thầy bạn bè để sửa đổi, bổ sung cho vấn đề trình bày đồ án 96 TÀI LIỆU THAM KHẢO [1] Behrouz A Forouzan with Sophia Chung Fegan, 2000 Mc Graw Hill.TCP/IP protocol suite [2] Lê Hữu Lập, Hoàng Trọng Minh, Học viện CNBCVT 11/2000 Công nghệ chuyển mạch IP [3] Cải tiến giao thức Internet phiên (IPv6), Tạp chí Bưu Chính Viễn Thơng- kỳ tháng 12/2003 [5] Trần Cơng Hùng -Học Viện Bưu Chính Viễn thơng, Mạng riêng ảoVPN, [6] Dương Trần Đức Học vi n Bưu Chính Viễn thông 5/2001 “Bài giảng hệ thống lý thuyết thông tin”, [7] Virtual Private Networking and Intranet Security, Copyright © 1999, Microsoft Corperation, Inc [8] Vi thị Mưu, Trường Đại Học Giao Thông Vận Tải 6/2005, IPSec [9] IPSec, Copyright © 1998, Cisco Systems, Inc [10] VPN Technologies: Sefinitions and Requirements, Copyrignt © 2002, VPN Consortium [11] Security Protocols Overview, Copyright © 1999, RSA Data Security, Inc [12] Understanding Virtual Private Networking, Copyrignt © 2001, ADTRAN, Inc 97 MỤC LỤC D NH MỤC H NH VẼ D NH MỤC BẢNG BIỂU KÝ HIỆU VIẾT TẮT LỜI NÓI ĐẦU………………………………………………………… TÓM TẮT Đ Ồ ÁN………………………………………………………… Chương BỘ GIAO THỨC TCP/IP .4 1.1 Khái niệm mạng Internet Mơ hình phân lớp giao thức TCP/IP .6 Các giao thức mơ hình TCP/IP Giao thức Internet .7 Giao thức lớp vận chuyển .15 Tổng kết 22 Chương CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN 23 Gới thiệu mạng ri ng ảo tr n Internet IP-VPN .23 1 Khái niệm mạng ri ng ảo tr n tảng Internet 23 2 Khả ứng dụng IP-VPN 24 2 Các khối mạng IP-VPN .24 2 Điều khiển truy nhập .24 2 Nhận th c 25 2.2.3 An ninh 25 2 Truyền Tunnel tảng IP-VPN 26 2 Các thỏa thuận mức dịch vụ 27 Phân loại mạng ri ng ảo theo kiến trúc 27 2.3.1 IP-VPN truy nhập từ xa 27 2.3.2 Site-to-Site IP-VPN 30 Các giao thức đường ngầm IP-VPN 32 98 2.4.1 PPTP (Point - to - Point Tunneling Protocol) 33 2.4.2 L2TP .36 Tổng kết 40 Chương GIAO THỨC IPSEC CHO IP-VPN 42 Gới thiệu .42 1 Khái niệm IPSec 42 Các chuẩn tham chiếu có li n quan 44 Đóng gói thơng tin IPSec .46 Các kiểu sử dụng .46 2 Giao thức ti u đề xác th c H .48 3 Giao thức đóng gói an tồn tải tin ESP 54 3 Kết hợp an ninh S giao thức trao đổi khóa IKE 63 3 Kết hợp an ninh S 63 3.3.2 Giao thức trao đổi khóa IKE 66 Tổng kết 67 Chương AN TOÀN DỮ LIỆU TRONG IP-VPN .69 Giới thiệu 69 Mật mã 70 Khái niệm mật mã 70 2 Các hệ thống mật mã khóa đối xứng 72 Hệ thống mật mã khóa công khai 77 4 Thuật tốn trao đổi khóa Diffie-Hellman .82 Chương THỰC HIỆN IP-VPN 85 Giới thiệu 85 Các mơ hình th c IP-VPN 86 5.2.1 Access VPN 87 5.2.2 Intranet IP-VPN Extranet IP-VPN .89 Một số sản phẩm th c VPN 90 Ví dụ th c IP-VPN 90 5.3.1 Kết nối Client-to-LAN 91 99 Kết nối L N-to-LAN .93 Tình hình triển khai VPN Việt Nam .94 KẾT LUẬN 95 TÀI LIỆU THAM KHẢO 97 DANH MỤC HÌNH VẼ Trang Hình 1.1 Mơ hình phân lớp giao thức TCP/IP Hình 1.2 Định tuyến sử dụng IP Datagram Hình 1.3 Giao thức kết nối vô hướng .8 Hình 1.4 Cấu trúc gói tin IPv4 Hình 1.5 Hiện tượng phân mảnh IP 11 Hình 1.6 Các lớp địa IPv4 12 Hình 1.7 Cấu trúc ti u đề IPv6 .13 Hình 1.8 Cấu trúc ti u đề UDP 15 Hình 1.9 Cấu trúc ti u đề TCP .16 Hình 10 Thiết lập kết nối theo giao thức TCP 18 Hình 11 Thủ tục đóng kết nối TCP .19 Hình 12 Cơ chế cửa sổ trượt với kích thước cố định 22 Hình 2.1 Truyền Tunnel nối mạng ri ng ảo 26 Hình 2.2 IP-VPN truy nhập từ xa 30 Hình 2.3 Intranet IP-VPN 31 Hình 2.4 Extranet IP-VPN .31 Hình 2.5 Gói liệu kết nối điều khiển PPTP 34 Hình 2.6 Dữ liệu đường ngầm PPTP .34 Hình 2.7 Sơ đồ đóng gói PPTP 35 100 Hình 2.8 Bản tin điều khiển L2TP 37 Hình 2.9 Đóng bao gói tin L2TP 38 Hình 10 Sơ đồ đóng gói L2TP 39 Hình 3.1 Gói tin IP kiểu Transport .46 Hình 3.2 Gói tin IP kiểu Tunnel 47 Hình 3.3 Thiết bị mạng th c IPSec kiểu Tunnel 48 Hình 3.4 Cấu trúc ti u đề H cho IPSec Datagram .49 Hình 3.5 Khuôn dạng IPv4 trước sau xử lý H kiểu Transport 52 Hình 3.6 Khn dạng IPv6 trước sau xử lý H kiểu Traport 52 Hình 3.7 Khn dạng gói tin xử lý H kiểu Tunnel 52 Hình 3.8 Xử lý đóng gói ESP 55 Hình 3.9 Khn dạng gói ESP .55 Hình 10 Khn dạng IPv4 trước sau xử lý ESP kiểu Transport .58 Hình 11 Khn dạng IPv6 trước sau xử lý ESP kiểu Transport .58 Hình 12 Khn dạng gói tin xử lý ESP kiểu Tunnel 58 Hình 13 Kết hợp S kiểu Tunnel điểm cuối trùng .65 Hình 14 Kết hợp S kiểu Tunnel điểm cuối trùng 65 Hình 15 Kết hợp S kiểu Tunnel khơng có điểm cuối trùng 66 Hình 4.1 Các khái niệm chung sử dụng thuật toán mật mã 66 Hình 4.2 Chế độ sách mã điện tử ECB 72 Hình 4.3 Thuật toán mật mã khối chế độ CBC 73 Hình 4.4 Sơ đồ thuật toán DES 74 Hình 4.5 Mạng Fiestel 74 Hình 4.6 Phân phối khóa hệ thống mật mã khóa đối xứng 76 Hình 4.7 Mật mã luồng 77 Hình 5.1 Ba mơ hình IP-VPN .81 Hình 5.2 Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 83 101 Hình 5.3 Truy nhập IP-VPN khởi tạo từ máy chủ 88 Hình 5.4 IP-VPN khởi tạo từ routers .89 Hình 5.5 Các thành phần kết nối Client-to-LAN 91 Hình 5.6 Đường ngầm IPSec Client-to-LAN .92 Hình 5.7 Phần mềm IPSec Client 93 Hình 5.8 Đường ngầm IPSec L N-to-LAN 94 KÝ HIỆU VIẾT TẮT Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt 3DES Triple DES Thuật toán mã 3DES AA Acccess Accept Chấp nhận truy nhập AAA Authentication, Authorization Nhận th c, trao quyền and Accounting toán AC Access Control Điều khiển truy nhập ACK Acknowledge Chấp nhận ACL Acess Control List Danh sách điều khiển truy nhập ADSL Asymmetric Digital Subscriber Công nghệ truy nhập đường dây Line thu bao số không đối xứng AH Authentication Header Giao thức ti u đề xác th c ARP Address Resolution Protocol Giao thức phân giải địa ARPA Advanced Research Project Cục nghi n cứu d án ti n tiến Mỹ Agency Research Project Mạng viễn thông cục nghi n ARPAN Advanced ET Agency cứu d án ti n tiến Mỹ ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng BGP Giao thức định tuyến cổng miền Border Gateway Protocol 102 B-ISDN Broadband-Intergrated Service Mạng số tích hợp đa dịch vụ băng Digital Network rộng BOOTP Boot Protocol Giao thức khởi đầu CA Certificate Authority Thẩm quyền chứng nhận CBC Cipher Block Chaining Chế độ chuỗi khối mật mã CHAP Challenge - Handshake Giao thức nhận th c đòi hỏi bắt tay Authentication Protocol CR Cell Relay Công nghệ chuyển tiếp tế bào CSU Channel Service Unit Đơn vị dịch vụ k nh DCE Data communication Thiết bị truyền thông liệu Equipment DES Data Encryption Standard Thuật toán mã DES DH Diffie-Hellman Giao thức trao đổi khóa DiffieHellman DLCI Data Link Connection Identifier Nhận dạng kết nối lớp li n kết liệu DNS Domain Name System Hệ thông t n miền DSL Digital Subscriber Line Công nghệ đường dây thu bao số DSLAM DSL Access Multiplex Bộ ghép k nh DSL DTE Data Terminal Equipment Thiết bị đầu cuối số liệu EAP Extensible Authentication Giao thức xác th c mở rộng Protocol ECB Electronic Code Book Mode ESP Encapsulating Chế độ sách mã điện tử Sercurity Giao thức đóng gói an toàn tải tin Payload FCS Frame Check Sequence FDDI Fiber Distributed Chuỗi kiểm tra khung Data Giao diện liệu cáp quang phân 103 Interface FPST Fast tán Switched Kỹ thuật chuyển mạch gói nhanh Packet Technology FR Frame Relay Công nghệ chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền file GRE Generic Routing Encapsulation Đóng gói định tuyến chung HMAC Hashed-keyed Message Mã nhận th c tin băm Authenticaiton Code IBM International Bussiness Công ty IBM Machine ICMP Internet Control Message Giao thức tin điều khiển Protocol Internet ICV Intergrity Check Value Giá trị kiểm tra tính tồn vẹn IETF Internet Engineering Task Cơ quan ti u chuẩn kỹ thuật cho Force Internet IKE Internet Key Exchange Giao thức trao đổi khóa IKMP Internet Key Management Giao thức quản lí khóa qua Internet Protocol IN Intelligent Network Công nghệ mạng thông minh IP Internet Protocol Giao thức lớp Internet IPSec IP Security Protocol Giao thức an ninh Internet ISAKM Internet Security Association Giao thức kết hợp an ninh quản P and Key Management Protocol ISDN Intergrated Service lí khóa qua Internet Digital Mạng số tích hợp đa dịch vụ Network ISO International Standard Tổ chức chuẩn quốc tế 104 Organization ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initial Vector Véc tơ khởi tạo L2F Layer Forwarding Giao thức chuyển tiếp lớp L2TP Layer Tunneling Protocol Giao thức đường ngầm lớp LAN Local Area Network Mạng cục LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã nhận th c tin MD5 Message Digest Thuật tốn tóm tắt tin MD5 MTU Maximum Transfer Unit Đơn vị truyền tải lớn NAS Network Access Server Máy chủ truy nhập mạng NGN Next Generation Network Mạng hệ NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ OSI Open System Interconnnection Kết nối hệ thống mở OSPF Open Shortest Path First Giao thức định tuyến OSPF PAP Password Authentication Giao thức nhận th c lệnh Protocol PDU Protocol Data Unit Đơn vị liệu giao thức PKI Public Key Infrastructure Cơ sở hạn tầng khóa cơng cộng POP Point - Of - Presence Điểm hiển diễn PPP Point-to-Point Protocol Giao thức điểm tới điểm PPTP Point-to-Point Tunneling Giao thức đường ngầm điểm tới điểm Protocol PSTN Public Switched Telephone Mạng chuyển mạch thoại công cộng Network RADIUS Remote Authentication Dial-in Dịch vụ nhận th c người dùng quay số từ xa User Service 105 RARP Reverse Address Resolution Giao thức phân giải địa ngược Protocol RAS Remote Access Service Dịch vụ truy nhập từ xa RFC Request for Comment Các tài liệu ti u chuẩn IP IETF đưa RIP Realtime Internet Protocol Giao thức báo hiệu thời gian th c RSA Rivest-Shamir-Adleman T n trình mật mã khóa cơng cộng SA Security Association Li n kết an ninh SAD SA Database Cơ sở liệu S SHA-1 Secure Hash Algorithm-1 Thuật toán băm SH -1 SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản SN Sequence Number Số thứ t SPI Security Parameter Index Chỉ số thông số an ninh SS7 Signalling System No7 Hệ thống báo hiệu số TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường TLS Transport Level Security UDP User Data Protocol Giao thức liệu người sử dụng VPN Virtual Private Network Mạng ri ng ảo WAN Wide Area Network Mạng diện rộng n ninh mức truyền tải 106 DANH MỤC BẢNG BIỂU Trang Bảng Các RFC đưa có li n quan đến IPSec 40 Bảng Tổng kết chương giao thức IPSec 64 Bảng Một số giao thức thuật tốn ứng dụng thơng dụng 65 Bảng Thời gian bẻ khóa giải thuật RSS /DSS ECC 76 Bảng Tóm tắt giải thuật RS độ phức tạp 77 Bảng 4 Các bước th c để trao đổi khóa Diffie Hellman 78 Bảng Ví dụ sản phẩm Cisco Netsreen 85 107 CÁC KÝ HIỆU TOÁN HỌC Ký hiệu Ý nghĩa C Văn mật mã D Thuật toán giải mã DK Thuật tốn giải mã với khóa K E Thuật tốn mật mã EK Thuật tốn mật mã với khóa K IV Vectơ khởi tạo K Khóa K KR Khóa bí mật KU Khóa cơng cộng Li, Ri P Bít b n trái b n phải vòng thứ i thuật tốn mã hóa DES Văn rõ 108 ... trúc IP- VPN phân loại thành hai kiểu chính: Site-to-Site IP- VPN (cịn gọi L N-to-LAN hay POP-to-POP) IP- VPN truy nhập từ xa Các Site-to-Site bao gồm phương án như: Extranet IP- VPN Intranet IP- VPN, ... TCP /IP với thơng tin để gửi gói L2TP tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với địa IP IP -VPN client IP- VPN server * Giao thức TCP /IP xây d ng gói IP với IP Header UDP Header thích hợp IPSec... thiệu chung công nghệ IPVPN Đây công nghệ không mới, với s phát triển mạnh mẽ mạng Internet tr n toàn cầu thị trường IP- VPN phát triển Với tổ chức có mạng lưới rộng khắp, sử dụng công nghệ hiệu

Ngày đăng: 07/10/2021, 23:38

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w