CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN
2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec
Hình 2.12 là sơ đồ đóng gói L2TP qua kiến trúc mạng từ một IP-VPN client thông qua một kết nối IP-VPN truy nhập từ xa sử dụng một modem tương tự.
Hình 2.12: Sơ đồ đóng gói L2TP
Các bước sau mô tả quá trình đó:
1. Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp.
2. NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPP Header chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS không được thêm vào.
3. NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP Frame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm.
4. Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server.
5. Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP Header thích hợp. IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã
phần bản tin UDP của gói IP sử dụng các ESP Header và Trailer phù hợp. IP Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gói ESP. Giao thức TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.
6. NDIS gửi số tới NDISWAN.
7. NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up.
2.5 Tổng kết
Chương này đã đưa ra khái niêm và giới thiệu chung về công nghệ IP-VPN. Đây là một công nghệ không mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trên toàn cầu thì thị trường IP-VPN sẽ rất phát triển. Với các tổ chức có mạng lưới rộng khắp, sử dụng công nghệ này sẽ rất hiệu quả trong truyền thông giữa các thành viên của hãng ở các vùng địa lí khác nhau, đảm bảo phát triển các văn phòng mới một cách mềm dẻo, dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều quan trọng là tính an toàn thông tin.
Theo cấu trúc cơ bản, có 2 loại VPN: Site-to-Site IP-VPN và Remote VPN. Trong đó Site-to-Site bao gồm 2 mô hình là: Intranet IP-VPN được sử dụng để kết nối các mạng LAN văn phòng ở xa của một tổ chức; Extranet IP-VPN được sử dụng cho các ứng dụng kết nối trực tuyến tới khách hàng của tổ chức. Từ những khái niệm được trình bày ta có thể nhận ra rằng đối tuợng và phạm vi kết nối của Extranet VPN có phần rộng hơn Intranet VPN. Do đối tượng kết nối luôn thay đổi và khó có thể đảm bảo trước nên yêu cầu bảo mật cũng cao hơn. Remote IP-VPN được ứng dụng cho những người làm việc lưu động hoặc những văn phòng ở xa dung lượng nhỏ.
Mạng IP-VPN bao gồm các khối cơ bản sau: điều khiển truy nhập, nhận thực, an ninh, truyền Tunnel và các thỏa thuận mức dịch vụ. Đây là những vấn đề rất phức tạp và yêu cầu nhiều giao thức kết hợp với nhau để thực hiện được các chức năng của mạng IP-VPN một cách hiện quả. Trong đó, đường ngầm là nền tảng của IP-VPN.
Trong chương này giới thiệu chung về các giao thức đường ngầm đang tồn tại sử dụng cho IP-VPN, trong đó hai giao thức đường ngầm PPTP và L2TP là 2 giao thức đã hòan thành và hoạt động phổ biến trong giai đoạn hiện nay.
Chương tiếp theo trình bày về giao thức IPSec, một giao thức được xem như tối ưu cho công nghệ IP-VPN.
CHƯƠNG 3