Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để toạ kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương có thể tạo đường ngầm bảo mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên giao thức kết nối quay số PPP, và giao thức đóng gói định tuyến chung (GNE), đóng và tách các gói PPP.
PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các
giao dịch thông qua TCP/IP trong môi trường mạng chung mà còn qua mạng riêng Intranet.
- Công dụng của PSTNs ( Public Switched Telephone Networks): PPTP cho phép sử dụng PSTNs cho việc triển khai VPNs. Kết quả là, quá trình xử lý sự phát triển VPN đặc biệt đơn giản và tổng chi phí cho việc triển khai thì khá thấp. Đối với những doanh nghiệp có kết nối mạng diện rộng dựa trên các đường thuê bao leased line được loại bỏ.
- Hỗ trợ giao thức Non-IP: PPTP cũng hỗ trợ một số giao thức triển khai mạng thông thường khác như TCP/IP, IPX, NetBEUI, và NetBIOS.
2.2.1.1 Duy trì đường ngầm bằng bản tin điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP ( sử dụng cổng TCP dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP. Các bản tin này bao gồm các bản tin PPTP Echo- Request và PPTP Encho- Reply định kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP Server. Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header, trailer của lớp đường truyền dữ liệu.
Data link Header Ip TCP PPTP Control Message Data link Trailer
Hình 3.1: Gói dữ liệu của kết nối điều khiển PPTP 2.2.1.2 Xử lý dữ liệu đường ngầm PPTP
Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP Server sẽ thực hiện các bước:
• Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
• Xử lý và loại bỏ IP Header.
• Xử lý phần Payload để nhận hoặc chuyển tiếp 2.2.1.3 Triển khai VPN dựa trên PPTP
Bất kỳ quá trình giao dịch nào dựa trên PPTP triển khai ít nhất 3 thành phần đó là:
• PPTP client
• Network Access Server (NAS)
• PPTP Server
2.2.1.4 Những ưu điểm và nhược điểm của PPTP Ưu điểm
• PPTP được gửi kèm như một giải pháp cùng với sản phẩm của Microsoft được dùng phổ biến rộng rãi.
• PPTP có thể hỗ trợ các giao thức non-IP.
• PPTP được hỗ trợ bởi nhiều nền tảng khác nhau như Unix, Linux, và
Apple’s Macintosh. Một số nền tảng khác không hỗ trợ PPTP cũng có thể có lợi cho các dịch vụ bằng cách dùng PPP client router dựng sẵn.
Nhược điểm
• PPTP là một tuỳ chọn không thích hợp với mạng bảo mật cao. L2TP và
IPSec là nhwngx công nghệ có tính bảo mật cao hơn.
• PPTP không phụ thuộc nền
• PPTP đòi hỏi chi phí trong việc cấu hình ở PPTP Server cũng như
client.
PPTP chỉ là giải pháp tạm thời, bởi vì PPTP chỉ thích hợp cho máy quay số truy nhập với lượng người dùng hạn chế. Do vậy nó bộc lộ rõ điểm yếu này khi xây dựng kết nối LAN-To-LAN. Khi sử dụng kết nối VPN PPTP mà có hỗ trợ thiết bị của ISP thì quyền quản lý sẽ bị chia sẻ cho ISP. Vì nhuengx lý do này mà trong thực tế các nhà cung cấp đều có kế hoạch thay thế PPTP bằng L2TP.
Giao thức định đường ngầm lớp 2 L2TP được phát triển bởi IETF, để tránh việc 2 giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng kết hợp 2 giao thức L2F và PPTP phát triển thành L2TP. L2TP được xây dựng dựa trên cơ sở tận dụng các ưu điểm của 2 giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của 2 giao thức này. Một đường ngầm L2TP có thể khởi tạo từ một PC ở xa quay về L2TP Network Server(LNS) hay từ L2TP Access Control (LAC) về LNS.
L2TP mang đặc tính của PPTP và L2F tuy nhiên L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F. Điều này cho phép L2TP hỗ trợ truyền thông tin qua nhiều môi trường khác nhau như X25, Frame Relay, ATM, L2TP là giao thức lớp 2 nên cho phép các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX,NetBEUI. Giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.
2.2.2.1 Hoạt động của L2TP
L2TP dựa trên PPP để tạo kết nối quay số giữa Client và máy chủ truy nhập mạng (NAS). L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực đầu tiên, tạo gói dữ liệu PPP và đóng gói kết nối khi kết thúc phiên làm việc. Sau khi PPP tạo kết nối xong, L2TP sẽ xác định NAS có chấp nhận người dùng hay không và sẵn sàng đóng vai trò làm điẻm kết thúc đường hầm cho người sử dụng. Sau khi đường hầm được tạo ra L2TP sẽ sử dụng giao thức đóng gói dữ liệu để truyeenf lên môi trường mà ISP đã sử dụng.
L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay hoặc ATM. Tuy nhiên, hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa.Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP. L2TP có thể sử dụng như một giao thức đường ngầm thông qua Internet hoặc qua mạng riêng Intranet. L2TP dùng bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như dữ liệu duy trì đường ngầm.Phần tải của khung PPP đã đóng gói có thể được mật mã và nén. Mật mã trong các kết nối L2TP thường
mã IPSec.Tuy nhiên , đay không phải là kết nối IP-VPN vì dữ liệu riêng được đón gói bởi L2TP không được mật mã. Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửa các lỗi kết nối L2TP dùng IPSec.
2.2.2.2 Duy trì đường ngầm bằng bản tin điều khiển L2TP
Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông qua một keet nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa máy trạm và máy chủ L2TP (đều sử dụng cổng UDP 1701). Các bản tin điều khiển L2TP qua mạng IP được gửi như các gói UDP. Gói UDP lại được mật mã bởi IPSec ESP như hình:
Mã hoá bởi IPSec
Hình 3.2: Bản tin điều khiển L2TP
Vì không sử dụng kết nối TCP, L2TP dùng là thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next- Received (tương tự như TCP Acknowledgment) và Next-Sent (tượng tự như TCP Sequence Number) được sử dụng để duy trì bản tin điều khiển. Các gói không đúng thứ tự bị loại bỏ. Các trường Next-Sent và Next- Received cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm. Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề IPSec ESP Tiêu đề UDP Bản tin L2TP Phần đuôi IPSec ESP Phần đuôi xác thực IPSec ESP Phần đuôi liên két dữ liệu
2.2.2.3 Đóng gói dữ liệu đường ngầm L2TP
Dữ liệu đường ngầm L2TP được thực hiện thông qua nhiều mức đóng gói:
• Đóng gói L2TP: Phần tải PPP ban đầu được đóng gói với một tiêu đề
PPP và một tiêu đề L2TP.
• Đóng gói UDP: Gói L2TP sau đó được đóng gói với một tiêu đề UDP,
các địa chỉ cổng nguồn và đích được đặt bằng 1701.
• Đóng gói IPSec: Tuỳ thuộc vào chính sách IPSec, gói UDP được mật
mã và đóng gói với tiêu đề IPSec ESP, đuôi IPSec ESP, đuôi IPSec Authentication.
• Đóng gói IP: Gói IPSec được đóng gói với tiêu đề IP nguồn và đích
của máy trạm và máy chủ.
• Đóng gói lớp liên kết dữ liệu: Để truyền đi được trong đường truyền
LAN hoặc WAN, gói IP cuối cùng sẽ được đóng gói với phần tiêu đề và đuôi tương ứng với kỹ thuật liên kết giao diện vật lý đầu ra. Ví dụ: khi gói IP được gửi vào giao diện Ethenet, nó sẽ được đóng gói với tiêu đề và đuôi Ethenet. Khi các gói IP được gửi trên đường truyền WAN điểm tới điểm , chúng được đóng gói với tiêu đề và đuôi PPP.
Cấu trúc cuối cùng của gói dữ liệu đường ngầm L2TP trên nền IPSSec: Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề IPSec ESP Tiêu đề UDP Tiêu đề L2TP Tiêu đề PPP Tải PPP(IP,IPX, NetBEUI) Phần đuôi IPSec ESP Phần đuôi nhận thực IPSec ESP Phần đuôi liên kết dữ liệu Được mã hoá Được xác thực
Hình 3.3: Đóng gói dữ liệu đường ngầm L2TP
2.2.2.4 Xử lý dữ liệu tại đầu cuối đường ngầm L2TP trên nền IPSec
Khi nhận dữ liệu đường ngầm L2TP trên nền IPSSec,máy trạm và máy chủ L2TP sẽ được thực hiện các bước sau:
• Xử lý loại bỏ tiêu đề và đuôi của lớp liên kết dữ liệu.
• Xử lý và loại bỏ tiêu đề IP
• Dùng phần đuôi IPSec ESP Auth để xác thực tải IP và tiêu đề IPSec
ESP
• Dùng tiêu đề IPSec ESP để giải mã phần gói đã mật mã.
• Xử lý tiêu đề UDP và gửi gói tới L2TP
• L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong tiêu đề L2TP
để xác định đường ngầm L2TP cụ thể.
• Dùng tiêu đề PPP để xác định tải PPP và chuyển tiếp nó tới giao thức
để xử lý.
2.2.2.5 Triển khai VPN dựa trên L2TP
Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản:
• Bộ tập trung truy nhập mạng
• Máy chủ L2TP
• Các máy trạm L2TP
2.2.2.6 Ưu điểm và khả năng ứng dụng của L2TP
a. Ưu điểm
- L2TP phối hợp những đặc tính tốt nhất của PPTP và L2F, giúp cho nó khắc phục được xung đột giữa 2 giao thức này khi cần sử dụng cả 2.
- L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường ngầm L2TP.
b. Khả năng ứng dụng của L2TP
L2TP là một giao thức quay số truy nhập mới của VPN. Giao thức này chủ yếu dùng trên mạng IP nhưng nó vẫn hoạt động tốt trên các mạng khác như Frame Relay, ATM.
L2TP cho phép một số lượng người dùng từ xa truy nhập vào VPN hay cho các kết nối LAN-To-LAN có dung lượng lớn. Ngoài ra L2TP có cơ chế điều khiển luồng làm giảm tắc nghẽn trên đường hầm L2TP.
L2TP cho phép thiết lập nhiều đường hầm cùng với LAC và LNS. Mỗi đường hầm có thể được gán cho một người dùng xác định, hay một nhóm các người dùng và gán cho một môi trường khác nhau tuỳ thuộc vào chất lượng dịch vụ QoS của người dùng.
CHƯƠNG III - THIẾT KẾ VÀ CÀI ĐẶT VPN 3.1. THIẾT KẾ VPN
Để thiết kế một VPN hiệu quả, cần phải nắm vững những yêu cầu cho một VPN sắp được thiết kế.Sau đây là một số vấn đề liên quan đến xây dựng một site trong VPN:
- Có bao nhiêu người dùng cho mỗi site?
- Loại kết nối đến Internet là kết nối thường hay theo yêu cầu.
- Lưu lượng mạng do site phát sinh: biến đổi của lưu lượng theo giờ, theo ngày.
- Nếu là kết nối thường xuyên thì thời gian bao lâu kết nối được lưu dự phòng lại một lần
- Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu?. Độ tin cậy cần thiết phải có.
- Site có hỗ trợ người dùng từ xa? Nếu có thì bao nhiêu người có thể dùng
Cần phải nắm rõ các loại lưu lượng phát sinh từ site và các loại ứng dụng làm phát sinh các lưu lượng đó. Đối với mạng LAN thì băng thông đủ để đáp ứng cho các loại ứng dụng. Lưu lượng bao giờ trở nên lộn xộn và không thể dự đoán trước được khi mà các ứng dụng thời gian thực hiện như điện thoại IP, hội nghị, truyền hình,...phát triển thì đặt ra những yêu cầu cần đối với băng thông mạng. Kết nối WAN cũng ảnh hưởng đến thiết kế VPN so về kiến trúc thì VPN và WAN đều lớn như nhau. Do đó cần xem xét đến lưu lượng truyền trên kết nối WAN mà có biện pháp nâng cấp băng thông cho phù hợp với lưu lượng đi qua.
Do VPN được thiết kế không phải chỉ có 2 site liên lạc với nhau mà là tập hợp nhiều site, nen cần phải chú ý đến vị trí địa lý của các site.Cần phải xem xét
đến tính tương tác giữa các site với nhau. Nếu 2 site liên lạc với nhau thường xuyên thì kết nối giữa chúng là kết nối thường trực, còn hiếm khi mới liên lạc thì nên chọn kết nối theo yêu cầu.
Tính hợp thời của dữ liệu cũng là một yếu tố cần quan tâm khi xây dựng một VPN thương mại.
Sau đây ta khảo sát một số vấn đề về thiết kế: