- Mạng VPN mở rộng (Extranet VPN)
2.6.3 Các thành phần của kỹ thuật đường hầm:
Để triển khai một đường hầm giữa hai điểm, chúng ta cần có bốn thành phần cho đường hầm
Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy khách ( nó có tên gọi khác là home network )
Nútinitiator. The máy khách từ xa hoặc máy chủ khởi tạo một phiên làm việc VPN. initiator có thể là một phần của mạng nội bộ hoặc là một người dùng di động, ví dụ laptop.
Home agent : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếi kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm.
Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại mạng đích.
Vừa rồi bạn đã được giới thiệu về các thành phần của kỹ thuật đường hầm, trong các phần tiếp theo sẽ đề cập về cách thức họat động của chúng.
4. Họat động của kỹ thuật đường hầm :
Kỹ thuật đường hầm đựơc chia làm hai pha.
Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu cầu thiết lập VPN, yêu cầu này sẽ được kiểm tra bời HA xem tính hợp pháp của nó.
Pha II : Dữ liệu sẽ được truyền trong đường hầm.
Trong pha I, trước hết khởi tạo một kết nối và thiết lập các thông số (pha này còn đuợc gọi là pha thiết lập đường hầm ). Sau khi kết nối được chấp nhận và các thông số được thiết lập, một đường hầm sẽ được thiết lập.
• Initiator sẽ gửi yêu cầu kết nối với FA nằm trong mạng
• FA sẽ kiểm tra yêu cầu kết nối thông qua tên truy cập và mật khẩu của người dùng. Nếu FA xác định initiator thành công, nó sẽ chuyển yêu cầu đến mạng đích (HA) ( FA thường sử dụng dịch vụ truy cập quay số từ xa (RADIUS) đề xác thực nhận dạng của initiator ).
• Nếu tên đăng nhập và mật khẩu của người dùng không hợp lệ, yêu cầu phiên làm việc VPN bị hủy bỏ. Tuy nhiên nếu FA xác thực nhận dạng của initiator thành công, nó sẽ chuyể yêu cầu đến mạng đích HA.
• Nếu HA chấp nhận yêu cầu, FA sẽ gửi cho nó ID đăng nhập và mật khẩu tương ứng.
• HA sẽ kiểm tra thông tin về dữ liệu nhập được. Nếu kiểm tra thành công, HA sẽ gửi cho FA số đường hầm và hồi âm đăng ký.
• Đường hầm sẽ được thiết lập sau khi FA nhận được hồi âm đăng ký và số đường hầm. Chú ý: Nếu hai đầu không sử dụng cùng một giao thức đường hầm, các cấu hình đường hầm vẫn được thống nhất như mã hóa, thông số nén, các cơ chế bảo trì đường hầm.
Sau khi thiết lập xong đường hầm, pha I sẽ kêt thúc để chuyển sang pha II và bắt đầu truyền dữ liệu :
• FA tạo các header của đường hầm và gắn vào mỗi gói tin. Các thông tin về lộ trình của gói tin sẽ được gắn vào, lộ trình này được khởi tạo từ pha I.
• FA chuyển các gói tin được mã hóa tới HA thông qua đường hầm
• Sau khi nhận được gói tin đã được mã hóa, HA sẽ gỡ bỏ header của đường hầm và header chứa giao thức vê lộ trình của gói tin. Khôi phục lại gói tin như ban đầu.
• Gói tin gốc được chuyển đến đích đến trong mạng.
Hình 2.: Chu trình thiết lập “đường hâm thông tin
Hình 2.: Quá trình truyền dữ liệu qua đường hầm