Sơ đồ đóng gói PPTP
Quá trình ược mô tả các bước sau:
•Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giaodiện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng DIS (Network Driver Interface Specification).
•NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu,và cung cấpPPP Header. Phần tiêu đề PPP này chỉ gồm trường mã số giao thứcPPP (PPP Protocol ID Field), không có các trường Flags và FCS (Frame CheckSequence). Giả định trường địa chỉ và điều khiển đãđược thỏa thuận ở giao thứcđiều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP.
•NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP vớiphần tiêu đề GRE. Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích hợp để xác định đường ngầm.
•Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.
•TCP/IP dóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đó gửikết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.
•NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header vàTrailer •NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện chophần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem).
2.2.7 Ưu điểm và khuyết điểm của PPTP:
•PPTP là một giải pháp được xây dựng trên nền các sản phẩm củaMicrosoft( các sản phẩm được sử dụng rất rộng rãi).
•PPTP có thể hỗ trợ các giao thức non-IP.
•PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux,và Apple'sMacintosh. Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng cách sửdụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP.
Nhược điểm củaPPTP:
•PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec. •PPTP phụ thuộc nền.
•PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.
•Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũngnhư máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa dụng cácgiải pháp định tuyến bằng đưòng quay số.
Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng ma hóa với khóa mã phát sinh từ password của user. Điều này càng nguy hiểm hơn khi password được gửi trong môi trường không an toàn để chứng thực. Giao thứcđưòng hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảomật.
2.3. Giao thức Layer 2 Tunneling Protocol ( L2TP)
2.3.1 khái niệm:
L2TP là một kỹ thuật nảy sinh để cung cấp một kết nối từ xa tới một ntranet tập đoàn hay tổ chức. L2TP là giao thức được phát triển hoà trộn giữa hai giao thức PPTP và L2F.
Cấu trúc của L2TP
L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giao thức điểm tới điểm PPP. Đường hầm có thể vắ đầu được tạo ra giữa người dùng từ xa tới nhà cung cấp dịch vụ.
Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trong một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó là tất cả các giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa, L2TP cung cấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối qua Internet.
2.3.2.Các thành phần của L2TP
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server (LNS).
2.3.2.1 Network Access Server (NAS)
L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng từ xa, là những người quay số (thông qua PSTN hoặc ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NASs, L2TP NASs được đặt tại ISP site và hành động như client trong qui trình thiết lập L2TP tunnel. NASs có thể hồi đáp và hổ trợ nhiều yêu cầu kết nối đồng thời và có thể hổ trợ một phạm vi rộng các client (như các sản phẩm mạng của Microsoft, Unix, Linux, VAX- VMS, và vân vân…).
2.3.2.2 Bộ tập kết truy cập L2TP
Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một tunnel thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS ở tại điểm cuối mạng chủ. LACs phục vụ như điểm kết thúc của môi trường vật lý giữa client và LNS của mạng chủ.
Điều cần bạn nhớ là LACs thường được đặt tại ISP site. Tuy nhiên, bạn sẽ học một phần nhỏ ở chương sau, người dùng từ xa cũng có thể hoạt đông như LAC trong trường hợp tạo hầm L2TP bị động.
2.3.2.3 L2TP Network Server
LNS, được đặt tại mạng cuối chủ. Do đó, chúng dùng để kết thúc kết nối L2TP ở mạng cuối chủ theo cùng cách kết thúc tunnel từ client của LACs. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập tunnel và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo.
2.3.4 Qui trình xữ lý L2TP
Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây :
1. Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối.
2. NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này.
3. Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng đích.
4. Kế tiếp, LAC thiết lập một LAC-LNS tunnel thông qua mạng trung gian giữa hai đầu cuối. Tunnel trung gian có thể là ATM, Frame Relay, hoặc IP/UDP.
5. Sau khi tunnel đã được thiết lập thành công, LAC chỉ định một Call ID (CID) đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này chứa thông tin có thể được dùng để xác nhận người dùng. Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dùng và LAC.
6. LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận người dùng cuối. Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu tunnel, một giao diện PPP ảo (L2TP tunnel) được thiết lập cùng với sự giúp đỡ của LCP options nhận được trong thông điệp thông báo.
7. Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua tunnel.
2.3.5.Quan hệ giữa L2TP và PPP
Giao thức định đường hầm lớp 2, L2TP là sự kết hợp giữa hai giao thức đó là PPTP và L2F. Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Điểm khác biệt giữa PPTP và L2F là L2F không phụ thuộc vào IP và GRE. Cho phép nó có thể làm việc ở các môi trương vật lý khác. L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F. L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập mạng ( NAS ). L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành xác thực đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc. L2TP có thể tạo nhiều đường hầm giữa ISP và các máy chủ mạng client.
L2TP cũng giống với PPTP là nó cũng có 2 thông báo: • Thông báo điều khiển
• Thông báo dữ liệu
Cũng tương tự như PPP, sau khi đường hầm được thiết lập thì dữ liệu được truyền từ client sang máy chủ PPTP chứa các gói dữ liệu IP. Gói dữ liệu IP được đóng gói tiêu đề như hình sau.
Bộ lọc gói L2TP
• Đường hầm tự nguyện: Tạo theo yêu cầu của người dung
• Đường hầm bắt buộc: Được tạo tự động ( Người dùng không được lựa chọn )
2.3.6 Sơ đồ đóng gói L2TP trên nền IPSec
Sơ đồ đóng gói L2TP trên nền IPSec
Các bước sau mô tả quá trình đó:
•Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tớigiao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp
•NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPPHeader chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS khôngđược thêm vào.
•NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPPFrame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm.
•Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với cácđịa chỉ IP của IP-VPN client và IP-VPN server.
•Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDPHeader thích hợp. IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tin UDP của gói IP sử dụng các ESP Header và Trailer phù hợp.IPHeader ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gói ESP. Giao thức TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.
•NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thuđược tới cổng AN thích hợp đại diện cho phần cứng dial-up.
2.3.7.Ưu điểm và khuyết điểm của L2TP :
Ưu điểm:
•L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP.
•Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó không yêu cầu bổ sung cấu hình của user từ xa và ISP.
•L2TP cho phép tổ chức kiểm soát chứng thực users
•L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải.do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.
•L2TP cho phép users với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thông qua mạng công cộng.
•L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSectrên suốt đường hầm và khả năng chưng thực gói của IPSec.
•Khuyết điểm:
•L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận được….
•Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy phục vụ truy cập từ xa.
2.4 Thiết lập kết nối tunnel
2.4.1 Các loại giao thức
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (Tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
•Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.
•Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
•Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
2.4.2. Kỹ thuật Tunneling trong mạng VPN
2.4.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Mô hình Tunneling truy cập từ xa
2.4.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel
Mô hình Tunneling điểm nối điểm
CHƯƠNG 3: TRIỂN KHAI MÔ HÌNH SITE TO SITE TRÊN TMG 2010
3.1. Mô hình:
Mô tả:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh.Từ đó, phát sinh một số nhu cầu:
– Trao đổi dữ liệu an toàn giữa 02 hệ mạng HCM & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
CÁC BƯỚC TRIỂN KHAI 1. Tạo User & cấp phép Dial-in.
2. Cấu hình trên server TMG tại Hà Nội. 3. Cấu hình trên server TMG tại SAI GON
4. Kiểm tra: Kết nối VPN được tự động thiết lập khi 2 site phát sinh nhu cầu truy cập nhau
3.2. TRIỂN KHAI CHI TIẾT MÔ HÌNH SITE TO SITE1.Tạo User & cấp phép Dial-in. 1.Tạo User & cấp phép Dial-in.
TẠI TMG HN
- Tạo New User
- Properties user SG
TẠI TMG SG ta thực hiện tương tự như TMG HN
2.Thực hiện trên máy TMG SITE HÀ NỘI
- Chọn Virtual Private Network (VPN) tab Remote Sites chọn link Create VPN Site-to-Site connection
- Đặt tên site là SG Next
- Tiếp theo, nếu ta chưa thiết lập sẵn dãy IP để cấp cho Client khi quay VPN vào, thì sẽ xuất hiện giao diện Local Network VPN Setting, ta gán dãy : 20.20.20.20 – 20.20.20.30okNext
- Khai báo chính xác: user name: HN & password: P@ssword Next
- Khích Bỏ dấu chọn The remote site is enable… Next
Giao diện Site to Site Network Rule, yêu cầu ta tạo 1 Network rule name và sẽ route với đường mạng Internal.
Giao diện Site to Site Network Access Rule, yêu cầu ta tạo 1 access rule cho phép traffic VPN giao tiếp với mạng Internal. Ta để tên mặc định và chọn All outbound Traffic
- Chọn All outbound traffic Next Finish
Sẽ có thông báo hiện ra để nhắc nhở ta phải kiểm tra lại : User có cấp quyền dial-in hay chưa ?, Network rule đã định nghĩa chưa?, Access rule đã tạo chưa
Chọn mục Networks, tab networks ta xem lại đường mạng internal của máy SG
3.Thực hiện tại máy TMG SITE SÀI GÒN
- Chọn Virtual Private Network (VPN) tab Remote Sites chọn link Create