- Phụ thuộc nhiều vào chất lượng mạng Internet: việc thực thi mạng dựa trên VPN phụ thuộc lên việc thực thi của Internet Sự quá tải hay tắt nghẽn mạng có
(VPN PROTOCOL) 3.1 CƠ BẢN VẺ KỸ THUẬT TUNNELING
3.1 CƠ BẢN VẺ KỸ THUẬT TUNNELING
3.1.1 Khái niệm
Tunneling là thành phần quan trọng nhất trong kỹ thuật VPN. Nó cho phép một tổ chức tạo ra các mạng ảo thông qua Internet và các mạng công cộng khác. Các mạng ảo này không thể truy cập bởi những người ngoài Ở các user không phải là thành phần của
Organ1zationẼs Intranet.
Tunneling là kỹ thuật đóng gói toàn bộ data packet (dữ liệu của gói) trong một packet của giao thức khác. Nói cách khác, phần header của tunneling protocol được găn vào gói tin nguyên thủy, sau đó gói tin tông hợp được chuyên đến destination node hoặc network thông qua mạng trung gian. Đối với những gói data nguyên thủy (hay còn gọi là payload) không có giao thức hỗ trợ sẽ được gắn thêm một header để trở thành tunneled packet và được truyền trên tunnel đến mạng đắch. Header này sẽ cung cấp thông tin routing cần thiết để packet có thể deliver thành công thông qua Internet. Hinh dưới đây mô tả quá trình xử lý của tunnel:
Original Original Additional Original
Packet Packet Header Packet
Virtual Tunnel
Sender TH su. Receiver
Intermediate Network
(internet)
Hình 3.1: Quá trình xử lý tunnel
Khi một tunnel packet được định tuyến tới destination node, nó sẽ được lưu thông trên Internet trong một đường dẫn logic. Đường dẫn này gọi là tunnel. Sau khi nhận được tunneled packet, receiver sẽ chuyển packet đó trở về định dạng nguyên thủy của nó.
3.1.2. Các quá trình hoạt động của Tunnel Technology
Quá trình hoạt động của Tunnel Technology được chia thành 2 phase (pha):
mỞỞ_>>ỞỞ>mm
25 GVHD: Ths. Trương Ngọc Bảo
TH OO DN THỌ HA NGHI GG GHI TH TINNGỚ GEEEEEEENỌEDDDDDDDDDDIDDDDDODODNATGTTTTTDDAEAEODDD-DDDDNDDDDDDUDDNENE
3.1.2.1... Phase 1: (Tunnel establishment phase) thiết lập tunnel.
Initiator node (node bắt đầu) yêu cầu một VPN session và được chứng thực bởi HA tương ứng (HA: Home Agent, là giao diện phần mềm lưu trú tại network access node (router) trong mạng đắch. HA sẽ nhận và chứng thực incoming requesfs để xác nhận những request từ các host được ủy thác. Dựa vào sự chứng thực ban đầu HA sẽ cho phép thiết lập tunnel). Một yêu câu kết nối sẽ được bắt đầu và các thông số session được thỏa thuận. Nếu request đó được chấp nhận và các thông số session được thỏa thuận thành công, một tunnel sẽ được thiết lập giữa hai điểm cuỗi giao tiếp.
Các bước thiết lập tunnel:
+ Sender sẽ gửi yêu cầu kết nối đến FA (Foreign Agent, là giao diện phần mềm lưu trú tại Initiator node cũng như tại network access node. Initiator node sử dụng FA để yêu cầu một VPN session từ HA tại mạng đắch).
+ FA sẽ chứng thực yêu cầu kết nối bằng việc xác nhận giá trị của login name và password được cung cấp bởi user. (Thông thường FA sử dụng các dịch vụ của RADIUS để chứng thực sự đồng nhất của initiator node. )
+ Nếu login name và password không đúng thì yêu cầu tạo VPN session sẽ bị từ chối. Ngược lại, nếu FA chứng thực thành công sự đồng nhất của initiator, FA sẽ forward yêu cầu kết nối đến HA của mạng đắch.
+ Nếu request được chấp nhận bởi HA, FA sẽ gởi login ID đã được mã hóa và password tương ứng với nó.
+ HA xác nhận thông tin đã được cung cấp. Nếu sự xác nhận thành công, HA sẽ gởi Registry Reply cùng với tunnel number đến FA.
+ Một tunnel sẽ được thiết lập khi FA nhận được Registry Reply và tunnel
number. Phase I
(@ Initiates the @ Sends request
ca request- to HA
FA b HA
Sender @ Tunnel is Verifies request and Receiver established returns a tunnel
number