> Virtual Leased Line (VLL) cung cấp các đường kết nối điểm - điểm định
hướng kết nối giữa các trạm VPN. Khách hàng nhận mỗi VLL như là một đường riêng (vật lý) mang tính chuyên dụng, mặc dù thực tế nó được cung cấp bởi một đường hằm IP đi qua mạng trục (backbone). Giao thức đường hầm IP tận dụng một VLL có khả năng chuyên tải bất kỳ giao thức nào mà khách hàng sử dụng giữa các trạm được kết nối băng VLL đó.
> Virtual Private LAN Segment (VPLS) cung cấp một LAN mô phỏng giữa các trạm VPLS. Như với các VLL, thì một VPLS VPN đòi hỏi sử dụng các đường hằm IP trong suốt đối với các giao thức được chuyên tải trên LAN mô phỏng đó. LAN có thể được mô phỏng băng cách dùng một đường hằm dạng lưới (mesh) giữa các trạm khách hàng hay băng việc ánh xạ mỗi VPLS
đối với một địa chỉ IP multicast riêng biệt.
> Virtual Private Routed Networks (VPRNs) mô phỏng một mạng được route dựa trên IP chuyên dụng giữa các trạm khách hàng. Mặc dù một VPRN nhưng nó phải chuyển tải lưu lượng IP được đối xử như một routing domain riêng biệt từ mạng của nhà cung cấp bên dưới, bởi vì VPRN có khả năng
ii...
Luận án tốt nghiệp 63 GVHD :Ths. Nguyễn Văn Mùi
——mnn.-nagagaaOOOaIaBRRRIOOOAGOOAGGOOOAAEEGGI--TTDEIAEOTDDDDDAAAEEnnAnnnnnnnnnnnnnnnnnnnnnnnnnn
dùng các địa chỉ IP được ấn định bởi không phải duy nhất một khách hàng. Mỗi mạng của khách hàng nhận thấy răng bản thân nó hoạt động cách ly và tách rời khỏi mạng Internet — Vì vậy nó tự do gán các địa chỉ IP bằng bất cứ kiểu nào mà nó thích. Các địa chỉ này không được quảng bá ra ngoài VPRN bởi vì chúng không được đảm bảo là duy nhất và rộng hơn nhiều so với bản thân VPN.
> Virtual Private Dial Neworks (VPDNs) cho phép các khách hàng đồng ý cho SP sự cung cấp và quản lý quay số vào truy xuất vào các mạng của họ. Thay vì mỗi khách hàng thiết lập các server truy xuất của riêng mình và dùng các phiên PPP giữa một vị trí trung tâm và các user ở xa, SP cung cấp một hay nhiều server chia sẻ VIỆC truy xuất. Các phiên PPP cho mỗi VPDN được đi qua đường hằm từ server truy xuất của SP đến một điểm truy xuất vào mạng của mỗi khách hàng được gọi là bộ truy xuất tập trung (access concentrator).
- Loại VPN cuối cùng cung cấp ở dạng truy xuất đặc biệt đến một mạng khách hàng.
IETF đã chỉ định giao thức đường hầm lớp 2 (L2TP), được thiết kế rõ ràng để cung
cấp các khả năng chứng thực va ghép kênh bắt buộc cho việc mở rộng các phiên PPP từ một bộ xử lý tập trung L2TP của khách hàng (LAC) đến L2TP Network Server (LNS).
3.1.4 / Giao thức đường hầm VPN :
- Giao thức đường hằm được sử dụng cho VPNs là IPsec, IP-in-IP, L2TP, GRE, và MPLS:
>_IP Security ( IPSec), được phát triển bởi IETF, IPSec là chuẩn mở mà đảm
bảo việc bảo mật truyền dẫn và chứng thực user trên mạng công cộng. Không như các kỹ thuật mã hoá khác, hoạt động IPSec tại lớp mạng (Network) của mô hình OSI bảy lớp. Vì vậy, nó có thể được bổ sung một cách độc lập các ứng dụng đang chạy trên mạng. Kết quả là mạng có thể được bảo mật mà không cần bổ sung và bảo mật kết hợp cho mỗi ứng dụng riêng.
ii
Luận án tốt nghiệp _—m—..>>>>mx>asaananaaazaaaơơzrzơờơợnzzơờơợnơơợợơợửguzzơợợơơơợơợợgợgzn 64 GVHD :Ths. Nguyễn Văn Mùi
> Hơn nữa lợi ích khác của IPsec là nó là không kết nối —- một đường hầm IPsec giữa các thiết bị PE không dùng bất kỳ tài nguyên nào trong các P
router. Trạng thái duy nhất đòi hỏi là một số thông tin bảo mật bị chia sẻ (một “ sự kết hợp bảo mật “) giữa các thiết bị PE, mà có thể được cấu hình (một “ sự kết hợp bảo mật “) giữa các thiết bị PE, mà có thể được cấu hình
băng tay hay được phân phối tự động (ví dụ dùng IKE).
> Mặt hạn chế là không có việc phân tách tự nhiên đối với các đường IPsec,
mặc dù có khả năng giải quyết sự thiếu sót này chẳng hạn như việc chạy MPLS thông qua đường hằm IPsec.
> Thậm chí không xem xét các ứng dụng đường hầm, thì IPsec có thể hữu ích cho bắt kỳ VPN nào. Bất kể VPN nào mà bạn dùng, khi bạn đang gởi traffic nhạy cảm giữa các site thì bạn cần sự bảo mật tránh việc xâm phạm bằng cách dùng chế độ transport IPsec thông qua transport bên dưới.
> Point-to-Point Tunneling Protocol( PPTP): Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP được đưa ra như là sự lựa chọn với IPSec. Tuy nhiên, IPSec vẫn còn giao thức đường hầm ưa chuộng. PPTP hoạt động tại lớp 2 của mô hình OSI và được dùng cho bảo mật truyền dẫn của lưu thông trên nền Windows.
> Layer 2 Tunneling Protocol( L2TP) : Được phát triển bởi Cisco Systems, L2TP đưa ra nhằm thay thế IPSec như là giao thức đường hằm thực tế. Hiện nay L2TP3 (layer Tuneling Protocol version 3) là một giao thức được thiết kế cho việc đào đường hằm cho thông tin lớp 2 ngang qua một mạng lớp 3. Điều không lấy làm ngạc nhiên khi nó là giao thức đặc biệt hữu ích cho các 'VPN lớp 3.
Thật may mắn cho nhà cung cấp VPN, là tính mở rộng tốt - các đường hằm chỉ dùng các tài nguyên ở 2 đầu đường hằm và các đường hằm có thể được phép. Mặc dù L2TP không có bất kỳ việc xây dựng trong bảo mật, nhưng L2TP có thể được chạy thông qua chế độ transport IPsec, cung cấp một mức độ có lợi về bảo mật cho VPN lớp 2.
ii
Luận án tốt nghiệp 65 GVHD :Ths. Nguyễn Văn Mùi
mm A.SOUOSOOSOREaAaBaAaSaAOaợYSaaBBRBABRBRBaaaavnnananaaaanaaơaơơơnaaơnanơơơơơgzzzaznnazơzơơơn
> The Generic Routing Encapsulation (GRE) protocol được định nghĩa trong RFCI701, nhưng sau đó được cập nhật trong RFC2784 với ít chức năng hơn. Để sử dụng đơn giản, GRE cho phép bạn tạo đường hầm đa giao thức. > Cách dùng GRE quan trọng trong thuật ngữ VPN là để chuyển tải IP trong
IP. Như với RFC2003, điều này có thuận lợi là không cần để báo hiệu bất
kỳ kết nối nào và không có các tài nguyên nào được dùng bởi đường hằm GRE.
> Ở một mức độ nhất định, nó tương tư như các đặc tính của RFC2003 IP-in-
IP. Tuy nhiên, có một sự khác biệt chính. Các mở rộng cho GRE được mô tả trong RFC2890 cho phép việc ghép kênh các đường hằm GRE. Điều này
cho phép chúng ta thiết lập dữ liệu đường hằm từ nhiều VPNs dùng GRE
mà không cần làm giảm số lượng các địa chỉ IP không sử đụng còn lại. > MPLS là một công nghệ được chuẩn hóa bởi IETF cung cấp việc chuyển
tiếp đữ liệu tốc độ cao và dự trữ băng thông.
> Nguyên tắc chính là các gói được chuyền tiếp thông qua một MPLS tunel bằng chuyển mạch dựa trên các nhãn được gán, mà không xem xét nội dung của header IP. Node đầu vào thêm một nhãn vào gói và các gói sau chuyển tiếp dựa trên interface và nhãn đi vào, gởi gói này đến node kế với một giá trị nhãn mới. Node cuối trong đường hằm MPLS loại bỏ nhãn trước khi
chuyên tiếp gói đến đích đến cuối cùng của nó. Con đường để chuyển tiếp dữ liệu gọi là đường dẫn chuyển mạch nhãn (LSP). dữ liệu gọi là đường dẫn chuyển mạch nhãn (LSP).
Một trong các lợi ích của MPLS là có khả năng thiết lập các LSP bên trong các LSP bên trong. Việc đào đường hằm một LSP xuyên qua một LSP khác đơn giản là thêm nhãn khác vào “ngăn xếp nhãn” (tập hợp các nhãn được gắn vào gói). Khi gói đi tới, thì nó được chuyển mạch bằng cách dùng nhãn bên ngoài. Ở đầu cuối của LSP, nhãn bên ngoài được lấy ra khỏi, và gói được chuyển mạch bằng việc dùng nhãn bên ngoài mới.
—_——=——=—=——=—————ỄẺễễễ__—_—_—_—_————
Luận án tốt nghiệp 66 GVHD :Ths. Nguyễn Văn Mùi RE. HO OOHR NT TH. THỊNH GA" TOP ---ỌTHETT-T-T--EEENESSENNNEEHHHnNnHHHyynnunnnnnngnguuuynn RE. HO OOHR NT TH. THỊNH GA" TOP ---ỌTHETT-T-T--EEENESSENNNEEHHHnNnHHHyynnunnnnnngnguuuynn
> Thuận lợi khác của MPLS như một công nghệ đường hằm VPN là việc thiết kế
lưu lượng MPS có thể dành các tài nguyên cho một LSP. Điều này lợi cho khách hàng với một VPN dựa trên MPLS, đảm bảo lượng băng thông.
> Điều duy nhất là khách hàng không cần lo lắng về bảo mật của VPN. Tuy
nhiên, một sự phân tích tính bảo mật của VPNs dùng các đường hầm MPLS đã trình bày tính bảo mật thì tương tự như bảo mật cho bởi khi các site VPN được
kết nối dùng các kết nối ảo ATM/ Frame Relay. Đặc biệt, dữ liệu được giữ
riêng tư như với ATM và Frmae Relay, các vấn đề mạng có thể gây nên sự mắt
gói, nhưng không có khả năng dẫn đến việc các gói bị phân phối sai đích đến.
Mặt khác, nó vẫn còn sự dẻ chừng để mã hóa bất kỳ dữ liệu nhạy cảm nào.
- Như vậy, IPSec vẫn còn tiếp tục là protocol chiếm ưu thế cho việc bảo mật thông tin trên Internet. L2TP là sự kết nối Layer 2 Forwarding( L2F) và PPTP và được dùng để