LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thơng qua một đường hầm
bảo mật. đường hầm bảo mật này cĩ thể sử dụng các giao thức PPTP, L2TP, hoặc
IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng khơng cĩ đường nối
lại với nhau, khơng cĩ việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu.
1.2.2.1. Intranet VPN ( Mạng VPN cục bộ ) :
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một cơng ty. Mạng VPN liên kết trụ sở chính, các văn phịng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luơn được mã hố bảo mật. Điều này cho phép tất cả các địa điểm cĩ thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của cơng ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như
là một VPN Site- to- Site.
v¨n phßng ë xa Router Internet Internet POP POP
Remote site Central site
or
Hình 35 : Mơ hình Intranet VPN Những ưu điểm của mạng VPN cục bộ :
-Các mạng lưới cục bộ hay tồn bộ cĩ thể được thiết lập (với điều kiện mạng
thơng qua một hay nhiều nhà cung cấp dịch vụ).
-Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
-Bởi vì những kết nối trung gian được thực hiện thơng qua mạng Internet,
-Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường
ngầm VPN thơng qua Internet kết hợp với cơng nghệ chuyển mạch tốc độ cao. Ví
dụ như cơng nghệ Frame Relay, ATM. Các nhược điểm đi cùng:
- Khả năng bị mất gĩi khi truyền dữ liệu vẫn rất cao.
- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
- Bởi vì dữ liệu được truyền “ngầm” qua mạng cơng cộng – mạng Internet
cho nên vẫn cịn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
1.2.2.2. Extranet VPN (Mạng VPN mở rộng ):
Khơng giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN
mở rộng khơng bị cơ lập với “thế giới bên ngồi”. Thực tế mạng VPN mở rộng
cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… Intranet DSL cable Extranet Business-to-business Router Internet Internet POP POP
Remote site Central site
or
.
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng cơng cộng. Kiểu VPN này sử
dụng các kết nối luơn luơn được bảo mật và được cấu hình như một VPN Site–to– Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đĩ là sự truy cập
mạng được cơng nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên cĩ nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu
cầu của mỗi cơng ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí
vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng cịn những nhược điểm đi cùng như:
- Khả năng bảo mật thơng tin, mất dữ liệu trong khi truyền qua mạng cơng
cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền
dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong mơi trường
Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của cơng ty.
1.3. Cơ sở kỹ thuật đường hầm:
Kỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nĩ cho
phép các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng cơng cộng
khác. Mạng riêng ảo này khơng bị xâm nhập bởi “người lạ”, những cá nhân, máy
Đường hầm là kỹ thuật đĩng gĩi tịan bộ dữ liệu của bất kỳ một định dạng
giao thức nào khác. Header (hoặc cĩ thêm Trailer) của Đường hầm sẽ được đính vào gĩi tin ban đầu sau đĩ đựơc truyền thơng qua một cơ sở hạ tầng trung gian đến điểm đích.
1.3.1. Các thành phần của kỹ thuật đường hầm :
Để triển khai một đường hầm giữa hai điểm, chúng ta cần cĩ bốn thành phần cho đường hầm :
- Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy
khách ( nĩ cĩ tên gọi khác là home network )
- Nút initiator: Là máy khách từ xa hoặc máy chủ khởi tạo một phiên làm việc VPN. Initiator cĩ thể là một phần của mạng nội bộ hoặc là một người dùng di
động, ví dụ laptop.
- Home agent : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ
nhận yêu cầu và kiểm tra xem máy chủ yêu cầu cĩ thẩm quyền truy cập khơng. Nếu
kiểm tra thành cơng, nĩ sẽ bắt đầu thiết lập đường hầm.
- Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập
mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ
HA tại mạng đích.
1.3.2. Phân loại đường hầm :
Dựa trên cách thức đường hầm thơng tin được tạo ra ta chia làm hai lọai
voluntary hay compulsory.
1.3.2.1. Voluntary Tunnels (Đường hầm tùy ý) :
Voluntary Tunnels là lọai đường hầm xuyên suốt từ đầu đến cuối. Voluntary Tunnels được tạo ra theo yêu cầu của máy khách. Kết quả là inititor sẽ
trở thành một đầu cuối của đường hầm. Bởi vậy một đường hầm riêng biệt được tạo
ra cho mỗi cặp máy trao đổi thơng tin. Sau khi quá trình truyền thơng giữa hai máy
Hình 37 : Minh họa đường hầm tùy ý.
1.3.2.2. Compulsory Tunnels (Đường hầm cưỡng bức ) :
Khơng giống như đường hầm voluntary được tạo ra theo yêu cầu của máy khách. Đường hầm compulsory được tạo ra và định cấu hình bởi một thiết bị trung
gian. Initiator phải sử dụng đường hầm được tạo ra bởi thiết bị trung gian nên nĩ mới cĩ tên là đường hầm cưỡng bức.
Ghi chú: Các giao thức đường hầm khác nhau sử dụng các thiết bị trung gian
hịan tịan khác nhau. Ví dụ đối với L2TP sử dụg L2TP Access Concentrator (LAC). Tương tự giao thức PPTP sử dụng thiết bị trung gian là Front End Processor (FEP). Cịn cài đặt IPSec, thiết bị trung gian sử dụng trong phiên truyền thơng VPN là IP Security Gateway.
Trong trường hợp đường hầm compulsory , cả máy khách từ xa cũng như
máy khách kết nối cục bộ đều phải kết nối với thiết bị trung gian, được đặt tại ISP's
POP. Sau khi kết nối thành cơng, thiết bị trung gian sẽ tao ra đường hầm.
Hình 38 : Minh họa đường hầm cưỡng bức.
Bảng so sánh hai loại đường hầm.
Đường hầm voluntary Đường hầm compulsory
initiator là điểm cuối của đường hầm. Thiết bị trung gian là điểm cuối của đườn hầm
Một đường hầm riêng biệt cho mỗi
quá trình truyền thơng
Một đường hầm được dùng chung cho nhiều quá trình truyền thơng
Đường hầm kết thúc khi quá trình truyền dữ liệu giữa hai máy kết thúc
Đường hầm sẽ khơng kết thúc cho đến
khi cặp truyền thơng cuối cùng dừng trao đổi dữ liệu
Dữ liệu được trao đổi nhanh Dữ liệu trao đổi chậm hơn do nhiều
quá trình truyền thơng dùng chung một đường hầm
Đường hầm ngắn Đường hầm dài
1.3.3. Giao thức đường hầm :
Kỹ thuật đường hầm sử dụng 3 giao thức :
- Carrier protocol (giao thức truyền tải). Giao thức được dùng để gửi gĩi tin đường hầm đến đích thơng qua mạng tương tác. Gĩi tin đường hầm được đĩng gĩi bên trong gĩi tin của giao thức này. Do nĩ phải gửi gĩi tin qua một mạng khơng đồng nhất, ví dụ internet, giao thức này cần được hỗ trợ rộng rãi. PPPoE, PPPoA..
- Encapsulating protocol (giao thức đĩng gĩi). Giao thức được dùng để đĩng gĩi payload ban đầu. Giao thức đĩng gĩi cũng chịu trách nhiệm tạo ra, bảo trì và kết thúc đường hầm. Ngày nay giao thức đĩng gĩi thường là PPTP, L2TP, and IPSec.
- Passenger protocol (giao thức gĩi tin). Dữ liệu gốc cần được đĩng gĩi để truyền qua mạng nhờ đường hầm thuộc về giao thức này. VD: IPX, NetBeui, IP .
1.3.4. Giao thức đường hầm lớp 2:
Hiện nay cĩ nhiều giải pháp để giải quyết hai vấn đề về đĩng gĩi dữ liệu và an tồn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao
thức đường hầm sẽ thực hiện đĩng gĩi dữ liệu với phần Header (và cĩ thể cả
Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải
pháp VPN. Cĩ 4 giao thức đường hầm được sử dụng trong VPN đĩ là: - Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding).
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol).
Hình 39 : Cơng nghệ VPN và mơ hình OSI.
Các giao thức ở lớp 2 đều cĩ sự thừa kế từ giao thức liên kết điểm- điểm. Vì vậy để hiểu rõ các giao thức này, chúng ta sẽ tìm hiểu về giao thức liên kết điểm-
điểm.
1.3.4.1. Giao thức điểm – điểm (PPP – Point – to - Point Protocol ):
Trong mạng máy tính, Point-to-Point Protocol (hoặc PPP) là một giao
thức liên kết dữ liệu, thường được dùng để thiết lập một kết nối trực tiếp giữa 2 nút
mạng. Nĩ cĩ thể cung cấp kết nối xác thực, mã hĩa việc truyền dữ liệu...
PPP được sử dụng bằng nhiều kiểu mạng vật lý khác nhau, bao gồm cáp
tuần tự (serial cable), dây điện thoại, mạng điện thoại, radio và cáp quang giống như
SONET. Đa phần các nhà cung cấp dịch vụ Internet đều sử dụng PPP cho khách
hàng để truy cập Internet. Hai kiểu đĩng gĩi dữ liệu của PPP là PPPoE (Point-to- Point Protocol over Ethernet) và PPPoA (Point-to-Point Protocol over ATM), chúng
Một số chức năng của PPP:
- Gán và quản lý địa chỉ IP vào gĩi dữ liệu non_IP.
- Cấu hình và kiểm sốt đường truyền được thiết lập.
- Đĩng gĩi dữ liệu đồng bộ và bất đồng bộ.
- Phát hiện lỗi trong quá trình truyền.
- Dồn kênh két hợp các giao thức mạng ở lớp 2.
- Thỏa thuận các thơng số thích hợp cho cấu hình như tỷ lệ nén dữ liệu và
địa chỉ.
Cấu trúc gĩi PPP:
Hình 40 : Định dạng gĩi PPP.
Cấu trúc khung PPP cĩ 6 trường :
- Flag: trường xác định bắt đầu và kết thúc frame, cĩ độ dài là 1 byte
- Address(địa chỉ) : Trong liên kết điểm điểm, giao thức PPP khơng sử
dụng địa chỉ riêng cho từng nút nên trường địa chỉ chứa chuỗi nhị phân 11111111 (
chuẩn địa chỉ truyền đại chúng), độ dài của trường là 1 byte.
- Control: Trường điều khiển chứa chuỗi nhị phân 00000011, nĩ chỉ ra
rằng frame mang dữ liệu khơng nằm trong chuỗi giao tác PPP. Chiều dài của trường
là 1byte.
- Protocol. Trường xác nhận giao thức của dữ liệu được đĩng gĩi trong trường dữ liệu cử frame. Nghi thức trong trường này được xác định bởi số assigned
trong chuẩn RFC 232. Chiều dài là 1 byte.
- Data. Trường chứa thơng tin được chuyển đổi giữa nút nguồn và nút
đích. Chiều dài của trường cĩ khơng xác định, phụ thuộc vào thơng tin cần chuyển đổi, tuy nhiên độ dài lớn nhất của trường dữ liệu là 1500 bytes
Thơng thường độ dài của trường là 2 bytes, tuy nhiên khi hiện thực PPP cĩ thể sử
dụng đến 4 bytes cho FCS để tăng khả năng phát hiện lỗi.
1.3.4.2. Giao thức định hướng lớp 2 (L2F – Layer 2 Forwarding):
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho
dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thơng qua cơ sở hạ
tầng cơng cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương
pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng cơng ty
thơng qua thiết bị truy cập từ xa.
L2F cho phép đĩng gĩi các gĩi PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu.
a) Cấu trúc gĩi của L2F
1bit 1bit 1bit 1bit 8bit 1bit 3bit 8bit 8bit
F K P S Reserved C Version Protocol Sequence
Multiplex ID Client ID Length Offset Key Data Ckecksums Hình 41 : Định dạng gĩi L2F. Trong đĩ:
F: Trường “Offset” cĩ mặt nếu bit này được thiết lập.
K: Trường “Key” cĩ mặt nếu bít này được thiết lập.
P_ priority: Gĩi này là một gĩi ưu tiên nếu bít này được thiết lập.
S: Trường “Sequence” cĩ mặt nếu bít này được thiết lập.
Reserved: luơn được đặt là: 00000000.
Version : Phiên bản chính của L2F dùng để tạo gĩi. 3 bit này luơn là 111.
Protocol : Xác định giao thức đĩng gĩi L2F.
Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).
Client ID: Giúp tách đường hầm tại những điểm cuối.
Length: chiều dài của gĩi (tính bằng Byte) khơng bao gồm phần checksum.
Offset: Xác định số Byte trước L2F Header, tại đĩ dữ liệu tải tin được bắt đầu. Trường này cĩ khi bít F=1.
Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một phần của
quá trình nhận thực.
Checksum: Kiểm tra tổng của gĩi. Trường checksum cĩ nếu bít C=1.
b)Ưu và nhược của L2F:
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:
- Khơng cĩ mã hố.
- Yếu trong việc xác thực người dùng. - Khơng cĩ điều khiển luồng cho đường hầm.
c) Hoạt động của L2F :
Khi cĩ một máy khách quay số yêu cầu khởi tạo kết nối tới một máy chủ
trong mạng nội bộ, các quy trình sau sẽ được thực hiện tuần tự:
- User từ xa khởi tạo một kết nối PPP tới nhà cung cấp dịch vụ mạng của
họ. Nếu user từ xa là một bộ phận của mạng cục bộ thì người dùng cĩ thể sử dụng
ISDN hoặc các kết nối tương tự đến ISP. Nếu user khơng phải là một bộ phận của
mạng nội bộ thì họ phải dịch vụ.
- Nếu NAS hiện hữu ở ISP's POP chấp nhận yêu cầu kết nối thì kết nối
PPP sẽ được thiết lập giữa NAS và user.
- User được chứng thực ở ISP. Cĩ thể sử dụng CHAP hay PAP để thực
hiện chứng thực.
- Nếu khơng cĩ đường hầm nào tồn tại ở cổng vào của mạng đích mong
muốn thì một đường hầm sẽ được khởi tạo.
vào của máy chủ mạng. Thơng điệp này thơng báo cho cổng vào về yêu cầu kết nối
từ user từ xa.
- Gateway cĩ thể chấp nhận hay hủy bỏ yêu cầu kết nối. Trong trường hợp
yêu cầu bị hủy bỏ thì user sẽ được thơng báo điều này và kết nối quay số kết thúc.
Trong trường hợp yêu cầu kết nĩi được chấp nhận, gateway của máy chủ sẽ gửi