Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là: • Đường hầm (Tunnelling) cho phép làm "ảo" một mạng riêng.
37
Hình 1.20. Cấu trúc một đường hầm
Đường hầm: là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác. Kết nối này mang tính lôgích "ảo" không phụ thuộc vào cấu trúc vật lý của mạng. Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng.
Hình 1.21. Đường hầm trong cấu trúc LAN và Client
Đường hầm được tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền
qua Internet. Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, cổng dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu.
Internet
Địa chỉ nguồn
A B Data 1 2 A B Data A B Data
Địa chỉ đích Được mã hóa
Security Gateway 1 Security Gateway 2 Internet Security Gateway 1 Security Gateway 2
38 Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời (Temporary hay Dynamic).
Thông thường các mạng riêng ảo VPN sử dụng dạng đường hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không có nhu cầu trao đổi thông tin thì được huỷ bỏ. Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó người dùng trên các LAN có thể sự dụng đường hầm này. Còn đối với trường hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng đường hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích.