Chương 1 : TỔNG QUAN
2.4 Các khối chức năng cơ bản của mạng VPN
2.4.4 Truyền Tunnel nền tảng VPN
Truyền Tunnel là công nghệ quan trọng duy nhất để xây dựng VPN. Truyền Tunnel bao gồm đóng bao (Encapsulation) một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel. Kết quả là nội dung được đóng bao trong Tunnel khơng thể nhìn thấy đối với mạng cơng cộng khơng an ninh nơi các gói được truyền. Các vấn đề cụ thể về công nghệ Tunnel được trình bày trong các phần sau.
Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được trình bày trong “Hình 2-5: Truyền Tunnel trong nối mạng riêng ảo” sau đây. Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router. Nếu router C đóng gói đến từ máy A và cổng Y mở bao gói, thì các nút khác mà gói này đi qua sẽ khơng nhận biết được gói đóng bao “bên ngồi” này và sẽ khơng thể biết được phần tải tin cũng như địa chỉ điểm nhận cuối cùng của nó. Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ được nhận biết bởi 2 nút mạng này và các máy A, Z là nơi khởi đầu và kết thúc cuối lưu lượng. Điều này tạo ra một Tunnel một cách hiệu quả để qua đó qua đó các gói được truyền tải với mức an ninh mong muốn.
Tunnel Một chặng Kết nối vật lý Internet Mạng riêng A C Y Z
Hình 2-5: Truyền Tunnel trong nối mạng riêng ảo
Có thể định nghĩa Tunnel bởi các điểm cuối, các thực thể mạng nơi sử dụng các giao thức tháo bao và đóng bao. Các kỹ thuật truyền Tunnel hỗ trợ IP-VPN như L2TP hay PPTP được sử dụng để đóng bao các khung lớp liên kết (PPP). Tương tự các kỹ thuật truyền Tunnel như IP trong IP và các giao thức IPSec được sử dụng để đóng bao các gói lớp mạng.
Theo ngữ cảnh nối mạng riêng ảo, truyền Tunnel có thể thực hiện ba nhiệm vụ chính sau:
- Đóng bao.
- Tính trong suốt đánh địa chỉ riêng.
- Bảo vệ tính tồn vẹn và bí mật số liệu đầu cuối đến đầu cuối.
Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên hạ tầng IP nơi cho phép đánh địa chỉ cơng cộng. Vì các nội dung của gói được truyền Tunnel và các thơng số, như các địa chỉ, chỉ có thể hiểu bên ngồi các điểm cuối Tunnel, đánh địa chỉ IP riêng hồn tồn che đậy khỏi mạng IP cơng cộng bằng cách sử dụng các địa chỉ hợp lệ.
Mạng riêng Internet Mạng riêng
Địa chỉ riêng Địa chỉ công cộng Địa chỉ riêng Hình 2-6: Che đậy địa chỉ IP riêng bằng truyền Tunnel
Các chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ không được phép không thể thay đổi các gói truyền Tunnel của người sử dụng và nhờ vậy nội dung của gói được bảo vệ chống việc truy nhập trái phép. Ngoài ra, tùy chọn truyền Tunnel có thể bảo vệ sự tồn vẹn của tiêu đề gói IP bên ngồi, vì thế đảm bảo nhận thực nguồn gốc số liệu. Chẳng hạn, trong IP-VPN có thể sử dụng tiêu đề IPSec AH để bảo vệ các địa chỉ IP của các đầu cuối Tunnel không bị bắt chước. Tuy nhiên trong công nghệ số liệu, trong nhiều trường hợp điều này không được coi là quan trọng và thực tế nhiều cổng IP-VPN thậm chí khơng áp dụng AH. Lí do vì nều gói truyền Tunnel của người sử dụng được bảo bệ ESP và gói này được mật mã hóa bằng cách sử dụng phân phối khóa an ninh và các kỹ thuật quản lý cũng như các giải thuật gần như là
khơng thể bị phá vỡ như 3DES, thì mọi ý đồ sử dụng sự thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều vơ nghĩa. Vì thế các điểm cuối có ý đồ xấu khơng có cách nào tham dự vào liên kết an ninh trên IPSec ESP và vì thế việc tách hú họa an ninh hiện thời sẽ không dễ dàng và mức độ không thể diễn dải số liệu đánh cắp là rất cao. Đây là điều mà các khách hàng IP-VPN quan tâm và cũng là lý do sử dụng hạn chế AH. Cần lưu ý rằng AH hữu ích khi cần cung cấp thông tin điều khiển thiết lập Tunnel.