4.3.1. Khái niệm chung
Có thể nhận thấy rõ ràng rằng các mạng VPN truyền thống đều thực hiện thiết lập đờng hầm để trao đổi dữ liệu. Một đờng hầm đợc sử dụng để chuyển dữ liệu từ điểm này đến điểm kia qua hạ tầng liên mạng nh thể là chúng kết nối trực tiếp với nhau. Điều này có thể đạt đợc bằng cách bọc các khung vào gói và thêm một extra header cho gói đó. Nhờ thông tin trong extra header này mà các node trung gian chỉ việc chuyển tiếp dữ liệu trên đờng hầm mà khơng cần phân tích gói gốc.
Xét ví dụ minh hoạ trong hình dới đây, dữ liệu từ A gửi đến B thông qua đ- ờng hầm giữa X và Z. Node trung gian Z, khơng cần biết đến đích đến cuối cùng là B, mà chỉ việc forward dữ liệu đến đầu Z của đờng hầm.
Hình 4.5: Cơ chế đờng hầm Một số đặc tính của đờng hầm:
Thứ nhất là phải bảo mật, khách hàng VPN cần đợc đảm bảo rằng dữ liệu của họ truyền trên mạng phải an tồn. Sẽ là khơng tốt nếu nh các tài liệu về chiến lợc kinh doanh của một công ty lại bị đối thủ cạnh tranh của họ lấy đ- ợc.
Thứ hai là khả năng mở rộng, đó là số lợng đờng hầm phải cung cấp trên mạng lõi và lợng tài nguyên mạng mà các đờng hầm này tiêu thụ. Đặc biệt, một số công nghệ đờng hầm cho phép ghép kênh – ghép các dòng dữ liệu thành một luồng để truyền trên cùng một đờng hầm, và sau đó tách ra tại cuối đờng để đa đến đích.
Cơng nghệ đờng hầm có thể dựa trên các giao thức lập đờng hầm lớp 2 nh: PPTP, L2TP...hoặc các giao thức lập đờng hầm lớp 3 nh: GRE, IPSec...
Phần dới đây sẽ trình bày về một số giao thức kể trên.
4.3.2. Các giao thức đ ờng hầm
4.3.2.1. L2TP
L2TPv3(Layer 2 Tunnelling Protocol Version 3) đợc thiết kế ban đầu nhằm hợp nhất 2 giao thức truy nhập từ xa là PPTP (Point – to – Point Protocol) và L2F (Layer 2 Forwarding). Các giao thức này sử dụng trong các mạng quay số truyền thống và đợc phát triển để hỗ trợ thiết lập các đờng hầm cho các luồng thông tin lớp 2 qua một mạng lớp 3.
L2TP có cơ chế đánh địa chỉ riêng, chạy trên hạ tầng IP và kết nối các thuê bao với nhau. L2TP chỉ mang các khung PPP, cho nên có thể nói nó thật sự là cơng nghệ VPN lớp 2.
Xét một ví dụ cụ thể dới đây: các PE1 và PE2 đã kết nối với nhau thông qua mạng IP. L2TPv3 có thể cung cấp dịch vụ VPN lớp 2 giữa CE1 và CE2 dựa trên kết nối này.
Hình 4.6: Đờng hầm L2TP
Trên PE1, ở giao diện kết nối với CE1 sẽ đợc cấu hình là một bộ phận của đờng hầm L2TP, tơng tự nh vậy ở bên giao diện PE2 – CE2. Lu lợng từ CE1 đến CE2 sẽ đến giao diện S1/0, đợc đóng gói vào đờng hầm L2TP và chuyển tiếp đến PE2. PE2, khi nhận đợc gói, sẽ bóc gói và truyền trên S1/0 - đã đợc cấu hình là điểm cuối của đờng hầm. Các router trong mạng lõi IP chỉ chuyển tiếp gói này nh gói IP thơng thờng. Phần dữ liệu chỉ đợc phân tích tại PE2.
Các cơ chế hoạt động của L2TP:
Raw mode: các giao diện hỗ trợ chế độ này gồm: Serial, SONET, Ethernet.
Ethernet
Frame Relay
ATM
4.3.2.2. GRE (Generic Routing Encapsulation)
GRE cho phép thực hiện đóng gói một giao thức này trong một giao thức khác, ứng dụng chủ yếu là IP trong IP. GRE cho phép ghép kênh dữ liệu. GRE có mức bảo mật không cao, nhng dễ hiểu và sử dụng.
4.3.2.3. IPSec
Hiện nay, hầu hết các mạng VPN truyền thống sử dụng cơ chế đờng hầm IPSec vì nó có nhiều điểm u việt hơn so với các giao thức khác. IPSec đợc phát triển xuất phát từ các yêu cầu về bảo mật dữ liệu trên VPN. Bản chất của IPSec là
một cơng nghệ mã hố dữ liệu và tạo kết nối ảo, cho phép nâng cao tính bảo mật cho các kết nối trên mạng công cộng nh Internet.
IPSec cung cấp các dịch vụ đảm bảo an toàn cho lớp IP, đáp ứng đợc 3 yêu cầu về bảo mật, đó là: khả năng nhận thực, tính bảo mật và tính tồn vẹn dữ liệu.
Các dịch vụ an ninh trong IPSec đợc cung cấp bởi 3 cơng nghệ khố mới, có thể loại bỏ các mối đe doạ đối với mạng IP:
Giao thức nhận thực AH (Authentication Header): giúp các bên kiểm tra xem dữ liệu gốc có bị sửa đổi trong q trình chuyển tiếp hay khơng và kiểm tra nguồn dữ liệu. Cơng nghệ này gắn vào mỗi gói dữ liệu trờng checksum cho phép kiểm tra số nhận dạng của ngời gửi và tính tồn vẹn của dữ liệu.
Giao thức đóng gói an toàn cho IP (ESP – Encapsulating Security Payload): trong đó dữ liệu đợc mã hố để đảm bảo khơng bị “nghe trộm” trong suốt quá trình truyền tin. Cơng nghệ này thực hiện việc giả ngẫu nhiên hố dữ liệu ( có thể cả phần địa chỉ IP ) trong mỗi gói. Vì thế một kẻ nghe lén tại một nơi nào đó trên mạng dù có bắt đợc cũng sẽ khơng hiểu đợc nội dung gói tin.
Có 2 cách để đóng gói một gói IPSec. Cách thứ nhất, gọi là kiểu “đờng hầm”, mã hố tồn bộ gói IP, kể cả phần header. Sau đó, một IP header mới sẽ đợc gắn vào cho gói đã mã hố. Cách làm này sẽ làm tăng lu lợng tải trên mạng.
Hình 4.7: Gói IPSec kiểu đờng hầm (adsbygoogle = window.adsbygoogle || []).push({});
Để khắc phục, ngời ta đa ra cách thứ 2, gọi là kiểu “truyền tải”, sử dụng khi cần dùng IPSec để mã hố các gói GRE.
Hình 4.8: Gói IPSec kiểu truyền tải
Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoá Internet (IKE – Internet Key exchange) cho phép các bên thoả thuận các phơng pháp truyền thơng an tồn. Đây là một thủ tục đàm phán linh hoạt cho phép ngời sử dụng đồng ý phơng pháp nhận thực, phơng pháp mã hoá, các khoá sẽ dùng để mã hoá và giải mã dữ liệu. Quá trình này đợc thực hiện trên một kênh điều khiển riêng biệt.
Mạng riêng ảo an tồn trên mạng IP:
Vì IPSec có thể tơng thích với các chuẩn IP nên chúng ta có thể sử dụng IPSec để xây dựng các mạng riêng ảo trên các mạng IP thông thờng, đảm bảo truyền dữ liệu một cách an tồn qua mơi trờng liên mạng. Chỉ cần thiết bị ở biên mạng (kết nối vào Internet) có hỗ trợ IPSec, phần cịn lại trong mạng riêng của bạn vẫn hoạt động nh cũ dựa trên nền IP. Sức mạnh của IPSec chính là cơ chế bảo mật của nó hoạt động ở mức mạng thấp. Giao thức IPSec cung cấp tất cả các chức năng cần thiết cho việc trao đổi thơng tin an tồn: khả năng nhận thực, tính tồn vẹn, tính bảo mật và làm cho việc trao đổi khố có thể thực hiện an tồn trong các mạng lớn.