kekeke_hehehe
New Member
Link tải luận văn miễn phí cho ae Kết Nối
DANH SÁCH HÌNH………………………………………………………2
lỜi NÓI ĐẦU ……………………………………………………… ……3
CHƯƠNG 1 - TỔNG QUAN VỂ MẠNG RIÊNG ẢO
1.1 Khái niệm mạng riêng ảo…………………………………………….5
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo……………7
1.2.1 Chức năng………………………………………………………….7
1.2.2 Ưu điểm……………………………………………………… ….7
1.2.3 Nhược điểm……………………………………………………….8
CHƯƠNG 2 – CÁC GIAO THỨC ĐƯỜNG HẦM
2.1 Giới thiệu các giao thức đường hầm…………………………………9
2.2 Các giao thức mã hoá đường hầm……………………………… …11
2.2.1 Giao thức chuyển tiếp lớp 2 L2F………………………………… 11
2.2.1.1 Các quá trình xử lý L2F……………………………………….12
2.2.1.2 Tunneling L2F……………………………………………… 14
2.2.1.3 Vấn đề bảo mật L2F………………………………………… 15
2.2.1.4 Sự nhận thức dữ liệu L2F…………………………………… 16
2.2.1.5 Ưu điểm và Nhược điểm của L2F…………………………… 17
2.2.2 Giao thức Tunneling lớp 2 L2TP………………………………….18
2.2.2.1 Các thành phần của L2TP…………………………………… …20
2,2,2,2 Các quá trình xử lý của L2TP…………………………………….21
2.2.2.3 Tunnel dữ liệu L2TP………………………………………… 22
2.2.2.4 Các cách đường hầm L2TP……………………………25
2.2.2.5 Sự nhận thực L2TP qua IPsec………………………….………30
2.2.2.6 Mã hóa dữ liệu dạng L2TP…………………………… ………31
2.2.2.7 Ưu điểm và Nhược điểm của L2TP…………………………….31
KẾT LUẬN ………………………………………………………………33
1
DANH SÁCH HÌNH
Hình 1.1 : Mô hình mạng riêng ảo………………………………………….5.
Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm……………………………7.
Hình 2.1 Mạng riêng sử dụng IPsec………………………………… ……10
Hình 2.2 Giao thức đường hầm L2F……………………………………….12
Hình 2.3-Quá trình thiết lập L2F………………………………………… 14
Hình 2.4-Xử lý tunneling dữ liệu L2F…………………………………… 14
Hình 2.5 –Dạng gói L2F………………………………………………… 15
Hình 2.6-Các tunnel L2TP……………………………………………… 20
Hình 2.7-Quá trình thiết lập tunnel L2TP………………………………….22
Hình 2.8-Quá trình hoàn thiện dữ liệu Tunnel L2TP…………………… 24
Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP…………… 25
Hình 2.10-Tunnel cưỡng bức L2TP……………………………………….26
Hình 2.11-Quá trình thiết lập tunnel cưỡng bức………………………… 27
Hình 2.12-Tunnel tự nguyện L2TP……………………………………… 28
Hình 2.13 -Việc thiết lập tunnel tự nguyện L2TP…………………………29
Hình 2.14- Định dạng của bản tin điều khiển L2TP……………………….29
Hình 2.15-Việc bảo vệ tunnel cưỡng bức sử dụng IPsec………………… 30
Hình 2.16-Việc bảo vệ tunnel tự nguyện L2TP sử dụng IPsec…………….31
Bàn 2.1 So sánh các phương pháp mã hoá đường hầm trong VPN……….33
2
LỜi NÓI ĐẦU
Mạng riêng ảo là một giải pháp hiệu quả cho phép truyền thông dữ liệu
một cách an toàn với chi phí thấp , giảm nhẹ được các công việc quản lý
hoạt động của mạng , linh hoạt trong các công việc truy cập từ xa . VPN là
mạng kết nối cho các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng
của mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo
bảo mật riêng cho mạng .
Mục tiêu của tài liệu này giới thiệu
Chương 1 : Giới thiệu tổng quan về mạng VPN ảo và các đặc tính của
mạng VPN
Chương 2 : Giới thiệu các giao thức đường hầm
KẾT LUẬN
3
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CHUYÊN ĐỀ
Quản lý Mạng Viễn Thông
Đề tài:
MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ MÃ
HOÁ ĐƯỜNG HẦM
Giáo viên hướng dẫn:ThS.Nguyễn Tiến Ban
Người thực hiện: Trần Đại Nghĩa
NguyÔn §×nh §¹t
Lớp: D2004VT2
Hà Nội 2005
4
Chương 1
Tổng quan về mạng riêng ảo
1.1Khái niệm mạng riêng ảo
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai
trên kết nối mạng trên cơ sở hạ tầng mạng công cộng với các chính sách
quản lý và bảo vệ giống như mạng cục bộ . Mạng VPN là sự mở rộng mô
hình mạng LAN . Trong thực tế người ta nói đến hai khái niệm : VPN tin
cậy và VPN an toàn
VPN tin cậy : như là số mạch thuê bao của một nhà cung cấp dịch vụ
viễn thông . Mỗi mạch thuê hoạt động như một đường dây trong một
mạng cục bộ
VPN an toàn : là các mạng riêng ảo có sự sử dụng các mật mã để bảo
vệ dữ liệu . Dữ liệu đầu ra của mạng được mật mã rồi chuyển vào
mạng công cộng như các dữ liệu khác để truyển tới đích và sau đó
được giải mã tại phía thu .
Hình 1.1 : Mô hình mạng riêng ảo
Bước vào kỷ nguyên thông tin, công nghệ
thông tin và viễn thông đang hội tụ sâu sắc
và đóng góp những vai trò quan trọng trong
sự phát triển kinh tế, xã hội toàn cầu. Xu
hướng toàn cầu hóa đã buộc các doanh
5
nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống thông
tin của chính mình. Với một hệ thống trụ sở, chi nhánh rải rộng
trên khắp thế giới, việc phải sử dụng một mạng kết nối - trao đổi
thông tin riêng ( WAN) trong nội bộ là vô cùng quan trọng để có
được những kết quả sản xuất kinh doanh thực sự hiệu quả.
Tuy nhiên, mạng dùng riêng (WAN)
vẫn là một giải pháp rất đắt tiền, đòi
hỏi những mức chi phí đầu tư lớn, rất
khó có thể phù hợp cho những doanh
nghiệp vừa và nhỏ tại Việt Nam. Với các công nghệ mạng trước
đây như Leased Line hay Frame Relay hay VPN, để kết nối
giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư
chi phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng. Tuy
nhiên, do hạn chế về công nghệ, công nghệ mạng truyền thống
này rất phức tạp, khó quản trị, và khả năng mở rộng mạng khó
khăn.
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công
nghệ cho phép thiết lập mạng dùng riêng trên nền mạng công
cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo”
thông suốt và bảo mật.
6
Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm
Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu
tư thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình. Đây là điều rất
khó khăn cho các doanh nghiệp không chuyên về viễn thông và công nghệ
thông tin.
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo
1.2.1 Chức năng VPN cung cấp 3 chức năng :
Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin
với người mình mong muốn .
Tính toàn vẹn
Để đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn
nào trong quá trình truyền dẫn
Tính bảo mật
Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã phía đầu ra
1.2.2 Ưu điểm
Mạng riêng ảo mạng lại lợi ích thiết thực và tức thời cho các công ty
tiết kiệm chi phí
7
Tính linh hoạt
Khản năng mở rộng
Giảm thiểu các hỗ trợ kỹ thuật
Giảm thiểu các yêu cầu thiết bị
Đáp ứng các nhu cầu thương mại
1.2.2 Nhược điểm
Ngoài các ưu điểm trên mạng VPN còn có các nhược điểm
Sự rủi ro an ninh
Độ tin cậy và khẳn năng thực thi
Vấn đề lựa chọn giao thức
8
Chương 2
Các giao thức đường hầm
2.1 Giới thiệu các giao thức đường hầm
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra
một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ
gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể
truyền qua hệ thống mạng trung gian theo những "đường ống" riêng
(tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và
chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối
Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức .
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải (Carrier Protocol) là giao thức được sử
dụng bởi mạng có thông tin đang đi qua.
Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức
GRE, IPSec, L2F, PPTP và L2TP
Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu
gốc được truyền đi IPX, NetBeui, IP.
Đặc điểm riêng của mạng VPN ảo là có thể truyền một gói tin sử
dụng giao thức không được hỗ trợ trên Internet (NetBeui) bên trong một gói
IP và gửi nó qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP
9
riêng (lớp A) không được định tuyến trên mạng bên trong một gói dùng địa
chỉ IP (định tuyến) để mở rộng một mạng riêng trên Internet.
Chúng ta giới thiệu hai kỹ thuât hay dùng trong VPN , đó là VPN truy
cập từ xa và VPN điểm tới điểm
Kỹ thuật Tunneling VPN truy cập điểm-nối điểm
Trong VPN này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao
gồm thông tin loại gói tin và thông tin kết nối giữa máy chủ với máy khách.
Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy
cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao
diện Tunnel.
Hình 2.1 Mạng riêng sử dụng IPsec
Kỹ thuật Tunneling VPN truy cập từ xa
Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point
Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao
thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói
tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào
PPP.
10
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các
thành viên PPTP Forum, Cisco và IETF. Kết hợp các chức năng của cả PPTP
và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm
giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa.
Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS
và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và
an toàn hơn.
Giao thức bảo mật IPsec (IPSec – Internet Protocol Security)
2.2 Các giao thức mã hoá đường hầm
2.2.1 Giao thức chuyển tiếp lớp 2 L2F
Các dịch vụ mạng dial-up truyền thống được thực hiện thông qua
internet và dựa trên công nghệ IP.Các giải pháp đường hầm phổ biến, như là
PPP và PPTP,đã chứng tỏ thành công với kiến trúc mạng IP hơn các công
nghệ mạng đương thời khác, như là ATM, Frame Relay, Sự bảo mật là một
vấn đề . Mặc dù các đòi hỏi của Microsoft về phiên giao dịch truyền
thông(transaction) có tính đảm bảo, PPTP dựa trên MS-CHAP-đã đựợc biết
trong các phần trước, là không thực sự đảm bảo. Các vấn đề này thu được do
các tổ chức công nghiệp và các chuyên gia nghiên cứu cho các giải pháp lựa
chọn.
Các hệ thống Cisco, cùng với Nortel, là một trong những nhà cung
cấp dẫn đầu đối với giải pháp đó là:
Cho phép các phiên giao dịch truyền thông được đảm bảo.
Cung cấp các truy nhập thông qua các kiến trúc cơ bản của internet
và các liên kết mạng trung gian công cộng khác.
11
Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI,IPX,
Net-BEUI, và Frane Relay.
Cisco đã đưa ra sau những nghiên cứu mở rộng là L2F. Bên cạnh việc
thực các mục tiêu chính kể trên, L2F tỏ ra nhiều ưu điểm lớn khác trong
công nghệ điều khiển truy nhập từ xa. Các tunnel L2F có thể hỗ trợ hơn một
phiên đồng thời trong cùng một tunnel. Hay nói một cách đơn giản hơn, sẽ
có hơn một người ở xa có thể truy nhập vào intranet riêng sử dụng đường kết
nối dial-up đơn. L2F đạt được điều này bởi vì việc xác định nhiều các kết
nối trong một tunnel, ở đây mỗi một kết nối tương ứng với một luồng PPP.
Hơn nữa, các luồng này có thể khởi đầu từ một người sử dụng ở xa hay từ
nhiều người sử dụng. Bởi vì một tunnel có thể hỗ trợ nhiều kết nối một cách
đồng thời, Một số ít các kết nối được yêu cầu từ một trí xa tới các ISP và từ
POP của ISP tới các gateway của một mạng riêng. Đặc điểm này đặc biệt
hữu dụng trong việc giảm chi phi cho người sử dụng.
Hình 2.2 Giao thức đường hầm L2F .
2.2.1.1 Các quá trình xử lý L2F
Khi một client từ xa quay số khởi tạo một kết nối tới một cái host
được xác định vị trí trong một intranet,các quá trình xử lý sau được thực
hiện một cách tuần tự:
1. Người sử dụng từ xa khởi tạo một kết nối PPP tới các ISP của nó. Nếu
người sử dụng từ xa là một phần của cơ cấu mạng LAN,người sử
dụng có thể dùng ISDN hay cách kết nối khác để kết nối tới ISP. Một
chọn lựa khác, nếu người sử dụng không phải là một thành phần của
bất kỳ mạng intranet, bạn cần sử dụng dịch vụ theo đường PSTN.
12
2. Nếu NAS thiết lập POP của ISP chấp nhận yêu cầu kết nối, thì sự kết
nối PPP được thiết lập giữa NAS và người sử dụng.
3. Người sử dụng được nhận thực tại ISP cuối cùng. Một trong hai
CHAP hay PAP được sử dụng cho mục đích này.
4. Nếu không có tunnel nào tồn tại tới gateway của mạng đích mong
muốn, thì một đường được khởi tạo
5. Sau khi một tunnel được thiết lập thành công, một ID thành phần duy
nhất (MID) được cấp phát để kết nối. Một bản tin thông báo cũng
được gửi tới gateway của host trong mạng. Bản tin này thông báo
gateway về yêu cầu cho kết nối từ một người sử dụng ở xa.
6. Gateway có thể hay là chấp nhận hay từ chối yêu cầu kết nối tới nó.
Nếu yêu cầu bị từ chối, người sử dụng được thông báo về lại là yêu
cầu bị lỗi và kết nối dial-up kết thúc. Mặt khác, Nếu yêu cầu được
chấp nhận, cac gateway host gửi thông báo bắt đầu thiết lập tới client
xa. Đáp ứng này cũng có thể bao gồm thông tin nhận thực được sử
dụng bởi gateway để nhận thực người sử dụng từ xa.
7. Sau khi người sử dụng được nhận thực bởi một gateway của mạng
host, một giao diện ảo được thiết lập giữa hai đầu cuối.
Chú ý: Nếu CHAP được sử dụng cho việc nhận thực người sử dụng,
như chỉ ra trong bước 6, sự đáp ứng bao gồm các yêu cầu, tên truy nhập, đáp
ứng mới. Đối với các sự xác thực PAP-cơ sở, đáp ứng bao gồm tên và mật
khẩu trong cleartext. Trong trường hợp của PPP, sự thông báo khởi tạo thiết
lập cũng vậy bao gồm bản tin CONFACK được chuyển giữa hai đầu cuối
sau khi sự thỏa thuận TCP thành công. Sự chấp nhận này cho phép gateway
của mạng host được khởi tạo trạng thái PPP của chính nó.
.
13
Hình 2.3-Quá trình thiết lập L2F .
2.2.1.2 Tunneling L2F
Khi một người sử dụng xa được xác thực và các yêu cầu kết nối được
chấp thuận, một tunnel được thiết lập giữa NAS của ISP và gateway của
mạng host.
Hình 2.4-Xử lý tunneling dữ liệu L2F
Sau khi một tunnel giữa hai đầu cuối được thay thế, các khung lớp 2
có thể được trao đổi thông qua tunnel như sau:
14
1. Người sử dụng xa chuyển tiếp các khung thường tới các NAS đã được
cấp phát tại ISP.
2. POP tước đoạt các thông tin lớp liên kết dữ liệu hay các byte trong
suốt và thêm phần
3. Gateway của mạng host chấp nhận các gói này qua tunnel, tiêu đề và
phần đuôi của L2F bị loại bỏ còn khung được chuyển tiếp đến node
đích trong mạng intranet.
4. Node đích xử lý các khung nhận được như là các khung không qua
tunnel.
Chú ý: Các tunnel L2F cũng được coi như là “các giao diện ảo”.
Bất kỳ các đáp ứng nào từ host đích trong mạng host cũng chịu sự xử
lý ngược. Đó là, host gửi khung dữ liệu lớp liên kết dữ liệu thông thường tới
các gateway,mà các khung này được đóng khung vào các gói L2F (như trên
hình 2.4), và chuyển tiếp nó tới NAS đã được cấp phát tại phía ISP. NAS
phân giải các thông tin từ các khung thêm các thông tin lớp liên kết dữ liệu
thích hợp vào nó. Sau đó khung được chuyển tiếp tới người sử dụng ở xa.
Hình 2.5 –Dạng gói L2F.
2.2.1.3 Vấn đề bảo mật L2F
L2F cung cấp các tiện ích sau:
• Mật mã hóa dữ liệu.
• Sự xác thực.
Quá trình mật mã hóa dữ liệu của L2F:
L2F sử dụng MPPE (Mã hóa dữ liệu điểm-điểm của Microsoft) cho
mục đích mã hóa cơ bản. Tuy nhiên, MPPE không thực sự an toàn có thể
chống lại thủ thuật hack ngày càng tinh vi. Khi đó tất nhiên dẫn đến, L2F
cũng sử dụng phương pháp mã hóa dựa trên giao thức Ipsec(Internet
protocol security) để tăng thêm khả năng bảo vệ dữ liệu trong khi truyền
dẫn. Ipsec sử dụng hai giao thức cho mục đích mã hóa này- ESP
15
(Encapsulating Security) và AH (Authentication header). Hơn nữa, để đảm
bảo tính bảo mật khóa cao trong pha khóa trao đổi khóa, IPsec cũng sử dụng
một giao thức thứ 3 là IKE (Internet Key Exchange).
Ưu điểm lớn nhất của kỹ thuật mã hóa sử dụng IPsec là IPsec bắt buộc
sự nhận thực của từng gói riêng biêt thay vì thay vì sự thực hiện nhận thực
chung đối với mỗi người sử dụng. Trong kỹ thuật nhận thực theo người sử
dụng, mỗi người sử dụng tại các đầu cuối truyền thông tin được nhận thực
chỉ một lần khi bắt đầu truyền thông tin. Tuy nhiên, khi đó bạn cho rằng
chiến lược nhận thực theo gói là chậm hơn chiến lược nhận thực theo người
sử dụng và chịu phần mào đầu tương đối lớn. Ngoài ra, IPsec được khuyến
nghị như một giao thức bảo mật đối với tất cả các tunneling VPN, là PPTP,
L2F,L2TP.
2.2.1.4 Sự nhận thực dữ liệu L2F
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
DANH SÁCH HÌNH………………………………………………………2
lỜi NÓI ĐẦU ……………………………………………………… ……3
CHƯƠNG 1 - TỔNG QUAN VỂ MẠNG RIÊNG ẢO
1.1 Khái niệm mạng riêng ảo…………………………………………….5
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo……………7
1.2.1 Chức năng………………………………………………………….7
1.2.2 Ưu điểm……………………………………………………… ….7
1.2.3 Nhược điểm……………………………………………………….8
CHƯƠNG 2 – CÁC GIAO THỨC ĐƯỜNG HẦM
2.1 Giới thiệu các giao thức đường hầm…………………………………9
2.2 Các giao thức mã hoá đường hầm……………………………… …11
2.2.1 Giao thức chuyển tiếp lớp 2 L2F………………………………… 11
2.2.1.1 Các quá trình xử lý L2F……………………………………….12
2.2.1.2 Tunneling L2F……………………………………………… 14
2.2.1.3 Vấn đề bảo mật L2F………………………………………… 15
2.2.1.4 Sự nhận thức dữ liệu L2F…………………………………… 16
2.2.1.5 Ưu điểm và Nhược điểm của L2F…………………………… 17
2.2.2 Giao thức Tunneling lớp 2 L2TP………………………………….18
2.2.2.1 Các thành phần của L2TP…………………………………… …20
2,2,2,2 Các quá trình xử lý của L2TP…………………………………….21
2.2.2.3 Tunnel dữ liệu L2TP………………………………………… 22
2.2.2.4 Các cách đường hầm L2TP……………………………25
2.2.2.5 Sự nhận thực L2TP qua IPsec………………………….………30
2.2.2.6 Mã hóa dữ liệu dạng L2TP…………………………… ………31
2.2.2.7 Ưu điểm và Nhược điểm của L2TP…………………………….31
KẾT LUẬN ………………………………………………………………33
1
DANH SÁCH HÌNH
Hình 1.1 : Mô hình mạng riêng ảo………………………………………….5.
Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm……………………………7.
Hình 2.1 Mạng riêng sử dụng IPsec………………………………… ……10
Hình 2.2 Giao thức đường hầm L2F……………………………………….12
Hình 2.3-Quá trình thiết lập L2F………………………………………… 14
Hình 2.4-Xử lý tunneling dữ liệu L2F…………………………………… 14
Hình 2.5 –Dạng gói L2F………………………………………………… 15
Hình 2.6-Các tunnel L2TP……………………………………………… 20
Hình 2.7-Quá trình thiết lập tunnel L2TP………………………………….22
Hình 2.8-Quá trình hoàn thiện dữ liệu Tunnel L2TP…………………… 24
Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP…………… 25
Hình 2.10-Tunnel cưỡng bức L2TP……………………………………….26
Hình 2.11-Quá trình thiết lập tunnel cưỡng bức………………………… 27
Hình 2.12-Tunnel tự nguyện L2TP……………………………………… 28
Hình 2.13 -Việc thiết lập tunnel tự nguyện L2TP…………………………29
Hình 2.14- Định dạng của bản tin điều khiển L2TP……………………….29
Hình 2.15-Việc bảo vệ tunnel cưỡng bức sử dụng IPsec………………… 30
Hình 2.16-Việc bảo vệ tunnel tự nguyện L2TP sử dụng IPsec…………….31
Bàn 2.1 So sánh các phương pháp mã hoá đường hầm trong VPN……….33
2
LỜi NÓI ĐẦU
Mạng riêng ảo là một giải pháp hiệu quả cho phép truyền thông dữ liệu
một cách an toàn với chi phí thấp , giảm nhẹ được các công việc quản lý
hoạt động của mạng , linh hoạt trong các công việc truy cập từ xa . VPN là
mạng kết nối cho các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng
của mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo
bảo mật riêng cho mạng .
Mục tiêu của tài liệu này giới thiệu
Chương 1 : Giới thiệu tổng quan về mạng VPN ảo và các đặc tính của
mạng VPN
Chương 2 : Giới thiệu các giao thức đường hầm
KẾT LUẬN
3
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CHUYÊN ĐỀ
Quản lý Mạng Viễn Thông
Đề tài:
MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ MÃ
HOÁ ĐƯỜNG HẦM
Giáo viên hướng dẫn:ThS.Nguyễn Tiến Ban
Người thực hiện: Trần Đại Nghĩa
NguyÔn §×nh §¹t
Lớp: D2004VT2
Hà Nội 2005
4
Chương 1
Tổng quan về mạng riêng ảo
1.1Khái niệm mạng riêng ảo
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai
trên kết nối mạng trên cơ sở hạ tầng mạng công cộng với các chính sách
quản lý và bảo vệ giống như mạng cục bộ . Mạng VPN là sự mở rộng mô
hình mạng LAN . Trong thực tế người ta nói đến hai khái niệm : VPN tin
cậy và VPN an toàn
VPN tin cậy : như là số mạch thuê bao của một nhà cung cấp dịch vụ
viễn thông . Mỗi mạch thuê hoạt động như một đường dây trong một
mạng cục bộ
VPN an toàn : là các mạng riêng ảo có sự sử dụng các mật mã để bảo
vệ dữ liệu . Dữ liệu đầu ra của mạng được mật mã rồi chuyển vào
mạng công cộng như các dữ liệu khác để truyển tới đích và sau đó
được giải mã tại phía thu .
Hình 1.1 : Mô hình mạng riêng ảo
Bước vào kỷ nguyên thông tin, công nghệ
thông tin và viễn thông đang hội tụ sâu sắc
và đóng góp những vai trò quan trọng trong
sự phát triển kinh tế, xã hội toàn cầu. Xu
hướng toàn cầu hóa đã buộc các doanh
5
nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống thông
tin của chính mình. Với một hệ thống trụ sở, chi nhánh rải rộng
trên khắp thế giới, việc phải sử dụng một mạng kết nối - trao đổi
thông tin riêng ( WAN) trong nội bộ là vô cùng quan trọng để có
được những kết quả sản xuất kinh doanh thực sự hiệu quả.
Tuy nhiên, mạng dùng riêng (WAN)
vẫn là một giải pháp rất đắt tiền, đòi
hỏi những mức chi phí đầu tư lớn, rất
khó có thể phù hợp cho những doanh
nghiệp vừa và nhỏ tại Việt Nam. Với các công nghệ mạng trước
đây như Leased Line hay Frame Relay hay VPN, để kết nối
giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư
chi phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng. Tuy
nhiên, do hạn chế về công nghệ, công nghệ mạng truyền thống
này rất phức tạp, khó quản trị, và khả năng mở rộng mạng khó
khăn.
Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công
nghệ cho phép thiết lập mạng dùng riêng trên nền mạng công
cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo”
thông suốt và bảo mật.
6
Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm
Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu
tư thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình. Đây là điều rất
khó khăn cho các doanh nghiệp không chuyên về viễn thông và công nghệ
thông tin.
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo
1.2.1 Chức năng VPN cung cấp 3 chức năng :
Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin
với người mình mong muốn .
Tính toàn vẹn
Để đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn
nào trong quá trình truyền dẫn
Tính bảo mật
Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã phía đầu ra
1.2.2 Ưu điểm
Mạng riêng ảo mạng lại lợi ích thiết thực và tức thời cho các công ty
tiết kiệm chi phí
7
Tính linh hoạt
Khản năng mở rộng
Giảm thiểu các hỗ trợ kỹ thuật
Giảm thiểu các yêu cầu thiết bị
Đáp ứng các nhu cầu thương mại
1.2.2 Nhược điểm
Ngoài các ưu điểm trên mạng VPN còn có các nhược điểm
Sự rủi ro an ninh
Độ tin cậy và khẳn năng thực thi
Vấn đề lựa chọn giao thức
8
Chương 2
Các giao thức đường hầm
2.1 Giới thiệu các giao thức đường hầm
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra
một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ
gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể
truyền qua hệ thống mạng trung gian theo những "đường ống" riêng
(tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và
chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối
Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức .
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải (Carrier Protocol) là giao thức được sử
dụng bởi mạng có thông tin đang đi qua.
Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức
GRE, IPSec, L2F, PPTP và L2TP
Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu
gốc được truyền đi IPX, NetBeui, IP.
Đặc điểm riêng của mạng VPN ảo là có thể truyền một gói tin sử
dụng giao thức không được hỗ trợ trên Internet (NetBeui) bên trong một gói
IP và gửi nó qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP
9
riêng (lớp A) không được định tuyến trên mạng bên trong một gói dùng địa
chỉ IP (định tuyến) để mở rộng một mạng riêng trên Internet.
Chúng ta giới thiệu hai kỹ thuât hay dùng trong VPN , đó là VPN truy
cập từ xa và VPN điểm tới điểm
Kỹ thuật Tunneling VPN truy cập điểm-nối điểm
Trong VPN này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao
gồm thông tin loại gói tin và thông tin kết nối giữa máy chủ với máy khách.
Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy
cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao
diện Tunnel.
Hình 2.1 Mạng riêng sử dụng IPsec
Kỹ thuật Tunneling VPN truy cập từ xa
Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point
Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao
thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói
tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào
PPP.
10
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các
thành viên PPTP Forum, Cisco và IETF. Kết hợp các chức năng của cả PPTP
và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm
giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa.
Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS
và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và
an toàn hơn.
Giao thức bảo mật IPsec (IPSec – Internet Protocol Security)
2.2 Các giao thức mã hoá đường hầm
2.2.1 Giao thức chuyển tiếp lớp 2 L2F
Các dịch vụ mạng dial-up truyền thống được thực hiện thông qua
internet và dựa trên công nghệ IP.Các giải pháp đường hầm phổ biến, như là
PPP và PPTP,đã chứng tỏ thành công với kiến trúc mạng IP hơn các công
nghệ mạng đương thời khác, như là ATM, Frame Relay, Sự bảo mật là một
vấn đề . Mặc dù các đòi hỏi của Microsoft về phiên giao dịch truyền
thông(transaction) có tính đảm bảo, PPTP dựa trên MS-CHAP-đã đựợc biết
trong các phần trước, là không thực sự đảm bảo. Các vấn đề này thu được do
các tổ chức công nghiệp và các chuyên gia nghiên cứu cho các giải pháp lựa
chọn.
Các hệ thống Cisco, cùng với Nortel, là một trong những nhà cung
cấp dẫn đầu đối với giải pháp đó là:
Cho phép các phiên giao dịch truyền thông được đảm bảo.
Cung cấp các truy nhập thông qua các kiến trúc cơ bản của internet
và các liên kết mạng trung gian công cộng khác.
11
Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI,IPX,
Net-BEUI, và Frane Relay.
Cisco đã đưa ra sau những nghiên cứu mở rộng là L2F. Bên cạnh việc
thực các mục tiêu chính kể trên, L2F tỏ ra nhiều ưu điểm lớn khác trong
công nghệ điều khiển truy nhập từ xa. Các tunnel L2F có thể hỗ trợ hơn một
phiên đồng thời trong cùng một tunnel. Hay nói một cách đơn giản hơn, sẽ
có hơn một người ở xa có thể truy nhập vào intranet riêng sử dụng đường kết
nối dial-up đơn. L2F đạt được điều này bởi vì việc xác định nhiều các kết
nối trong một tunnel, ở đây mỗi một kết nối tương ứng với một luồng PPP.
Hơn nữa, các luồng này có thể khởi đầu từ một người sử dụng ở xa hay từ
nhiều người sử dụng. Bởi vì một tunnel có thể hỗ trợ nhiều kết nối một cách
đồng thời, Một số ít các kết nối được yêu cầu từ một trí xa tới các ISP và từ
POP của ISP tới các gateway của một mạng riêng. Đặc điểm này đặc biệt
hữu dụng trong việc giảm chi phi cho người sử dụng.
Hình 2.2 Giao thức đường hầm L2F .
2.2.1.1 Các quá trình xử lý L2F
Khi một client từ xa quay số khởi tạo một kết nối tới một cái host
được xác định vị trí trong một intranet,các quá trình xử lý sau được thực
hiện một cách tuần tự:
1. Người sử dụng từ xa khởi tạo một kết nối PPP tới các ISP của nó. Nếu
người sử dụng từ xa là một phần của cơ cấu mạng LAN,người sử
dụng có thể dùng ISDN hay cách kết nối khác để kết nối tới ISP. Một
chọn lựa khác, nếu người sử dụng không phải là một thành phần của
bất kỳ mạng intranet, bạn cần sử dụng dịch vụ theo đường PSTN.
12
2. Nếu NAS thiết lập POP của ISP chấp nhận yêu cầu kết nối, thì sự kết
nối PPP được thiết lập giữa NAS và người sử dụng.
3. Người sử dụng được nhận thực tại ISP cuối cùng. Một trong hai
CHAP hay PAP được sử dụng cho mục đích này.
4. Nếu không có tunnel nào tồn tại tới gateway của mạng đích mong
muốn, thì một đường được khởi tạo
5. Sau khi một tunnel được thiết lập thành công, một ID thành phần duy
nhất (MID) được cấp phát để kết nối. Một bản tin thông báo cũng
được gửi tới gateway của host trong mạng. Bản tin này thông báo
gateway về yêu cầu cho kết nối từ một người sử dụng ở xa.
6. Gateway có thể hay là chấp nhận hay từ chối yêu cầu kết nối tới nó.
Nếu yêu cầu bị từ chối, người sử dụng được thông báo về lại là yêu
cầu bị lỗi và kết nối dial-up kết thúc. Mặt khác, Nếu yêu cầu được
chấp nhận, cac gateway host gửi thông báo bắt đầu thiết lập tới client
xa. Đáp ứng này cũng có thể bao gồm thông tin nhận thực được sử
dụng bởi gateway để nhận thực người sử dụng từ xa.
7. Sau khi người sử dụng được nhận thực bởi một gateway của mạng
host, một giao diện ảo được thiết lập giữa hai đầu cuối.
Chú ý: Nếu CHAP được sử dụng cho việc nhận thực người sử dụng,
như chỉ ra trong bước 6, sự đáp ứng bao gồm các yêu cầu, tên truy nhập, đáp
ứng mới. Đối với các sự xác thực PAP-cơ sở, đáp ứng bao gồm tên và mật
khẩu trong cleartext. Trong trường hợp của PPP, sự thông báo khởi tạo thiết
lập cũng vậy bao gồm bản tin CONFACK được chuyển giữa hai đầu cuối
sau khi sự thỏa thuận TCP thành công. Sự chấp nhận này cho phép gateway
của mạng host được khởi tạo trạng thái PPP của chính nó.
.
13
Hình 2.3-Quá trình thiết lập L2F .
2.2.1.2 Tunneling L2F
Khi một người sử dụng xa được xác thực và các yêu cầu kết nối được
chấp thuận, một tunnel được thiết lập giữa NAS của ISP và gateway của
mạng host.
Hình 2.4-Xử lý tunneling dữ liệu L2F
Sau khi một tunnel giữa hai đầu cuối được thay thế, các khung lớp 2
có thể được trao đổi thông qua tunnel như sau:
14
1. Người sử dụng xa chuyển tiếp các khung thường tới các NAS đã được
cấp phát tại ISP.
2. POP tước đoạt các thông tin lớp liên kết dữ liệu hay các byte trong
suốt và thêm phần
3. Gateway của mạng host chấp nhận các gói này qua tunnel, tiêu đề và
phần đuôi của L2F bị loại bỏ còn khung được chuyển tiếp đến node
đích trong mạng intranet.
4. Node đích xử lý các khung nhận được như là các khung không qua
tunnel.
Chú ý: Các tunnel L2F cũng được coi như là “các giao diện ảo”.
Bất kỳ các đáp ứng nào từ host đích trong mạng host cũng chịu sự xử
lý ngược. Đó là, host gửi khung dữ liệu lớp liên kết dữ liệu thông thường tới
các gateway,mà các khung này được đóng khung vào các gói L2F (như trên
hình 2.4), và chuyển tiếp nó tới NAS đã được cấp phát tại phía ISP. NAS
phân giải các thông tin từ các khung thêm các thông tin lớp liên kết dữ liệu
thích hợp vào nó. Sau đó khung được chuyển tiếp tới người sử dụng ở xa.
Hình 2.5 –Dạng gói L2F.
2.2.1.3 Vấn đề bảo mật L2F
L2F cung cấp các tiện ích sau:
• Mật mã hóa dữ liệu.
• Sự xác thực.
Quá trình mật mã hóa dữ liệu của L2F:
L2F sử dụng MPPE (Mã hóa dữ liệu điểm-điểm của Microsoft) cho
mục đích mã hóa cơ bản. Tuy nhiên, MPPE không thực sự an toàn có thể
chống lại thủ thuật hack ngày càng tinh vi. Khi đó tất nhiên dẫn đến, L2F
cũng sử dụng phương pháp mã hóa dựa trên giao thức Ipsec(Internet
protocol security) để tăng thêm khả năng bảo vệ dữ liệu trong khi truyền
dẫn. Ipsec sử dụng hai giao thức cho mục đích mã hóa này- ESP
15
(Encapsulating Security) và AH (Authentication header). Hơn nữa, để đảm
bảo tính bảo mật khóa cao trong pha khóa trao đổi khóa, IPsec cũng sử dụng
một giao thức thứ 3 là IKE (Internet Key Exchange).
Ưu điểm lớn nhất của kỹ thuật mã hóa sử dụng IPsec là IPsec bắt buộc
sự nhận thực của từng gói riêng biêt thay vì thay vì sự thực hiện nhận thực
chung đối với mỗi người sử dụng. Trong kỹ thuật nhận thực theo người sử
dụng, mỗi người sử dụng tại các đầu cuối truyền thông tin được nhận thực
chỉ một lần khi bắt đầu truyền thông tin. Tuy nhiên, khi đó bạn cho rằng
chiến lược nhận thực theo gói là chậm hơn chiến lược nhận thực theo người
sử dụng và chịu phần mào đầu tương đối lớn. Ngoài ra, IPsec được khuyến
nghị như một giao thức bảo mật đối với tất cả các tunneling VPN, là PPTP,
L2F,L2TP.
2.2.1.4 Sự nhận thực dữ liệu L2F
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links
Last edited by a moderator: