PPTP sử dụng PPP để thực hiện các chức năng : Thiết lập và kết thức kết nối vật lý Xác định người dùng Tạo các gói dữ liệu PPP.. Khi PPP được thiết lập kết nối, PPTP sử dụng quy luậ
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC NHA TRANG
KHOA CÔNG NGHỆ THÔNG TIN
Tìm hiểu về giao thức đường hầm Generic Routing Encapsulation (GRE) Tunnels và minh họa
THỰC TẬP CƠ SỞ
Ngành: Truyền thông và mạng máy tính
Trang 2Chương I: TÌM HIỂU VỀ GIAO THỨC ĐƯỜNG HẦM 3
1.1 Giới thiệu các giao thức đường hầm 3
1.2 PPTP (Point - to - Point Tunneling Protocol) 3
1.2.1 Nguyên tắc hoạt động của PPTP 3
1.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP 4
1.2.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP 5
1.3 L2F (Layout 2 Forwarding) 7
1.3.1 Nguyên tắc hoạt động của L2F 7
1.3.2 Cấu trúc gói của L2F 9
1.4 L2TP (Layer Two Tunneling Protocol) 9
1.4.1 Quá trình xử lý L2TP 9
1.4.2 Cấu trúc gói dữ liệu L2TP: 11
1.5 IPSec (IP Security Protocol) 11
1.5.1 Cơ chế làm việc của IPSec 12
1.5.2 Các chế độ đóng gói dữ liệu IP của IPSec 13
1.6 GRE (Generic Routing Encapsulation) 14
1.6.1 Khái niệm GRE 14
1.6.2 Các ưu điểm của GRE 15
1.6.3 Phân loại GRE 15
1.6.3.1 Point-to-Point GRE 15
1.6.3.2 Point-to-Multipoint GRE (mGRE) 16
1.6.4 Cơ chế hoạt động của GRE 17
CHƯƠNG II: MÔ PHỎNG CHƯƠNG TRÌNH 18
2.1 Các phần mềm sử dụng 18
2.1.1 Cisco Packet Tracer 18
2.1.2 Wireshark 19
2.2 Mô phỏng 20
Trang 3Chương I: TÌM HIỂU VỀ GIAO THỨC ĐƯỜNG HẦM
1.1 Giới thiệu các giao thức đường hầm
Có rất nhiều giao thức đường hầm khác nhau trong công nghệ VPN, và việc sửdụng các giao thức nào lên quan đến các phương pháp xác thực và mật mã đi kèm Một
số giao thức đường hầm phổ biến hiện nay là:
Giao thức tầng hầm chuyển tiếp lớp 2 (L2F)
Giao thức đường hầm điểm tới điểm (PPTP)
2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên Trên
cơ sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP Hiện nay giao thứcPPTP và L2TP được sử dụng phổ biến hơn L2F
Trong các giao thức đường hầm nói trên, IPSec là giải pháp tối ưu về mặt an toàn dữ liệucủa gói tin Nó được sử dụng các phương pháp xác thực và mật mã tương đối cao IPSecmang tính linh động hơn, không bị ràng buộc bởi các thuật toán xác thực hay mật mã nàocả
1.2 PPTP (Point - to - Point Tunneling Protocol)
1.2.1 Nguyên tắc hoạt động của PPTP
PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay Nó làmviệc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói,tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác
PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram đểtruyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kết nốiđiều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản của giaothức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đóng gói cáckhung PPP Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén
Trang 4PPTP sử dụng PPP để thực hiện các chức năng :
Thiết lập và kết thức kết nối vật lý
Xác định người dùng
Tạo các gói dữ liệu PPP
PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng PPTPkhách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiếtlập kết nối IP Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận Đó
là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP Việc xácthực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kếtnối PPP Một số cơ chế xác thực được sử dụng là :
Giao thức xác thực mở rộng EAP (Extensible Authentication Protocol)
Giao thức xác thực có thử thách bắt tay CHAP (Challenge HandshakeAuthentication Protocol)
Giao thức xác nhận mật khẩu PAP (Password Authentication Protocol)
Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạngvăn bản đơn giản và không có bảo mật CHAP là giao thức các thức mạnh hơn, sử dụngphương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng cách
sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được
Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng góicác gói truyền trong đường hầm Để có thể dự trên những ưu điểm của kết nối tạo bởiPPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào haikênh riêng là kênh điều khiển và kênh dữ liệu PPTP tách các kênh điều khiển và kênh dữliệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng
dữ liệu với giao thức IP Kết nối TCP tạo ra giữa các máy khách và máy chủ được sửdụng để truyền thông báo điều khiển
Các gói dữ liệu là dữ liệu thông thường của người dùng Các gói điều khiển được đuavào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa ứngmáy khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thôngtin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy khách
và máy chủ PPTP Máy chủ PPTP là một Server có sử dụng giao thức PPTP với một giaodiện được nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client cóthể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP
1.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP
Trang 5Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉmáy chủ Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sửdụng để duy trì đường hầm PPTP Các bản tin này bao gồm PPTP yêu cầu phản hồi vàPPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủPPTP Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bảntin điều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu.
Tiêu đề liên kết dữ liệu
Phần cuối của liên kết dữ liệu
Bản tin điều Khiển PPTP Tiêu đề IP Tiêu đề TCP
Hình 1.1: Gói dữ liệu kết nối điều khiển PPTP
1.2.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP
a Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói thông qua nhiều mức.
Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề GRE Tiêu đề PPP Tải PPP được mã hoá Phần đuôi liên kết dữ liệu
Hình 1.2: Gói dữ liệu đường hầm PPTPPhần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP đểtạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản sửađổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyếnchung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạngIP
Đối với PPTP, phần Tiêu đề của GRE được sửa đổi một số điểm sau:
Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xácnhận 32 bit
Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ
số cuộc gọi 16 bit Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trongquá trình khởi tạo đường ngầm PPTP
Một trường xác nhận dài 32 bit được thêm vào
b Đóng gói IP: Phẩn tải PPP và các GRE sau đó được đóng gói với một tiêu đề IP chứa
các thông tin địa chỉ nguồn và đích thích hợp cho máy khách và náy chủ PPTP
c Đóng gói lớp liên kết dữ liệu: Để có thể truyền qua mạng LAN hoặc WAN, gói tin IP
cuối cùng sẽ được đóng gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giaodiện vật lý đầu ra Ví dụ, nếu gói tin IP được gửi qua giao diện Ethernet, nó sẽ được gói
Trang 6với phần tiêu đề và đuôi Ethernet Nếu gói tin IP được gửi qua đường truyền WAN điểmtới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phầntiêu đề và đuôi của giao thức PPP.
d Sơ đồ đống gói trong giao thức PPTP: Quá trình đóng gói PPTP từ một máy trạm qua
kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây
Tiêu đề liên
kết dữ liệu
Tải PPP được
mã hoá Tiêu đề PPP
kết dữ liệu
NDIS
Cấu trúc gói tin cuối cùng
Hình 1.3: Sơ đồ đóng gói PPTPQuá trình thực hiện:
Các gói tin IP, IPX hoặc khung NetBEUI được đưa tới giao diện ảo bằng giao thứcbằng giao thức tướng ứng(giao diện ảo kết nối VPN) sử dụng đặc tả giao diện thiết bịmạng NDIS(Network Driver Interface Specification)
NDIS đưa dữ liệu tới NDISWAN, nơi thực hiện mã hóa và nén các dữ liệu, vàcung cấp Tiêu đề PPP Phần Tiêu đề PPP này chỉ bao gồm trường mã số giao thứcPPP(PPP Protocol ID Field), không có trường Flags và FCS(Frame Check Squence –trường chuỗi kiểm tra khung) Giả định trường địa chỉ và điều khiển đã được thỏathuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quátrình kết nối PPP
NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu
đề GRE Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xácđịnh đường hầm
Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP
Trang 7 TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP, sau đó gửi kết quảtới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS.
NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP
NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phầncứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem)
1.3 L2F (Layout 2 Forwarding)
1.3.1 Nguyên tắc hoạt động của L2F
Giao thức chuyển tiếp L2F đóng gói những gói tin lớp 2, sau đó trong truyền chúng điqua mạng Hệ thống sử dụng L2F gồm các thành phần sau:
Máy trạm truy nhập mạng NAS(Network Access Server): Hướng lưu lượng đến và
đi giữa các máy khách ở xa (Remote client) và Home Gateway
Đường hầm(Tunnel): Định hướng đường đi giữa NAS và Home Gateway Mộtđường hầm có thể gồm một số kết nối
Home Gateway: Ngang hang với NAS, là phần tử cửa ngõ thuộc mạng riêng
Kết nối(Connection): Là một kết nối PPP trong đường hầm
Điểm đích(Destianation): Là điểm kết thúc ở đâu xa của đường hầm Trong trườnghợp này thì Home Gateway là đích
Hình 1.4: Mô hình hệ thống sử dụng L2F
Trang 8Hoạt động của L2F bao gồm: thiết lập kết nối, định đường hầm và phiên làm việc.Quá trình hoạt động của giao thức L2F là một quá trình tương đối phức tạp.
Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPPtới ISP
Hệ thống NAS và máy trạm có thể trao đổi các gói giao thức điều khiển liên kếtLCP (Link Control Protocol)
NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới điểm tên miền hay xác thựcRADIUS để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F
Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ củaGateway đích
Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng có chưa
có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tớiGateway đích để chống lại tấn công bởi những kẻ thứ ba
Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dàiphiên PPP mới được tạo ra người sử dụng ở xa tới Home Gateway Kết nối này đượcthiết lập theo một quy trình như sau: Home Gateway tiếp nhận các lựa chọn và tất cảthông tin xác thực PAP/CHAP như thoả thuận bởi đầu cuối người sử dụng và NAS.Home Gateway chấp nhận kết nối hay thoả thuận lại LCP và xác thực lại người sửdụng
Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vàotrong các khung L2F và hướng chúng vào trong đường hầm
Tại Home Gateway khung L2F được tách bỏ và dữ liệu đóng gói được hướng tớimạng một doanh nghiệp hay người dùng
Khi hệ thống đã thiết lập điểm đích, đường hầm và những phiên kết nối, ta phải điềukhiển và quản lý lưu lượng L2F bằng cách:
Ngăn cản tạo những đích đến, đường hầm và các phiên mới
Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên, có khảnăng kiểm tra tổng UDP
Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào các đường hầmkết nối
Trang 91.3.2 Cấu trúc gói của L2F
Hình 1.5: Khuôn dạng gói của L2FTrong đó:
F: Nếu bit này được thiết lập trường Offset có mặt
K: Nếu bit này được thiết lập trường Key có mặt
P: Thiết lập độ ưu tiên (Priority) cho gói
S: Nếu bit này được thiết lập trường Sequence có mặt
Reserved: luôn được đặt là 00000000
Version: Phiên bản chính của L2F dùng để tạo gói 3 bit này luôn là 111
Protocol: Xác thực giao thức đóng gói L2F
Sequence: số chuỗi được đưa ra nếu trong tiêu đề L2F có bit S = 1
Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel)
Client ID: Giúp tách đường hầm tại những điểm cuối
Length: chiều dài của gói (tính bằng byte) không bao gồm phần Checksum
Offset: Xác định số byte trước tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu.Trường Offset có khi bit F = 1
Key: Trường này được trình bày nếu bit K được thiết lập Đây là một phần của quátrình nhận xác thực Trường Key có nếu bit K = 1
Checksum: Kiểm tra tổng của gói Trường Checksum có nếu bit C = 1
1.4 L2TP (Layer Two Tunneling Protocol)
1.4.1 Quá trình xử lý L2TP
Trang 101) Người dùng từ xa gửi yêu cầu kết nối đến NAS của ISP gần nhất của nó, và đồngthời bắt đầu khởi tạo một kết nối PPP với ISP sau cùng.
2) NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối NAS dùngphương pháp xác nhận trên PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này.3) Sau đó NAS kích hoạt LAC, nơi chưa thông tin về LNS của mạng đích
4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung giangiữa hai đầu cuối Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP5) Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call ID (CID)đến kết nối và gửi thông điệp thông báo đến LNS Thông báo xác định này chứathông tin có thể được dùng để xác nhận người dùng từ xa (người yêu cầu đường hầmban đầu) Thông điệp cũng mang theo cả tùy chọn LCP đã được thoả thuận giữangười dùng và LAC
6) LNS dùng thông tin đã nhận được trong thông điệp thông báo để xác nhận ngườidùng cuối Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu tạolập đường hầm, một giao diện PPP ảo (L2TP tunnel) được thiết lập cùng với sự giúp
đỡ của tùy chọn LCP nhận được trong thông điệp thông báo
Trang 117) Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm.L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm:
Chế độ gọi đến Trong chế độ này, yêu cầu kết nối được khởi tạo bởi người dùng
từ xa
Chế độ gọi đi Trong chế độ này, yêu cầu kết nối được khởi tạo bởi LNS Do đó,LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa Sau khi LAC thiết lập cuộcgọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã qua đường hầm
1.4.2 Cấu trúc gói dữ liệu L2TP:
Thông qua giao thức lớp 2 L2TP ta xét các mức đóng gói dữ liệu của giao thứcnày như dưới đây:
Đóng gói L2TP: Phần tải PPP ban đầu được đóng gói với một tiêu đề PPP và mộttiêu đề L2TP
Đóng gói UDP: Gói L2TP sau đó được đóng gói với một tiêu đề UDP, các địa chỉnguồn và đích được đặt bằng 1701
Đóng gói IPSec: Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đónggói với tiêu đề IPSec ESP và đuôi IPSec ESP, đuôi IPSec Authentication
Đóng gói IP: Gói IPSec được đóng gói với tiêu đề IP chứa địa chỉ IP nguồn vàđích của VPN client và VPN server
Đóng gói lớp liên kết dữ liệu: Do đường hầm L2TP hoạt động ở lớp 2 của mô hìnhOSI- lớp liên kết dữ liệu nên các gói IP cuối cùng sẽ được đóng gói với phần tiêu đề
và đuôi tương ứng với kỹ thuật ở lớp liên kết dữ liệu của giao diện vật lý đầu ra
Ví dụ, khi các gói IP được gửi vào một giao diện Ethernet, thì gói IP này sẽ đượcđóng gói với tiêu đề Ethernet và đuôi Khi các gói IP được gửi trên đường truyềnWAN điểm-tới-điểm (chẳng hạn đường dây điện thoại) thì gói IP được đóng gói vớitiêu đề và đuôi PPP
Hình 1.7: Cấu trúc gói L2TP
Trang 121.5 IPSec (IP Security Protocol)
1.5.1 Cơ chế làm việc của IPSec
Mục đích của IPSec là bảo vệ luồng dữ liệu truyền tải giữa các mạng LAN vớinhau và chúng ta có thể hiểu hơn về IPSec qua các bước dưới đây:
Hình 1.8: Các bước hoạt động của IPSecBước 1: Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec Ở đây, các thiết bịIPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ
Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch vụ bảomật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SA (SecurityAssociations)) Trong phase này, thiết lập một kênh truyền thông an toàn để tiến hànhthoả thuận IPSec SA trong Phase 2
Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập cácIPSec SA tương đương ở hai phía Những thông số an ninh này được sử dụng để bảo vệ
dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối kết quả cuối cùng của hai bướcIKE là một kênh thông tin bảo mật được tạo ra giữa hai phía
Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên cơ
sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA
Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc do hếthạn
Trang 13Hình 1.9: Sơ đồ kết nối 2 Router chạy IPSec
1.5.2 Các chế độ đóng gói dữ liệu IP của IPSec
Giao thức ESP và giao thức AH là hai giao thức chính trong việc mã hoá và xácthực dữ liệu ESP sử dụng IP Protocol number là 50 (ESP được đóng gói bởi giao thức IP
và trường protocol trong IP là 50) AH sử dụng IP Protocol number là 51 (AH được đónggói bởi giao thức IP và trường protocol trong IP là 51)
Bộ giao thức IPSec hoạt động trên 2 chế độ chính: chế độ truyền tải (TransportsMode) và chế độ Tunnel (Tunnel Mode) Khi giao thức IPSec hoạt động ở Tunnel Modethì sau khi đóng gói dữ liệu, giao thức ESP mã hoá toàn bộ Payload, frame Header, IPHeader thì nó sẽ thêm một IP Header mới vào gói tin trước khi forward đi Khi giao thứcIPSec hoạt động ở Transport Mode thì IP Header vẫn được giữ nguyên và lúc này giaothức ESP sẽ chèn vào giữa Payload và IP Header của gói tin
Chế độ giao vận: Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được
mã hóa hoặc chứng thực IP header không bị chỉnh sửa hay mã hóa, nhưng khi chế độAuthentication header của IPSec được sử dụng thì địa chỉ IP cũng sẽ được mã hóabằng cách chia nhỏ thành các gói tin riêng rẽ và độc lập (Hash) Các tầng giao vận vàứng dụng thường được bảo đảm bởi hàm Hash, vì vậy chúng không thể bị sửa đổitheo bất kỳ cách nào
Hình 1.10: Gói tin IP ở chế độ giao vận
Ở chế độ này, vấn đề an ninh được cung cấp bởi các giao thức từ lớp 4 trở lên Chế
độ này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header ban đầu ở dạng bản rõ.Địa chỉ IP ban đầu được sử dụng để định tuyến gói tin qua Internet
ESP
AH- kiểu Transport
ESP- kiểu Transport
Trang 14AH- kiểu Tunnel
ESP- kiểu Tunnel
New Header
New Header
Chế độ giao vận chỉ thêm vào gói tin IP một lượng byte nhất định, vì thế dunglượng tăng không đáng kể Kiểu Transport có ưu điểm là chỉ thêm vào gói IP ban đầumột số it byte Nhưng tại chế độ này các thiết bị trong mạng có thể phát hiện và đọc được
IP địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tíchlưu lượng) dựa trên các thông tin của IP header Tuy nhiên nếu được mật mã bởi ESP cácthiết bị trong mạng sẽ không biết được dữ liệu cụ thể bên trong gói tin IP Và theokhuyến cáo của IETF thì chế độ truyền tải chỉ nên sử dụng khi các đầu cuối đều sử dụngcông nghệ mã hóa bảo mật là IPSec
Chế độ Tunnel: Toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực Sau đó
nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới Chế độ tunnel được sửdụng để tạo VPN phục vụ cho việc liên lạc giữa các mạng (ví dụ như giữa các bộ địnhtuyến để liên kết các trang web), liên lạc giữa máy chủ và mạng (ví dụ như truy cậpngười sử dụng từ xa), và giữa các máy chủ (ví dụ như chat cá nhân)
Hình 1.11: Gói tin IP ở chế độ TunnelTrong trường hợp dùng giao thức ESP: thì giao thức này sẽ làm công việc mã hóa(encryption), xác thực (authentication), bảo đảm tính toàn vẹn dữ liệu (integrityprotection) Sau khi đóng gói xong bằng ESP, mọi thông tin và mã hoá và giải mã sẽ nằmtrong ESP Header Các thuật toán mã hoá sử dụng trong giao thức như: DES, 3DES,AES, các thuật toán hash như: MD5 hoặc SHA-1
Trong trường hợp dùng giao thức AH: thì AH chỉ làm công việc xác thực(Authentication), và đảm bảo tính toàn vẹn dữ liệu Giao thức AH không có tính năng mãhoá dữ liệu
1.6 GRE (Generic Routing Encapsulation)
1.6.1 Khái niệm GRE
Generic routing encapsulation (GRE) là một giao thức sử dụng để thiết lập các kết
nối point-to-point một cách trực tiếp giữa các node trong mạng Đây là một phương pháp
