Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phân đâu nguyên bản và phân đâu mdi cua IP Original IP datagram jie Header
Trang 1
Loi Cam On
Trải quạ những năm học tập tại trường đã để lại cho em những kỹ niệm đẹp của thời
sinh viên Đặc biệt là các thầy cô ở khoa Điện Tử - Viễn Thông đã quan tâm truyền đạt
cho em những kiến thức vô cùng quí báu và cũng giúp em trong khỏang thới gian học tại
trường Qua đó em đã có đựoc nền tảng chuyên môn về ngành học của mình Nay em xin
chân thành gởi làm cảm ơn chân thành đến tất cả các thầy cô trong khoa Điện Tử - Viễn
Thông
Nhưng để hòan thành được cuốn đồ án tốt nghiệp này, em xin chân thành cám ơn thầy Nguyễn Huy Hùng Người đã tận tình hướng dẫn em trong suốt quá trình làm đồ án
tốt nghiệp
Cuối cùng em xin chân thành cảm ơn bạn bè và những người thân đã hỗ trợ cho em
rất nhiều trong suốt thời gian em thực hiện cuốn đồ án tốt nghiệp
Xin chân thành cám ơn mọi ngừơi
Tram Hòang Anh Nhân ~
Trang 2Lời Giới Thiệu:
Trong những năm gần đây mạng Internet phát triển rất nhanh, cùng với việc phát triển
hệ thống viễn thông trong nước và quốc tê và nhu cầu công việc ngày cao Đông thời vân
đề bảo mật dữ liệu trong việc truyền trên mạng Internet rất cần thiết Do đó nhu cầu làm
việc ở nhà hoặc ở một nơi nào đó ngòai công ty vô cùng cần thiết
Xuất phát từ nhu cầu thực tế của các công ty hiện nay Nên em chọn đồ án “Thiết lập
mô hình mạng VPN dùng IPSec”, với đồ án này em xây dựng mô hình mạng VPN dùng
IPSe
Mặc dù đã nỗ lực hết mình dé tiếp cận vấn đề một cách tòan diện, cùng với sự giúp đỡ
tận tình của các thầy cô Song em hiểu rằng những vẫn đê mà em nghiện cứu vẫn còn hạn
chế và thiếu sót nhất định
Rất mong nhận duoc sự đóng góp và chỉ bảo qúi báu của qúy thầy cô và bạn bè, để
cho vấn đề em nghiên cứu tòan diện hơn
Người thực hiện
Tram Hoang Anh Nhân
Trang 3
Chương 1: Giới Thiệu Về VPN
1.1 Khái niệm vpn -scsshhhhhhhhhtrhHhhh r1 1m1 1
1.2 Các mode kết nối cơ bản -ccsssrrrirtrrrrrrirtriirriririrrrrrn 2
1.2.1 Tranpsort mod «Ăn 2 I8 0ˆ 3 1.2.3 các ÌOại VPI sc cn s2 v9 13 1 0t ti ti in 0101 1100118111119 TP 5 080 5 1.2.3.2 Remote aCC€SS VI - 5S ng ưu 6 1.2.3.3 Intranet/ Internal VPN - cv nhhhhhhhHưe 7 1.2.3.4 Firewall VPÌN . nen HH HH gi hy 8
1.3 Uu diém va Nhược điểm của VPN ccceeseeererrrrererirrirrr 8
V.B.L UU idm cocceccccseecsseecsneeeceeecsseecseeesneessseessverseceaseessseeeneeesneesneeensesnsen 8 1.3.2 Nhược điểm ceseecsseessseecssecessccsntesseresssessseessesesssessnecessecsnsecnnecnnseranes 9
1.4 Yêu cầu của một hệ thống VPN .-cccctnerrerrerrriirre 10
1.5 Các thành phần cơ bản của mộ kết nối vpn . -: +-+ssr++2 11
IS 4108) 11
SN 410.0 11 1.5.1.2 VPN client - cà kg g HH kh th hen 12
1.5.1.3 VPN router, các bộ tập trung và các øgateway .- 14
15.2.1 VPN serVer SOÍfWAT€ -.- Tnhh Hi hp 14 1.5.2.2 VPN client SOUWAF€ ng HH Hi th 14
1.5.3 Các ứng dụng và công cụ quản lý VPN . -eeee 14
1.5.3.1 Cơ sở hạ tầng bảo mật của tỗ chức . -ccccecerrreerre 14
1.5.3.3 Net work a ddr ess tr anslation (NATT) -eeneeerreee 15 1.5.3.4 Authentication servers and database . - + sseenenHrhe 16 1.5.3.5 AAA Architecture .ccceceeeccserssesssesssseceeecsseeennseseetaeereseeeenecaseseaeas 17 1.5.3.6 IPSec protocol cscccsssssesesesrssestessesseeeeeeesteeseenestessseensseseneneneens 17
Trang 4
Chương 2 : Cac giao thire trong VPN
2.1 Cơ bản về kỹ thuật tunneling -: +>+++ecessseeeerrrrrrrrrerire 19 Q.1.1 ‹ g6 0 19 2.1.2 Các qu á tr ình ho ạt đ ộng c ủa Tunnel Technology - 20 2.1.2.1 Tunneled packet Ý ormat - -+-s+tteeeerrrrrrsrre 22
2.1 2.2 Các loại tunnel ¿s5 St me 23
2.1.2.3 Tunneling protOCOÌ -5Ăs Share 25
2.2_ Point point tunneling pr otocol (PPP) -e-sseeererrrrersrre 25
2.2.1 Cơ bản về Point to point tunneling protocol (PPP) 26
2.2.2 Quá trình hoạt động của PPP - «sen 26
2.2.3 PPP packet Ÿ Ormat «s5 Shthherrrrreirrrrsr 27 2.3 Pointto point tunneling pr otocol (PPTP) . -‹ -e-<ssess 28 2.3.1 PPTP data encryption and compT€SSION - -+++s+s++ 36 2.3.2 Avthentication ccccceccesscssccsecsssssssssceeessseeseesseenesrseeseeessavesenrseees 37
2.3.3 ACC€SS DFOVOCOl - tt HH HH HH 0 00 10101811 10g 38 2.3.4 Packet filtering - se kén Hi h0 38 2.4 Layer 2 forwarding (L⁄2E) «sành 38
2.4.1 Gi ới thiệu tổng quát - ccccctctererkeerrrrrrrrrrrrrrrir 38 2.4.2 Qu á trình xử lý L2E + ssseteerrrriirrrrrrr 39 2.4.3 L2F † unneling . - «+ 5< k+ts*tirrreeeereeieheitit re 41
Trang 5
2.5 Layer 2 Tunneling Protocol (L2 TP) . ‹-‹-essserereeerteerrerrre 44 2.5.1 Gi ới thiệu tổng quát -5‡cserteterettttrtertrrrtrrrierire 44 2.5.2 Các thành phần L2TP ©5225+ttxttrrttrtettttrserirrirrrire 44 2.5.2.1 Network Access Server (NAS) «cằeehheHhrrrke 45 2.5.2.2 L2TP Access Concentrator (LAC) : -‹‹ ++e++seer 45 2.5.2.3 L2TP Network Server (LNS) -‡ehiehrrrie 45 2.5.3 L2TP prOC€SS€S§ - 5+ c+ St etnnhnhhhnrrrrereiirrirrrrir 46 2.5.4L2TP data tunneling, -ssnesereteerertrtrrrrrtrrrrrrre 47 2.5.5L2TP tunnel mode - - 5+ S2**25E<ttttersierrrsrirrrie 49 2.5.6 L2TP connection contrOlÌ - -ss-ss+ sen 53
Chuong 3: IPSEC
3.2 IPSec Security ASSOCIafO'S sc set nenhenHhHHHHHhh 57 3.3 IPSec Security ProtOCỌS c2 chinh hư, 58
3.4 Các chế độ IPSec . -ctnrerirerrritrirrrriitririieiiirreriie 59
3.4.1 Transport Mode . - chien 60
3.4.1.1 Transport mOd€ - 5-55 s3 nhi 01111114 60
3.4.1.2 ESP Transporf moOde . - «+ +sss$eehhhhhrhterrerirrrre 60
3.4.2 Tun nel Mode - << G - + 5 E2 933335188 331119 1kg 1 8258 61
Trang 63.6 Các thuật toán mã hoá - sét re 67
3.6.1 Mã ho á cổ điển . ccccrrrrrrrtrirtrirrrrireiirrririiirrrrrrie 67
3.6.2 Mã ho á đối xứng -. - + + se srrerrrretierreitrrrrierrrrrr 68 3.6.3 Mã ho á bất đối xứng - -cccnntenteetrrrrrirriirrirrir 70 3.6.4 H ệ thống mã hoá khoá lai (Hybrid Cryptosystems) - 71 Chuơng 4: Thiết lập mô hình mạng VPN
Trang 7
Chương 1: GIỚI THIỆU CHUNG
1.4 Khái niệm VPN:
VPN (Virtual Private Network): mạng riêng ảo, là sự mở rộng một mạng Intranet riêng của doanh nghiệp thông qua mạng công cộng như Internet băng cách tạo ra một kết nối riêng an toàn VPN là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu
cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chỉ phí Các thông tin, dữ liệu được truyền
trên tumnel, một đạng đường hầm, do đó mặc dù được truyền thông qua mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật của dữ liệu Hình dưới đây mô tả sự vận chuyền thông tin của các VPN một cách an toàn thông qua kết nối Internet của các người dùng từ xa — remote user, chi nhánh văn phòng — branch office, và các đối tác — business partner đến một mạng mở rộng công ty
Breach Office LAN0-LAN
Coble or DSL
Hinh 1.1: Vi dy vé VPN
Do dit liéu duoc truyén trén hé thống mạng công cộng nên vấn đề bảo mật và an toàn thông tin được đặt lên hàng đầu Để đáp ứng được các yêu cầu này, khi triển khai một hệ thống VPN cần có những thành phần cơ bản sau:
o User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối và truy cập vào hệ thống VPN
Trang 8Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá hoặc xác thực Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy
nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các
thông tin đã bị hash (băm) Transport và application layers thường được bảo mật bởi hàm
băm (hash), và chúng không thể chỉnh sửa (ví dụ như port number) Transport mode sử
dụng trong tình huống giao tiếp host-to-host
Transport mode bảo vệ giao thức tầng trên và các ứng dụng Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng
trên, như hình mô tả bên dưới
Original iP datagram
|IP Header] Payload |
Datagram with IPSec (AH or ESP) in Transport mode
[IP Hioader|AH or ESP Heador| Payload |ESP Trailer|ESP Authentication)
(ESP)
it as *
Trang 9
AH Tra wzeeen [ong | an [ror] au
ESP Transport mode
Packet (IP Header| TCP |Data
Transport mode thiéu mat qua trình xữ lý phần đầu, do đó nó nhanh hơn Tuy nhiên,
nó không hiệu quá trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa phần đầu IP
Trong transport mode, IPSec sẽ gắn thêm một cái nhãn của giao thức bảo mật, nó được lắp vào giữa gói IP và gói dữ liệu Nó là kết quả cơ bản của thành phần “security association” (nó dung để thiết lập chia sẻ thông tin bảo mật giữa hai lớp mạng để hỗ trợ truyền các thông tin bảo mật một SA bao gồm các cryptographic keys hoặc digital certificates)
Đối với transport mode, nếu như gói VPN bảo mật bị nghe lén, hacker sẽ biết được các thiết bị nguồn và đích thực tế được đề cập trong giao tiếp đó Dĩ nhiên khi sử dụng sự
mã hóa để bảo vệ VPN thì hacker sẽ không thể giải mã được các payload thực tế đang
được vận chuyên giữa các thiết bị VPN
1.2.2 Tunnel mode:
Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các
routers với nhau), hoặc host-to-network và hosf-to-host trên internet
Trang: 3
Trang 10
——————— EEE
Khong giéng Transport mode, Tunnel mode bao vé toàn bộ gói dữ liệu Toàn bộ gói
dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn
vào giữa phân đâu nguyên bản và phân đâu mdi cua IP
Original IP datagram jie Header Payload Tunneied datagram
lạ Header (PHeader | Payload
Original | Original Pocket [IP Hoader| TOP | Data
Ad Tunnel New AH Original rcp | Data
Mode Packet /iP Header iP Heador
ESP Tunnel mode
ora | Sipe [nce oem
ESP Tunnel Original Optional Mode Packet war eel tưện TOP | Data rater |Acontication
Hinh 1.4 Một hạn chế của transport mode là nó không thể “co giãn” (scale) bởi vì sự bảo vệ được thực hiện trên từng thiết bị cơ bản mà thôi Do đó transport mode không là một
Trang: 4
Trang 11
phuong phap két nối VPN hiệu quả Trong khi đĩ, tunnel mode cung cấp một số ưu điểm
so với transport mode:
o Provides scalability: ching ta c6 thé chon mét thiét bi thich hop hon dé thực hiện
©
quá trình bảo vệ
Allows for flexibility: chúng ta sẽ khơng phải thay đổi cấu hình cơ bản của VPN khi cần phải thêm vào một thiết bị mới phía sau VPN gateway, và traffic trên thiết bị mới này cũng sẽ được bảo vệ
Hides communications: mặc dù hacker thực hiện việc nghe lén giữa các thiết bị VPN gateway biết rằng traffic được bảo vệ giữa các VPN gateway nhưng vẫn
khơng cĩ cách nào để biết được VPN gateway đĩ là thiết bị nguồn hoặc đích thực sự của traffic hay là dữ liệu đang được truyền bởi các thiết bị khác
Uses private addressing: thiết bị nguén va dich thực cĩ thé ding dia chi public hoặc private bởi vì địa chỉ này được đĩng gĩi trong một packet khác bởi các thiết bị VPN gateway
Uses existing security policies: bởi vì các thiết bị sử dụng địa chỉ IP thực của chúng khi giao tiếp với những thiết bị khác, chúng ta sẽ khơng phải thay đổi bat ky chính sách bảo mật bên trong nào mà đã được định nghĩa trên firewall và các thiết bị lọc gĩi
Một site to site VPN dùng một kết nối tunnel mode giữa các VPN gateway để bảo vệ
sự lưu thơng giữa hai hay nhiều site hoặc các địa điểm Các kết nối site to site được đề cập chung là các kết nối LAN to LAN Với các LAN to LAN VPN, một thiết bị trung tâm tại
mỗi vị trí cung cấp sự bảo vệ cho traffic giữa các site đĩ Quá trình bảo vệ này được trong
—Ỷ=ễẳỲ=sasaỶẳỶẲẳÏï->ẳỶ“f†->ễerzszễẳễrszsrseoơợợờẳẵẳẵẳaas-ơ-Z‹WNơơơợớớợớơmmmm>xsaậzẳễằẳs-s-zsnss=snssmammmmmmaaaammamaam
Trang: 5
Trang 12
a eee cece cece eee arene eee ee 7A ———————a TS ch ố
suốt đến thiết bị đầu cuối người dùng tại cả hai site bởi vi sự truyền thông mạng đặt ở giữa hai thiết bị VPN gateway
Site to site được áp dụng cho các tổ chức có nhiều văn phòng chỉ nhánh, giữa các văn phòng chi nhánh cần trao đối thông tin với nhau Chẳng hạn như một công ty đa quốc gia
có nhiều chỉ nhánh đặt ở nhiều nước (như tập đòan Bayer hay Cocala) hoặc một công ty
nhưng mà có nhiều tru sở đặt ở nhiều nơi (một công ty có một trụ sở ở TPHCM và một trụ
sở ơ Hà Nội) các chi nhánh này cần phải trao đổi thông tin, đữ liệu với nhau, do đó có thể
xây dựng một hệ thống VPN site to site để kết nối các site lại với nhau tạo những đường truyền riêng trên mạng Internet phục vụ cho việc trao đổi dữ liệu an toàn, hiệu quả
1.2.3.2 Remote access VPN:
Remote access VPN được dùng cho các kết nối băng thấp hoặc broadband giữa một thiết bị người dùng đơn như PC hay small - office — home — office (SOHO), mét hardware client và một thiết bị VPN gateway Cac remote access VPN str dung nhiều tunnel cho các
kết nối của chúng Với remote access, traffic cần được bảo vệ từ source đến một số thiết bị trung gian, là những thiết bị mà xác nhận thông tin bảo mật, tại đích đến sẽ nhận được thông tin không được báo mật
Các điểm cuối VPN, hoặc các client mà kết nối đến VPN gateway sẽ cần 2 địa chỉ IP: một dùng cho NIC của nó và một dùng cho một địa chỉ mạng bên trong, là địa chỉ mà thỉnh thoảng được để cập đến như là một địa chỉ ảo hoặc địa chỉ logic hay là địa chỉ IP
Trang 13Trong một số công ty, có nhiều văn phòng đặt ở những nơi cách xa nhau, có nhu cầu chia sẻ dữ liệu thường xuyên với nhau thì hệ thống Intranet VPN là một giải pháp cho nhu
câu truyền và nhận dữ liệu
eum poe ghe Fete
Trang 14
ee eer eee e eee e reece ee eee ch
1.2.3.4 Firewall VPN:
Một firewall VPN là một LAN to LAN cơ bản hay một remote access VPN duge
tăng cường thêm tính bảo mật và các chức năng firewall Nói một cách cụ thể, firewall VPN được dùng khi một bên của các kết nối VPN cần tăng cường thêm tính bảo mật và
chức năng firewall dựa trên các chính sách bảo mật của công ty, và quản lý hoặc sở hữu giải pháp bảo mật mà hiện đang được đặt bên trong mạng
Thực ra, firewall VPN có cùng đặc tính như một LAN to LAN hay remote access
VPN Và trên thực tế, người ta không phân loại fñrewall VPN thành một loại VPN riêng biệt, bởi vì khi thiết lập VPN thì điều cần thiết và then chốt của mạng chính là việc bảo mật thông tin và ngăn chặn các truy cập không được phép Đây chính là chức năng của firewall
Một trong những phần mèền hỗ trợ kết nối VPN, có chức năng như một firewall, đó là phan mén Internet Security and Acceleration (ISA) Server 2004
Hinh 1.7 1.3 Uu diém va nhuoc diém ctia VPN:
1.3.1 Ư u điểm:
Giảm giá thành thực hiện: giá thành VPN ít hơn nhiều so với các giải pháp truyền thống dựa trên leased line, Frame Relay, ATM hay ISDN Điều này là do VPN hạn chế được các nhu cầu kết nối đường dài (long-distance connection) bằng việc thay thế chúng
với các cuộc kết nối nội hạt dén m6t carrier network, ISP hay ISP’s Point of Presence
(POP)
Trang: 8
Trang 15Thực ra, firewall VPN có cùng đặc tính như một LAN to LAN hay remote access VPN Và trên thực tế, người ta không phân loại firewall VPN thành một loại VPN riêng biệt, bởi vì khi thiết lập VPN thì điều cần thiết và then chốt của mạng chính là việc bảo mật thông tin và ngăn chặn các truy cập không được phép Đây chính là chức năng của © firewall
Một trong những phần mền hỗ trợ kết nối VPN, có chức năng như một firewall, đó là phan mén Intemet Security and Acceleration (ISA) Server 2004
được các nhu cầu kết nối đường đài (long-distance connection) bằng việc thay thế chúng
với các cuộc kết nói nội hạt đến một carrier network, ISP hay ISP's Pomt of Presence
(POP)
Trang: 8
Trang 16nữa, một tô chức có thể hạ toàn bộ giá thành của mang nếu thiết bị WAN dùng trong VPN
được quản lý bởi ISP Lý do hạ giá của việc vận hành mạng được giải thích rằng không cần phải thuê nhiều nhân viên mạng nếu như VPN được quản lý bởi chính tổ chức đó Tăng cường khả năng kết nối: VPN đùng Internet cho việc liên kết giữa các thành
phần từ xa của một mạng Intranet Bởi vì Internet có khả năng truy xuất toàn cầu, thậm chí
ca cdc branch office ở rất xa, moblie user, có thê dé dàng kết nối dén corporate intranet
Sự bảo mật của giao dịch: bởi vì VPN sử dụng kỹ thuật tunnel để truyền dữ liệu thông qua mạng công cộng, các dữ liệu trao đổi được bảo mật trong một phạm vi Nói cách khác, đối với kỹ thuật tunnel, VPN sử dụng các tiêu chuẩn bảo mật có phạm vi rộng như sự mã hóa, sự chứng thực, sự cấp quyền để bảo đảm tính an toàn, sự tin cân và tính toàn vẹn của dữ liệu được truyền Kết quả là VPN cung cấp một mức độ tin cậy cao trong việc bảo mật giao dịch
Sử dụng băng thông hiệu quả: trong trường hợp kết nối Internet dựa trên leased
line, băng thông hoàn toàn bị bỏ phí khi không có các kết nối Internet hoạt động Ngược
lại, VPN tạo các logical tunnel để truyền đữ liệu khi có nhu cầu Kết quả là băng thông mạng chỉ được dùng khi có một kết nối Internet hoạt động Vì vậy sẽ không lãng phí băng thông
Tăng cường tính co dãn: bởi vì VPN được dựa trên Internet, chúng cho phép một
corporate intranet mở rộng và phát triển việc kinh doanh khi cần thay đổi với phí tổn nhỏ nhất trên thiết bị mở rộng Điều này làm cho mạng VPN intranet có khả năng co dãn và thích ứng cao đến việc phát triển trong tương lai mà không phải mất quá nhiều ngân sách của tổ chức mạng
4.3.2 Nhược điểm:
Mặc dù có nhiều ưu điểm, song VPN vẫn có một số nhược điểm sau:
Sự lệ thuộc cao lên Internet: việc thực thi mạng dựa trên VPN phụ thuộc lên việc thực thi của Internet Các đường leased line bảo đảm băng thông được có định trong hợp
_— == ]
Trang: 9
Trang 17
đồng giữa nhà cung cấp và người thuê Tuy nhiên, không ai có thể bảo đảm sự thực thi của
Internet Việc quá tải và sự đụng độ có thể ảnh hưởng xấu đến việc thực thi toàn bộ mạng
VPN
Thiếu sự hỗ trợ đến các giao thức kế thừa: các VPN hiện nay đều hoàn toàn dựa trên công nghệ IP Tuy nhiên, nhiều tổ chức vẫn tiếp tục sử dụng các mainframe và các thiết bị khác cũng như giao thức thừa kế trong các giao dịch mỗi ngày của họ Kết quả là, các VPN phần lớn không tương thích với các thiết bị và giao thức kế thừa Điều này có thể được giải quyết, nhưng chỉ với một mức độ nhất định nhờ vào cơ chế tunneling Tuy nhiên
sự đóng gói SNA (System Network Architecture) và các non-IP traffic bên trong gói IP có thể làm chậm việc thực thi của toàn bộ mạng
Thực ra, không có giải pháp mạng nào mà không có ưu điểm và nhược điểm Tùy vào mục đích và phạm vi sử dụng mạng của một tổ chức để có thê tận dụng được các ưu điểm cũng
như hạn chế những khuyết điểm của các giải pháp mạng
4.4 Yêu cầu của một hệ thống VPN:
VPN là một phiên bản sửa đổi của mạng riêng — private network mà cho phép tác động lên
việc thiết lập mạng LAN hay mạng Intranet truyền thống dựa trên Internet hay các mạng công cộng khác để giao tiếp một cách an toàn và kinh tế Kết quá là, hầu hết các yêu cầu
của VPN cũng chính là các yêu cầu của private network truyền thống Tuy nhiên, các yêu cầu dưới đây đóng vai trò chính yếu trong trường hợp thực thi VPN:
o Sự bảo mật— securify
o Tính sẵn sàng - availability
o Chất lượng dịch vụ - quanlity of service (QoS)
o Độ tin cậy —-reliability
o Tính tương thích — compatibility
o Có thể điều khiển được — manageability
Trang: 10
Trang 18
Hinh 1.8 User Authentication: cung cấp cơ chế chứng thực người dung, chỉ cho phép người dung hợp lệ kết nối và truy cập hệ thống
Ađdress Authentication: cung cấp IP hợp lệ cho người dung, sau khi họ log on vào hệ thống, để họ chia sẽ tài nguyên giống như chia sẻ tài nguyên trong hệ thống mạng nội bô Data Encryption: cung cấp cơ chế mã hóa dữ liệu trong quá trình truyền và nhận,
nhằm đảm bảo tính bảo mật và tòan vẹn đữ liệu
Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá
và giải mã dữ liệu
1.5.1 VPN hardware:
VPN hardware bao gom cac thanh phan chinh 1a: VPN server, VPN client va cac thiét
bị phần cứng khác như router và các bộ tập trung
1.5.1.1 VPN server:
VPN server là các thiết bị mạng chuyên dùng cho việc vận hành server software Dựa
vào các nhu cầu của tổ chức, có thể có một hoặc nhiều VPN server Bởi vì một VPN server phải cung cấp các dịch vụ cho các remote cũng như local VPN client, chúng luôn luôn
phải hoạt động và sẵn sàng châp nhận các yêu câu của client
a
Trang: 11
Trang 19
—-ỶỲỶ-Ỷ-Ỷ-aaờợaờẳặẳễciïnơzờẳẵnszợtnễszs s-aỶtntnễsnrryờỶnzsaờợờơờơợggggsnnrïỸĩĨỉỈỗẶsaeemmmm
Các chức năng chính của VPN server:
o Lắng nghe các yêu cầu kết nối VPN
o Sắp xếp các yêu cầu và thông số kết nối chăng hạn như sự mã hóa và các cơ chế chứng thực
o Chứng thực và cấp quyền cho các VPN client
° Chấp nhận dữ liệu từ client hoặc forward dữ liệu được yêu cầu bởi client
o Đóng vai trò như một điểm cuối của VPN tunnel và VPN connection
Các VPN server có thể hỗ trợ hai hoặc nhiều card chuyển đổi Một hoặc nhiều card chuyển đổi trong số này được dùng cho việc kết nối chúng với mạng Intranet của tổ chức, còn cái khác được đùng để kết nối đến Internet Trong một số trường hợp, các VPN server cũng có thé đóng vai trò như các VPN gateway hoặc các router
1.5.1.2VPN client:
VPN client là những máy ở đầu xa hoặc nội bộ mà bắt đầu một kết nối VPN đến một VPN server và đăng nhập đến một remote network sau khi chúng đã được chứng thực tại
remote-network đầu cuối Chỉ sau khi login thành công thì VPN server và VPN client mới
có thể giao tiếp được với nhau Thông thường, một VPN client dựa trên phần mềm Tuy
nhiên, nó cũng có thể là một thiết bị phần cứng chuyên dụng Một VPN hardware router
với tính năng định tuyến cuộc gọi theo yêu cau (dial-on-demand routing) ma quay số đến một VPN hardware router khác là một ví dụ về thiết bị VPN hardware chuyên dùng
Với sự phát triển mạnh mẽ của Internet và công nghệ Các user này có thê dùng một VPN để giao tiếp một cách an toàn đến mạng Intranet của công ty Các VPN client hỗ trợ cho việc kết nối bao gồm:
o Teleeomuters: người sử dụng Internet hay một mạng công cộng để kết nối đến cdc organization’s intranet cua ho tir nha
o Mobile users: ding laptop, palmtop, hay notebook két néi dén organization’s
intranet để truy cập email và những thứ khác như intranet resoure bằng mạng
công cộng
ee
Trang: 12
Trang 20
o Remote administrators: nhitng người sử dụng mạng công cộng kết nối đến một remote site dé quan ly, điều khiển, troubleshoot hay cấu hình các dịch vụ và thiết bị
Trong trường hợp thiết lập một mạng VPN nhỏ, VPN server có thể làm nhiệm vụ
định tuyến Tuy nhiên, thực tế này không hiệu quả trong trường hợp các VPN lớn cần phải tiếp nhận một số lượng lớn các yêu cầu Lúc này cần phải có một thiết bị định tuyến
chuyên dùng Thông thường, một router là một điểm cuối của một nội bộ (có thể có một firewall ở phía sau nó) Vì vậy, router chịu trách nhiệm chính cho việc tìm tất cả các
đường đi và chọn đường ngắn nhất có thê được để đến mạng đích (destination network) Mặc dù các router thông thường có các công cụ cho một kết nối VPN, nhưng các chuyên
gia đề nghị nên dùng các router đã được tối ưu hóa Những router này, ngoài việc định
tuyến còn cung cấp tính bảo mật, sự co giãn và QoS
Giống như các hub được dùng trong các mạng truyền thống, các bộ tập trung VPN
được dùng để thiết lập một remote access VPN qui mô nhỏ, bên cạnh việc tăng dung lượng
và thông lượng của VPN, những thiết bị này còn cung cấp tính sẵn sàng thực thi cao, sự
mã hóa câp cao và khả năng chứng thực
”" ee re ee -= Š rr.xmxắsaắaaarauaựưựưayaa
Trang: 13
Trang 21
———-.iẳễẳễỶ-ơơớợơợẳ-yzờơợơợ‹-ẳặẳễ.-zœœ.-.‹ẳẳễẳễ. -‹nờơờẳizgngzơợợơgaanannan —mnmmmaaaaœaaaammmaaơơơơơơơmmmmmmmmmmmmmmrmnầầẳmmẮẦờẮỐẮỒÒỒỐẮẦỀỐẮẲHCC ĐỢC 00 cố
Các IP gateway chuyên các giao thức non-IP thành IP và ngược lại Kết quả là những
gateway này cho phép một private network hỗ trợ giao dịch trên nền IP Những thiết bị này cũng có thể là các thiết bị mạng chuyên dụng hay các giải pháp dựa trên phần mềm Đối với các thiết bị phần cứng, IP gateway thông thường được bổ sung tai cdc ria cua organization’s intranet Con đối với các giải pháp phần mềm, IP gateway được cài đặt trên mỗi server và được dùng để chuyển đổi traffic từ các giao thức non-IP sang IP và ngược
lại
1.5.2 VPN s oftware:
1.5.2.1 VPN server software:
Các hệ điều hành của Microsoft như Windown Server 2003,Windows Server 2000,
các phiên bản của Windows NT, Novell°s Netware, Linux là những hệ điều hành thường được cài đặt lên một VPN server Nói cách khác, bất kỳ máy nào mà có những hệ điều hanh mang — Network Operating Systems (NOSs) va được dùng để phục vụ cho các yêu
cầu kết nối VPN đều đựoc xem là VPN server
Đây là những trình ứng dụng và công cụ dùng cho việc quản lý thiết lập VPN Các
trình ứng dụng này được dùng để quản lý, điều hành, cấu hình và xử lý sự cé (troubleshoot
problems) Novell’s Border Manager va Cisco Secure Policy Manager là các công cụ quán
lý VPN nỗi tiếng
1.5.3.1 Co sé ha tang bảo mật của tô chức:
Cơ sở hạ tầng bảo mật của một tổ chức cũng là một yếu tố quan trọng trong toàn bộ kiến trúc VPN Một cơ sở thiết kế và kế hoạch bảo mật tốt có thể bảo vệ được mạng
intranet của một tô chức tránh khỏi các thảm họa về sau Một hạ tầng bảo mật VPN thường bao trùm tất cả hoặc là sự kết hợp của một số trong các cơ chế bảo mật dau đây:
Trang: 14
Trang 22
o Firewalls
o Network Address Translation (NAT)
o Authentication servers and databases
o AAA architecture
o IPsec protocol 4.5.3.2 Firewalls:
Một ñirewall hoạt động như một tắm màn bảo mật và đáp ứng như một thanh chắn hữu hiệu đến tất cả các sự xâm nhập không được cấp quyền để truy cập các tài nguyên được đặt bên trong organization”s intranet Vai trò chính của firewall là bảo vệ intranet hay
một private network khỏi các mối đe dọa từ bên ngoài cũng như bên trong mang Firewall
có thể quản lý các địa chỉ IP, các cổng, kiểu gói tin, các kiểu ứng dụng, và kể cả dữ liệu
chứa đựng bên trong gói tin Hình dưới đây mô tả vị trí của firewall trong thiết kế tổng thể
Các thiết bị dựa trên NAT cho phép chúng ta kết nối đến các resource và network từ
xa mà không cần để lộ địa chỉ IP của các host bên trong một private network hay một intranet Như mô tả ở hình dưới đây, NAT cũng được thực thi tại rìa của một intranet va
mỗi sự giao tiếp đều được định tuyến thông qua chúng Ngoài việc cung cấp cơ sở bảo mat, NAT citing cho phép chúng ta tiết kiệm các địa chỉ IP
pa
Trang: 15
Trang 231.5.3.4 Authentication Servers and Databases:
Remote Access Dial-In User Services (RADIUS) va Terminal Access Controller Access Control System (TACACS) 1a nhttng cach phé bién nhất dùng cho chứng thực server và database Chúng cung cấp các cơ chế mạnh mẽ dùng cho việc phân quyền và chứng thực từ xa Những thiết bị này thường được đặt trong phần đầu của một
Organizations intranet và nhận mọi yêu câu chứng thực từ nhà cung câp dịch vụ
chứng thực nếu như thông tin đó được lưu trữ bên trong intranet Ngược lại, sự truy vấn sẽ
được chuyển tới một trung tâm cơ sở dữ liệu được dành để lưu trữ thông tin liên quan đến
remofte users Nhờ vào việc nhận các query phản hồi, RADIUS hay TACACS server liên
lạc đồng thời dén Network Access Server (NAS) tại ISP để thiết lập một kết nối VPN hoặc
từ chối yêu cầu kết nối Bằng cách này, một tổ chức có thể áp dụng việc điều khiển hoàn toàn lên tất cả các truy cập của remofe access bất chấp sự hiện diện của nhà cung cấp dịch
vu intranet trung gian
eee ee eee
Trang: 16
Trang 24Cơ chế bảo mật này có thể được thực hiện như là một kỹ thuật bỗ sung cho RADIUS/
TACACS, bởi vì điều này làm tăng thêm một lớp trong việc chứng thực
AAA cung cấp câu trả lời cho hầu hết các câu hỏi cơ bản liên quan đến remote
access, đó là các câu hỏi sau:
o Ai đang truy cập vào mạng?
o Dịch vụ và tài nguyên nào user được phép truy cập vào?
o User activities là gì và chúng được thực hiện khi nào?
Khi một NAS đặt tại IPS và nhận được một yêu cầu kết nối từ xa, nó sẽ ủy nhiệm yêu
cầu đó đến AAA server đặt tại điểm cuối của tổ chức Server này sẽ chứng thực cho client
đó, và trong trường hợp chứng thực thành công nó sẽ xác định tài nguyên và dịch vụ mà user đó được phép truy cập Nếu user cố gắng truy cập đến tài nguyên hoặc dịch vụ mà không được phép, AAA sẽ chặn việc truy cập đó và cảnh báo đến user
user và các gói đữ liệu độc lập Tuy nhiên, các hệ thống ở cả hai đầu cuối đều phải được
tương thích IPsec dé hỗ trợ các kỹ thuật mã hóa và chứng thực Hơn nữa, nếu việc thiết lập
VPN dung firewall nhu là một kỹ thuật bảo mật bổ sung thì những chính sách bảo mật được đặt trên firewalls bắt buộc phải cùng IPsec Security Associations (SAs)
IPsec cung cấp sự mã hóa và chứng thực dữ liệu giữa các thành phần trong VPN như sau:
Trang 26
Chuong 2:CAC GIAO THUC TRONG VPN
2.1 Co ban vé ky thuat tunneling:
2.1.1 Khai niém:
Tunneling 1a thành phần quan trọng nhất trong kỹ thuật VPN Nó cho phép một tổ chức tạo ra các mạng ảo thông qua Internet và các mạng công cộng khác Các mạng ảo này không thể truy cập bởi những người ngoài - các user không phải là thành phần của organization’s intranet
Tunneling là kỹ thuật đóng gói toàn bộ data packet trong một packet của giao thức khác Nói cách khác, phần header của tunneling protocol được gắn vào gói tin nguyên thủy, sau đó gói tin tổng hợp được chuyén dén destination node hoac network thông qua mạng trung gian Đối với những gói data nguyên thủy (hay còn gọi là payload) mà không
có giao thức hỗ trợ sẽ được gắn thêm một header để trở thành tunneled packet và được
truyền trên tunnel đến mạng đích Header này sẽ cung cap thong tin routing can thiét dé packet có thể deliver thành công thông qua internet Hình dưới đây mô tả quá trình xử lý
của tunnel:
Trang: 19
Trang 27
Khi một tunneled packet được định tuyến t6i destination node, nó sẽ được lưu thông trên
internet trong một đường dẫn logic Đường dẫn này gọi là tunnel Sau khi nhận được tunneled packet, receiver sé chuyên packet đó trở về định dạng nguyên thủy của nó
2.1.2 Các quá trình hoạt động của Tunnel Technology:
Quá trình hoạt động của Tunnel Technology được chia thành 2 phase (pha)
Phase 1: Thiết lập tunnel Node bat dau (initiator node) yéu cầu một VPN session
và được chứng thực bởi HA tương ứng (HA: Home Agent, là giao diện phần mềm lưu trú tại network access node (router) trong mạng đích HA sẽ nhận và chứng thực incoming
requests để xác nhận những request từ các host được ủy thác Dựa vào sự chứng thực ban
đầu HA sẽ cho phép thiết lập tunnel) Một yêu cầu kết nối sẽ được bắt đầu và các thông số session được thỏa thuận Nếu request đó được chấp nhận và các thông số session được thỏa thuận thành công, một tunnel sẽ được thiết lập giữa hai điểm cuối giao tiếp
Các bước thiết lập tunnel:
° Sender sẽ gửi yêu cầu kết nối đến EA (Foreign Agent, là giao diện phần mềm lưu trú tại initiator node cũng như tại network access node Initiator node sử
dụng FA để yêu cầu một VPN session từ HA tại mạng đích)
° FA sẽ chứng thực yêu cầu kết nối bằng việc xác nhận giá trị của login name và
pasword được cung cấp bởi user (Thông thường FA sử dụng các dịch vụ của RADIUS để chứng thực sự đồng nhất của initiator node.)
o Nếu login name và password không đúng thì yêu cầu tạo VPN session sẽ bị từ chối Ngược lại, nếu FA chứng thực thành công sự đồng nhất của initiator, FA
sẽ forward yêu cầu kết nối đến HA của mạng đích
o Nếu request được chấp nhận bởi HA, FA sẽ gửi login ID đã được mã hóa và
password tương ứng với nó
° HA xác nhận thông tin đã được cung cấp Nếu sự xác nhận thành công, HA sẽ
gửi Registry Reply cùng với tunnel number đến FA
o Một tunnel sẽ được thiết lập khi FA nhận được Registry Reply và tunnel
number
a
Trang: 20
Trang 28
Luu dé giai thuat
tunnel, việc trao đôi dữ liệu trong data transfer phase diễn ra như sau:
o Sender bắt đầu forward các data packet đến FA
o FA sẽ tạo tunnel header và gắn nó vào mỗi data packet Thông tin header của
một giao thức định tuyến (mà đã được thỏa thuận ở Phase l) được gắn lên packet
o FA forward gói dữ liệu đã được mã hóa đến HA bằng việc sử dụng tunnel number
o Khi nhận được thông tin đã được mã hóa, HA sẽ gỡ bỏ tunnel header và thông
tin định tuyến, bằng cách này sẽ trả lại định dạng nguyên thủy của gói tin
° Dữ liệu nguyên thủy sẽ được forward đến destination node cần đến trong mạng
Trang: 2] ˆ : : - SỐ đụ " LẦN ị
Trang 29
SVTH: Tram Hoang Anh Nhaén
2.1.2.1 Tunneled packet format:
Trước khi được deliver đến mạng đích thông qua tunnel, các gói dữ liệu được mã hóa bởi FA tạo thành tunneled packet Định dạng của tunneled packet được trình bày như hình
Một tunneled packet bao gdm ba phan:
“+ Routing protocol header: chwa dia chi nguồn (FA) và địa chỉ đích (HA) Bởi vì
việc trao đổi thông tin trên Internet chủ yếu là dựa trên IP, header này chứa đại
chỉ IP của FA và HA
“+ Tunnel packet header: chira 5 truong sau:
o Protocol type: truong nay xác định giao thức của gói dữ liệu
o Checksum: chứa checksum dùng để kiểm tra thử xem gói dữ liệu có bị corrupt (hư)
trong suốt quá trình truyền hay không Thông tin này là một tùy chọn
Trang: 22
Trang 30° Source routing: chứa các thông tin định tuyến Trường này là một tùy chọn
o Payload: là gói dữ liệu nguyên thủy cần gửi đến đích
2.1.2.2 Các loại tunnel:
Voluntary tunnel: ciing dugc biét nhu 1a end-to-end tunnel, voluntary tunnel dyoc
tạo ra từ yêu cầu của một client Kết quả là initiator node hoạt động như một tunnel endpoint Vì vậy, một tunnel riêng biệt được tạo ra cho mỗi cặp giao tiếp Sau khi việc giao tiếp giữa hai đầu cuối được thông qua, tunnel sẽ được kết thúc Hình sau đây mô tả
một voluntary tunnel
Hình 2.5 Trong trường hợp một remofe client sử dụng một kết nối dial-up, client đó trước tiên
sẽ thiết lập một kết nối dial-up đến internetwork Đây là bước mở đầu cho việc thiết lập
tunnel và nó không được thiết lập bởi tunneling protocol Chỉ sau khi một kết nối dial-up
được thiết lap, initiator node mdi co thé thiét lap tunnel đến destination node đã được định
trước Tuy nhiên, trường hợp ít phức tạp hơn là khi client là một thành phần thường xuyên của local network Trong trường hợp này, client được sẵn sàng để kết nối đến internetwork Vì vậy không cần phải thiết lập một kết nối dial-up riêng biệt đến
internetwork
Compulsory tunnel: khéng giống như voluntary tuanel được yêu cầu và tạo ra bởi
clinet node, compulsory tunnel được tạo ra và cấu hình bởi một thiết bị trung gian
Trang: 23
Trang 31
Network Attached Storages (NASs) hay dial-up server 1a cac thiét bi trung gian Day chinh
la compulsory tunnel bdi vi initiator node bắt buộc phải dùng tunnel mà được tạo ra bởi các thiết bị trung gian
Hình 2.6 Đối với compulsory tunnel, cả remote client cũng như LAN-attached client buộc phải kết nối đến thiết bị trung gian Các tiết bị này thường được đặt tại ISPˆs POP Sau khi kết nối được thiết lập thành công, thiết bị trung gian này sẽ tạo ra tunnel
Bởi vì initiator node không góp phần tạo ra và cầu hình tunnel, nó không hoạt động như một tunnel endpoint Trong trường hợp này, các thiết bị trung gian chịu trách nhiệm của các tunnel endpoint Cũng vậy, không giống như voluntary tunnel, các tunnel riêng biệt được đặt trong từng cặp của các node giao tiếp, còn compulsory tunnel có thê được chia sẻ bởi các đa giao tiếp (multiple communication) Kết quả là tunnel không được kết thúc cho tới khi giao tiếp cuối cùng được hoàn tất
———— -.-.y.ayyiïỶớờnnaszaaaaaannnnnmm
Trang: 24
Trang 32Một tunnel được kết thúc khi việc | Tunnel không được kết thúc cho tới
trao đổi dữ liệu giữa hai điểm cuối | khi cặp giao tiếp cuối cùng hoàn tất
Dữ liệu trao đổi giữa hai điểm cuôi | Dữ liệu trao đổi giữa hai điểm cuôi
Kỹ thuật tunnnel dùng ba loại giao thức sau:
Carrier ptotocol: 1a các giao thức được dùng để định tuyến tunneled packet đến destination được định trước thông qua mạng liên kết chung Các tunneled packet được đóng gói bên trong các packet của giao thức này Bởi vì phải định tuyến các packet thông
qua một mạng liên kết chung hỗn tạp, chẳng hạn như Internet, giao thức này cần phải đựoc
hỗ trợ một cách rộng rãi Kết quả là nếu như tunnel được tạo ra thông qua Internet, carrier
protocol được dùng chủ yếu là IP Tuy nhiên, trong trường hợp các private intranet, các giao thức định tuyến tự nhiên cũng có thể đáp ứng như các carrier protocol
Encapsulating protocol: những giao thức này được dùng để đóng gói payload Hơn nữa, encapsulating protocol cũng chịu trách nhiệm cho việc tạo, duy trì và kết thúc một
tunnel Hiện nay, PPTP, L2TP, IPsec là những giao thức phổ biến nhất được dùng trong
các encapsulating protocol
a
Trang: 25
Trang 33
Passenger protocol: giao thức nay dùng để đóng gói dữ liệu để vận chuyến trên Internet thông qua tunnel PPP và SLIP (Serial Line Internet Protocol) được dùng chủ yếu
trong passenger protocol
An Paooal Packs! Payload
ẻ vie vie >|
Prod Protocol Prơiocol
Hình 2.7
2.2 Point-To-Point Tunneling Protocol (PPTP):
2.2.1 Co’ b an vé Point-to-Point Protocol (PPP):
PPP là giao thức đóng gói dung để vận chuyên network traffic thông qua các kết nối serial
point-to-point Thuận lợi lớn nhất của PPP là có thể hoạt động trên bất kỳ các thiết bị Data
Terminal Equipment (DTE) hay Data Connection Equipment (DCE) bao gồm các chuẩn EIA/TIA-232-C và ITU-T V.35 PPP cung cấp các kết néi router to router, router to host,
host to host, dugc sir dung phé biến cho các liên kết Internet trên các đường dây quay SỐ
2 2.2 Quá trình hoạt động cua PPP:
Được mô tả như hình dưới đây:
Trang 34
o Sau khi các gói đữ liệu được đóng gói, source node gửi các LCP (Link Control
Protocol) frame théng qua liên két ponit-to-point dén destination node
o Những frame này được dùng để cấu hình những liên kết trên các thông số được chỉ định và kiểm tra các liên kết đã được thiết lập nếu cần thiết
o Sau khi destination node chấp nhận yêu cầu kết nối và một liên kết được thiết
lập thành công, các tiện ích tùy chọn được thỏa thuận nếu được chỉ định bởi các
LCP
o Sau đó source node gửi các NCP (Network Control Protocol) frame để lựa chọn
và cấu hình các giao thức lớp mang (Network-layer protocol)
o — Sau khi các giao thức lớp mang cần thiết đã được cấu hình, hai điểm cuối bắt
đầu trao đổi dữ liệu
Khi một PPP link được thiết lập, nó sẽ tồn tại cho đến khi các LCP hay NCP frame ra dau
hiệu kết thúc liên kết Liên kết này cũng có thể được kết thúc trong trường hợp liên kết không thành công hoặc có sự can thiệp của user
2 2.3 PPP packet format:
Gồm sáu trường tạo thành:
o Flag: trường này xác định bắt đầu và kêt thúc một frame, có độ dài là một byte
o Address: bởi vì sử dụng các liên kết point-to-point, PPP không dùng địa chỉ của các node các nhân Vì vậy, trường này chứa một chuỗi các bít: 11111111, đây là
một địa chỉ broadcast chuân, có độ dài một byte
o Confrol: trường này chứa một chuỗi các bit nhị phân 00000011, nó hiển thị khung mang dữ liệu của người dùngwhich denotes that the frame carrying
nhưng không phải là một chuỗi liên tiépthe user data is an unsequenced frame
indicating the connection-less nature of PPP transmissions The length of the field is one byte
o Protocol: trường này xác định giao thức của dữ liệu được đóng gói trong khung
dữ liệu Giao thức trong trường này được chỉ định trên các số được gán trong RFC 3232 Độ dài của trường này là hai byte
a
Trang: 27
Trang 35
PPTP là một giao thức cho phép trao đổi thông tin an toàn từ một client đến một
server bằng việc tạo một VPN thông qua mang dya trén TCP/IP Điểm mạnh của PPTP là
khả năng cung cấp theo yêu cầu (provide on demand), hỗ trợ đa giao thức (multi-protocol) trên hạ tầng mạng hiện tại như Internet Khả năng này cũng cho phép một công ty sử dụng
Internet để thiết lập một mạng riêng ảo mà không phải tốn một đường dây thuê riêng (lease line)
Vai trò của PPP trong PPTP: PPTP là một sự mở rộng của PPP bởi vì PPTP không thay đổi kỹ thuật PPP cơ bản Nó chỉ vạch ra một cách mới của việc vận chuyển PPP
traffic thông qua mạng công cộng Cũng giống như PPP, PPTP không hỗ trợ multiple connection PPTP chỉ hỗ trợ các kết nối point-to-point Hơn nữa, PPP đáp ứng các chức
năng sau đây trong PPTP transaction:
o Thiết lập và kết thúc các kết nối vật lý giữa các điểm cuối giao tiếp
Trang 36
PPP cũng có thé sir dụng clertext, mã hóa hoặc các cơ chế chứng thực của Microsoft-
encrypted để chứng thực client Hình dưới đây mô tả vai trò của PPP trong PPTP
o PPTP client: một PPTP client là một nút mạng hỗ trợ PPTP và có thể yêu cầu nút
mạng khác một VPN session Nêu kết nôi được yêu câu từ một remofe server,
a
Trang: 29
Trang 37NAS Cả client và server đều được kết nối vật lý trên cùng một LAN, việc đòi hỏi
thiết lập một kết nối đến ISP°s NAS là không cần thiết Lúc nay client chi cần một dial-up session dén thiết bị VPN trên server Bởi vì các yêu cầu định tuyến của các PPTP packet dùng cho remote request và local request khác nhau nên các packet liên quan đến hai yêu cầu này cũng được xử lý khác nhau Các PPTP
packet đến local server được đặt trên bộ trung chuyển vật lý đính kèm (physical
medium attached) dén bé chuyén déi mang (network adapter) cua PPTP client
Ngược lai, cac PPTP packet đến remoet server được định tuyến thông qua bộ
trung chuyên vật lý đính kèm đến một thiết bị viễn thông (telecommunication
device) nhu router Viéc sắp đặt các PPTP packet trên môi trường mạng được trình bày trong hình dưới đây:
EE
Trang: 30
Trang 38Packal aller TCP encapmdation
Packst aller PPP encapsulation
Packed after encapeuiation by the Local Made
Hinh 2.12
o PPTP server: là các nút mạng hỗ trợ PPTP và có thể đáp ứng các yêu cầu cho
các VPN session từ những node khác — remote hoặc local Để đáp ứng các remote request, những server này cũng phải hỗ trợ khả năng định tuyến Một Remote Access Server (RAS) hay bất cứ hệ điều hành mạng Network
Operating System (NOS) có hỗ trợ PPTP như Windows NT Server 4.0 có thé hoạt động như một PPTTP server
o PPTP Network Access Server (NAS): được đặt tại ISP site, cung cấp khả năng kết nối đến các client quay số dùng PPP Bởi vì khả năng nhiều client yêu cầu VPN session cùng một lúc là rất cao, các server này cần phải có khả năng hỗ trợ
nhiều client cùng một lúc Cũng vậy, các PPTP client không bi han chế bởi các NOS của Microsoft Vì vậy, PPTP NAS phải có khả năng điều khiển một dải rộng các client bao gdm Microsoft’s Windows-based client, Unix machines,
Trang: 31
Trang 39o Điều khiển kết nối: sau khi một kết nối PPP vật lý được thiết lập giữa PPTP
client và server, PPTP connection control sẽ bắt đầu PPTP connection control được thiết lập dựa trên IP address của PPTP client và server Sau khi điều khiển
kết nếi được thiết lập, các message điều khiển và quản lý được trao đổi giữa các nhóm giao tiếp Những message này chịu trách nhiệm cho việc duy trì, quản lý và
kết thúc PPTP tunnel
———————————-F-srarsr-r-cr-c-r->>m>>-———m=—>
Trang: 32
Trang 40GVHD: Nguyễn Huy Hùng SVTH: Trằm Hòang Anh Nhân
Outgoing-Call- Request
Yêu cầu thiết lập mét PPTP tunnel tir PPTP client dén server
Outgoing-Call- Reply
Đáp ứng từ PPTP server đến Outgoing-Call-Request message của client
Echo-Request Cơ chế keep-alive từ client cũng như server, dùng đê yêu
cau duy trì kêt nôi
Echo-Reply Đáp ứng đến Echo-Request message từ điểm đôi diện cho
phép duy trì kết nối Set-Link-Info Message từ cả hai phía để set các tùy chọn PPP-related
WAN-Error-Notify Message tir PPTP server đến tất cả các PPTP client duoc
kết nói để thông báo các lỗi trong server”s PPP interface
Stop-Control- Connection-
Request
Message tir PPTP client ciing nhu server dung để thông
báocho đầu bên kia biết việc kết thúc của điều khiển kết
noi
Stop-Control- Connection-Reply Dap tmg tir phia đối diện đến Stop-Control-Connection-
Request message
————=>>aỶỶ-Ỷ-Ỷiẳxsễzờợngggngggnễ=ễnnsnt=r=ễễ=ễễễnơờơờơnzzgasayơợggnnaợợớợơớợớợơờờ=m
Trang: 33