Công nghệ IP VPN luận văn tốt nghiệp đại học

- Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trình phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều phương thức mức ứng dụng những giao

TRƯỜNG ĐẠI HỌC VINHKHOA ĐIỆN TỬ- VIỄN THÔNG

ĐỒ ÁN

TỐT NGHIỆP ĐẠI HỌC

Đề tài:

CÔNG NGHỆ IP-VPN

Sinh viên thực hiện : NGUYỄN ĐÌNH VỆ

Lớp : 47K-ĐTVTGiảng viên hướng dẫn : TS NGUYỄN THỊ QUỲNH HOA

Vinh, 5 - 2011

LỜI NÓI ĐẦU

Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới Một công ty

có thể có chi nhánh, có các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin với nhau Để bảo đảm bí mật các thông tin được trao đổi thì theo cách truyền thống người ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi không nhiều và không thường xuyên Vì thế người ta đã nghiên cứu ra những công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo

VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu

và không chắc chắn về vấn đề an ninh của kênh riêng này

Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN sẽ tiết kiệm được rất nhiều chi phí trong việc muốn kết nối các chi nhánh văn phòng với nhau, truy cập từ xa vào mạng nội bộ, gọi điện thoại VoIP, với độ bảo mật cao Hiện nay ADSL đã trở nên phổ biến, chi phí thấp, nên việc thực hiện IP VPN trở nên rất đơn giản, hiệu quả vì tận dụng được đường truyền Internet tốc độ cao Tính tương thích của IP VPN cao vì sự phổ biến của nó, nên bạn có thể kết hợp nhiều thiết bị của những sản phẩm thương hiệu khác nhau

Trên cơ sở đó, tôi quyết định chọn hướng nghiên cứu đồ án của mình là công nghệ IP-VPN

Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN

Bố cục của đồ án gồm 5 chương:

- Chương 1 trình bày bộ giao thức TCP/IP Chương này trình bày khái quát về bộ giao thức của TCP/IP

- Chương 2 khái quát công nghệ mạng riêng ảo trên Internet IP-VPN Chương này trình bày các khái niệm VPN, bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó có thể trở thành một giải pháp có khả năng phát triển mạnh trên thị trường Tiếp theo là trình bày về các khối chức năng

cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó Cuối cùng

là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN

- Chương 3 nói về giao thức IPSec cho IP-VPN Chương này trình bày các vấn đề về giao thức IPSec Bộ giao thức rấ quan trọng IPSec dung cho IP

- VPN để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng

- Chương 4 trình bày An toàn dữ liệu trong IP-VPN Trình bày một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên IPSec

- Chương 5 trình bày các phương pháp thực hiện IP – VPN hiện đang được sử dụng

Em xin gửi lời cảm ơn chân thành đến Trường Đại học Vinh, các thầy

cô trong Khoa Công Nghệ đã tạo điều kiện giúp đỡ em trong quá trình học tập và nghiên cứu Và đặc biệt em xin bày tỏ lòng kính trọng và biết ơn sâu

sắc đến TS Nguyễn Thị Quỳnh Hoa, người đã tận tình hướng dẫn và chỉ bảo

em trong quá trình nghiên cứu, xây dựng và hoàn thành đồ án

Mặc dù nhận được rất nhiều sự giúp đỡ của cô giáo hướng dẫn, các thầy cô giáo trong khoa Điện Tử-Viễn Thông và sự cố gắng của bản thân nhưng đồ án không tránh khỏi sai sót vì vậy tôi mong nhận được sự đóng góp nhiều hơn nữa ý kiến từ phía các thầy cô và ban bè cùng những người quan tâm đến lĩnh vực này

Sinh viên: Nguyễn Đình Vệ

Đồ án này đã đi sâu tìm hiểu các vấn đề kỹ thuật và mô hình thực hiện của công nghệ IP-VPN Trong đó, đường ngầm là nền tảng của IP-VPN, phạm vi của đồ án này đã trình bày về các giao thức đường ngầm: PPTP, L2TP và IPSec PPTP và L2TP là những giao thức đường ngầm được phát triển dựa trên giao thức PPP Hai giao thức này là các chuẩn đã hoàn thiện và các sản phẩm hỗ trợ chúng tương đối phổ biến.

Đối với những ứng dụng yêu cầu an toàn dữ liệu cao thì IPSec là giao thức thích hợp IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất,

có tính linh hoạt cao do không bị ràng buộc bởi một phương pháp xác thực cũng như mật mã nào Đây được xem là giao thức tối ưu nhất cho IP-VPN và được tìm hiểu một cách chi tiết nhất

VPN technology allows the environmental advantage of public Internet

networks to build their own network security With these advantages in terms

of cost, scope is not limited flexibility in the deployment and expansion, VPN

is a technology that promises a huge potential market

This project has deep understanding of technical issues and implementation model of IP-VPN technology In particular, the tunnel is the foundation of the IP-VPN, the scope of this project presented the tunnel protocols: PPTP, L2TP and IPSec PPTP and L2TP tunneling protocols are being developed based on PPP Two standard protocols are completed and the products they support are relatively common

For applications requiring higher data security, the IPSec protocol is

appropriate IPSec supports authentication methods and the strongest

encryption, with high flexibility by not being bound by an authentication method as well as passwords This is considered the optimal protocol for IP-VPN and is explored in detail the most

Chương 1 Bộ giao thức TCP/IP

1.1 Khái niệm mạng Internet

Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA)

đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP, nhưng sau đó được thay thế bởi bộ giao thức TCP/IP Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng

Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụng giao thức IP” Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn

có thể kết nối vào Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet Internet không chỉ là một tập hợp các mạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng được liên kết với nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép các máy tính liên lạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà chúng không được đấu nối trực tiếp tới Như vây, kỹ thuật Internet che dấu chi tiết phần cứng của mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với những liên kết mạng vật lý của chúng

TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến:

- Độc lập với kiến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN

- Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệ điều hành nào Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng như phần mềm khác nhau

- Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác định duy nhất Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ của máy đích cũng như địa chỉ của máy nguồn.

- Khung Client - Server: TCP/IP là khung cho những ứng dụng client - server mạnh hoạt động trên mạng cục bộ và mạng diện rộng

- Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trình phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều phương thức mức ứng dụng (những giao thức thực hiện các chức năng dùng như E-mail, truyền nhận file) [1]

1.2 Mô hình phân lớp bộ giao thức TCP/IP

Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khác nhau, không chỉ có các giao thức TCP và IP Mỗi lớp có chức năng riêng Mô hình TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) như sau:

Hình 1.1 Mô hình phân lớp bộ giao thức TCP/IP

 Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng

cụ thể Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI Nó gồm các giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng như SMTP, FTP, TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng

các giao thức ở lớp vận chuyển để truyền và nhận dữ liệu Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển để xử lý trước khi chuyển xuống lớp Internet để tìm đường đi.

 Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không

bị lỗi và đúng theo trật tự Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao thức dữ liệu đồ người sử dụng UDP

 Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phần cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc vật lý khác nhau Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói (Hỗ trợ giao thức liên IP - khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng LAN) Các giao thức của lớp này là IP, ICMP, ARP, RARP

 Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng vật lý Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành và các card giao diện mạng tương ứng trong máy tính Lớp này thực hiện nhiệm vụ điều khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý với cáp hoặc với bất kỳ môi trường nào được sử dụng Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng vật lý Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giao thức chuẩn và độc quyền Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async, ATM, SNA [1]…

1.3 Các giao thức trong mô hình TCP/IP

1.3.1 Giao thức Internet

1.3.1.1 Giới thiệu chung

Mục đích của giao thức Internet là chuyển thông tin từ nguồn tới đích

IP sử dụng các gói tin dữ liệu đồ (datagram) Mỗi datagram có chứa địa chỉ đích và IP sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp Các gói tin của cùng một cặp người sử dụng dùng những

tuyến thông tin khác nhau, việc định tuyến là riêng biệt đối với từng gói tin Giao thức IP không lưu giữ trạng thái, sau khi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó nữa, vì thế mà không có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới trình trạng lặp gói và sai thứ tự gói tin.

Hình 1.2 Định tuyến khi sử dụng IP Datagram

Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là không cần thiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử

lí độc lập IP không kiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của gói là được kiểm tra để tránh gửi nhầm địa chỉ Các gói tin có thể đi được theo nhiều hướng khác nhau để tới đích Vì vậy dữ liệu trong IP datagram không được đảm bảo Để xử lý nhược điểm mất hoặc lặp gói IP phải dựa vào giao thức lớp cao hơn để truyền tin cậy (ví dụ TCP) [1]

Hình 1.3 Giao thức kết nối vô hướng

Data Data Data

Data Data Data Sender 2

1.3.1.2 Cấu trúc IPv4

Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP Tiêu đề này có chiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng lựa chon được sử dụng Cấu trúc gói IPv4 được mô tả như trong hình 1.4

Hình 1.4 Cấu trúc gói tin IPv4

Giải thích ý nghĩa các trường:

* Version (phiên bản): chỉ ra phiên bản của giao thức IP dùng để tạo datagram, được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống nhất về định dạng lược đồ dữ liệu Ở đây phiên bản là IPv4

* IP header length (độ dài tiêu đề IP): cung cấp thông tin về độ dài của tiêu đề datagram được tính theo các từ 32 bit

* Type of service (loại dịch vụ): trường loại phục vụ dài 8 bit gồm 2 phần, trường ưu tiên và kiểu phục vụ Trường ưu tiên gồm 3 bit dùng để gán mức ưu tiên cho datagram, cung cấp cơ chế cho phép điều khiển các gói tin qua mạng Các bit còn lại dùng để xác định kiểu lưu lượng datagram tin khi

nó chuyển qua mạng như đặc tính thông, độ trễ và độ tin cậy Tuy nhiên, bản thân mạng Internet không đảm bảo chất lượng dịch vụ, vì vậy trường này chỉ mạng tính yêu cầu chứ không mang tính đòi hỏi đối với các bộ định tuyến

* Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác định chiều dài của toàn bộ IP datagram

* Identification (nhận dạng): trường nhận dạng dài 16 bit Trường này được máy chủ dùng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin Các bộ định tuyến sẽ chia nhỏ các datagram nếu như đơn vị truyền tin lớn nhất của gói tin (MTU-Maximum Transmission Unit) lớn hơn MTU của môi trường truyền.

* Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân đoạn, bít đầu tiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép phân đoạn gói tin, 2 bit giá trị thấp được sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để xác định được gói tin nhận sau quá trình phân đoạn

* Fragment offset: mạng thông tin về số lần chia một gói tin, kích thước của gói tin phụ thuộc vào mạng cơ sở truyền tin, tức là độ dài gói tin không thể vượt quá MTU của môi trường truyền

* Time - to - live (thời gian sống): được dùng để ngăn việc các gói tin lặp vòng trên mạng Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các gói tin đi quá lâu trong mạng Bất kì gói tin nào có thời gian sống bằng 0 thì gói tin đó sẽ bị bộ định tuyến hủy bỏ và thông báo lỗi sẽ được gửi về trạm phát gói tin

* Protocol (giao thức): trường này được dùng để xác nhận giao thức tầng

kế tiếp mức cao hơn đang sử dụng dịch vụ IP dưới dạng con số

* Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được tính toán trong tất cả các trường của tiêu đề IPv4 Một gói tin khi đi qua các

bộ định tuyến thì các trường trong phần tiêu đề có thể bị thay đổi, vì vậy trường này cần phải được tính toán và cập nhập lại để đảm bảo độ tin cậy của thông tin định tuyến

* Source Address - Destination Address (địa chỉ nguồn và địa chỉ đích): được các bộ định tuyến và các gateway sử dụng để định tuyến các đơn vị số liệu, luôn luôn đi cùng với gói tin từ nguồn tới đích

* Option and Padding (tùy chọn và đệm): có độ dài thay đổi, dùng để thêm thông tin chọn và chèn đầy đảm bảo số liệu bắt đầu trong phạm vi 32 bit [2].

1.3.1.3 Phân mảnh IP và hợp nhất dữ liệu

Giao thức IP khi thực hiện phải luôn có các thuật toán phân chia và hợp nhất dữ liệu Vì mỗi datagram đều được quy định một kích thước khung cho phép tối đa trên một kết nối điểm - điểm, được gọi là MTU Khi đi qua các mạng khác nhau có các MTU khác nhau, gói sẽ bị phân chia tùy theo giá trị MTU của mạng đó Việc xác định MTU của một mạng phụ thuộc vào các đặc điểm của mạng sao cho gói được truyền đi với tốc độ cao nhất

Trong quá trình di chuyển từ nguồn tới đích, một datagram có thể đi qua nhiều mạng khác nhau Mỗi Router mở gói IP datagram từ khung dữ liệu nó nhận được, xử lý và sau đó đóng gói nó trong một khung dữ liệu khác Các datagram hình thành sau khi phân chia sẻ được đánh số thứ tự để tiện lợi cho qua trình hợp nhất sau này Định dạng và kích cỡ của khung dữ liệu nhận được phụ thuộc vào giao thức của mạng vật lý mà khung dữ liệu đi qua Nếu

IP cần chuyển datagram có kích cỡ lớn hơn MTU thì nó gửi datagram trong các mảnh (fragment), các mảnh này sẽ được ghép lại ở đầu thu để trở lại trạng thái ban đầu Hình 1.5 minh họa hiện tượng phân mảnh

Hình 1.5 Hiện tượng phân mảnh trong IP

Khi phân mảnh, hầu hết các trường sẽ được lặp lại, chỉ có một vài thay đổi và mỗi mảnh sẽ lại được tiếp tục bị chia nhỏ nếu nó gặp phải mạng có MTU nhỏ hơn kích thước của nó Chỉ có host đích là có khả năng ghép các mảnh lại với nhau Vì mỗi mảnh được xử lý độc lập nên có thể đi qua nhiều mạng và node khác nhau để tới đích.

1.3.1.4 Địa chỉ và định tuyến IP

Địa chỉ: Mỗi trạm trong mạng đều được đặc trưng bởi một số hiệu nhất

định gọi là địa chỉ IP Địa chỉ IP được sử dụng trong lớp mạng để định tuyến các gói tin qua mạng Do tổ chức và độ lớn của các mạng con trong liên mạng khác nhau, nên người ta chia địa chỉ IP thành các lớp A, B, C, D, E

mạng chuyển gói chỉ ra tiến trình lựa chọn tuyến đường để gửi gói dữ liệu qua

hệ thống đó Router chính là thành phần thực hiện chức năng bộ định tuyến Việc định tuyến sẽ tạo nên mạng ảo bao gồm nhiều mạng vật lý cung cấp dịch

vụ phát chuyển gói tin theo một phương thức phi kết nối Có nhiều giao thức

và phần mềm khác nhau được sử dụng để định tuyến Việc chọn kênh cho một gói tin dựa trên hai tiêu chuẩn: trạng thái của các nút và liên kết hoặc

khi tiêu chuẩn khoảng cách được chọn thì các tham số khác như: độ trễ, băng thông hoặc xác suất mất gói… được tính đến khi lựa chọn tuyến [2].

1.3.1.5 Cấu trúc gói tin IPv6

Thế giới đang đối mặt với việc thiếu địa chỉ IP cho các thiết bị mạng, địa chỉ dài 32 bit không đáp ứng được sự bùng nổ của mạng Thêm nữa, IPv4 là giao thức cũ, không đáp ứng được các yêu cầu mới về bảo mật, sự linh hoạt trong định tuyến và hỗ trợ lưu lượng Diễn đàn IPv6 được bắt đầu vào tháng 7-1999 bởi 50 nhà cung cấp Internet hàng đầu với mục đích phát triển giao thức IPv6, nó được thiết kế bao gồm các chức năng và định dạng mở rộng hơn IPv4 để giải quyết vấn đề cải thiện chất lượng và bảo mật của Internet IPv6 đặc biệt quan trong khi các thiết bị tính toán di động tiếp tục tham gia vào Internet trong tương lai

Do sự thay đổi bản chất của Internet và mạng thương mại mà giao thức liên mạng IP trở nên lỗi thời Trước đây, Internet và hầu hết mạng TCP cung cấp sự hỗ trợ các ứng dụng phân tán khá đơn giản như truyền file, mail, truy nhập từ xa TELNET Song ngày nay, Internet ngày càng trở thành phương tiện, môi trường giàu tính ứng dụng, dẫn đầu là dịch vụ www Tất cả sự phát triển này đã bỏ xa khả năng đáp ứng chức năng và dịch vụ của IP Một môi trường liên mạng cần phải hỗ trợ lưu lượng thời gian thực, kế hoạch điều khiển tắc nghẽn linh hoạt và các đặc điểm bảo mật mà IPv4 hiện không đáp ứng được đầy đủ Hình 1.7 minh họa cấu trúc gói tin IPv6

Hình 1.7 Cấu trúc tiêu đề IPv6

* Version (phiên bản): chỉ ra phiên bản IPv6

* Traffic Class (lớp lưu lượng): có độ dài 8 bit, được dùng cho việc phân biệt lưu lượng, từ đó ảnh hưởng đến khả năng ưu tiên của lưu lượng.

* Flow Label (nhãn luồng): có độ dài 20 bit, cho phép nguồn chỉ ra loại thông tin trong dữ liệu để xác định cách xử lý đặc biệt từ nguồn tới đích theo thứ tự gói Ví dụ như: thoại, khung video hai loại này sẽ được ưu tiên hơn so với dữ liệu máy tính thông thường khi qua gateway trung chuyển trong quá trinh gói tin chuyển trên mạng

* Payload Length (độ dài tải tin): có độ dài 16 bit, xác định độ dài của phần tải tin phía sau header Giá trị mặc định tối đa là 64K octet, song có thể

sử dụng lớn hơn bằng cách lập trường này bằng 0 và bao gồm trường mở rộng với giá trị thực nằm trong trường mở rộng này Thông tin mở rộng được mang trong các header mở rộng tách biệt riêng Chúng nằm sau trường địa chỉ đích

và hiện nay đã có một số header loại này được định nghĩa Mỗi loại được phân biệt bằng các giá trị khác nhau trong trường header

* Hop Limit (giới hạn bước nhảy): có độ dài 8 bit, được dùng để ngăn việc datagram liên tục xoay vòng trở lại Giá trị này giảm mỗi khi datagram đi qua một router và nếu nó có giá trị bằng 0 trước khi tới được đích chỉ định thì datagram này sẽ bị hủy

* Source Address và Destination Address (địa chỉ nguồn và địa chỉ đích): trường địa chỉ nguồn và địa chỉ đích trong IPv6 có độ dài 128 bit, sử dụng hệ

16 (hecxa), ngăn cách bằng dấu hai chấm [3]

Những đặc điểm của IPv6

+ Mở rộng không gian địa chỉ cho phép phân cấp và giải quyết được sự thiếu địa chỉ Với IPv6 có 2128 địa chỉ (khoảng 3,4x1038 địa chỉ)

+ Hiệu quả hơn trong việc định tuyến: việc đăng ký địa chỉ IPv6 được thiết kế để kích cỡ của bảng định tuyến đường trục không vượt quá giá trị 10.000 trong khi kích cỡ bảng định tuyến của IPv4 thường lớn hơn 100.000 bản ghi

+ Tiêu đề nhỏ hơn so với các mở rộng tùy chọn, vì vậy một số trường bị loại bỏ hoặc thay bằng tùy chọn nên làm giảm gánh nặng cho các quá trình xử

lý và giảm chi phí cho băng thông

+ Tăng cường chất lượng dịch vụ

+ Xây dựng sẵn cơ chế truyền tin an toàn

UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo

độ tin cậy như IP UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích hay không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để xác định mức độ truyền thông tin giữa hai máy Chính

vì vậy, một chương trình ứng dụng sử dụng giao thức UDP chấp nhận hoàn toàn trách nhiệm cho vấn đề xử lý độ tin cậy Cấu trúc tiêu đề của UDP được

mô tả như trong hình 1.8

Hình 1.8 Cấu trúc tiêu đề UDP

Các trường cổng nguồn và cổng đích chứa các giá trị 16 bit dùng cho cổng giao thức UDP được sử dụng để tách các gói tin trong tiến trình đang đợi để nhận chúng Cổng nguồn là trường dữ liệu tùy chọn Khi sử dụng, nó

xác định cổng đáp xác nhận sẽ được gửi đến Nếu không được dùng, nó có giá trị zero Trường độ dài chứa độ dài của UDP tính theo octet, bao gồm cả phần đầu UDP và dữ liệu người sử dụng Trường tổng kiểm tra là vùng tùy chọn, cho phép việc cài đặt được thực hiện với ít bước tính toán hơn khi sử dụng UDP trên mạng cục bộ có độ tin cậy cao Tổng kiểm tra trong UDP cung cấp cách duy nhất để đảm bảo rằng dữ liệu nhận được nguyên vẹn và nên được sử dụng thường xuyên Nếu giá trị của tổng kiểm tra bằng zero thì có nghĩa là trường tổng kiểm tra chưa được tính và thường được thể hiện bằng cách cài đặt toàn bộ các bit 1, tránh với trường hợp sau khi chạy thuật toán tổng kiểm tra cũng có thể sinh ra kết quả là các bit được lập bằng 0 và giá trị của trường tổng kiểm tra cũng được xem bằng zero UDP sử dụng phương pháp gán phần đàu giả vào gói tin UDP, thêm vào đó một octet có giá trị zero để có được đúng bội số của 16 bit và tính tổng cho toàn bộ Octet được nối vào phần đầu giả sẽ không được truyền đi cùng với gói tin UDP và chúng không được tính đến trong phần độ dài.

1.3.2.2 Giao thức TCP

Giao thức TCP cung cấp dịch vụ truyền thông dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển dòng tin cậy TCP cung cấp một mạch ảo, còn được gọi là kết nối Nó cấp khả năng đứt quảng, kiểm tra lỗi và điều khiển luồng

a) Cấu trúc tiêu đề TCP

Hình 1.9 Cấu trúc tiêu đề TCP

Giải thích ý nghĩa các trường:

* Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị

TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ

để gửi dữ liệu đến chương trình ứng với số cổng đó Song với TCP, giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không tương ứng với một đối tượng đơn Thay vì vậy, TCP được xây dựng trên kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo, không phải từng cổng Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3

* Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte dữ liệu trong segment của nơi gửi

* Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang đợi để nhận kế tiếp Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu ngược lại với segment đến

* Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của phần đầu segment, được tính theo bội số của 32 bit Giá trị này là cần thiết vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào

* Unused (dự phòng): được dành riêng để sử dụng trong tương lai

* Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit Ví

dụ segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để thiết lập hoặc ngắt nối

* Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đêm cho quá trình truyền

* Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến cho dù nó nằm ở đâu trong vùng dữ liệu Sau khi xử lý xong dữ liệu

khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạng thái thông thường.

Đơn vị truyền giữa hai phần mềm TCP trên hai máy được gọi là segment Các segment được trao đổi để thiết lập kết nối, để truyền dữ liệu, để gửi các ACK (thông báo xác nhận đã nhận dữ liệu), để thông báo kích thước của cửa

sổ (nhằm tối ưu hóa quá trình truyền và nhận dữ liệu) và để ngắt kết nối [1]

b) Thiết lập và đóng một kết nối TCP

Để thiết lập một kết nối TCP sử dụng mô hình bắt tay ba bước, trong trường hợp đơn giản có thể minh họa như sau:

Hình 1.10 Thiết lập kết nối theo giao thức TCP

Gói tin khởi đầu cho kết nối được xác định bởi bit SYN trong trường dữ liệu CODE, bản tin trả lời lập giá trị cho bit SYN và ACK để chuyển ý nghĩa đồng bộ và tiếp tục tiến trình bắt tay Bản tin cuối cùng chỉ có ý nghĩa như một lời đáp và chỉ để đơn giản dùng để thông báo cho đích rằng cả hai bên cùng đồng ý một kết nối đã được thiết lập

Tiến trình bắt tay ba bước là điều kiện cần và đủ để có sự đồng bộ chính xác giữa hai đầu của kết nối, thông thường các phần mềm TCP thường sử dụng phương pháp đợi thụ động để chờ kết nối, nhưng điều này không gây khó khăn trong quá trình kết nối vì các kết nối được thiết lập từ các bên độc lập với nhau Số thực tự được chọn ngẫu nhiên và độc lập với nhau cũng có

Nhận SYN Gửi SYN seq = y, ACK x+1

Nhận ACK

TCP giữ lại dữ liệu cho đên khi hoàn tất quá trình bắt tay kết nối Một khi kết nối được thiết lập, phần mêm TCP sẽ giải phóng dữ liệu trước đây và nhanh chóng chuyển chúng tời các chương trình ứng dụng cấp cao hơn.

Thủ tục đóng kết nối TCP được thực hiện theo từng chiều, (giả thiết kết nối TCP là song công) Một khi kết nối đóng lại theo chiều nào đó, TCP sẽ từ chối nhận thêm dữ liệu trong kết nối của chiều đó, trong lúc dữ liệu vẫn di chuyển theo chiều ngược lại cho đến khi nơi gửi thực hiện đóng kết nối Như vậy, lời đáp của kết nối vẫn được chuyển về nơi gửi ngay cả khi kết nối đã đóng lại, khi cả hai chiều đều đóng, phần mềm TCP tại mỗi bên xóa bỏ những ghi nhận về kết nối này

Hình 1.11 Thủ tục đóng kết nối TCP c) TCP là giao thức truyền tin cậy

Yêu cầu đối với TCP phát chuyển stream là khối dữ liệu lớn và cần độ tin cậy Các đặc trưng đối với dịch vụ phát chuyển tin cậy gồm:

- Định hướng stream: Khi hai chương trình ứng dụng (các tiến trình của người sử dụng) truyền những khối lượng lón dữ liệu được xem như một chuỗi bit, dữ liệu này được chia thành các octet Dịch vụ chuyển phát stream chuyển

dữ liệu một cách chính xác tới máy nhận

- Kết nối kênh ảo: Thực hiện việc truyền stream cũng tương tự như thực hiện một cuộc gọi điện thoại Trước khi việc truyền có thể bắt đầu, cả hai chương trình ứng dụng gửi và nhận đều phải tương tác với hệ điều hành,

Gửi ACK x+1 Gửi FIN seq=x, ACK x+1 Nhận ACK

Nhận FIN+ACK

Gửi ACK y+1

thông báo về yêu cầu thực hiện truyền stream Về mặt khái niệm, một chương trình ứng dụng sẽ thực hiện một cuộc gọi mà đầu kia chấp nhận, tức là thiết lập kết nối - hay mạch ảo để truyền và nhận dữ liệu một các chính xác.

- Việc truyền có vùng đệm: Các chương trình ứng dụng gửi một dòng dữ liệu qua mạch ảo bằng cách lặp lại việc chuyển các octet dữ liệu đến phần mềm giao thức Khi truyền dữ liệu, mỗi chương trình ứng dụng sử dụng bất

kỳ kích thước đơn vị truyền nào nó thấy thuận tiện, có thể chỉ bằng một octet Tại đầu nhận, phần mềm giao thức phát chuyển một cách tự động dữ liệu theo đúng thứ tự mà chúng được gửi đi, làm cho chúng sẵn sàng được chương trình ứng dụng nhận sử dụng ngay sau khi chúng được nhận và kiểm tra Phần mềm giao thức được tự do phân chia dòng dữ liệu thành những gói dữ liệu độc lập với đơn vị mà chương trình ứng dụng truyền đi Để làm cho việc truyền hiệu quả hơn và tối thiểu giao thông trên mạng, các cài đặt thường tập hợp cho đủ dữ liệu để đặt vào datagram có độ lớn thích hợp trước khi truyền

nó qua Internet

Như vậy ngay cả khi chương trình ứng dụng phát sinh dòng dữ liệu có kích thước là 1 octet mỗi lần thì việc truyền qua Internet vẫn hoàn toàn hiệu quả

Tương tự, nếu chương trình ứng dụng quyết định phát chuyển những khối dữ liệu cực lớn, phần mềm giao thức có thể quyết định chia khối này thành những khối nhỏ hơn khi truyền

Đối với những chương trình ứng dụng mà dữ liệu phải được phát chuyển ngay cả khi nó không đầy một vùng đệm, dịch vụ stream cung cấp cơ chế đẩy cho các chương trình ứng dụng để bắt buộc truyền

Stream không có cấu trúc: Dịch vụ TCP stream không xác định các dòng

dữ liệu có cấu trúc Nghĩa là nó không phân biệt được cấu trúc hay nội dung phân chia bên trong của dòng dữ liệu Các chương trình ứng dụng sử dụng

dịch vụ stream phải hiểu nội dung stream và thống nhất với nhau về định dạng stream trước khi khởi động việc kết nối.

Kết nối hai chiều: Các kết nối do dịch vụ TCP cấp cho phép truyền đồng thời cả hai chiều Cách kết nối này được gọi là song công Nghĩa là từ quan điểm của một tiến trình ứng dụng, kết nối 2 chiều bao gồm 2 dòng dữ liệu độc lập chạy ngược nhau, không có tương tác hay va chạm Dịch vụ stream cho phép một tiến trình ứng dụng chấm dứt dòng chảy theo một chiều trong khi

dữ liệu vẫn tiếp tục chảy theo chiều kia làm cho kết nối trở thành một chiều (half duplex) Ưu điểm chính của kết nối hai chiều là phần mềm giao thức cơ

sở có thể gửi thông tin điều khiển cho một tream ngược trở về nguồn trong những datagram đang chuyển tải dữ liệu theo chiều ngược lại Điều này làm giảm bớt giao thông trên mạng

Để thực hiện cung cấp tính tin cậy khi truyền tin, TCP sử dụng giao thức xác nhận gói tin (ACK) đã nhận được và truyền lại những gói tin bị mất hoặc

bị lỗi Bộ đếm thời gian bên gửi sẽ được kích hoạt mỗi khi gửi gói (mỗi gói được gửi sẽ được một bộ thời gian đếm từ lúc gửi) Khi qúa thời gian của bộ đếm mà chưa nhận được ACK thì mặc nhiên coi là mất gói hoặc hỏng gói và gói sẽ được gửi lại Số thứ tự gói trong tiêu đề dùng cho bên gửi và thu xác định việc mất gói và trùng lặp dữ liệu, từ đó tái truyền hay loại bỏ gói lặp cho phù hợp

d) Kỹ thuật cửa sổ trượt

Để thực hiện việc điều khiển luồng, TCP sử dụng kỹ thuật cửa sổ trượt Cửa sổ trượt có kích thước cố định hoặc có thể thay đổi được cho phép xác định số gói dữ liệu tối đa được truyền trước khi nhận được một ACK từ đích xác nhận về Kỹ thuật này giải quyết vấn đề quan trọng là tăng hiệu quả truyền dẫn và điều khiển tốc độ dòng dữ liệu [1]

Hình 1.12 Cơ chế cửa sổ trượt với kích thước cố định

1.4 Tổng kết

Chương 1 trình bày sơ lược về bộ giao thức TCP/IP, giới thiệu chức năng

cơ bản của các lớp trong mô hình phân lớp của nó Do phạm vi của đề tài nên chỉ tập trung đi sâu về giao thức IP của lớp Internet và giao thức TCP/UDP của lớp giao vận

Đối với giao thức IP, ở đây chỉ trình bày các vấn đề địa chỉ, định tuyến, phân mảnh và hợp nhất dữ liệu, cấu trúc gói tin IPv4 và IPv6 Đây là những vấn đề cơ bản của giao thức IP và nó được sử dụng trong nội dung của các chương tiếp theo của đồ án Đặc biệt trong phần này là đi tìm hiểu sâu về cấu trúc gói tin IPv4, IPv6 và các đặc điểm khác biệt của gói tin IPv6 so với gói tin IPv4 Chú ý quan trọng rằng ở gói tin IPv6 đã bổ sung những chức năng

an toàn

Chương 2 Công nghệ mạng riêng ảo trên internet

2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN

2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet

Như ta đã biết, các mạng riêng thường được định nghĩa là các phương tiện nối mạng không chia sẻ để kết hợp các máy trạm (host) và các client trực thuộc cùng một thực thể quản lí Đặc tính của mạng riêng là hỗ trợ truyền thông giữa những người dùng được phép, cho phép họ truy nhập tới các dịch

vụ và tài nguyên liên kết mạng khác nhau Lưu lượng từ nguồn và đầu cuối trong mạng riêng chỉ di chuyển dọc theo những node có mặt trong mạng riêng Thêm vào đó là sự cách li lưu lượng Điều này có nghĩa là lưu lượng tương ứng với mạng riêng không ảnh hưởng và không bị ảnh hưởng bởi lưu lượng từ ngoài IP-VPN kết hợp 2 khái niệm: nối mạng ảo và nối mạng riêng Trong một mạng ảo, các nút mạng ở xa nhau và phân tán có thể tương tác với nhau theo cách mà chúng thường thực hiện trong một mạng, trong đó các nút đặt tại cùng một vị trí địa lí Cấu hình topo của mạng ảo độc lập với cấu hình vật lí của các phương tiện sử dụng nó Một người sử dụng bình thường của một mạng ảo không biết sự thiết lập mạng vật lí, sẽ chỉ có thể nhận biết được cấu hình topo ảo Cấu hình của mạng ảo được xây dựng dựa trên sự chia sẻ của cơ sở hạ tầng mạng vật lí đã tồn tại Tuy nhiên, cấu hình mạng ảo và mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau

Chúng ta có thể đinh nghĩa IP-VPN như sau: Mạng riêng ảo trên nền

Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh Các thuộc tính của IP-VPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa các máy trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả thuận mức dịch vụ và chất lượng dịch vụ cho tất cả các thực thể thông qua môi trường Internet [5].

2.1.2 Khả năng ứng dụng của IP-VPN

Mạng riêng ảo có một ý nghĩa rất lớn đối với các tổ chức hoạt động phân tán tại nhiều vùng địa lí khác nhau, nhân viên làm việc luôn di chuyển, hệ thống khách hàng và đối tác kinh doanh rộng lớn… Nó là giải pháp thực hiện truyền thông an toàn trên nền mạng công cộng Điều này cho phép các tổ chức có thể tiết kiệm đáng kể chi phí so với phương thức thuê kênh riêng Mặt khác VPN còn đảm bảo cho sự an toàn số liệu trong quá trình truyền thông và khả năng mở rộng hoạt động rộng lớn ngay cả tại những vùng địa lí phức tạp

2.2 Các khối cơ bản trong mạng IP-VPN

Các khối cơ bản của VPN bao gồm: điều khiển truy nhập, Nhận thực, An ninh, Truyền Tunnel, Các thoả thuận mức dịch vụ

2.2.1 Điều khiển truy nhập

Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu được định nghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập đến các tài nguyên nối mạng riêng cho các phía được trao quyền Các cơ chế

AC hoạt động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực Trong thế giới IP-VPN, các thực thể vật lí như các máy trạm

ở xa, tường lửa và cổng IP-VPN trong các mạng thuộc hãng tham dự vào phiên thông tin thường chịu trách nhiệm (hay ít nhất chỉ trách nhiệm) cho quá trình tham dự đảm bảo trạng thái kết nối IP-VPN

Thí dụ các quyết định bao gồm: khởi đầu, Cho phép, Tiếp tục, Từ chối, Kết thúc

Mục đích chính của IP-VPN là cho phép truy nhập có đảm bảo an ninh

và có chọn lựa đến các tài nguyên nối mạng từ xa Nếu chỉ có an ninh và nhận thực mà không có AC, IP-VPN chỉ bảo vệ tính toàn vẹn, tính bí mật của lưu lượng được truyền và ngăn cản các người sử dụng vô danh sử dụng mạng, nhưng không quản lí truy nhập các tài nguyên nối mạng AC thường phụ

chỉ cũng như các quy tắc định nghĩa AC Chẳng hạn một số IP-VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển IP-VPN khác đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay có thể cổng IP-VPN quản lí địa phương trong các mạng liên quan đến thông tin IP-VPN [5].

2.2.2 Nhận thực

Một trong các chức năng quan trọng nhất được IP-VPN hỗ trợ là nhận thực Trong nối mạng riêng ảo, mọi thực thể liên quan đến thông tin phải có thể tự nhận dạng mình với các đối tác liên quan khác và ngược lại Nhận thực

là một quá trình cho phép các thực thể thông tin kiểm tra các nhận dạng như vậy Một trong các phương pháp nhận thực phổ biến được sử dụng rộng rãi hiện nay là PKI Phương pháp này được gọi là nhận thực dựa trên chứng nhận, và các bên tham dự thông tin nhận thực lẫn nhau bằng cách trao đổi các chứng nhận của chúng Các chứng nhận này được đảm bảo bởi quan hệ tin tưởng với một bộ phận thẩm quyền chứng nhận

Quá trình nhận thực có thể liên quan đến việc cung cấp thông tin nhận thực dựa trên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu lệnh/ trả lời của CHAP cho người nhận thực, hay như NAS (Network Access Server) để nó tra cứu một file địa phương hay yêu cầu server [5]

2.2.3 An ninh

Theo định nghĩa thì VPN được xây dựng trên các phương tiện công cộng dùng chung không an toàn, vì thế tính toàn vẹn và mật mã hoá là yều cầu nhất thiết Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật mã hoá đã có hay cơ chế mật mã hoá kết hợp với các hệ thống phân bố khóa an ninh Tuy nhiên cần nhắc lại rằng an ninh không chỉ là mật mã hoá lưu lượng VPN Nó cũng liên quan đến các thủ tục phức tạp của nhà khai thác và các hạng cung cấp nó Và khi VPN dựa trên mạng, cần thiết lập quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hành VPN yêu cầu thỏa thuận và triển khai cơ chế an ninh tương ứng Chẳng hạn, có thể truy nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS

thông qua IPSec khi chúng truyền trên cơ sở hạ tầng mạng chung Ngoài AAA server có thể trực thuộc một mạng không ở trong VPN để cách ly lưu lựong AAA với lưu lượng người sử dụng [5].

2.2.4 Truyền Tunnel nền tảng IP-VPN

Truyền Tunnel là công nghệ quan trọng duy nhất để xây dựng IP-VPN Truyền Tunnel bao gồm đóng bao một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel Kết quả là nội dung được đóng bao trong Tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơi các gói được truyền Các vấn đề cụ thể về công nghệ Tunnel được trình bày trong các phần sau

Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được trình bày trong hình 2.1 sau đây Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router Nếu router C đóng gói đến từ máy A và cổng Y mở bao gói, thì các nút khác mà gói này đi qua

sẽ không nhận biết được gói đóng bao “bên ngoài” này và sẽ không thể biết được phần tải tin cũng như địa chỉ điểm nhận cuối cùng của nó Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ được nhận biết bởi 2 nút mạng này và các máy A, Z là nơi khởi đầu và kết thúc cuối lưu lượng Điều này tạo ra một Tunnel một cách hiệu quả để qua đó qua đó các gói được truyền tải với mức an ninh mong muốn [5]

Hình 2.1 Truyền Tunnel trong nối mạng riêng ảo

2.2.5 Các thỏa thuận mức dịch vụ

Các thực thể tham dự vào nối mạng ảo như các ISP, các hãng vô tuyến,

các mức dịch vụ yêu cầu cũng như các lợi nhuận mong muốn đối với các dịch

vụ được cung cấp Các thỏa thuận này được dự thảo giữa các bên quan tâm

và các đối tác của họ để định nghĩa các mức cho phép định lượng và đánh giá dịch vụ được gọi là các SLA Các SLA đã được sử dụng ở nhiều dạng Tuy nhiên chúng đặc biệt quan trọng đối với các mạng ảo dựa trên cơ sở hạ tầng dùng chung

Dưới đây là các nhân tố ảnh hưởng khi xem xét đến SLA cho VPN:

2.3 Phân loại mạng riêng ảo theo kiến trúc

Ở đây chúng ta sẽ đi phân loại IP-VPN theo kiến trúc của nó Các kiến trúc của IP-VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP-VPN (còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ

xa Các Site-to-Site bao gồm các phương án như: Extranet IP-VPN và Intranet IP-VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế

để giải quyết các tập vấn đề khác nhau IP-VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến trúc chính

2.3.1 IP-VPN truy nhập từ xa

Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình IP-VPN truy nhập từ xa Truy nhập IP-VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tới người sử dụng của họ thông qua chia sẻ cơ sở

hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám sát được tất cả những người dùng Truy nhập từ xa là phương thức đầu tiên sử dụng VPN

Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng nhánh và những đối tác thương mại Cấu trúc IP-VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN, dial, tương tự, Mobile IP, DSL và điện thoại cáp Cấu trúc IP-VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet.

Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạng quản lí riêng sang dạng IP-VPN truy nhập từ xa dưới đây:

+ Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet

+ Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành

IP-+ Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của IP-VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho

cơ sở hạ tầng

+ Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn

Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập

từ xa vẫn gặp phải khó khăn sau:

+ Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng

+ Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn 400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thức đường ngầm cần có thời gian để xử lí dữ liệu.

+ Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về

số lượng phải đợi nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này có thể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm Người dùng có thể cần đến chu kì thiết lập kết nối nếu họ cảm thấy lâu

Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn

bộ quốc gia và thậm chí là triển khai quốc tế các POP quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm đi, tất cả

các lo lắng về thủ tục quay số có thể được nhà cung cấp dịch vụ Internet (ISP)

và nhà cung cấp truy nhập gánh chịu Các IP-VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý Trong một kịch bản truy nhập từ xa quay số sử dụng phương tiện của hãng khác, người sử dụng quay số đế các POP địa phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nối PPP Sau khi người sử dụng đã được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập theo cách bắt buộc một Tunnel đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ở hình 2.2 Công nghệ truyền Tunnel được lựa chọn cho IP-VPN truy nhập quay số theo phương tiện của hãng khác là L2TP

Hình 2.2 IP-VPN truy nhập từ xa

2.3.2 Site-to-Site IP-VPN

Site-to-Site IP-VPN (hay còn được gọi là LAN-to-LAN) được sử dụng

để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm

2.3.2.1 Intranet IP-VPN

Một tổ chức có thể dùng IP-VPN không chỉ để kết nối các site trực thuộc

tổ chức mà còn để kết nối trong miền quản lí của mình như là các văn phòng

từ xa hoặc là các văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạ tầng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng IP-VPN thì sẽ có những ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng mở rộng site mới, và vấn

đề an toàn dữ liệu được đảm bảo hơn Với khả năng này, Intranet IP-VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các Router [6]

Hình 2.3 Intranet IP-VPN 2.3.2.2 Extranet IP-VPN

Extranet IP-VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác với các văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ, các nguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thông tin Các thực thể này thường được gọi là các mạng đối tác

Để hỗ trợ các thông tin này, các Tunnel IP-VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể riêng khác nhau Các chức năng IP-VPN như điều khiển truy nhập, nhận thực và các dịch vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần thiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vì thế IP-VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet [6]

Hình 2.4 Extranet IP-VPN

2.4 Các giao thức đường ngầm trong IP-VPN

Như đã trình bày trong phần trên, các giao thức đường ngầm là nền tảng của công nghệ VPN Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với phần header (và có thể có phần trailer) tương ứng để truyền qua Internet

Có nhiều giao thức đường ngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật mã được dùng Có 4 giao thức đường ngầm trong IP-VPN như sau:PPTP, L2F, L2TP, IPSec

Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F PPTP là giao thức do nhiều công ty hợp tác phát triển L2F là do Cisco phát triển độc lập PPTP và L2F đều được phát triển dựa trên giao thức PPP PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng

IP và hỗ trợ đa giao thức lớp trên Trên cơ sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F

Trong các giao thức đường ngầm nói trên, IPSec là giải pháp tối ưu về mặt an toàn dữ liệu IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất Ngoài ra, IPSec còn có tính linh hoạt cao không bị ràng buộc bởi bất cứ thuật toán xác thực, mật mã nào, đồng thời có thể sử dụng IPSec cùng với các giao thức đường ngầm khác để làm tăng tính an toàn cho hệ thống

Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm khác về khả năng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm Thứ nhất, IPSec là một khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các nhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều Thứ hai, để tận dụng khả năng đảm bảo an toàn dữ liệu của IPSec thì cần phải

sử dụng một cơ sở hạ tầng khóa công khai PKI phức tạp để giải quyết vấn đề như chứng thực số hay chữ ký số

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên các sản phẩm hỗ trợ chúng tương đối phổ biến PPTP có thể triển khai với một hệ thống mật khẩu đơn giản mà không cần sử dụng PKI Ngoài

ra PPTP và L2TP còn có một số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên Vì vậy, trong khi IPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi Cụ thể PPTP và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa

Trong phần này chúng ta sẽ đi tìm hiểu 2 giao thức đường ngầm là PPTP

và L2TP Với giao thức đường ngầm IPSec sẽ được đề cập trong chương 3

2.4.1 PPTP (Point - to - Point Tunneling Protocol)

PPTP đóng gói các khung dữ liệu của giao thức PPP vào các IP datagram

để truyền qua mạng IP PPTP dùng một kết nối TCP để khởi tạo, duy trì, kết thúc đường ngầm; một phiên bản của giao thức GRE để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP) PPTP client có thể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng để thiết lập kết nối IP

Việc xác thực trong quá trình thiết lập kết nối IP-VPN trên giao thức PPTP sử dụng các cơ chế xác thực của kết nối PPP, ví dụ EAP (Extensible Authentication Protocol: giao thức nhận thực mở rộng), CHAP (Challenge - Handshake Authentication Protocol: giao thức nhận thực đòi hỏi bắt tay), PAP (Password Authentication Protocol: giao thức nhận thực khẩu lệnh) PPTP cũng thừa hưởng việc mật mã và nén phần tải tin của PPP [5]

2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP

Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP server Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header, trailer của lớp đường truyền dữ liệu.

Data link

Hình 2.5 Gói dữ liệu của kết nối điều khiển PPTP 2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP

a) Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói

thông qua nhiều mức Hình 2.6 là cấu trúc dữ liệu đã được đóng gói

Data lik

header

IP header

GRE Header

PPP header

Encrypted ppp payload

Data link trailer

Hình 2.6 Dữ liệu đường ngầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu

đề PPP để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu

đề của phiên bản sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyến chung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP

Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số cuộc gọi 16 bit Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trong quá trình khởi tạo đường ngầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

b) Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE

Header sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho PPTP client và PPTP server

c) Đóng gói lớp liên kết dữ liệu: để có thể truyền qua mạng LAN hoặc

lớp liên kết dữ liệu ở giao diện vật lý đầu ra Ví dụ, nếu IP datagram được gửi qua giao diện Ethernet, nó sẽ được gói với phần Header và Trailer Ethernet Nếu IP datagram được gửi qua đường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần Header

và Trailer của giao thức PPP [5]

2.4.1.3 Xử lí dữ liệu đường ngầm PPTP

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server

sẽ thực hiện các bước sau:

* Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu

* Xử lý và loại bỏ IP Header

* Xử lý và loại bỏ GRE Header và PPP Header

* Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết)

* Xử lý phần Payload để nhận hoặc chuyển tiếp

* Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng NDIS.

* NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu, và cung cấp PPP Header Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP, không có các trường Flags và FCS Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đường truyền LCP trong quá trình kết nối PPP

* NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích hợp để xác định đường ngầm

* Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

* TCP/IP đóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS

* NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header và Trailer

* NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem)

2.4.2 L2TP

Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F L2TP được mô tả trong khuyến nghị RFC 2661

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin

Internet hoặc các mạng riêng Intranet L2TP dùng các bản tin UDP qua mạng

IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm Phần tải của khung PPP đã đóng gói có thể được mật mã, nén Tuy nhiên mật

mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP) Cũng có thể tạo kết nối L2TP không mật mã IPSec Tuy nhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mật mã Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửa lỗi các kết nối L2TP dùng IPSec

2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông qua một kết nối TCP riêng biệt Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP server đều sử dụng cổng UDP 1701)

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram UDP datagram lại được mật mã bởi IPSec ESP như trên hình 2.8

Hình 2.8 Bản tin điều khiển L2TP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP Trong bản tin điều khiển L2TP, trường Next-Received và Next-Sent được sử dụng để duy trì thực tự các bản tin điều khiển Các gói không đúng thứ tự bị loại bỏ Các trường Next-Sent và Next-Received cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm Trong bản tin điều khiển L2TP và phần tiêu đề L2TP của dữ liệu đường ngầm có một mã số

đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trong đường ngầm đó [5].

2.4.2.2 Đường ngầm dữ liệu L2TP

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói Hình 2.9 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec

Hình 2.9 Đóng bao gói tin L2TP a) Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP Header và một L2TP Trailer

b) Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP Header,

các địa chỉ cổng nguồn và đích được đặt bằng 1701

c)Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật

mã và đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer

d) Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP

nguồn và đích của IP-VPN client và IP-VPN server

e)Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường

truyền LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đóng gói với Ethernet Header và Trailer Khi các IP datagram được gửi trên đường truyền WAN điểm tới điểm, IP datagram được đóng gói với PPP Header và Trailer [5]

2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

* Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu

* Xử lý và loại bỏ IP Header

* Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header

* Dùng IPSec ESP Header để giải mã phần gói đã mật mã

* Xử lý UDP Header và gửi gói L2TP tới L2TP

* L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header

* Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp.

* NDIS đưa các gói tới NDISWAN, tại đây có thể nén và cung cấp PPP Header chỉ bao gồm trường chỉ số PPP Protocol Các trường Flag hay FCS không được thêm vào

* NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP Frame với một L2TL Header Trong L2TP Header, chỉ số đường ngầm và chỉ

số cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm

* Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server

* Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP Header thích hợp IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tin UDP của gói IP sử dụng các ESP Header và Trailer phù hợp IP Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gói ESP Giao thức TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS

* NDIS gửi số tới NDISWAN

* NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up [5]

2.5 Tổng kết

Chương này đã đưa ra khái niêm và giới thiệu chung về công nghệ VPN Đây là một công nghệ không mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trên toàn cầu thì thị trường IP-VPN sẽ rất phát triển Với các tổ chức có mạng lưới rộng khắp, sử dụng công nghệ này sẽ rất hiệu quả trong truyền thông giữa các thành viên của hãng ở các vùng địa lí khác nhau, đảm