TÌM HIỂU VỀ VPN - CÀI ĐẶT THỰC NGHIỆM MÔ HÌNH VPN EXTRANET

TÌM HIỂU VỀ VPN - CÀI ĐẶT THỰC NGHIỆM MÔ HÌNH VPN EXTRANET

TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN

BỘ MÔN CÔNG NGHỆ THÔNG TIN -o0o

BÁO CÁO CHUYÊN ĐỀ THỰC TẬP

LỜI CẢM ƠN

Em xin chân thành cảm ơn cô giáo Nguyễn Quỳnh Mai đã hướng dẫn em thực hiện đề tài Cô đã luôn nhắc nhở và theo sát hướng dẫn trong quá trình thực hiện đề tài Cô đã cung cấp các tài liệu và giải đáp các thắc mắc, các sai sót của em trong suốt thời gian làm đề tài Xin cám ơn cô đã nhiệt tình giúp đỡ tạo điều kiện tốt nhất cho em hoàn thành đề tài Xin chân thành cảm ơn cô

Em cũng xin chân thành gửi lời cảm ơn đến tất cả những thầy cô trong Bộ Môn Công Nghệ Thông Tin đã giúp đỡ và đóng góp ý kiến cho em trong suốt quá trình thực hiện đề tài

Do phạm vi đề tài, phạm vi kiến thức khá lớn được thực hiện trong thời gian có hạn nên đề tài không thể tránh được thiếu sót Kính mong các thầy cô giáo cùng các bạn đóng góp ý kiến để đề tài được hoàn thiện hơn.

Em xin chân thành cảm ơn!

Hà nội, ngày… tháng… năm 2011

Sinh viên Trịnh Hoàng Hiệp

MỤC LỤC

DANH MỤC HÌNH MINH HỌA

DANH SÁCH TỪ VIẾT TẮT

Từ viết tắt Từ tiếng Anh

AS Autonomous system

ATM Asynchronous Transfer Mode

BGP Border Gateway Protocol

B-ISDN Broadband Integrated Services Digital Network

CEF Cisco Express Forwarding

CIDR Classless Interdomain Routing

CLP Cell Loss Priority

CPE Customer Premise Equipment

CSR Cell switch router

DLCI data link connection identifier

DoS Denial of Service

eBGP External Border Gateway Protocol

EGP Exterior Gateway Protocol

EIGRP Enhanced Interior Gateway Routing Protocol

FEC Fowarding Equivalent Class

FIB Forwarding Information Base

GFC Generic Flow Control

HDLC High Level Data Link Control

HEC Header error check

iBGP Internal Border Gateway Protocol

ICMP Internet Control Message Protocol

IGP Interior Gateway Protocol

IP Internet Protocol

IPSec Internet protocol security

ISDN Integrated Services Digital Network

ISP Internet Service Providers

LDP Label Distribute Protocol

LERs Label Edge Router

LFIB Label Forwarding Information Base

LIB Label Information Base

LSP Label Switched Path

LSRs Label Switch Router

MED Media Endpoint Discovery

MP-BGP Multiprotocol BGP

MPLS Multiprotocol Label Switching

MTU Maximum Transmission Unit

NBMA Non-Broadcast Multiple Access

NGN Next Generation Network

OSI Open Systems Interconnection

OSPF Open Shortest Path First

PPP Point to Point Protocol

PVC permanent virtual circuit

QoS Quality of service

RD Route Distinguisher

RIB Routing Information Base

SP Service Provider

SDN Software Defined Networks

SVC Switch virtual circuit

TCP Transport Control Protocol

TTL Time To Live

UDP User Datagrame Protocol

VC Virtual channel

VCI Virtual Channel Identifier

VLSM Variable Length Subnet Mask

VPI Virtual Path Identifier

VPDN Virtual private dial-up network

VPN Virtual Private Network

VRF Virtual Routing and Forwarding Table

CHƯƠNG I: TỔNG QUAN VỀ CÔNG TY

CỔ PHẦN XÂY DỰNG SỐ 2

I, Công ty CPXD Số 2:

1, Giới thiệu về công ty:

Tên Công ty : CÔNG TY CỔ PHẦN XÂY DỰNG SỐ 2 - VINACONEX

Tên Tiếng Anh : Vietnam Construction Joint Stock Company No.2

Tên viết tắt : VINACONEX 2

- Công ty CP Xây dựng số 2 tiền thân là Công ty Xây dựng Xuân Hoà được

Bộ Xây dựng thành lập tháng 4 năm 1970 Tháng 6/1995 Bộ Xây dựng quyếtđịnh sát nhập vào Tổng Công ty Vinaconex và đổi tên là Công ty Xây dựng số2

- Quyết định thành lập: Số 1284/QĐ-BXD ngày 29/09/2003 chuyển Doanhnghiệp Nhà nước Công ty Xây dựng số 2 thành Công ty Cổ phần Xây dựng số2

- Giấy chứng nhận đăng ký kinh doanh: Số 0103003086 ngày 24/10/2003; + Đăng ký thay đổi lần thứ 1 ngày 28 tháng 11 năm 2005

+ Đăng ký thay đổi lần thứ 2 ngày 14 tháng 09 năm 2007

+ Đăng ký thay đổi lần thứ 3 ngày 22 tháng 02 năm 2008

+ Đăng ký thay đổi lần thứ 4 ngày 04 tháng 04 năm 2008

+ Đăng ký thay đổi lần thứ 5 ngày 09 tháng 05 năm 2008

+ Đăng ký thay đổi lần thứ 6 ngày 29 tháng 09 năm 2009

+ Đăng ký thay đổi lần thứ 7 ngày 30 tháng 06 năm 2010

+ Đăng ký thay đổi lần thứ 8 ngày 22 tháng 11 năm 2010

- Xây dựng phát triển nhà, kinh doanh bất động sản;- Sửa chữa, thay thế, lắp đặtmáy móc thiết bị, các loại kết cấu bê tông, kết cấu thép, các hệ thống kỹ thuậtcông trình (thang máy, điều hoà, thông gió, phòng cháy, cấp thoát nước);

- Sản xuất, kinh doanh vật liệu xây dựng (cát, đá, sỏi, gạch, ngói, xi măng,cấu kiện bê tông, bê tông thương phẩm và các loại vật liệu xây dựng khácdùng trong xây dựng, trang trí nội thất);

- Tư vấn đầu tư, thực hiện các dự án đầu tư xây dựng, lập dự án, tư vấn đấuthầu, tư vấn giám sát, quản lý dự án;

- Kinh doanh xuất nhập khẩu vật tư, máy móc thiết bị, phụ tùng, tư liệu sảnxuất, tư liệu tiêu dùng, nguyên liệu sản xuất, dây chuyền công nghệ, máymóc, thiết bị tự động hoá, vật liệu xây dựng, phương tiện vận tải;

- Đại lý cho các hãng trong và ngoài nước kinh doanh các mặt hàng phục vụcho sản xuất và tiêu dùng

- Dịch vụ quản lý bất động sản, tư vấn bất động sản

II, Lịch sử hình thành và định hướng phát triển:

1, Lịch sử hình thành:

- Công ty được thành lập từ năm 1970 với tên gọi ban đầu là “Công ty Xâydựng Xuân Hoà”, sản phẩm của Công ty không chỉ tập trung ở khu vực XuânHòa mà lan rộng ra các khu vực phụ cận Thực hiện phương châm vừa sảnxuất kinh doanh vừa xây dựng cơ sở vật chất, tăng cường đội ngũ cán bộ quản

lý kỹ thuật và công nhân Đến nay, qua nhiều lần cải tiến tổ chức, Công ty đã

có cơ sở vật chất và đội ngũ cán bộ quản lý đáp ứng tốt yêu cầu hoạt động sảnxuất kinh doanh

Ngày 17/3/1984: Thực hiện Quyết định số 342 QĐ/BXD-TCCB hợp nhất

Công ty Xây dựng số 20 và Liên hợp Xây dựng nhà ở Vĩnh Phú (Nhà máy Bêtông tấm lớn Đạo Tú) đổi tên thành Liên hợp Xây dựng nhà ở tấm lớn số 2với nhiệm vụ là tham gia xây dựng nhà ở tại thủ đô Hà Nội bằng phương pháplắp ghép tấm lớn, sản phẩm của Nhà máy Bê tông Đạo Tú

Tháng 12/1989: Bộ Xây dựng ra quyết định đổi tên Xí nghiệp Liên hợp Xây

dựng nhà ở tấm lớn số 2 thành Xí nghiệp Liên hợp Xây dựng số 2 là Doanhnghiệp hạng 1 trực thuộc Bộ Xây dựng với gần 2.000 cán bộ công nhân viên

và 7 đơn vị thành viên với nhiệm vụ là hoàn thiện các khu nhà đã lắp ghép ởThanh Xuân, Nghĩa Đô và tham gia xây dựng nhiều công trình công nghiệp,dân dụng ở các tỉnh phía Bắc

Ngày 15/4/1995: Thực hiện Quyết định số 90/TTg của Thủ tướng Chính phủ

về việc tiếp tục sắp xếp lại Doanh nghiệp Nhà nước, Bộ trưởng Bộ Xây dựng

có Quyết định số 275/BXD-TCLĐ về việc chuyển Xí nghiệp Liên hợp Xâydựng số 2 trực thuộc Tổng Công ty Xuất nhập khẩu Xây dựng Việt Nam

Ngày 9/6/1995: Bộ trưởng Bộ Xây dựng có Quyết định số 618/BXD-TCLĐ

về việc đổi tên Xí nghiệp Liên hợp Xây dựng số 2 thuộc Tổng Công ty Xuấtnhập khẩu Xây dựng Việt Nam thành Công ty Xây dựng số 2 gồm 3 xí nghiệp

và 3 chi nhánh tại các tỉnh Cao Bằng, Sơn La, Lào Cai

Ngày 29/9/2003: Bộ Xây dựng có quyết định số 1284/QĐ-BXD chuyển đổi

Công ty hoạt động theo mô hình Công ty cổ phần với tên gọi là Công ty Cổphần Xây dựng số 2 Ngày 27/10/2003, Công ty chính thức đi vào hoạt độngtheo hình thức Công ty cổ phần theo giấy chứng nhận đăng ký kinh doanh số

0103003086 do Sở Kế hoạch và Đầu tư Thành phố Hà Nội cấp, vốn điều lệđăng ký là 10.000.000.000 đồng, trong đó tỷ lệ vốn Nhà nước là 51%

Ngày 20/08/2005: Đại hội đồng cổ đông họp thống nhất kế hoạch tăng vốn

điều lệ từ 10.000.000.000 đồng lên 20.000.000.000 đồng Ngày 02/11/2005,HĐQT của Công ty chính thức ra Nghị quyết số 52/HĐQT nhất trí về việctăng vốn điều lệ lên 20 tỷ đồng Theo Báo cáo kiểm toán về báo cáo pháthành cổ phiếu tăng vốn điều lệ của Công ty cổ phần Kiểm toán và Tư vấnA&C, đến ngày 17/10/2006, vốn điều lệ của Công ty Cổ phần Xây dựng số 2

đã tăng lên 20.000.000.000 đồng theo Giấy chứng nhận đăng ký kinh doanhCông ty cổ phần sửa đổi lần thứ 1 do sở Kế hoạch và đầu tư thành phố Hà Nộicấp ngày 28/11/2005

Ngày 26/06/2007: UBCKNN đã cấp giấy chứng nhận chào bán cổ phiếu ra

công chúng số 118/UBCK-ĐKCB, chấp thuận cho Công ty Cổ phần Xâydựng số 2 phát hành thêm 1.205.000 cổ phiếu (mệnh giá 10.000 đồng/1 cổphiếu), tăng vốn điều lệ từ 20 tỷ đồng lên 32,05 tỷ đồng Cho đến ngày05/10/2007, Công ty Cổ phần Xây dựng số 2 đã hoàn tất đợt chào bán, báocáo UBCKNN và niêm yết bổ sung cổ phiếu trên TTGDCK Hà Nội Ngày30/11/2007, UBCKNN đã cấp Giấy chứng nhận chào bán cổ phiếu số240/UBCK-GCN, chấp thuận cho Công ty Cổ phần Xây dựng số 2 phát hànhthêm 1.795.000 cổ phiếu (mệnh giá 10.000 đồng/1 cổ phiếu), tăng vốn điều lệ

từ 32,05 tỷ đồng lên 50 tỷ đồng Cho đến ngày 21/03/2008, Công ty Cổ phầnXây dựng số 2 đã hoàn tất đợt chào bán, báo cáo UBCKNN và niêm yết bổsung cổ phiếu trên TTGDCK Hà Nội

- Trải qua hơn 40 năm xây dựng trưởng thành và phát triển, Công ty đã để lạicho đất nước và xã hội hàng ngàn sản phẩm là các hạng mục công trình xâydựng dân dụng, công nghiệp, giao thông đường bộ, công trình quốc phòng vớiquy mô từ nhỏ đến lớn, từ đơn giản đến hiện đại trên khắp mọi miền của Tổquốc, từ các tỉnh miền núi phía Bắc đến các tỉnh miền Đông Nam Bộ, với chấtlượng cao, kỹ mỹ thuật đẹp, luôn làm vừa lòng và đáp ứng thị hiếu yêu cầucủa người sử dụng.

2, Thành tựu đạt được:

CÁC DANH HIỆU THI ĐUA, HÌNH THỨC KHEN THƯỞNG ĐÃ ĐẠT ĐƯỢC

HUÂN CHƯƠNG LAO ĐỘNG HẠNG NHẤT

* Giải thưởng Cúp Vàng “Thương hiệu Chứng khoán uy tín” ( 2008, 2009, 2010)

* Giải thưởng Cúp Vàng “Thương hiệu Mạnh Việt Nam” (Năm 2008, 2009)

* Giải thưởng Cúp Vàng “Doanh nghiệp Hội nhập và Phát triển” ( 2009, 2010)

* Giải thưởng TOP 100 "Sao Vàng Đất Việt” (Năm 2010)

* Giải thưởng TOP 100 “Thương hiệu hàng đầu Việt Nam và Doanh nhân

tiêu biểu” (Năm 2009)

* Giải thưởng TOP 50 “Thương hiệu Việt” (Năm 2009)

Và nhiều phần thưởng, danh hiệu cao quý khác:

- Huân chương Lao động Hạng Nhì

- Huân chương Lao động Hạng Ba

- Huân chương Chiến công hạng Ba

- Bằng khen của Thủ tướng Chính phủ

- Bộ Xây dựng tặng Bằng khen “Tập thể lao động Xuất sắc”

- Cờ thi đua xuất sắc Ngành Xây dựng, Tập thể lao động Xuất sắc

- Công ty là một trong 10 doanh nghiệp tiêu biểu có cổ phiếu niêm yết trênTTGDCK Hà Nội vinh dự đón tiếp Chủ tịch nước Nguyễn Minh Triết đếntham dự lễ khai trương giao dịch thị trường chứng khoán Việt Nam tại Trungtâm Giao dịch Chứng khoán Hà Nội nhân dịp năm mới 2008

- Công ty là một trong 03 doanh nghiệp đã nhận Kỷ niệm chương củaTTGDCK Hà Nội về thành tích hoàn thành tốt nghĩa vụ công bố thông tintrong năm 2007

Cùng nhiều Bằng khen, Giấy chứng nhận Huy chương Vàng các công trìnhthi công

3, Định hướng phát triển:

Căn cứ định hướng, mục tiêu, quan điểm phát triển của Đảng bộ Tổng Công

ty Vinaconex nhiệm kỳ (2010-2015) đã được Đại hội Đảng bộ Tổng Công tylần thứ III thông qua:

- Xây dựng Tổng Công ty Vinaconex trở thành một tập đoàn kinh tế vững mạnhhàng đầu của Việt Nam trong lĩnh vực xây dựng và kinh doanh bất động sản.Hoạt động có hiệu quả, tăng trưởng bền vững, không ngừng nâng cao năng lựccạnh tranh và hội nhập kinh tế, không ngừng nâng cao đời sống người lao độngtrong doanh nghiệp, đóng góp ngày càng nhiều cho sự phát triển của xã hội; gópphần thực hiện thắng lợi cho sự nghiệp đổi mới đất nước

Quán triệt và thực hiện Nghị quyết của Đại hội Đảng bộ Tổng Công ty là xâydựng Tổng Công ty Vinaconex trở thành Tập đoàn kinh tế trong giai đoạn từnăm 2010-2015 Để chuẩn bị những điều kiện và tiền đề cần thiết cho lộ trìnhthành lập Tập đoàn của Tổng Công ty, Hội đồng quản trị Công ty Cổ phần Xâydựng số 2 thống nhất thông qua định hướng phát triển sản xuất kinh doanh trongthời gian tới với mục tiêu chủ yếu: “Đưa Công ty Cổ phần Xây dựng số 2 trở thành Nhà thầu hàng đầu trong lĩnh vực thi công nhà cao tầng”

CHƯƠNG II: CÔNG NGHỆ MẠNG RIÊNG ẢO (VPN)

I, Tổng quan về mạng riêng ảo (VPN):

Theo tài liệu của IBM VPN là sự mở rộng một mạng Intranet riêng củamột doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kếtnối an toàn, thực chất là qua một đường hầm riêng VPN truyền thông tinmột cách an toàn qua Internet kết nối người dùng từ xa, nhánh vănphòng và các đối tác thương mại thành một mạng Công ty mở rộng

Theo cách nói đơn giản nhất thì VPN là công nghệ cho phép kết nối cácthành phần của một mạng riêng (private network) thông qua hạ tầng mạngcông cộng (Internet) VPN hoạt động dựa trên kỹ thuật tunneling : gói tintrước khi được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trongmột gói tin có thể chuyển đi được trên mạng công cộng Gói tin được truyền

đi đến đầu bên kia của kết nối VPN Tại điểm đến bên kia của kết nối VPN,gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng vàđược giải mã

2, Phân loại VPN:

Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:

 Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa củamột Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất

cứ lúc nào

 Có khả năng kết nối từ xa giữa các nhánh văn phòng

 Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tácquan trọng đối với giao dịch thương mại của công ty

Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển vàphân

thành ba loại như sau::

 VPN truy cập từ xa (Remote Acess VPN)

 VPN cục bộ (Intranet VPN)

 VPN mở rộng (Extranet VPN)

2.1, VPN truy cập từ xa (Remote Acess VPN):

VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sửdụng Ở bất kì thời điểm nào các nhân viên hay chi nhánh văn phòng di độnghay cố định đều có thể sử dụng các phần mềm VPN để truy nhập vào mạngcủa công ty thông qua gateway hoặc bộ tập trung VPN (có chức năng nhưmột Server) VPN truy cập từ xa mở rộng mạng công ty tới những người sửdụng thông qua hạ tầng chia sẻ chung trong khi các chính sách mạng của công

ty vẫn được duy trì Chúng được dung để cung cấp các truy nhập an toànnhưng vẫn bảo đảm cho những nhân viên di động, những chi nhánh, nhữngđối tác hay chính những bạn hàng của công ty VPN truy cập từ xa được triểnkhai thông qua các cơ sở hạ tầng mạng bằng cách sử dụng công nghệ ISDN,công nghệ quay số, IP động, DSL, công nghệ cáp hay công nghệ không dây

Dù bằng phương thức nào đi chăng nữa thì trên các máy PC cần phải khởi tạocác kết nối bảo mật (Thông qua các đường hầm được tạo sẵn)

Một chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng củaVPN bao gồm các thành phần chính như sau:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực vàcấp quyền cho các yêu cầu truy cập từ xa

+ Kết nối Dialup tới mạng trung tâm

+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗtrợ người dùng từ xa

Hình 1.1 Thiết lập truy cập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh vănphòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP vàthông qua đó để kết nối tới mạng của công ty qua Internet Thiết lập VPNtruy cập từ xa tương ứng được mô tả như trong hình 1.2

Hình 1.2 Thiết lập VPN truy cập từ xa

2.2 VPN cục bộ (Intranet VPN) :

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa,đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùngchung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã đượcthực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chấtlượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia) Mục đíchcủa Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ cácđường dây thuê riêng theo các cách kết nối WAN truyền thống IntranetVPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổchức với Intranet trung tâm của tổ chức đó Trong cách thiết lậpIntranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tớiIntranet của tổ chức qua các Router trung gian Thiết lập này được mô tả nhưtrong hình 1.3

Hình 1.3 Thiết lập Intranet sử dụng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nốitới một Khu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thựcthi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém.Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1tháng Phạm vi Intranet càng lớn thì chi phí càng cao

Với việc thực thi giải pháp VPN, đường WAN xương sống đượcthay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phícủa việc thực thi toàn bộ Intranet Một giải pháp Intranet VPN điển hìnhđược mô tả như trong hình 1.4

Hình 1.4 Thiết lập VPN dựa trên VPN

Ưu điểm của việc thiếp lập dựa trên VPN :

+ Loại trừ được các Router từ đường WAN xương sống

+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới

+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn Cùngvới việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chiphí của hoạt động Intranet

Tuy nhiên cũng có một số nhược điểm:

+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên cáctấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng

+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao

+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của

Internet

+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS

có thể không được đảm bảo

2.3 VPN mở rộng (Extranet VPN) :

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sửdụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng côngcộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấpcác chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảomật, tính ổn định Tương tự như Intranet VPN, Extranet VPN cũng có kiếntrúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụngcho phép các đối tác Extranet VPN sử dụng So với Intranet VPN thì vấn đềtiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộngtác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm Việc để cho

khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệmđược rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiênviệc này rất khó thực hiện với công nghệ WAN truyền thống ExtranetVPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật đểxác thực và giới hạn truy nhập trên hệ thống

Không giống như Intranet VPN và Remote Access VPN ExtranetVPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPNcho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giaodịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp

Theo cách thức truyền thống, kết nối Extranet được thể hiện như tronghình 1.5

Hình 1.6 Mạng Extranet dựa trên VPN

Ưu điểm chính của Extranet VPN là:

+ Chi phí rất nhỏ so với cách thức truyền thống

+ Dễ thực thi, duy trì và dễ thay đổi

+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn

+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống

Tuy nhiên cũng có một số nhược điểm:

+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại

+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức

+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia

+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp

VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”

có lấy được thông tin thì cũng không giải mã được.

4, Những lợi ích mà VPN mang lại:

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:

4.1, Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so vớicác giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay,ATM hay ISDN Bởi vì VPN loại trừ được những yếu tố cần thiết cho các

kết nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISPhoặc điểm đại diện của ISP

4.2, Giảm được chi phí thuê nhân viên và quản trị: Vì giảm đượcchi phí truyền thông đường dài VPN cũng làm giảm được chi phí hoạt độngcủa mạng dựa vào WAN một cách đáng kể Hơn nữa, một tổ chức sẽ giảmđược toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN đượcquản trị bởi ISP Vì lúc này, thực tế là Tổ chức không cần thuê nhiều nhânviên mạng cao cấp

4.3, Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nốigiữa các phần tử ở xa của một Intranet Vì Internet có thể được truy cậptoàn cầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di động

từ xa đều có thể dễ dàng kết nối tới Intranet của Công ty mình

4.4, Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm đểtruyền dữ liệu qua mạng công cộng không an toàn Dữ liệu đang truyền đượcbảo mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sửdụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm

an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPNmang lại mức độ bảo mật cao cho việc truyền tin

4.5, Sử dụng hiệu quả băng thông: Trong kết nối Internet dựatrên đường Lease-Line, băng thông hoàn toàn không được sử dụng trongmột kết nối Internet không hoạt động Các VPN, chỉ tạo các đường hầmlogic đề truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉđược sử dụng khi có một kết nối Internet hoạt động Vì vậy làm giảm đáng

kể nguy cơ lãng phí băng thông mạng

4.6, Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nêncho phép Intranet của một công ty có thể mở rộng và phát triển khi công việckinh doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương

tiện, thiết bị Điều này làm cho Intranet dựa trên VPN có khả năng mở rộngcao và dễ dàng tương thích với sự phát triển trong tương lai

Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộngmạng đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém.Với giải pháp mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạtầng là mạng truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kémcho mạng riêng là chi phí cho các kênh thuê riêng đường dài, các mạng riêngcũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiếtkiệm chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở

hạ tầng mạng truyền số liệu công cộng)

Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợinhư: Phụ thuộc nhiều vào Internet Sự thực thi của một mạng dựa trên VPNphụ thuộc nhiều vào sự thực thi của Internet Các đường Lease-Line bảo đảmbăng thông được xác định trong hợp đồng giữa nhà cung cấp và Công ty Tuynhiên không có một đảm bảo về sự thực thi của Internet Một sự quá tải lưulượng và tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộmạng dựa trên VPN

CHƯƠNG III: CÁC GIAO THỨC MẠNG RIÊNG ẢO

I, Giao thức PPP

1, PPP là gì ?

PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưulượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễdàng Thuận lợi lớn nhất của PPP là nó có thể điều khiển bất kỳ DTEhoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35 Một điểm độc đáonữa của PPP là nó không hạn chế tỷ lệ truyền dữ liệu Trong khi truyền dữliệu bị hạn chế bởi giao diện DTE/DCE đang dung Ngoài việc đóng gói các

dữ liệu theo giao thức IP, không theo giao thức IP và việc truyền nó qua mộtloạt các điểm liên kết, PPP cũng chịu trách nhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP

- Cấu hình và kiểm tra các liên kết đã thiết lập

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu

- Phát hiện lỗi trong khi truyền dữ liệu

- Dồn kênh các giao thức mạng lớp hai

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ PPP thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ củagiao thức kiểm soát liên kết(Link Control Protocol – LCP)

- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiệnlỗi trong khi truyền theo dạng của giao thức kiểm soát mạng (NetworkControl Protocol - NCP) thích hợp

2, Quá trình thực hiện PPP

Giao thức PPP được sử dụng để đóng gói các gói tin thành các khungPPP và gửi dữ liệu trên các kết nối điểm - điểm Có năm bước cần tiếnhành trong quá trình thương lượng kết nối PPP, đó là:

+ Sau khi các gói dữ liệu đã được đóng gói, Node nguồn (hoặc khởi tạo) gửikhung LPC qua kết nối điểm - điểm tới Node đích

+ Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõcác tham số và kiểm tra liên kết đã được thiết lập

+ Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiết lậpthành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi cácLCP

+ Node nguồn sau đó gửi khung NCP để lựa chọn và cấu hình giao thức tầngmạng

+ Sau khi giao thức tầng mạng yêu cầu được cấu hình thì cả hai bắt đầu traođối dữ liệu

Hình 3.1 Thiết lập liên kết PPP và trao đổi dữ liệu

Khi một liên kết PPP đã được thiết lập, nó tồn tại cho đến khi LCP hoặc NCP ra hiệu kết thúc liên kết Liên kết cũng có thể được kết thúc trong trườnghợp nó bị lỗi hoặc người dùng can thiệp vào

2.1, Định dạng gói PPP:

Hình 3.2 Định dạng của một Frame PPP điển hình

+ Flag: Trường này xác định điểm bắt đầu và kết thúc của một khung Độ dàicủa trường này là 1 byte

+ Address: Vì nó sử dụng các liên kết điểm - điểm PPP không sử dụng cácđịa chỉ của các Node riêng lẻ Vì thế, các trường này chứa chuỗi nhị phân là

11111111, đây là một địa chỉ Broadcast chuẩn Độ dài của trường này là 1byte

+ Control: Trường này chứa chuỗi nhị phân là 00000011 Nó biểu thịrằng, Frame đang mang dữ liệu người dùng là một Frame không tuần

tự Độ dài của trường này là 1 byte

+ Protocol: Trường này xác định giao thức mà dữ liệu được đóng góitrong trường dữ liệu của Frame Giao thức trong trường này được chỉ rõtheo số đã gán trong RFC 3232 Độ dài của trường này là 2 byte Tuynhiên, trường này có thể thương lượng để là 1 byte nếu cả hai đồng ý + Data: Trường này chứa thông tin đang được trao đổi giữa Nodenguồn và đích Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến

1500 byte

+ FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tínhchính xác của thông tin đã nhận trong trường dữ liệu Thông thường, độdài của trường này là 2 byte Tuy nhiên, việc thực thi PPP có thể thươnglượng một FCS 4 byte để cải thiện việc phát hiện lỗi

2.2, Kiểm soát liên kết PPP

Ngoài việc trao đổi thành công dữ liệu giữa hai Node, PPP cũngchịu trách nhiệm kiểm soát liên kết đã thiết lập giữa 2 thực thể truyềnthông cuối PPP sử dụng LCP cho chức năng này, trong đó LCP chịutrách nhiệm về các chức năng sau:

- Hỗ trợ việc thiết lập liên kết

- Cấu hình liên kết đã thiết lập để thoả mãn các yêu cầu của các nhóm truyềnthông

- Duy trì hiệu suất của liên kết PPP đã thiết lập

- Kết thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất.LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởi tạoliên kết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng Sau đây ta

sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết

- Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dữ liệu dựa trênPPP giữa Node nguồn và đích được cho phép, LCP phải khởi tạo một kết nốigiữa hai thực thể cuối và thoả thuận các tham số cấu hình LCP sử dụng cácFrame khởi tạo liên kết cho chức năng này Khi mỗi thực thể cuối phảnhồi lại bằng Frame cấu hình ACK của nó, pha này kết thúc

- Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn củaliên kết đã thiết lập được xác định cho các liên kết khác nhau đã sẵn sàng choviệc thoả thuận các giao thức tầng mạng

- Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầngmạng của dữ liệu đã được đóng gói trong trường Protocol của FramePPP được thoả thuận

- Kết thúc liên kết: Đây là pha cuối cùng của LCP và Server để kết thúcliên kết đã thiết lập giữa hai thực thể cuối Việc kết thúc liên kết có thểtheo trình tự hoặc đột xuất Kết thúc đúng trình tự là kết thúc sau khi việctrao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất hay do yêu cầu của thực thể

cuối Kết thúc liên kết đột xuất có thể làm mất dữ liệu Frame kết thúc liên kết

dữ liệu được trao đổi giữa các nhóm có liên quan trước khi liên kết được giảiphóng Ngoài Frame thiết lập và kết thúc liên kết, PPP sử dụng một loạiFrame thứ ba gọi là Frame duy trì liên kết Các Frame này như tên gọicủa nó, được trao đổi trong trường hợp có vấn đề liên quan đến liên kết,thường được dùng để quản trị và debug các liên kết dựa trên PPP

Mặc dù không được dùng trong VPN ngày nay, tuy nhiên công nghệPPP là cơ sở của các giao thức đường hầm khác được dùng rộng khắptrong VPN Thực tế, tất cả các giao thức đường hầm thông dụng đều dựa trênPPP và đóng gói Frame PPP vào trong gói IP hoặc các gói dữ liệu khác

để truyền qua mạng không đồng nhất

II, Giao thức đường hầm điểm (PPTP)

1, Khái niệm:

PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách antoàn giữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ramột VPN qua một mạng dựa trên IP Được phát triển bởi Consortium PPTP(Tập đoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECITelematics) PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không antoàn PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạngcông cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranetriêng

Hai hiện tượng đóng vai trò chính vào sự thành công của PPTP trongviệc bảo mật các kết nối đường dài là:

+ Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng

những yếu tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đường Leased Line và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ

+ Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và NetBIOS Vì vậy, PPTP đã chứng tỏ là thành công trongviệc triển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng

2, Các tiến trình PPTP:

PPTP bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện không an toàn Ba tiến trình đó là:

- Thiết lập kết nối dựa trên PPP

- Kiểm soát kết nối

- Tạo đường hầm PPTP và truyền dữ liệu

2.1, Thiết lập kết nối dựa trên PPP:

Một kết nối Vật lý được thực hiện dựa trên PPP được tiến hành đầu tiên

2.2, Kiểm soát kết nối PPTP

Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTPClient và Server, quá trình kiểm soát kết nối PPTP bắt đầu Như trong hình2.7, Kiểm soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTPClient và Server Nó sử dụng cổng TCP phân phối động và cổng TCP giànhriêng số 1723 Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việckiểm soát và quản lý các thông điệp được trao đổi giữa các nhóm truyềnthông Các thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đườnghầm PPTP Các thông điệp này bao gồm cả chu kỳ giao dịch của các thôngđiệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kếtnối giữa PPTP Server và Client

Hình 3.3 Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP

Một số thông điệp thường dùng để kiểm soát PPTP :

Hình 3.4 Các thông điệp kiểm soát PPTP thông dụng

Các thông điệp kiểm soát PPTP được đóng gói vào trong các gói TCP

Vì vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ

xa, một kết nối TCP được thiết lập Kết nối này sau đó thường được dùng để trao đổi các thông điệp kiểm soát PPTP

Hình 3.5 Kiểm soát PPTP trong gói dữ liệu TCP

2.3, Xử lý và định hướng đường hầm dữ liệu PPTP :

Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói Đó là các giai đoạn sau:

+ Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bêntrong một Frame PPP Một tiêu đề PPP được thêm vào Frame

+ Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trongmột sự đóng gói định tuyến chung(GRE) đã sửa đổi Tiêu đề GRE sửađổi chứa một trường ACK 4 byte và một bit ACK tương ứng thông báo sự

có mặt của trường ACK Hơn nữa, trường khoá trong frame GRE được thaybởi một trường có độ dài 2 byte gọi là độ dài tải và một trường có độ dài 2byte gọi là định danh cuộc gọi PPTP client thiết lập các trường này khi nótạo đường hầm PPTP

+ Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêmvào khung PPP, và được bao gói vào trong gói GRE Tiêu đề IP này chứa địachỉ IP của PPTP client nguồn và PPTP Server đích

+ Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giaothức tạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo

sự đánh dấu là các quy luật quan trọng trong đường hầm dữ liệu trướckhi được đặt lên các phương tiện truyền phát, tầng liên kết dữ liệuthêm vào tiêu đề của chính nó và đánh dấu cho các gói dữ liệu Nếugói dữ liệu phải chuyển qua một đường hầm PPTP cục bộ, gói dữ liệu sẽđược đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ - LAN(nhưEthenet chẳng hạn) Mặt khác, nếu đường hầm được trải qua một liên kếtWAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần

Hình 3.5 Mô tả tiến trình xử lý dữ liệu PPTP đường hầm

GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệu dựatrên IP GRE thường được dùng bởi các ISP để chuyển tiếp thông tin địnhtuyến trong Intranet của họ Tuy nhiên, các Router backbone thuộcInternet của ISP sẽ lọc lưu lượng dựa trên GRE này Vì vậy các đườnghầm đã được thiết lập có thể mang dữ liệu một cách an toàn và bí mật tớingười nhận

Khi dữ liệu PPTP được truyền thành công đến đúng người nhận,người nhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm đểthu được dữ liệu gốc Quá trình này là ngược lại với quá trình định đườnghầm dữ liệu PPTP Để lấy lại dữ liệu gốc thì Node PPTP của người nhậnphải thực hiện các bước sau:

- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi

- Tiếp đó, loại bỏ tiêu đề GRE

- Tiêu đề IP được xử lý và loại bỏ

- Tiêu đề PPP được xử lý và loại bỏ

- Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu)

3.1, Mã hoá và nén dữ liệu PPTP :

PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu Thay vào

đó, nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP PPP lần lượt

sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoáchia sẻ bí mật

3.2, Xác thực dữ liệu PPTP :

PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:

3.2.1, Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) : MS-CHAP là phiên bản thương mại của Microsoft và được dùng choxác thực dựa trên PPP Vì sự tương đồng cao với CHAP, các chức năng củaMS-CHAP khá giống với CHAP Điểm khác nhau chính giữa chúng là trongkhi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA

RCA và DES Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩmMicrosoft, nó không được hỗ trợ bởi các nền khác

3.2.2, Giao thức xác thực mật khẩu(PAP) :

Là giao thức đơn giản và là giao thức xác thực đường quay

số thông dụng nhất Nó cũng được dùng để xác thực các kết nối dựa trênPPP Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết màkhông mã hoá Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lạihay thử lặp và các tấn công lỗi Một lỗ hỗng của PAP khác là các thực thểtruyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối Vì vậy, nếu

kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xácthực trong tương lai nữa! Vì lý do này, PAP được xem như là một giao thứcxác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thíchtrong VPN

3.2, Kiểm soát truy cập PPTP:

Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cậpcủa nó đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mậtnâng cao Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chếkiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc góiPPTP Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấpnhận và định tuyến các gói chỉ từ các Client PPTP đã được xác thực thànhcông Kết quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cậplại tới mạng từ xa đã xác định

Trong cách này, PPTP không chỉ cung cấp các cơ chế xác thực,kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an toàn của mạng 3.3, PPTP với FireWall và Router :

Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723

và 47 Tuy nhiên, khi PPTP dùng chung với FireWall và Router, lưu lượng

chúng lọc lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) vàcác chính sách bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa

xa Một nhà quản trị mạng Window NT có thể thử nghiệm một VPN ngaylập tức mà không cần tốn thêm một chi phí nào

4.2 Dễ thi hành :

Nhiều nhà quản trị mạng Window NT đã quen thuộc với cáchthiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khókhăn với họ Những người sử dụng từ xa quay số kết nối tới RAS Serverthông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có

hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ,ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP

4.3, Tạo đường hầm đa giao thức:

Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạođường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thứcPPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS chophép

4.4, Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ:

Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS

sẽ được máy chủ gán cho một địa chỉ IP Địa chỉ này có thể là một phần trongdãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trựctuyến trên mạng IP của tổ chức đó Các tổ chức thỉnh thoảng không sử dụngđịa chỉ IP đăng ký (là những địa chỉ được cung cấp bởi cơ quan có thẩmquyền, sẽ là duy nhất trên hệ thống mạng) trên hệ thống mạng riêng Cơ quanthẩm quyền Internet Assigned Numbers (IANA) sẽ thiết lập các khối địa chỉ

IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet và các hệthống mạng này không cho phép các truy cập Internet hay các truy cập quaRouter Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khimột RAS Client sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cungcấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng nội bộ của công ty.Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố gắng truy cậptới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải

mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có thểtạo ra lỗ hỗng Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thểvào mạng cục bộ

III, Giao thức L2F :

1, Khái niệm :

L2F có khả năng bảo mật các giao dịch, cung cấp truy cập qua cơ sở

hạ tầng của Internet và các mạng công cộng trung gian khác, hỗ trợ nhiềucông nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay

Bên cạnh đó nó còn mang lại những thuận lợi khác trong công nghệtruy cập từ xa Các đường hầm L2F có thể hỗ trợ nhiều phiên đồng thời trong

có thể cùng truy cập vào mạng cục bộ riêng qua một kết nối quay số đơn.L2F đạt được điều này bằng cách định nghĩa nhiều kết nối trong một đườnghầm nơi mỗi kết nối mô tả một dòng PPP đơn Hơn nữa, các dòng này có thểbắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều người dùng Vì mộtđường hầm có thể hỗ trợ nhiều kết nối đồng thời, một vài kết nối được yêucầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway của mạng riêng.Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng

Hình 3.7 Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng

2, Tiến trình L2F :

Khi một Client quay số từ xa khởi tạo một kết nối tới Host cục bộtrong một Intranet riêng

Hình 3.8 Thiết lập một đường hầm L2F giữa người dùng từ xa và Server

Các tiến trình sau được thực hiện tuần tự:

+ Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ Nếu mộtngười dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụngISDN hoặc liên kết để kết nối tới ISP Nếu người dùng không phải là mộtphần của bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN + Nếu NAS đặt tại POP của ISP chấp nhận yêu cầu kết nối, kết nối PPPđược thiết lập giữa NAS và người dùng

+ Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đềuđược sử dụng cho chức năng này

+ Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thìmột đường hầm sẽ được khởi tạo

+ Sau khi một đường hầm được thiết lập thành công, một ID (MID) duynhất được phân phối tới các kết nối Một thông điệp thông báo cũng được gửitới các Gateway của máy chủ mạng.Thông điệp này thông báo cho Gateway

về yêu cầu kết nối từ một người dùng ở xa

+ Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này Nếu yêu cầu

bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số bị kếtthúc Trong trường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thôngbáo khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thôngtin xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa

+ Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, mộtgiao diện ảo được thiết lập giữa 2 đầu cuối

3, Đường hầm L2F :

Khi một người dùng từ xa đã được xác thực và yêu cầu kết nốiđược chấp nhận, một đường hầm giữa NAS của nhà cung cấp vàGateway máy chủ mạng được thiết lập