Mạng riêng ảo VPN (Virtual Private Network) mạng riêng biệt sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa Thay sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Một ứng dụng điển hình VPN cung cấp kênh kết nối an toàn dựa kết nối internet giúp cho văn phòng chi nhánh / văn phòng xa người làm việc từ xa dùng Internet truy cập tài ngun cơng ty cách bảo mật thoải mái sử dụng máy tính nội mạng cơng ty Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo switch, router firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II
BÁO CÁO THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: CHÍNH QUY NIÊN KHÓA: 2015 - 2020
TP.HCM - tháng 07 / 2019
Trang 2HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH KHOA VIỄN THÔNG II
BÁO CÁO THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: CHÍNH QUY NIÊN KHÓA: 2015 - 2020
TP.HCM - tháng 07 / 2019
Trang 3LỜI CẢM ƠN
Để hoàn thành chuyên đề báo cáo thực tập này trước hết em xin gửi đến quý thầy, cô giáo trong khoa Viễn Thông trường Học viện Công nghệ Bưu chính Viễn thông lời cảm ơn chân thành
Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người đã tận tình hướng dẫn, giúp
đỡ em hoàn thành chuyên đề báo cáo thực tập này lời cảm ơn sâu sắc nhất Sau 1 tháng thực hiện đề tài, được sự hướng dẫn, chỉ bảo tận tình của thầy và sự cố gắng của bản thân, em đã hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế và triển khai dịch vụ VPN site to site”
Em xin chân thành cảm ơn Ban Lãnh Đạo, các phòng ban của công ty đã tạo điều kiện thuận lợi cho em được tìm hiểu thực tiễn trong suốt quá trình thực tập tại công ty Đồng thời nhà trường đã tạo cho em có cơ hội được thưc tập nơi mà em yêu thích, cho
em bước ra đời sống thực tế để áp dụng những kiến thức mà các thầy cô giáo đã giảng dạy Qua công việc thực tập này em nhận ra nhiều điều mới mẻ và bổ ích trong việc kinh doanh để giúp ích cho công việc sau này của bản thân
Vì kiến thức bản thân còn hạn chế, trong quá trình thực tập, hoàn thiện chuyên đề này
em không tránh khỏi những sai sót, kính mong nhận được những ý kiến đóng góp từ
cô cũng như quý công ty
Một lần nữa em xin gửi lời cảm ơn sâu sắc đến toàn thể thầy cô, các anh chị đồng nghiệp và bạn bè
Tp Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019
Người thực hiện
NGUYỄN CHÍ HẢI
Trang 4MỤC LỤC
MỞ ĐẦU 1
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN 2
1.1 Mục tiêu và ý nghĩa đề tài 2
1.2 Phương pháp thực hiện 2
1.3 Những nội dung chính 2
1.3.1 Lý thuyết 2
1.3.2 Thực hành 2
1.4 Kết quả đạt được 2
CHƯƠNG 2: TỔNG QUAN VỀ VPN 3
2.1 Định nghĩa, chức năng của VPN 3
2.1.1 Khái niệm cơ bản về VPN 3
2.1.2 Chức năng của VPN 4
2.2 Các yêu cầu cơ bản của một giải pháp VPN 4
2.3 Đường hầm và mã hóa 5
2.4 Các dạng kết nối VPN 6
2.4.1 Remote access VPN (VPN client to site) 6
2.4.2 Site-to-site VPN ( Lan-to-lan) 7
CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN 9
3.1 Các giao thức đường hầm 9
3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol) 9
3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 12
3.1.2.1 Khái quát hoạt động của PPTP 13
3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 14
3.1.2.3 Đóng gói dữ liệu đường hầm PPTP 15
3.1.2.4 Ưu điểm và nhược điểm của PPTP 16
3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol) 16
3.1.3.1 Duy trì đường hầm bằng bản tin điều khiển L2TP 18
3.1.3.2 Đóng gói dữ liệu đường hầm L2TP 18
3.1.3.3 Xử lý dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec 19
3.1.3.4 Các thành phần của một hệ thống VPN sử dụng giao thức L2TP 19
Trang 53.1.3.5 Ưu điểm và nhược điểm của L2TP 20
3.2 Bộ giao thức IPSec (IP Security Protocol) 21
3.2.1 Cấu trúc bảo mật 21
3.2.2 Các chế độ làm việc của IPSec 22
3.2.2.1 Chế độ truyền tải (Transport mode) 22
3.2.2.2 Chế độ đường hầm (Tunnel Mode) 22
3.2.3 Các thành phần bên trong IPSec 23
3.2.3.1 Giao thức đóng gói tải tin an toàn ESP 23
3.2.3.2 Giao thức xác thực đầu mục AH 26
3.2.3.3 Giao thức trao đổi chìa khóa (IKE) 27
3.2.3.4 Một số vấn đề còn tồn đọng trong IPSec 30
CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE 31
4.1 Sơ đồ mạng 31
4.2 Các bước cấu hình 31
4.3 Triển khai chi tiết 31
CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 37
5.1 Đánh giá đề tài 37
5.2 Đánh giá bản thân 37
5.3 Hướng phát triển 37
THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT 38
TÀI LIỆU THAM KHẢO 40
Trang 6DANH MỤC HÌNH ẢNH
Hình 2 1 Mô hình VPN cơ bản 3
Hình 2 2 Đường hầm VPN 5
Hình 2 3 Mô hình Remote access VPN 7
Hình 2 4 Mô hình Site-to-Site VPN 8
Hình 3 1 Mô hình kết nối VPN sử dụng L2F……… 10
Hình 3 2 Các thành phần trong hệ thống VPN sử dụng L2F 11
Hình 3 3 Mô hình kết nối PPTP 13
Hình 3 4 Mô hình kết nối VPN sử dụng L2TP 17
Hình 3 5 Xử lý gói tin IP ở chế độ truyền tải 22
Hình 3 6 Xử lý gói tin ở chế độ đường hầm 23
Hình 3 7 Các trường của ESP header 24
Hình 3 8 Ví dụ về ESP Header 24
Hình 3 9 Quá trình mã hóa và hoạt động của giao thức ESP 25
Hình 3 10 Một gói ESP 25
Hình 3 11 Quá trình AH xác thực và bảm đảm tính toàn vẹn dữ liệu 26
Hình 3 12 Các trường của AH Header 27
Hình 4 1 Sơ đồ mạng được sử dụng trong bài lab 31
Hình 4 2 Ping từ PC1 qua PC2 34
Hình 4 3 Ping từ PC2 qua PC1 35
Hình 4 4 Kiểm tra crypto map 35
Hình 4 5 Kiểm tra IPSec SA 36
Trang 7MỞ ĐẦU
Mạng riêng ảo VPN (Virtual Private Network) là một mạng riêng biệt sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người dùng sử dụng từ xa Thay vì sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet
từ mạng riêng của công ty tới các site của các nhân viên từ xa
Một ứng dụng điển hình của VPN là cung cấp một kênh kết nối an toàn dựa trên kết nối internet giúp cho những văn phòng chi nhánh / văn phòng ở xa hoặc những người làm việc từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính nội bộ trong mạng công ty
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP
Trang 8CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN
Đề tài sẽ tập trung tìm hiểu về VPN, cách VPN hoạt động, các giao thức được sử dụng, các ứng dụng của VPN trong thực tế
Hy vọng rằng qua bài nghiên cứu này, chúng ta sẽ có được một cái nhìn sâu hơn về công nghệnày, có thể ứng dụng vào việc triển khai cho các hệ thống mạng, góp phần phát triển ngành mạng ở Việt Nam và trên toàn thế giới
1.2 Phương pháp thực hiện
• Nguồn tài liệu lấy từ trang chủ Cisco, từ các diễn đàn, cộng đồng về Network
• Thực hành dựa trên công cụ giả lập mạng như GNS3
1.3.1 Lý thuyết
• Tìm hiểu định nghĩa, các ứng dụng của công nghệ VPN
• Tìm hiểu các yêu cầu cơ bản của một giải pháp VPN
• Tìm hiểu kiến trúc, các thành phần có trong công nghệ VPN
• Các đối tượng liên quan trong một hệ thống sử dụng công nghệ VPN
1.3.2 Thực hành
Xây dựng bài lab mô phỏng cấu hình VPN site to site để làm rõ các bước khi cấu hình VPN
1.4 Kết quả đạt được
• Nắm rõ các thành phần, cơ chế hoạt động của công nghệ VPN
• Triển khai được bài lab mô phỏng cấu hình VPN
• Bước đầu có những nhận xét, đánh giá về lợi ích mà VPN đem lại
Trang 9CHƯƠNG 2: TỔNG QUAN VỀ VPN
CHƯƠNG 2: TỔNG QUAN VỀ VPN
2.1 Định nghĩa, chức năng của VPN
2.1.1 Khái niệm cơ bản về VPN
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của nhiều doanh nghiệp, đặc biệt là các doanh nghiệp có nhiều cơ sở cách xa nhau Nếu như trước đây giải pháp thông thường là thuê các đường truyền riêng (leased lines) để duy trì mạng WAN (Wide Are Network) Mỗi mạng WAN đều có các điểm thuận lợi
về độ tin cậy, hiệu năng và tính an toàn, bảo mật Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, các doanh nghiệp sẽ phải tốn một khoản đầu tư khá lớn
Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như một phương tiện quảng bá và mở rộng các mạng mà họ sở hữu Ban đầu, là các mạng nội
bộ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty
Hình 2 1 Mô hình VPN cơ bản
Về căn bản, mỗi VPN (virtual private network) là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet
từ mạng riêng của công ty tới các site của các nhân viên từ xa
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP
VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua một mạng công cộng sử dụng các kết nối tạm thời Những kết nối bảo mật được thiết lập giữa 2 host, giữa host và mạng hoặc giữa hai mạng với nhau
Trang 10• Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào
• Tính xác thực (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
2.2 Các yêu cầu cơ bản của một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo
• Tính tương thích (compatibility): Mỗi công ty, mỗi doanh nghiệp đều có thể tự xây dựng các hệ thống mạng của mình mà không cần tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậykhông thể kết nối trực tiếp với Internet Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức năng trong việc chuyển đổi các chuẩn khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ
• Tính bảo mật (security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng nội bộ do họ tự xây dựng và quản lý Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
• - Cung cấp tính năng an toàn thích hợp bao gồm cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền
• - Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống
• Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền
• Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới
có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên
Trang 11Mã hoá(Encryption) chắc chắn rằng bản tin không bị đọc bởi bất kỳ ai nhưng có thể
đọc được bởi người nhận Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hoá thông tin càng trở nên quan trọng Mã hoá sẽ biến đổi nội dung thông tin thành trong một văn bản mật mã bất kì Người nhận sẽ được cung cấp một công cụ để giải mã
Một số thuật ngữ thường được sử dụng:
• Hệ thống mã hoá (CryptoSystem): Là một hệ thống để thực hiện mã hoá hay giải
mã, xác thực người dùng, băm (hashing) và các quá trình trao đổi khoá, một hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầu cho một vài loại traffic cụ thể
• Hàm băm (hashing): Là một kỹ thuật đảm bảo tính toàn vẹn dữ liệu, nó sử dụng một công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố định Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận, việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong khi truyền trên mạng
Trang 12CHƯƠNG 2: TỔNG QUAN VỀ VPN
• Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực đảm bảo chắc chắn rằng cá nhân hay một tiến trình là hợp lệ
• Cho phép (Authorization): Là hoạt động kiểm tra thực thể nào đó có được phép thực hiện những quyền hạn cụ thể nào
• Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ được tin tưởng để bảo mật quá trình truyền tin giữa các thực thể mạng hoặc người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng cho mục đích mã hoá Một CA đảm bảo cho sự liên kết giữa các thành phần bảo mật trong chứng nhận
• IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa giữa hai điểm kết nối VPN IKE hỗ trợ ba kiểu xác thực là dùng khóa biết trước (pre-share key), RSA và RSA signature IKE lại dùng hai giao thức là Oakley Key Exchange (mô tả kiểu trao đổi chìa khoá) và Skeme Key Exchange (định nghĩa kỹ thuật trao đổi chìa khoá), mỗi giao thức định nghĩa một cách thức để thiết lập sự trao đổi khoá xác thực, bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ
tự các khoá được xử lý và các khoá được sử dụng như thế nào
• AH (Authentication Header): Là giao thức bảo mật giúp xác thực dữ liệu, bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin) AH được nhúng vào trong dữ liệu để bảo vệ
• ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin cậy của dữ liệu, đảm bảo tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu ESP đóng gói dữ liệu để bảo vệ
2.4 Các dạng kết nối VPN
2.4.1 Remote access VPN (VPN client to site)
Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cập vào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất
là một server) Vì vậy, giải pháp này thường được gọi là client/server Trong giải pháp này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về mạng trung tâm của họ
Các thành phần chính của một giải pháp Remote access VPN bao gồm:
• Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụ xác thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối
• Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet, những người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kết nối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyên của doanh nghiệp thông qua Remote Access VPN
Trang 13CHƯƠNG 2: TỔNG QUAN VỀ VPN
Hình 2 3 Mô hình Remote access VPN
Ưu điểm và nhược điểm của Remote access VPN:
• Ưu điểm Remote access VPN:
- VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối
từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm
- Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truy nhập từ xa chính là các kết nối Internet
- VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu
• Nhược điểm của Remote access VPN:
- Remote Access VPN không đảm bảo được chất lượng dịch vụ (QoS)
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể bị thất thoát
- Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình xác nhận
2.4.2 Site-to-site VPN ( Lan-to-lan)
Site-to-Site VPN là giải pháp kết nối các hệ thống mạng ở những địa điểm khác nhau với mạng trung tâm thông qua VPN Trong trường hợp này, quá trình xác thực ban đầu cho người sử dụng là quá trình xác thực giữa các thiết bị Các thiết bị này hoạt
động như cổng an ninh (security gateway), truyền dẫn lưu lượng một cách an toàn từ
site này tới site kia Các bộ định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực
Trang 15CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:
• L2F - Layer 2 Forwarding Protocol
• PPTP - Point-to-Point Tunneling Protocol
• L2TP - Layer 2 Tunneling Protocol
• IPSec - IP Security
Ngoài ra còn một số giao thức khác, tuy nhiên những giao thức này ít được sử dụng bởi một số bất cập trong quá trình triển khai Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểm khác nhau khi triển khai vào mạng VPN, việc quan trọng là người thiết kế phải kết hợp các giao thức một cách linh hoạt
3.1 Các giao thức đường hầm
Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao thức đường hầm khác nhau, việc sử dụng giao thức nào liên quan đến các phương pháp xác thực và mã hóa đi kèm Như đã giới thiệu ở trên, các giao thức đường hầm phổ biến hiện nay là:
• L2F - Layer 2 Forwarding Protocol
• PPTP - Point-to-Point Tunneling Protocol
• L2TP - Layer 2 Tunneling Protocol
3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol)
Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thống mạng của Cisco dựa trên giao thức PPP - Point to Point Protocol (là một giao thức truyền thông nối tiếp lớp 2), L2F cho phép máy tính của người dùng truy nhập vào mạng Intranet của một tổ chức thông qua cơ sở hạ tầng mạng công cộng Internet với
sự an toàn cao Tương tự như giao thức định đường hầm điểm tới điểm PPTP, giao thức L2F cho phép truy nhập mạng riêng ảo một cách an toàn xuyên qua cơ sở hạ tầng mạng công cộng bằng cách tạo ra một đường hầm giữa hai điểm kết nối
Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX, NetBIOS và NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F
có thể làm việc với nhiều công nghệ mạng khác nhau như: Frame Relay, ATM, FDDI
L2F hỗ trợ việc định đường hầm cho hơn một kết nối L2F có thể làm được điều này trong khi nó định nghĩa những kết nối bên trong đường hầm, đây là một đặc điểm hữu ích của L2F trong trường hợp ở nơi có nhiều người sử dụng truy nhập từ xa mà chỉ có duy nhất một kết nối được thoả mãn yêu cầu
Trang 16CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
PSTN
Internet Service Provider
Eterprise Customer
L2F Tunnel Laptop
Cấu trúc của 1 gói tin đi qua L2F VPN như sau:
1bit 1bit 1bit 1bit 8bit 1bit 3 bit 8 bit 8bit
Key Data Checksum
Trong đó, ý nghĩa của các trường như sau:
Trang 17CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
- Version: phiên bản của L2F
- Protocol: xác định giao thức đóng gói L2F
- Sequence: số chuỗi được đưa ra nếu trong tiêu đề L2F có bit S = 1
- Multiplex ID: nhận dạng một kết nối riêng trong một đường hầm
- Client ID: giúp tách đường hầm tại những điểm cuối
- Length: chiều dài của gói (tính bằng byte) không bao gồm phần Checksum
- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu
- Key: là một phần của quá trình xác thực (có mặt khi bit K = 1)
- Checksum: tổng kiểm tra của gói (có mặt khi bit C = 1)
Hệ thống sử dụng L2F bao gồm các thành phần sau:
Hình 3 2 Các thành phần trong hệ thống VPN sử dụng L2F
• Máy chủ truy nhập mạng (NAS – Network Access Server): hướng lưu lượng đến
và đi giữa máy khách ở xa (Remote client) và Home Gateway
• Đường hầm (Tunnel): định hướng đường đi giữa NAS và Home Gateway Một đường hầm có thể bao gồm một số kết nối
• Home Gateway: ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng
• Kết nối (Connection): là một kết nối PPP trong đường hầm
• Điểm đích (Destination): là điểm kết thúc ở đầu xa của đường hầm, trong trường hợp này thì Home Gateway chính là điểm đích
Trang 18CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
Các bước hoạt động của L2F bao gồm: thiết lập kết nối, định đường hầm và phiên làm việc Cụ thể như sau:
• Người sử dụng ở xa dial-up tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP
• Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol)
• NAS sử dụng cơ sử dữ liệu cục bộ liên quan tới tên miền hay xác thực RADIUS
để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F
• Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của Gateway đích
• Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có đường hầm nào Việc thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại tấn công bởi kẻ thứ 3
• Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP từ người sử dụng ở xa tới Home Gateway Kết nối này được thiết lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như đã thỏa thuận bởi đầu cuối người sử dụng và NAS Home Gateway chấp nhận kết nối hay thỏa thuận lại LCP và xác thực lại người sử dụng
• Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vào trong các khung L2F và hướng chúng vào trong đường hầm
• Tại Home Gateway, khung L2F được tách bỏ và dữ liệu đóng gói được hướng tới mạng công ty
Ưu điểm và nhược điểm của L2F:
• Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức
- Được hỗ trợ bởi nhiều nhà cung cấp
• Nhược điểm:
- Không có mã hóa
- Hạn chế trong việc xác thực người dùng
- Không có điều khiển luồng cho đường hầm
3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)
PPTP là kết quả của sự nỗ lực chung giữa Microsoft và một loạt các nhà cung cấp thiết bị mạng như 3Com, Ascend Communications, ECI Telematics và U.S Robotics Ban đầu, những công ty này tạo ra PPTP Forum và đưa ra các thông số kỹ thuật mô tả PPTP Sau đó, họ gửi những thông số này tới IETF để được xem xét công nhận như là một chuẩn Internet vào năm 1996 Ý tưởng cơ bản của giao thức này là tách các chức năng chung và riêng của truy nhập từ xa, lợi dung cơ sở hạ tầng Internet sẵn có để tạo
Trang 19CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
kết nối bảo mật giữa người dùng ở xa và mạng riêng mà họ được phép truy nhập Người dùng ở xa chỉ việc kết nối tới nhà cung cấp dịch vụ Internet ở địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ
Tương tự giao thức L2F, giao thức PPTP (Point-to-Point Tunneling Protocol) ban đầu được phát triển và được thiết kế để giải quyết vấn đề tạo và duy trì các đường hầm VPN trên các mạng công cộng dựa vào TCP/IP bằng cách sử dụng PPP PPTP sử dụng giao thức đóng gói định tuyến chung (GRE) được mô tả lại để đóng và tách gói PPP Giao thức này cho phép PPTP xử lý các giao thức khác không phải IP như IPX, NetBEUI một cách linh hoạt
`
Internet
Network Access Server (ISP POP) PPTP
Server
PPP Connection PPTP Connection (VPN)
Hình 3 3 Mô hình kết nối PPTP
3.1.2.1 Khái quát hoạt động của PPTP
PPP đã trở thành giao thức truy nhập Internet và các mạng IP rất phổ biến hiện nay,
nó làm việc ở lớp liên kết dữ liệu (Datalink Layer) trong mô hình OSI PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp, PPP có thể đóng các gói tin IP, IPX và NetBEUI để truyền đi trên kết nối điểm – điểm
từ máy gửi đến máy nhận
PPTP đóng gói các khung dữ liệu của giao thức PPP và các IP datagram để truyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm và một phiên bản của giao thức GRE để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hóa và/hoặc nén
PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý
- Xác thực người sử dụng
- Tạo các gói dữ liệu PPP
PPTP giả định tồn tại một mạng IP giữa PPTP client và PPTP server PPTP client
có thể được kết nối trực tiếp thông qua việc dial-up tới máy chủ truy nhập mạng NAS
Trang 20CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
để thiết lập kết nối IP Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực, đây là giai đoạn tùy chọn trong PPP, tuy nhiên nó luôn được cung cấp bởi các ISP
Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP Các cơ chế xác thực có thể là:
- EAP (Extensible Authentication Protocol): giao thức xác thực mở rộng
- CHAP (Challenge Handshake Authentication Protocol): giao thức xác thực đòi hỏi bắt tay
- PAP (Password Authentication Protocol): giao thức xác thực mật khẩu
Với PAP, mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản (clear text), không có bảo mật CHAP là một giao thức xác thực mạnh hơn sử dụng phương thức bắt tay ba bước CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (Challenge Value) duy nhất và không thể đoán trước được
PPTP cũng thừa hưởng vật mật mã và/hoặc nén phần tải tin từ PPP Để mật mã phần tải tin, PPP có thể sử dụng phương thức mã hóa điểm – tới – điểm MPPE (Microsoft Point to Point Encryption) MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP đã được thiết lập
Sau khi PPP thiết lập kết nối, PPTP sử dụng các qui luật đóng gói của PPP để đóng các gói truyền trong đường hầm Để tận dụng ưu điểm của kết nối tạo ra bởi PPP,
PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu, sau đó gán chúng vào hai
kênh riêng là kênh điều khiển và kênh dữ liệu PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức
IP Kết nối TCP tạo giữa máy trạm PPTP và máy chủ PPTP được sử dụng để truyền tải thông báo điều khiển
Các gói dữ liệu là dữ liệu thông thường của người dùng, các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa ứng dụng khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm
3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (cổng TCP được cấp phát ngẫu nhiên) và địa chỉ IP của máy chủ PPTP (sử dụng cổng mặc định là 1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý được sử dụng
để duy trì đường hầm PPTP Các bản tin này bao gồm PPTP echo-request và PPTP echo-reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ PPTP Các
Trang 21CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
gói của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề, phần đuôi của lớp liên kết dữ liệu
Cấu trúc 1 gói dữ liệu kết nối điều khiển PPTP:
Tiêu đề liên
kết dữ liệu Tiêu đề IP
Tiêu đề TCP
Bản tin điều khiển PPTP
Phần đuôi liên kết dữ liệu
3.1.2.3 Đóng gói dữ liệu đường hầm PPTP
• Đóng gói khung PPP và GRE
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức như sau:
Tiêu đề PPP
Tải PPP được mã
hóa (IP, IPX, NetBEUI)
Phần đuôi liên kết dữ liệu
Phần tải của khung PPP ban đầu được mã hóa và đóng gói với tiêu đề PPP để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi
GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP Đối với phần PPTP, phần tiêu đề của GRE được sửa đổi một số điểm như sau:
- Một trường xác nhận 32bit được thêm vào
- Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32bit
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường chỉ số cuộc gọi 16bit Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm PPTP
• Đóng gói IP
Phần tải PPP (đã được mã hóa) và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP
• Đóng gói lớp liên kết dữ liệu
Trang 22CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
Để có thể truyền qua mạng LAN hoặc WAN, gói IP cuối cùng sẽ được đóng gói với một tiêu đề và phần đuôi của lớp liên kết dữ liệu ở giao diện vật lý đầu ra Ví dụ, nếu gói IP được gửi qua giao diện Ethernet, nó sẽ được đóng gói với phần tiêu đề và đuôi Ethernet Nếu gói được gửi qua đường truyền WAN điểm – tới – điểm, nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP
• Xử lý dữ liệu tại đầu cuối đường hầm PPTP
Khi nhận được dữ liệu đầu cuối đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực hiện các bước sau:
- Xử lý loại bỏ phần tiêu đề và đuôi của lớp liên kết dữ liệu
- Xử lý và loại bỏ tiêu đề IP
- Xử lý và loại bỏ tiêu đề GRE và PPP
- Giải mã và/hoặc giải nén phần tải PPP (nếu cần thiết)
- Xử lý phần tải tin để nhận hoặc chuyển tiếp
3.1.2.4 Ưu điểm và nhược điểm của PPTP
Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp
3 của mô hình OSI Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP (ví dụ IPX, NetBEUI ) trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm
Tuy nhiên, PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thay thế PPTP bằng L2TP khi giao thức này đã được chuẩn hóa PPTP thích hợp cho việc dial-up truy nhập với số lượng người dùng giới hạn hơn là cho VPN kết nối LAN-LAN Một vấn đề của PPTP là xử lý xác thực người dùng thông qua Windows Server hay thông qua RADIUS, máy chủ PPTP thường quá tải khi có số lượng lớn người dùng dial-up hay một lượng lớn dữ liệu truyền qua, mà điều này là một yêu cầu
cơ bản của kết nối LAN-LAN
3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol)
Để tránh việc hai giao thức định đường hầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp 2 giao thức L2F và PPTP và phát triển thành L2TP L2TP được xây dựng trên cơ sở tận dụng các ưu điểm của PPTP và L2F, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của hai giao thức này Một đường hầm L2TP có thể được khởi tạo từ một PC ở xa dial-up về LNS (L2TP Network Server) hay từ LAC (L2TP Access Concentrator) về LNS Mặc dù L2TP vẫn dùng PPP nhưng L2TP định nghĩa cơ chế tạo đường hầm của riêng nó tùy thuộc vào phương tiện truyền chứ không dùng GRE
Trang 23CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
Kết nối LAN - Client
Bộ tập trung truy nhập L2TP của ISP
Hình 3 4 Mô hình kết nối VPN sử dụng L2TP
L2TP đóng gói các khung PPP để truyền qua mạng IP, X25, Frame Relay hoặc ATM, tuy nhiên hiện nay mới chỉ có L2TP truyền qua mạng IP được định nghĩa Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP L2TP có thể được sử dụng như một giao thức định đường hầm thông qua Internet hoặc các mạng riêng Intranet L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường hầm cũng như các dữ liệu duy trì đường hầm Phần tải của khung PPP đã đóng gói có thể được mã hóa và nén Mã hóa trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phải là MPPE như đối với PPTP) Ta cũng có thể tạo kết nối L2TP không sử dụng mật mã IPSec, tuy nhiên đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mã hóa Các kết nối L2TP không mã hóa có thể được sử dụng tạm thời để sửa các lỗi kết nối L2TP dùng IPSec
L2TP giả định tồn tại mạng IP giữa máy trạm (VPN client dùng giao thức đường hầm L2TP và IPSec) và máy chủ L2TP Máy trạm L2TP có thể được kết nối trực tiếp với mạng IP để truy nhập tới máy chủ L2TP hoặc gián tiếp thông qua việc dial-up tới NAS (máy chủ truy nhập mạng) để thiết lập kết nối IP Việc xác thực trong quá trình hình thành đường hầm L2TP phải sử dụng các cơ chế xác thực trong kết nối PPP như EAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet Giống như PPTP, L2TP cũng dùng hai kiểu bản tin là điều khiển và dữ liệu Các bản tin điều khiển chịu trách nhiệm thiết lập, duy trì và hủy các đường hầm Các bản tin dữ liệu đóng gói các khung PPP được truyền trong đường hầm Các bản tin điều khiển dùng cơ chế điều khiển tin cậy bên trong L2TP để đảm bảo việc phân phối, trong khi các bản tin dữ liệu không được gửi lại khi bị mất trên đường truyền
