Xây dựng mạng riêng ảo VPN

Internet ngày một phổ biến và gia tăng một cách mạnh mẽ, các công ty kinh doanh đầu tư vào nó như một phương tiện quảng bá công ty của họ và đồng thời cũng mở rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Có rất nhiều công ty đang tạo ra các mạng riêng ảo VPN để điều tiết và quản lý các nhân viên hay các văn phòng đại diện từ xa. VPN là từ thường dùng trong suốt khoảng mấy năm qua. Từ đó, chúng ta hiểu về nó và ứng dụng VPN vào những mục đích phục vụ cuộc sống như trong kinh doanh và văn hoá hiện đại. Có thể nói rằng VPN là một sự kết hợp của đường hầm, sự mật mã, sự xác thực, công nghệ điều khiển truy cập và sự phục vụ đã từng lưu thông trên Internet, mạng IP được quản trị hoặc mạng Backbone của nhà cung cấp dịch vụ. Phạm vi đi lại của đường trục của mạng này dùng sự kết hợp của công nghệ truy cập bao gồm frame relay, ISDN, ATM hoặc Aimple-Dial Access. VPN có thể được hiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạng riêng biệt. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng. Chương này trình bày nhưng khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó khăn khi sử dụng các loại hình VPN khác nhau. Trong chương này chúng ta giới thiệu về một số nội dung sau: ã Khái niệm về VPN ã Chức năng và lợi ích của VPN ã Mô hình VPN ã Phân loại VPN

doc72 trang | Chia sẻ: banmai | Lượt xem: 2749 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Xây dựng mạng riêng ảo VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ớn thường là sử dụng mô hình AS-Multihomed, vì vị trí địa lý khác nhau, rất khó đạt được kết nối VPN đầy đủ qua một nhà cung cấp dịch vụ. Ngay cả nếu kết nối đó có thể đạt được thì trong mô hình mạng này cũng có thể bị chia ra thành nhiều AS nhỏ hơn. Do đó, dịch vụ MPLS VPN lớp 3 cần phải được mở rộng ra ngoài một AS. Cho phép một VPN đi qua nhiều mạng Backbone của nhiều nhà cung cấp dịch vụ. Mỗi nhà cung cấp dịch vụ, quản trị mỗi AS khác nhau, có thể đáp ứng dịch vụ MPLS-VPN cho cùng một người dùng đầu cuối. Một VPN có thể bắt đầu ở một site người dùng và di duyển qua nhiều mạng Backbone của nhà cung cấp dịch vụ khác nhau trước khi đến site khác của cùng người dùng đó. Đặc điểm này cho phép nhiều AS thành lập một mạng liên tục giữa các site người dùng với của một nhà cung cấp. Cho phép một VPN tồn tại trong nhiều vùng khác nhau. Một nhà cung cấp dịch vụ có thể tạo ra VPN trong nhiều vùng địa lý khác nhau. Và việc có tất cả lưu lượng VPN chảy qua một điểm giữa các vùng cho phép điều khiển tốc độ lưu lượng mạng tốt hơn giữa các vùng đó. Sử dụng Confederation để tối ưu IBGP meshing, đáp ứng khả năng mở rộng. Mô hình hệ thống tự trị được chia ra thành 2 kết nối như sau: Kết nối giữa các nhà cung cấp với nhau Kết nối giữa các AS với nhau 2.5.2 Nhà cung cấp dịch vụ hạ tầng Từ những ưu điểm của công nghệ MPLS-VPN và cộng với sự phát triển, mở rộng mạng ra nhiều vùng địa lý khác nhau. Nhiều doanh nghiệp lớn, doanh nghiệp trung bình, nhiều nhà cung cấp dịch vụ MPLS-VPN nhỏ hơn, và nhiều nhà cung cấp dịch vụ Internet đã nhận thấy rằng khi kết nối vào mạng Backbone MPLS-VPN họ có thể tránh được việc phải xây dựng cơ sở hạ tầng lớp 2 cho mạng của mình. Thay vào đó sử dụng mạng Backbone của nhà cung cấp MPLS-VPN để kết nối các site lại với nhau. Ngoài vấn đề giảm thiểu được chi phí thì mỗi site có thể kết nối đến toàn bộ các site ngang cấp với nó. Do đó sẽ cung cấp được định tuyến tối ưu nhất. Điều này có nghĩa là để cho phép tất cả các người dùng như vậy truy cập vào mạng MPLS-VPN Backbone thì mạng Backbone phải có khả năng mang một số lượng cực kì lớn thông tin định tuyến cho mỗi cá nhân người dùng. Các nhà cung cấp dịch vụ Internet hầu như cần phải trao đổi một phần, nếu không nói là toàn bộ, bảng định tuyến Internet giữa các site của họ để người dùng của họ có thể truy cập được Internet. Việc truy cập đến những người dùng này gây ra vấn đề khó khăn khi mở rộng, vì mỗi Router PE phải duy trì tất cả thông tin định tuyến nội bộ trong một VRF. Thông tin định tuyến này sau đó được phân phối đến tất cả các Router PE có liên quan, lúc đó Router CE hoàn toàn có thể đạt được thông tin định tuyến thích hợp. Để giải quyết vấn đề mở rộng trong trường hợp trên, một giải pháp mới được mở rộng ra từ MPLS-VPN chuẩn, được gọi là hỗ trợ hạ tầng thiết bị cho nhau. Các nhà cung cấp dịch vụ được sử dụng hạ tầng thiết bị của nhà cung cấp dịch vụ khác được gọi là nhà cung cấp dịch vụ người dùng. Hỗ trợ dịch vụ hạ tầng sử dụng để mô tả một tình huống khi một nhà cung cấp dịch vụ cho phép nhà cung cấp dịch vụ khác sử dụng một phần trong mạng Backbone của họ. Nhà cung cấp dịch vụ cung cấp một phần trong mạng Backbone cho nhà cung cấp dịch vụ khác được gọi là hỗ trợ hạ tầng đường trục. Một số ưu điểm khi sử dụng hỗ trợ hạ tầng thiết bị kĩ thuật Mạng MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật cung cấp nhiều ưu điểm cho nhà cung cấp dịch vụ, kể cả hỗ trợ hạ tầng backbone. Ưu điểm đối với hỗ trợ hạ tầng Backbone. Hỗ trợ hạ tầng thiết bị Backbone có thể cung cấp cho nhiều nhà cung cấp dịch vụ khách hàng và cho phép họ truy cập vào mạng Backbone. hạ tầng thiết bị Backbone không cần phải tạo và duy trì mỗi Backbone riêng cho nhà cung cấp dịch vụ khách hàng. Sử dụng một mạng Backbone để hỗ trợ nhiều nhà cung cấp dịch vụ khách hàng chỉ đơn giản thông qua hoạt động VPN của hạ tầng thiết bị Backbone. Hạ tầng thiết bị Backbone chỉ cần sử dụng một phương pháp cố định để quản lý và duy trì mạng Backbone. Điều này có nghĩa là tiết kiệm được chi phí và hiệu quả hơn so với việc phải duy trì riêng từng Backbone. Đặc điểm MPLS hỗ trợ hạ tầng thiết bị kĩ thuật có khả năng mở rộng, nó có thể thay đổi VPN để đáp ứng nhu cầu băng thông và kết nối. Nó có thể hỗ trợ đến mười ngàn VPN qua cùng một mạng, và cho phép nhà cung cấp dịch vụ có thể vừa đáp ứng dịch vụ VPN vừa đáp ứng được dịch vụ Internet. Hỗ trợ hạ tầng thiết bị Backbone có thể hỗ trợ nhiều loại nhà cung cấp dịch vụ khách hàng. Hỗ trợ hạ tầng thiết bị Backbone có thể chấp nhận các nhà cung cấp dịch vụ khách hàng là nhà cung cấp dịch vụ hoặc là nhà cung cấp dịch vụ VPN, hoặc cả hai. Nó có thể hỗ trợ nhà cung cấp dịch vụ khách hàng yêu cầu bảo mật và nhiều loại băng thông. Ưu điểm của nhà cung cấp dịch vụ khách hàng MPLS-VPN hỗ trợ hạ tầng thiết bị kĩ thuật giúp cho nhà cung cấp dịch vụ khách hàng loại bỏ việc phải cấu hình, hoạt động và duy trì mạng Backbone của riêng họ. nhà cung cấp dịch vụ khách hàng sử dụng mạng Backbone của hạ tầng thiết bị Backbone. Nhà cung cấp dịch vụ khách hàng sử dụng dịch vụ VPN của hạ tầng thiết bị Backbone nhận cùng mức độ bảo mật như các VPN lớp 2 như Frame Relay, ATM. Nhà cung cấp dịch vụ khách hàng cũng có thể sử dụng IPSec trong VPN của họ để bảo mật ở mức cao hơn, việc này hoàn toàn trong suốt đối với hỗ trợ hạ tầng thiết bị Backbone. Nhà cung cấp dịch vụ khách hàng có thể sử dụng bất kì mô hình địa chỉ nào và vẫn được hỗ trợ bởi hỗ trợ hạ tầng thiết bị Backbone. Không gian địa chỉ khách hàng và thông tin định tuyến của một nhà cung cấp dịch vụ khách hàng độc lập với nhà cung cấp dịch vụ khách hàng khác, và độc lập với hỗ trợ hạ tầng thiết bị Backbone. 2.6 Vấn đề bảo mật trong mạng MPLS-VPN Trong lĩnh vực bảo mật, mục tiêu của mô hình mạng MPLS-VPN lớp 3 là đạt được sự bảo mật có thể so sánh với sự bảo mật trong mô hình mạng overlay VPN như ATM hay Frame Relay mang lại Bảo mật cho VPN phải đảm bảo được sự cách ly về thông tin định tuyến, về không gian địa chỉ của mỗi VPN. Nghĩa là việc cấp địa chỉ của mỗi VPN là hoàn toàn độc lập nhau. Thông tin định tuyến từ VPN này không được đưa vào VPN khác và ngược lại. Thứ hai là bảo mật phải đảm bảo được cấu trúc mạng lõi hoàn toàn trong suốt với người dùng sử dụng dịch vụ. Thứ ba, bảo mật phải đảm bảo được việc tránh làm giả nhãn như việc làm giả địa chỉ IP và chống các cuộc tấn công từ chối dịch vụ cũng như tấn công truy nhập dịch vụ. Trước hết ta biết rằng trong mạng MPLS-VPN cho phép sử dụng cùng không gian giữa các VPN nhưng vẫn tạo được tính duy nhất là dựa vào giá trị 64 bits nhờ trường phân biệt tuyến. Do đó, người dùng sử dụng dịch vụ MPLS-VPN không cần phải thay đổi địa chỉ hiện tại của mình. Mỗi Router PE duy trì một bảng VRF riêng cho mỗi VPN, và VRF này chỉ phổ biến các Router thuộc về VPN đó. Do đó đảm bảo được sự cách ly thông tin định tuyến giữa các VPN với nhau. MPLS là kỹ thuật chuyển mạch nhãn, vì thế sự chuyển gói dữ liệu đi trong mạng không dựa vào địa chỉ IP trên mào đầu gói tin. Hơn nữa, tất cả các LSP đều kết thúc tại các Router biên PE chứ không phải kết thúc tại các Router P trong mạng. Do đó mạng lõi bên trong hoàn toàn trong suốt đối với người dùng. Trong mạng MPLS-VPN, thật khó có thể tấn công trực tiếp vào VPN. Chỉ có thể tấn công vào mạng lõi MPLS, rồi từ đó tấn công vào VPN. Mạng lõi có thể tấn công theo hai cách: Bằng cách tấn công trực tiếp vào Router PE. Bằng cách tấn công vào các cơ chế báo hiệu MPLS. Để muốn tấn công vào mạng, trước hết cần phải biết địa chỉ IP của nó. Nhưng mạng lõi MPLS hoàn toàn trong suốt so với bên ngoài, do đó kẻ tấn công không thể biết được địa chỉ IP của bất kì Router nào trong mạng lõi. Họ có thể đoán địa chỉ và gửi gói tin đến những địa chỉ này. Tuy nhiên, trong mạng MPLS, mỗi gói tin đi vào đều được xem như là thuộc về không gian địa chỉ nào đó của người dùng. Do đó, thật khó có thể tìm được các Router bên trong ngay cả khi đoán được địa chỉ. Có thể việc trao đổi thông tin định tuyến giữa Router PE và CE sẽ là điểm yếu trong mạng MPLS-VPN nhưng trên Router PE có thể dùng các phương pháp truy nhập, các phương pháp xác thực của giao thức định tuyến dùng trên kết nối đó sẽ đảm bảo được vấn đề bảo mật. Việc làm giả nhãn cũng khó có thể xảy ra tại vì Router PE chỉ chấp nhận những gói tin từ Router CE gửi đến là gói tin không có nhãn, nếu gói tin là có nhãn thì nhãn đó là do PE kiểm soát và quản lý. Từ những vấn đề nêu trên, ta thấy việc bảo mật trong mạng MPLS-VPN hoàn toàn có thể so sánh ngang bằng với việc bảo mật trong mạng ATM. 2.7 Các giao thức đường hầm mạng riêng ảo Giao thức đường hầm là một nền tảng trong VPN. Giao thức đường hầm đóng vai trò quan trọng trong việc thực hiện đóng gói và vận chuyển gói tin để truyền trên đường mạng công cộng. Có ba giao thức đường hầm cơ bản và được sử dụng nhiều trong thực tế và đang được sử dụng hiện nay là giao thức tầng hầm chuyển tiếp lớp 2 L2F, Giao thức đường hầm điểm tới điểm (PPTP), giao thức tầng hầm lớp 2 Layer. Trong chương này sẽ đi sâu hơn và cụ thể hơn các giao thức đường hầm nói trên. Nó liên quan đến việc thực hiện IP-VPN trên mạng công cộng. Nội dung phần này bao gồm: Giới thiệu các giao thức đường hầm Giao thức đường hầm điểm tới điểm Giao thức chuyển tiếp lớp 2 Giao thức đường hầm lớp 2 2.7.1 Giới thiệu các giao thức đường hầm Có rất nhiều giao thức đường hầm khác nhau trong công nghệ VPN, và việc sử dụng các giao thức nào lên quan đến các phương pháp xác thực và mật mã đi kèm. Một số giao thức đường hầm phổ biến hiện nay là: Giao thức tầng hầm chuyển tiếp lớp 2 (L2F). Giao thức đường hầm điểm tới điểm (PPTP). Giao thức tầng hầm lớp 2 (L2TP). Hai giao thức L2F và PPTP đều được kế thừa và phát triển dựa trên giao thức PPP (Point to Point Protocol). Có thể nói PPP là một giao thức cơ bản và được sử dụng nối tiếp lớp 2, Có thể sử dụng để chuyển gói tin dữ liệu qua các mạng IP và hỗ trợ đa giao thức lớp trên. Giao thức L2F được hãng Cisco nghiên cứu và phát triển độc quyền, còn PPTP được nhiều công ty cùng nhau hợp tác nghiên cứu và phát triển. Dựa vào hai giao thức trên được tổ chức kĩ thuật Internet (IETF) đã phát triển giao thức đường hầm L2TP. Và hiện nay các giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F. Trong các giao thức đường hầm nói trên, giao thức IPSec là một trong nhưng giải pháp tối ưu về mặt an toàn dữ liệu của gói tin. Nó được sử dụng các phương pháp xác thực và mật mã tương đối cao. IPSec được mang tính linh động hơn, không bị ràng buộc bởi các thuật toán xác thực hay mật mã nào cả. 2.7.2 Giao thức đường hầm điểm tới điểm Giao thức này được nghiên cứu và phát triển bởi công ty chuyên về thiết bị công nghệ viễn thông. Trên cơ sở của giao thức này là tách các chức năng chung và riêng của việc truy nhập từ xa, dự trên cơ sở hạ tầng Internet có sẵn để tạo kết nối đường hầm giữa người dùng và mạng riêng ảo. Người dùng ở xa có thể dùng phương pháp quay số tới các nhà cung cấp dịch vụ Internet để có thể tạo đường hầm riêng để kết nối tới truy nhập tới mạng riêng ảo của người dùng đó. Giao thức PPTP được xây dựng dựa trên nền tảng của PPP, nó có thể cung cấp khả năng truy nhập tạo đường hầm thông qua Internet đến các site đích. PPTP sử dụng giao thức đóng gói tin định tuyến chung GRE được mô tả để đóng lại và tách gói PPP. Giao thức này cho phép PPTP linh hoạt trong xử lý các giao thức khác. 2.7.2.1 Nguyên tắc hoạt động của PPTP PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chổ kết nối điểm tới điểm từ máy này sang máy khác. PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thức đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP. Phần tải của khung PPP có thể được mã hoá và nén lại. PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thức kết nối vật lý, xác định người dùng, và tạo các gói dữ liệu PPP. PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP. Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận. Đó là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP. Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ chế xác thực được sử dụng là: Giao thức xác thực mở rộng EAP. Giao thức xác thực có thử thách bắt tay CHAP. Giao thức xác định mật khẩu PAP. Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật. CHAP là giao thức các thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được. PPTP cũng được các nhà phát triển công nghệ đua vào việc mật mã và nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE. MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không cung cấp mật mã tại các thiết bị đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP được thiết lập. Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm. Để có thể dự trên những ưu điểm của kết nối tạo bởi PPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP tách các kênh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để truyền thông báo điều khiển. Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển được đua vào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa ứng máy khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm. Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP với một giao diện được nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP. 2.7.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ máy chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bản tin điều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu. Hình 2.11: Gói dữ liệu kết nối điều khiển PPTP 2.7.2.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP Đóng gói khung PPP và gói định tuyến chung GRE Dữ liệu đường hầm PPTP được đóng gói thông qua các mức được mô tả theo mô hình. Hình 2.12: Mô hình đóng gói dữ liệu đường hầm PPTP Phần tải của khung PPP ban đầu được mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi. GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm đó là. Một trường xác nhận dài 32 bits được thêm vào. Một bits xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32 bits. trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm. Đóng gói IP Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP. Đóng gói lớp liên kết dữ liệu Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ đựơc đóng gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Như trong mạng LAN thì nếu gói tin IP đựơc gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu đề và đuôi Ethernet. Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP. Sơ đồ đóng gói trong giao thức PPTP Quá trình đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây. Hình 2.13: Sơ đồ đóng gói PPTP Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại diện cho kết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạng NDIS. NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ liệu, cũng như cung cấp tiêu đề PPP phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP không có trường Flags và trường chuổi kiểm tra khung (FCS). Giả định trường địa chỉ và điều khiển được thoả thuận ở giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP. NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác định đường hầm. Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP. TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS. NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP. NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số. 2.7.2.4 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP Khi nhận được được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện các bước sau. Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin. Xử lý và loại bỏ tiêu đề IP. Xử lý và loại bỏ tiêu đề GRE và PPP. Giải mã hoặc nén phần tải tin PPP. Xử lý phần tải tin để nhận hoặc chuyển tiếp. 2.7.2.5 Triển khai VPN dựa trên PPTP Khi triển khai VPN dự trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có các thành phần thiết bị như chỉ ra ở hình trên nó bao gồm. Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN. Một máy chủ PPTP. Máy trạm PPTP với phần mềm client cần thiết. Hình 2.14: Các thành phần hệ thống cung cấp VPN dựa trên PPTP Máy chủ PPTP Máy chủ PPTP có hai chức năng chính, đóng vai trò là điểm kết nối của đường hầm PPTP và chuyển các gói tin đến từng đường hầm mạng LAN riêng. Máy chủ PPTP chuyển các gói tin đến máy đích bằng cách xử lý gói tin PPTP để có thể được địa chỉ mạng của máy đích. Máy chủ PPTP cũng có khả năng lọc gói, bằng cách sử dụng cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ có thể cho phép truy nhập vào Internet, mạng riêng hay truy nhập cả hai. Thiết lập máy chủ PPTP tại site mạng có thể hạn chế nếu như máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sao cho chỉ có một cổng TCP 1723 được sử dụng để chuyển dữ liệu đi. Nhược điểm của cấu hình cổng này có thể làm cho bức tường lửa dễ bị tấn công. Nếu như bức tường được cấu hình để lọc gói tin thì cần phải thiết lập nó cho phép GRE đi qua. Một thiết bị khác được đua ra năm 1998 do hãng 3 Com có chức năng tương tự như máy chủ PPTP gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể được sử dụng tại bức tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của mạng nội bộ. Nó có thể kiểm tra các gói tin đến và đi, giao thức của các khung PPP hoặc tên của người dùng từ xa. Phần mềm Client PPTP Các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng Client vẫn có thể tạo liên kết nối bảo mật bằng các đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở máy trạm. Máy chủ truy nhập mạng Máy chủ truy nhập mạng Network Access Server (NAS) còn có tên gọi là máy chủ truy nhập từ xa hay bộ tập trung truy nhập. NAS cung cấp khả năng truy nhập đường dây dựa trên phần mềm, có khả năng tính cước và có khẳ năng chịu đừng lỗi tại ISP, POP. NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể quay số truy nhập vào cùng một lúc. Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP để hỗ trợ các client chạy trên các hệ điều hành khác nhau. Trong trường hợp này máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm cuối còn lại máy chủ tại đầu mạng riêng 2.7.2.6 Một số ưu nhược điểm và khả năng ứng dụng của PPTP Ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 trong khi IPSec chạy ở lớp 3 của mô hình OSI. Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin IP trong đường hầm. PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp dịch vụ đều có kế hoạch thay đổi PPTP bằng L2TP khi giao thức này đã được mã hoá. PPTP thích hợp cho việc quay số truy nhập với số lượng người dùng giới hạn hơn là VPN kết nối LAN-LAN. Một vấn đề của PPTP là xử lý xác thực người thông qua hệ điều hành. Máy chủ PPTP cũng quá tải với một số lượng người dùng quay số truy nhập hay một lưu lượng lớn dữ liệu truyền qua, điều này là một yêu cầu của kết nối LAN-LAN. Khi sử dụng VPN dựa trên PPTP mà có hỗ trợ thiết bị ISP một số quyền quản lý phải chia sẽ cho ISP. Tính bảo mật của PPTP không mạng bằng IPSec. Nhưng quản lý bảo mật trong PPTP lại đơn giản hơn. Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận. Giao thức tạo đường hầm kế tiếp (L2F) được phát triển nhằm cải thiện bảo mật với mục đích này. 2.7.3 Giao thức chuyển tiếp lớp 2 (L2F) Giao thức L2F được nghiên cứu và phát triển sớm nhất và là một trong những phương pháp truyền thống để cho người sử dụng ở truy nhập từ xa vào mang các doanh nghiêp thông qua thiết bị. L2F cung cấp các giải cho dịch vụ quay số ảo bằng thiết bị một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. Nó cho phép đóng gói các gói tin PPP trong khuôn dạng L2F và định đường hầm ở lớp liên kết dữ liệu. 2.7.3.1 Nguyên tắc hoạt động của L2F Giao thức chuyển tiếp L2F đóng gói những gói tin lớp 2, sau đó trong truyền chúng đi qua mạng. Hệ thống sử dụng L2F gồm các thành phần sau. Máy trạm truy nhập mạng NAS: hướng lưu lượng đến và đi giữa các máy khách ở xa và Home Gateway. Một hệ thống ERX có thể hoạt động như NAS. Đường hầm: định hướng đường đi giữa NAS và Home Gateway. Một đường hầm gồm một số kết nối. Kết nối: Là một kết nối PPP trong đường hầm. Trong LCP, một kết nối L2F được xem như một phiên. Điểm đích: Là điểm kết thúc ở đâu xa của đường hầm. Trong trường hợp này thì Home Gateway là đích. Hình 2.15: Hệ thống sử dụng L2F Quá trình hoạt động của giao thức đường hầm chuyển tiếp là một quá trình tương đối phức tạp. Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. Với hệ thống NAS và máy trạm có thể trao đổi các gói giao thức điều khiển liên kết. NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới điểm tên miền để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F. Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của Gateway đích. Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng có chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại tấn công bởi những kẻ thứ ba. Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP mới được tạo ra người sử dụng ở xa tới Home Gateway. Kết nối này được thiết lập theo một quy trình như sau. Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như thoả thuận bởi đầu cuối người sử dụng và NAS. Home Gateway chấp nhận kết nối hay thoả thuận lại LCP và xác thực lại người sử dụng. Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vào trong các khung L2F và hướng chúng vào trong đường hầm. Tại Home Gateway khung được tách bỏ và dữ liệu đóng gói được hướng tới mạng một doanh nghiệp hay người dùng. Khi hệ thống đã thiết lập điểm đích đường hầm và những phiên kết nối, ta phải điều khiển và quản lý lưu lượng L2F bằng cách. Ngăn cản tạo những đích đến, đường hầm và các phiên mới. Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên, có khả năng kiểm tra tổng UDP. Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào các đường hầm kết nối. 2.7.3.2 Những ưu điểm và nhược điểm của L2F Mặc dù L2F yêu cầu mở rộng xử lý với các LCP và phương pháp tùy chọn khác nhau, nó được dùng rộng rãi hơn so với PPTP bởi vì nó là một giải pháp chuyển hướng khung ở cấp thấp. Nó cũng cung cấp một nền tảng giải pháp VPN tốt hơn PPTP đối với mạng doanh nghiệp. Những thuận lợi chính của việc triển khai giải pháp L2F bao gồm: Nâng cao bảo mật cho quá trình giao dịch. Có nền tảng độc lập. Không cần những sự lắp đặt đặc biệt với ISP. Hỗ trợ một phạm vi rộng rãi các công nghệ mạng  như  ATM, IPX, NetBEUI, và Frame Relay Những khó khăn của việc triển khai L2F bao gồm: L2F yêu cầu cấu hình và hỗ trợ lớn. Thực hiện L2F dựa trên ISP. Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F được. 2.7.4 Giao thức đường hầm lớp 2 (L2TP) 2.7.4.1 Các khái niệm về đường hầm lớp 2 Được phát triển bởi IETF và được chứng nhận bởi những nhà công nghiệp lớn như Cisco, Microsoft, và Ascend, L2TP là một giao thức VPN được kết hợp sớm nhất, PPTP và L2F. Thật vậy, nó kết hợp những đặc điểm tốt nhất của PPTP và L2F. L2TP cung cấp tính linh động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểm điểm nhanh của PPTP. Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm: L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP. L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng nội bộ cũng không cần triển khai thêm các phần mềm chuyên biệt. L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký. Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ. Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng nội bộ có thể định nghĩa những chính sách truy cập riêng cho chính bản thân. Điều này làm quy trình xử lý của việc thiết lập đường hầm nhanh hơn so với giao thức tạo hầm trước đây. Điểm chính của đường hầm L2TP, là L2TP thiết lập đường hầm PPP không giống như PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở rộng đến cổng của mạng máy chủ. Hình 2.16: Đường hầm L2TP Khi khung PPP được gửi thông qua L2TP đường hầm, chúng được đóng gói như những thông điệp UDP. L2TP dùng những thông điệp UDP này cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra, đường hầm dữ liệu và đường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng cấu trúc gói dữ liệu. 2.7.4.2 Các thành phần của L2TP Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một máy chủ truy cập mạng (NAS), một bộ truy cập tập trung (LAC), và một máy chủ L2TP (LNS). Máy chủ truy cập mạng L2TP NAS là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng từ xa, là những người quay số thông qua PSTN hoặc ISDN sử dụng kết nối PPP. NAS phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NAS, L2TP NAS được đặt tại ISP site và hoạt động như client trong qui trình thiết lập đường hầm L2TP. NAS có thể hồi đáp và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ một phạm vi rộng các client như các sản phẩm mạng của Microsoft, Unix, Linux. Bộ tập kết truy cập L2TP Vai trò của LAC trong công nghệ tạo hầm L2TP thiết lập một đường hầm thông qua một mạng công cộng đến LNS ở tại điểm cuối mạng chủ. LAC phục vụ như điểm kết thúc của môi trường vật lý giữa client và LNS của mạng chủ. Mạng chủ L2TP LNS được đặt tại cuối mạng chủ. Do đó, chúng dùng để kết thúc kết nối L2TP ở cuối mạng chủ theo cùng cách kết thúc đường hầm từ client của LAC. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập đường hầm và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo. Qui trình xử lý L2TP Khi một người dùng từ xa cần thiết lập một đường hầm L2TP thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây: Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối. NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này. Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng đích. Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung gian giữa hai đầu cuối. Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP. Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call ID đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này chứa thông tin có thể được dùng để xác nhận người dùng. Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dùng và LAC. LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận người dùng cuối. Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu đường hầm, một giao diện PPP ảo được thiết lập cùng với sự giúp đỡ của LCP options nhận được trong thông điệp thông báo. Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm. Hình 2.17: Mô tả qui trình thiết lập đường hầm L2TP L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm: Chế độ gọi đến, yêu cầu kết nối được khởi tạo bởi người dùng từ xa. Chế độ gọi đi, yêu cầu kết nối được khởi tạo bởi LNS. Do đó, LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa. Sau khi LAC thiết lập cuộc gọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã qua đường hầm. Dữ liệu trên đường hầm L2TP Tương tự PPTP gói tin đi qua đường hầm, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng gói. Sau đây là một số giai đoạn đóng gói của dữ liệu trên đường hầm L2TP: PPP đóng gói dữ liệu không giống phương thức đóng gói của PPTP, dữ liệu không được mã hóa trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào dữ liệu payload gốc. L2TP đóng gói khung của PPP. Sau khi dữ liệu payload gốc được đóng gói bên trong một gói PPP , một tiêu đề L2TP được thêm vào nó. UDP đóng gói ở khung L2TP. Kế tiếp, gói dữ liệu đóng gói L2TP được đóng gói thêm nữa bên trong một khung UDP. Hay nói cách khác, một tiêu đề UDP được thêm vào khung L2TP đã đóng gói. Cổng nguồn và đích bên trong tiêu đề UDP được thiết lập đến 1710 theo chỉ định. IPSec đóng kín của gói tin UDP. Sau khi khung L2TP trở thành UDP đã được đóng gói, khung UDP này được mã hoá và một phần đầu IPSec ESP được thêm vào nó. Một phần đuôi IPSec AH cũng được chèn vào gói dữ liệu đã được mã hóa và đóng gói.   Đóng gói IP của các gói tin được đóng gói theo IPsec. Kế tiếp, phần đầu IP cuối cùng được thêm vào gói dữ liệu IPSec đã được đóng gói. Phần đầu IP chứa đựng địa chỉ IP của máy chủ L2TP và người dùng từ xa. Đóng gói ở tầng liên kết dữ liệu. Phần đầu và phần cuối tầng liên kết dữ liệu cuối cùng được thêm vào gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng. Phần đầu và phần cuối của tầng liên kết dữ liệu giúp gói dữ liệu đi đến nút đích. Nếu nút đích là nội bộ, phần đầu và phần cuối tầng liên kết dữ liệu được dựa trên công nghệ LAN. Ở một khía cạnh khác, nếu gói dữ liệu là phương tiện cho một vị trí từ xa, phần đầu và phần cuối PPP được thêm vào gói dữ liệu L2TP đã đóng gói. Hình 2.18: Quá trình hoàn tất của dữ liệu qua đường hầm Qui trình xử lý tách bỏ gói tin trên đường hầm, những gói dữ liệu L2TP lại được xử lý ngược lại với qui trình đóng gói. Khi một thành phần L2TP nhận được gói tin từ đường hầm L2TP, trước tiên nó xử lý gói dữ liệu bằng cách gỡ bỏ tiêu đề của tầng liên kết dữ liệu và đoạn cuối của gói tin. Kế tiếp, gói dữ liệu được xử lý sâu hơn và phần tiêu đề IP được gỡ bỏ. Gói dữ liệu sau đó được xác nhận bằng việc sử dụng thông tin mang theo bên trong phần tiêu đề IPSec ESP và phần cuối AH. Phần tiêu đề IPSec ESP cũng được dùng để giải mã và mã hóa thông tin. Kế tiếp, phần tiêu đề UDP được xử lý rồi loại ra. Phần Tunnel ID và phần Call ID trong phần tiêu đề L2TP dùng để nhận dạng phần đường hầm L2TP và phiên làm việc. Cuối cùng, phần tiêu đề PPP được xử lý và được gỡ bỏ và phần PPP payload được chuyển hướng đến thiết bị giao thức thích hợp cho qui trình xử lý. Hình 2.19: Mô tả qui trình xử lý De-Tunneling gói dữ liệu L2TP Chế độ đường hầm L2TP L2TP hỗ trợ 2 chế độ đường hầm bắt buộc và chế độ đường hầm tự nguyện. Những  đường hầm này giữ một vai trò quan trọng trong bảo mật giao dịch dữ liệu từ điểm cuối đến điểm khác. Chế độ đường hầm bắt buộc L2TP Đường hầm bắt buộc L2TP được thiết lập giữa LAC ở ISP cuối và LNS ở cuối mạng chủ. Điều quan trọng cho việc thiết lập thành công một đường hầm bắt buộc đó là ISP phải hỗ trợ công nghệ L2TP. Ngoài ra, ISP cũng nắm giữ vai trò khóa trong việc thiết lập đường hầm L2TP bởi vì liệu rằng một đường hầm bắt buộc có thực sự được yêu cầu cho phiên làm việc được quyết định ở ISP cuối. Hình 2.20: Đường hầm bắt buộc Trong L2TP đường hầm bắt buộc, người dùng cuối chỉ là một thực thể bị động. Hơn là cấp yêu cầu kết nối gốc, người dùng cuối không có vai trò trong việc thực hiện quy trình thiết lập đường hầm. Do đó, không có sự thay đổi lớn lao nào được yêu cầu ở L2TP client-end. Các bước thiết lập L2TP đường hầm bắt buộc được mô tả trong hình 3.17 theo các bước Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site. NAS xác nhận người dùng. Quy trình xác nhận này cũng giúp NAS biết được cách thức người dùng yêu cầu kết nối. Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết lập giữa ISP và người dùng từ xa. LAC khởi tạo một đường hầm L2TP đến một LNS ở mạng chủ cuối. Nếu kết nối được chấp nhận bởi LNS, khung PPP trải qua quá trình trên đường hầm L2TP. Những khung của đường hầm L2TP này sau đó được chuyển đến LNS thông qua đường hầm L2TP. LNS chấp nhận những khung này này và phục hồi lại khung PPP gốc. Cuối cùng, LNS xác nhận người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận hợp lệ, một địa chỉ IP thích hợp được ánh xạ đến khung và khung này sau đó được chuyển đến nút đích trong mạng Intranet. Hình 2.21: Thiết lập một đường hầm bắt buộc Chế độ đường hầm tự nguyện L2TP Một L2TP đường hầm tự nguyện, được thiết lập giữa người dùng từ xa và LNS được đặt tại mạng chủ cuối. Trong trường hợp này, người dùng hành động như LAC. Bởi vì vai trò của ISP trong việc thiết lập L2TP đường hầm tự nguyện thì rất nhỏ, cơ sở hạ tầng của ISP thì trong suốt với các điểm thông tin cuối. Hình 2.22: đường hầm tự nguyện L2TP Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người dùng từ xa kết nối vào Internet và thiết lập nhiều phiên làm việc VPN đồng thời. Tuy nhiên, để ứng dụng hiệu quả này, người dùng từ xa phải được gán nhiều địa chỉ IP. Một trong những địa chỉ IP được dùng cho kết nối PPP đến ISP và một được dùng để hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Nhưng lợi ích này cũng là một bất lợi cho người dùng từ xa và do đó, mạng chủ có thể bị tổn hại bởi các cuộc tấn công. Việc thiết lập một đường hầm tự nguyện L2TP thì đơn giản hơn việc thiết lập một đường hầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối PPP đến điểm ISP cuối. Các bước thiết lập đường hầm tự nguyện L2TP gồm. LAC phát ra một yêu cầu cho một đường hầm tự nguyện L2TP đến LNS. Nếu yêu cầu đường hầm được LNS chấp nhận, LAC tạo hầm các khung PPP cho mỗi sự chỉ rõ L2TP và chuyển hướng những khung này thông qua đường hầm. LNS chấp nhận những khung đường hầm, lưu chuyển thông tin tạo hầm, và xử lý các khung. Cuối cùng, LNS xác nhận người dùng và nếu người dùng được xác nhận thành công, chuyển hướng các khung đến nút cuối trong mạng nội bộ. Hình 2.23: Thiết lập L2TP đường hầm tự nguyện Những ưu điểm và nhược điểm của L2TP Ưu điểm: L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao dịch qua kết nối WAN không cần một IP. Đường hầm L2TP trong suốt đối với ISP giống như người dùng từ xa. Do đó, không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP. L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải làm điều này. L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch bằng L2TP nhanh hơn so với quá trình giao dịch bằng L2F. L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập vào mạng từ xa thông qua một mạng công cộng. L2TP nâng cao tính bảo mật do sử dụng IPSec dựa trên trường trọng tải trong suốt qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu. Nhược điểm L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ liệu nhận được. Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một định tuyến và một máy chủ truy nhập từ xa (RRAS) cần có những cấu hình mở rộng.    2.8 Kết thúc chương Trong chương này đã nghiên cứu tương đối kỹ về vấn đề kỹ thuật của giải pháp mạng riêng ảo sử dụng các đường hầm. Trong đó kỹ thuật đường hầm là vô cùng quan trọng trong việc triển khai công nghệ VPN trên nền mạng công cộng. Các giao thức đường hầm được nêu ở trong chương này là PPTP, L2F và L2TP. Mỗi một giao thức đều có những ưu và nhược điểm khác nhau, và chúng đều được ứng dụng trong khi triển khai mạng VPN trong thực tế. Qua chương này ta có thể lựa chọn được cho mình giao thức phù hợp, tốt nhất để thực hiện, triển khai phát triển công nghệ mạng VPN. Chương 3 Triển khai, cài đặt VPN 3.1. Khái quát nhiệm vụ: 3.2. Triển khai VPN dựa trên giao thức lớp 2 (L2TP) Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản được mô tả như sau: bộ tập trung truy nhập mạng, máy chủ L2TP và các máy trạm L2TP. Hình 3.20: Thành phần hệ thống cung cấp VPN dựa trên L2TP Máy chủ L2TP Máy chủ L2TP có hai chức năng chính đó là đóng vai trò là điểm kết thức đường hầm L2TP và chuyển các gói đến từng hầm đến mạng LAN riêng hay ngược lại. Máy chủ chuyển các gói tin đến máy tính đích bằng cách xử lý gói tin L2TP để có được địa chỉ mạng của máy tính đích. Không giống như máy PPTP, máy chủ L2TP không có khả năng lọc các gói tin. Chức năng lọc gói tin trong L2TP được thực hiện bởi bức tường lửa. Tuy nhiên trong thực tế người ta thường thích hợp máy chủ mạng và bức tường lửa. Việc thích hợp này mang lại một số ưu điểm hơn so với PPTP. L2TP chỉ cần có một cổng duy nhất gán cho bức tường lửa như trong PPTP. Chương trình quản lý này có thể tuy chọn cổng để gán cho bức tường lửa, điều này khó khăn cho những kẻ tấn công khi cố gắng tấn công vào cổng trong khi cổng đó có thể đã thay đổi Phần mềm Client L2TP Nếu các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm bổ sung nào cho máy trạm, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập như vậy thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các phần mềm client tương thích L2TP cho kết nối L2TP VPN. Một số đặc điểm của phần mềm cleint L2TP là có thể tương thích với các thành phần khác của IPSec như máy chủ mã hoá, giao thức chuyển khoá và cách thức mã hoá khoá. Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. Có thể dùng hàm băm xử lý được các địa chỉ IP động. Bộ tập trung truy nhập mạng ISP cung cấp dịch vụ L2TP cần phải cài đặt một NAS cho phép L2TP để hỗ trợ các máy trạm L2TP chạy trên nền các hệ điều hành khác nhau. Các ISP cũng có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP vào máy chủ truy cập của khách hàng, điều này đòi hỏi tất cả người dùng phải có phần mềm client L2TP tại máy khách. Khi đó người dùng có thể sử dụng dịch vụ của nhiều ISP trong trường hợp mô hình mạng của họ rộng lớn về mọi mặt. 3.3. Cài đặt VPN 3.3.1. Cách cài đặt VPN Server Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của Trường, cần phải cài đặt VPN server. Cách cài đặt một VPN Server, cũng như hệ thống hạ tầng của giải pháp mạng ảo VPN được thực hiện như sau: Bước đầu tiên là enable Routing and Remote Access Service (RRAS). Bước này không cần phải cài đặt vì nó đã được cài đặt sẵn khi cài đặt hệ điều hành Windows. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được enable, cho nên để có thể enable RRAS thì ta thực hiện theo các bước sau đây: 1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote Access (RRAS). 2. Trong Routing and Remote Access console, right click tên server, và chọn Enable Routing and Remote Access. Sau khi chọn như ở trên thì đợi vài giây để activate. 3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này chọn mục Manually configured server và click Next theo hình dưới. 4. Tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi hoàn tất phần wizard, và cuối cùng là chọn Finish để hoàn tất phần enable RRAS. 5. Sau khi hoàn tất phần enable RRAS phải restart service, và chỉ chọn Yes. Lưu ý: Không sử dụng mục Virtual private network (VPN) server vì có một trở ngại là khi chọn mục này, nó sẽ bảo vệ interface mà ta chọn bằng cách cài bộ lọc mà chỉ cho phép hai giao thức căn bản là L2TP và PPTP được quyền truyền tải dử liệu, RRAS sẽ không truyền tải nếu nó không phải là giao thức trên, đó là lý do nên sử dụng mục Manually configured server. Khi RRAS bắt đầu làm việc thì ta sẽ thấy như hình dưới Phần General Tab Right click vào server name và chọn Properties theo hình dưới Trong phần Properties trên có thể chọn vào mục Router vì computer sẽ chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients với mạng nội bộ LAN, chính vì vậy ta phải chọn vào mục router. Phần làm việc của mục router này là route traffic trực tiếp giữa mạng LAN và những máy truy cập thông qua kết nối theo dạng demand-dial. Nếu muốn VPN theo dạng gateway-to-gateway VPN, thì chọn mục Router và luôn cả mục LAN and demand-dial routing. Đồng thời chọn thêm mục Remote access server, nếu không chọn mục này thì VPN client không thể gọi vào được. The Server "IP" Tab Chọn vào mục IP tab Chọn vào mục Enable IP routing, mục này cho phép clients được quyền truy cập vào mạng nội bộ, nếu không chọn mục này thì các clients chỉ có thể truy cập vào VPN server mà thôi. Mục Allow IP-based remote access and demand-dial connections phải được enable để các clients có thể cấp phát địa chỉ IP khi client truy cập. Khi chọn mục này có nghĩa là cho phép giao thức điều khiển IP (IPCP), giao thức này được sử dụng để thiết lập kết nối theo dạng PPP. Bước tiếp theo là phải quyết định số IP cấp phát cho VPN clients như thế nào. Có hai cách cấp phát IP như sau: • Dynamic Host Configuration Protocol (DHCP) IP động. • Static Address Pool IP Tĩnh Theo kinh nghiệm thì ta nên chọn DHCP vì không cần phải chia và cấp phát thế nào cho clients. Khi DHCP server được configure với một scope địa chỉ IP cho card LAN của VPN server, thông thường by default RRAS/VPN server có khoảng 10 ports để cho phép tạo kết nối, vì vậy nó sẽ chiếm khoảng 10 IP address của DHCP server và nó sẽ sử dụng một cho chính nó. Nếu tất cả IP address đều được sử dụng hết bởi các kết nối VPN và nếu VPN server có nhiều hơn 10 ports thì nó sẽ lấy thêm 10 IP addresses nữa từ DHCP server để dự phòng cho các truy cập sau. Cách tốt nhất để giải quyết địa chỉ IP cho client là đặt DHCP server trong cùng một subnet với VPN server interface và cũng có thể thiết lập DHCP Relay Agent. Lưu ý: Nếu sử dụng IP tĩnh để cho phép client tạo kết nối thì phải bảo đảm rằng nó phải cùng subnet với mạng nội bộ của VPN server hay là internet interface của VPN server. Ở phần cuối của hình dưới, chọn vào mục Use the following adapter to obtain DHCP, DNS, and WINS addresses for dial-up clients, ở đây ta sẽ chọn NIC card còn lại của VPN server, vì là client khi kết nối với mạng VPN nó cần phải nằm trong cùng mạng LAN, cho nên phải chọn NIC card của RRAS server vì NIC card này sẽ chịu trách nhiệm cung cấp các thông tin về DHCP, DNS và WINS cho client Sau khi chọn xong thì click OK để tiếp tục phần configure ports như hình dưới Configuring the VPN Ports Trong phần RRAS Console, right click vào Ports, chọn Properties như hình dưới Trong phần Ports Properties như hình dưới. Chọn VPN interface muốn enable, Ví dụ như: Muốn enable giao thức PPTP để client có thể tạo kết nối với mạng VPN, giao thức PPTP tương đối là đơn giản nhất, cho nên nên bắt đầu bằng giao thức này bằng cách: chọn WAN Miniport (PPTP) sau đó nhấn vào mục Configure như hình sau Trong phần configure WAN Miniport (PPTP) như hình dưới, chọn mục Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server. Mục Demand-dial routing connections (inbound and outbound) cho phép RRAS server được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers. Nếu muốn thực hiện giải pháp gateway-to-gateway VPN solution, thì nên chọn mục này, nhưng nếu chỉ muốn cho phép nhận kết nối từ clients thôi thì có thể disable thư mục này. Trong hộp Phone number for this device, nhập vào địa chỉ IP của VPN server interface như hình dưới. Ở mục Maximum ports box, nhập vào bao nhiêu ports cũng được tùy theo nhu cầu sử dụng (có tổng cộng khoảng 16384 ports) cho nên nếu có nhu cầu nhiều hơn số lượng ports đó thì phải cần thêm một VPN server Click OK. Nếu chọn ít hơn số port mặc định sẽ gặp lời cảnh cáo như hình dưới đây, chọn click Yes. Sau đó click Apply trong phần Port Properties. Bước cuối cùng là cho phép truy cập qua Remote Access Policy. Chọn vào thư mục Remote Access Policy, bên tay phải rồi right click vào mục Allow access if dial-in permission is enable chọnproperties như hình dưới Trong phần Allow access if dial-in permission is enable Properties, chọn vào mục Grant remote access permission. Mục này cho phép users truy cập bất cứ lúc nào miễn là khớp với điều kiện đặt ra của Policy Change the If a user matches the conditions setting to Grant remote access permission như hình dưới sau đó. Click Apply and then click OK. 3.5.2. Cài đặt VPN Client 1. Right click vào My Network Places, chọn Properties, double click vào Make New Connection, sau đó click Next 2. Chọn vào Connect to private network through the Internet theo hình dưới đây. 3. Nếu chưa kết nối với internet thì có thể chọn mục Automatically dial this initial connection, nếu đã kết nối rồi thì nên chọn Do not dial the initial connection theo hình dưới đây và Click Nex 4. Trong phần host name or IP, nhập vào server name hoặc nếu không có tên miền thì có thể nhập vào địa chỉ IP address như hình bên. 5. Nếu cho phép các users khác được phép sử dụng kết nối này để truy cập VPN thì chọn mục For all users, còn không thì chọn Only for mysel 6. Trong hình dưới đây chỉ việc nhập vào user name và password để kết nối. 7. Nên sử dụng giao thức PPTP, vì giao thức này là giao thức đơn giản nhất trong 3 giao thức vì nó không đòi hỏi certificate hay là PKI (Public Key Infrastructure) như L2TP KẾT LUẬN Công nghệ mạng riêng ảo VPN bây giờ đã trở thành một cộng nghệ phổ biến rộng rải trên toàn thế giới và trở thành một trong những giải pháp không thể thiếu đối với một số các doanh nghiệp. Tuỳ vào từng trường hợp cũng như điều kiện thực tế mà chúng ta có thể triển khai mạng VPN với những mô hình khác nhau trong đề tài này cũng đã nêu lên được một số khái niệm cơ bản chính cũng như nguyên lý hoạt động và một số giao thức được ứng dụng vào công nghệ mạng riêng ảo. Mạng riêng ảo đã thể hiện sự đột phá công nghệ, làm chuyển biến ngành công nghiệp và các mạng hoá các dịch vụ do khách hàng yêu cầu. Mô hình mạng này hiện đang chuyển nhu cầu tự động hoá việc điều hành thông tin liên lạc riêng của các công ty sang quan hệ hợp tác với nhà cung cấp dịch vụ thông qua VPN để phát triển mạng của họ ra quy mô toàn cầu. Sự chuyển dịch nền móng mang tính chiến lược này đã mở ra những tiền đề thuận lợi để tiếp tục phát triển, khả năng thu lợi ngày càng nhiều và đạt hiệu quả cao nhất cho các nhà cung cấp dịch vụ lẫn người dùng. Em xin trân trọng cảm ơn đến TS. Trần Văn Dũng, và thầy cô trong bộ môn tin cùng các bạn đã giúp đỡ em trong quá trình thực hiện đồ án này. Tuy nhiên do còn nhiều hạn chế về mặt thời gian, kiến thức và còn có ít kinh nghiệm thực tế nên đồ án của em không tránh khỏi những thiếu sót, em mong nhận được sự góp ý của thầy cô giáo và các bạn để ngày càng hoàn thiện thêm kiến thức của mình. Em xin chân thành cảm ơn ! DANH MỤC TÀI LIỆU THAM KHẢO Trần Công Hùng – Kỹ thuật mạng riêng ảo – VPN Học viện BCVT Ths.Hoàng Trọng Minh - Mạng riêng ảo VPN 2007. TS.Nguyễn Đại Thọ - Giáo trình An toàn mạng ĐH Công nghệ - ĐHQGHN. David Bruce, Yakov Rekhter - (2000) Morgan Kaufmann Publisher - MPLS Technology and Application MPLS_Cisco.pdf Cisco - Definitive MPLS Network Designs (2005).chm Cisco Press - MPLS and VPN Architectures(2000).chm

Các file đính kèm theo tài liệu này:

  • docDo An Tot Nghiep.doc