BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI - CƠ SỞ II
KHOA ĐIỆN- ĐIỆN TỬ
a ³³³ b
ĐỀ TÀI NGHIÊN CỨU KHOA HỌC
SINH VIÊN
“Nghiên cứu đánh giá hiệu
quả sử dụng của các loại
mạng riêng ảo”
Giáo viên hướng dẫn : Th.s Võ Trường Sơn
Nhóm sinh viên thực hiện : Nguyễn Hoàng Minh Thắng
Võ Ngọc Hân
Vũ Văn Trực
Bùi Thọ Trường
Lớp : Kỹ Thuật Viễn thông-khóa 44
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN 23
2.2 Ưu điểm và khuyết điểm của VPN 24
2.2.1 Ưu điểm: 24
2.2.2 Khuyết điểm: 25
Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN 26
3.1 Đánh giá các loại VPN phân theo chức năng kết nối 26
3.1.1 VPN truy cập từ xa: 26
3.1.2 Intranet VPN: 28
3.1.3 Extraner VPN: 30
3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi 32
3.2.1 VPN phụ thuộc 32
3.2.2 VPN độc lập 33
3.2.3 VPN hỗn hợp 33
3.3 Đánh giá các loại VPN dựa trên độ an toàn 35
3.3.1 VPN router tới router 35
3.3.2 VPN tường lửa tới tường lửa 37
3.3.3 VPN được khởi tạo bởi khách hàng : 39
3.3.4 VPN trực tiếp 40
3.4 Đánh giá VPN dựa theo lớp 41
3.4.1 VPN lớp liên kết 41
3.4.2 VPN lớp mạng 43
3.5 Đánh giá các loại VPN dựa trên qui mô mạng 44
3.5.1 VPN có quy mô nhỏ 44
3.5.2 VPN có quy mô nhỏ tới trung bình 44
3.5.3 VPN có quy mô trung bình 45
3.5.4 VPN có quy mô trung bình đến lớn. 46
3.5.5 VPN có quy mô rất lớn 46
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
Hình 1-11 : Quá trình tạo đường hầm L2TP 19
Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP 20
Hình 1-13 : Quá trình mở gói dữ liệu trong đường hầm L2TP 21
Hình 3-1: Phương thức truy cập từ xa truyền thống 26
Hình 3-2: VPN truy nhập từ xa 27
Hình 3-3 : Mô hình Intranet sử dụng mạng trục WAN 28
Hình 3-4 : Mô hình Intranet xây dựng dựa trên VPN 29
Hình 3-5 : Mô hình mạng Extranet truyền thống 30
Hình 3-6 : Mô hình Extranet xây dựng dựa trên VPN 31
Hình 3-7 : Cấu trúc VPN phụ thuộc 32
Hình 3-8 : Cấu trúc VPN độc lập 33
Hình 3-9 : VPN hỗn hợp, có sự tham gia điều khiển của người dùng và nhà cung cấp
dịch vụ 34
Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp 34
Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router 35
Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router 36
Hình 3-13 : Các phiên VPN mã hóa theo yêu cầu 37
Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa 38
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang iii
Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa 38
Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router 39
Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ 40
Hình 3-18 : Kiến trúc VPN trực tiếp 40
Hình 3-19: Kiến trúc MPLS VPN lớp liên kết 43
Hình 3-20 : Kiến trúc VPN ngang hàng 43
Điện tử - Viễn Thông đã giúp đỡ chúng em hoàn thành đề tài này.
Nhóm sinh viên thực hiện đề tài.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 2
Chương 1 Khái quát về VPN
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên
toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ
dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào
hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống
hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và
dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương
mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng
internet.
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin
quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển
toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi
nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử
dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu
quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề
này, một giải pháp đưa ra là mạng riêng ảo - VPN. Chính điều này là động lực cho sự
phát triển mạnh mẽ của VPN như ngày nay.
1.1 Sự phát triển của các loại VPN
VPN không phải là kĩ thuật mới. Mô hình VPNs đã phát triển được khoảng trên
20 năm và trải qua một số thế hệ để trở thành như hiện nay.
hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì
dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều
giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM
1.2 Khái niệm mạng riêng ảo.
Mạng riêng ảo (VPN- Virtual Private Network) là mạng kết nối hai hay nhiều
mạng riêng thông qua mạng công cộng (Internet) bằng cách sử dụng các đường hầm
(tunneling) để đảm bảo sự riêng tư và toàn vẹn dữ liệu. Thay vì dùng kết nối thực phức
tạp, đắt tiền như các kênh thuê riêng (leased line), VPN tạo ra các liên kết ảo thông
qua mạng công cộng để kết nối các mạng riêng với nhau mà vẫn đảm bảo các yêu cầu
bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí thấp.
Hình 1-1 : Mô hình VPN
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 4
1.3 Các thành phần cơ bản của VPN
User
CSU/DSU
Bộ định
tuyến
Tường
lửa
Máy chủ
VPN
Máy chủ điều khiển truy
nhập và chứng thực
User
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 5
- Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của
đường hầm là máy khách, máy chủ có thể thực hiện việc khởi tạo đường hầm nếu sử
dụng đường hầm bắt buộc.
- Mật mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng
công cộng.
- Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người
dùng
- Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách.
- Máy chủ VPN có thể kiêm nhiệm luôn chức năng của một router hay một
gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách). Còn khi mạng lớn, vì
máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của
router hay gateway thì máy chủ sẽ chạy chậm hơn.
1.3.2 Máy khách VPN.
Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các
máy tính nằm trong cùng một mạng cục bộ của một văn phòng công ty) hoặc thiết bị ở
xa (người dùng di động), nó khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận
và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đó máy chủ và máy
khách mới truyền thông với nhau. Máy khách có thể là một máy hoạt động dựa trên
phần mềm hoặc là một thiết bị phần cứng chuyên dụng.
Đặc trưng của một VPN client:
- Những người làm việc ở xa văn phòng trung tâm của công ty có thể thông qua
mạng công cộng để truy nhập vào mạng công ty, rất thuận tiện khi nhân viên làm việc
tại nhà.
- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của
công ty và trong mạng mở rộng.
- Các nhà quản trị mạng có thể thông qua mạng công cộng để kết nối với những
vi của VPN, bộ định tuyến hiện đang được ưa chuông nhất là các bộ định tuyến mã
hóa (encryption router).
Ø Những yêu cầu đối với bộ định tuyến:
- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết
nối mạng riêng biệt.
- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, HMAC-
MD5, HMAC-SHA-1…
- Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng.
- Hạn chế việc truy cập đến các khóa.
- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗi khi có một
kết nối mới.
- Hỗ trợ cơ chế khử phát lại (anti-replay).
- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với
những việc lặp đi lặp lại những hoạt động không được phép.
- Hỗ trợ cả hai chế độ transport và tunnel của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại
lớp mạng trong mô hình OSI, không dùng để xác thực người dùng. Do đó, cần phải có
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 7
thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN có tính bảo
mật.
1.3.4 Bộ tập trung VPN.
Bộ tập trung VPN (VPN concentrator) có chức năng giống như hub (máy chủ
truy nhập) trong LAN truyền thống, nó dùng để thiết lập một VPN truy nhập từ xa có
kích thước nhỏ.
Nó giúp tăng dung lượng và công suất của hệ thống, đồng thời cũng cung cấp
Tường lửa lọc gói có một số ưu điểm đó là: cơ chế đơn giản, xử lý gói rất
nhanh, có thể tích hợp ngay trên phần mềm của bộ định tuyến và nó hoạt động mang
tính trong suốt đối với các người dùng đầu cuối.
Tuy nhiên, tường lửa lọc gói cũng có những nhược điểm là: quá trình cấu hình
tường lửa rất phức tạp, gặp nhiều khó khăn, đặc biệt là khi cần nhiều quyền để điều
khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác nhau. Nhược điểm
thứ hai của tường lửa lọc gói có thể coi là một thiếu sót đó là việc lọc gói hoạt động
dựa trên những địa chỉ IP chứ không dựa trên quyền truy nhập của người dùng. Thứ ba
là việc lọc gói chỉ cung cấp một số tính năng bảo mật đối với những hoạt động “tấn
công chính giữa” và không có tính năng bảo mật đối với các địa chỉ IP giả mạo. Ngoài
ra, việc lọc gói còn phụ thuộc vào một số cổng của gói IP và thường chỉ báo không
chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Network File
System) sử dụng nhiều cổng khác nhau gây khó khăn trong việc tao quyền để điều
khiển lưu lượng của chúng.
Những bộ lọc gói có thể sử dụng như một thành phần trong VPN để giới hạn
lưu lượng chuyển qua một kênh. Tuy vây, việc lọc gói thường không yêu cầu phải sử
dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các bộ
định tuyến có hỗ trợ TCP/IP.
Ø Các Proxy kênh và Proxy ứng dụng
Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để
liên lạc với hệ thống bảo mật, che giấu những dữ liệu có giá trị bảo mật và bảo mật
máy chủ tránh sự tấn công của nhưng kẻ phá hoại.
So với các bộ lọc gói thì các proxy kênh có tính bảo mật cao hơn. Bởi vì, một
proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này
đóng vai trò là đại diện cho cả mạng khi có nhu cầu liên lạc ra mạng ngoài. Do đó, các
máy tính bên ngoài không thể lấy được thông tin địa chỉ cũng như số cổng bên trong
mạng.
Proxy có ưu điểm là có tính bảo mật cao hơn nhưng lại chạy chậm hơn so với
các bộ lọc gói là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gói để dảm
SMLI (Stateful Multi-Layer Inspection) để việc bảo mật có tính chặt chẽ hơn trong khi
vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất không bị giảm sút.
SMLI cũng tương tự như một proxy ứng dụng. Trong trường hợp xét đến tất cả
lớp trong mô hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gói thông qua
các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu lượng (traffic
screen algorithm) để tối ưu việc phân tích dữ liệu có thông lượng cao. Với SMLI, mỗi
gói được xem xét và so sánh với các trạng thái đã biết của những gói thường gặp.
SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa thế hệ mới có thể thích ứng
với nhiều loại giao thức và có chức năng được nâng cao hơn, dễ sử dụng hơn.
Ưu điểm của SMLI ở chỗ: tường lửa sẽ đóng tất cả các cổng TCP, sau đó sẽ mở
lại các cổng một cách linh động khí các kết nối có yêu cầu đến các cổng này (ví dụ
HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho phép việc quản lý các dịch vụ
sử dụng đến các số cổng lớn hơn 1023 như HTTP có thể yêu cầu phải thay đổi trong
việc cấu hình cho các tường lửa. Các tường lửa kiểm ra trạng thái cũng cung cấp
những đặc điểm như ngẫu nhiên hóa số tuần tự các cổng TCP và thục hiện việc lọc gói
UDP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 10
Ø Tường lửa sử dụng trong VPN.
Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho mạng
công ty, nhưng chỉ với các tường lửa này thì không đủ để xây dựng nên VPN. Đó là vì
tường lửa không thể giám sát hay ngăn cản việc thay đổi dữ liệu (tính toàn vẹn dữ liệu)
có thể xảy ra khi một gói được truyển qua mạng Internet hay đóng vai trò là một tường
lửa kèm theo chức năng mã hóa.
Ø Những yêu cầu đối với tường lửa
VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem
GVHD: Th.s Võ Trường Sơn Trang 11
- Liên kết bảo mật SA (Security Association)
- Xác thực tiêu đề AH(Authentication Header)
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
- Chế độ làm việc
a) Liên kết bảo mật SA (Security Association)
Để hai bên có thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng
thống thuật toán mã hóa, phương thức trao đổi khóa, sau bao lâu thì cả hai bên sẽ cùng
thay đổi khóa. Tất cả những thỏa thuận trên đều do SA đảm trách. Việc truyền thông
giữa bên gửi và bên nhận đòi hỏi phải có ít nhất một SA và có thể đòi hỏi nhiều hơn vì
mỗi giao thức IPSec đòi hỏi phải có một SA cho nó
b) Xác thực tiêu đề AH
Xác thực tiêu đề AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của
các gói IP truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có
bị thay đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu
nên các dữ liệu đều được truyền dưới dạng bản rõ.
AH được chèn giữa tiêu đề IP và nội dung phía sau. Gói dữ liệu không bị thay
đổi nội dung khi chèn AH vào.
Hình 1-3: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 12
OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows.
Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức năng
của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm bảo mật
thông qua Internet đến site đích.
PPTP sử dụng phiên bản giao thức GRE để đóng và tách gói PPP, giao thức
này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX,
NETBEUI. PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo,
duy trì, kết thúc đường ngầm.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 14 Hình 1-7 : Kiến trúc của PPTP
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và
máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để
đóng các gói truyền trong đường hầm.
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu được
đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho
giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP.
một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server.
Ø Đóng gói lớp liên kết dữ liệu.
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô
hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần
kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi qua giao
diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet. Nếu IP
datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói
với phần Header và Trailer của giao thức PPP.
Ä Ưu điểm và khuyết điểm của PPTP
Ø Ưu điểm của PPTP:
+ PPTP là một giải pháp được xây dựng trên nền các sản phẩm của
Microsoft( các sản phẩm được sử dụng rất rộng rãi).
+ PPTP có thể hỗ trợ các giao thức non-IP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 16
+ PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's
Macintosh. Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng
cách sử dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP.
Ø Nhược điểm của PPTP:
+ PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec.
+ PPTP phụ thuộc nền.
+ PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.
+ Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng
như máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa
dụng các giải pháp định tuyến bằng đưòng quay số.
+ Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã
Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy
chủ. Do đó ISP không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của
user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và
có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của
L2TP nhanh hơn so với các nghi thức đường hầm trước nó.
Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất
như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích)
của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ
xa và gateway của ISP.
Hình 1-10 : Đường hầm L2TP
Khi khung PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng gói
dưới dạng gói dữ liệu user: thông điệp UDP(Uer Datagram Protocol). L2TP sử dụng
thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gói dữ
liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc.
a) Các thành phần cơ bản của L2TP
Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập
mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS).
Ø Máy chủ truy cập mạng - NAS
Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung
cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thông qua
đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm. NAS có nhiệm vụ định quyền
người dùng từ xa và quyết định quay số yêu cầu kết nối mạng. Cũng như máy chủ truy
nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được đặt tại ISP và
hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 18
thực user. Nếu user được chứng thực thành công và LNS chấp thuận yêu cầu tạo
đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa trên các tùy
chọn LCP nhận được trong thông điệp thông báo.
Ø Người dùng từ xa và LNS trao đổi dữ liệu thông qua đường hầm L2TP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 19 Hình 1-11 : Quá trình tạo đường hầm L2TP
c) Tạo đường hầm dữ liệu L2TP
Cũng giống gói dữ liệu trong đường hầm PPTP, gói dữ liệu L2TP cũng được
đóng gói tại nhiều mức khác nhau:
Ø Đóng gói dữ liệu PPP. Dữ liệu không được mã hóa trước khi đóng gói. Ở
mức này, chỉ cộng thêm header PPP vào gói dữ liệu gốc.
Ø Đóng gói khung L2TP. Sau khi dữ liệu gốc được đóng gói trong gói PPP, nó
sẽ được cộng thêm header L2TP.
Ø Đóng gói khung UDP. Sau đó gói L2TP đã được đóng gói sẽ được đóng gói
thêm trong frame UDP. Nói cách khác header UDP sẽ được thêm vào frame L2TP đã
đóng gói Cổng nguồn và đích trong UDP header được thiết lập là 1701 để đặc tả cho
L2TP.
Ø Đóng gói bảo mật dữ liệu UDP. Sau khi khung L2TP được đóng gói trong
UDP, khung UDP được mã hóa và một IPSec ESP sẽ được thêm vào nó. IPSec.
Header và trailer xác nhận IPSec cũng được nối thêm vào và để đóng gói dữ liệu.
Ø Đóng gói IP. Cộng thêm IP header vào gói dữ liệu. IP header chứa địa chỉ
của máy chủ (LNS) L2TP và người dùng từ xa.
Ø Đóng gói lớp Data Link. Header và trailer của lớp Data Link được thêm vào
gói dữ liệu sau khi đóng gói IP. Header và trailer của lớp Data Link giúp gói dữ liệu đi
Copyright: Tài liệu đại học ©