1. Home
  2. Luận văn tổng hợp
  3. Báo Cáo THực Tập Cơ Sở mô hình VPN

Báo Cáo THực Tập Cơ Sở mô hình VPN - Pdf 23


MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO 4
1.1 Khái quát chung 4
1.1.1 Khái ni m m ng riêng oệ ạ ả 4
1.1.2 L ch s hình thành c a VPNị ử ủ 5
1.1.3 L ch s phát tri n c a VPNị ử ể ủ 6
1.1.4 Ch c n ng c a VPNứ ă ủ 7
1.2 Ưu và nhược điểm của VPN 7
1.2.1 u đi mƯ ể 7
1.2.2 Nh c đi m ượ ể 8
1.3 Phân loại VPN 9
1.3.1 M ng VPN truy c p t xaạ ậ ừ 9
1.3.2 M ng VPN c c bạ ụ ộ 10
1.3.3 M ng VPN m r ngạ ở ộ 11
CHƯƠNG II CÁC GIAO THỨC SỬ DỤNG TRONG VPN 12
2.1 Giao th c đ nh h ng l p 2 – L2Fứ ị ướ ớ 13
1.4.2 Giao th c đ ng h m đi m – đi m PTPPứ ườ ầ ể ể 15
1.4.3 Giao th c đ ng h m l p 2 – L2TPứ ườ ầ ớ 25
1.4.4 Giao th c b o m t IP - IPSECứ ả ậ 31
CHƯƠNG III.THIẾT KẾ VÀ CÀI ĐẶT MÔ HÌNH SITE TO SITE 43
3.1 Bài toán đặt ra 43
3.2 Giải pháp 43
3.3 Mô hình triển khai 44
3.3.1 Mô hình h th ngệ ố 44
3.3.2 C u hình h th ngấ ệ ố 44
3.3.3 K t qu c u hìnhế ả ấ 46
KẾT LUẬN 47
TÀI LIỆU THAM KHẢO 49
PHỤ LỤC 50
1

Hình 2.26: Đường hầm IPSec được thiết lập 41
Hình 2.27 : Kết thúc đường hầm 41
Hình 2.28 : Quá trình trao đổi thông tin 42
Hình 3.1: Mô hình mô phỏng hệ thống VPN site – to – site trên Packet Tracer
44
2

LỜI NÓI ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là
Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế
thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia
trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân
viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính
xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên
khắp thế giới, cũng như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ
Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
thuê các đường Leased- line của các nhà cung cấp để kết nối tất cả các mạng con
của công ty lại với nhau, sử dụng internet để liên lạc với nhau.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hòa hai loại dịch vụ trên,
nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng internet nhưng lại có được
các tính chất của một mạng cục bộ như khi sử dụng các đường Leased – line. Vì
vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế.
Với đề tài: “ Tìm hiểu về mạng riêng ảo VPN” trong lần thực tập này, em hy
vọng nó có thể góp phần tìm hiểu công nghệ VPN, đồng thời góp phần phổ biến
rộng rãi kỹ thuật VPN.
Em xin gửi lời cảm ơn chân thành đến các thầy cô Trường Đại Học Công
Nghệ Thông Tin và Truyền Thông Thái Nguyên đã tận tâm truyền đạt kiến thức và
đặc biệt em xin bày tỏ lòng biết ơn sâu sắc đến Cô Dương Thúy Hường đã tận tình
hướng dẫn và chỉ bảo em trong quá trình hoàn thành báo cáo thực tập.

cứng VPN.
Network – là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối,
những trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây
dẫn, vô tuyến, internet hay bất kỹ tài nguyên mạng dành riêng khác sẵn có để tạo
nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng
được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà
công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời
gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm
cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác công ty
đang sử dụng chung một mạng công cộng.
1.1.2 Lịch sử hình thành của VPN
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến
công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết
nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một
cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng
đó đang dùng. Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là
router để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet
thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức
chung là TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền
thông của các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo
dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện
thực.Tuy nhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ
cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như
trong việc quản lý các dịch vụ. Từ đó người ta đã đưa ra một mô hình mạng mới
nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng
hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network -
VPN).
5

cấp dịch vụ VPN, dịch vụ chuyển tiếp khung,…
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
(GVPNS).
6

- Năm 1996, Sprint và Viễn thông Đức, Viễn thông Pháp kết thành liên
minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, công
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội
thảo… Các mạng VPN xây dựng trên cơ sở hạ tầng mạng internet công
cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN. Công
nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều
văn phòng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công
nghệ, cơ sở hạ tầng mạng IP ngày một hoàn thiện đã làm cho khả năng
của VPN ngày một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch
vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.1.4 Chức năng của VPN
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình
mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,
không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy
được thì cũng không đọc được.
1.2 Ưu và nhược điểm của VPN

được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường
như đó vẫn là một vấn để khá lớn của VPN.
Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa
các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất
kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh
đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù và nhiều
mục đích khác của kẻ xấu muốn tấn công vào mạng công ty.
QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là
độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà
đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự
đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn.
Thường QoS trên Internet chỉ là best effort.
8

Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy
ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà
cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ
(ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức.
Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về
các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam
kết này cũng không đảm bảo 100%.
1.3 Phân loại VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di
động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung
cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba

- Nguy cơ bị mất dữ liệu cao.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng
kể.
1.3.2 Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.
Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu
được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
10

nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một
VPN Site- to- Site.
Hình 1.3: Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng
đường ngầm VPN thông qua Internet.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nhược điểm như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng - mạng Internet -
cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ
chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn
trong môi trường Internet.

Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4 giao thức đường
hầm được sử dụng trong VPN đó là:
12

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
- Giao thức bảo mật IP - IPSec (Internet Protocol Security)
2.1 Giao thức định hướng lớp 2 – L2F
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho
dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ
tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương
pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty
thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên
kết dữ liệu.
2.1.1 Ưu nhược điểm của L2F
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:
- Không có mã hoá.
- Yếu trong việc xác thực người dùng.
- Không có điều khiển luồng cho đường hầm.
2.1.2 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,
truyền xuyên qua một mạng. L2F sử dụng các thiết bị:
NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và
gateway home. Hệ thống ERX hoạt động như NAS.

thực lại người sử dụng.
7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng
gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm.
14

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được
hướng tới mạng công ty.
1.4.2 Giao thức đường hầm điểm – điểm PTPP
Giao thức đường hầm điểm - điểm PPTP được đưa ra đầu tiên bởi một nhóm
các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend
comm., Microsoft, ECI Telematicsunication và US Robotic.
Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép
PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI.
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP
có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã
hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point
Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền
dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác
IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm
15

1.4.2.1 Kiến trúc PTPP

Hình 2.2.Kiến trúc PTPP
 PPP và PPTP

gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển và
kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu
thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối
TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng để trưyền thông
báo điều khiển.
Các gói dữ liệu là dữ liêu thông thường của người dùng. Các gói điều khiển
được gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữa
client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông
tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client
PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay
nằm ở tại máy chủ của ISP.
17

Hình 2.3: Các giao thức dùng trong một kết nối PTPP
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu
được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập,
ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường
truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP?
Hình 2.4: Bọc gói PPTP/GRE
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu
truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.
 Cấu trúc gói của PPTP
* Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói
khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đã được đóng gói:

- Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
19

- Xử lý và loại bỏ IP Header.
- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.
- Xử lý phần payload để nhận hoặc chuyển tiếp.
* Sơ đồ đóng gói PPTP
Hình 2.6: Sơ đồ đóng gói PPTP
Quá trình:
- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao
diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử
dụng NDIS (Network Driver Interface specification).
- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và
cung cấp PPP header. Phần mào đầu PPP này chỉ bao gồm trường mã số giao
thức PPP (PPP protocol ID field), không có các trường flag và FCS (frame
check sequence). Giả định trưòng địa chỉ và điều khiển đã được thoả thuận ở
giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá
trình kết nối PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với
phần mào đầu GRE. Trong GRE header, trường Call ID đựoc đặt giá trị thích
hợp để xác định đường hầm.
- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.
- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi
gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử
dụng NDIS.
- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer.
20

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người
dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài
(token) hay thẻ thông minh (smart card).
 Xác thực và mã hoá
Các client PPTP được xác thực cũng tương tự như các client RAS được xác
thực từ máy chủ PPP. Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP. MS-
CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng.
PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tại
máy cục bộ. Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu
sẽ thay đổi. Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác
nhau cho những người dùng khác nhau tại cùng một máy tính ở xa. Bởi vì khi cấp
quyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đó đều có đặc
quyền truy cập mạng như nhau.
Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft -
MPPE (Microsoft point-to-Point Encryption). Phương thức này dựa trên chuẩn RSA
RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được sử dụng
22

bởi PPP để thoả hiệp việc mã hoá. MS-CHAP được dùng để kiểm tra tính hợp lý
người dùng đầu cuối tại tên miền Windows NT.
Hình 2.8: Mã hóa trong gói PPTP
Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ
có thể cài đặt một phần mềm nâng cấp lên 128 bit. MPPE mã hoá các gói PPP tại
client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo mật từ
trạm làm việc đến máy chủ PPTP. Việc thay đổi khoá phiên có thể được thoả thuận
lại sau mỗi gói hay sau một số gói.
 Đường hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối
vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN
không được hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.
Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào
Internet , mạng riêng hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như
máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sau cho chỉ có một cổng
TCP/IP (1723) được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình
cổng này có thể làm cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu
hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua.
 Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay
phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị
của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn
có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP,
sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở client.
1.4.3 Giao thức đường hầm lớp 2 – L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và
L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng.
Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại
IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng
gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và
PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi
trường vật lý khác.
L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng
một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền
thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù
nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể
25

Nhờ tải bản gốc

Tài liệu, ebook tham khảo khác

Học thêm

Music ♫

Copyright: Tài liệu đại học © DMCA.com Protection Status