HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Trần Thị Thúy Nga NGHIÊN CỨU GIẢI PHÁP MẠNG RIÊNG ẢO
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THÀNH PHỐ HỒ CHÍ MINH Chuyên ngành: KHOA HỌC MÁY TÍNH
Mã số:60.48.01

TÓM TẮT LUẬN VĂN THẠC SỸ MỞ ĐẦU
\
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công
nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ.
Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng

Chương 1: Giới thiệu tổng quan về Mạng riêng ảo, các khái niệm cơ bản, các
thành phần, kiến trúc của mạng riêng ảo, bảo mật trong Mạng riêng ảo.
Chương 2: Nghiên cứu chi tiết mô hình Mạng riêng ảo dựa trên các giao thức
IPSec, MPLS, SSL.
Chương 3: Trình bày mô hình quản lý Cán bộ, công nhân viên và học sinh, sinh
viên tại Trường Đại học Công nghiệp Thành phố Hồ Chí Minh, triển khai thiết kế Mạng
riêng ảo áp dụng tại cơ sở
Thái Bình của trường phục vụ công tác quản lý.
MỤC LỤC
MỞ ĐẦU 1
Chương 1 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO 1
1.1. Các khái niệm cơ bản về mạng riêng ảo 1
1.1.1 Định nghĩa về Mạng riêng ảo 1
1.1.2 Lợi ích của mạng riêng ảo 1
1.1.2.1 Bảo mật 1
1.1.2.2 Tiết kiệm chi phí 1
1.1.2.3 Tính khả mở 1
1.1.2.4 Tính linh hoạt 1
1.1.2.5 Tăng hiệu suất 2
1.1.3 Những yêu cầu đối với mạng riêng ảo 2
1.1.3.1 An ninh 2
1.1.3.2 Tắc nghẽn cổ chai 2
1.1.3.3 Quản lý địa chỉ IP 2
1.1.3.4 Tính sẵn sàng và tin cậy 2
1.1.3.5 Khả năng tương thích 2
1.2 Cấu trúc mạng riêng ảo 2

1.4.2 Mật mã 7
1.4.2.1 Thuật toán mã hoá khoá bí mật 7
1.4.2.2 Thuật toán mã hoá khoá công cộng 7
1.5 Kết luận 7
Chương 2 8
MỘT SỐ KIẾN TRÚC MẠNG RIÊNG ẢO 8
2.1 Mạng riêng ảo dựa trên IPSec 8
2.1.1 Các thành phần của IPSec 8
2.1.1.1 Liên kết bảo mật 8
2.1.1.2 Giao thức xác thực 8
2.1.1.3 Giao thức mã hóa 8
2.1.2 Hoạt động của IPSec 8
2.1.2.1 Phương thức vận chuyển 8
2.1.2.2 Phương thức đường hầm 9
2.1.2.3 Kết hợp hai phương thức Trainsport Mode và Tunner Mode 9
2.1.3 Quản lý và trao đổi khóa 9
2.1.3.1 Main Mode 9
2.1.3.3 Quick Mode 10
2.1.3.4 Thỏa thuận SA 10
2.1.4 Sử dụng IPSec trong mạng riêng ảo 10
2.1.4.1 Cổng truy nhập 10
2.1.4.2 Máy truy nhập từ xa 10
2.1.5 Các vấn đề còn tồn đọng trong IPSec 10
2.2 Mạng riêng ảo dựa trên MPLS 11
2.2.1 Thành phần của MPLS 11
2.2.1.1 Bộ định tuyến chuyển mạch nhãn 11
2.2.1.2 Lớp chuyển tiếp tương đương 11
2.2.1.3 Nhãn 12
2.2.2 Các giao thức chính trong MPLS 12
2.2.2.1 Giao thức phân phối nhãn 12

3.3.2 Hệ thống mã hóa 19
3.4 Triển khai thử nghiệm tại Cơ sở Trường ĐHCN TP Hồ Chí Minh tại Thái Bình 20
3.5 Đánh giá 23
3.5.1 Bảo mật: 23
3.5.2 Tính linh hoạt 24
3.5.3 Tiết kiệm chi phí: 24
3.5.4 Tỉnh khả mở 24
3.5.5 Tăng hiệu suất 24
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 25
1

Chương 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO

1.1. Các khái niệm cơ bản về mạng riêng ảo[1],[6],[7],[8],[9]
1.1.1 Định nghĩa về Mạng riêng ảo
Có nhiều định nghĩa khác nhau về Mạng riêng ảo.
Theo VPN Consortium, Mạng riêng ảo là mạng sử dụng mạng công cộng (như
internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền
thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách
khác, VPN được định nghĩa là liên kết của khách hành được triển khai trên một hạ t
ầng
công cộng với các chính sách như trong một mạng riêng. Hạ tầng công cộng này có thể là
mạng IP, Frame Relay, ATM hay internet.
Theo tổ chức IETF (Internet Enginneering Task Force), Mạng riêng ảo được định
nghĩa là: Một mạng diện rộng dùng riêng sử dụng các thiết bị và các phương tiện truyền
dẫn của một mạng công cộng.
1.1.2 Lợi ích của mạng riêng ảo
1.1.2.1 Bảo mật
Mạng riêng ảo cung cấp mức độ an ninh cao nhất sử dụng các giao thức an ninh

các Router. Điều này khó để xác định một bảng định tuyến duy nhất và DNS cũng có thể
bị phân mảnh, làm khó khăn cho việc quản lý VPN.
1.1.3.4 Tính sẵn sàng và tin cậy
Tính sẵn sàng chỉ thời gian người dùng truy cập mạng và nó liên quan mật thiết
với tính tin cậy của hệ thống. Tính tin cậy đảm bảo rằng người dùng cuối được phân phối
dữ liệu trong mọi hoàn cảnh.
1.1.3.5 Khả năng tương thích
Trường hợp mạng tương tác dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và
các ứng dụng trên IP, các phương pháp sau có thể được tích hợp vào VPN như: Sử dụng
Getway IP, sử dụng đường hầm, sử dụng định tuyến IP ảo.
1.2 Cấu trúc mạng riêng ảo [1],[3],[9],[10]
1.2.1 Tính an ninh
Tính an ninh trong VPN có nghĩa là một đường hầm được thiết lập giữa hai điểm
cuổi để tạo nên một liên kết riêng, thông qua mạng công cộng. Tính an ninh cần cung cấp
các vấn đề như: Xác thực, quyền truy nhập, sự bí mật, toàn vẹn dữ liệu.
3

1.2.2 Đường hầm
Đường hầm tạo ra kết nối giữa hai điểm cuối bằng cách đóng gói thêm vào phần
tiêu đề mở rộng của gói tin và chuyển nó qua Internet. Việc đóng gói dữ liệu qua VPN
bao gồm cả việc mã hóa dữ liệu gốc, và khi gói tin đươc chuyển, ở đầu nhận Getway sẽ
gỡ bỏ phần tiêu đề mở rộng và giải mã gói tin nếu cần thiết, sau đó chuyển gói tin tới
đích.Đường hầm có thể bao gồm hai loại đầu cuối: Một máy tính truy cập từ xa, hoặc một
LAN với Security Gateway (có thể là Router hoặc tường lửa)
1.2.3 Các thành phần trong mạng riêng ảo
1.2.3.1 Máy chủ chính sách an ninh
Máy chủ chính sách an ninh duy trì một danh sách kiểm soát truy nhập và thông
tin người sử dụng cần thiết cho Security Gateway thực hiện nhiệm vụ xác thực. Ví dụ, hệ
thống dùng PPTP, quyền truy nhập có thể được điều khiển thông qua RADIUS, hệ thống
sử dụng IPSec, máy chủ chính sách an ninh chịu trách nhiệm quản lý khóa chia sẻ cho

một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho
phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn
bộ mạng c
ủa công ty.
1.2.4.3 Kết nối mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các
kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site-To-Site.
1.3 Các giao thức dùng trong mạng riêng ảo[1],[8],[9]
1.3.1 Layer 2 Forwarding
Giao thức định hướng lớp 2-L2F do Cisco phát triển độc lập và được phát triển
dựa trên giao thức PPP. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết
lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F là giao
thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử
dụng ở xa truy cập vào một m
ạng công ty thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ
liệu. L2F Cho phép thiết lập đường hầm đa giao thức, và được cung cấp bởi nhiều nhà
cung cấp. Tuy nhiên nó không có mã hoá, yếu trong việc xác thực người dùng và không
có điều khiển luồng cho đường hầm.
1.3.2 Point-To-Point Tunneling Protocol
Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập
từ xa, lợi d
ụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa
và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.
5

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng
quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử

nói tới,hệ thống xác thực dựa trên 3 yết tố:Cái mà họ biết, cái mà họ có; hay cái gì đó
thuộcvề riêng bạn.
6

1.4.1.1 Mật khẩu truyền thống
Các loại xác thực đơn giảnnhư số nhận dạng ID, mật khẩu không đủ mạnh cho
việc bảo mật mạng. Mật khẩu có thể bị đón bắt trong quá trình truyền dữ liệu của mạng.
1.4.1.2 Hệ thống mật khẩu một lần
Với hệ thống này thì mỗi khi người dùng đăng nhập vào hệ thống luôn phải chọn
một mật khẩu mới cho mỗi phiên làm việc kế tiếp.
1.4.1.3 Giao thức xác thực mật khẩu
PAP(Passwork Authentication Protocol) được thiết kế cho một máy tính tự xác thực
đến một máy tính khác khi giao thức điểm-điểm PPP được sử dụng làm giao thức truyền
thông. PAP là một giao thức bắt tay hai chiều, đó là, máy tính chủ tạo kết nối gửi nhận
dạng người dùng và mật khẩu kép đến hệ thống đích mà nó cố gắng thiết lập một kết nối
và sau đó hệ thống đích xác thực rằng máy tính đó được xác thực đúng và được chấp
nhận cho việc truyền thông.
1.4.1.4 Giao thức xác thực yêu cầu bắt tay
CHAP (Challenge Handshake Authentication Protocol) là một giao thức bắt tay ba
chiều bởi vì nó bao gồm ba bước để thực hiện kiểm tra một kết nối, sau khi kết nối được
khởi tạo đầu tiên hay tại bất kỳ thời điểm nào sau khi kết nối được thiết lập. Thay vì dùng
một mật khẩu hay tiến trình chấp nhận giống như trong PAP, CHAP sử dụng một hàm
băm một chiều.
1.4.1.5 Hệ thống điều khiển truy cập bộ điều khiển truy cập đầu cuối
TACACS (Terminal Access Controler Access Control System) là hệ thống được
phát triển đểcung cấp cơ chế xác thực và thực hiện chức năng: Cho phép (authorization)
và tính cước (accouting). TACACS được thiế kế như một hệ thống client/server mềm dẻo
hơn và đặc biệt trong việc quản lý bảo mật mạng.
1.4.1.6 Dịch vụ xác thực người dùng quay số từ xa
RADIUS (Remote Authentication Dial-In Use Service) cũng sử dụng kiểu

Thuật toán mã hoá khoá công cộng sử dụng một cặp khoá để mã hoá và giải mã
bảo mật một bản tin. Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá
khác để giải mã nhưng hai khoá này có liên quan với nhau tạo thành một cặp khoá duy
nhất của một bản tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau.
1.5 Kết luận
Chương này đã giới thiệu về tổng quan VPN bao gồm khái niệm về VPN, lợi ích
của VPN mang lại, kiến trúc một mạng VPN, phân loại VPN, tìm hiểu một số giao thức
quan trọng trong VPN như L2F, PPP, PPTP, L2TP, IPSec, MPLS và các vấn đề nhận
thức, mã hóa trong an toàn bảo mật mạng VPN. Chương hai chúng ta sẽ nghiên cứu cụ
thể các giao thức IPSec, MPLS và SSl VPN, qua đó tìm ra được các nguy cơ về an toàn
bảo mật cho từng loại dịch vụ VPN hiện nay.
8

Chương 2
MỘT SỐ KIẾN TRÚC MẠNG RIÊNG ẢO

2.1 Mạng riêng ảo dựa trên IPSec[1],[9],[10]
2.1.1 Các thành phần của IPSec
2.1.1.1 Liên kết bảo mật
Khi một tập dữ liệu chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN
sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán xác
thức, mật mã, địa chỉ của đối tác, chế độ truyền dẫn, thời gian sống của khoá .v.v. Những
thông tin này được biết đến như là một liên kết bảo mật SA. Một SA là một kết nố
i logic
một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối. Bởi vì hầu hết lưu
lượng là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra.
2.1.1.2 Giao thức xác thực
AH cung cấp hầu hết các dịch vụ xác thực cho gói tin IP. Trong AH có chứa một
giá trị kiểm tra (checksum) của gói tin dùng để xác thực gói tin, AH được chèn vào giữa
phần IP Header và phần tải của IP.

hầm, và đây cũng là nguyên nhân để ESP có thêm tùy chọn xác thực.
2.1.3 Quản lý và trao đổi khóa
Trong quá trình truy
ền thông, các khóa phải được bảo mật. Có hai cách để điều
khiển việc trao đổi và quản lý khóa: Thực hiện bằng tay hoặc tự động bằng một giao thức
quản lý khóa.
Tổ chức IETF đã lựa chọn IKE (Internet Key Exchange) làm giao thức chuẩn để
thực hiện SA. IKE dựa trên triển khai ISAKMP (Internet Security Asociasion and Key
Management Protocol) của Cisco và cơ chế trao đổi khóa Oakley, do vậy nó còn gọi là
ISAKMP/Oakley.
IKE hoạt động ở 2 pha:Pha 1 được dùng khi 2 phía thiết lập một kênh bảo mật để
thực hiện ISAKMP (được gọi là ISAKMP SA); Pha 2 để tạo ra các vật liệu khóa, các
tham số thương lượng và thiết lập SA.
Oakley đưa ra 3 chế độ để trao đổi thông tin khóa và thiết lập các SA:
2.1.3.1 Main Mode
Main Mode cung cấp một cơ chế để thiết lập pha thứ nhất cho ISAKMP SA, xảy
ra trong 3 lần trao đổi hai chiều giữa bên gửi SA và bên nhận.
- Lần trao đổi thứ nhất có hai thỏa thuận cơ bản về thuật toán và hàm băm.
- Lần trao đổi thứ 2, hai bên trao đổi khóa công cộng Diffie-Hellman và chuyển
cho nhau một số ngẫu nhiên để bên kia ký nhận, trả lại để xác nhận định dạng của nhau.
10

- Lần trao đổi thứ 3 hai bên kiểm tra định danh của nhau và hoàn thành quá trình
trao đổi.
2.1.3.2 Aggressive Mode
Aggressive Mode chỉ thực hiện 2 lần trao đổi với 2 gói tin.Đầu tiên Aggressive
Mode bên khởi xướng tạo ra một cặp khóa Diffie-Hellman với đề xuất SA. Chuyển khóa
công cộng Diffie-Hellman, gửi Nonce cho bên kia ký nhận và gửi một ID của gói tin làm
số nhận dạng.Sau đó bên nhận gửi trả lại tất cả những gì cần phải xác nhận để hoàn tất
quá trình trao đổi.Cuối cùng bên khởi xướng chỉ cần xác nhận sự trao đổi đã thực hiện.

- Việc tính toán cho nhiều giải thuật trong IPSec vẫn cồn là một vấn đề đối với các
trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mề
m mật mã vẫn còn bị hạn chế.
2.2 Mạng riêng ảo dựa trên MPLS [2],[8],[9],[10]
Công nghệ chuyển mạch nhãn Multiple Protocol Lable Switching (MPLS) là một
công nghệ chuyển mạch không dựa vào IP mà dựa vào một khái niệm mới gọi là nhãn (label).
Nhãn được thêm vào gói IP và được quảng bá đi giữa các router để hình thành nên các ánh xạ
giữa nhãn và địa chỉ IP. Việc chuyển mạch các gói tin sẽ không cần thực hiện việc tra cứu vào
bảng định tuyến IP tức dựa trên địa chỉ đích nữa mà hoàn toàn dựa vào bảng ánh xạ nhãn.
MPLS là một giải pháp linh hoạt để giải quyết vấn đề của các công nghệ mạng hiện nay
như: Tốc độ, khả năng mở rộng, quản lý chất lượng dịch vụ (QoS) và điều khiển luồng (traffic
Engineering-TE).
2.2.1 Thành phần của MPLS
Mạng MPLS truyền dữ liệu thông qua các đường dẫn chuyển mạch nhãn (Label-
Switched Path-LSP). LSP là một chuỗi các nhãn tại mọi nút dọc theo đường dẫn từ nguồn
đến đích, tất cả các gói tin có cùng giá trị nhãn sẽ đi trên cùng một LSP. Mỗi gói tin được
đóng gói và gắn nhãn trong suốt hành trình của nó từ nguồn tới đích.
2.2.1.1 Bộ định tuyến chuyển mạch nhãn
- Bộ định tuyến trong mạng lõi (Label Switching Router-LSR): LSR là một thiết
bị định tuyến tốc độ cao trong mạng lõi có hỗ trợ tính năng MPLS. Nó tham gia vào quá
trình thiết lập LSP sử dụng các giao thức báo hiệu nhãn thích hợp, và chuyển mạch dữ
liệu tốc độ cao trên các LSP đã thiết lập.
- Bộ định tuyến ở biên mạng (Label Edge Router-LER): LER là thiết bị hoạt động
ở biên mạng, nó hỗ trợ đa cổng kết nố
i tới nhiều mạng khác nhau như Frame Relay,
ATM, Ethernet… và chuyển tiếp dữ liệu vào mạng MPLS sau khi thiết lập LSP.
2.2.1.2 Lớp chuyển tiếp tương đương
FEC là một nhóm các gói tin ở lớp mạng được gán nhãn giống nhau và gửi đi
theo một đường cụ thể. FEC cho một gói tin có thể được xác định bởi một hoặc nhiều

thỏa mãm điều kiện đã đặt ra. Các ràng buộc này có thể là số nút ít nhất, đường đi ngắn
nhất, thời gian thực hi
ện… Ngoài ra nó còn có các điều kiện khác đối với kênh và quản
trị.Ví dụ như người quản trị muốn ngăn một kênh không cho lưu lượng đi qua.
2.2.2.3 Giao thức dành trước tài nguyên
Giao thức dành trước tài nguyên (RSVP) RSVP cung cấp khả năng vận hành được
bảo vệ bằng việc đặt trước tài nguyên cần thiết tại mỗi máy tham gia vào hỗ trợ luồng lưu
13

lượng,nó yêu cầu các máy nhận về chất lượng dịch vụ cho luồng dữ liệu. Máy người
nhận giải quyết các thuộc tính QoS sẽ được truyền tới RSVP. Sau khi phân tích các yêu
cầu này (gồm địa chỉ IP máy gửi, máy nhận, số cổng UDP, chỉ tiêu kỹ thuật của luồng
lưu lượng, kích thước cụm và các yêu cầu QoS…), RSVP được sử dụng để gửi các bản
tin tới tất cả các nút nằm trên tuy
ến đường của gói tin.
2.2.2.4 Đường hầm và xếp chồng nhãn
Trong MPLS có thể chèn nhiều nhãn vào một gói tin, mang đến khả năng hỗ trợ
định tuyến có cấu trúc. Tại mỗi LSR, các nhãn đều có thể được thêm vào hoặc gỡ bỏ khỏi
chồng nhãn. Điều này cho phép kết hợp nhiều LSP thành một LSP duy nhất. Các gói tin
đã được gắn nhãn khi đi vào một đường hầm ở mức cao hơn sẽ được gắn thêm một nhãn
ngoài, nhãn trong vẫn được giữ lại để phân biệt khi chúng tách khỏi đường hầm mức cao.
2.2.2.5 Giao thức BGP
BGP được sử dụng để định tuyến một tuyến đường nào đó, nó cũng có thể được
sử dụng phân bổ một nhãn được ràng buộc với tuyến đó. Thông tin ràng buộc nhãn của
một tuyến đường có thể là một bản tin update giúp BGP đảm bảo cho quá trình phân phối
nhãn và các thông tin định tuyến ổn định và giảm bớt tiêu đề của bản tin điều khiển xử lý.
2.2.3 Hoạt động c
ủa MPLS
Hoạt động của MPLS được chia làm hai kiểu: Chế độ hoạt động khung (Frame-
mode) và chế độ hoạt động tế bào (Cell-mode)

Bên cạnh đó MPLS VPN còn tồn tại một số nhược điểm như:Nhà cung cấp cần
phải nâng cấp các giao thức và phần mềm trong mạng trục. Việc kết nối giữa các nhà
cung cấp khác nhau sẽ phức tạp, đòi hỏi phải có sự hỗ trợ và thỏa thuận về các chính sách
và giao thức được sử dụng.
2.3 Mạng riêng ảo dựa trên SSL [3],[5]
Giao thức Secure Socket Layer (SSL) đã được sử dụng rộng rãi trên World Wide
Web trong việc xác thực và mã hoá thông tin giữa client và server. Tổ chức IETF đã
chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security). Mặc dù là có sự thay đổi
về tên nhưng TSL chỉ là một phiên bản mới của SSL. Phiên bản TSL 1.0 tương đương
với phiên bản SSL 3.1. Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.
2.3.1 Cấu trúc SSL
SSL nằm giữa lớp vận chuyển (Transport Layer) và lớp ứng dụng (Application
Layer). SSL được xếp lớp lên trên một dịch vụ vận chuyển định hướng kết nối đáng tin
cậy, chẳng hạn như được cung cấp bởi TCP. Về khả năng, nó có thể cung cấp các dịch vụ
bảo mật cho các giao thức ứng dụng tùy ý dựa vào TCP chứ không chỉ HTTP. Ngoài ra,
SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp th
ứ ba (CA)
thông qua giấy chứng thực điển tử (digital certificate) dựa trên mật mã công khai (ví dụ
RSA). SSL cũng cung cấp sự bảo mật truyền thông cơ bản:
- Client và Server có thể xác thực lẫn nhau bằng cách sử dụng mật mã khóa chung.
15

- Sự bí mật của dữ liệu được bảo vệ vì nối kết được mã hóa trong suốt sau khi thiết
lập quan hệ ban đầu và sự thương lượng khóa session đã xảy ra.
- Tính xác thực và tính toàn vẹn của dữ liệu được bảo vệ vì các thông báo được
xác thực và được kiểm tra bằng cách sử dụng MAC.
2.3.2 Hoạt động của SSL VPN
2.3.2.1 Đường hầm bảo mật sử dụng SSL
SSL VPN tạo ra đường hầm bảo mật bằng cách thực hiện hai chức năng:
Thứ nhất,bắt buộc người dùng phải nhận thực trước khi cho phép truy nhập và chỉ

tiếp với người dùng. Địa chỉ chuyển tiếp là htth://remote.packtput.com. SSL VPN sẽ gửi
tới người dùng một trang đăng nhập.
3. Người dùng đăng nhập chứng thực của họ tới SSL VPN.
4. Nếu chứng thực được chấp thuận, SSL VPN g
ửi trang chủ và tải về các mã
ActiveX hoặc Java cần thiết để thiết lập đường hầm lưu lượng non-web qua SSL hoặc
thiết lập kết nối mạng qua SSL.
5. Người dùng chọn một ứng dụng nền web sử dụng trang chủ và SSL VPN sẽ đưa
người dùng vào hệ thống. SSL VPN dịch tất cả các giao tiếp từ hệ thống nội bộ trước khi
chuyển tiếp chúng đến người dùng.
6. Khi người dùng bấm vào một liên kết trong ứng dụng, SSL VPN chuyển đổi
liên kết từ định dạng bên ngoài thành dạng nội bộ và chuyển tiếp yêu cầu tới máy chủ
tương ứng.
7. Khi cần phải có lưu lượng non-web từ máy trạm, phần mềm SSL VPN trên máy
chủ người dùng đóng gói dữ liệu bằng cách sử dụng một trong các kỹ thuật đã mô tả ở
trên và gửi nó qua kết nối SSL tớ
i SSL VPN, ở đó nó sẽ khôi phục trở thành định dạng
ban đầu và gửi nó tới mạng nội bộ.
2.3.3 Ưu nhược điểm của SSL VPN
SSL VPN có rất nhiều ưu điểm như: Bảo mật dữ liệu cho các lớp giao thức xếp
trên nó, khóa riêng chứng chỉ số cho nhận thực. Mặc dù vậy, SSL VPN cũng có những
hạn chế như:SSLVPN chỉ yêu cầu một giao thức vậ
n chuyển là TCP, không hỗ trợ dịch
vụ bảo mật như non-repudiation…
2.4 Kết luận
Chương này đã trình bày chi tiết một số công nghệ chính trong mạng Mạng riêng ảo như
IPSec VPN, MPLS,BGP/MPLS VPN, SSL VPN. Tìm hiểu thành phần, các giao thức và
hoạt động của các giao thức, từ đó đưa ra các nhận xét về ưu nhược điểm mỗi công nghệ
các vấn đề còn tồn tại của các công nghệ này.


tâm Khảo thí, Trung tâm thư viện… sẽ có các máy riêng của nhân viên phòng, ban đó.
Như vậy tại mỗi cơ sở ta sẽ thiết kế ít nhất hai máy server, một server để lưu dữ
liệu, một server để kết nối với c
ơ sở chính của Trường. Tại các phòng, khoa các máy
client ta ủy quyền cho một Client làm Domain Group, máy Domain Group này do cán bộ
quản lý phòng, khoa đó sử dụng, ngoài ra còn các thiết bị mạng như Router, Switch
18

mạng. Các máy server bổ sung tại mỗi cơ sở có thể dùng làm máy chủ RADIUS, hoặc
chứng thực CA.
3.2.3 Nhà cung cấp dịch vụ
Để thiết kế mạng riêng ảo, bảo mật cho thông tin của Trường ta đăng ký dịch vụ
VPN của nhà cung cấp VNPT. Để kết nối được VPN cơ sở chính với cơ sở Thái Bình ta
cần các dịch vụ VNPT TP Hồ Chí Minh, VNPT Hà Nội VNPT Quận Gò Vấp nơi trụ sở
chính củ
a Trường, VNPT tỉnh Thái Bình. VNPT cấp trung ương như TP Hồ Chí Minh,
VNPT Hà Nội cung cấp dải địa chỉ cho truy nhập giữa hai vùng, VNPT cấp địa phương
như VNPT Thái Bình, VNPT Gò Vấp cấp dải địa chỉ cho các nhân viên thuộc cơ sở tại
địa bàn đó sử dụng.
3.2.4 Thiết kế Mạng VPN
Trường ĐHCN TP Hồ Chí Minh với nhiều cơ sở, để kết nối các cơ sở học viên
dùng kiểu kế
t nối VPN Site-to-Site. Để kết nối từ xa cho nhân viên ở bất cứ đâu cũng có
thể truy nhập hệ thống của trường, học viên dùng kết nối VPN Client-to-Site.
Học viên lựa chọn công nghệ IPSec cho kết nối VPN vì IPSec cung cấp nhiều kiểu
mã hóa dữ liệu, đảm bảo tính bí mật, an toàn cho thông tin trên đường truyền. Trong cài
đặt VPN học viên sử dụng giao thức L2TP vì L2TP mang đặc tính của cả PPTP và L2F,
L2TP cho phép truyền thông qua nhiều môi trường gói khác nhau như Frame Relay,
ATM