MỤC LỤC
MỤC LỤC…………………………………………………………………1
DANH SÁCH HÌNH………………………………………………………2
lỜi NÓI ĐẦU ……………………………………………………… ……3
CHƯƠNG 1 - TỔNG QUAN VỂ MẠNG RIÊNG ẢO
1.1 Khái niệm mạng riêng ảo…………………………………………….5
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo……………7
1.2.1 Chức năng………………………………………………………….7
1.2.2 Ưu điểm……………………………………………………… ….7
1.2.3 Nhược điểm……………………………………………………….8
CHƯƠNG 2 – CÁC GIAO THỨC ĐƯỜNG HẦM
2.1 Giới thiệu các giao thức đường hầm…………………………………9
2.2 Các giao thức mã hoá đường hầm……………………………… …11
2.2.1 Giao thức chuyển tiếp lớp 2 L2F………………………………… 11
2.2.1.1 Các quá trình xử lý L2F……………………………………….12
2.2.1.2 Tunneling L2F……………………………………………… 14
2.2.1.3 Vấn đề bảo mật L2F………………………………………… 15
2.2.1.4 Sự nhận thức dữ liệu L2F…………………………………… 16
2.2.1.5 Ưu điểm và Nhược điểm của L2F…………………………… 17
2.2.2 Giao thức Tunneling lớp 2 L2TP………………………………….18
2.2.2.1 Các thành phần của L2TP…………………………………… …20
2,2,2,2 Các quá trình xử lý của L2TP…………………………………….21
2.2.2.3 Tunnel dữ liệu L2TP………………………………………… 22
2.2.2.4 Các phương thức đường hầm L2TP……………………………25
2.2.2.5 Sự nhận thực L2TP qua IPsec………………………….………30
2.2.2.6 Mã hóa dữ liệu dạng L2TP…………………………… ………31
2.2.2.7 Ưu điểm và Nhược điểm của L2TP…………………………….31
KẾT LUẬN ………………………………………………………………33
1
DANH SÁCH HÌNH
Hình 1.1 : Mô hình mạng riêng ảo………………………………………….5.

KẾT LUẬN
3

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CHUYÊN ĐỀ
Quản lý Mạng Viễn Thông
Đề tài:
MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ MÃ
HOÁ ĐƯỜNG HẦM
Giáo viên hướng dẫn:ThS.Nguyễn Tiến Ban
Người thực hiện: Trần Đại Nghĩa
NguyÔn §×nh §¹t
Lớp: D2004VT2
Hà Nội 2005
4
Chương 1
Tổng quan về mạng riêng ảo
1.1Khái niệm mạng riêng ảo
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai
trên kết nối mạng trên cơ sở hạ tầng mạng công cộng với các chính sách
quản lý và bảo vệ giống như mạng cục bộ . Mạng VPN là sự mở rộng mô
hình mạng LAN . Trong thực tế người ta nói đến hai khái niệm : VPN tin
cậy và VPN an toàn
 VPN tin cậy : như là số mạch thuê bao của một nhà cung cấp dịch vụ
viễn thông . Mỗi mạch thuê hoạt động như một đường dây trong một
mạng cục bộ
 VPN an toàn : là các mạng riêng ảo có sự sử dụng các mật mã để bảo
vệ dữ liệu . Dữ liệu đầu ra của mạng được mật mã rồi chuyển vào
mạng công cộng như các dữ liệu khác để truyển tới đích và sau đó
được giải mã tại phía thu .

tư thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình. Đây là điều rất
khó khăn cho các doanh nghiệp không chuyên về viễn thông và công nghệ
thông tin.
1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo
1.2.1 Chức năng VPN cung cấp 3 chức năng :
 Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin
với người mình mong muốn .
 Tính toàn vẹn
Để đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn
nào trong quá trình truyền dẫn
 Tính bảo mật
Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã phía đầu ra
1.2.2 Ưu điểm
Mạng riêng ảo mạng lại lợi ích thiết thực và tức thời cho các công ty
 tiết kiệm chi phí
7
 Tính linh hoạt
 Khản năng mở rộng
 Giảm thiểu các hỗ trợ kỹ thuật
 Giảm thiểu các yêu cầu thiết bị
 Đáp ứng các nhu cầu thương mại
1.2.2 Nhược điểm

Ngoài các ưu điểm trên mạng VPN còn có các nhược điểm
 Sự rủi ro an ninh
 Độ tin cậy và khẳn năng thực thi
 Vấn đề lựa chọn giao thức

Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao
gồm thông tin loại gói tin và thông tin kết nối giữa máy chủ với máy khách.
Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai
trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy
cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao
diện Tunnel.
Hình 2.1 Mạng riêng sử dụng IPsec
Kỹ thuật Tunneling VPN truy cập từ xa
Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point
Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao
thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói
tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào
PPP.
10
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và
dùng trong mạng VPN truy cập từ xa.
L2F (Layer 2 Forwarding) được Cisco phát triển. L2 F dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP Forum phát
triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế
thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa các
thành viên PPTP Forum, Cisco và IETF. Kết hợp các tính năng của cả PPTP
và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm
giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa.
Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS
và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và
an toàn hơn.
Giao thức bảo mật IPsec (IPSec – Internet Protocol Security)

hữu dụng trong việc giảm chi phi cho người sử dụng.
Hình 2.2 Giao thức đường hầm L2F .
2.2.1.1 Các quá trình xử lý L2F
Khi một client từ xa quay số khởi tạo một kết nối tới một cái host
được xác định vị trí trong một intranet,các quá trình xử lý sau được thực
hiện một cách tuần tự:
1. Người sử dụng từ xa khởi tạo một kết nối PPP tới các ISP của nó. Nếu
người sử dụng từ xa là một phần của cơ cấu mạng LAN,người sử
dụng có thể dùng ISDN hoặc cách kết nối khác để kết nối tới ISP. Một
chọn lựa khác, nếu người sử dụng không phải là một thành phần của
bất kỳ mạng intranet, bạn cần sử dụng dịch vụ theo đường PSTN.
12
2. Nếu NAS thiết lập POP của ISP chấp nhận yêu cầu kết nối, thì sự kết
nối PPP được thiết lập giữa NAS và người sử dụng.
3. Người sử dụng được nhận thực tại ISP cuối cùng. Một trong hai
CHAP hoặc PAP được sử dụng cho mục đích này.
4. Nếu không có tunnel nào tồn tại tới gateway của mạng đích mong
muốn, thì một đường được khởi tạo
5. Sau khi một tunnel được thiết lập thành công, một ID thành phần duy
nhất (MID) được cấp phát để kết nối. Một bản tin thông báo cũng
được gửi tới gateway của host trong mạng. Bản tin này thông báo
gateway về yêu cầu cho kết nối từ một người sử dụng ở xa.
6. Gateway có thể hoặc là chấp nhận hoặc từ chối yêu cầu kết nối tới nó.
Nếu yêu cầu bị từ chối, người sử dụng được thông báo về lại là yêu
cầu bị lỗi và kết nối dial-up kết thúc. Mặt khác, Nếu yêu cầu được
chấp nhận, cac gateway host gửi thông báo bắt đầu thiết lập tới client
xa. Đáp ứng này cũng có thể bao gồm thông tin nhận thực được sử
dụng bởi gateway để nhận thực người sử dụng từ xa.
7. Sau khi người sử dụng được nhận thực bởi một gateway của mạng
host, một giao diện ảo được thiết lập giữa hai đầu cuối.

các gateway,mà các khung này được đóng khung vào các gói L2F (như trên
hình 2.4), và chuyển tiếp nó tới NAS đã được cấp phát tại phía ISP. NAS
phân giải các thông tin từ các khung thêm các thông tin lớp liên kết dữ liệu
thích hợp vào nó. Sau đó khung được chuyển tiếp tới người sử dụng ở xa.
Hình 2.5 –Dạng gói L2F.
2.2.1.3 Vấn đề bảo mật L2F
L2F cung cấp các tiện ích sau:
• Mật mã hóa dữ liệu.
• Sự xác thực.
Quá trình mật mã hóa dữ liệu của L2F:
L2F sử dụng MPPE (Mã hóa dữ liệu điểm-điểm của Microsoft) cho
mục đích mã hóa cơ bản. Tuy nhiên, MPPE không thực sự an toàn có thể
chống lại thủ thuật hack ngày càng tinh vi. Khi đó tất nhiên dẫn đến, L2F
cũng sử dụng phương pháp mã hóa dựa trên giao thức Ipsec(Internet
protocol security) để tăng thêm khả năng bảo vệ dữ liệu trong khi truyền
dẫn. Ipsec sử dụng hai giao thức cho mục đích mã hóa này- ESP
15
(Encapsulating Security) và AH (Authentication header). Hơn nữa, để đảm
bảo tính bảo mật khóa cao trong pha khóa trao đổi khóa, IPsec cũng sử dụng
một giao thức thứ 3 là IKE (Internet Key Exchange).
Ưu điểm lớn nhất của kỹ thuật mã hóa sử dụng IPsec là IPsec bắt buộc
sự nhận thực của từng gói riêng biêt thay vì thay vì sự thực hiện nhận thực
chung đối với mỗi người sử dụng. Trong kỹ thuật nhận thực theo người sử
dụng, mỗi người sử dụng tại các đầu cuối truyền thông tin được nhận thực
chỉ một lần khi bắt đầu truyền thông tin. Tuy nhiên, khi đó bạn cho rằng
chiến lược nhận thực theo gói là chậm hơn chiến lược nhận thực theo người
sử dụng và chịu phần mào đầu tương đối lớn. Ngoài ra, IPsec được khuyến
nghị như một giao thức bảo mật đối với tất cả các tunneling VPN, là PPTP,
L2F,L2TP.
2.2.1.4 Sự nhận thực dữ liệu L2F

Authentication Protocol) cho việc nhận thực. SPAP là giao thức chủ nó sử
dụng các mật khẩu đã mã hóa và có thể hỗ trợ thêm các chức năng tăng
cường, như là thay đổi mật khẩu và hỗ trợ kỹ thuật gọi lại.
Ngoài các kỹ thuật nhận thực đã kể ở trên, L2F cũng dùng RADIUS
(Remote Access Dial-In User Service) và TACACS (Terminal Access
Controller Access Control Service) khi nhận thực được đưa thêm vào dịch
vụ. Cả hai người nhận thực các dịch vụ có thể truy cập server truy cập cục
bộ,nếu các server truy cập xa không nhận thực được các người sử dụng này.
Việc nhận thực xa các RADIUS và TACACS-cơ sở được thực hiện chung
bởi các ISP và các tổ chức phạm vi rộng.
Chú ý:Nói chung, các RAS là có thể xử lí yêu cầu kết nối từ xa và
cấp phát quyền truy nhập. Tuy nhiên, nếu số lượng người sử dụng xa rất lớn,
chúng có thể chuyển tiếp các yêu cầu tới server RADIUS hoặc TACACS
hoặc một cơ sở dữ liệu đã được kết nối. Tại đây, người sử dụng có thể được
nhận thực và sau đó cấp phát hoặc từ chối việc truy nhập.
2.2.1.5 Ưu điểm và Nhược điểm L2F
Mặc dù L2F yêu cầu mở rộng phân phối với các LCP khác nhau và
các tùy chọn nhận thực. L2F rộng hơn PPTP bởi vì L2F là giải pháp chuyển
tiếp khung mức thấp. L2F cũng cung cấp mặt phẳng giải pháp VPN cho các
doanh nghiệp tốt hơn PPTP.
17
Ưu điểm chính của việc thực hiện giải pháp L2F-cơ sở là:
• Tăng tính bảo của các phiên truyền thông.
• Dạng mặt phẳng- độc lập.
• Không cần sự sắp xếp đặc biệt cho ISP.
• Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI, IPX,
NetBEUI, và Frame Relay.
Bên cạnh các ưu điểm kể trên, thì cũng có một vài nhược điểm đối với
L2F.
• Giải pháp L2F-cơ sở cần đến cấu hình và sự hỗ trợ mở rộng.

• L2TP không yêu cầu thực thực hiện của bất kỳ một phần mềm phụ
nào như việc thêm các driver hoặc các hệ thống hoạt động bổ trợ. Vì
vậy, người sử dụng từ xa hoặc các mạng intranet riêng cần các đến sự
thực hiện của phần mềm đặc biệt.
• L2TP cho phép người sử dụng từ xa với địa chỉ IP chưa được đăng ký
(hoặc cá biệt) được truy nhập tới một mạng xa thông qua mạng công
cộng.
• Sự nhận thực và sực cho phép của L2TP thực hiện bởi các gateway
của mạng host. Vì vậy, ISP không cần duy trì cơ sở dữ liệu nhận thực
người sử dụng hoặc sự truy nhập chính xác đối với người sử dụng từ
xa. Hơn nữa, các mạng intranet riêng biệt cũng có thể xác định các
quyền truy nhập riêng và các chính sách bảo mật. Điều này được thực
hiện bởi quá trình thiết lập tunnel nhanh hơn nhiều so với các giao
thức tunnel lúc đầu.
Đặc điểm chính của các tunnel L2TP-L2TP tự thiết lập tunnel, không
như PPTP, là không kết thúc tại các ISP gần nhất. Thay vì đó, các tunnel này
được gửi tới gateway của các mạng host (hoặc các đích), như chỉ ra trên hình
2.5. Các yêu cầu tunnel L2TP có thể được bắt đầu hoặc tại người sử dụng xa
hoặc tại các gateway của ISP.
19
Hình 2.6-Các tunnel L2TP.
Chú ý:Bộ tập trung truy cập L2TP (LAC) là một L2TP thành phần và
được thảo luận tại các phần sau.
Khi các khung PPP được gửi qua tunnel L2TP, chúng được đóng gói
bằng bản tin User Datagram Protocol (UDP). L2TP sử dụng các bản tin
UDP này cho tunnel dữ liệu và duy trì tunnel này. Hơn nữa, không giống
như các giao thức tunneling ban đầu,dữ liệu được đưa qua tunnel và các gói
duy trì tunnel, có cùng cấu trúc gói.
2.2.2.1 Các thành phần của L2TP
Các phiên giao dịch truyền thông L2TP-cơ sở dùng 3 thành phần cơ

dụng va LAC.
5. LNS sử dụng các thông tin nhận được trong bản tin thông báo để
nhận thực người sử dụng đích. Nếu người sử dụng đã được nhận thực
thành công và LNS chấp nhận yêu cầu tunnel thì một giao diện PPP
ảo được thiết lập với sự trợ giúp của chức năng tùy chọn LCP nhận
được trong bản tin thông báo.
6. Sau đó người sử dụng xa và LNS bắt đầu chuyển dữ liệu qua tunnel.
21
Hình 2.7-Quá trình thiết lập tunnel L2TP.
Giống như PPTP và L2F, L2TP cũng hỗ trợ hai phương thức hoạt động
l2TP, bao gồm:
• Phương thưc cuộc gọi đến: trong phương thức hoạt động này, các yêu
cầu kết nối được khởi tạo bởi người sử dụng xa:
• Phương thức cuộc gói đi: trong phương thức này, các yêu cầu khởi tạo
kết nối bằng LNS. Vì vậy, LNS chỉ thị LAC đến nơi nhận cuộc gọi.
Sau khi LAC thiết lập cuộc gọi, người sử dụng xa và LNS có thể
chuyển tiếp các gói dữ liệu trên tunnel.
2.2.2.3 Tunnel dữ liệu L2TP
Tương tự như PPTP đã gửi các gói qua tunnel, các gói dữ liệu L2TP
duới nhiều mức khác đóng gói khác nhau. Các tầng dữ liệu khác nhau của
luồng dữ L2TP được chỉ ra trên hình 2.7 bao gồm :
• Đóng gói dữ liệu dạng PPP: Không giống như việc đóng gói của
PPTP-cơ sở, dữ liệu không được mã hóa trước khi đóng gói. Chỉ có
tiêu đề PPP là được thêm vào phần tải tin dữ liệu ban đầu.
• Đóng gói các khung PPP dạng L2TP: Sau khi tải tin gốc đã được đóng
gói thành gói PPP thì tiêu đề của L2TP được thêm vào.
22
• Đóng gói khung L2TP dạng UDP :Tiếp theo, Các gói đã đươc đóng
gói dạng L2TP sẽ được đóng gói tiếp trong khung dạng UDP. Nói
cách khác, Phần tiêu đề UDP được thêm vào các khung L2TP. Các

loại bỏ bằng, tải tin PPP được chuyển tiếp tới bộ điều khiển giao thức thích
hợp cho quá trình xử lí.
24
Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP.
2.2.2.4 Phương thức đường hầm L2TP
L2TP hỗ trợ hai phương thức tunnel- phương thức tunnel cưỡng bức
và phương thức tunnel tự nguyện. Các phương thức tunnel này đóng một vai
trò quan trọng trong việc truyền dẫn dữ liệu đảm bảo từ một đầu cuối đến
một đầu cuối khác.
Phương thức tunnel cưỡng bức L2TP
Tunnel cưỡng bức L2TP được chỉ ra trên hình 2.9 được thiết lập giữa
LAC tại ISP cuối cùng và LNS tại mạng host cuối cùng. Sự thiết lâp thành
công của một tunnel cưỡng bức một phần quan trọng nhờ vào việc các ISP
có thể hỗ trợ công nghệ L2TP. Hơn nữa, các ISP cũng phải hoạt động với
một chìa khóa đóng vai trò thiết lập các tunnel L2TP vì nhờ vậy mà một
tunnel cưỡng bức được yêu cầu đối với các phiên bản đã được ấn định tại
ISP cuối cùng.
25