Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đề Tài Tốt Nghiệp www.oktot.com Trang 1
LỜI MỞ ĐẦU

Ngày nay, công nghệ viễn thông đang phát triển rất nhanh, trong đó công nghệ
mạng đóng vai trò hết sức quan trọng trong việc truyền thông dữ liệu. Chỉ xét về góc
độ kinh doanh, nhu cầu truyền thông của các công ty, tổ chức là rất lớn, vd: một
công ty có một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ.
Nhưng cũng muốn các chi nhánh, văn phòng, nhân viên di động hay các đối tác từ
xa của mình có thể truy cập vào mạng công ty. Có nhiều dịch vụ được cung cấp như
Modem quay số, ISDN server hay các đường WAN thuê riêng đắt tiền. Nhưng với sự
phát triển rộng rãi của Internet, một số công ty có thể kết nối với nhân viên, đối tác
từ xa ở bất cứ đâu, thậm chí trên toàn thể giới mà không cần phải sử dụng tới các
dịch vụ đắt tiền kể trên.
Nhưng có một vấn đề là mạng nội bộ công ty chứa tài nguyên, dữ liệu quan
trọng mà chỉ cho phép người dùng có quyền hạn hoặc được cấp phép mới được truy
cập vào mạng trong khi Internet là mạng công cộng và không bảo mật. Do đó,
Internet có thể là mối nguy hiểm cho hệ thống mạng, cơ sở dữ liệu quan trọng của
công ty.
Sự thông tin qua môi trường Internet có thể bị làm sai lệch hoặc bị đánh cắp. Và
đây chính là chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả năng.
VPN cung cấp giải pháp truyền thông dữ liệu thông qua môi trường mạng Internet
công cộng với chi phí thấp, hiệu quả mà vẫn rất bảo mật.
VPN có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại
mang các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì
vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp trong thời buổi
kinh tế này vì nó giảm chi phí triển khai do tận dụng được cơ sở hạ tầng Internet sẵn
có.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập vào
quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa
giải quyết được những khó khăn về kinh tế.
Với đề tài: “Xây Dựng Hệ Thống Hạ Tầng Mạng Cho Doanh Nghiệp”, chúng
em hy vọng có thể phần nào mở rộng cũng như phổ biến và phát triển rộng rãi công
nghệ VPN.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
LỜI CẢM ƠN

Đồ án tốt nghiệp của chúng em ngày hôm nay là kết quả của quá trình học tập
và rèn luyện tại trường Cao Đẳng Nghề Công Nghệ Thông Tin iSpace, để đạt
được kết quả này, ngoài sự phấn đấu nỗ lực của hai thành viên trong nhóm còn có
sự quan tâm giúp đỡ của Quý Thầy Cô tại trường, đặc biệt là các thầy ở khoa Công
Nghệ Thông Tin.
Do đó, sau thời gian học tập ở trường cùng với sự định hướng và chỉ bảo tận tình
của các thầy trong khoa, nhóm em đã chọn đề tài “Xây Dựng Hệ Thống Hạ Tầng
Mạng Cho Doanh Nghiệp” để làm đồ án tốt nghiệp cũng như tìm hiểu thêm kiến
thức để sau này áp dụng vào thực tế công việc của mình.
Qua đây, nhóm sinh viên thực hiện chúng em cũng xin gởi lời cảm ơn chân thành đến
thầy Phan Nguyễn Vũ Linh, người đã nhiệt tình hướng dẫn và giúp đỡ nhóm trong
suốt quá trình thực hiện để hoàn thành đồ án này và nhóm em cũng xin cảm ơn đến Quý
thầy cô trong trường đã tạo mọi điều kiện thuận lợi cho nhóm có thể hoàn thành tốt
đồ án này.
Một lần nữa, nhóm sinh viên chúng em xin chân thành cảm ơn tất cả mọi người.
Nhóm sinh viên thực hiện
Nguyễn Hoàng Quốc Anh
Ngô Thanh Xuân

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA DOANH NGHIỆP
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
1.1. Định Nghĩa VPN ..................................................................................... 8
1.2. Những lợi ích do VPN mang lại ................................................................ 9
1.3. Những yêu cầu đối với Mạng riêng ảo...................................................... 10
1.3.1. Bảo mật ........................................................................................... 10
1.3.2. Tính sẵn sàng và tin cậy .................................................................... 11
1.3.3. Chất lượng dịch vụ ............................................................................ 12
1.3.4. Khả năng quản trị ............................................................................. 12
1.3.5. Khả năng tương thích ........................................................................ 13
1.4. Các mô hình kết nối VPN thông dụng....................................................... 13
1.4.1. VPN truy cập từ xa (Remote VPN)....................................................... 13
1.4.2. VPN cục bộ (Intranet VPN)................................................................. 15
1.4.3. VPN mở rộng (Extranet VPN).............................................................. 16
1.5. Các công nghệ và giao thức dùng để tạo nên kết nối VPN ......................... 18
CHƯƠNG 2: CÁC GIAO THỨC & KỸ THUẬT ĐƯỜNG HẦM
2.1. Kỹ thuật đường hầm (Tunneling)............................................................. 19
2.1.1. Kỹ thuật Tunneling trong mạng VPN Remote Access ............................ 19
2.1.2. Kỹ thuật Tunneling trong mạng VPN Site-to-Site .................................. 19
2.2. Giao Thức đường hầm tại Layer 2 trong VPN............................................ 19
2.2.1. Giao thức PPTP (Point-to-Point Tunneling Protocol).............................. 20
2.2.1.1. Vai trò của PPP trong các giao dịch PPTP ....................................... 20
2.2.1.2. Các thành phần của giao dịch PPTP............................................... 21
2.2.1.3. Các tiến trình PPTP ...................................................................... 23
2.2.1.4. Xử lý và định đường hầm dữ liệu PPTP.......................................... 24
2.2.1.5. Bảo mật PPTP.............................................................................. 26
2.2.1.6. Các tính năng của PPTP................................................................ 28
2.2.2. Giao thức chuyển tiếp L2F (Layer 2 Forwarding) .................................. 29
2.2.2.1. Tiến trình L2F.............................................................................. 29
2.2.2.2. Đường hầm L2F........................................................................... 31
2.2.2.3. Bảo mật L2F................................................................................ 32
2.2.2.4. Các ưu và nhược điểm của L2F ..................................................... 32
2.2.3. Giao thức L2TP (Layer 2 Tunneling Protocol) ....................................... 33
2.2.3.1. Thành phần của L2TP .................................................................. 34
2.2.3.2. Các tiến trình L2TP ...................................................................... 35
2.2.3.3. Dữ liệu đường hầm L2TP.............................................................. 36
2.2.3.4. Các mô hình đường hầm L2TP ...................................................... 37
2.2.3.5. Kiểm soát kết nối L2TP................................................................. 40
2.2.3.6 Bảo mật L2TP............................................................................... 41

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.3.7 Những ưu và nhược điểm của L2TP................................................ 41
2.3. Giao Thức đường hầm tại Layer 3 trong VPN............................................ 42
2.3.1. Kiến trúc an toàn IP (IPSec)............................................................... 43
2.3.1.1. Giới thiệu chung và các chuẩn ...................................................... 43
2.3.1.2. Liên kết bảo mật IPSec (SA-IPSec)................................................ 45
2.3.1.3. Các giao thức của IPSec............................................................... 47
2.3.1.4. Các chế độ IPSec......................................................................... 54
2.3.1.5. Sự kết hợp giữa các SA ................................................................ 56
2.3.1.6. Giao thức trao đổi khoá Internet ................................................... 57
2.3.1.7. Quá trình hoạt động của IPSec ..................................................... 64
2.4. Một vài giao thức an toàn bổ sung cho công nghệ VPN ............................. 64
2.4.1. Giao thức SSL và TLS ........................................................................ 64
2.4.2. So sánh giao thức IPSec với SSL......................................................... 66
CHƯƠNG 3: DYNAMIC MULTIPOINT VPN (DMVPN)
3.1. Giới thiệu về DMVPN .............................................................................. 69
3.2. Các thành phần của DMVPN.................................................................... 70
3.3. Kỹ thuật thiết kế .................................................................................... 70
3.4. Dual DMVPN Cloud Topology .................................................................. 72
3.4.1. Hub-and-Spoke................................................................................. 72
3.4.2. Spoke-and-Spoke .............................................................................. 73
3.5. Kiến trúc hệ thống trung tâm (system headend)....................................... 73
3.5.1. Single Tier ........................................................................................ 74
3.5.2. Dual Tier .......................................................................................... 74
3.6. Single DMVPN Cloud Topology ................................................................ 75
3.7. Các vấn đề khi triển khai DMVPN............................................................. 76
3.7.1. Cơ chế tunnel và địa chỉ IP ................................................................ 76
3.7.2. Giao thức GRE .................................................................................. 78
3.7.3. Giao thức NHRP ................................................................................ 79
3.7.4. Tunnel Protection Mode ..................................................................... 79
3.7.5. Sử dụng giao thức định tuyến ............................................................ 79
3.7.6. Vấn đề Crypto................................................................................... 80
3.7.7. IKE Call Admission Control ................................................................. 80
3.8. So sánh giữa VPN và DMVPN .................................................................. 81
3.8.1. Mô hình VPN thông thường ................................................................ 81
3.8.2. Mô hình DMVPN ................................................................................ 82
3.8.3. Ưu điểm của việc sử dụng DMVPN...................................................... 83

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 4: PHÂN TÍCH – THIẾT KẾ VÀ TRIỂN KHAI ĐỀ TÀI
4.1. Mục tiêu đề tài....................................................................................... 84
4.2. Khảo sát và lên kế hoạch bản vẽ cho ngân hàng VietBank......................... 84
4.3. Triển khai thiết bị & hoạch định IP........................................................... 86
4.3.1. Mô hình kết nối thiết bị......................................................................... 86
4.3.2. Hoạch định IP...................................................................................... 87
4.4. Cấu hình thiết bị .................................................................................... 88
4.4.1. Cấu hình tên – password enable – console – vty..................................... 88
4.4.2. Cấu hình Trunking ............................................................................... 89
4.4.3. Cấu hình Etherchannel ......................................................................... 89
4.4.4. Cấu hình VTP....................................................................................... 90
4.4.5. Cấu hình VLAN..................................................................................... 91
4.4.6. Gán Port cho VLAN............................................................................... 91
4.4.7. Cấu hình Spanning – Tree .................................................................... 92
4.4.8. Cấu hình HSRP .................................................................................... 93
4.4.9. Cấu hình DHCP cho trụ sở SG ............................................................... 97
4.4.10. Cấu hình OSPF cho trụ sở SG .............................................................. 98
4.4.11. Cấu hình ACL..................................................................................... 99
4.4.12. Cấu hình NAT .................................................................................... 100
4.4.13. Cấu hình InterVLAN Routing cho Router HN & DN................................. 101
4.4.14. Cấu hình cấp DHCP cho chi nhánh HN – DN ......................................... 101
4.4.15. Cấu hình DMVPN Dual-Hub-Dual Layout............................................... 102
CHƯƠNG 5: KẾT LUẬN:
5.1. Những việc đã hoàn thành...................................................................... 107
5.2. Những việc chưa hoàn thành .................................................................. 107
5.3. Hướng phát triển đề tài .......................................................................... 107
TÀI LIỆU THAM KHẢO............................................................................. 108
PHỤ LỤC ................................................................................................. 109

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN.
Sau đây ta thường gọi ngắn gọn theo tên viết tắt. VPN là phương pháp làm cho một
mạng công cộng (như mạng Internet) hoạt động giống như mạng cục bộ, cũng có
các đặc tính như bảo mật và tính ưu tiên mà người dùng yêu thích.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một
mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2
điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các
"đường hầm". Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo
cách tương tự như truyền thông điểm - điểm.
Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi
phí mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN.
Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng
đường Dial-up để truy cập từ xa đến Công ty.
Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các mạng máy tính
của các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng,
cũng có thể là kết nối Frame Relay hay ATM. Nhưng, rào cản lớn nhất đến với các
doanh nghiệp tổ chức đó là chi phí. Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc
duy trì, vận hành hạ tầng mạng, các thiết bị riêng của doanh nghiệp... rất lớn. Vì
vậy, điều dễ hiểu là trong thời gian dài, chúng ta gần như không thấy được nhiều
ứng dụng, giải pháp hữu ích trên mạng diện rộng WAN.
Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh
nghiệp có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia viễn thông
nhận định: "Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới".
1.1. Định Nghĩa VPN:
Công ty/doanh nghiệp của bạn có nhiều chi nhánh muốn kết nối với nhau để
trao đổi dữ liệu và sử dụng các dịch vụ trong mạng nội bộ của trụ sở chính?
Hoặc bạn là người phải thường xuyên làm việc lưu động muốn kết nối vào hệ
thống mạng nội bộ của công ty mình thông qua một môi trường public như
Internet?
Vậy đâu là giải pháp cho những yêu cầu trên? Câu trả lời đó là VPN (Virtual
Private Network), một giải pháp mạng riêng ảo cho phép bạn thực hiện những
yêu cầu trên.
VPN cho phép các host giữa nhiều chi nhánh truyền thông với nhau thông qua
một đường hầm ảo (tunnel). Khi đó, giữa các chi nhánh đó như được kết nối
trực tiếp với nhau trong cùng một mạng Private.
Và tuyệt vời hơn nữa là VPN đảm bảo dữ liệu được bảo mật an toàn một cách
tuyệt đối khi truyền thông qua một môi trường không tin cậy như Internet.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1.1: Mô hình VPN
1.2. Những lợi ích cơ bản của VPN mang lại:
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay
ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường
dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại
diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của
mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được
toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị
bởi ISP. Vì lúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng
cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu,
nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa
đều có thể dễ dàng kết nối tới Intranet của Công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền
dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo
mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng
các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an
toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN
mang lại mức độ bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường
Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối
Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truyền
dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi
có một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng
phí băng thông mạng.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh
doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện,
thiết bị. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao
và dễ dàng tương thích với sự phát triển trong tương lai.
Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng
đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém. Với giải pháp
mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng
truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là
chi phí cho các kênh thuê riêng đường dài, các mạng riêng cũng không quá lớn
và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh
truyền riêng cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền số liệu
công cộng).
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên
cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào
Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực
thi của Internet. Các đường Lease-Line bảo đảm băng thông được xác định
trong hợp đồng giữa nhà cung cấp và Công ty. Tuy nhiên không có một đảm
bảo về sự thực thi của Internet. Một sự quá tải lưu lượng và tắc nghẽn mạng có
thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN.
1.3. Những yêu cầu đối với Mạng riêng ảo:
Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầu
của VPN là gì? Tất cả sẽ được trình bày trong phần này.
Hầu hết các yêu cầu của VPN và của mạng riêng truyền thống là rất giống
nhau. Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau:
Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năng
tương thích, Khả năng quản trị.
1.3.1. Bảo mật:
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài
nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy
cập trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận
định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công
cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched
Telephone Networks - PSTNs) cho truyền thông. Thiết lập VPN mang lại cho các
Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của
nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải
được thực thi một cách chặt chẽ.
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách
như sau:
- Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu
lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ
về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn
cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển
địa chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên
cục bộ trong mạng. Và như vậy, kẻ tấn công không biết được đích của các
tài nguyên đó trong mạng Intranet.
- Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để
thiết lập định danh của người dùng và quyết định anh ta có được phép truy
cập tới các tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền,
kiểm toán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện.
Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi
người dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài
nguyên đã được cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động
của tất cả các người dùng mạng cũng được duy trì, cho phép người quản trị
mạng ghi lại những hoạt động trái phép, bất thường.
- Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu
để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được
truyền qua mạng không tin cậy. Bảo mật giao thức Internet(Internet
Protocol Security - IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh
nhất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác
thực mỗi người dùng và từng gói dữ liệu riêng biệt.
- Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung
cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy,
cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng.
1.3.2. Tính sẵn sàng và tin cậy:
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng
(uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối
cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát
đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như
Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng
trung gian. Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà
cung cấp dịch vụ (ISP).
Thông thường, ISP đảm bảo tính sẵn sàng trong một bản "hợp đồng mức
dịch vụ" (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa
ISP và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy
cập mạng. Một số ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức
muốn đảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển
mạch xương sống có khả năng phục hồi cao. Đó là:
- Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường
thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo
hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu
tiên định tuyến khi được yêu cầu.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng
giải thông mạng.
- Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này
không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và
hệ thống làm lạnh Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN
và nó liên quan mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao
dịch trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ
liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác, tính
tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việc chuyển
mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo hoặc thiết
bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt với
người dùng cuối.
1.3.3. Chất lượng dịch vụ:
Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có
mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được
truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác.
Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất
khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm
bảo.
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng
cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng
và các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, quá
trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông.
Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn
để tránh hiện tượng chất lượng kém của giao dịch.
1.3.4. Khả năng quản trị:
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với
việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết
nối phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên
của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể
kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng
Intranet trung gian của nhà cung cấp dịch vụ.
Trong hoàn cảnh này, một đơn vị phải quản trị được tài nguyên cho đến cả
mạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị các thiết lập
mạng của họ. Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên ngoài
và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể loại trừ được ranh
giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ phần riêng và phần
công cộng của các phần cuối VPN.
Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như
trong mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng và có
quyền giám sát trạng thái thời gian thực, sự thực thi của VPN.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hơn nữa Công ty cũng có thể giám sát phần công cộng của VPN. Tương tự,
các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ.
Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn
bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng.
1.3.5. Khả năng tương thích:
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối
đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng
có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous
Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ
và giao thức cơ sở. Trong trường hợp mạng tương tác trung gian dựa trên IP,
VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương
thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích
hợp vào VPN.
1.4. Các mô hình kết nối VPN thông dụng:
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của
một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc
nào.
- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan
trọng đối với giao dịch thương mại của công ty.
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân
thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ
(Intranet VPN), VPN mở rộng (Extranet VPN).
1.4.1. VPN truy cập từ xa (Remote Access VPN):
Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN)
đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng
công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của
Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,
người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng
của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi
người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một
kết nối cố định tới Intranet của tổng công ty.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Mô hình này đáp ứng nhu cầu truy cập cho người dùng ở xa, những người
làm việc lưu động muốn kết nối vào hệ thống mạng nội bộ trong đơn vị của họ.
Dưới đây là mô hình remote-access:
Hình 1.2: Mô hình mạng Remote Access VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua
đó để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa
tương ứng được mô tả như trong hình 1.3.
Hình 1.3: Thiết lập VPN truy cập từ xa.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Ưu điểm:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Khuyết điểm:
- Không hỗ trợ các dịch vụ đảm bảo chất lượng dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.
- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn
thì sẽ rất chậm
1.4.2. VPN cục bộ (Intranet VPN):
Cho phép các văn phòng chi nhánh liên kết một cách bảo mật đến trụ sở
chính của công ty. Áp dụng trong trường hợp công ty có một hoặc nhiều địa
điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây
dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống
nhất.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính linh hoạt. Kiểu VPN này thường được cấu hình
như là một VPN Site-to-Site.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1.4: Mô hình mạng Intranet VPN
Những thuận lợi chính của Intranet VPN:
- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô
hình WAN backbone
- Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua
toàn cầu, các trạm ở một số remote site khác nhau.
- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung
cấp những kết nối mới ngang hàng.
- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.
Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được
chi phí của hoạt động Intranet.
Những bất lợi chính kết hợp với cách giải quyết:
- Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên
các tấn công mạng như DoS vẫn đe dọa nghiêm trọng đến an ninh mạng.
- Khả năng mất dữ liệu trong lúc truyền thông tin cũng vẫn rất cao.
- Đường truyền dữ liệu đầu trên như multimedia, độ trễ truyền tin vẫn rất
cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của
Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường
xuyên, và QoS cũng không được đảm bảo.
1.4.3. VPN mở rộng (Extranet VPN):
Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như
đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN Extranet (VPN
mở rộng) để kết nối LAN-to-LAN cho nhiều tổ chức khác nhau có thể làm việc
trên một môi trường chung.
Không giống như Intranet VPN và Remote Access VPN, Extranet VPN cho
phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch
thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp.
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1.5
dưới đây:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1.5: Mô hình mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải
hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp
trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở
rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh
hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác
mộng đối với các nhà quản trị mạng.
Giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm
chi phí đáng kể:
Hình 1.6: Mô hình mạng Extranet dựa trên VPN.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Ưu điểm chính của Extranet:
- Chi phí rất nhỏ so với cách thức truyền thống.
- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân
phối và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
- Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên
hỗ trợ có thể giảm xuống.
- Dễ thực thi, duy trì và dễ thay đổi
Một số bất lợi của Extranet:
- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ (DoS)
vẫn còn tồn tại.
- Luôn phải đối mặt với nguy cơ bị xâm nhập đối vào tổ chức trên
Extranet.
- Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với
các ứng dụng Multimedia.
- Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo
đảm.
1.5. Các công nghệ và giao thức dùng để tạo nên kết nối VPN:
Có một số công nghệ chính như PPTP, L2TP, SSL, GRE và IPSEC. Các giao thức
này được xem như là những giải pháp cho mạng VPN.
Chúng ta sẽ cùng nhau tìm hiểu cụ thể các giao thức trên trong chương 2!

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 2: CÁC GIAO THỨC & KỸ THUẬT ĐƯỜNG
HẦM DÙNG TRONG VPN
2.1. Kỹ thuật đường hầm (Tunneling) trong VPN:
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào
trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ
thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy
khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol). Giao
thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai
điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi
vào và đi ra trong mạng.
2.1.1. Kỹ thuật Tunneling trong mạng VPN Remote Access:
Trong loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP
(Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền
tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy
cập từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ
thuộc vào PPP.
2.1.2. Kỹ thuật Tunneling trong mạng VPN Site-to-Site:
Với VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm
thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy
chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi
lại đóng vai trò là giao thức mã hóa.
2.2. Giao Thức đường hầm tại Layer 2 trong VPN:
Các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mật các giao
dịch qua VPN. Một số giao thức đường hầm được thực hiện tại Layer 2 - tầng
Data Link - của mô hình OSI, được mô tả trong hình 2.1
Các giao thức này bao gồm: Giao thức đường hầm điểm - điểm (PPTP), Giao
thức chuyển tiếp lớp 2 (L2F), Giao thức đường hầm lớp 2 (L2TP).

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.1 Vị trí các giao thức đường hầm Layer 2 trong mô hình OSI.
2.2.1. Giao thức PPTP (Point-to-Point Tunneling Protocol):
PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP
không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên
TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng.
Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thành công
của PPTP trong việc bảo mật các kết nối đường dài là:
- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN):
PPTP cho phép sử dụng PSTN (Public Switched Telephone Network) để thực
thi VPN. Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng
chi phí thực thi giảm một cách đáng kể. Lý do này hoàn toàn dễ hiểu – vì
những yếu tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa
trên đường Leased Line và các Server truyền thông chuyên dụng hoàn toàn
bị loại bỏ.
- Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng
dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX,
NetBEUI, và NetBIOS. Vì vậy, PPTP đã chứng tỏ là thành công trong việc
triển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng.
PPP đóng vai trò chính trong các giao dịch dựa trên PPTP.
2.2.1.1. Vai trò của PPP trong các giao dịch PPTP:
PPTP là một sự mở rộng logic của PPP, PPTP không thay đổi dưới công nghệ
PPP, nó chỉ định nghĩa một cách vận chuyển lưu lượng PPP mới qua các mạng
công cộng không an toàn.
Khá giống PPP, PPTP không hỗ trợ nhiều kết nối. Tất cả các kết nối được hỗ
trợ bởi PPTP phải là kết nối điểm - điểm.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.2: Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP.
Ngoài ra, PPP đáp ứng các chức năng sau trong giao dịch dựa trên PPTP:
- Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thông cuối.
- Xác thực các Client PPTP.
- Mã hoá các gói dữ liệu IPX, NetBEUI, NetBIOS, và TCP/IP để tạo các gói
PPP và bảo mật việc trao đổi dữ liệu giữa các nhóm liên quan.
2.2.1.2. Các thành phần của giao dịch PPTP:
Bất kỳ một giao dịch dựa trên PPTP nào cũng gồm ít nhất 3 thành phần, các
thành phần này bao gồm:
- PPTP Client:
Một PPTP Client là một Node mạng hỗ trợ PPTP và có yêu cầu đến Node
khác cho một phiên VPN. Nếu kết nối được yêu cầu từ một Server từ xa,
PPTP Client phải sử dụng các dịch vụ trên NAS của ISP. Vì thế, PPTP Client
phải được kết nối tới một Modem, cái thường được dùng để thiết lập một
kết nối quay số PPP tới ISP.
Hình 2.3: Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có
thể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa. Liên kết đến
thiết bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết
lập một đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung
gian khác.
Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên
VPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP. Cả Client
và Server đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một
kết nối tới NAS của nhà cung cấp là không cần thiết. Client trong trường hợp
này chỉ cần yêu cầu một phiên quay số đến thiết bị VPN trên Server. Như
vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu
cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau. Các
gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý gắn kèm với card
mạng của PPTP Client. Gói PPTP đến Server từ xa được định tuyến qua một
thiết bị vật lý gắn với một thiết bị truyền thông như một Router. Tất cả được
minh họa như trong hình 2.4.
Hình 2.4: Truyền các gói PPTP đến Node đích.
- Một Server truy cập mạng (Network Access Server - NAS):
Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới các
Client đang sử dụng đường quay số PPP. Xác suất nhiều Client cùng đồng
thời yêu cầu một phiên VPN là rất cao.
Các Server này phải có khả năng hỗ trợ các Client này. Ngoài ra, các PPTP
Client không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NAS PPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy
Unix. Tuy nhiên, điều quan trọng là các Client này hỗ trợ kết nối PPTP tới
NAS.
- Một Server PPTP:
Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năng bảo
quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ. Để phản hồi
các yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến.
Một RAS và hệ điều hành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0
có khả năng hoạt động như một Server PPTP.
2.2.1.3. Các tiến trình PPTP:
Bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện
không an toàn. Ba tiến trình đó là:
Thiết lập kết nối dựa trên PPP. Kiểm soát kết nối. Tạo đường hầm PPTP và
truyền dữ liệu.
- Kiểm soát kết nối PPTP:
Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client và
Server, quá trình kiểm soát kết nối PPTP bắt đầu. Như trong hình 2.7, Kiểm
soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và
Server. Nó sử dụng cổng TCP phân phối động và cổng TCP giành riêng số
1723. Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát
và quản lý các thông điệp được trao đổi giữa các nhóm truyền thông. Các
thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP.
Các thông điệp này bao gồm cả chu kỳ giao dịch của các thông điệp "PPTP-
Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP
Server và Client.
Hình 2.5: Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Một số thông điệp thường dùng để kiểm soát PPTP được liệt kê sau đây:
Hình 2.6: Các thông điệp kiểm soát PPTP thông dụng
Các thông điệp kiểm soát PPTP sau đó được đóng vào trong các gói TCP. Vì
vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ xa, một
kết nối TCP được thiết lập. Kết nối này sau đó thường được dùng để trao đổi
các thông điệp kiểm soát PPTP.
Hình 2.7: Kiểm soát PPTP trong gói dữ liệu TCP.
2.2.1.4. Xử lý và định đường hầm dữ liệu PPTP:
Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói. Đó là các giai đoạn
sau:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong
một Frame PPP. Một tiêu đề PPP được thêm vào Frame.
Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một
sự đóng gói định tuyến chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một
trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường
ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ
dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc
gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP.
Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung
PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của
PPTP client nguồn và PPTP Server đích.
Bao gói Layer 2: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm
tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy
luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương
tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh
dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP
cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo
công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải
qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một
lần.
Hình 2.8: Mô tả tiến trình xử lý dữ liệu PPTP đường hầm.
Chú ý: GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệu dựa
trên IP. GRE thường được dùng bởi các ISP để chuyển tiếp thông tin định tuyến
trong Intranet của họ. Tuy nhiên, các Router backbone thuộc Internet của ISP
sẽ lọc lưu lượng dựa trên GRE này. Vì vậy các đường hầm đã được thiết lập có
thể mang dữ liệu một cách an toàn và bí mật tới người nhận.
Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận
phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP.
Như ta thấy trong hình 2.9, để lấy lại dữ liệu gốc thì Node PPTP của người nhận
phải thực hiện các bước sau:
- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được
thêm vào bởi người gửi.
- Tiếp đó, loại bỏ tiêu đề GRE.
- Tiêu đề IP được xử lý và loại bỏ.
- Tiêu đề PPP được xử lý và loại bỏ.
- Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu).
Hình 2.9: Quá trình xử lý gói dữ liệu để nhận được gói dữ liệu gốc
2.2.1.5. Bảo mật PPTP:
PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP Server và
Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực,
kiểm soát truy cập và lọc gói tin.
Hơn nữa các cơ chế bảo mật được đề cập ở trên, PPTP có thể được dùng chung
với Firewall và Router.
- Mã hoá và nén dữ liệu PPTP:
PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu. Thay vào đó,
nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí
mật.
- Xác thực dữ liệu PPTP:
PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:
a. Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP):
MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực
dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP
khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP
dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES.
Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó
không được hỗ trợ bởi các nền khác.
b. Giao thức xác thực mật khẩu(PAP):
Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng
nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP. Tuy nhiên
nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và
như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các
tấn công lỗi. Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ
được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua
được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai
nữa!. Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp
nhất và không phải là cơ chế xác thực được ưa thích trong VPN.
- Kiểm soát truy cập PPTP:
Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nó
đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao.
Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát
truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP.
Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận và
định tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công. Kết
quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới
mạng từ xa đã xác định. Trong cách này, PPTP không chỉ cung cấp các cơ
chế xác thực, kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an
toàn của mạng.
- PPTP với Firewall và Router:
Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47. Tuy
nhiên, khi PPTP dùng chung với Firewall và Router, lưu lượng đã được dự
tính cho các cổng này được định tuyến qua Firewall hoặc Router, chúng lọc
lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) và các chính sách
bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa ra.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.1.6. Các tính năng của PPTP:
- Tính sẵn có:
PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong
Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng.
Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng
cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh
của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics.
PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các
Switch truy cập từ xa. Một nhà quản trị mạng Window NT có thể thử nghiệm
một VPN ngay lập tức mà không cần tốn thêm một chi phí nào.
- Dễ thi hành:
Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao
thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ.
Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử
dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ
sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói
tin PPP theo khuôn dạng PPTP.
- Tạo đường hầm đa giao thức:
Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ
cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo
đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép.
- Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ:
Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy
chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP
của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP
của tổ chức đó.
Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ
được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng)
trên hệ thống mạng riêng. Cơ quan thẩm quyền Internet Assigned Numbers
(IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng
riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập
Internet hay các truy cập qua Router. Nếu một công ty có sử dụng một tập các
địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập
kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng
nội bộ của công ty. Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố
gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ
phải mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có
thể tạo ra lỗ hỗng. Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể
vào mạng cục bộ.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.2. Giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding):
Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS-
CHAP không thật sự an toàn. Vấn đề này làm cho các tổ chức công nghiệp và
các chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liền
mạch cho nhiều dịch vụ quay số ảo và nhiều giao thức.
Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu các giải
pháp theo hướng:
- Có khả năng bảo mật các giao dịch.
- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng
trung gian khác.
- Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame
Relay.
Hình 2.10: Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng
Sau thời gian dài tìm kiếm, Cisco hiện tại đang mở rộng nghiên cứu L2F. Ngoài
việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận lợi khác
trong công nghệ truy cập từ xa. Các đường hầm L2F có thể hỗ trợ nhiều phiên
đồng thời trong cùng một đường hầm. Theo cách nói đơn giản hơn là nhiều
người dùng từ xa có thể cùng truy cập vào mạng cục bộ riêng qua một kết nối
quay số đơn. L2F đạt được điều này bằng cách định nghĩa nhiều kết nối trong
một đường hầm nơi mỗi kết nối mô tả một dòng PPP đơn. Hơn nữa, các dòng
này có thể bắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều người dùng.
Vì một đường hầm có thể hỗ trợ nhiều kết nối đồng thời, một vài kết nối được
yêu cầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway của mạng riêng.
Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng.
2.2.2.1. Tiến trình L2F:
Khi một Client quay số từ xa khởi tạo một kết nối tới Host cục bộ trong một
Intranet riêng.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.11: Thiết lập một đường hầm L2F giữa người dùng từ xa và Server.
Các tiến trình sau được thực hiện tuần tự:
1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ. Nếu một người
dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN
hoặc liên kết để kết nối tới ISP. Nếu người dùng không phải là một phần của
bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN.
2. Nếu NAS đặt tại POP của ISP chấp nhận yêu cầu kết nối, kết nối PPP
được thiết lập giữa NAS và người dùng.
3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được
sử dụng cho chức năng này.
4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì một
đường hầm sẽ được khởi tạo.
5. Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa công
duy nhất được phân phối tới các kết nối. Một thông điệp thông báo cũng
được gửi tới các Gateway của máy chủ mạng. Thông điệp này thông báo
cho Gateway về yêu cầu kết nối từ một người dùng ở xa.
6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này. Nếu yêu cầu
bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số bị kết thúc.
Trong trường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo
khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin
xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao
diện ảo được thiết lập giữa 2 đầu cuối.
2.2.2.2. Đường hầm L2F:
Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận,
một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được
thiết lập, như trong hình 2.12.
Hình 2.12: Quá trình định đường hầm dữ liệu dựa trên L2F
Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong. Các Frame tầng 2 có
thể được trao đổi qua đường hầm như sau:
1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại
ISP.
2. POP cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm
vào tiêu đề L2F và đánh dấu frame. Sau khi frame được đóng gói mới thì
được chuyển tiếp tới mạng đích qua đường hầm.
3. Máy chủ Gateway mạng chấp nhận các gói đường hầm này, cắt bỏ tiêu
đề L2F, đánh dấu và chuyển tiếp các frame tới Node đích trong mạng
Intranet.
Node đích xử lý các frame nhận được như là các gói không qua đường hầm.
Chú ý: Đường hầm L2F được xem như là một "Giao diện ảo".
Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược
lại. Đó là, host gửi một frame tầng liên kết dữ liệu thông thường tới Gateway,
Gateway này sẽ đóng gói frame vào trong một gói L2F (như trong hình 2.13) và
chuyển tiếp nó tới NAS đặt tại Site của ISP. NAS cắt bỏ thông tin L2F từ các
frame và thêm vào thông tin tầng liên kết dữ liệu thích hợp với nó.
Frame sau đó được chuyển tiếp tới người dùng từ xa.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.13: định dạng gói L2F
2.2.2.3. Bảo mật L2F:
L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực.
1. Mã hoá dữ liệu L2F
L2F sử dụng MPPE cho các chức năng mã hoá cơ bản. Tuy nhiên nó không
an toàn với các kỹ thuật Hacking tiên tiến ngày nay. Và nó cũng phải sử
dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật.
IPSec sử dụng hai giao thức cho chức năng mã hoá: đóng gói tải bảo
mật(ESP) và xác thực tiêu đề (AH). Thêm vào đó, để làm tăng tính bảo mật
của khoá trong pha trao đổi khoá, IPSec cũng sử dụng một giao thức bên
thứ ba đó là trao đổi khoá Internet(IKE).
2. Xác thực dữ liệu L2F
Xác thực L2F được hoàn thành tại hai mức. Mức thứ nhất của xác thực dựa
trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số tới POP
của ISP. Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi
người dùng được xác thực thành công. Mức thứ hai của xác thực được thực
hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm
giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa.
Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP
cho xác thực. Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi
một Gateway L2F nhận một yêu cầu kết nối. L2F cũng sử dụng lược đồ xác
thực như sau để nâng cao tính bảo mật dữ liệu:
- Giao thức xác thực có thăm dò trước(CHAP).
- Giao thực xác thực mở rộng (EAP).
2.2.2.4. Các ưu và nhược điểm của L2F
Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ
chọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở
mức thấp, nó cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt
hơn PPTP.
Những ưu điểm chính của việc thực thi một giải pháp L2F bao gồm:
- Nâng cao tính bảo mật của các phiên giao dịch.
- Độc lập với nền.
- Không cần phải đàm phán với ISP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và Frame
Relay.
Ngoài những ưu điểm trên, nó cũng có một số nhược điểm:
- Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP
không hỗ trợ L2F thì không thể thực hiện được giải pháp này.
- L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy
thì các gói dữ liệu có thể bị xoá tuỳ tiện. Điều này là nguyên nhân của việc
phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền.
- Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm
dựa trên L2F là chậm khi so sánh với PPTP.
Cùng với sự phát triển của L2F, có hai công nghệ đường hầm: L2F và PPTP cạnh
tranh nhau trên thị trường VPN. Hai giao thức này không tương thích nhau. Kết
quả là, các tổ chức đã gặp khó khăn vì yêu cầu của mỗi nơi một khác. IETF
quyết định kết thúc sự rắc rối này bằng cách kết hợp cả hai công nghệ thành
một giao thức và được dùng như một chuẩn trong giải pháp VPN. L2TP là kết
quả của sự kết hợp này.
2.2.3. Giao thức đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol):
Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các
đặc trưng của L2F và PPTP. Đó là những lợi ích sau:
- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP.
Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy
cập thông thường.
- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình
điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như
người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc
biệt.
- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy
cập một mạng từ xa qua một mạng công cộng.
- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì
vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay
quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có
thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm
cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức
đường hầm trước.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà
không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế,
đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích). Như trong
hình 2.15. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa
hoặc Gateway của ISP.
Hình 2.14: Đường hầm L2TP.
Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như
các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ
liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường
hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có
cùng cấu trúc gói.
2.2.3.1. Thành phần của L2TP
Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy
cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng
L2TP (LNS).
1. Server truy cập mạng (NAS)
Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới
những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết
nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP
sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật
hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và
hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có
thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều
loại Client (Sản phẩm của Microsoft, Unix, Linux,…).
2. Bộ tập trung truy cập L2TP (LAC)
Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường
hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của
mạng chủ sau cùng. Trong khía cạnh này, LAC server như là điểm kết thúc
của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP
nhằm cung cấp kết nối vật lý cho người truy cập từ xa.
3. Server mạng L2TP (LNS)
LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung
tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc.
Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó
thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS
chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo.
2.2.3.2. Các tiến trình L2TP
Hình 2.15: Mô tả quá trình thiết lập đường hầm L2TP
Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng Internet
hoặc mạng công cộng, tuần tự các bước như sau:
1. Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và
đồng thời khởi tạo một kết nối PPP với ISP sau cùng.
2. NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử
dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho
chức năng này.
3. NAS sau đó khởi động LAC, nơi chứa thông tin về LNS của mạng đích.
4. Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian
giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay
hoặc IP/UDP.
5. Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định
danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS,

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng
từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả
tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC.
6. LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực
người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp
nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự
trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo.
7. Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm.
2.2.3.3. Dữ liệu đường hầm L2TP
Hình 2.16: Quá trình xử lý định đường hầm dữ liệu L2TP
Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức
đóng gói. Các giai đoạn này được minh hoạ trong hình 2.16, bao gồm:
- Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ
liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào
gói dữ liệu gốc được tải.
- Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong
một gói PPP, một tiêu đề L2TP được thêm vào.
- Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói
lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được
thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được
thiết lập là 1701.
- Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được
đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật
IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được
gắn vào để mã hoá và đóng gói dữ liệu.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối
cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ
IP của LNS và người dùng từ xa.
- Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu
cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng.
Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node
đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN.
Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP
và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP.
Hình 2.17: Tiến trình mở gói dữ liệu đường hầm L2TP
Tiến trình mở gói dữ liệu đường hầm là ngược lại của thủ tục tạo đường hầm.
Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận một gói dữ liệu
đường hầm L2TP, trước tiên nó loại bỏ tiêu đề tầng liên kết dữ liệu và đánh dấu,
tiếp đó gói dữ liệu được loại bỏ tiêu đề IP, gói dữ liệu sau đó được xác thực bằng
việc dùng thông tin được mang trong tiêu đề ESP IPSec và đánh dấu AH, tiêu đề
ESP IPSec cũng được dùng để giải mã thông tin. Tiếp theo tiêu đề UDP được xử
lý và loại bỏ. Định danh đường hầm và CID trong tiêu đề L2TP phục vụ để định
danh đường hầm L2TP và phiên làm việc. Cuối cùng, tiêu đề PPP được xử lý và
loại bỏ, gói tải PPP được chuyển tiếp tới thiết bị giao thức thích hợp để xử lý.
Hình 2.17 mô tả các tiến trình này.
2.2.3.4. Mô hình đường hầm L2TP:
1. Đường hầm L2TP kiểu bắt buộc:
Một đường hầm L2TP bắt buộc, như ta thấy trong hình 2.18 được thiết lập giữa
LAC của ISP sau cùng và LNS của mạng chủ. Điều quan trọng để thiết lập thành
công một đường hầm như vậy là ISP có khả năng hỗ trợ công nghệ L2TP. Hơn
nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực
thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có
vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được
yêu cầu tại người dùng cuối L2TP.
Hình 2.19 Đường hầm L2TP bắt buộc
Việc tạo lập đường hầm L2TP được cân nhắc một tuỳ chọn tốt hơn từ quan điểm
của bảo mật vì kết nối đường quay số tại người dùng cuối được dùng để thiết lập
kết nối PPP với ISP. Kết quả là, người dùng không thể truy cập ngoại trừ qua
Gateway trong Intranet. Nó cho phép người quản trị mạng thực thi các cơ chế
bảo mật nghiêm ngặt, kiểm soát truy cập và các chiến lược kiểm toán.
Hình 2.19: Thiết lập một đường hầm L2TP bắt buộc
Các bước thiết lập đường hầm bắt buộc được mô tả như trong hình 2.19 và bao
gồm:
1) Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP.
2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết
được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người
dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ
đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của
đường hầm L2TP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3) Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và
người dùng từ xa.
4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng.
5) Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo
đường hầm L2TP.
6) LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc.
7) Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người
dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame
và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet.
2. Đường hầm L2TP kiểu tự nguyện
Một đường hầm tự nguyện L2TP như trong hình 2.20 được thiết lập giữa người
dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người
dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập
đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với
người dùng cuối. Điều này có thể làm cho bạn nhớ về đường hầm dựa trên PPP
trong Intranet của ISP là trong suốt.
Hình 2.20: Đường hầm L2TP tự nguyện.
Ưu điểm lớn nhất của đường hầm L2TP tự nguyện là nó cho phép người dùng từ
xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên để sử
dụng những ưu điểm này, người dùng từ xa phải gắn vào nhiều địa chỉ IP. Một
trong nhiều IP này được dùng cho kết nối PPP tới ISP và thường được dùng để
hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Tuy nhiên ưu điểm này cũng có thể
là một bất lợi đối với client từ xa, vì mạng chủ có thể dễ dàng bị tấn công.

Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY

Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY

Similar to Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY (20)

More from Dịch vụ viết bài trọn gói ZALO: 0909232620

More from Dịch vụ viết bài trọn gói ZALO: 0909232620 (20)

Recently uploaded

Recently uploaded (20)

Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY