MỤC LỤC MỤC LỤC…………………………………………………………………1 DANH SÁCH HÌNH………………………………………………………2 lỜi NÓI ĐẦU ……………………………………………………… ……3 CHƯƠNG 1 - TỔNG QUAN VỂ MẠNG RIÊNG ẢO 1.1 Khái niệm mạng riêng ảo…………………………………………….5 1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo……………7 1.2.1 Chức năng………………………………………………………….7 1.2.2 Ưu điểm……………………………………………………… ….7 1.2.3 Nhược điểm……………………………………………………….8 CHƯƠNG 2 – CÁC GIAO THỨC ĐƯỜNG HẦM 2.1 Giới thiệu các giao thức đường hầm…………………………………9 2.2 Các giao thức mã hoá đường hầm……………………………… …11 2.2.1 Giao thức chuyển tiếp lớp 2 L2F………………………………… 11 2.2.1.1 Các quá trình xử lý L2F……………………………………….12 2.2.1.2 Tunneling L2F……………………………………………… 14 2.2.1.3 Vấn đề bảo mật L2F………………………………………… 15 2.2.1.4 Sự nhận thức dữ liệu L2F…………………………………… 16 2.2.1.5 Ưu điểm và Nhược điểm của L2F…………………………… 17 2.2.2 Giao thức Tunneling lớp 2 L2TP………………………………….18 2.2.2.1 Các thành phần của L2TP…………………………………… …20 2,2,2,2 Các quá trình xử lý của L2TP…………………………………….21 2.2.2.3 Tunnel dữ liệu L2TP………………………………………… 22 2.2.2.4 Các phương thức đường hầm L2TP……………………………25 2.2.2.5 Sự nhận thực L2TP qua IPsec………………………….………30 2.2.2.6 Mã hóa dữ liệu dạng L2TP…………………………… ………31 2.2.2.7 Ưu điểm và Nhược điểm của L2TP…………………………….31 KẾT LUẬN ………………………………………………………………33 1 DANH SÁCH HÌNH Hình 1.1 : Mô hình mạng riêng ảo………………………………………….5. Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm……………………………7. Hình 2.1 Mạng riêng sử dụng IPsec………………………………… ……10 Hình 2.2 Giao thức đường hầm L2F……………………………………….12 Hình 2.3-Quá trình thiết lập L2F………………………………………… 14 Hình 2.4-Xử lý tunneling dữ liệu L2F…………………………………… 14 Hình 2.5 –Dạng gói L2F………………………………………………… 15 Hình 2.6-Các tunnel L2TP……………………………………………… 20 Hình 2.7-Quá trình thiết lập tunnel L2TP………………………………….22 Hình 2.8-Quá trình hoàn thiện dữ liệu Tunnel L2TP…………………… 24 Hình 2.9-Mô tả quá trình phân giải các gói tin dữ liệu L2TP…………… 25 Hình 2.10-Tunnel cưỡng bức L2TP……………………………………….26 Hình 2.11-Quá trình thiết lập tunnel cưỡng bức………………………… 27 Hình 2.12-Tunnel tự nguyện L2TP……………………………………… 28 Hình 2.13 -Việc thiết lập tunnel tự nguyện L2TP…………………………29 Hình 2.14- Định dạng của bản tin điều khiển L2TP……………………….29 Hình 2.15-Việc bảo vệ tunnel cưỡng bức sử dụng IPsec………………… 30 Hình 2.16-Việc bảo vệ tunnel tự nguyện L2TP sử dụng IPsec…………….31 Bàn 2.1 So sánh các phương pháp mã hoá đường hầm trong VPN……….33 2 LỜi NÓI ĐẦU Mạng riêng ảo là một giải pháp hiệu quả cho phép truyền thông dữ liệu một cách an toàn với chi phí thấp , giảm nhẹ được các công việc quản lý hoạt động của mạng , linh hoạt trong các công việc truy cập từ xa . VPN là mạng kết nối cho các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng của mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo bảo mật riêng cho mạng . Mục tiêu của tài liệu này giới thiệu Chương 1 : Giới thiệu tổng quan về mạng VPN ảo và các đặc tính của mạng VPN Chương 2 : Giới thiệu các giao thức đường hầm KẾT LUẬN 3 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CHUYÊN ĐỀ Quản lý Mạng Viễn Thông Đề tài: MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ Mà HOÁ ĐƯỜNG HẦM Giáo viên hướng dẫn:ThS.Nguyễn Tiến Ban Người thực hiện: Trần Đại Nghĩa NguyÔn §×nh §¹t Lớp: D2004VT2 Hà Nội 2005 4 Chương 1 Tổng quan về mạng riêng ảo 1.1Khái niệm mạng riêng ảo Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên kết nối mạng trên cơ sở hạ tầng mạng công cộng với các chính sách quản lý và bảo vệ giống như mạng cục bộ . Mạng VPN là sự mở rộng mô hình mạng LAN . Trong thực tế người ta nói đến hai khái niệm : VPN tin cậy và VPN an toàn  VPN tin cậy : như là số mạch thuê bao của một nhà cung cấp dịch vụ viễn thông . Mỗi mạch thuê hoạt động như một đường dây trong một mạng cục bộ  VPN an toàn : là các mạng riêng ảo có sự sử dụng các mật mã để bảo vệ dữ liệu . Dữ liệu đầu ra của mạng được mật mã rồi chuyển vào mạng công cộng như các dữ liệu khác để truyển tới đích và sau đó được giải mã tại phía thu . Hình 1.1 : Mô hình mạng riêng ảo Bước vào kỷ nguyên thông tin, công nghệ thông tin và viễn thông đang hội tụ sâu sắc và đóng góp những vai trò quan trọng trong sự phát triển kinh tế, xã hội toàn cầu. Xu hướng toàn cầu hóa đã buộc các doanh 5 nghiệp, các tổ chức ngày càng phải hiệu quả hóa hệ thống thông tin của chính mình. Với một hệ thống trụ sở, chi nhánh rải rộng trên khắp thế giới, việc phải sử dụng một mạng kết nối - trao đổi thông tin riêng ( WAN) trong nội bộ là vô cùng quan trọng để có được những kết quả sản xuất kinh doanh thực sự hiệu quả. Tuy nhiên, mạng dùng riêng (WAN) vẫn là một giải pháp rất đắt tiền, đòi hỏi những mức chi phí đầu tư lớn, rất khó có thể phù hợp cho những doanh nghiệp vừa và nhỏ tại Việt Nam. Với các công nghệ mạng trước đây như Leased Line hoặc Frame Relay hoặc VPN, để kết nối giữa các chi nhánh với Văn phòng, doanh nghiệp sẽ phải đầu tư chi phí rất lớn về cả thiết bị mạng cũng như chi phí sử dụng. Tuy nhiên, do hạn chế về công nghệ, công nghệ mạng truyền thống này rất phức tạp, khó quản trị, và khả năng mở rộng mạng khó khăn. Mạng riêng ảo VPN (Virtual Private Network) là giải pháp công nghệ cho phép thiết lập mạng dùng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo” thông suốt và bảo mật. 6 Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu tư thiết bị, từ mã hóa và chịu trách nhiệm về mạng của mình. Đây là điều rất khó khăn cho các doanh nghiệp không chuyên về viễn thông và công nghệ thông tin. 1.2 Các chức năng và các ưu nhược điểm của mạng riêng ảo 1.2.1 Chức năng VPN cung cấp 3 chức năng :  Tính xác thực Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn .  Tính toàn vẹn Để đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn  Tính bảo mật Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã phía đầu ra 1.2.2 Ưu điểm Mạng riêng ảo mạng lại lợi ích thiết thực và tức thời cho các công ty  tiết kiệm chi phí 7  Tính linh hoạt  Khản năng mở rộng  Giảm thiểu các hỗ trợ kỹ thuật  Giảm thiểu các yêu cầu thiết bị  Đáp ứng các nhu cầu thương mại 1.2.2 Nhược điểm Ngoài các ưu điểm trên mạng VPN còn có các nhược điểm  Sự rủi ro an ninh  Độ tin cậy và khẳn năng thực thi  Vấn đề lựa chọn giao thức 8 Chương 2 Các giao thức đường hầm 2.1 Giới thiệu các giao thức đường hầm Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel). Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức . Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:  Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.  Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức GRE, IPSec, L2F, PPTP và L2TP  Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi IPX, NetBeui, IP. Đặc điểm riêng của mạng VPN ảo là có thể truyền một gói tin sử dụng giao thức không được hỗ trợ trên Internet (NetBeui) bên trong một gói IP và gửi nó qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP 9 riêng (lớp A) không được định tuyến trên mạng bên trong một gói dùng địa chỉ IP (định tuyến) để mở rộng một mạng riêng trên Internet. Chúng ta giới thiệu hai kỹ thuât hay dùng trong VPN , đó là VPN truy cập từ xa và VPN điểm tới điểm Kỹ thuật Tunneling VPN truy cập điểm-nối điểm Trong VPN này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin loại gói tin và thông tin kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel. Hình 2.1 Mạng riêng sử dụng IPsec Kỹ thuật Tunneling VPN truy cập từ xa Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP. 10 [...]... cứu bị hạn chế và năng lưc có hạn nên chuyên đề mạng riêng ảo và các công nghệ mã hoá đường hầm không tránh khỏi sự nhầm lẫn và thiếu sót em mong thầy cô và các bạn dóng góp ý kiến đề chuyên đề của chúng em được hoàn thiên hơn 33 Tài liệu tham khảo Giáo trình mạng riêng ảo của NGUYỄN TIẾN BAN Các công nghệ mã hoá đường hầm VPN Các trang Wed mạng riêng ảo là gi? 34 ... IPsec và CHAP, PAP, SPAP, EAP, IPsec, TACACS MPPE, ECP IPsec, Bảng 2.1- So sánh các phương pháp mã hoá đường hầm trong VPN KẾT LUẬN Trong phần trên chúng em muốn giới thiệu các mạng riêng ảo các đặc tính của mạng riêng ảo , các khái niệm , các ưu điểm và nhược điểm của mạng riêng ảo đồng thời chúng em muốn giới thiệu các phương thức mã hoá đường hầm Đây là các phương pháp rất quan trong trong công nghệ. .. nghệ VPN nó giúp cho quá trình bảo mật mạng riêng ảo tốt hơn và tính toàn vẹn của dữ liệu cao hơn Trong phần chương 2 chúng em giới thiệu hai phương pháp mã hoá đường hầm là L2F và L2TP Đây là hai phương pháp đươc dùng đẻ mã hoá đường hầm các quá trình thiết lập của các phương thức mã hoá, các đắc tính mã hoá , các ưu điểm và nhược điểm của các phương pháp mã hoá Do thời gian nghiên cứu bị hạn chế và. .. Protocol Security) 2.2 Các giao thức mã hoá đường hầm 2.2.1 Giao thức chuyển tiếp lớp 2 L2F Các dịch vụ mạng dial-up truyền thống được thực hiện thông qua internet và dựa trên công nghệ IP .Các giải pháp đường hầm phổ biến, như là PPP và PPTP,đã chứng tỏ thành công với kiến trúc mạng IP hơn các công nghệ mạng đương thời khác, như là ATM, Frame Relay, Sự bảo mật là một vấn đề Mặc dù các đòi hỏi của Microsoft... này chính là sự kết hợp các thuộc tính của PPTP và L2F Một số lợi ích được liệt kê dưới đây: • L2TP hỗ trợ đa giao thức và các công nghệ mạng như IP, ATM, FR và PPP Do đó, mà L2TP có hỗ trợ các công nghệ riêng rẽ với cơ sở hạ tầng truy nhập chung • L2TP cho phép các công nghệ khác nhau để thúc đẩy một cách mạnh mẽ cơ sở hạ tâng truy nhập trung gian của mạng Internet và các mạng công cộng khác như là... được các gói L2TP Đầu tiên, (LNS hoặc đầu cuối người sử dụng ) xử lí các các gói bằng cách loại bỏ phần đầu và đuôi của lớp liên kết dữ liệu Tiếp theo, các gói được xử lí kỹ hơn và phần đầu của gói tin IP được loại bỏ Sau đó, các gói dữ liệu được nhận thực sử dụng các thông tin mang trong phần đầu ESP và phần đuôi của gói tin IPsec Phần đầu ESP cũng được dùng để giải mã các thông tin đã được mã hóa... liệu thông thường tới các gateway,mà các khung này được đóng khung vào các gói L2F (như trên hình 2.4), và chuyển tiếp nó tới NAS đã được cấp phát tại phía ISP NAS phân giải các thông tin từ các khung thêm các thông tin lớp liên kết dữ liệu thích hợp vào nó Sau đó khung được chuyển tiếp tới người sử dụng ở xa Hình 2.5 –Dạng gói L2F 2.2.1.3 Vấn đề bảo mật L2F L2F cung cấp các tiện ích sau: • Mật mã hóa... lưu lượng và khi các gói bị rớt tùy ý nếu tunnel đã bị hết Điều này làm cho phiên giao dịch truyền thông L2TP-cơ sở nhanh hơn các phiên giao dịch truyền thông L2Fcơ sở • L2TP cho phép người sử dụng xa với địa chỉ IP không được đăng ký (hoặc riêng tư) được truy nhập vào mạng xa thông qua mạng công cộng • L2TP đưa ra sự bảo mật cao vì sử dụng mã hóa tải tin IPsec-cơ sở trong bên tron các tunnel ,và sự thực... nhập thông qua các kiến trúc cơ bản của internet và các liên kết mạng trung gian công cộng khác 11  Hỗ trợ diện rộng các công nghệ mạng như là ATM, FDDI,IPX, Net-BEUI, và Frane Relay Cisco đã đưa ra sau những nghiên cứu mở rộng là L2F Bên cạnh việc thực các mục tiêu chính kể trên, L2F tỏ ra nhiều ưu điểm lớn khác trong công nghệ điều khiển truy nhập từ xa Các tunnel L2F có thể hỗ trợ hơn một phiên đồng... nữa, các mạng intranet riêng biệt cũng có thể xác định các quyền truy nhập riêng và các chính sách bảo mật Điều này được thực hiện bởi quá trình thiết lập tunnel nhanh hơn nhiều so với các giao thức tunnel lúc đầu Đặc điểm chính của các tunnel L2TP-L2TP tự thiết lập tunnel, không như PPTP, là không kết thúc tại các ISP gần nhất Thay vì đó, các tunnel này được gửi tới gateway của các mạng host (hoặc các . ra các đường hầm ảo thông suốt và bảo mật. 6 Hình 1.2 :Mạng riêng ảo có mã hoá đường hầm Thông thường để sử dụng giải pháp mạng riêng ảo, doanh nghiệp sẽ tự đầu tư thiết bị, từ mã hóa và. các giao thức đường hầm KẾT LUẬN 3 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CHUYÊN ĐỀ Quản lý Mạng Viễn Thông Đề tài: MẠNG RIÊNG ẢO VPN VÀ CÁC CÔNG NGHỆ Mà HOÁ ĐƯỜNG HẦM Giáo viên hướng. chuyển vào mạng công cộng như các dữ liệu khác để truyển tới đích và sau đó được giải mã tại phía thu . Hình 1.1 : Mô hình mạng riêng ảo Bước vào kỷ nguyên thông tin, công nghệ thông tin và