Các Giao Thức Đường Ngầm Trong Ip-Vpn

1.5.1 IP-VPN truy nhập từ xa

Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình IP-VPN truy nhập từ xa. Truy nhập IP-VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tới người sử dụng của họ thông qua chia sẻ cơ sở hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám sát được tất cả những người dùng. Truy nhập từ xa là phương thức đầu tiên sử dụng VPN. Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng nhánh và những đối tác thương mại. Cấu trúc IP-VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN (mạng số đa dịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê bao số) và điện thoại cáp. Cấu trúc IP-VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet.

Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạng quản lí riêng sang dạng IP-VPN truy nhập từ xa dưới đây:

 Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet.

 Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng IP-VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành.

 Tr iển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của IP-VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho cơ sở hạ tầng.

 Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm

người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn.

Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập từ xa vẫn gặp phải khó khăn sau:

Có thể bạn quan tâm!

• Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN - 1
• Tìm hiểu công nghệ chuyển mạch nhãn đa giao thức trong VPN - 2
• Khái Niệm Về Mạng Riêng Ảo Trên Nền Tảng Internet
• Khuôn Dạng Ipv4 Trước Và Sau Khi Xử Lý Ah Ở Kiểu Transport
• Khuôn Dạng Ipv4 Trước Và Sau Khi Xử Lý Esp Ở Kiểu Transport
• Kết Hợp Sa Kiểu Tunnel Khi 2 Điểm Cuối Trùng Nhau

Xem toàn bộ 97 trang tài liệu này.

 Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền

và giải mật mã khi nhận được thông tin. Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng.

 Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thức

đường ngầm cần có thời gian để xử lí dữ liệu.

 Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi. Bởi vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợi nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet. Điều này có thể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm.

Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn bộ quốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiện diện) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm đi, tất cả các lo lắng về thủ tục quay số có thể được nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp truy nhập gánh chịu. Các IP-VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý. Trong một kịch bản truy nhập từ xa quay số sử dụng phương tiện của hãng khác, người sử dụng quay số đế các POP địa phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nối PPP (Point to Point Protocol: Giao thức điểm tới điểm). Sau khi người sử dụng đã được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một Tunnel đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến. Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối. Kiến trúc này được mô tả ở hình 1.6. Công nghệ truyền Tunnel được lựa chọn cho IP-VPN truy nhập quay số theo phương tiện của hãng khác là L2TP.

C ểng SS7 RADIUS

IPSec Client

Chuyển mạch

ISP

LNS

ISDN Modem

DSLAM

RAS

Internet

Hãng

PSTN

LNS: L2TP Network Server- Server mạng L2TP

C ểng IPSec

L2TP

DNS DHCP RADIUS ACCT

IPSec

DSL

L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2 RAS: Remote Access Server- Server truy nhập xa

DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL

Hình 1.6: IP-VPN truy nhập từ xa

1.5.2 Site-to-Site IP-VPN

Site-to-Site IP-VPN (hay còn được gọi là LAN-to-LAN) được sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm.

1.5.2.1 Intranet IP-VPN

Một tổ chức có thể dùng IP-VPN không chỉ để kết nối các site trực thuộc tổ

chức mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc

là các văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ

sở hạ tầng chia sẻ. Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới điểm. Tuy nhiên khi sử dụng IP-VPN thì sẽ có những ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn. Với khả năng này, Intranet IP-VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các Router.

Remote office

POP

Home office

device3

device2

1

device1

Internet/

POP

Remote office

IP-VPN

Headquarters

POP

device1

device3

device2

1

Hình 1.7: Intranet IP-VPN

1.5.2.2 Extranet IP-VPN

Extranet IP-VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác với

các văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ, cácnguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thôngtin. Các thực thể này thường được gọi là các mạng đối tác. Để hỗ trợ các thông tin này, các Tunnel IP-VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể riêng khác nhau. Các chức năng IP-VPN như điều khiển truy nhập, nhận thực và các dịch vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần thiết cho kinh doanh. Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vì thế IP-VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet.

Remote office

Business Partner

POP

Home office

device1 device3

device21

Internet/ IP-VPN

POP

Remote office

Headquarters

POP

Supplier

Customer

device1

device3

device2

1

Hình 1.8: Extranet IP-VPN

1.5.3 Các giao thức đường ngầm trong IP-VPN

Như đã trình bày trong phần trên, các giao thức đường ngầm là nền tảng của

công nghệ VPN. Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với phần

header (và có thể có phần trailer) tương ứng để truyền qua Internet. Có nhiều giao thức đường ngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật mã được dùng. Có 4 giao thức đường ngầm trong IP-VPN như sau:

 PPTP (Point - to - Point Tunneling Protocol).

 L2F (Layer two Forwarding).

 L2TP (Layer Two Tunneling Protocol).

 IPSec (Internet Protocol Security).

Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F. PPTP là giao thức do nhiều công ty hợp tác phát triển. L2F là do Cisco phát triển độc lập. PPTP và L2F đều được phát triển dựa trên giao thức PPP (Point - to - Point Protocol). PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên. Trên cơ sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP. Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F.

Trong các giao thức đường ngầm nói trên, IPSec là giải pháp tối ưu về mặt an

toàn dữ liệu. IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất. Ngoài ra,

IPSec còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác thực, mật mã nào, đồng thời có thể sử dụng IPSec cùng với các giao thức đường ngầm khác để làm tăng tính an toàn cho hệ thống.

Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm khác về khả năng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm. Thứ nhất, IPSec

là một khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các

nhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều. Thứ hai, để tận dụng khả năng đảm

bảo an toàn dữ liệu của IPSec thì cần phải sử dụng một cơ sở hạ tầng khóa công khai

PKI (Public Key Infrastructure) phức tạp để giải quyết vấn đề như chứng thực số hay

chữ ký số.

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên các sản phẩm hỗ trợ chúng tương đối phổ biến. PPTP có thể triển khai với một hệ thống mật khẩu đơn giản mà không cần sử dụng PKI. Ngoài ra PPTP và L2TP còn có một số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên. Vì vậy, trong khi IPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi. Cụ thể PPTP và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa.

Trong phần này chúng ta sẽ đi tìm hiểu 2 giao thức đường ngầm là PPTP và

L2TP.

1.5.3.1 PPTP (Point - to - Point Tunneling Protocol)

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram để truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản của giao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén.

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP). PPTP client có thể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP.

Duy trì đường ngầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP. Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP server. Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header, trailer của lớp đường truyền dữ liệu.

Đóng gói dữ liệu đường ngầm PPTP

a) Đóng gói khung PPP:Dữ liệu đường ngầm PPTP được đóng gói thông qua nhiều mức.

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyến chung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP.

Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:

 Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận

32 bit.

 Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số

cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trong quá trình khởi tạo đường ngầm PPTP.

 Một trường xác nhận dài 32 bit được thêm vào.

b) Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE Header sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho PPTP client và PPTP server.

c) Đóng gói lớp liên kết dữ liệu:để có thể truyền qua mạng LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với một Header và Trailer của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Ví dụ, nếu IP datagram được gửi qua giao diện Ethernet, nó sẽ được gói với phần Header và Trailer Ethernet. Nếu IP datagram được gửi qua đường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần Header và Trailer của giao thức PPP.

Xử lí dữ liệu đường ngầm PPTP

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server sẽ thực hiện các bước sau:

 Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.

 Xử lý và loại bỏ IP Header.

 Xử lý và loại bỏ GRE Header và PPP Header.

 Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết).

 Xử lý phần Payload để nhận hoặc chuyển tiếp.

1.5.3.2 L2TP (Layer Two Tunneling Protocol)

Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F. L2TP được mô tả trong khuyến nghị RFC 2661.

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM. Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa. Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP, L2TP có thể được sử dụng như một giao thức đường ngầm thông qua Internet hoặc các mạng riêng Intranet. L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm. Phần tải của khung PPP đã đóng gói có thể được mật mã, nén. Tuy nhiên mật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP). Cũng có thể tạo kết nối L2TP không mật mã IPSec. Tuy nhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mật mã. Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửa lỗi các kết nối L2TP dùng IPSec.

L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức đường ngầm L2TP và IPSec). L2TP client có thể được nối trực tiếp tới mạng IP để truy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP. Việc xác thực trong quá trình hình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực như trong các kết nối PPP như EAP, MS-CHAP, CHAP, PAP. Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet. Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm có cùng cấu trúc gói.

Duy trì đường ngầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP server đều sử dụng cổng UDP 1701).

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram.

UDP datagram lại được mật mã bởi IPSec ESP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next-Received (tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence Number) được sử dụng để duy trì thực tự các bản tin điều khiển. Các gói không đúng thứ tự bị loại bỏ. Các trường Next-Sent và Next-Received cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm.

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm. Trong bản tin điều khiển L2TP và phần tiêu đề L2TP của dữ liệu đường ngầm có một mã số đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trong đường ngầm đó.

Đường ngầm dữ liệu L2TP

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói.

a) Đóng gói L2TP:phần tải PPP ban đầu được đóng gói với một PPP Header và một L2TP Trailer.

b) Đóng gói UDP:gói L2TP sau đó được đóng gói với một UDP Header, các địa chỉ cổng nguồn và đích được đặt bằng 1701.

c)Đóng gói IPSec:tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer.

d) Đóng gói IP:gói IPSec được đóng gói với IP Header chứa địa chỉ IP nguồn và đích của IP-VPN client và IP-VPN server.

e)Đóng gói lớp đường truyền dữ liệu:để truyền đi được trên đường truyền LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra. Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đóng gói với Ethernet Header và Trailer. Khi các IP datagram được gửi trên đường truyền WAN điểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP datagram được đóng gói với PPP Header và Trailer.

Xử lý dữ liệu đường ngầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

 Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu.

Xem tất cả 97 trang.