5 Các giao thức đường hầm VPN 3

TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Vị trí các giao thứcđường hầm tầng 2 trong mô hìnhOSI

Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng

gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại

đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.

Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng

trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem

xét và so sánh chúng dựa trên mục đích sử dụng.

• Internet Protocol Security (IPSec)

• Point-to-Point Tunneling Protocol (PPTP)

• Layer 2 Forwarding Protocol (L2F)

• Layer2 Tunneling Protocol (L2TP)

• Secure Socket Layer (SSL)

Phải nói thêm rằng sẽ không có một giải pháp dùng chung cho mọi qui mô mạng của

doanh nghiệp. Lựa chọn tốt nhất cho doanh nghiệp phải dựa trên việc cân nhắc các yếu

tố: hệ điều hành triển khai trên máy chủ và máy trạm, tài nguyên mạng cần thiết cho

việc truy cập, mức độ bảo mật yêu cầu, các vấn đề về hiệu suất, khả năng quản trị...

2.5.1 Giao thức Point to Point Tunneling (PPTP)

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho

những kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho

nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ

kết nối từ điểm tới điểm.



GV: Ths.Tô Nguyễn Nhật Quang



51



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Giao thức PPTP

PPTP chỉ hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi PPP mà nó chỉ

là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP.



Hình 2.: Gói tin trong PPTP



Hình 2.: Các bước xử lý gói IP trong PPTP



GV: Ths.Tô Nguyễn Nhật Quang



52



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

2.5.2 Quan hệ giữa PPTP và PPP

PPP đã trở thành giao thức quay số truy cập Internet và các mạng TCP/IP rất

phổ biến hiện nay. Giao thức này làm việc ở lớp thứ 2 trong mô hình OSI. PPP bao

gồm các phương pháp đóng gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp.

PPTP dựa trên PPP để tạo ra các kết nối quay số giữa khách hàng và máy chủ truy

cập mạng. PPTP dựa trên PPP để thực thi các chức năng.

• Thiết lập và kết thúc kết nối vật lý.

• Xác thực các người dùng.

• Tạo ra gói dữ liệu PPP.

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng

gói các gói truyền trong đường hầm như dưới đây:



Hình 2.: Các bước xử lý trong PPP

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói:

Gói điều khiển và gói dữ liệu rồi gán chúng vào hai kênh riêng. Sau đó, PPTP phân

tách các kênh điều khiển và kênh dữ liệu thành luồng diều khiển với giao thức TCP và

luồng dữ liệu với giao thức IP. Kết nối TCP được tạo ra giữa client PPTP với máy chủ

PPTP được sử dụng để chuyển thông báo điều khiển.

Sau khi đường hầm được thiết lập thì dữ liệu được truyền từ client sangmáy

chủ PPTP chứa các gói dữ liệu IP. Gói dữ liệu IP được đóng gói tiêu đề như hình sau:



GV: Ths.Tô Nguyễn Nhật Quang



53



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Đóng gói IP trong PPP



Khi đóng gói nó có sử dụng số ID của host cho điều khiển truy cập. ACK cho

giám sát tốc độ truyền dữ liệu trong đường hầm PPTP cũng có cơ chế điều khiển tốc

độ nhằm giới hạn số lượng dữ liệu truyền đi. Chế độ này làm giảm tối thiểu kích thước

dữ liệu phải truyền lại do mất gói. PPTP cho phép người dùng và các ISP có thể tạo ra

nhiều loại đường hầm khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường

hầm ở ngay tại máy tính của mình nếu như có cài client PPTP, hay tại máy chủ ISP

nếu như máy tính của họ chỉ có PPP mà không có PPTP. Đường hầm được chia ra làm

hai loại:

• Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục

đích xác định.

• Đường hầm bắt buộc được tạo ra không thông qua người dùng cho nên nó trong

suốt đối với người dùng đầu cuối.

2.5.3 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thống

mạng của Cisco trong lúc giao thức PPP đang phát triển, nó là một giao thức cho

phép một máy tính của người dùng truy nhập vào một intranet của một tổ chức xuyên

qua cơ sở hạ tầng mạng công cộng Internet với sự an toàn và điều khiển được bảo trì.

Tương tự như giao thức định đường hầm điểm tới điểm PPTP, giao thức L2F cho

phép sự truy nhập mạng riêng ảo an toàn xuyên qua cơ sở hạ tầng mạng công cộng

Internet bằng cách tạo ra một đường hầm giữa hai điểm kết nối.

Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX,

NetBIOS, NetBEUI còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F

có thể làm việc với nhiều thủ tục mạng khác nhau như: Frame Relay, ATM,

FDDI…. Một L2F hỗ trợ việc định đường hầm cho hơn một kết nối, giới hạn của

giao thức PPTP. L2F có thể làm được điều này trong khi nó định nghĩa những kết

nối bên trong đường hầm, đây là một đặc điểm hữu ích của L2F. Trong tình trạng

nơi có nhiều một người đang dùng truy nhập từ xa mà chỉ có duy nhất một kết nối

được thoả mãn yêu cầu.



GV: Ths.Tô Nguyễn Nhật Quang



54



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Mô hình VPN sử dụng L2F



L2F sử dụng giao thức PPP cho sự chứng thực khách hang như giao thức PPTP,

tuy nhiên L2F còn hỗ trợ chứng thực người dùng quay số từ xa RADIUS( Remote

Authentication Dial-up User Service ) và hệ thống điều khiển giám sát đầu cuối

TACACS+ ( Terminal Access Controller Access Control System ).

Sự chứng thực L2F thể hiện ở hai mức: đầu tiên khi người dùng từ xa kết nối tới nhà

cung cấp dịch vụ ISP qua giao thức bưu điện POP sau đó kết nối được chuyển tới

cổng vào mạng Intranet của tổ chức. L2F chuyển những gói dữ liệu xuyên qua một

đường hầm riêng ảo giữa hai đầu cuối của một kết nối điểm tới điểm, L2F làm điều

này tại giao thức.

L2F là một lớp hai giao thức cho nên L2F có thể sử dụng cho những giao

thức khác IP như: IPX, NetBEUI…

Với giao thức L2F, một sự an toàn đầy đủ giữa hai đầu điểm cuối VPN có thể được tạo

ra và sử dụng, nó là một giải pháp biến đổi được và đáng tin cậy.

2.5.4 Giao thức định đường hầm lớp 2 (Layer 2 TunnelingProtocol)

L2TP là một kỹ thuật nảy sinh để cung cấp một kết nối từ xa tới một

Intranet tập đoàn hay tổ chức. L2TP là giao thức được phát triển hoà trộn giữa

hai giao thức PPTP và L2F.



GV: Ths.Tô Nguyễn Nhật Quang



55



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Các trường IP trong L2TP



L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giao thức

điểm tới điểm PPP. Đường hầm có thể vắ đầu được tạo ra giữa người dùng từ xa tới

nhà cung cấp dịch vụ.



Hình 2.: Các bước xử lý trong L2TP



Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trong

một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đólà tất cả các

giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa, L2TP cung cấp sự

hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối qua Internet.



2.5.4.1 Quan hệ giữa L2TP với PPP

Giao thức định đường hầm lớp 2, L2TP là sự kết hợp giữa hai giao thức đó là

PPTP và L2F. Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đề đóng

gói riêng cho việc truyền các gói ở lớp 2. Điểm khác biệt giữa PPTP và L2F là

L2F không phụ thuộc vào IP và GRE. Cho phép nó có thể làm việc ở các môi trương

vật lý khác. L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng

GV: Ths.Tô Nguyễn Nhật Quang



56



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

một giao thức đường hầm dựa trên hoạt động của L2F. L2TP dựa trên PPP để tạo kết

nối quay số giữa client và máy chủ truy cập mạng ( NAS ). L2TP sử dụng PPP để tạo

kết nối vật lý, tiến hành xác thực đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc

phiên làm việc. L2TP có thể tạo nhiều đường hầm giữa ISP và các máy chủ mạng

client.

L2TP cũng giống với PPTP là nó cũng có 2 thông báo:

• Thông báo điều khiển

• Thông báo dữ liệu

Cũng tương tự như PPP, sau khi đường hầm được thiết lập thì dữ liệu được

truyền từ client sang máy chủ PPTP chứa các gói dữ liệu IP. Gói dữ liệu IP được

đóng gói tiêu đề như hình sau.



Hình 2.: Đóng gói gói IP trong PPP



L2TP cũng sử dụng những lớp đường hầm như PPTP.

• Đường hầm tự nguyện: Tạo theo yêu cầu của người dùng

• Đường hầm bắt buộc: Được tạo tự động ( Người dùng không được lựa chọn ).



2.5.4.2 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview).

Giao thức L2TP có thể hỗ trợ sự truy cập mạng LAN từ xa sử dụng bất kỳ giao

thức lớp mạng nào được hỗ trợ bởi giao thức PPP qua các phiên đường hầm và cái đó

trực tiếp được quản lý bởi việc kết thúc kết nối PPP trong sự truy nhập cổng vào mạng

Intranet của một tổ chức hay một tập đoàn.



GV: Ths.Tô Nguyễn Nhật Quang



57



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Mô hình VPN dùng L2TP



Trong giao thức L2TP có một số phần tử tham gia vào việc thiết lập đường hầm:

• L2TP Access Concentrator (LAC): Bộ tập trung truy nhập giao thức. Bộ tập trung truy

nhập LAC được đinh vị tại nhà cung cập dịch vụ ISP qua giao thức POP cung cấp các

kết nối vật lý của người dùng từ xa. Trong LAC phương tiện truyền thông vật lý được

kết thúc và nó có thể được nối tới mạng điện thoại chuyển mạch công cộng PSTN

hoặc mạng số tích hợp đa dịch vụ ISDN. Qua bộ tập trung LAC này, người ta có thể

thiết lập kết nối đường hầm L2TP qua bộ định tuyến LAC router tới người dùng đầu

cuối nơi đường hầm được kết thúc.

• L2TP Network Server ( LNS): Máy chủ phục vụ L2TP LNS tiếp nhận các phiên kết

nối của người dùng từ xa, chỉ có một kết nối đơn được sử dụng trên LNS để kết thúc

các kênh kết nối gọi đến từ những người dùng từ xa từ các phương tiện truyền thông

khác nhau như ISDN, V120 …Bộ tập trung đa truy nhập cũng có thể được sử dụng

như LNS khi nó được sử dụng như cổng vào truy nhập Intranet tập đoàn.

• Network Access Server (NAS): Máy chủ truy cập mạng.NAS là một thiết bị truy

nhập từ điểm tới điểm đáp ứng những yêu cầu truy nhập của người dùng từ xa qua

ISDN hay PSTN.NAS thành lập và điều khiển các phiên họp và đường hầm

- Người dùng từ xa bắt đầu một kết nối PPP tới NAS

- NAS chấp nhận cuộc gọi

- Sự chứng thực người dùng đầu cuối được máy chủ uỷ nhiệm cho phép tới

NAS

- Người dùng đầu cuối thiết lập kết nối với LNS để tạo ra đường hầm tới Intranet

tập đoàn. Các phiên kết nối được LAC quản lý và các gói dữ liệu được gửi qua

GV: Ths.Tô Nguyễn Nhật Quang



58



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

đường hầm LAC LNS, mỗi LAC và LNS theo dõi tình trạng các kết nối của

người dùng.



Hình 2.: LAC trong PPP



-



Người dùng từ xa cũng được xác nhận bởi máy chủ chứng thực của cổng ra vào

LNS trước khi được chấp nhận kết nối đường hầm.

LNS chấp nhận kết nối và thiết lập đường hầm L2TP và NAS chứngthực.

LNS trao đổi với người dùng từ xa qua giao thức PPP.L2PT có thể hỗ trợ các

hàm sau:

o Thiết lập đương hầm của người dùng đơn quay số trong những khách

o

o

o

o

o

o

o

o



hàng

Sự xuyên đường hầm bằng các chương trình chuyển vận nhỏ.

Đầu vào của một kết nối gọi tới LNS từ LAC.

Thiết lập đa đường hầm.

Uỷ nhiệm chứng thực cho PAP và CHAP

Sự chứng thực điểm cuối của đường hầm.

Che dấu cặp thuộc tính để truyền một mật khẩu PAP uỷ nhiệm.

Sự xuyên đường hầm sử dụng một lookup table.

Sự xuyên đường hầm sử dụng tên lookup người dùng PPP trong hệ thống



AAA.

o Những kiểu đường hầm L2TP:

• Những đương hầm L2TP bắt buộc: Với kiểu đường hầm L2TP bắt buộc này thì

đường hầm L2TP được thiết lập giữa LAC, nhà cung cấp dịch vụ ISP và một

LNS ở tại mạng Intranet của tập đoàn.



GV: Ths.Tô Nguyễn Nhật Quang



59



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: LAC, LNS trong PPP



Một đường hầm bắt buộc được thiết lập như sau:

• Người dùng từ xa bắt đầu một kết nối PPP tới nhà cung cấp dịch vụ ISP

• Nhà cung cấp dịch vụ ISP chấp nhận kết nối và mối liên kết PPP được thành

lập

• ISP thiết lập một đường hầm L2TP tới LNS, nếu LNS chấp nhận kết nối thì

LAC đóng gói PPP với L2TP và chuyển vào đường hầm, LNS chấp nhận

khung này, tước bở L2TP và sử lý đầu vào PPP.

• LNS sử dụng chứng thực để làm cho có hiệu lực với người dùng sau đó gán địa

chỉ IP



Hình 2.: LAC, LNS trong L2TP



Thiết lập kết nối mạng riêng ảo từ xa sử dụng L2TP và IPSec.

GV: Ths.Tô Nguyễn Nhật Quang



60



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: VPN sử dụng IPSec và L2TP



Sử dụng IPSec để bảo vệ L2TP trong đương hầm bắt buộc giữa ngườidùng từ

xa với một cổng vào tập đoàn



2.5.4.3 Ứng dụng L2TP trong VPN

Ví dụ: Công ty được hỗ trợ bởi nhà cung cấp dịch vụ VPN. Có nghĩa là ISP

cung cấp kết nối Internet cho công ty có máy chủ Proxy RADIUS và LAC.

Còn ở tại công ty duy trì máy chủ RADIUS và LNS



Hình 2.: Quay số L2TP truy nhập VPN



L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp

những đặc điểm tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP

đều đưa ra các sản phẩm tương thích L2TP hoặc giới thiệu sau này. Mặc dù nó chạy

GV: Ths.Tô Nguyễn Nhật Quang



61



Nhóm 8