6 Kỹ thuật đường hầm

TRIỂN KHAI VPN VÀ IPSEC

tin về lộ trình và đích đến của gói tin giúp mạng vận chuyển gói tin đến được nơi cần

đến.



 Lưu ý: Thuật ngữ đường hầm giống như công việc gửi thư. Sau khi bạn viết

xong một lá thư, bạn sẽ đặt nó vào trong bì thư. Trên bì thư có địa chỉ người nhận. Sau

khi bạn gửi lá thư, nó sẽ đến được người nhận theo địa chỉ ghi ở bì thư. Người nhận

cần mở lá thư ra trước khi đọc nó. Trong kỹ thuật đường hầm thì lá thư giống như

payload ban đầu còn bì thư giống như gói giao thức định tuyến bọc lấy payload. Địa

chỉ trên lá thư tương tự như thông tin định tuyến dính vào bì thư.



Hình 2.: Mô hình "đường hầm"



Kỹ thuật đường hầm có rất nhiều thuận lợi, trong các đọan tiếp theo

chúng ta có thể thấy rõ điều này.



2.6.2 Lợi thế của kỹ thuật đường hầm:

a. Đơn giản và triển khai kỹ thuật dễ dàng: Ý tưởng cơ bản của kỹ thuật đường

hầm khá đơn giản, do đó chúng ta cũng có thể dễ dàng triển khai kỹ thuật này trong

thực tế. Hơn nữa chúng ta không cần thay đổi cơ sở hạ tầng mạng để tương thích với

kỹ thuật đường hầm. Nhờ tính linh họat trong cách sử dụng, kỹ thuật đường hầm là

một giải pháp khả thi, hiệu quả cho các tổ chức lớn cũng như các tổ chức trung bình.

b. Bảo mật: Ngăn chặn sự xâm nhập bất hợp pháp từ bất cứ cá nhân nào vào

đường hầm. Nhờ đó dữ liệu sẽ được bảo đảm an toàn mặc dù nó đựơc truyền qua một

môi trường truyền tin công cộng, kém an toàn như internet.

c. Hiệu quả về mặt kinh tế: Đường hầm dùng mạng công công làm môi trường

truyền dẫn dữ liêu. Chi phí cho việc này là cực rẻ nếu so với việc xây dựng những

đường dây riêng nối từ nơi này đến nơi khác trên một khỏang cách dài. Bên cạnh đó

GV: Ths.Tô Nguyễn Nhật Quang



82



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

các tổ chức có thể tiết kiệm được những khỏan tiền thường niên để quản lý và bảo trì

đối với các giải pháp mắc tiền khác.

d. Không cần quan tâm đến giao thức: Dữ liệu thuộc về giao thức không định

tuyến, như mạng NetBIOS và mạng NetBEUI không tương thích với giao thức internet

TCP và IP. Do đó các gói tin không thể gửi qua internet. Tuy nhiên đường hầm cho

phép chúng ta gửi những gói tin không IP đến đích bằng cách đóng gói chúng trong

các gói tin IP.

e. Tiết kiệm địa chỉ IP: Như đã nói ở trên, đường hầm cho phép các giao thức

không thể truyền dẫn, hoặc không có địa chỉ IP có thể ghép vào một gói tin có địa chỉ

IP tĩnh. Như vậy thay vì phải mua một địa chỉ IP tĩnh cho mỗi điểm truy cập mạng

internet, bạn có thể mua một khối nhỏ của địa chỉ IP tĩnh. Khi một điểm truy cập mạng

thực hiện một kết nối VPN, các địa chỉ IP từ khối được mua sẽ đính vào các gói không

có địa chỉ IP. Thực vậy mạng riêng ảo giúp giảm lượng cầu về địa chỉ IP tĩnh.

 Lưu ý: Nhằm mục đích giảm chi phí, tiện cho công tác quản trị, điều khiển

sắp xếp hệ thống, nhiều tổ chức thực thi địa chỉ IP của riêng họ. Địa chỉ này không cần

phải duy nhất, tòan cục và nhất là không cần mua từ những nhà chức trách như

InterNIC. Hệ thống địa chỉ IP này là địa chỉ IP riêng, nó họat động rất hiệu quả trong

mạng riêng của tổ chức. Tuy nhiên chúng ta cần một địa chỉ IP đơn nhất trên tòan cầu

để giao tiếp với các mạng khác hoặc với mạng công cộng như internet.

Bây giờ bạn đã có những ý tưởng cơ bản của đường hầm để có thể sẵn sàng tìm

hiểu các thành phần của đường hầm.



2.6.3 Các thành phần của kỹ thuật đường hầm :

Để triển khai một đường hầm giữa hai điểm, chúng ta cần có bốn thành phần

cho đường hầm

 Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy

khách ( nó có tên gọi khác là home network )

 Nútinitiator. The máy khách từ xa hoặc máy chủ khởi tạo một phiên làm

việc VPN. initiator có thể là một phần của mạng nội bộ hoặc là một người dùng di

động, ví dụ laptop.



GV: Ths.Tô Nguyễn Nhật Quang



83



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

 Home agent : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ

nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếi

kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm.

 Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập mạng

chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ HA tại

mạng đích.

Vừa rồi bạn đã được giới thiệu về các thành phần của kỹ thuật đường hầm,

trong các phần tiếp theo sẽ đề cập về cách thức họat động của chúng.

4. Họat động của kỹ thuật đường hầm :

Kỹ thuật đường hầm đựơc chia làm hai pha.

Pha I : điểm bắt đầu ( hay những client từ xa ) sẽ yêu cầu thiết lập VPN, yêu

cầu này sẽ được kiểm tra bời HA xem tính hợp pháp của nó.

Pha II : Dữ liệu sẽ được truyền trong đường hầm.

Trong pha I, trước hết khởi tạo một kết nối và thiết lập các thông số (pha này

còn đuợc gọi là pha thiết lập đường hầm ). Sau khi kết nối được chấp nhận và các

thông số được thiết lập, một đường hầm sẽ được thiết lập.

• Initiator sẽ gửi yêu cầu kết nối với FA nằm trong mạng

• FA sẽ kiểm tra yêu cầu kết nối thông qua tên truy cập và mật khẩu của người dùng.

Nếu FA xác định initiator thành công, nó sẽ chuyển yêu cầu đến mạng đích (HA) ( FA

thường sử dụng dịch vụ truy cập quay số từ xa (RADIUS) đề xác thực nhận dạng của

initiator ).

• Nếu tên đăng nhập và mật khẩu của người dùng không hợp lệ, yêu cầu phiên làm việc

VPN bị hủy bỏ. Tuy nhiên nếu FA xác thực nhận dạng của initiator thành công, nó sẽ

chuyể yêu cầu đến mạng đích HA.

• Nếu HA chấp nhận yêu cầu, FA sẽ gửi cho nó ID đăng nhập và mật khẩu tương ứng.

• HA sẽ kiểm tra thông tin về dữ liệu nhập được. Nếu kiểm tra thành công, HA sẽ gửi

cho FA số đường hầm và hồi âm đăng ký.

• Đường hầm sẽ được thiết lập sau khi FA nhận được hồi âm đăng ký và số đường hầm.

 Chú ý: Nếu hai đầu không sử dụng cùng một giao thức đường hầm, các cấu

hình đường hầm vẫn được thống nhất như mã hóa, thông số nén, các cơ chế bảo trì

đường hầm.

Sau khi thiết lập xong đường hầm, pha I sẽ kêt thúc để chuyển sang pha II và

bắt đầu truyền dữ liệu :

• Initiator bắt đầu chuyển các gói tin tới FA

GV: Ths.Tô Nguyễn Nhật Quang



84



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

• FA tạo các header của đường hầm và gắn vào mỗi gói tin. Các thông tin về lộ trình của

gói tin sẽ được gắn vào, lộ trình này được khởi tạo từ pha I.

• FA chuyển các gói tin được mã hóa tới HA thông qua đường hầm

• Sau khi nhận được gói tin đã được mã hóa, HA sẽ gỡ bỏ header của đường hầm và

header chứa giao thức vê lộ trình của gói tin. Khôi phục lại gói tin như ban đầu.

• Gói tin gốc được chuyển đến đích đến trong mạng.



Hình 2.: Chu trình thiết lập “đường hâm thông tin



Hình 2.: Quá trình truyền dữ liệu qua đường hầm



2.6.4 Tunneled Packet Format

Như đã mô tả ở trên, trước khi được chuyển tới nơi nhận qua đường hầm, dữ

liệu gốc được mã hóa bởi FA. Gói tin được mã hóa này gọi là gói tin đường hầm. Định

dạng của gói tin đường hầm được minh họa ở hình 2.44.



Hình 2.: Định dạng một gói tin đường hầm



Một gói tin đường hầm gồm có ba phần :



GV: Ths.Tô Nguyễn Nhật Quang



85



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

 Header của giao thức định tuyến. Header chứa địa chỉ của nơi gửi (FA), và nơi

nhận (HA). Do sự truyền dẫn qua internet dựa trên IP, header thường là IP header

chuẩn và chứa địa chỉ IP của FA và HA liên quan đến việc truyền dẫn.

 Header gói tin đường hầm. Header này gồm có năm trường.

 Lọai giao thức. Trường mô tả lọai giao thức của gói tin ban đầu.

 Kiểm tra tổng. Trường chứa kiểm tra tổng sử dụng để kiểm tra xem gói tin có

bị thay đổi trong quá trình truyền không. Thông tin này không nhất thiết phải có.

 Khóa. Thông tin dùng để xác định hay xác thực nguồn gửi dữ liệu (initiator).

 Số thứ tự. Trường chứa một con số để chỉ số thứ tự của gói tin trong một dãy

các gói tin được truyền đi.

 Source routing. Trường chứa thông tin thêm về lộ trình. Trường này không

nhất thiết phải có.

 Payload. Gói tin gốc gửi từ initiator đến FA. Nó bao gồm cả header ban đầu.



GV: Ths.Tô Nguyễn Nhật Quang



86



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



TÀI LIỆU THAM KHẢO



GV: Ths.Tô Nguyễn Nhật Quang



87



Nhóm 8



1 Bùi Văn Nhật (2011). Công nghệ IP - VPN [Internet]. Lấy từ URL: http://www.scribd.com/doc/75540582/65/Khai-ni

%E1%BB%87m-v%E1%BB%81-IPSec [Trích dẫn ngày 17/3/2012].



2thanhsang_truong (2006). IKE SA [Internet]. Lấy từ URL: http://vnpro.org/forum/showthread.php/10091-Ike-Sa [Trích

dẫn ngày 17/3/2012]

3 Itc (2011). Lựa chọn công nghệ khi triển khai mạng riêng ảo (VPN) [Internet]. Lấy từ URL:

http://www.itc.vn/index.php/giai-phap/lua-chon-cong-nghe-khi-trien-khai-mang-rieng-ao-vpn.html [Trích dẫn ngày

17/3/2012]