Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY

TRƯỜNG CAO ĐẲNG NGHỀ iSPACE
240 Võ Văn Ngân, Phường Bình Thọ, Quận Thủ Đức, TpHCM
Website: www.ispace.edu.vn Email: ispace@ispace.edu.vn
Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đề Tài Tốt Nghiệp www.oktot.com Trang 1
LỜI MỞ ĐẦU

Ngày nay, công nghệ viễn thông đang phát triển rất nhanh, trong đó công nghệ
mạng đóng vai trò hết sức quan trọng trong việc truyền thông dữ liệu. Chỉ xét về góc
độ kinh doanh, nhu cầu truyền thông của các công ty, tổ chức là rất lớn, vd: một
công ty có một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ.
Nhưng cũng muốn các chi nhánh, văn phòng, nhân viên di động hay các đối tác từ
xa của mình có thể truy cập vào mạng công ty. Có nhiều dịch vụ được cung cấp như
Modem quay số, ISDN server hay các đường WAN thuê riêng đắt tiền. Nhưng với sự
phát triển rộng rãi của Internet, một số công ty có thể kết nối với nhân viên, đối tác
từ xa ở bất cứ đâu, thậm chí trên toàn thể giới mà không cần phải sử dụng tới các
dịch vụ đắt tiền kể trên.
Nhưng có một vấn đề là mạng nội bộ công ty chứa tài nguyên, dữ liệu quan
trọng mà chỉ cho phép người dùng có quyền hạn hoặc được cấp phép mới được truy
cập vào mạng trong khi Internet là mạng công cộng và không bảo mật. Do đó,
Internet có thể là mối nguy hiểm cho hệ thống mạng, cơ sở dữ liệu quan trọng của
công ty.
Sự thông tin qua môi trường Internet có thể bị làm sai lệch hoặc bị đánh cắp. Và
đây chính là chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả năng.
VPN cung cấp giải pháp truyền thông dữ liệu thông qua môi trường mạng Internet
công cộng với chi phí thấp, hiệu quả mà vẫn rất bảo mật.
VPN có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại
mang các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì
vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp trong thời buổi
kinh tế này vì nó giảm chi phí triển khai do tận dụng được cơ sở hạ tầng Internet sẵn
có.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập vào
quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa
giải quyết được những khó khăn về kinh tế.
Với đề tài: “Xây Dựng Hệ Thống Hạ Tầng Mạng Cho Doanh Nghiệp”, chúng
em hy vọng có thể phần nào mở rộng cũng như phổ biến và phát triển rộng rãi công
nghệ VPN.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
LỜI CẢM ƠN

Đồ án tốt nghiệp của chúng em ngày hôm nay là kết quả của quá trình học tập
và rèn luyện tại trường Cao Đẳng Nghề Công Nghệ Thông Tin iSpace, để đạt
được kết quả này, ngoài sự phấn đấu nỗ lực của hai thành viên trong nhóm còn có
sự quan tâm giúp đỡ của Quý Thầy Cô tại trường, đặc biệt là các thầy ở khoa Công
Nghệ Thông Tin.
Do đó, sau thời gian học tập ở trường cùng với sự định hướng và chỉ bảo tận tình
của các thầy trong khoa, nhóm em đã chọn đề tài “Xây Dựng Hệ Thống Hạ Tầng
Mạng Cho Doanh Nghiệp” để làm đồ án tốt nghiệp cũng như tìm hiểu thêm kiến
thức để sau này áp dụng vào thực tế công việc của mình.
Qua đây, nhóm sinh viên thực hiện chúng em cũng xin gởi lời cảm ơn chân thành đến
thầy Phan Nguyễn Vũ Linh, người đã nhiệt tình hướng dẫn và giúp đỡ nhóm trong
suốt quá trình thực hiện để hoàn thành đồ án này và nhóm em cũng xin cảm ơn đến Quý
thầy cô trong trường đã tạo mọi điều kiện thuận lợi cho nhóm có thể hoàn thành tốt
đồ án này.
Một lần nữa, nhóm sinh viên chúng em xin chân thành cảm ơn tất cả mọi người.
Nhóm sinh viên thực hiện
Nguyễn Hoàng Quốc Anh
Ngô Thanh Xuân

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA DOANH NGHIỆP
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………
…………………………………………………………………………………

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
1.1. Định Nghĩa VPN ..................................................................................... 8
1.2. Những lợi ích do VPN mang lại ................................................................ 9
1.3. Những yêu cầu đối với Mạng riêng ảo...................................................... 10
1.3.1. Bảo mật ........................................................................................... 10
1.3.2. Tính sẵn sàng và tin cậy .................................................................... 11
1.3.3. Chất lượng dịch vụ ............................................................................ 12
1.3.4. Khả năng quản trị ............................................................................. 12
1.3.5. Khả năng tương thích ........................................................................ 13
1.4. Các mô hình kết nối VPN thông dụng....................................................... 13
1.4.1. VPN truy cập từ xa (Remote VPN)....................................................... 13
1.4.2. VPN cục bộ (Intranet VPN)................................................................. 15
1.4.3. VPN mở rộng (Extranet VPN).............................................................. 16
1.5. Các công nghệ và giao thức dùng để tạo nên kết nối VPN ......................... 18
CHƯƠNG 2: CÁC GIAO THỨC & KỸ THUẬT ĐƯỜNG HẦM
2.1. Kỹ thuật đường hầm (Tunneling)............................................................. 19
2.1.1. Kỹ thuật Tunneling trong mạng VPN Remote Access ............................ 19
2.1.2. Kỹ thuật Tunneling trong mạng VPN Site-to-Site .................................. 19
2.2. Giao Thức đường hầm tại Layer 2 trong VPN............................................ 19
2.2.1. Giao thức PPTP (Point-to-Point Tunneling Protocol).............................. 20
2.2.1.1. Vai trò của PPP trong các giao dịch PPTP ....................................... 20
2.2.1.2. Các thành phần của giao dịch PPTP............................................... 21
2.2.1.3. Các tiến trình PPTP ...................................................................... 23
2.2.1.4. Xử lý và định đường hầm dữ liệu PPTP.......................................... 24
2.2.1.5. Bảo mật PPTP.............................................................................. 26
2.2.1.6. Các tính năng của PPTP................................................................ 28
2.2.2. Giao thức chuyển tiếp L2F (Layer 2 Forwarding) .................................. 29
2.2.2.1. Tiến trình L2F.............................................................................. 29
2.2.2.2. Đường hầm L2F........................................................................... 31
2.2.2.3. Bảo mật L2F................................................................................ 32
2.2.2.4. Các ưu và nhược điểm của L2F ..................................................... 32
2.2.3. Giao thức L2TP (Layer 2 Tunneling Protocol) ....................................... 33
2.2.3.1. Thành phần của L2TP .................................................................. 34
2.2.3.2. Các tiến trình L2TP ...................................................................... 35
2.2.3.3. Dữ liệu đường hầm L2TP.............................................................. 36
2.2.3.4. Các mô hình đường hầm L2TP ...................................................... 37
2.2.3.5. Kiểm soát kết nối L2TP................................................................. 40
2.2.3.6 Bảo mật L2TP............................................................................... 41

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.3.7 Những ưu và nhược điểm của L2TP................................................ 41
2.3. Giao Thức đường hầm tại Layer 3 trong VPN............................................ 42
2.3.1. Kiến trúc an toàn IP (IPSec)............................................................... 43
2.3.1.1. Giới thiệu chung và các chuẩn ...................................................... 43
2.3.1.2. Liên kết bảo mật IPSec (SA-IPSec)................................................ 45
2.3.1.3. Các giao thức của IPSec............................................................... 47
2.3.1.4. Các chế độ IPSec......................................................................... 54
2.3.1.5. Sự kết hợp giữa các SA ................................................................ 56
2.3.1.6. Giao thức trao đổi khoá Internet ................................................... 57
2.3.1.7. Quá trình hoạt động của IPSec ..................................................... 64
2.4. Một vài giao thức an toàn bổ sung cho công nghệ VPN ............................. 64
2.4.1. Giao thức SSL và TLS ........................................................................ 64
2.4.2. So sánh giao thức IPSec với SSL......................................................... 66
CHƯƠNG 3: DYNAMIC MULTIPOINT VPN (DMVPN)
3.1. Giới thiệu về DMVPN .............................................................................. 69
3.2. Các thành phần của DMVPN.................................................................... 70
3.3. Kỹ thuật thiết kế .................................................................................... 70
3.4. Dual DMVPN Cloud Topology .................................................................. 72
3.4.1. Hub-and-Spoke................................................................................. 72
3.4.2. Spoke-and-Spoke .............................................................................. 73
3.5. Kiến trúc hệ thống trung tâm (system headend)....................................... 73
3.5.1. Single Tier ........................................................................................ 74
3.5.2. Dual Tier .......................................................................................... 74
3.6. Single DMVPN Cloud Topology ................................................................ 75
3.7. Các vấn đề khi triển khai DMVPN............................................................. 76
3.7.1. Cơ chế tunnel và địa chỉ IP ................................................................ 76
3.7.2. Giao thức GRE .................................................................................. 78
3.7.3. Giao thức NHRP ................................................................................ 79
3.7.4. Tunnel Protection Mode ..................................................................... 79
3.7.5. Sử dụng giao thức định tuyến ............................................................ 79
3.7.6. Vấn đề Crypto................................................................................... 80
3.7.7. IKE Call Admission Control ................................................................. 80
3.8. So sánh giữa VPN và DMVPN .................................................................. 81
3.8.1. Mô hình VPN thông thường ................................................................ 81
3.8.2. Mô hình DMVPN ................................................................................ 82
3.8.3. Ưu điểm của việc sử dụng DMVPN...................................................... 83

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 4: PHÂN TÍCH – THIẾT KẾ VÀ TRIỂN KHAI ĐỀ TÀI
4.1. Mục tiêu đề tài....................................................................................... 84
4.2. Khảo sát và lên kế hoạch bản vẽ cho ngân hàng VietBank......................... 84
4.3. Triển khai thiết bị & hoạch định IP........................................................... 86
4.3.1. Mô hình kết nối thiết bị......................................................................... 86
4.3.2. Hoạch định IP...................................................................................... 87
4.4. Cấu hình thiết bị .................................................................................... 88
4.4.1. Cấu hình tên – password enable – console – vty..................................... 88
4.4.2. Cấu hình Trunking ............................................................................... 89
4.4.3. Cấu hình Etherchannel ......................................................................... 89
4.4.4. Cấu hình VTP....................................................................................... 90
4.4.5. Cấu hình VLAN..................................................................................... 91
4.4.6. Gán Port cho VLAN............................................................................... 91
4.4.7. Cấu hình Spanning – Tree .................................................................... 92
4.4.8. Cấu hình HSRP .................................................................................... 93
4.4.9. Cấu hình DHCP cho trụ sở SG ............................................................... 97
4.4.10. Cấu hình OSPF cho trụ sở SG .............................................................. 98
4.4.11. Cấu hình ACL..................................................................................... 99
4.4.12. Cấu hình NAT .................................................................................... 100
4.4.13. Cấu hình InterVLAN Routing cho Router HN & DN................................. 101
4.4.14. Cấu hình cấp DHCP cho chi nhánh HN – DN ......................................... 101
4.4.15. Cấu hình DMVPN Dual-Hub-Dual Layout............................................... 102
CHƯƠNG 5: KẾT LUẬN:
5.1. Những việc đã hoàn thành...................................................................... 107
5.2. Những việc chưa hoàn thành .................................................................. 107
5.3. Hướng phát triển đề tài .......................................................................... 107
TÀI LIỆU THAM KHẢO............................................................................. 108
PHỤ LỤC ................................................................................................. 109

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN.
Sau đây ta thường gọi ngắn gọn theo tên viết tắt. VPN là phương pháp làm cho một
mạng công cộng (như mạng Internet) hoạt động giống như mạng cục bộ, cũng có
các đặc tính như bảo mật và tính ưu tiên mà người dùng yêu thích.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một
mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2
điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các
"đường hầm". Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo
cách tương tự như truyền thông điểm - điểm.
Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi
phí mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN.
Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng
đường Dial-up để truy cập từ xa đến Công ty.
Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các mạng máy tính
của các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng,
cũng có thể là kết nối Frame Relay hay ATM. Nhưng, rào cản lớn nhất đến với các
doanh nghiệp tổ chức đó là chi phí. Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc
duy trì, vận hành hạ tầng mạng, các thiết bị riêng của doanh nghiệp... rất lớn. Vì
vậy, điều dễ hiểu là trong thời gian dài, chúng ta gần như không thấy được nhiều
ứng dụng, giải pháp hữu ích trên mạng diện rộng WAN.
Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh
nghiệp có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia viễn thông
nhận định: "Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới".
1.1. Định Nghĩa VPN:
Công ty/doanh nghiệp của bạn có nhiều chi nhánh muốn kết nối với nhau để
trao đổi dữ liệu và sử dụng các dịch vụ trong mạng nội bộ của trụ sở chính?
Hoặc bạn là người phải thường xuyên làm việc lưu động muốn kết nối vào hệ
thống mạng nội bộ của công ty mình thông qua một môi trường public như
Internet?
Vậy đâu là giải pháp cho những yêu cầu trên? Câu trả lời đó là VPN (Virtual
Private Network), một giải pháp mạng riêng ảo cho phép bạn thực hiện những
yêu cầu trên.
VPN cho phép các host giữa nhiều chi nhánh truyền thông với nhau thông qua
một đường hầm ảo (tunnel). Khi đó, giữa các chi nhánh đó như được kết nối
trực tiếp với nhau trong cùng một mạng Private.
Và tuyệt vời hơn nữa là VPN đảm bảo dữ liệu được bảo mật an toàn một cách
tuyệt đối khi truyền thông qua một môi trường không tin cậy như Internet.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1.1: Mô hình VPN
1.2. Những lợi ích cơ bản của VPN mang lại:
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay
ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường
dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại
diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của
mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được
toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị
bởi ISP. Vì lúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng
cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu,
nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa
đều có thể dễ dàng kết nối tới Intranet của Công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền
dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo
mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng
các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an
toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN
mang lại mức độ bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường
Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối
Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truyền
dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi
có một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng
phí băng thông mạng.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh
doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện,
thiết bị. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao
và dễ dàng tương thích với sự phát triển trong tương lai.
Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng
đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém. Với giải pháp
mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng
truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là
chi phí cho các kênh thuê riêng đường dài, các mạng riêng cũng không quá lớn
và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh
truyền riêng cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền số liệu
công cộng).
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên
cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào
Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực
thi của Internet. Các đường Lease-Line bảo đảm băng thông được xác định
trong hợp đồng giữa nhà cung cấp và Công ty. Tuy nhiên không có một đảm
bảo về sự thực thi của Internet. Một sự quá tải lưu lượng và tắc nghẽn mạng có
thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN.
1.3. Những yêu cầu đối với Mạng riêng ảo:
Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầu
của VPN là gì? Tất cả sẽ được trình bày trong phần này.
Hầu hết các yêu cầu của VPN và của mạng riêng truyền thống là rất giống
nhau. Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau:
Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năng
tương thích, Khả năng quản trị.
1.3.1. Bảo mật:
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài
nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy
cập trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận
định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công
cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched
Telephone Networks - PSTNs) cho truyền thông. Thiết lập VPN mang lại cho các
Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của
nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải
được thực thi một cách chặt chẽ.
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách
như sau:
- Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu
lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ
về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn
cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển
địa chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên
cục bộ trong mạng. Và như vậy, kẻ tấn công không biết được đích của các
tài nguyên đó trong mạng Intranet.
- Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để
thiết lập định danh của người dùng và quyết định anh ta có được phép truy
cập tới các tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền,
kiểm toán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện.
Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi
người dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài
nguyên đã được cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động
của tất cả các người dùng mạng cũng được duy trì, cho phép người quản trị
mạng ghi lại những hoạt động trái phép, bất thường.
- Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu
để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được
truyền qua mạng không tin cậy. Bảo mật giao thức Internet(Internet
Protocol Security - IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh
nhất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác
thực mỗi người dùng và từng gói dữ liệu riêng biệt.
- Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung
cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy,
cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng.
1.3.2. Tính sẵn sàng và tin cậy:
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng
(uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối
cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát
đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như
Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng
trung gian. Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà
cung cấp dịch vụ (ISP).
Thông thường, ISP đảm bảo tính sẵn sàng trong một bản "hợp đồng mức
dịch vụ" (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa
ISP và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy
cập mạng. Một số ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức
muốn đảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển
mạch xương sống có khả năng phục hồi cao. Đó là:
- Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường
thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo
hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu
tiên định tuyến khi được yêu cầu.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng
giải thông mạng.
- Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này
không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và
hệ thống làm lạnh Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN
và nó liên quan mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao
dịch trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ
liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác, tính
tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việc chuyển
mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo hoặc thiết
bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt với
người dùng cuối.
1.3.3. Chất lượng dịch vụ:
Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có
mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được
truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác.
Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất
khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm
bảo.
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng
cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng
và các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, quá
trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông.
Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn
để tránh hiện tượng chất lượng kém của giao dịch.
1.3.4. Khả năng quản trị:
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với
việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết
nối phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên
của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể
kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng
Intranet trung gian của nhà cung cấp dịch vụ.
Trong hoàn cảnh này, một đơn vị phải quản trị được tài nguyên cho đến cả
mạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị các thiết lập
mạng của họ. Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên ngoài
và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể loại trừ được ranh
giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ phần riêng và phần
công cộng của các phần cuối VPN.
Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như
trong mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng và có
quyền giám sát trạng thái thời gian thực, sự thực thi của VPN.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hơn nữa Công ty cũng có thể giám sát phần công cộng của VPN. Tương tự,
các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ.
Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn
bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng.
1.3.5. Khả năng tương thích:
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối
đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng
có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous
Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ
và giao thức cơ sở. Trong trường hợp mạng tương tác trung gian dựa trên IP,
VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương
thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích
hợp vào VPN.
1.4. Các mô hình kết nối VPN thông dụng:
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của
một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc
nào.
- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan
trọng đối với giao dịch thương mại của công ty.
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân
thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ
(Intranet VPN), VPN mở rộng (Extranet VPN).
1.4.1. VPN truy cập từ xa (Remote Access VPN):
Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN)
đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng
công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của
Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,
người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng
của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi
người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một
kết nối cố định tới Intranet của tổng công ty.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Mô hình này đáp ứng nhu cầu truy cập cho người dùng ở xa, những người
làm việc lưu động muốn kết nối vào hệ thống mạng nội bộ trong đơn vị của họ.
Dưới đây là mô hình remote-access:
Hình 1.2: Mô hình mạng Remote Access VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua
đó để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa
tương ứng được mô tả như trong hình 1.3.
Hình 1.3: Thiết lập VPN truy cập từ xa.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Ưu điểm:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng
Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động
ở tốc độ cao hơn so với các truy nhập khoảng cách xa
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì
chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Khuyết điểm:
- Không hỗ trợ các dịch vụ đảm bảo chất lượng dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách
đáng kể.
- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn
thì sẽ rất chậm
1.4.2. VPN cục bộ (Intranet VPN):
Cho phép các văn phòng chi nhánh liên kết một cách bảo mật đến trụ sở
chính của công ty. Áp dụng trong trường hợp công ty có một hoặc nhiều địa
điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây
dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêng thống
nhất.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính linh hoạt. Kiểu VPN này thường được cấu hình
như là một VPN Site-to-Site.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1.4: Mô hình mạng Intranet VPN
Những thuận lợi chính của Intranet VPN:
- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô
hình WAN backbone
- Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua
toàn cầu, các trạm ở một số remote site khác nhau.
- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung
cấp những kết nối mới ngang hàng.
- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.
Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được
chi phí của hoạt động Intranet.
Những bất lợi chính kết hợp với cách giải quyết:
- Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên
các tấn công mạng như DoS vẫn đe dọa nghiêm trọng đến an ninh mạng.
- Khả năng mất dữ liệu trong lúc truyền thông tin cũng vẫn rất cao.
- Đường truyền dữ liệu đầu trên như multimedia, độ trễ truyền tin vẫn rất
cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của
Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường
xuyên, và QoS cũng không được đảm bảo.
1.4.3. VPN mở rộng (Extranet VPN):
Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như
đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN Extranet (VPN
mở rộng) để kết nối LAN-to-LAN cho nhiều tổ chức khác nhau có thể làm việc
trên một môi trường chung.
Không giống như Intranet VPN và Remote Access VPN, Extranet VPN cho
phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch
thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp.
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1.5
dưới đây:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 1.5: Mô hình mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải
hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp
trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở
rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh
hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác
mộng đối với các nhà quản trị mạng.
Giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm
chi phí đáng kể:
Hình 1.6: Mô hình mạng Extranet dựa trên VPN.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Ưu điểm chính của Extranet:
- Chi phí rất nhỏ so với cách thức truyền thống.
- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân
phối và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
- Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên
hỗ trợ có thể giảm xuống.
- Dễ thực thi, duy trì và dễ thay đổi
Một số bất lợi của Extranet:
- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ (DoS)
vẫn còn tồn tại.
- Luôn phải đối mặt với nguy cơ bị xâm nhập đối vào tổ chức trên
Extranet.
- Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với
các ứng dụng Multimedia.
- Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo
đảm.
1.5. Các công nghệ và giao thức dùng để tạo nên kết nối VPN:
Có một số công nghệ chính như PPTP, L2TP, SSL, GRE và IPSEC. Các giao thức
này được xem như là những giải pháp cho mạng VPN.
Chúng ta sẽ cùng nhau tìm hiểu cụ thể các giao thức trên trong chương 2!

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 2: CÁC GIAO THỨC & KỸ THUẬT ĐƯỜNG
HẦM DÙNG TRONG VPN
2.1. Kỹ thuật đường hầm (Tunneling) trong VPN:
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng
riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào
trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ
thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến
các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy
khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol). Giao
thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai
điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi
vào và đi ra trong mạng.
2.1.1. Kỹ thuật Tunneling trong mạng VPN Remote Access:
Trong loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP
(Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền
tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy
cập từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ
thuộc vào PPP.
2.1.2. Kỹ thuật Tunneling trong mạng VPN Site-to-Site:
Với VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger
Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm
thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy
chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi
lại đóng vai trò là giao thức mã hóa.
2.2. Giao Thức đường hầm tại Layer 2 trong VPN:
Các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mật các giao
dịch qua VPN. Một số giao thức đường hầm được thực hiện tại Layer 2 - tầng
Data Link - của mô hình OSI, được mô tả trong hình 2.1
Các giao thức này bao gồm: Giao thức đường hầm điểm - điểm (PPTP), Giao
thức chuyển tiếp lớp 2 (L2F), Giao thức đường hầm lớp 2 (L2TP).

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.1 Vị trí các giao thức đường hầm Layer 2 trong mô hình OSI.
2.2.1. Giao thức PPTP (Point-to-Point Tunneling Protocol):
PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP
không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên
TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng.
Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thành công
của PPTP trong việc bảo mật các kết nối đường dài là:
- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN):
PPTP cho phép sử dụng PSTN (Public Switched Telephone Network) để thực
thi VPN. Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng
chi phí thực thi giảm một cách đáng kể. Lý do này hoàn toàn dễ hiểu – vì
những yếu tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa
trên đường Leased Line và các Server truyền thông chuyên dụng hoàn toàn
bị loại bỏ.
- Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng
dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX,
NetBEUI, và NetBIOS. Vì vậy, PPTP đã chứng tỏ là thành công trong việc
triển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng.
PPP đóng vai trò chính trong các giao dịch dựa trên PPTP.
2.2.1.1. Vai trò của PPP trong các giao dịch PPTP:
PPTP là một sự mở rộng logic của PPP, PPTP không thay đổi dưới công nghệ
PPP, nó chỉ định nghĩa một cách vận chuyển lưu lượng PPP mới qua các mạng
công cộng không an toàn.
Khá giống PPP, PPTP không hỗ trợ nhiều kết nối. Tất cả các kết nối được hỗ
trợ bởi PPTP phải là kết nối điểm - điểm.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.2: Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP.
Ngoài ra, PPP đáp ứng các chức năng sau trong giao dịch dựa trên PPTP:
- Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thông cuối.
- Xác thực các Client PPTP.
- Mã hoá các gói dữ liệu IPX, NetBEUI, NetBIOS, và TCP/IP để tạo các gói
PPP và bảo mật việc trao đổi dữ liệu giữa các nhóm liên quan.
2.2.1.2. Các thành phần của giao dịch PPTP:
Bất kỳ một giao dịch dựa trên PPTP nào cũng gồm ít nhất 3 thành phần, các
thành phần này bao gồm:
- PPTP Client:
Một PPTP Client là một Node mạng hỗ trợ PPTP và có yêu cầu đến Node
khác cho một phiên VPN. Nếu kết nối được yêu cầu từ một Server từ xa,
PPTP Client phải sử dụng các dịch vụ trên NAS của ISP. Vì thế, PPTP Client
phải được kết nối tới một Modem, cái thường được dùng để thiết lập một
kết nối quay số PPP tới ISP.
Hình 2.3: Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có
thể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa. Liên kết đến
thiết bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết
lập một đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung
gian khác.
Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên
VPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP. Cả Client
và Server đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một
kết nối tới NAS của nhà cung cấp là không cần thiết. Client trong trường hợp
này chỉ cần yêu cầu một phiên quay số đến thiết bị VPN trên Server. Như
vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu
cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau. Các
gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý gắn kèm với card
mạng của PPTP Client. Gói PPTP đến Server từ xa được định tuyến qua một
thiết bị vật lý gắn với một thiết bị truyền thông như một Router. Tất cả được
minh họa như trong hình 2.4.
Hình 2.4: Truyền các gói PPTP đến Node đích.
- Một Server truy cập mạng (Network Access Server - NAS):
Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới các
Client đang sử dụng đường quay số PPP. Xác suất nhiều Client cùng đồng
thời yêu cầu một phiên VPN là rất cao.
Các Server này phải có khả năng hỗ trợ các Client này. Ngoài ra, các PPTP
Client không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
NAS PPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy
Unix. Tuy nhiên, điều quan trọng là các Client này hỗ trợ kết nối PPTP tới
NAS.
- Một Server PPTP:
Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năng bảo
quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ. Để phản hồi
các yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến.
Một RAS và hệ điều hành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0
có khả năng hoạt động như một Server PPTP.
2.2.1.3. Các tiến trình PPTP:
Bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện
không an toàn. Ba tiến trình đó là:
Thiết lập kết nối dựa trên PPP. Kiểm soát kết nối. Tạo đường hầm PPTP và
truyền dữ liệu.
- Kiểm soát kết nối PPTP:
Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client và
Server, quá trình kiểm soát kết nối PPTP bắt đầu. Như trong hình 2.7, Kiểm
soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và
Server. Nó sử dụng cổng TCP phân phối động và cổng TCP giành riêng số
1723. Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát
và quản lý các thông điệp được trao đổi giữa các nhóm truyền thông. Các
thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP.
Các thông điệp này bao gồm cả chu kỳ giao dịch của các thông điệp "PPTP-
Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP
Server và Client.
Hình 2.5: Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Một số thông điệp thường dùng để kiểm soát PPTP được liệt kê sau đây:
Hình 2.6: Các thông điệp kiểm soát PPTP thông dụng
Các thông điệp kiểm soát PPTP sau đó được đóng vào trong các gói TCP. Vì
vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ xa, một
kết nối TCP được thiết lập. Kết nối này sau đó thường được dùng để trao đổi
các thông điệp kiểm soát PPTP.
Hình 2.7: Kiểm soát PPTP trong gói dữ liệu TCP.
2.2.1.4. Xử lý và định đường hầm dữ liệu PPTP:
Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói. Đó là các giai đoạn
sau:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong
một Frame PPP. Một tiêu đề PPP được thêm vào Frame.
Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một
sự đóng gói định tuyến chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một
trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường
ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ
dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc
gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP.
Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung
PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của
PPTP client nguồn và PPTP Server đích.
Bao gói Layer 2: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm
tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy
luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương
tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh
dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP
cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo
công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải
qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một
lần.
Hình 2.8: Mô tả tiến trình xử lý dữ liệu PPTP đường hầm.
Chú ý: GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệu dựa
trên IP. GRE thường được dùng bởi các ISP để chuyển tiếp thông tin định tuyến
trong Intranet của họ. Tuy nhiên, các Router backbone thuộc Internet của ISP
sẽ lọc lưu lượng dựa trên GRE này. Vì vậy các đường hầm đã được thiết lập có
thể mang dữ liệu một cách an toàn và bí mật tới người nhận.
Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận
phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP.
Như ta thấy trong hình 2.9, để lấy lại dữ liệu gốc thì Node PPTP của người nhận
phải thực hiện các bước sau:
- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được
thêm vào bởi người gửi.
- Tiếp đó, loại bỏ tiêu đề GRE.
- Tiêu đề IP được xử lý và loại bỏ.
- Tiêu đề PPP được xử lý và loại bỏ.
- Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu).
Hình 2.9: Quá trình xử lý gói dữ liệu để nhận được gói dữ liệu gốc
2.2.1.5. Bảo mật PPTP:
PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP Server và
Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực,
kiểm soát truy cập và lọc gói tin.
Hơn nữa các cơ chế bảo mật được đề cập ở trên, PPTP có thể được dùng chung
với Firewall và Router.
- Mã hoá và nén dữ liệu PPTP:
PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu. Thay vào đó,
nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí
mật.
- Xác thực dữ liệu PPTP:
PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:
a. Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP):
MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực
dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP
khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP
dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES.
Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó
không được hỗ trợ bởi các nền khác.
b. Giao thức xác thực mật khẩu(PAP):
Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng
nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP. Tuy nhiên
nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và
như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các
tấn công lỗi. Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ
được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua
được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai
nữa!. Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp
nhất và không phải là cơ chế xác thực được ưa thích trong VPN.
- Kiểm soát truy cập PPTP:
Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nó
đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao.
Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát
truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP.
Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận và
định tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công. Kết
quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới
mạng từ xa đã xác định. Trong cách này, PPTP không chỉ cung cấp các cơ
chế xác thực, kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an
toàn của mạng.
- PPTP với Firewall và Router:
Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47. Tuy
nhiên, khi PPTP dùng chung với Firewall và Router, lưu lượng đã được dự
tính cho các cổng này được định tuyến qua Firewall hoặc Router, chúng lọc
lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) và các chính sách
bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa ra.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.1.6. Các tính năng của PPTP:
- Tính sẵn có:
PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong
Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng.
Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng
cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh
của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics.
PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các
Switch truy cập từ xa. Một nhà quản trị mạng Window NT có thể thử nghiệm
một VPN ngay lập tức mà không cần tốn thêm một chi phí nào.
- Dễ thi hành:
Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao
thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ.
Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử
dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ
sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói
tin PPP theo khuôn dạng PPTP.
- Tạo đường hầm đa giao thức:
Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ
cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo
đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép.
- Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ:
Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy
chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP
của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP
của tổ chức đó.
Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ
được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng)
trên hệ thống mạng riêng. Cơ quan thẩm quyền Internet Assigned Numbers
(IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng
riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập
Internet hay các truy cập qua Router. Nếu một công ty có sử dụng một tập các
địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập
kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng
nội bộ của công ty. Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố
gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ
phải mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có
thể tạo ra lỗ hỗng. Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể
vào mạng cục bộ.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
2.2.2. Giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding):
Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS-
CHAP không thật sự an toàn. Vấn đề này làm cho các tổ chức công nghiệp và
các chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liền
mạch cho nhiều dịch vụ quay số ảo và nhiều giao thức.
Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu các giải
pháp theo hướng:
- Có khả năng bảo mật các giao dịch.
- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng
trung gian khác.
- Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame
Relay.
Hình 2.10: Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng
Sau thời gian dài tìm kiếm, Cisco hiện tại đang mở rộng nghiên cứu L2F. Ngoài
việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận lợi khác
trong công nghệ truy cập từ xa. Các đường hầm L2F có thể hỗ trợ nhiều phiên
đồng thời trong cùng một đường hầm. Theo cách nói đơn giản hơn là nhiều
người dùng từ xa có thể cùng truy cập vào mạng cục bộ riêng qua một kết nối
quay số đơn. L2F đạt được điều này bằng cách định nghĩa nhiều kết nối trong
một đường hầm nơi mỗi kết nối mô tả một dòng PPP đơn. Hơn nữa, các dòng
này có thể bắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều người dùng.
Vì một đường hầm có thể hỗ trợ nhiều kết nối đồng thời, một vài kết nối được
yêu cầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway của mạng riêng.
Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng.
2.2.2.1. Tiến trình L2F:
Khi một Client quay số từ xa khởi tạo một kết nối tới Host cục bộ trong một
Intranet riêng.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.11: Thiết lập một đường hầm L2F giữa người dùng từ xa và Server.
Các tiến trình sau được thực hiện tuần tự:
1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ. Nếu một người
dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN
hoặc liên kết để kết nối tới ISP. Nếu người dùng không phải là một phần của
bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN.
2. Nếu NAS đặt tại POP của ISP chấp nhận yêu cầu kết nối, kết nối PPP
được thiết lập giữa NAS và người dùng.
3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được
sử dụng cho chức năng này.
4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì một
đường hầm sẽ được khởi tạo.
5. Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa công
duy nhất được phân phối tới các kết nối. Một thông điệp thông báo cũng
được gửi tới các Gateway của máy chủ mạng. Thông điệp này thông báo
cho Gateway về yêu cầu kết nối từ một người dùng ở xa.
6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này. Nếu yêu cầu
bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số bị kết thúc.
Trong trường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo
khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin
xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao
diện ảo được thiết lập giữa 2 đầu cuối.
2.2.2.2. Đường hầm L2F:
Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận,
một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được
thiết lập, như trong hình 2.12.
Hình 2.12: Quá trình định đường hầm dữ liệu dựa trên L2F
Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong. Các Frame tầng 2 có
thể được trao đổi qua đường hầm như sau:
1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại
ISP.
2. POP cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm
vào tiêu đề L2F và đánh dấu frame. Sau khi frame được đóng gói mới thì
được chuyển tiếp tới mạng đích qua đường hầm.
3. Máy chủ Gateway mạng chấp nhận các gói đường hầm này, cắt bỏ tiêu
đề L2F, đánh dấu và chuyển tiếp các frame tới Node đích trong mạng
Intranet.
Node đích xử lý các frame nhận được như là các gói không qua đường hầm.
Chú ý: Đường hầm L2F được xem như là một "Giao diện ảo".
Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược
lại. Đó là, host gửi một frame tầng liên kết dữ liệu thông thường tới Gateway,
Gateway này sẽ đóng gói frame vào trong một gói L2F (như trong hình 2.13) và
chuyển tiếp nó tới NAS đặt tại Site của ISP. NAS cắt bỏ thông tin L2F từ các
frame và thêm vào thông tin tầng liên kết dữ liệu thích hợp với nó.
Frame sau đó được chuyển tiếp tới người dùng từ xa.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.13: định dạng gói L2F
2.2.2.3. Bảo mật L2F:
L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực.
1. Mã hoá dữ liệu L2F
L2F sử dụng MPPE cho các chức năng mã hoá cơ bản. Tuy nhiên nó không
an toàn với các kỹ thuật Hacking tiên tiến ngày nay. Và nó cũng phải sử
dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật.
IPSec sử dụng hai giao thức cho chức năng mã hoá: đóng gói tải bảo
mật(ESP) và xác thực tiêu đề (AH). Thêm vào đó, để làm tăng tính bảo mật
của khoá trong pha trao đổi khoá, IPSec cũng sử dụng một giao thức bên
thứ ba đó là trao đổi khoá Internet(IKE).
2. Xác thực dữ liệu L2F
Xác thực L2F được hoàn thành tại hai mức. Mức thứ nhất của xác thực dựa
trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số tới POP
của ISP. Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi
người dùng được xác thực thành công. Mức thứ hai của xác thực được thực
hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm
giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa.
Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP
cho xác thực. Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi
một Gateway L2F nhận một yêu cầu kết nối. L2F cũng sử dụng lược đồ xác
thực như sau để nâng cao tính bảo mật dữ liệu:
- Giao thức xác thực có thăm dò trước(CHAP).
- Giao thực xác thực mở rộng (EAP).
2.2.2.4. Các ưu và nhược điểm của L2F
Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ
chọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở
mức thấp, nó cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt
hơn PPTP.
Những ưu điểm chính của việc thực thi một giải pháp L2F bao gồm:
- Nâng cao tính bảo mật của các phiên giao dịch.
- Độc lập với nền.
- Không cần phải đàm phán với ISP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và Frame
Relay.
Ngoài những ưu điểm trên, nó cũng có một số nhược điểm:
- Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP
không hỗ trợ L2F thì không thể thực hiện được giải pháp này.
- L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy
thì các gói dữ liệu có thể bị xoá tuỳ tiện. Điều này là nguyên nhân của việc
phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền.
- Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm
dựa trên L2F là chậm khi so sánh với PPTP.
Cùng với sự phát triển của L2F, có hai công nghệ đường hầm: L2F và PPTP cạnh
tranh nhau trên thị trường VPN. Hai giao thức này không tương thích nhau. Kết
quả là, các tổ chức đã gặp khó khăn vì yêu cầu của mỗi nơi một khác. IETF
quyết định kết thúc sự rắc rối này bằng cách kết hợp cả hai công nghệ thành
một giao thức và được dùng như một chuẩn trong giải pháp VPN. L2TP là kết
quả của sự kết hợp này.
2.2.3. Giao thức đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol):
Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các
đặc trưng của L2F và PPTP. Đó là những lợi ích sau:
- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP.
Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy
cập thông thường.
- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình
điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như
người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc
biệt.
- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy
cập một mạng từ xa qua một mạng công cộng.
- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì
vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay
quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có
thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm
cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức
đường hầm trước.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà
không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế,
đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích). Như trong
hình 2.15. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa
hoặc Gateway của ISP.
Hình 2.14: Đường hầm L2TP.
Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như
các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ
liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường
hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có
cùng cấu trúc gói.
2.2.3.1. Thành phần của L2TP
Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy
cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng
L2TP (LNS).
1. Server truy cập mạng (NAS)
Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới
những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết
nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP
sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật
hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và
hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có
thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều
loại Client (Sản phẩm của Microsoft, Unix, Linux,…).
2. Bộ tập trung truy cập L2TP (LAC)
Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường
hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của
mạng chủ sau cùng. Trong khía cạnh này, LAC server như là điểm kết thúc
của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP
nhằm cung cấp kết nối vật lý cho người truy cập từ xa.
3. Server mạng L2TP (LNS)
LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung
tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc.
Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó
thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS
chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo.
2.2.3.2. Các tiến trình L2TP
Hình 2.15: Mô tả quá trình thiết lập đường hầm L2TP
Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng Internet
hoặc mạng công cộng, tuần tự các bước như sau:
1. Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và
đồng thời khởi tạo một kết nối PPP với ISP sau cùng.
2. NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử
dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho
chức năng này.
3. NAS sau đó khởi động LAC, nơi chứa thông tin về LNS của mạng đích.
4. Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian
giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay
hoặc IP/UDP.
5. Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định
danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS,

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng
từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả
tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC.
6. LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực
người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp
nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự
trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo.
7. Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm.
2.2.3.3. Dữ liệu đường hầm L2TP
Hình 2.16: Quá trình xử lý định đường hầm dữ liệu L2TP
Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức
đóng gói. Các giai đoạn này được minh hoạ trong hình 2.16, bao gồm:
- Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ
liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào
gói dữ liệu gốc được tải.
- Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong
một gói PPP, một tiêu đề L2TP được thêm vào.
- Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói
lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được
thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được
thiết lập là 1701.
- Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được
đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật
IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được
gắn vào để mã hoá và đóng gói dữ liệu.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối
cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ
IP của LNS và người dùng từ xa.
- Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu
cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng.
Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node
đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN.
Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP
và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP.
Hình 2.17: Tiến trình mở gói dữ liệu đường hầm L2TP
Tiến trình mở gói dữ liệu đường hầm là ngược lại của thủ tục tạo đường hầm.
Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận một gói dữ liệu
đường hầm L2TP, trước tiên nó loại bỏ tiêu đề tầng liên kết dữ liệu và đánh dấu,
tiếp đó gói dữ liệu được loại bỏ tiêu đề IP, gói dữ liệu sau đó được xác thực bằng
việc dùng thông tin được mang trong tiêu đề ESP IPSec và đánh dấu AH, tiêu đề
ESP IPSec cũng được dùng để giải mã thông tin. Tiếp theo tiêu đề UDP được xử
lý và loại bỏ. Định danh đường hầm và CID trong tiêu đề L2TP phục vụ để định
danh đường hầm L2TP và phiên làm việc. Cuối cùng, tiêu đề PPP được xử lý và
loại bỏ, gói tải PPP được chuyển tiếp tới thiết bị giao thức thích hợp để xử lý.
Hình 2.17 mô tả các tiến trình này.
2.2.3.4. Mô hình đường hầm L2TP:
1. Đường hầm L2TP kiểu bắt buộc:
Một đường hầm L2TP bắt buộc, như ta thấy trong hình 2.18 được thiết lập giữa
LAC của ISP sau cùng và LNS của mạng chủ. Điều quan trọng để thiết lập thành
công một đường hầm như vậy là ISP có khả năng hỗ trợ công nghệ L2TP. Hơn
nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực
thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có
vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được
yêu cầu tại người dùng cuối L2TP.
Hình 2.19 Đường hầm L2TP bắt buộc
Việc tạo lập đường hầm L2TP được cân nhắc một tuỳ chọn tốt hơn từ quan điểm
của bảo mật vì kết nối đường quay số tại người dùng cuối được dùng để thiết lập
kết nối PPP với ISP. Kết quả là, người dùng không thể truy cập ngoại trừ qua
Gateway trong Intranet. Nó cho phép người quản trị mạng thực thi các cơ chế
bảo mật nghiêm ngặt, kiểm soát truy cập và các chiến lược kiểm toán.
Hình 2.19: Thiết lập một đường hầm L2TP bắt buộc
Các bước thiết lập đường hầm bắt buộc được mô tả như trong hình 2.19 và bao
gồm:
1) Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP.
2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết
được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người
dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ
đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của
đường hầm L2TP.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3) Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và
người dùng từ xa.
4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng.
5) Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo
đường hầm L2TP.
6) LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc.
7) Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người
dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame
và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet.
2. Đường hầm L2TP kiểu tự nguyện
Một đường hầm tự nguyện L2TP như trong hình 2.20 được thiết lập giữa người
dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người
dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập
đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với
người dùng cuối. Điều này có thể làm cho bạn nhớ về đường hầm dựa trên PPP
trong Intranet của ISP là trong suốt.
Hình 2.20: Đường hầm L2TP tự nguyện.
Ưu điểm lớn nhất của đường hầm L2TP tự nguyện là nó cho phép người dùng từ
xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên để sử
dụng những ưu điểm này, người dùng từ xa phải gắn vào nhiều địa chỉ IP. Một
trong nhiều IP này được dùng cho kết nối PPP tới ISP và thường được dùng để
hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Tuy nhiên ưu điểm này cũng có thể
là một bất lợi đối với client từ xa, vì mạng chủ có thể dễ dàng bị tấn công.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.21: Quá trình thiết lập đường hầm L2TP tự nguyện
Việc thiết lập một đường hầm loại này là đơn giản hơn thiết lập đường hầm bắt
buộc vì người dùng từ xa tận dụng một kết nối PPP đã được thiết lập trước tới
ISP sau cùng. Các bước thiết lập đường hầm bao gồm:
1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu
đường hầm tới LNS.
2) Nếu yêu cầu đường hầm được chấp nhận bởi LNS, LAC tạo đường hầm
cho các Frame PPP trên L2TP xác định và chuyển tiếp các frame này qua
đường hầm.
3) LNS nhận được Frame đã qua đường hầm, loại bỏ thông tin đường hầm và
xử lý Frame.
4) Cuối cùng, LNS xác thực định danh người dùng và nếu người dùng được
xác thực thành công, thì chuyển tiếp Frame tới Node đích trong Intranet.
Tiến trình thiết lập đường hầm L2TP tự nguyện được minh hoạ trong hình
2.22 Việc sử dụng L2TP trong VPN yêu cầu chi phí thấp tuy nhiên bên cạnh
đó còn nhiều vấn đề về bảo mật vẫn chưa đáp ứng được.
2.2.3.5. Kiểm soát kết nối L2TP:
Chúng ta nhớ lại, PPTP sử dụng các kết nối TCP riêng cho việc duy trì đường
hầm. Trường hợp khác, kiểm soát kết nối L2TP và các Frame quản trị được dựa
trên UDP. Định dạng của thông điệp kiểm soát L2TP được mô tả như trong hình
2.22.
Hình 2.22 Định dạng thông điệp kiểm soát L2TP

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Gói dữ liệu UDP, trên thông điệp kiểm soát L2TP là cơ sở, là khả năng kết nối.
Điều này hàm ý rằng chúng có thể được phát ra ngoài trình tự và không được
chấp nhận bởi người nhận ở phía bên kia. Vì lý do này, L2TP vận dụng kỹ thuật
sắp tuần tự thông điệp. Kỹ thuật này đảm bảo rằng các thông điệp được phân
phát tới những người dùng cuối đúng trình tự. Hai trường dữ liệu quan trọng:
Next-Receiver và Next-Sent được sử dụng trong thông điệp kiểm soát L2TP để
chắc chắn rằng các gói dữ liệu được phát tới người dùng hợp lệ.
2.2.3.6 Bảo mật L2TP:
L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác
thực bao gồm:
- PAP và SPAP.
- EAP.
- CHAP.
Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực
các gói dữ liệu riêng. Mặc dù điều này làm giảm đáng kể tốc độ giao dịch. Dùng
IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi
được dữ liệu và đường hầm của bạn.
2.2.3.7 Những ưu và nhược điểm của L2TP:
Những thuận lợi chính của L2TP được liệt kê như sau:
- L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với Platform,
nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch qua
liên kết WAN Non-IP mà không cần một IP.
- Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa. Vì
vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng.
- L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP.
- L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏ
một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch L2TP
nhanh hơn các giao dịch dựa trên L2F.
- L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng
từ xa qua một mạng công cộng.
- L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên
IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói
của IPSec.
Tuy nhiên nó cũng có một số nhược điểm. Đó là:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin
nhận được.
Bảng sau đưa ra một sự so sánh giữa 3 giao thức đường hầm truy cập từ xa nổi
bật, L2F, PPTP, L2TP:
Hình 2.23: Tổng hợp so sánh 3 giao thức VPN được tích hợp với tầng 2
Chúng ta đã tìm hiểu về các giao thức được hầm tại tầng 2 của mô hình OSI. Các
giao thức này là PPTP, L2F, L2TP. Chúng ta cũng tìm hiểu chi tiết về cách thức làm
việc của các giao thức, bao gồm cả các thành phần, các tiến trình và việc duy trì
kiểm soát kết nối được áp dụng cho mỗi giao thức. Chúng ta đã xem xét các tiến
trình thiết lập một đường hầm của mỗi giao thức cũng như việc xử lý dữ liệu đường
hầm và quy tắc của nó trong việc bảo mật dữ liệu. Chúng ta cũng đã xem xét khía
cạnh bảo mật của mỗi giao thức, bao gồm cả các cơ chế mã hóa và xác thực khác
nhau được sử dụng bởi mỗi giao thức để bảo đảm an toàn cho dữ liệu trong khi
truyền qua đường hầm. Cuối cùng, chúng ta xem xét những ưu nhược điểm của mỗi
giao thức.
2.3. Giao Thức đường hầm tại Layer 3 trong VPN:
Với đặc tính quản lý khóa, bảo mật và xác thực mạnh của IPSec, nó nổi bật lên
như một chuẩn mạng riêng ảo thực tế hoạt động tại tầng 3 của mô hình OSI.
Trong thực tế, phần lớn giải pháp mạng riêng ảo ngày nay thường dựa trên
IPSec. Vì vậy, IPSec là gì? Làm thế nào để nó đảm bảo an toàn cho các giao dịch
trong khi truyền dữ liệu? Tại sao nó lại trở nên thông dụng? Chúng ta sẽ lần lượt
trả lời các câu hỏi này.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Đúng như tên gọi, giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức
IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và
bảo mật nội dung thông tin.
Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ
của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF
phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một
khung bảo mật tại lớp 3(Lớp mạng) của mô hình OSI, như trong hình 2.24:
Hình 2.24: Vị trí của IPSec trong mô hình OSI
2.3.1. Kiến trúc an toàn IP (IPSec):
Trong phần này chúng ta sẽ xem xét khái quát về kiến trúc an toàn cho giao
thức Internet(IPSec) - một công nghệ mà phần lớn các giải pháp mạng riêng ảo
đều dựa vào nó.
2.3.1.1. Giới thiệu chung và các chuẩn:
Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6.
Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao vận
và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi
gì cả.
Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay
TLS. Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng
dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các
hỗ trợ bảo mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung
cho phép các ứng dụng ở tầng trên truy nhập vào các module bảo mật ở tầng
dưới), các ứng dụng ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải
quyết được yêu cầu này bằng cách chuyển vấn đề bảo mật xuống tầng 3. Điều
này cho phép các ứng dụng duy trì được tính không phụ thuộc vào hạ tầng bảo
mật của các tầng dưới. Các gói IP sẽ được bảo vệ mà không phụ thuộc vào các
ứng dụng đã sinh ra chúng. Nói một cách khác, các ứng dụng không cần biết tới
vấn đề bảo mật trên nền IP. Các quy tắc bảo mật được định nghĩa thống nhất
giữa các nhà quản trị mà không phụ thuộc vào một ứng dụng nào được chạy
trên hệ thống và IPSec là trong suốt đối với các ứng dụng. Điều này đem lại
những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo mật và kể cả mã hoá
dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec cung cấp khả năng
bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy tính.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng sau:
- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại.
- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an
toàn.
- Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật.
- Cung cấp khả năng xác thực dựa trên chứng chỉ số.
- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá.
- Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa
như L2TP, PPTP.
IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi
và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị
khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã
hoá, trao đổi khoá bảo mật vv… khi chuyển tiếp dữ liệu. Đối với khách hàng, điều
này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà
không đòi hỏi sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi
giải pháp VPN ứng dụng giao thức IPSec là "Desktop VPN" vì toàn bộ chức năng
bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng
không cần quan tâm đến các công tác bảo đảm an toàn. Khi sử dụng các thuật
toán xác thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi
ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo
vệ luồng dữ liệu truyền trên mạng.
Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực
tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo tính
toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác
thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng
nhưng kèm thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai
giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể
nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong các thuật toán đang
hiện hành.
Hình 2.25: Kiến trúc bộ giao thức IPSec.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:
- Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ
chế mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay
đổi nào không bị phát giác trước đó về nội dung của gói dữ liệu bởi người
nhận không mong muốn. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự
giả mạo, do thám hoặc tấn công dịch vụ.
- Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật
mật mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu
trong khi nó đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm
để dấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm.
- Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet
(IKE) để thương lượng giao thức bảo mật và thuật toán mã hóa trước và
trong một phiên làm việc. Quan trọng hơn, IPSec phân phối, kiểm soát khoá
và cập nhật các khoá này khi được yêu cầu.
Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy
được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức
này bao gồm AH và ESP.
Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được
chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó.
2.3.1.2. Liên kết bảo mật IPSec (SA-IPSec):
Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Như một lời trích
dẫn của các nhà phát triển IPSec: Một SA là một kết nối logic theo hướng duy
nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy
nhất bởi ba phần sau:
<Security Parameter Index, IP Destination Address, Security Protocol>
Một IPSec SA được xác định là:
- Các thuật toán, khoá, các giao thức xác thực.
- Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức
AH hoặc ESP của IPSec thích hợp.
- Các thuật toán mã hoá, giải mã và các khoá.
- Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của
khoá.
- Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian
sống.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Sau đây ta sẽ lần lượt xem xét ba phần của một SA:
Hình 2.26: Mô tả ba trường của một IPSec SA.
Một SA gồm 3 trường:
- SPI(Security Parameter Index): Là một trường 32bit, nó định danh giao
thức bảo mật, được xác định bởi trường giao thức bảo mật(Security
Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần
trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống
đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định
nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị
0 được dùng cho mục đích thực thi đặc biệt cục bộ.
- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là một
địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được
định nghĩa chỉ với các địa chỉ unicast.
- Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có
thể là AH hoặc ESP.
Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec,
chúng cần thống nhất các hướng dẫn cho phiên làm việc đó (ví dụ như cách xác
thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc
liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho
việc bảo mật dữ liệu giữa hai đầu cuối.
Một SA IPSec sử dụng hai cơ sở dữ liệu:
- Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ
bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra.
Rất giống với các luật và bộ lọc gói tin của Firewall. Các thực thể này định
nghĩa lưu lượng phải được xử lý và lưu lượng được bỏ qua trên các chuẩn
IPSec.
- Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi
SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống
của SA, chế độ giao thức và số tuần tự.
Liên kết bảo mật là đa hướng, có nghĩa là cần thiết lập các liên kết bảo mật khác
nhau cho luồng dữ liệu đi và đến. Thêm vào đó, nếu máy chủ liên lạc với một
hay nhiều máy chủ khác trong cùng một thời điểm thì cũng cần thiết lập từng đó
liên kết. Các liên kết bảo mật được lưu trữ trong cơ sở dữ liệu tại mỗi máy tính
với chỉ số về thông số bảo mật (SPI) cho mỗi phần tiêu đề AH và ESP tương ứng.
Phía nhận sẽ sử dụng các thông số này để quyết định sẽ áp dụng liên kết bảo
mật nào để xử lý gói tin vừa nhận được. Trên thực tế, thủ tục trao đổi khoá

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Internet (IKE) là thủ tục cho phép quản lý việc tạo ra các liên kết bảo mật và tạo
ra các khoá bảo mật để bảo vệ nội dung thông tin. IKE sử dụng thuật toán Diffie-
Hellman để tạo ra và quản lý các khoá bí mật, thiết lập kênh trao đổi khoá đối
xứng dùng cho việc mã hoá và giải mã thông tin giữa hai đầu, cuối.
2.3.1.3. Các giao thức của IPSec:
AH được định nghĩa bởi nhóm làm việc RFC 2402, đảm bảo tính toàn vẹn dữ liệu
trên đường truyền bằng khoá H (Hàm băm – Hashing function). AH thực hiện
phần thuật toán băm cả phần đầu và phần thân của gói tin IP nhưng không áp
dụng cho các thông tin sẽ thay đổi trên đường truyền như số đếm của mỗi nút
mạng, vì thế AH cho phép thay đổi thông tin địa chỉ và đảm bảo dữ liệu của gói
tin IP sẽ không bị nghe trộm. Điều này dẫn đến một chức năng nữa của AH là
khả năng chống lại việc giả mạo (đột nhập vào giữa đường truyền của các gói tin
và tạo ra các gói tin giả) khi sử dụng các số thứ tự tăng dần gắn vào mỗi gói tin.
Tuy nhiên, AH không cung cấp khả năng mã hoá dữ liệu.
ESP là một giao thức Internet được nhóm công tác RFC 2406 định nghĩa. Khi
được sử dụng riêng rẽ hoặc kết hợp với giao thức AH, ESP đảm bảo tính toàn
vẹn và chức năng mã hoá dữ liệu. Các thuật toán mã hoá do ESP hỗ trợ bao gồm
DES-CBC, DES 56 bit và 3DES. Ngoài ra ESP còn cho phép kiểm tra tính toàn vẹn
của gói tin thông qua HMAC MD5 và HMAC SHA.
1) Giao thức xác thực tiêu đề (AH):
Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP. Như tên gọi của nó,
tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối
cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói
dữ liệu bởi người dùng không mong muốn trong khi đang truyền, tuy nhiên
AH không đảm bảo tính tin cậy. Để tạo một AH, một giá trị mã thông điệp
cần xác thực qua hàm băm (HAMC) được tạo tại người gửi. Giá trị băm này
được tạo trên cơ sở của SA, cái xác định trình tự giao dịch sẽ được áp dụng
cho gói dữ liệu. Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc.
Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác
thực người gửi cũng như tính toàn vẹn của thông điệp.
AH không mang lại sự tin cậy trong một giao dịch. Nó chỉ thêm một tiêu đề
vào gói IP, phần còn lại của nội dung gói dữ liệu được để mặc. Hơn nữa, AH
không bảo vệ bất kỳ trường nào trong tiêu đề IP vì một trong số đó có thể
thay đổi trong quá trình truyền, chỉ các trường nào không thay đổi trong quá
trình truyền là được bảo vệ bởi AH. Địa chỉ IP nguồn và địa chỉ IP đích là
những trường như vậy và vì thế được bảo vệ bởi AH. Tóm lại, giao thức AH
có các đặc trưng cơ bản như sau:
- Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại.
- Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bí
mật.
- Nội dung các gói tin không được mã hoá.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Không sử dụng các trường changeable IP header để tính toán giá trị kiểm
tra tính toàn vẹn(IVC).
1.a. Khuôn dạng gói tin:
- Next Header: Trường này nhận biết giao thức bảo mật, có độ dài 8 bít để
xác định kiểu dữ liệu của phần Payload phía sau AH. Giá trị của trường này
được chọn từ các giá trị của IP Protocol number được định nghĩa bởi IANA
(Internet Assigned Numbers Authority).
- Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau tiêu
đề AH.
- Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị của
trường này bằng 0.
- SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an ninh
mạng cho phép nhận dạng một thiết lập an toàn duy nhất cho gói dữ liệu.
SPI thường được lựa chọn bởi phía thu.
- Sequence Number(SN): Trường gồm 32 bit không dấu đếm tăng dần để
sử dụng cho việc chống trùng lặp. Chống trùng lặp là một lựa chọn nhưng
trường này là bắt buộc đối với phía phát. Bộ đếm của phía phát và thu khởi
tạo 0 khi một liên kết an toàn (SA) được thiết lập, giá trị SN mỗi gói trong
một SA phải hoàn toàn khác nhau để tránh trùng lặp. Nếu số gói vượt quá
con số 232 thì một SA khác phải được thiết lập.
- Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra
tính toàn vẹn (ICV) cho gói tin, ICV được tính bằng thuật toán đã được chọn
khi thiết lập SA. Độ dài của trường này là số nguyên lần của 32 bit, chứa một
phần dữ liệu đệm để đảm bảo độ dài của AH là n*32 bit. Giao thức AH sử
dụng một hàm băm và băm toàn bộ gói tin trừ trường Authentication Data để
tính ICV.
2.a. Chế độ hoạt động:
AH có thể sử dụng ở hai chế độ: Chế độ truyền tải (Transport) và chế độ
đường hầm(Tunnel).
- Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp
trên cùng với một số trường trong IP Header. Trong chế độ này, AH được
chèn vào sau IP Header và trước một giao thức lớp trên như TCP hoặc UDP.
Chế độ Transport thường được sử dụng bởi các Host chứ không được sử
dụng bởi Gateway. Ưu điểm của chế độ này là đỡ tốn kém chi phí xử lý
nhưng nó có khuyết điểm là các trường có thể thay đổi không được xác thực.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.27: Gói tin IP trước và sau khi xử lý AH trong chế độ Transport.
- Chế độ Tunnel: Trong chế độ Tunnel, một gói tin IP khác được thiết lập
dựa trên các gói tin IP cũ. Header của gói IP cũ (bên trong) mang địa chỉ
nguồn và đích cuối cùng, còn Header của gói IP mới (bên ngoài) mang địa
chỉ để định tuyến trên Internet. Trong chế độ này, AH bảo vệ toàn bộ gói tin
bên trong bao gồm cả Header. Đối với gói tin IP bên ngoài thì vị trí của AH
như là trong chế độ transport.
Hình 2.28: Khuôn dạng gói tin AH trong chế độ Tunnel.
Ưu điểm của chế độ Tunnel là bảo vệ toàn bộ gói IP và các địa chỉ cá nhân
trong IP Header, tuy nhiên có nhược điểm là tốn chi phí hơn nhiều để xử
lý các gói tin.
3.a. Các thuật toán xác thực:
Các thuật toán xác thực để tính ICV được xác định bởi các liên kết bảo mật
(SA). Các thuật toán xác thực thích hợp là các thuật toán hàm băm một chiều
MD5 và SHA1 (Các thuật toán này bắt buộc một ứng dụng AH phải hỗ trợ).
MD5 là chữ viết tắt của Message Digest #5 do Ron Rivest thuộc RSA Security
Inc phát minh, tính giá trị Hash 128 bit từ một bản tin nhị phân có độ dài tuỳ
ý. SHA được phát triển bởi NIST và NSA, SHA-1 tính giá trị Hash 160 bit từ
một bản tin nhị phân có độ dài tuỳ ý. SHA-1 tương tự như MD5 nhưng an
toàn hơn do kích thước băm lớn hơn.
4.a. Xử lý gói đầu vào:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Quá trình xử lý gói đầu vào được thực hiện ngược với quá trình xử lý gói đầu
ra.
- Ghép mảnh: Nếu cần thiết, sẽ tiến hành ghép mảnh trước khi xử lý AH.
- Tìm kiếm SA: Khi đã nhận được một gói tin chứa AH Header, phía thu sẽ
xác định một SA phù hợp với địa chỉ IP đích, AH và SPI. Thông tin trong SA
sẽ cho biết có cần kiểm tra trường Sequence Number(SN) hay không, có cần
thêm trường Authentication Data hay không, các thuật toán và khoá để giải
mã ICV. Nếu không có SA nào phù hợp thì phía thu sẽ loại bỏ gói tin.
- Kiểm tra SN: Nếu bên thu không chọn dịch vụ chống lặp thì không cần
kiểm tra trường SN. Nếu phía thu có sử dụng dịch vụ chống lặp cho một SA
thì bộ đếm gói thu phải được khởi tạo = 0 khi thiết lập SA. Với mỗi gói tin
vào khi phía thu tiếp nhận, sẽ kiểm tra có chứa số SN không lặp lại của bất
kỳ gói nào trong thời gian tồn tại của SA đó. Nếu bị lặp, gói tin đó sẽ bị loại
bỏ.
5.a. Xử lý gói đầu ra:
- Tìm SA: AH được thực hiện trên một gói tin khi đã xác định gói tin đó được
liên kết với một SA, SA đó sẽ yêu cầu xử lý gói tin.
- Tạo SN: Bộ đếm phía phát khởi tạo giá trị 0 khi một SA được thiết lập. Khi
truyền một gói tin, bộ đếm sẽ tăng lên 1 và chèn giá trị này vào trường SN.
Nếu phía phát lựa chọn dịch vụ AntiReplay sẽ kiểm tra để đảm bảo không bị
lặp trước khi chèn một giá trị mới vào trường SN.
- Tính ICV: AH ICV được tính dựa trên các dữ liệu sau:
+ Các trường trong IP Header có giá trị không đổi hoặc có giá trị không dự
đoán được trong quá trình truyền tới điểm cuối.
+ Bản thân AH Header: Next Header, Payload, Length, Reserved, SPI, SN,
Authentication Data (được đặt bằng 0), và explicit padding (nếu có).
+ Dữ liệu của các giao thức lớp trên.
+ Các trường có giá trị thay đổi sẽ được coi bằng 0 trong phép tính ICV các
trường có giá trị thay đổi nhưng có thể dự đoán được thì sẽ giữ nguyên giá
trị.
- Padding: Có hai loại chèn padding là Authenticaiton Data và Implicit
Packet Padding (chèn dữ liệu ngầm định).
+ Authenticaiton Data Padding: Nếu đầu ra của thuật toán xác thực là 96 bit
thì không cần chèn thêm dữ liệu. Nhưng nếu ICV có kích thước khác thì phải
chèn thêm, nội dung của phần chèn thêm là tuỳ chọn và được đặt sau
Authentication Data.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
+ Implicit Packet Padding: Đối với một số thuật toán xác thực, chuỗi byte để
tính ICV phải là một số nguyên lần của khối n byte. Nếu độ dài gói IP không
thoả mãn điều kiện đó thì Implicit Packet Padding sẽ được thêm vào phía
cuối của gói. Các byte này bằng 0 và không được truyền đi cùng gói.
- Phân mảnh: Khi cần thiết, phân mảnh sẽ được thực hiện.
2) Giao thức đóng gói tải bảo mật (ESP):
Một số thuật toán được sử dụng bởi ESP bao gồm: DES-CBG, NULL, CAST-
128, IDEA và 3DES. Các thuật toán xác thực thường được dùng tương tự như
trong AH là HMAC-MD5 và HMAC-SHA.
Như đã so sánh với AH, AH mang lại tính xác thực và toàn vẹn dữ liệu đối với
gói dữ liệu IP. ESP không bảo vệ toàn bộ gói dữ liệu. Chỉ có payload được
bảo vệ, như trong hình 2.29. Tuy nhiên, ESP rất mạnh trong nhóm mã hoá.
Nó cũng không chiếm dụng nhiều CPU. Kết quả là nó nhanh hơn AH. Nhưng
24 byte mà nó thêm vào gói dữ liệu có thể làm chậm xuống việc phân đoạn
và tính toán thông lượng.
Hình 2.29: Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào.
1.a. Khuông dạng gói dữ liệu dựa trên ESP:
Khuôn dạng của gói ESP phức tạp hơn so với khuôn dạng của AH, nó không
chỉ gồm ESP header mà còn ESP trailer và ESP Authentication data. Dữ liệu
tải(Payload) được định vị giữa header và trailer.
Hình 2.30. Khuôn dạng ESP.
Các trường trong ESP đều là bắt buộc:
- SPI: Là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh,
ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1
đến 255 được dành riêng để sử dụng trong tương lai. Giá trị SPI = 0 để chỉ
ra chưa có SA nào tồn tại.
- SN: Giống như AH, trường SN chứa một giá trị đếm tăng dần để chống lặp
lại. Mỗi SA được lựa chọn thì giá trị của trường này bắt đầu là 0.
- Payload Data: Trường có độ dài biến đổi chứa dữ liệu mô tả trong Next
Header. Payload Data là trường bắt buộc, được mã hoá bởi các thuật toán

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
mã hoá, các thuật toán mã hoá này được lựa chọn ngay khi thiết lập SA.
Trường này có độ dài bằng một số nguyên lần 1 byte.
- Padding: Trường này được thêm vào để đoạn được mã hoá là một số
nguyên lần của một khối các byte. Ngoài ra trường còn dùng để che dấu độ
dài thực của Payload.
- Pad Length: Trường này xác định số byte padding đã thêm vào (0 đến
225).
- Next Header: Là trường 8 bit bắt buộc, nó chỉ ra kiểu dữ liệu trong
Payload Data. Ví dụ một giao thức bậc cao hơn như TCP. Giá trị của trường
được chọn trong chuẩn IP Protocol Number được đưa ra bởi IANA.
- Authentication Data: Trường có độ dài biến đổi chứa giá trị ICV được
tính cho gói ESP từ SPI đến Next Header. Authentication là trường không bắt
buộc, được thêm vào nếu dịch vụ Authentication được lựa chọn cho SA đang
xét. Các thuật toán để tính ICV là các thuật toán hàm băm một chiều MD5
hoặc SHA giống với AH.
2.a. Chế độ hoạt động:
Hình 2.31: Gói ESP trong chế độ Transport.
ESP cũng được sử dụng ở hai chế độ: Transport và Tunnel.
- Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp
trên nhưng không bảo vệ IP Header. Các gói tin IP cũ được cắt phần tiêu đề
ra, sau đó tiêu đề ESP được đưa vào giữa. ESP trailer sẽ được đưa vào cuối
gói tin, cuối cùng là Authentication Data được đưa thêm vào. Chế độ
Transport không mã hoá cũng không xác thực IP Header, tuy nhiên nó có chi
phí xử lý thấp, chỉ được dùng cho các Host.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.32: Gói ESP trong chế độ Tunnel.
- Chế độ Tunnel: Trong chế độ này, gói IP mới được xây dựng cùng với một
IP Header mới. Các IP Header bên trong mang địa chỉ nguồn và đích cuối
cùng, còn IP Header bên ngoài mang địa chỉ định tuyến qua Internet. Ở chế
độ này, ESP sẽ bảo vệ cả gói tin IP ban đầu bao gồm: Payload và IP header.
Đối với gói IP bên ngoài thì vị trí của ESP giống như trong chế độ Transport.
3.a. Các thuật toán sử dụng trong ESP:
Các thuật toán bắt buộc bao gồm:
- Các thuật toán mật mã: DES ở chế độ CBC, AES, NULL. Thuật toán mã
hoá được xác định bởi SA. ESP làm việc với các thuật toán mã hoá đối xứng.
Với sự có mặt của trường Padding, các thuật toán mã hoá có thể có đặc tính
khối hoặc luồng.
- Các thuật toán xác thực: Mã xác thực bản tin MAC sử dụng MD5, mã xác
thực bản tin MAC sử dụng SHA, NULL (Không sử dụng mã xác thực).
4.a. Xử lý gói tin đầu ra:
Quá trình xử lý gói đầu ra bao gồm các bước sau:
- Tìm kiếm SA: Giống như AH, ESP được thực hiện trên một gói tin chỉ khi
nào bộ điều khiển IPSec đã xác định gói tin đó được liên kết với một SA.
- Mã hoá gói tin: Tuỳ thuộc vào chế độ Tunnel hay Transport mà ESP thực
hiện đóng gói toàn bộ gói tin hay chỉ đóng gói phần Payload. Thêm Padding
nếu cần thiết, mã hoá các trường Payload Data, Padding, PadLength, Next
Header theo các thuật toán đã được chỉ ra bởi SA. Nếu dịch vụ xác thực được
lựa chọn thì việc mã hoá được thực hiện trước, quá trình mã hoá không bao
gồm trường Authentication Data. Và quá trình xác thực được thực hiện sau.
Thứ tự xử lý này cho phép nhanh chóng xác định và loại bỏ các gói lỗi hoặc
lặp lại mà không cần phải giải mã gói tin, đồng thời cho phép phía thu xử lý
song song cả hai việc: giải mã và xác thực.
- Tạo SN: Quá trình này được thực hiện giống với AH.
- Tính ICV: Nếu dịch vụ xác thực được lựa chọn thì phía phát sẽ tính các giá
trị ICV trên gói dữ liệu ESP gồm các trường sau: SPI, SequenceNumber,

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Payload Data, Padding, PadLength và Next Header. Trong đó 4 trường cuối ở
dạng đã mã hoá. ICV được tính dựa vào các thuật toán xác thực dùng hàm
băm một chiều như MD5 và SHA-1.
- Phân mảnh: Nếu cần thiết thì phân mảnh sẽ được thực hiện sau khi đã xử
lý ESP.
5.a. Xử lý gói tin đầu vào:
Quá trình xử lý gói đầu vào gồm các bước ngược với quá trình xử lý gói tin
đầu ra.
- Ghép mảnh: Ghép mảnh được thực hiện trước khi xử lý ESP. Nếu một gói
tin cần xử lý ESP ở dạng phân mảnh thì phía thu phải loại bỏ gói tin đó.
- Tìm kiếm SA: Khi nhận được một gói tin chứa ESP Header, phía thu sẽ xác
định một SA phù hợp dựa trên địa chỉ đích, giao thức bảo mật và SPI. Nếu
không thể tìm thấy một SA nào phù hợp cho phiên truyền dẫn này thì phía
thu sẽ loại bỏ gói tin.
- Kiểm tra SN: Giống với kiểm tra SN trong AH.
- Kiểm tra ICV: Nếu dịch vụ xác thực được lựa chọn phía thu sẽ tính ICV
của gói ESP ngoại trừ trường Authentication Data rồi so sánh với ICV của gói
tin nhận được. Nếu hai giá trị ICV này trùng nhau thì gói tin là hợp lệ, nếu
không gói tin sẽ bị loại bỏ. Việc kiểm tra được tiến hành như sau: Trước tiên
trường Authentication Data được tách ra khỏi ESP và lưu lại, sau đó kiểm tra
độ dài gói ESP còn lại, nếu Padding đã được ngầm định thì các byte 0 được
thêm vào sau trường Next Header sau đó sẽ tính ICV và so sánh với giá trị
ICV được lưu trong trường Authentication Data.
- Giải mã gói tin: Đầu tiên là giải mã ESP bao gồm các trường Payload
Data, Padding, Padlength, NextHeader sử dụng khoá, thuật toán mật mã đã
xác định bởi SA. Sau đó xử lý phần Padding theo đặc điểm của thuật toán,
loại bỏ nó trước khi đưa lên các lớp trên. Cuối cùng là xây dựng lại gói tin IP
ban đầu tuỳ thuộc vào chế độ Transport hay Tunnel. Nếu là Transport, xây
dựng lại gói tin ban đầu từ IP Header và thông tin giao thức lớp trên trong
Payload của ESP. Nếu là Tunnel, xây dựng lại gói tin ban đầu từ IP Header
của gói bên ngoài và toàn bộ gói IP bên trong.
2.3.1.4. Các chế độ IPSec:
Các giao thức của IPSec có thể thực hiện các liên kết an toàn trong hai chế độ:
Transport và Tunnel. Như được mô tả trong hình 2.33, cả AH và ESP đều có thể
hoạt động cả trong hai chế độ.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.33: Hai chế độ IPSec.
1.a. Chế độ Transport:
Chế độ Transport bảo vệ các giao thức tầng trên và các ứng dụng. Trong chế độ
này, tiêu đề IPSec được chèn vào giữa tiêu đề IP và tiêu đề của giao thức tầng
trên như được minh họa trong hình 2.34.
Hình 2.34: IPSec – chế độ Transport.
Trong giao thức ESP, ESP trailer và dữ liệu xác thực ESP được thêm vào sau
phần dữ liệu gốc được tải. Tiêu đề mới được chèn vào trước phần dữ liệu được
tải.
Chế độ Transport được dùng bởi các host, không được dùng bởi các getway.
Các Getway thậm chí không yêu cầu hỗ trợ chế độ Transport.
Ưu điểm của chế độ Transport là xử lý ít Overhead, vì vậy nó nhanh hơn. Một
nhược điểm của nó là các trường hay thay đổi không được xác thực. ESP trong
chế độ Transport không cung cấp tính năng xác thực và mã hóa với các tiêu đề
IP. Đây là một nhược điểm vì các gói tin sai (tấn công giả mạo) có thể vẫn được
phân phối cho quá trình xử lý ESP. Một nhược điểm khác là địa chỉ gói IP gốc
phải được dùng để phân phối. Điều này có thể là một vấn đề nới địa chi IP riêng
được dùng, hoặc nơi cấu trúc địa chỉ mạng bên trong cần được dấu trong mạng
công cộng.
2.a. Chế độ Tunnel:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Không giống như chế độ Transport, chế độ Tunnel bảo vệ toàn bộ gói IP. Toàn
bộ gói IP được đóng gói vào trong một gói IP khác và tiêu đề IPSec được chèn
vào giữa tiêu đề IP gốc và tiêu đề IP mới. Trong chế độ này, khái niệm đường
hầm được áp dụng.
Với giao thức ESP thì gói dữ liệu gốc trở thành gói dữ liệu tải cho gói ESP mới và
kết quả là cả mã hóa cũng như xác thực được thực thi nếu được chọn. Tuy
nhiên, tiêu đề IP mới vẫn không được bảo vệ.
Hình 2.35: IPSec – chế độ Tunnel.
Chế độ Tunnel được sử dụng bởi các Getway. Như vậy, giữa 2 firewall chế độ
Tunnel luôn được dùng cho luồng thông tin đang lưu chuyển qua các firewall
giữa các mạng an toàn qua một đường hầm IPSec.
Mặc dù các Getway được hỗ trợ chỉ với chế độ Tunnel, thông thường chúng vẫn
có thể làm việc được trong chế độ Transport. Chế độ này được cho phép khi
Getway hoạt động như một Host, đó là trường hợp luồng thông tin được giành
riêng cho chính nó. Ví dụ: các lệnh SNMP, hoặc các yêu cầu báo lại ICMP.
Trong chế độ Tunnel các địa chỉ IP của tiêu đề ngoài không cần phải giống với
các địa chỉ của tiêu đề bên trong. Ví dụ, hai getway bảo mật có thể thực hiện
một đường hầm AH có xác thực tất cả các luồng thông tin giữa các mạng chúng
kết nối cùng nhau.
Ưu điểm của chế độ Tunnel là nó bảo vệ tất cả gói IP đã được đóng gói và khả
năng sử dụng các địa chỉ riêng. Tuy nhiên, có một quá trình xử lý Overhead
nhiều hơn bình thường gắn liền với chế độ này.
2.3.1.5. Sự kết hợp giữa các SA:
1.a. Kết hợp giữa AH và ESP trong chế độ Transport:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.36: Kết hợp AH và ESP trong chế độ Transport.
Gói IP ban đầu được tách Header ra, tiếp theo phần Payload được xử lý ESP sau
đó được xử lý bằng AH. Cuối cùng, IP Header được thêm vào. Như vậy gói tin
sẽ được đảm bảo an toàn 2 lớp: lớp bên ngoài là AH, lớp bên trong là ESP.
2.a. Kết hợp AH và ESP ở chế độ Tunnel:
Hình 2.37: Kết hợp AH và ESP trong chế độ Tunnel.
Ban đầu, gói tin IP được xử lý ESP ở chế độ Transport, tiếp theo đó toàn bộ gói
tin ESP được xử lý AH trong chế độ Tunnel.
2.3.1.6. Giao thức trao đổi khoá Internet:
1.a. Giới thiệu chung và các chuẩn:
Bản thân giao thức IPSec không có khả năng thiết lập SA. Do đó quá trình được
chia làm 2 phần: IPSec cung cấp xử lý ở mức gói và giao thức quản lý trao đổi
khoá Internet thoả thuận các SA, IKE được chọn làm giao thức chuẩn để thiết
lập các SA cho IPSec. IKE tạo ra một đường hầm được xác thực và mã hoá, sau
đó là thoả thuận SA cho IPSec. Quá trình này yêu cầu hai hệ thống xác thực lẫn
nhau và thiết lập các khoá sử dụng chung.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Được biết đến đầu tiên là ISAKMP/Oakley, trong đó ISAKMP là viết tắt của
Internet Security Association and Key Management Protocol (Liên kết bảo mật
Internet và Giao thức quản lý khoá).
IKE trợ giúp các nhóm liên lạc thương lượng các tham số bảo mật và các khoá
xác thực trước khi một phiên IPSec an toàn được thực thi. Các tham số bảo mật
được thương lượng này sẽ được định nghĩa một lần trong SA. Ngoài việc thương
lượng và thiết lập các tham số bảo mật và các khoá mật mã, IKE cũng thay đổi
các tham số và khoá khi được yêu cầu trong một phiên làm việc, IKE cũng chịu
trách nhiệm xoá các khoá và các SA này sau khi một phiên truyền tin được hoàn
tất.
Những ưu điểm chính của IKE bao gồm:
- IKE không phục thuộc vào công nghệ. Vì vậy nó có thể được dùng với bất kỳ
cơ chế bảo mật nào.
- IKE mặc dù không nhanh, nhưng hiệu quả cao vì một số lượng lớn các SA
được thương lượng với một số thông điệp vừa phải.
Theo cấu trúc làm việc của ISAKMP. IKE làm việc qua hai pha.
Hai pha trao đổi khoá sẽ tạo ra IKE SA và một đường hầm an toàn giữa hai hệ
thống. Một phía sẽ đưa ra một trong các thuật toán, phía kia sẽ chấp nhận hoặc
loại bỏ kết nối. Khi hai bên đã thống nhất được các thuật toán sẽ sử dụng thì
chúng sẽ tạo khoá cho IPSec. IPSec sử dụng một khoá dùng chung khác với
khoá của IKE, khoá này có được nhờ sử dụng thuật toán Diffie-Hellman một lần
nữa hoặc sử dụng lại khoá dùng chung có được từ trao đổi Diffie-Hellman ban
đầu. Sau khi quá trình được hoàn tất thì IPSec SA được thiết lập. Quá trình thực
hiện IKE gồm 2 pha, đó là : IKE Phase I và IKE Phasse II.
2.a. Các yêu cầu quản lý khoá đối với IPSec:
Các giao thức IPSec AH và ESP yêu cầu là các chia sẻ bí mật được biết với tất cả
các nhóm tham gia có yêu cầu khoá một cách thủ công hoặc phân phối khoá.
Vấn đề đặt ra là các khoá có thể bị mất, bị tổn hại hoặc đơn giản là bị hết hạn.
Kỹ thuật thủ công không mềm dẻo khi có nhiều liên kết an toàn được quản lý.
Một cơ chế trao đổi khoá tinh vi cho IPSec phải đáp ứng các yêu cầu sau:
- Độc lập với các thuật toán mật mã cụ thể.
- Độc lập với các giao thức trao đổi khoá cụ thể.
- Xác thực các thực thể quản lý khoá.
- Thiết lập SA qua tầng vận tải "không đảm bảo".
- Sử dụng hiệu quả các tài nguyên.
- Cung cấp khả năng tạo yêu cầu của host và các phiên SA.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Giao thức IKE được thiết kế để đáp ứng các yêu cầu đó. Nó dựa trên các liên
kết bảo mật Internet và cấu trúc của giao thức quản lý khoá và giao thức phân
phối khoá Oakley. IKE có các đặc trưng sau:
- Có các thủ thục tạo khoá và xác thực danh tính.
- Tự động làm tươi khoá.
- Giải quyết bải toán "khoá đầu tiên".
- Mỗi giao thức bảo mật có không gian các SPI riêng của nó.
- Có các tính năng bảo vệ được xây dựng sẵn.
+ Chống được các tấn công từ chối dịch vụ.
+ Chống được tấn công chiếm quyền điều khiển phiên và kết nối.
- Bảo mật toàn diện.
- Cách tiếp cận dựa trên 2 pha.
+ Pha 1 - Thiết lập các khoá và SA cho trao đổi khoá.
+ Pha 2 - Thiết lấp các SA cho truyền dữ liệu.
- Được thực thi như ứng dụng qua UDP, cổng 500.
- Hỗ trợ các chứng chỉ cho Host và người dùng.
- Sử dụng xác thực mạnh với trao đổi khoá ISAKMP.
+ Chia sẻ trước các khoá.
+ Các khoá không thực sự được chia sẻ, chỉ một thẻ bài được dùng cho việc tạo
khoá cần thiết.
+ Các chữ ký số.
+ Hệ mật khoá công khai.
Như đã đề cập, IKE yêu cầu 2 pha phải được hoàn tất trước khi luồng dữ liệu
được bảo vệ với AH và ESP.
3.a. Pha thứ nhất của IKE:
Pha IKE thứ nhất xác thực người dùng cuối, sau đó thiết lập một phiên IKE bảo
mật cho việc thiết lập SA. Rồi sau đó các nhóm truyền tin thương lượng một
ISAKMP SA thích hợp với nhau, nó bao gồm cả thuật toán mã hoá, hàm băm và

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
phương thức xác thực để phục vụ cho việc bảo vệ khoá mật mã. Ở dưới khung
làm việc ISAKMP sử dụng SA được thiết lập trong pha này. Sau khi cơ chế mã
hoá và hàm băm được đồng ý, một khoá bảo mật chủ chia sẻ được tạo. Các
thông tin sau thường được dùng để tạo khoá mật chia sẻ này bao gồm:
- Các giá trị Diffie-Hellman.
- SPI của ISAKMP SA theo dạng của Cookie.
- Một số ngẫu nhiên.
- Nếu hai nhóm đồng ý sử dụng một khoá công khai dựa trên xác thực, họ cũng
cần trao đổi ID của họ.
Sau khi trao đổi các thông tin cần thiết, cả hai tạo khoá của họ bằng việc dùng
các khoá mật đã chia sẽ này. Theo cách thông thương, khoá mật mã được tạo
mà không có bất kỳ một sự trao đổi thực sự nào qua mạng.
IKE Phase thứ nhất thoả thuận các tập chính sách IKE, xác thực đối tác và thiết
lập kênh an toàn giữa các đối tác. IKE Phase1 gồm 2 chế độ: Main Mode và
Aggressive mode. IKE Phase1 bao gồm các trao đổi sau:
a. Thống nhất các thuật toán mã hoá và xác thực
Trao đổi này để bảo vệ các trao đổi thông tin IKE được thoả thuận giữa các đối
tác.
- Ban đầu bên A gửi một Message đến B ở dạng chưa mã hoá(ClearText),
Message được đóng gói trong một gói tin IP thông thường và nằm trong phần
UDP Payload với giao thức lớp trên là UDP.
Hình 2.38: Message 1
- Message này thông báo và yêu cầu bên B lựa chọn các giao thức và các thuật
toán được đưa ra ở các trường Proposal và Transform tương ứng, đồng thời tạo
ra một giá trị ngẫu nhiên gọi là Cookie A (Initiator Cookie) đưa vào trường
ISAKMP Header.
- Tương tự, bên B sẽ trả lời bên A bằng một Message có cấu trúc tương tự như
trên, thông báo sẽ chọn giao thức và thuật toán nào, đồng thời đưa ra một giá
trị ngẫu nhiên Cookie B (Responder Cookie) vào trường ISAKMP Header.
b. Trao đổi khoá
Tạo các khoá bí mật chung. IKE sẽ sử dụng thuật toán Diffie- Hellman (DH) để
tạo một khoá bí mật dùng chung giữa bên A và bên B.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
c. Xác thực đối tác
Trong trao đổi này hai bên trao đổi các thông tin nhận dạng của nhau thông
qua chữ ký số. Messeage 3 được gửi để nhận dạng.
Các thông tin nhận dạng là các trường sau: Identity, Certificate, Signature đã
được mã hóa bằng các giao thức, thuật toán được xác định tại bước trao đổi
thức nhất và các khoá chung bí mật đã được thiết lập ở bước trao đổi khoá bí
mật.
4.a. Pha IKE thứ II:
Pha II thương lượng xuất hiện thường xuyên hơn pha I. Điển hình, một thương
lượng có thể lặp lại trong 4-5 phút. Sự thay đổi thường xuyên này của khoá mật
mã nhằm ngăn chặn Hacker có thể bẻ các khoá này, và sau đó là nội dung của
các gói dữ liệu gốc.
Oakley là một giao thức mà IKE dựa vào. Oakley lần lượt định nghĩa 4 chế độ
IKE thông dụng.
Thông thường một phiên trong pha II tương đương một phiên đơn trong pha I.
Tuy nhiên nhiều pha II trao đổi cũng có thể được hỗ trợ bởi một trường hợp
pha I. Điều này làm cho các giao dịch IKE thường rất chậm trở nên tương đối
nhanh hơn.
IKE Phase thứ hai có tác dụng:
- Thoả thuận các tham số bảo mật IPSec, các tập chuyển đổi IPSec (IPsec
Transform Sets) để bảo vệ đường hầm IPSec.
- Thiết lập các thoả thuận bảo mật IPSec SA.
- Định kỳ thoả thuận lại IPSec SA để đảm bảo tính an toàn của đường hầm.
- Thực hiện trao đổi Diffie-Hellman bổ sung (tạo ra các khoá mới).
Trước tiên, bên A gửi cho bên B một Message, đề xuất các SA để bên B lựa
chọn, đồng thời trao đổi một khoá bằng thuật toán DH. Message được đóng gói
trong gói tin có khuôn dạng như sau:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.41: Message 1 của phase2.
Trường Hash mang mã Hash của các trường phía sau nó và các trường này
cũng được mã hóa bằng các khoá và thuật toán được thoả thuận từ Phase thứ
nhất. Các trường Proposal và Transform mang các thông tin về giao thức và các
thuật toán mã hoá, xác thực đề nghị để bên B lựa chọn. Trường KE mang các
thông tin về trao đổi khoá bí mật theo thuật toán Diffie-Hellman.
Khi bên B nhận được message từ A và xác thực nó sau khi tính lại mã Hash, bên
B sẽ trả lời lại bên A một message khác có cấu trúc tương tự như message mà
bên A gửi để thông báo cho bên A biết về giao thức và các thuật toán được sử
dụng, các thông tin để trao đổi khoá chung ở trường KE.
5.a. Các chế độ IKE:
Bốn chế độ IKE: Main Mode. Aggressive mode. Quick mode. New Group mode.
a. Main Mode:
Main mode xác minh và bảo vệ các định danh của các nhóm có liên quan trong
giao dịch. Trong chế độ này, sáu thông điệp được trao đổi giữa các thực thể
truyền thông cuối. Trong các thông điệp này:
Hai thông điệp đầu tiên được dùng để thương lượng chính sách bảo mật cho
việc trao đổi.
Hai thông điệp tiếp theo được dùng để trao đổi khoá Diffie-Hellman và Nonce.
Các khoá sau này đóng một vai trò quan trọng trong các cơ chế mã hoá. Nonce
phải được đánh dấu bởi các nhóm ngược lại cho chức năng xác minh.
Hai thông điệp cuối cùng của chế độ này được dùng để xác thực các nhóm
truyền thông có sự hỗ trợ của chữ ký, hàm băm và tuỳ chọn chứng chỉ. Hình
2.42 mô tả một giao dịch trong chế độ IKE Main.
Hình 2.42: Trao đổi thông điệp trong chế độ Main IKE

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
b. Aggressive mode:
Hình 2.43: Mô tả một phiên giao dịch trong chế độ IKE Aggressive.
Được thiết lập tương tự như Main mode. Khác nhau giữa hai chế độ chỉ là
trong Main mode gồm sáu thông điệp, còn trong chế độ này chỉ ba thông điệp
được trao đổi. Kết quả là chế độ này nhanh hơn Main mode. Các thông điệp
được trao đổi trong chế độ này như sau:
Thông điệp thứ nhất được dùng để hỗ trợ một chính sách bảo mật, cho đi qua
dữ liệu cần thiết.
Thông điệp thứ hai hoạt động như để đáp lại thông điệp thứ nhất. Nó xác thực
người nhận và hoàn thành chính sách bảo mật cùng với các khoá.
Thông điệp cuối cùng của chế độ này được dùng để xác thực người gửi.
c. Quick Mode
Hình 2.44: Trao đổi thông điệp trong chế độ Quick IKE, thuộc pha thứ II
Chế độ IKE thứ ba, Quick Mode là một chế độ pha II. Nó được dùng để
thương lượng với SA về các dịch vụ bảo mật IPSEc. Hơn nữa, Quick Mode cũng
tạo ra các khoá mới cần thiết. Nếu chính sách bảo mật chuyển tiếp đầy đủ được

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
thảo luận trước pha I, một quá trình trao đổi khoá Diffie-Hellman được khởi tạo.
Trường hợp khác, các khoá mới được tạo bằng việc dùng các giá trị hàm băm.
d. Chế độ New Group:
Chế độ này được dùng để thương lượng với một nhóm riêng mới làm cho
khả năng trao đổi khoá Diffie-Hellman trở nên dễ dàng. Hình 2.45 mô tả chế độ
New group. Mặc dù chế độ này xuất hiện sau pha I, nhưng nó không phải là
một phần của pha II.
Hình 2.45: Trao đổi thông điệp trong chế độ Newgroup IKE.
Thêm vào đó, trong bốn chế độ IKE thường được thực thi, có chế độ truyền
tin, chế độ này là sự kết hợp bởi pha thứ hai và SA, chế độ này đề ra các nhóm
liên quan với một số thông tin được bổ sung, và thường liên quan tới các lỗi
trong thương lượng. Ví dụ, nếu việc giải mã bị lỗi tại người nhận hoặc chữ ký
không được xác thực thành công. Chế độ truyền tin được dùng để thông báo tới
các bên khác
2.3.1.7. Quá trình hoạt động của IPSec:
Quá trình hoạt động của IPSec được thực hiện như sau:
- Ban đầu các lưu lượng cần bảo vệ được chỉ ra cho IPSec, tiếp theo IKE Phase1
sẽ thoả thuận một kết hợp bảo mật IKE SA, thiết lập một kênh truyền thông an
toàn và xác thực đối tác.
- IKE Phase 2 sẽ thoả thuận các thông số của IPSec SA trên kênh an toàn vừa
được thiết lập. Những thông số này được sử dụng để thống nhất việc bảo vệ dữ
liệu trao đổi giữa hai bên. Các khoá được lưu trữ trong cơ sở dữ liệu SA.
- Sau đó các gói dữ liệu được xử lý AH hoặc ESP với các thuật toán mã hoá, xác
thực và các khoá được chỉ ra bởi SA.
- Cuối cùng khi kết thúc, đường hầm IPSec bị xoá.
2.4. Một vài giao thức an toàn bổ sung cho công nghệ VPN:
2.4.1. Giao thức SSL và TLS:
SSL là giao thức bảo mật được phát triển bởi hãng truyền thông Netscape,
cùng với hãng bảo mật dữ liệu RSA. Mục đích chính của giao thức SSL là cung

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo
tính riêng tư của dữ liệu, tính toàn vẹn và xác thực cho các đối tác. SSL cung
cấp một khả năng lựa chọn cho API socket TCP/IP chuẩn có thực thi bảo mật
bên trong nó. Do đó, về lý thuyết nó có khả năng chạy với bất kỳ ứng dụng
TCP/IP nào theo cách an toàn mà không phải thay đổi ứng dụng. Trong thực tế,
SSL chỉ được thực thi với các kết nối HTTP, nhưng hãng truyền thông Netscape
đã tuyên bố ý định tận dụng nó cho các kiểu ứng dụng khác, như giao thức
NNTP và Telnet, và có một số miễn phí sẵn có trên Internet. Ví dụ, IBM đang sử
dụng SSL để nâng cao tính bảo mật cho các phiên TN3270 trong các Host của
nó, các phương tiện liên lạc cá nhân và các sản phẩm Server, miễn là cấu hình
bảo mật truy cập được các Firewall.
SSL gồm có 2 tầng:
Tại tầng thấp: có một giao thức truyền dữ liệu sử dụng loại mật mã được xác
định trước và kết hợp xác thực, gọi là giao thức bản ghi SSL, hình 2.46 minh
họa giao thức này, và đối chiếu nó với một kết nối socket HTTP chuẩn.
Hình 2.46: SSL – so sánh chuẩn giữa chuẩn và phiên SSL
Tại tầng trên: có một giao thức cho việc khởi tạo xác thực và truyền các khóa
mã hóa, gọi là giao thức thăm dò trước SSL.
Một phiên SSL được thiết lập như sau:
- Một người dùng phía Client(Trình duyệt) yêu cầu một tài liệu bằng một địa chỉ
URL xác định bắt đầu bằng https(thay cho http).

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- Mã phía Client nhận ra SSL yêu cầu và thiết lập một kết nối qua cổng TCP 443
tới mã SSL trên phía Server.
- Client sau đó khởi tạo pha thăm dò trước SSL, dùng giao thức bản ghi SSL như
một sự hỗ trợ. Tại đây không có sự mã hóa hay kiểm tra tính toàn vẹn gắn liền
với kết nối.
Giao thức SSL đề ra các vấn đề an toàn sau:
+ Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước
để khởi tạo, các thông điệp được mã hóa bằng khóa này.
+ Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp(MAC).
+ Tính xác thực: trong khi thăm dò trước, Client xác thực Server sử dụng khóa
công khai. Nó cũng có thể dựa trên chứng chỉ.
TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các
Server và Client cuối liên lạc một cách an toàn qua các mạng công cộng không
an toàn. Thêm vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng
ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin.
TLS cũng gồm 2 tầng: Giao thức bản ghi TLS và giao thức thăm dò trước
TLS. Giao thức bản ghi TLS mang lại sự an toàn bằng cách tận dụng các cơ chế
mã hóa, như DES chẳng hạn. Giao thức thăm dò trước TLS cung cấp khả năng
xác thực 2 chiều bằng cách cho phép cả Server và Client xác thực lẫn nhau, hơn
nữa 2 thực thể muốn liên lạc có thể thương lượng các thuật toán mã hóa và các
khóa phục vụ cho việc trao đổi dữ liệu về sau giữa chúng.
Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo
Server VPN cũng như tại Client đầu cuối.
2.4.2. So sánh giao thức IPSec với SSL:
Như đã mô tả ở trên, IPSec cung cấp tính năng mã hoá và xác thực mạnh
cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên
chứng chỉ nhờ sử dụng IKE.
Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính
năng này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong
phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và
SSL và giải thích những phạm vi nào sử dụng cả hai giao thức.
Những điểm giống nhau:
- IPSec(qua IKE) và SSL cung cấp xác thực Client và Server.
- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu,
thậm chí trên các mức khác nhau của chồng giao thức.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và
các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE).
- IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà
không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến.
Những điểm khác nhau:
- SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec
được thực thi như một khung làm việc tại tầng liên mạng.
- SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng (vd: giữa
WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới -
thiết bị.
- SSL không bảo vệ lưu lượng UDP; IPSec thì có.
- SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường
hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách
kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến
đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như
một đường hầm.
- SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ
bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải
(end –to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm
IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường
hầm cũng có thể được mã hoá.
- Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề
lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian
hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong
suốt với các ứng dụng.
Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn
có trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn
đa dạng, không chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn
của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứng dụng Web
tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các
ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng.
Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi tự ta phát triển các
ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật yêu cầu
nhiều mức khác nhau và sự kết hợp của xác thực, mã hoá và đường hầm.
Cuối cùng nhưng không kém phần quan trọng, sự lựa chọn một công nghệ bảo
mật thích hợp còn phụ thuộc vào mô hình giao dịch. Nếu mục đích của các
Server ứng dụng là phải có khả năng truy cập mạng công cộng thì một thiết kế
dựa trên Web và công nghệ bảo mật dựa trên SSL có lẽ là lựa chọn đúng. SSL là
sẵn có trên bất kỳ một trình duyệt Web chuẩn nào và đó sẽ chỉ là công cụ được
sử dụng và yêu cầu bởi người dùng. Tuy nhiên, những người dùng nên được

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
hạn chế truy cập tới Server ứng dụng hay mạng của chúng ta, khi đó một mạng
riêng ảo dựa trên IPSec và có thể cả một số công nghệ đường hầm tầng 2 là
giải pháp được ưa thích hơn. Trong trường hợp này, những người tham gia và
vai trò của họ trong việc trao đổi dữ liệu sẽ được xác định trước.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 3: DYNAMIC MULTIPOINT VPN (DMVPN)
3.1. Giới thiệu về DMVPN:
Để triển khai mạng DMVPN, chúng ta có hai cách thức triển khai. Đó là hub-
and-spoke và spoke-and-spoke. Để hiểu được hai khái niệm này, trước tiên bạn
nên hiểu hub là gì, và spoke là gì. Hub ở đây là trung tâm (central), tức là hệ
thống mạng WAN đặt ở trung tâm của công ty. Còn Spoke chỉ chi nhánh, văn
phòng. Hình 3.1 minh họa cho điều đó, Hub chính là phần Central Site, còn
Spoke chính là phần Branches.
Hình 3.1: Mô hình triển khai DMVPN
Chúng ta thấy rõ đường màu xanh chính là kết nối giữa Spoke-and-Spoke,
còn màu đỏ chính là kết nối giữa Hub-and-Spoke. Như vậy, Hub-and-Spoke là
kết nối từ trung tâm đến chi nhánh, nó tương tự như khái niệm trong Site-to-
Site. Khái niệm mới chính là ở chỗ Spoke-and-Spoke, là kết nối giữa các chinh
nhánh với nhau.
Nếu như trong VPN, bạn chỉ nghe nhắc đến kết nối một Client đến một Site,
hoặc một Site đến một Site, thì trong DMVPN, bạn sẽ tiếp tục có một khái niệm
mới hơn, đó là kết nối giữ nhiều Hub đến nhiều Spoke, điều này lý giải tại sao
nó có thêm chữ Multipoint.
Khi nói đến Hub và Spoke là ý đang nói đến router thực hiện chức năng
DMVPN ở trung tâm và chi nhánh. Còn khi nói đến Site Central và Site Branch
(hay gọi tắc là Central và Branch) là nói đến nhiều thiết bị có ở đó, Hub và
Spoke nằm ở Central và Branch.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Dynamic Multipoint Virtual Private Network (DMVPN) là sự kết hợp của các
công nghệ: IPSec, mGRE và NHRP.
 IPSec: Mã hóa dữ liệu, cung cấp những tính năng chứng thực và
toàn vẹn dữ liệu.
 GRE: Thiết lập những “đường hầm” (tunnel) cho phép đóng gói bất kì
gói tin nào của lớp network. Ngoài ra GRE còn có thể định tuyến trên
tunnel.
 NHRP: Giao thức dùng để ánh xạ địa chỉ tunnel sang địa chỉ trên
cổng vật lí của Router. Nó giải quyết được vấn đề các spoke có thể sử
dụng địa chỉ IP được cấp động bởi ISP.
Các công nghệ này kết hợp lại cho phép triển khai IPSec trong DMVPN một cách
dễ dàng, linh động và an toàn.
3.2. Các thành phần của DMVPN:
Đầu tiên, không cần phải tính toán, đó là hệ thống Hub và Spoke. Ở hai phía
phải có những thiết bị hổ trợ tốt trong việc tạo kết nối DMVPN. Có nhiều giải
pháp để chúng ta lựa chọn, nhưng phổ biến nhất vẫn là Router của Cisco.
Nhìn vào mô hình ở hình 3.1, chúng ta nhận thấy rằng, để kết nối được giữa
Hub và Spoke nó phải kết nối thông qua Cloud. Cloud ở đây ám chỉ nhà cung
cấp dịch vụ internet (ISP). Có nhiều giải pháp cho bạn sử dụng các dịch của ISP
cung cấp. Cloud này có thể là Frame-Reply, ATM, Leased Lines
3.3. Kỹ thuật thiết kế:
Trong thiết kế DMVPN, có hai topology được đưa ra bàn luận:
 Dual hub-dual DMVPN cloud
 Dual hub-single DMVPN cloud
Trước tiên cần phải hiểu DMVPN cloud là gì, nó là tập hợp các router được cầu
hình định tuyến để giao tiếp với nhau. Bạn có thể dùng giao thức mGRE hoặc
PPP hoặc là cả hai để cấu hình giao tiếp với các router này, chúng phải có cùng
subnet.
Như vậy hai kỹ thuật đề cập ở trên có thể hiểu là đa hub đa DMVPN cloud và
đa hub đơn DMVPN cloud.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Trong mô hình Dual hub dual DMVPN cloud, hình 3.2, Hub 1 là trung tâm
chính, nó kết nối với các Branch qua DMVPN cloud 1, và dĩ nhiên chúng có cùng
subnet. Nó duy trì kết nối thường xuyên hơn. Trong khi đó, Hub 2 được khuyến
cáo là để dự phòng trong trường hợp Hub 1 gặp chút trục trặc. Giữa Hub1 và
Hub 2 được khuyến cáo kết nối với nhau trong mạng campus và không cùng
subnet (cùng một net, tức là net được chia mạng con). Điều tất nhiên phải đảm
bảo là cả hub 1 và hub 2 đều phải giao tiếp được với hệ thống mạng bên trong.
Giải pháp này được biết đến với khả năng Failover, tức là hạn chế sự cố, luôn
duy trì kết nối.
Hình 3.2: Dual DMVPN Cloud Topology
Trong mô hình thứ hai, dual hub single DMVPN cloud, hình 3.3, bạn chỉ có
một đường mạng để kết nối tất cả các hub và branch. Từ DMVPN Cloud bạn
thấy chúng ta có hai kết nối về hai hub. Giải pháp này được biết đến với khả
năng load balanced.
DMVPN cloud hổ trợ cho cả hai mô hình triển khai hub-and-spoke và spoke-
and-spoke. Trong hub-and-spoke, mỗi headend chứa một interface mGRE và
mỗi branch có chứ cả p2p hoặc mGRE interface. Trong mô hình spoke-and-
spoke cả hai đầu headend và branch đều có mGRE interface.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 3.3: Single DMVPN Cloud Topology
3.4. Dual DMVPN Cloud Topology:
Với Dual DMVPN Cloud, ta có hai model triển khai:
 Hub-and-spoke
 Spoke-to-spoke
3.4.1. Hub-and-Spoke:
Với Dual DMVPN cloud trong model hub-and-spoke, có chứa hai headend
(hub1 và hub2), mỗi cái có một hoặc nhiều tunnel mGRE kết nối đến tất cả các
branch. Hình 3.4 minh họa cho chúng ta điều đó.
Hình 3.4: Hub-and-Spoke Deployment Model

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Mỗi DMVPN cloud được đại diện bằng IP duy nhất trong subnet. Một DMVPN
cloud được gọi là primary (cloud chính), chịu trách nhiệm cho mọi lượng mạng
của Branch đi qua. Mỗi branch có chứa hai interface P2P GRE kết nối đến mỗi
Hub riêng lẽ. Trong model triển khai này không có tunnel nào giữa các branch.
Giao tiếp nội bộ giữa các branch được cung cấp thông qua hub. Thông số metric
của giao thức định tuyến mà hệ thống sử dụng, được sử dụng để xác định đâu
là primary hub.
3.4.2. Spoke-and-Spoke:
Cũng giống như Hub-and-spoke, trong model này cũng có hai Hub ở trung
tâm, mỗi hub có một hoặc nhiều tunnel kết nối đến tất cả các chi nhánh. Giao
tiếp giữa các Branch được thực hiện thông qua Hub, trừ khi nó có một đường
kết nối được tạo ra giữa hai Spoke. Đó chính là sự khác biệt của trường hợp
này. Tunnel giữa Spoke and Spoke được gọi là dynamic, nó phải nằm trong một
single DMVPN cloud hoặc cùng một subnet. Tunnel của spoke-and-spoke thì
không ở giữa hai DMVPN cloud.
Hình 3.5: Spoke-to-Spoke Deployment Model
3.5. Kiến trúc hệ thống trung tâm (system headend):
Có hai kiến trúc dành cho hệ thống trung tâm được đưa ra triển khai là:
 Single Tier
 Dual Tier

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
3.5.1. Single Tier:
Trong kiến trúc Single Tier, về mặt chức năng thì mGRE và Crypto cùng tồn tại
trong một CPU của router.
Hình 3.6: Single Tier Headend Architecture
Hình 3.6 là giải pháp dual cloud với model hud-and-spoke. Tất cả các
Headend đều có tunnel mGRE và Crypto được gộp chung lại trong một multiple
GRE tunnel, để phục vụ cho các luồng dữ liệu của branch. Mặt khác, để kết thúc
tunnel VPN tại trung tâm, headend có thể gửi một thông điệp để báo cho giao
thức định tuyến đang được sử dụng tại branch như EIGRP, OSPF, bất kể đường
nào được chọn trong cloud (cloud path – đường kết nối giữa các router trong
cloud).
3.5.2. Dual Tier:
Với kiến trúc dual tier, mGRE và Crypto không cùng tồn tại trong cùng CPU của
router.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 3.7: Dual Tier Headend Architecture
Hình 3.7 là giải pháp dual DMVPN cloud với model hub-and-spoke. Ở đây
mGRE và Crypto tại headend nằm riêng lẽ nhau nhau, chúng phục vụ cho nhau
và cho multiple mGRE tunnel để chuyển luồng lưu lượng mạng cho branch. Đầu
cuối của VPN tunnel, Crypto sẽ nhận dữ liệu gửi từ branch và sau đó chuyển
tiếp cho mGRE, để mGRE quảng bá cho các giao thức định tuyến tại branch như
EIGRP hoặc OSPF.
Router trong tất cả các mô hình của DMVPN đóng vai trò là điểm kết thức
của tunnel. Đồng thời nó còn kiêm theo nhiều chức năng khác như Firewall. Địa
chỉ ip mặt ngoài của router có thể là tĩnh hoặc động, và nó phải được “map”
trong bản đồ của router. Hành động này có nghĩa là: Một inteface mặt ngoài
của router có địa chỉ ip public của riêng nó, và một tunnel cũng có ip (public
hoặc private), nó phải ảnh xạ để biết tunnel này được chuyển ra interface tương
ứng.
Các Branch trong kiểu triển khai này kết nối với nhau thông qua tunnel
riêng, và phải đi qua DMVPN Cloud. Giao thức thường xuyên thấy giữa các
tunnel này là IPSec. Để giao tiếp với hệ thống trung tâm, chúng ta có giao thức
Single Tier, trong đó các chức năng của mGRE và Crypto được gói gọn trong
một router.
3.6. Single DMVPN Cloud Topology:
Trong mô hình này, có hai headend được sử dụng, nhưng chúng có cùng
một subnet. Các văn phòng chi nhánh sẽ kết nối với trung tâm thông qua giao
diện mGRE. Và chúng cũng phải có cùng subnet để thực hiện giao tiếp nội bộ.
Mô hình này không được khuyến cáo vì chúng không khả dụng và không chống
lỗi được. Với kiểu triển khai Spoke-and-Spoke thì việc triển khai theo Single
DMVPN này cần được cân nhắc kỹ.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hai headend phải được cấu hình DMVPN giống nhau, có địa chỉ IP cùng một
subnet. Khi đó chúng sẽ hổ trợ cho chúng ta chức năng load balanced giữa hai
trung tâm.
Hình 3.8 Single DMVPN Cloud Topology
Như vậy khi nhắc đến topology để triển khai cho giải pháp DMVPN, chúng ta có
sự tóm tắt như sau:
- Mô hình triển khai dành cho:
 Hub-and-Spoke: Giữa trung tâm và chi nhánh. Trong Hub-and-Spoke
có hai kiến trúc dành cho cloud.
o Dual Cloud: Có nhiều subnet
o Single Cloud: Có một subnet
Trong cả hai kiến trúc thì ở trung tâm (header) có thể triển khai theo hai giải
pháp:
o Single Tier: hai giao thức mGRE và Crypto trên cùng một router.
o Dual Tier: hai giao thức mGRE và Crypto ở hai router khác nhau.
Spoke-and-Spoke: giữa các chi nhánh với nhau
3.7. Các vấn đề khi triển khai DMVPN:
3.7.1. Cơ chế tunnel và địa chỉ IP:
Như vậy tunnel là một cơ chế, mà người ta gọi là đường ống, nó có chức
năng che dấu đi dữ liệu A nào đó bằng một lớp dữ liệu B khác. Mô hình là vậy
để chúng ta dễ hiễu, thực chất công việc này trong truyền thông là gắn thêm

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
vào dữ liệu một header riêng, để biết rằng đó là gói dữ liệu theo định dạng của
B.
Hình 3.9: Mô hình VPN với cơ chế Tunnel
Nhìn vào mô hình minh họa này, chúng ta cũng thấy có một vấn để được đề
cập đến chính là địa chỉ IP. Bản thân gói dữ liệu gửi từ A, đã có địa chỉ IP của
riêng nó và của đích mà nó cần đến. Khi được tunnel hóa đi, nó mang thêm vào
một địa chỉ IP nguồn và đích của tunnel. Người ta gọi đây là IP tunnel, và giao
tiếp giữa hai IP tunnel này gọi là Tunnel Interface. Như vậy, giữa hai đầu của
tunnel, về mặt luận lý, bạn có thể hiểu nó là một sợ cáp mạng nối hai điểm cần
giao tiếp với nhau.
Hình 3.10: Địa chỉ IP
Mục đích của việc tạo tunnel là để che dấu địa chỉ IP private bằng địa chỉ IP
public, từ đó giúp hai hệ thống mạng private có thể giao tiếp được với nhau. Tại
đầu gửi, địa chỉ IP private nằm trong gói dữ liệu, được gói thành một gói dữ liệu

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
mới (đúng hơn là gắn thêm header) mang địa chỉ IP public, và thông qua tunnel
nó được gửi đến đầu nhận có địa chỉ IP public. Tại đầu nhận gói dữ liệu được
tháo ra để lấy dữ liệu bên trong và trả vào cho mạng private.
3.7.2. Giao thức GRE:
Làm thế nào để có được tunnel? Như đã đề cập, tunnel thực chất là gắn
thêm một header theo định dạng quy định vào trong gói tin cần gửi. Như vậy
định dạng quy định này là gì?. Câu trả lời rằng nó là những giao thức đóng gói
dữ liệu trong tunnel. Một vài giao thức có thể kể tên như PPTP (Point-to-Point
Tunneling Protocol), L2TP (Layer 2 Tunneling Protocol), L2F (Layer 2
Forwarding), GRE (Generic Routing Encapsulation). Tất cả giao thức này đều sẽ
gắn vào gói tin cần gửi những dữ liệu của riêng nó, và phía đầu nhận phải hiểu
để bóc gói (Discapsulation) cho đúng.
Thế nhưng cả ba giao thức PPTP, L2TP và L2F đều vướng phải một vấn đề
là không thể định tuyến. Khi cơ chế tunnel được tạo ra, hai site kết nối với nhau
thì chúng có thể nằm trong cùng một mạng LAN, và phía sau chúng có thể là
hàng loạt các mạng LAN khác. Hai router giữa vai trò đầu cuối của VPN (nơi tạo
ra tunnel) phải chịu trách nhiệm gửi cập nhật định tuyến bên trong mạng cho
nhau. Chúng ta đều biết rằng, cập nhật định tuyến này gửi theo broadcast, mà
đa phần môi trường mạng public không cho phép gói tin broadcast đi qua. GRE
sẽ giải quyết vấn đề này.
GRE được dùng trong việc đóng gói định tuyến, dành cho môi trường mạng
non-broadcast (mạng không cho phép broadcast). GRE cung cấp một cơ chế
đóng gói tất cả các giao thức của tầng mạng, gửi đến cho những giao thức của
tầng mạng khác. GRE sử dụng để truyền tải các gói tin IP từ mạng private này
đến mạng private khác, thông qua internet. GRE tunnel cũng cho phép các giao
thực định tuyến hoạt động khi nó chuyển tiếp từ mạng private đến các router
khác trên mạng internet. GRE cũng đóng gói dữ liệu multicast để chuyển qua
internet.
GRE không cung cấp cơ chế mã hoá, do đó nó cần IPSEC để mã hoá dữ liệu
trên đường truyền. Một gói tin khi cần chuyển ra mạng public thông qua GRE,
nó sẽ được đóng gói theo chuẩn của GRE, bằng cách thêm vào GRE header, có
độ dài 32 đến 160 bits.
Hình 3.11: Ví dụ về GRE

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Triển khai GRE có hai giải pháp, giải pháp Point-to-Point (ppp GRE) và giải
pháp Multi-Point (mGRE). Đối với mô hinh DMVPN Hub-and-Spoke thì mGRE
được lựa chọn trong cấu hình.
3.7.3. Giao thức NHRP:
Hai router (đã tạo tunnel) kết nối với nhau xem nhau như trong mạng LAN.
Điều đầu tiên để gửi được dữ liệu giữa hai router này là xác định địa chỉ IP.
Đứng ở khía cạnh người gửi tại 2 router, nó chỉ biết địa chỉ IP private. Công việc
việc thứ hai là xác định với IP này thì MAC là bao nhiêu, bằng giao thức ARP.
Tuy nhiên, giao thức ARP không thể hoạt động, vì ở đây đang dùng cơ chế
tunnel, nó không cho phép gói tin của ARP chạy qua để tìm MAC. Vì thế NHRP
(Next Hop Resolution Protocol) ra đời.
NHRP là giao thức giống giao thức ARP (giao thức phân giải địa chỉ) làm
giảm những vấn đề mạng NBMA (Non-Broadcast Multiple Access). Với NHRP,
các hệ thống học địa chỉ của các hệ thống khác được cố định đến mạng NBMA
một cách linh động. Cho phép các mạng này thông trực tiếp với nhau mà traffic
được dùng không cần qua hop trung gian.
NHRP được thiết kế để trợ giúp IP dò đường cho quá trình truyền khối dữ
liệu trên hệ thống mạng NBMA. NHRP không phải là giao thức dò đường. Đó chỉ
là một giải pháp kỹ thuật về địa chỉ để sắp xếp lại các địa chỉ của IP trong quá
trình chuyển dữ liệu sang các địa chỉ kiểu. Mạng NBMA trái ngược lại với mạng
phát tán. Trên hệ thống mạng phát tán, nhiều máy tính cũng như các thiết bị
cùng dùng chung một cáp mạng hay các thiết bị truyền thông khác. Khi một
máy tính truyền đi các frame thông tin, tất cả các nút trên mạng cùng “lắng
nghe “ các frame, nhưng chỉ nút nào mà địa chỉ của nó được chỉ định trên frame
mới thật sự nhận được các frame này. Bởi vậy, các frame gọi là được phát tán.
Mạng kiểu NBMA sử dụng các mạch hướng kết nối để phân phối các frame hay
cell từ đầu nầy đến đầu kia của mạch. Không có trạm nào khác liên quan đến
mạch nầy ngoại trừ 2 nút cuối của nó. Các dịch vụ chuyển dữ liệu trong IP phi
kết nối (connectionless) không phải luôn luôn phù hợp với các liên kết hướng
kết nối của ATM.
3.7.4. Tunnel Protection Mode:
Tiêu biểu vẫn là IPSec, chúng ta có thể cấu hình crypto theo kiểu dynamic
hoặc static ở cả hai đầu router header và branch.Trong các phiên bản IOS 13
(hoặc lớn hơn) hổ trợ hầu hết các cấu hình của IPSec. Cũng từ phiên bản 13
này, khái niệm IPSec profile được giới thiệu. IPSec Profile được áp dụng cho hầu
hết các kết nối, chúng ta không cần phải sử dụng nhiều ACL cho mỗi interface.
Tuy nhiên, chỉ có những subnet nào được cấu hình giao tiếp và được phép giao
tiếp với IPSec thì mới sử dụng được profile này.
3.7.5. Sử dụng giao thức định tuyến:
Trong thiết kế của DMVPN khuyến cáo sử dụng các giao thức định tuyến
động để định tuyến từ headen đến branch. Việc sử dụng các giao thức định
tuyến động có nhiều lợi thế hơn đóng góp trực tuyến bằng IPSec (IPSec Direct

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Encapsulation). Trong VPN, giao thức định tuyến phải đảm bảo cùng một lợi ích
so với mạng truyền thống, nó bao gồm:
 Thông tin về topology của mạng
 Thông báo thay đổi trong cấu trúc của topology
 Trạng thái điều khiển từ xa của mỗi đối tượng
Một số giao thức định tuyến có thể được sử dụng trong một thiết kế DMVPN
bao gồm EIGRP, OSPF, RIPv2, và ODR (chỉ dùng trong hub-and-spoke). Giao
thức EIGRP được khuyến cáo sử dụng nhiều nhất, bởi vì giao thức định tuyến
động này duy trì định tuyến theo chu kỳ của CPU và băng thông mạng, cũng
như thời gian hội tụ nhanh chóng của nó. EIGRP cung cấp một loạt các tùy chọn
để tổng hợp địa chỉ (summarization) và quảng bá định tuyến mặc định (default
route).
Các giao thức định tuyến như OSPF cũng đã được xác minh là dễ sử dụng,
nhưng không được thảo luận rất chi tiết. ODR có thể không được sử dụng trong
mô hình triển khai spoke-to-spoke vì ODR không hỗ trợ chia tách tunnel (split
tunneling).
Giao thức định tuyến động làm tăng việc sử dụng CPU trên thiết bị mạng, do
đó tác động này phải được xem xét khi tăng kích thước mạng.
3.7.6. Cân nhắc sử dụng Crypto:
IPSec hỗ trợ hai cơ chế mã hóa là transport và tunnel. Với cơ chế transport
thì chỉ mã hóa phần dữ liệu (payload), còn phần header có chứa địa nguồn và
đích thì không được mã hóa. Với cơ chế tunnel thì cả phần dữ liệu và header
đều được mã hóa, giúp bảo vệ thông tin trong phần header. Cơ chế transport
còn thêm vào 20 byte đệm trong tổng kích thước gói tin. Cả hai cơ chế này đều
được sử dụng để triển khai trong DMVPN.
Nếu crypto tunnel được sử dụng cho NAT hoặc PAT thì bắt buộc phải dùng
cơ chế tunnel. Mặc khác, trong triển khai DMVPN, nếu triển khai dual tier với cả
GRE tunnel và crypto tunnel thì cũng bắt buộc phải dùng cơ chế tunnel trong
IPSec.
3.7.7. IKE Call Admission Control:
Trước đây phiên bản IOS 12.3 không có một chương trình nào điều khiển và
giới hạn số lượng và tốc độ khởi tạo các yêu cầu chứng thực của ISAKMP (giao
thức dùng đề quản lý khóa và khởi tạo kết nối), đều đó dẫn đến sự quá tải của
router và làm tràn ngậm băng thông mạng.
IKE Call Admission Control (CAC) được giới thiệu trong phiên bản 12.3 đã
giới hạn được số lượng chứng thực của ISAKMP cho phép đến và đi từ một
router. Bằng cách giới hạn số lượng crypto động được tạo ra, chúng ta có thể
ngăn chặn không cho router bị tràn ngậm các yêu cầu ISAKMP được tạo ra. Việc
giới hạn này còn phụ thuộc vào nền tản công nghệ, mô hình mạng, ứng dụng
và luồng dữ liệu truyền tải qua mạng. Nếu bạn chỉ định một giới hạn IKE CAC ít

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
hơn số lượng hiện tại của hoạt động IKE SA, một lời cảnh báo được hiển thị,
nhưng ISAKMP SA không chấm dứt. Một yêu cầu ISAKMP SA mới bị từ chối cho
đến khi bộ đếm ISAKMP SA hoạt động là dưới mức giới hạn cấu hình.
CAC cung cấp hai phương pháp tiếp cận để hạn chế IKE SA có thể dùng để
triển khai trong mạng DMVPN. Đầu tiên, CAC bình thường là một giám sát tài
nguyên toàn cục, thăm dò phản hồi để đảm bảo rằng tất cả các quá trình bao
gồm IKE không làm quá tải CPU của router hoặc bộ nhớ đệm. Người dùng có
thể cấu hình một giới hạn tài nguyên, đại diện bởi một tỷ lệ phần trăm tài
nguyên hệ thống từ 0 đến 100. Nếu người dùng xác định một giới hạn tài
nguyên là 90%, sau đó IKE CAC loại bỏ các yêu cầu ISAKMP SA hệ thống tiêu
thụ đến 90% hiệu suất. Tính năng này rất có giá trị trên các bộ định tuyến
headend, có thể phân loại và mã hóa các gói dữ liệu trong các công cụ mã hoá
phần cứng với tốc độ dòng. Điều này hữu ích trên các bộ định tuyến khi triển
khai theo mô hình hub-and-spoke, bởi vì các bộ định tuyến chi nhánh thường
đạt ngưỡng trước khi được nạp đầy đủ với ISAKMP SA.
Cách tiếp cận thứ hai cho phép người sử dụng cấu hình một giới hạn xác
thực IKE ISAKMP SA (IKE CAC). Khi giới hạn này được đạt tới, IKE CAC loại bỏ
tất cả các yêu cầu ISAKMP SA mới. Các Yêu cầu then chốt của IPsec SA lại luôn
được cho phép vì để bảo tồn tính toàn vẹn của phiên hiện tại. Chức năng này
chủ yếu nhắm vào các bộ định tuyến ở chi nhánh trong một mô hình triển khai
spoke-to-spoke. Bằng cách cấu hình một giới hạn số lượng các dynamic tunnel
có thể được tạo ra, người sử dụng có thể ngăn chặn một bộ định tuyến không
bị tràn ngập nếu nó đột nhiên tràn ngập các yêu cầu SA. Ý tưởng CAC IKE phụ
thuộc rất nhiều vào các nền tảng cụ thể và công nghệ crypto, cấu trúc liên kết
mạng, và những thiết lập được triển khai.
3.8. So sánh giữa VPN và DMVPN:
3.8.1. Mô hình VPN thông thường:
Hình 3.12: Mô hình VPN thông thường

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Mô hình mạng gồm một site trung tâm (HUB) kết nối đến các site chi nhánh
(SpokeA và SpokeB) qua internet. Với việc sử dụng VPN thông thường (IPSec +
GRE), trên router HUB cần cấu hình 2 tunnel đến SpokeA và SpokeB.
Một số hạn chế của mô hình trên:
-Khi tạo tunnel point-to-point, phải biết được địa chỉ IP của nguồn và đích. Do
đó, ở các spoke và HUB chúng ta phải thuê những địa chỉ IP tĩnh, dẫn đến chi
phí cao.
-Ở router HUB, chúng ta phải cấu hình 2 tunnel, 1 cho spokeA và 1 cho spokeB.
Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router HUB sẽ phải cấu
hình bấy nhiêu tunnel.
-Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy trên router
phải lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ nhớ và
CPU trên router HUB là khá lớn, gây tốn kém.
-Khi spokeA muốn giao tiếp với spokeB, nó phải thông qua HUB. Điều này không
linh động.
3.8.2. Mô hình DMVPN:
Với việc sử dụng DMVPN chúng ta sẽ giải quyết được những hạn chế trên và
làm cho hệ thống trở nên mở rộng và linh động hơn, bằng cách sử dụng các
giao thức mGRE và NHRP:
Hình 3.13: Mô hình DMVPN
-Ở mỗi spoke, chúng ta không cần phải dùng một địa chỉ tĩnh nữa, mà có thể sử
dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ
nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Trên router HUB
cũng bắt buộc phải là một địa chỉ tĩnh.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
-Trên router HUB, bây giờ chỉ cần cấu hình một tunnel mGRE. Nếu thêm một
spoke nào nữa thì trên HUB cũng không cần phải cấu hình thêm. Điều này làm
giảm tải ở router HUB
-Khi sử dụng mGRE thì việc định địa chỉ đích sẽ nhờ vào một giao thức khác, đó
là NHRP.
Như vậy, việc sử dụng DMVPN đem lại nhiều thuận lợi hơn so với VPN thông
thường.
3.8.3. Ưu điểm của việc sử dụng DMVPN:
DMVPN cho phép mở rộng những mạng IPSec VPN. Ngoài ra nó còn có một số
thuận lợi như sau:
-Giảm độ phức tạp khi cấu hình trên router hub mà nó cung cấp khả năng thêm
nhiều kênh một cách tự động mà không đụng đến cấu hình của hub.
-Bảo đảm các packet được mã hóa khi truyền đi
-Hỗ trợ nhiều giao thức định tuyến động chạy trên DMVPN tunnels
-Khả năng thiết lập động và trực tiếp giữa các kênh spoke-to-spoke IPSec giữa
các site mà không cần thông qua hub (nhờ mGRE và NHRP)
-Hỗ trợ các spoke router với những địa chỉ IP vật lý động (được cấp bởi ISP)

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 4: PHÂN TÍCH – THIẾT KẾ VÀ TRIỂN KHAI
ĐỀ TÀI
4.1. Mục tiêu đề tài:
Ngân hàng VietBank gồm 3 chi nhánh: Sài Gòn (trụ sở chính), Đà Nẵng, Hà Nội
và tương lai có thể mở rộng thêm nhiều chi nhánh nữa khắp cả nước.
Nhằm đảm bảo sự kết nối liên tục và hoạt động 24/7 giữa trụ sở và các chi
nhánh, ngân hàng VietBank sử dụng VPN kết nối các chi nhánh để đảm bảo tính
bảo mật của dữ liệu.
Yêu cầu của VietBank:
 Kết nối các chi nhánh về trụ sở chính có bảo mật thông qua dịch vụ
internet của ISP.
 Giảm tối đa chi phí mua IP tĩnh.
 Áp dụng chính sách bảo mật lên từng phòng ban & nhân viên.
 Đảm bảo high availability cho trụ sở chính bằng cách dùng Router và
Switch dự phòng.
 Đảm bảo redundancy cho trụ sở chính bằng cách sử dụng các Switch để
backup và dùng VTP phân chia phòng ban.
 Đảm bảo kết nối giữa trụ sở chính và các chi nhánh luôn ổn định.
4.2. Khảo sát và lên kế hoạch bản vẽ cho ngân hàng VietBank:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 4.1: Sơ đồ tổng quát trụ sở Sài Gòn
Hình 4.2: Sơ đồ tổng quát chi nhánh Hà Nội
Hình 4.3: Sơ đồ tổng quát chi nhánh Đà nẵng

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 4.4: Sơ đồ tổng quan ba site
4.3. Triển khai thiết bị & hoạch định IP:
4.3.1. Mô hình kết nối thiết bị:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4.3.2. Hoạch định IP:
Tên Router Interface IP OSPF Note
ISP
s0/0
s0/1
s0/2
s0/3
10.1.1.1/30
10.1.2.1/30
10.1.3.1/30
10.1.4.1/30
SG1
s0/0
f0/0
f0/1
Tunnel 0
10.1.1.2/30
172.16.1.1/30
172.16.2.1/30
10.0.0.1/29
AREA 1
AREA 1
SG2
s0/0
f0/0
f0/1
Tunnel 1
10.1.2.2/30
172.16.3.1/30
172.16.4.1/30
10.10.10.1/29
AREA 1
AREA 1
CORE_SW1
f1/0 – f1/1
f1/2 – f1/3
f1/4 – f1/5
PORTCHANNEL 1
PORTCHANNEL 3
PORTCHANNEL 2
CORE_SW2
f1/0 – f1/1
f1/2 – f1/3
f1/4 – f1/5
PORTCHANNEL 1
PORTCHANNEL 3
PORTCHANNEL 2
SG_SW1
f1/2 – f1/3
f1/4 – f1/5
f1/6 – f1/7
f1/8 – f1/9
f1/10– 1/11
f1/12– 1/13
f1/14– 1/15
PORTCHANNEL 3
PORTCHANNEL 2
VLAN 10 GĐ
VLAN 20 IT
VLAN 30 KINHDOANH
VLAN 40 NHANSU
VLAN 50 KETOAN
SG_SW2
f1/2 – f1/3
f1/4 – f1/5
f1/6 – f1/7
f1/8 – f1/9
f1/10– 1/11
f1/12– 1/13
f1/14– 1/15
PORTCHANNEL 3
PORTCHANNEL 2
VLAN 10 GĐ
VLAN 20 IT
VLAN 30 KINHDOANH
VLAN 40 NHANSU
VLAN 50 KETOAN
HN 10.1.4.2/30

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
s0/0
f0/0.10
f0/0.20
Tunnel 0
Tunnel 1
192.168.2.1/28
192.168.2.17/28
10.0.0.2/29
10.10.10.2/29
AREA 1
AREA 1
AREA 1
AREA 1
VLAN 10 QUANLY
VLAN 20 TUVAN
HN_SW
f1/1– f1/2
f1/3– f1/4
VLAN 10 QUANLY
VLAN 20 TUVAN
DN
s0/0
f0/0.10
f0/0.20
f0/0.30
Tunnel 0
Tunnel 1
10.1.3.2/30
192.168.3.1/28
192.168.3.17/28
192.168.3.33/29
10.0.0.3/29
10.10.10.3/29
AREA 1
AREA 1
AREA 1
AREA 1
AREA1
VLAN 10 KINHDOANH
VLAN 20 TUVAN
VLAN 30 QUANLY
DN_SW
f1/1– 2
f1/3– 4
f1/5– 6
VLAN 10 KINHDOANH
VLAN 20 TUVAN
VLAN 30 QUANLY
4.4. Cấu hình thiết bị:
4.4.1. Cấu hình tên – password enable – console – vty:
Router>enable
Router#configure terminal
Router(config)#hostname ISP
ISP(config)#banner motd "ROUTER ISP"
ISP(config)#line console 0
ISP (config-line)#password cisco
ISP (config-line)#login
ISP (config-line)#exit
ISP (config)#line vty 0 4
ISP (config-line)#password cisco
ISP (config-line)#login
ISP (config-line)#exit
ISP (config)#enable secret cisco
ISP (config)#service password-encryption
Các thiết bị còn lại cấu hình tương tự

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4.4.2. Cấu hình Trunking cho các thiết bị Switch Layer2 & Layer3:
1. Core_SW1 & Core_SW2:
Core_SW1(config)#interface range f1/0 – 5
Core_SW1(config-if-range)#switchport trunk encapsulation dot1q
Core_SW1(config-if-range)#switchport mode trunk
2. SG_SW1 & SG_SW2:
3. SW_HN & SW_DN:
Core_SW1(config)#interface f1/0
4.4.3. Cấu hình Etherchannel cho các thiết bị Switch Layer2 & Layer3:
1. Core_SW1 & Core_SW2:
Core_SW1(config-if-range)#channel-group 1 mode on
Hình 4.5: Etherchannel trên CORE_SW1
2. SG_SW1 & SG_SW2:
SG_SW2(config)#interface range f1/2 – 3
SG_SW2(config-if-range)#channel-group 3 mode on
SG_SW2(config)#interface range f1/4 – 5
SG_SW2(config-if-range)#channel-group 2 mode on

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 4.6: Etherchannel trên SG_SW2
4.4.4. Cấu hình VTP:
1. Core_SW1 & CORE_SW2 làm VTP Server:
Core_SW1#vlan database
Core_SW1(vlan)#vtp server
Core_SW1(vlan)#vtp domain vietbank.com
Core_SW1(vlan)#vtp password vietbank
Core_SW1(vlan)#vtp pruning
Hình 4.7: VTP trên CORE_SW1
2. SG_SW1 & SG_SW2 làm VTP Client:
SG_SW1#vlan database
SG_SW1(vlan)#vtp client
SG_SW1(vlan)#vtp domain vietbank.com
SG_SW1(vlan)#vtp password vietbank
Hình 4.8: VTP trên SG_SW1

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4.4.5. Cấu hình VLAN cho CORE_SW1 & CORE_SW2 ; HN_SW & DN_SW:
1. CORE_SW1 & CORE_SW2:
Core_SW1#vlan database
Core_SW1(vlan)#vlan 10 name GiamDoc
Core_SW1(vlan)#vlan 20 name IT
Core_SW1(vlan)#vlan 30 name KinhDoanh
Core_SW1(vlan)#vlan 40 name NhanSu
Core_SW1(vlan)#vlan 50 name KeToan
Hình 4.9: VLAN trên CORE_SW1
2. HN_SW:
HN_SW#vlan database
HN_SW(vlan)#vlan 10 name QuanLy
HN_SW(vlan)#vlan 20 name TuVan
3. DN_SW:
DN_SW#vlan database
DN_SW(vlan)#vlan 10 name KinhDoanh
DN_SW(vlan)#vlan 20 name TuVan
DN_SW(vlan)#vlan 30 name QuanLy
4.4.6. Gán Port cho VLAN:
1. Gán port cho SG_SW1 & SG_SW2:
SG_SW1(config)#interface range f1/6 - 7
SG_SW1(config-if-range)#switchport mode access
SG_SW1(config-if-range)#switchport access vlan 10

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 4.10: Gán port cho VLAN trên CORE_SW1
2. Gán port cho HN_SW:
HN_SW(config)#interface range f1/1 - 2
HN_SW(config-if-range)#switchport mode access
HN_SW(config-if-range)#switchport access vlan 10
HN_SW(config)#interface range f1/3 - 4
HN_SW(config-if-range)#switchport mode access
HN_SW(config-if-range)#switchport access vlan 20
3. Gán port cho DN_SW:
DN_SW(config)#interface range f1/1 - 2
DN_SW(config-if-range)#switchport mode access
DN_SW(config-if-range)#switchport access vlan 10
4.4.7. Cấu hình Spanning – Tree cho CORE_SW1 & CORE_SW2:
1. Trên CORE_SW1 cấu hình cho VLAN 10, 30, 50 làm root primary:

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Core_SW1(config)#spanning-tree vlan 10 root primary
VLAN 20, 40 làm root secondary:
Core_SW1(config)#spanning-tree vlan 20 root secondary
2. Trên CORE_SW2 cấu hình cho VLAN 20, 40 làm root primary:
VLAN 10, 30, 50 làm root secondary:
4.4.8. Cấu hình HSRP tạo tính dự phòng cho CORE_SW1 & CORE_SW2:
1. Cấu hình Core_SW1 với 5 standby group cho Core_SW1 làm Active
Router cho các vlan10, vlan30, vlan50 và làm Standby Router cho
vlan20, vlan40:
CORE_SW1(config)#interface vlan 10
CORE_SW1(config-if)#ip address 192.168.1.49 255.255.255.240
CORE_SW1(config-if)#standby 10 ip 192.168.1.50
CORE_SW1(config-if)#standby 10 priority 150
CORE_SW1(config-if)#standby 10 preempt
CORE_SW1(config-if)#standby 10 track port-channel 3 55
CORE_SW1(config-if)#standby 10 authentication giamdoc
Hình 5.12: HSRP VLAN 10 CORE_SW1
CORE_SW1(config-if)#standby 20 track port-channel 3

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CORE_SW1(config-if)#standby 20 authentication it
CORE_SW1(config-if)#standby 30 authentication kinhdoanh
CORE_SW1(config-if)#standby 40 authentication nhansu

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CORE_SW1(config-if)#standby 50 authentication ketoan
2. Cấu hình Core_SW2 với 5 standby group cho Core_SW2 làm Active
Router cho các vlan20, vlan40 và làm Standby Router cho vlan10,
vlan30, vlan 50:
CORE_SW2(config-if)#standby 10 authentication giamdoc
CORE_SW2(config-if)#standby 20 authentication it

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CORE_SW2(config-if)#standby 30 authentication kinhdoanh
CORE_SW2(config-if)#standby 40 authentication nhansu

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CORE_SW2(config-if)#standby 50 authentication ketoan
4.4.9. Cấu hình DHCP trên CORE_SW1 & CORE_SW2 cấp IP cho các phòng
ban:
CORE_SW1(config)#ip dhcp pool giamdoc
CORE_SW1(dhcp-config)#network 192.168.1.48 255.255.255.240
CORE_SW1(dhcp-config)#default-router 192.168.1.50
CORE_SW1(dhcp-config)#dns-server 8.8.8.8
Hình 5.22: DHCP cấp cho VLAN 10 GiamDoc
CORE_SW1(config)#ip dhcp pool it

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 5.23: DHCP cấp cho VLAN 20 IT
CORE_SW1(config)#ip dhcp pool kinhdoanh
CORE_SW1(config)#ip dhcp pool nhansu
CORE_SW1(config)#ip dhcp pool ketoan
Cấu hình tương tự cho CORE_SW2.
4.4.10. Cấu hình OSPF cho SG1, SG2 & CORE_SW1 & CORE_SW2:
SG1(config)#router ospf 1
SG1(config-router)#network 172.16.1.0 0.0.0.3 area 1
Core_SW1(config)#router ospf 1
Core_SW1(config-router)#network 172.16.1.0 0.0.0.3 area 1

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Core_SW2(config)#router ospf 1
4.4.11. Cấu hình ACL chỉ cho phép phòng IT telnet thiết bị:
SG1(config)#access-list 1 permit 192.168.1.80 0.0.0.15
SG1(config)#access-list 1 deny any
SG1(config)#line vty 0 4
SG1(config-line)#access-class 1 in
Hình 5.24: Phòng GĐ telnet thất bại

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 5.24: Phòng IT telnet thành công
Thực hiện tương tự cho các thiết bị khác.
4.4.12. Cấu hình NAT chỉ cho phép VLAN IT và VLAN GĐ ra internet:
SG1(config)#access-list 20 deny any
SG1(config)#ip nat inside source list 20 interface serial 0/0 overload
SG1(config)#interface serial 0/0
SG1(config-if)#ip nat outside
SG1(config)#interface f0/0
SG1(config-if)#ip nat inside
SG1(config)#interface f0/1
SG1(config-if)#ip nat inside
SG1(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
SG1(config-router)#default-information originate
Làm tương tự trên Router SG2

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4.4.13. Cấu hình InterVLAN Routing cho Router HN & DN:
HN(config)#interface f0/0
HN(config-if)#no shutdown
HN(config-if)#speed 100
HN(config-if)#duplex full
HN(config)#interface f0/0.20
HN(config-subif)#encapsulation dot1Q 20
HN(config-subif)#ip address 192.168.2.1 255.255.255.240
HN(config)#interface f0/0.30
HN(config-subif)#encapsulation dot1Q 30
HN(config-subif)#ip address 192.168.2.17 255.255.255.240
DN(config)#interface f0/0
DN(config-if)#no shutdown
DN(config-if)#speed 100
DN(config-if)#duplex full
DN(config)#interface f0/0.10
DN(config-subif)#encapsulation dot1Q 10
DN(config-subif)#ip address 192.168.3.1 255.255.255.240
4.4.14. Cấu hình cấp DHCP cho các phòng ban HN & DN:
HN(config)#ip dhcp pool Quanly
HN(dhcp-config)#network 192.168.2.0 255.255.255.240
HN(dhcp-config)#default-router 192.168.2.1
HN(dhcp-config)#dns-server 8.8.8.8
HN(config)#ip dhcp pool TuVan
HN(dhcp-config)#network 192.168.2.16 255.255.255.240
HN(dhcp-config)#default-router 192.168.1.17
HN(dhcp-config)#dns-server 8.8.8.8
DN(config)#ip dhcp pool Kinhdoanh
DN(dhcp-config)#network 192.168.3.0 255.255.255.240
DN(dhcp-config)#default-router 192.168.3.1
DN(dhcp-config)#dns-server 8.8.8.8
DN(config)#ip dhcp pool TuVan
DN(config)#ip dhcp pool QuanLy

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
4.4.15. Cấu hình DMVPN dual-hub-dual layout giữa các chi nhánh với
nhau:
1. Trên SG1 tạo tunnel 0; SG2 tạo tunnel 1:
SG1(config)#interface tunnel 0
SG1(config-if)#ip address 10.0.0.1 255.255.255.248
SG1(config-if)#no ip redirects
SG1(config-if)#ip nhrp network-id 100
SG1(config-if)#ip ospf network non-broadcast
SG1(config-if)#ip ospf cost 10
SG1(config-if)#ip ospf priority 200
SG1(config-if)#tunnel source serial 0/0
SG1(config-if)#tunnel mode gre multipoint
SG1(config-if)#tunnel key 100
SG2 (config-if)#ip address 10.10.10.1 255.255.255.248
SG2(config-if)#no ip redirects
SG2(config-if)#ip nhrp network-id 101
SG2(config-if)#ip ospf network non-broadcast
SG2(config-if)#ip ospf cost 100
SG2(config-if)#ip ospf priority 200
SG2(config-if)#tunnel source serial 0/0
SG2(config-if)#tunnel mode gre multipoint
SG2(config-if)#tunnel key 101
2. Trên HN tạo tunnel 0 ; 1:
HN(config)#interface tunnel 0
HN(config-if)#ip address 10.0.0.2 255.255.255.248
HN(config-if)#ip nhrp map 10.0.0.1 10.1.1.2
HN(config-if)#ip nhrp network-id 100
HN(config-if)#ip nhrp nhs 10.0.0.1
HN(config-if)#ip ospf network non-broadcast
HN(config-if)#ip ospf cost 10
HN(config-if)#ip ospf priority 0
HN(config-if)#tunnel source serial 0/0
HN(config-if)#tunnel destination 10.1.1.2
HN(config-if)#tunnel key 100
Hình 2.25: SG1 ping HN theo tunnel 0
HN(config-if)#ip address 10.10.10.2 255.255.255.248
HN(config-if)#ip nhrp map 10.10.10.1 10.1.2.2
HN(config-if)#ip nhrp network-id 101

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
HN(config-if)#ip nhrp nhs 10.10.10.1
HN(config-if)#ip ospf network non-broadcast
HN(config-if)#ip ospf cost 100
HN(config-if)#ip ospf priority 0
HN(config-if)#tunnel source serial 0/0
HN(config-if)#tunnel destination 10.1.2.2
HN(config-if)#tunnel key 101
Hình 2.26: SG2 ping HN theo tunnel 1
3. Trên DN tạo tunnel 0 ; 1:
DN(config)#interface tunnel 0
DN(config-if)#ip address 10.0.0.3 255.255.255.248
DN(config-if)#ip nhrp map 10.0.0.1 10.1.1.2
DN(config-if)#ip nhrp network-id 100
DN(config-if)#ip nhrp nhs 10.0.0.1
DN(config-if)#ip ospf network non-broadcast
DN(config-if)#ip ospf cost 10
DN(config-if)#ip ospf priority 0
DN(config-if)#tunnel source serial 0/0
DN(config-if)#tunnel destination 10.1.1.2
DN(config-if)#tunnel key 100
Hình 2.27: SG2 ping DN theo tunnel 0
DN(config)#interface tunnel 1
DN(config-if)#ip address 10.10.10.3 255.255.255.248
DN(config-if)#ip nhrp map 10.10.10.1 10.1.2.2
DN(config-if)#ip nhrp network-id 101
DN(config-if)#ip nhrp nhs 10.10.10.1
DN(config-if)#ip ospf network non-broadcast
DN(config-if)#ip ospf cost 100
DN(config-if)#ip ospf priority 0
DN(config-if)#tunnel source serial 0/0
DN(config-if)#tunnel destination 10.1.2.2
DN(config-if)#tunnel key 101
Hình 2.28: SG1 ping DN theo tunnel 1

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
Hình 2.29: HN ping DN theo tunnel 0
4. Định tuyến OSPF các đường tunnel với các đường mạng nội bộ:
SG1(config-router)#neighbor 10.0.0.2
HN(config)#router ospf 1
HN(config-router)#network 10.0.0.0 0.0.0.7 area 1
HN(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
Hình 2.30: GĐ SG ping TuVan HN

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
DN(config)#router ospf 1
DN(config-router)#network 10.0.0.0 0.0.0.7 area 1
DN(config)#ip route 0.0.0.0 0.0.0.0 serial 0/0
Hình 2.31: GĐ SG ping QuanLy DN
Hình 2.32: QuanLy DN ping TuVan HN

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
5. Cấu hình IPSec cho các đường tunnel:
SG1(config)#crypto isakmp policy 1
SG1(config-isakmp)#authentication pre-share
SG1(config)#crypto isakmp key 6 vietbank address 0.0.0.0 0.0.0.0
SG1(config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac
SG1(config)#crypto ipsec profile dmvpn
SG1(ipsec-profile)#set security-association lifetime seconds 120
SG1(ipsec-profile)#set transform-set myset
SG1(ipsec-profile)#set pfs group2
SG1(config-if)#tunnel protection ipsec profile dmvpn
Hình 2.30: Kiểm tra IPSec trên Router SG1
Làm tương tự cho Router SG2.
HN(config)#crypto isakmp policy 1
HN(config-isakmp)#authentication pre-share
HN(config)#crypto isakmp key 6 vietbank address 0.0.0.0 0.0.0.0
HN(config)#crypto ipsec transform-set myset esp-aes esp-sha-hmac
HN(config)#crypto ipsec profile dmvpn
HN(ipsec-profile)#set security-association lifetime seconds 120
HN(ipsec-profile)#set transform-set myset
HN(ipsec-profile)#set pfs group2
HN(config-if)#tunnel protection ipsec profile dmvpn
HN(config-if)#tunnel protection ipsec profile dmvpn
Hình 2.31: Kiểm tra IPSec trên Router HN

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
CHƯƠNG 5: KẾT LUẬN
5.1. Những việc đã hoàn thành:
 Triển khai thành công hệ thống hạ tầng mạng cho doanh nghiệp
 Sử dụng 100% thiết bị Cisco
 Áp dụng được các chính sách doanh nghiệp đưa ra
 Đảm bảo tính HA & Redundancy cho hệ thống mạng
 Đảm bảo lưu lượng băng thông cho toàn bộ hệ thống
 Sử dụng VLAN & VTP để quản lý và tối ưu hóa hệ thống mạng
 Giảm thiểu tối đa chi phí mua IP tĩnh bằng việc sử dụng DMVPN
5.2. Những việc chưa hoàn thành:
Do thực hiện và triển khai trên GNS3 nên nhóm em bị hạn chế một số vấn đề như là:
môi trường ảo hóa trong GNS3 không hỗ trợ cấu hình port-security
Phần cứng không đủ để có thể chạy được hết tất cả các dịch vụ
5.3. Hướng phát triển đề tài:
Theo hướng triển khai của đề tài triển khai DMVPN cho môi trường là ngân hàng,
thực tế với mô hình của nhóm vẫn có thể đáp ứng được phần nào nhu cầu thiết yếu
về bảo mật thông tin đến mức tối ưu nhất, nhưng với khả năng về mặt tài chính thì
ngân hàng có thể triển theo hướng khác là sử dụng công nghệ kết nối leased line sẽ
đảm bảo kết nối và bảo mật an toàn hơn. Nói như vậy không phải là DMVPN không
đảm bảo, dù có nhiều cải thiện so với kết nói VPN thông thường, nhưng cho vẫn kết
nối ra môi trường public nên nhiều khi vấn đề bảo mật vẫn chưa đảm bảo, vẫn có
khả năng bị tấng công, ăn cắp dữ liệu thông tin khách hàng. Nên thực tế đề tài này
nếu ứng dụng và triển khai cho doanh nghiệp vừa, lớn hoặc những doanh nghiệp
nghiêng về khía cạnh bảo mật như: chứng khoán, những công ty thường xuyên giao
dịch trao đổi thông quan môi trường Internet…sẽ hợp lý hơn.
Với khả năng có hạn về kiến thức và cơ sở vật chất, nên hầu như chi triển khai trên
môi trường ảo sẽ gặp nhiều vấn đề, và việc triển khai cho thực tế sẽ đôi khi không
phù hợp. Nên nhóm làm đồ án chúng tôi mong muốn sẽ được các bạn tham khảo và
nghiên cứu sâu hơn những vấn đề mà nhóm làm đồ án chưa thực hiện được, để đề
tài hoàn thiện hơn. Xin chân thành cảm ơn.

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
TÀI LIỆU THAM KHẢO

[1] http://www.vpnc.org
[2] http://www.vpnlabs.org/
[3] http://www.techRepublic.com
[4] http://www.javvin.com
[5] CCNP Labpro

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
PHỤ LỤC
THUẬT NGỮ VIẾT TẮT
STT Từ Viết Tắt Từ Đầy Đủ Ý Nghĩa
1 3DES
Triple Data Encryption
Standard
Thuật toán mật mã 3DES
2 ADSL
Asymmetric Digital Subscriber
Line
Công nghệ truy nhập đường
dây thuê bao số bất đối
xứng
3 AES Advanced Encryption Standard Chuẩn mật mã cao cấp
4 AH Authentication Header Giao thức tiêu đề xác thực
5 BGP Border Gateway Protocol
Giao thức định tuyến cổng
miền
6 B-ISDN
Broadband Integrated Service
Digital Network
Mạng số đa dịch vụ băng
rộng
7 CA Certificate Authority
Nhà phân phối chứng thực
số
8 CHAP
Challenge Handshake
Authentication Protocol.
Giao thức xác thực yêu cầu
bắt tay
9 CR Cell Relay
Công nghệ chuyển tiếp tế
bào
10 DCE
Data Communication
Equipment
Thiết bị truyền thông dữ liệu
11 DES Data Encryption Standard Thuật toán mật mã DES
12 DHCP
Dynamic Host Configuration
Protocol
Giao thức cấu hình host
động
13 DNS Domain Name System hệ thống tên miền
14 ESP
Encapsulating Security
Payload.
Giao thức tải an ninh đóng
gói
15 FCS Frame Check Sequence Chuỗi kiểm tra khung
16 FR Frame Relay Chuyển tiếp khung dữ liệu
17 GVPNS Global VPN Service Dịch vụ VPN toàn cầu
18 ICMP
Internet Control Message
Protocol
Giao thức bản tin điều khiển
Internet
19 IKE Internet Key Exchange
Giao thức trao đổi khoá
Internet
20 IGP Interior Gateway Protocol
Giao thức định tuyến trong
miền
21 IN Intelligent Network Mạng thông minh
22 IP Internet Protocol Giao thức Internet
23 IP-Sec Internet Protocol Security Giao thức an ninh Internet
24 ISAKMP
Internet Security Asociasion
and Key Management Protocol
Giao thức quản lý khoá và
kết hợp an ninh Internet
25 ISDN
Integrated Service Digital
Network
Mạng số đa dịch vụ
26 ISO
International Standard
Organization
Tổ chức chuẩn quốc tế
27 ISP Internet Service Provider Nhà cung cấp dịch vụ

Tel: (848) 6267 8999 - Fax: (848) 6283 7867
internet
28 L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
29 L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
30 LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP
31 LAN Local Area Network Mạng cục bộ
32 LCP Link Control Protocol Giao thức điều khiển liên kết
33 LNS L2TP Network Server Máy chủ mạng L2TP
34 MAC Message Authentication Code Mã xác thực bản tin
35 MD5 Message Digest 5 Thuật toán MD5
36 MG Media Gateway Cổng kết nối phương tiện
37 MGC Media Gateway Controller
Thiết bị điều khiển truy
nhập
38 MPLS Multi Protocol Laber Switching
Bộ định tuyến chuyển mạch
nhãn
39 MPPE
Microsoft Point-to-Point
Encryption
Mã hoá điểm-điểm của
Microsoft
40 MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất
41 NAS Network Access Server Máy chủ truy nhập mạng
42 NCP Network Control Protocol Giao thức điều khiển mạng
43 PAP
Passwork Authentication
Protocol
Giao thức xác thực mật
khẩu.
44 PKI Public Key Infrastructure
Cơ sở hạ tầng khoá công
khai
45 POP Point of Presence Điểm truy cập truyền thống.
46 PPP Point to Point Protocol Giao thức điểm tới điểm
47 PPTP
Point to Point Tunneling
Protocol
Giao thức đường ngầm điểm
tới điểm
48 PVC Permanrnent Virtual Circuit Mạng ảo cố định
49 QoS Quality of Service Chất lượng dịch vụ
50 RAS Remote Access Service Dịch vụ truy nhập từ xa
51 RADIUS
Remote Authentication Dial-In
User Service
Xác thực người dùng quay
số từ xa
52 RRAS
Routing and Remote Access
Server
Máy chủ truy cập định
hướng và truy vập từ xa.
53 SA Securty Association Kết hợp an ninh
54 SG Signling Gateway Cổng kết nối báo hiệu
55 RTP Real Time Protocol Giao thức thời gian thực
56 SVC Switched Virtual Circuit Mạch ảo chuyển mạch
57 TCP Transmission Control Protocol
Giao thức điều khiển đường
truyền
58 TE Terminal Equipment Thiết bị đầu cuối
59 UDP User Datagram Protocol Giao thức UDP
60 VC Virtual Circuit Kênh ảo
61 VCI Virtual Circuit Identifier Nhận dạng kênh ảo
62 VNS Virtual Network Service Dịch vụ mạng ảo
63 VPI Virtual Path Identifier Nhận dạng đường ảo
64 VPN Virtual Private Network Mạng riêng ảo
65 WAN Wide Area Network Mạng diện rộng

Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY

More Related Content

What's hot (20)

Similar to Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY (20)

More from Dịch vụ viết bài trọn gói ZALO: 0909232620 (20)

Recently uploaded (20)

Đề tài: Xây dựng hệ thống hạ tầng mạng cho doanh nghiệp, HAY