- Ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. - Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng. - Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau. - Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISPInternet Service Provider), cần một giao thức chung là TCP/IP. - Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network VPN). - Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này. - VPN cho phép người sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng.[5] Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. - Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.. - Truy nhập VPN sử dụng kỹ thuật tương tự, quay số, ISDN, DSL, mobile IP và cáp để thực hiện kết nối an toàn cho người dùng lưu động, người dùng truyền thông và các văn phòng chi nhánh.. - Intranet VPN: liên kết các văn phòng trung tâm, các chi nhánh tới mạng intranet thông qua cơ sở hạ tầng dùng chung bằng các kết nối chuyên biệt.. - Extranet VPN: Liên kết khách hàng, nhà cung cấp, đối tác hay các cộng đồng quyền lợi tới mạng tổ chức thông qua cơ sở hạ tầng dùng chung bằng các kết nối chuyên biệt. - Một VPN có thể được cài đặt theo nhiều cách, có thể được xây dựng qua ATM, frame relay hay công nghệ X.25. - Tuy nhiên, phương pháp chung nhất là triển khai VPN dựa trên IP, phương pháp này cho phép kết nối linh hoạt và dễ dàng hơn. - Hầu hết các mạng Intranet đều dùng công nghệ IP và Web, IPVPN có thể dễ dàng mở rộng tính năng này thông qua mạng diện rộng. - Một liên kết IPVPN có thể được thiết lập tại bất cứ đâu trên thế giới giữa hai điểm cuối, và mạng IP tự động . - Tuy nhiên chúng lại không mềm dẻo hơn hệ thống dựa trên phần mềm, khi mà hai điểm kết nối VPN không cùng một tổ chức, loại này thường thích hợp cho các đối tác kinh doanh hay các máy con ở xa. - Tạo kết nối đường ống.. - Mã hoá dữ liệu.. - Phương pháp tạo ra đường ống chung được chấp nhận là đóng gói một giao thức mạng (như là IPX, NetBEUI, AppleTalk, hay các loại khác) bên trong PPP, và rồi đóng gói toàn bộ gói (package) trong một giao thức đường ống, thường là IP nhưng cũng có thể là ATM hay frame relay. - Phương pháp này gọi là đường ống tầng 2 (Layer2) và giao thức gọi là giao thức đường ống tầng hai (Layer2 Tunneling Protocol L2TP).. - Với mô hình này, các gói tin có ghi thông tin điều khiển ở phần đầu hướng đến các mạng ở xa sẽ đi đến thiết bị khởi tạo đường ống, thiết bị này có nhiệm vụ chuyển mọi thứ từ một router đến một PC có sử dụng phần mềm cho phép quay số vào VPN. - Có hai loại kết nối VPN: kết nối VPN truy cập từ xa (remote access VPN connection) và kết nối VPN từ router đến router (routertorouter VPN connection).. - Loại kết nối VPN truy cập từ xa được tạo ra bởi một người dùng ở xa, người dùng truy nhập theo một mã nhất định vào điểm truy nhập gần nhất (POP) của nhà cung cấp dịch vụ (thiết lập kết nối vào Internet), sau đó truy nhập vào mạng VPN thông qua hệ thống chứng thực VPN, khách hàng cung cấp tên thuê bao và mật khẩu, hoặc số nhận dạng cá nhân PIN (Personal Identification Number. - Sau khi cung cấp các thông tin đầy đủ, VN server sẽ cung cấp khả năng tạo kênh kết nối ảo và mã hoá dữ liệu trong quá trình tương tác. - Trường hợp khách hàng sử dụng kênh kết nối trực tiếp thì quá trình truy nhập vào Internet là không cần thiết.. - Hình 2: Mô hình kết nối VPN truy cập từ xa.. - Loại kết nối VPN từ router đến router được tạo ra do sự kết nối của hai mạng riêng. - VPN server cung cấp khả năng kết nối đến một mạng riêng khác mà tại đó cũng có sự hoạt động của VPN server. - Với loại kết nối này, các gói tin được bắt đầu gởi đi từ mỗi router, sau đó router nhận sẽ phân phối các gói tin đến các thành viên trong mạng tùy theo đích đến của mỗi gói tin.. - Hình 3:Mô hình kết nối VPN từ router đến router. - Giao thức. - Các giao thức này có thể được dùng với nhau hay độc lập. - PPTP có thể sử dụng trong mạng riêng LANLAN.. - PPTP sử dụng một kết nối TCP nhằm duy trì đường ống đồng thời sử dụng một biến dạng của GRE (Generic Routing Encapsulation) để đóng gói các frame PPP là dữ liệu truyền trong đường ống. - Khối dữ liệu chứa các frame PPP đóng gói có thể được mã hoá hay nén lại hoặc là cả hai. - Tức là máy khách PPTP có thể đã tham gia vào mạng IP để đến được máy chủ PPTP, hay máy khách PPTP có thể là dạng quay số đến một máy chủ của mạng truy cập (NAS) nhằm thiết lập một kết nối IP trong trường hợp người dùng quay số.. - Các đường ống PPTP được thiết lập phải thông qua giai đoạn chứng thực bằng các kỹ thuật chứng thực giống như của các kết nối PPP, như là PAP (Password Authentication Protocol), SPAP (Shiva Password Authentication Protocol. - PPTP điều khiển kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ của máy chủ PPTP bằng cổng TCP. - Sau đây là khuôn dạng gói dữ liệu PPTP (hình 4):. - Hình 4: Gói dữ liệu PPTP truyền trên đường ống.. - L2TP có thể được sử dụng như là một giao thức đường ống qua Internet. - L2TP sử dụng UDP (User Datagram Protocol) với một chuỗi các thông điệp nhằm duy trì đường ống. - L2TP cũng sử dụng UDP để gởi khối dữ liệu đóng gói các frame PPP và khối dữ liệu này được mã hoá rồi nén lại. - L2TP có thể sử dụng kỹ thuật chứng thực là PPP hay là IPSec. - L2TP tạo ra đường ống giống như PPTP, thông qua kết nối có sẵn giữa người dùng với máy chủ. - L2TP kế thừa kỹ thuật nén của PPP còn kỹ thuật mã hoá thì sử dụng IPSec vì kỹ thuật PPP không cung cấp khả năng chứng thực cũng như tính toàn vẹn cho mỗi gói tin.. - Không giống như PPTP, L2TP duy trì đường ống bằng một kết nối TCP riêng biệt. - Hình 5: Gói dữ liệu L2TP truyền trên đường ống.. - Như vậy cả PPTP và L2TP đều sử dụng PPP cho kết nối WAN “điểm điểm” nhằm gói dữ liệu và gắn vào phần đầu để truyền tải trên mạng. - PPTP đòi hỏi mạng nó đi qua phải là mạng IP thì L2TP chỉ yêu cầu phương tiện đường ống cung cấp khả năng tạo kết nối “điểmđiểm”. - L2TP có thể chạy trên IP (dùng UDP), Frame Relay PVC, X.25 VC hay ATM PVC.. - L2TP cung cấp khả năng nén dữ liệu phần đầu, do vậy L2TP chỉ sử dụng 4 byte cho phần đầu so với 6 byte của PPTP.. - Mô hình đường ống ESP (IPSec Encapsulating Security Payload) có thể đóng gói và mã hóa toàn bộ IP datagram để có thể truyền tải an toàn trên mạng công cộng.. - IPIP được sử dụng chính cho việc truyền tải trên một vùng mạng mà không hỗ trợ cho việc định tuyến. - Khối dữ liệu tải IP chứa mọi thứ về IP, nó có thể là TCP, UDP hay phần đầu ICMP và dữ liệu. - Việc duy trì đường ống được thực hiện bởi các thông điệp ICMP, các thông điệp này cho phép đường ống có thể kiểm soát và xác định lỗi khi xảy ra tắc nghẽn và định tuyến.. - Tất cả các VPN đều cần phải cấu hình trên một thiết bị truy nhập, có thể là phần mềm hay phần cứng, nhằm tạo ra một kênh an toàn. - Một người dùng nào đó không dễ gì có thể đăng nhập vào hệ thống VPN nếu không cung cấp một số thông tin cần thiết. - Khi sử dụng một kỹ thuật chứng thực mạnh, VPN có thể ngăn chặn sự xâm nhập trái phép ngay cả khi bằng cách nào đó chúng có thể bắt được một phiên làm việc của VPN.. - IPSec không yêu cầu người dùng hiểu biết nhiều, bởi vì sự chứng thực không dựa trên người sử dụng, thay vào đó nó sử dụng địa chỉ IP của máy trạm hay các chứng nhận nhằm thiết lập định danh cho người sử dụng. - Cả PPTP và L2TP đều có sử dụng gói lọc này và chúng có thể được cấu hình trên VPN server hay trực tiếp trên bức tường lửa.. - Cách đánh địa chỉ và định tuyến trong VPN. - Cách đánh địa chỉ và định tuyến trong VPN phụ thuộc vào loại kết nối VPN. - Một kết nối VPN tạo ra một giao diện ảo, với một địa chỉ IP, và router phải định tuyến được dữ liệu từ địa chỉ ảo này đến đích một cách an toàn theo đường ống chứ không phải là mạng chia sẻ.. - Khi một máy tính được kết nối, VPN server sẽ gán một địa chỉ IP cho máy tính đồng thời thay đổi định tuyến mặc định để có thể truyền thông trên giao diện ảo.. - Với người dùng quay số, trước đó đã kết nối vào Internet nên đồng thời tồn tại hai địa chỉ IP:. - Khi tạo kết nối PPP, IPCP (IP Control Protocol) sẽ dàn xếp với NAS (Network Access Server ) của ISP một địa chỉ IP công cộng.. - Khi tạo kết nối VPN, IPCP dàn xếp với VPN server để gán một địa chỉ IP Intranet. - Địa chỉ này có thể là một địa chỉ công cộng hay một địa chỉ riêng phụ thuộc vào mạng Intranet đó đánh địa chỉ công cộng hay địa chỉ riêng.. - VPN server điều chỉnh bảng định tuyến để VPN client đến được các máy khác trong Intranet và Router phải điều chỉnh bảng định tuyến để có thể đến được VPN client. - Router chuyển dữ liệu đến VPN server bằng địa chỉ IP công cộng của server, còn VPN client sử dụng địa chỉ IP do ISP cung cấp để giao tiếp với VPN server.. - Hình 6: Địa chỉ công cộng và địa chỉ riêng trong kết nối VPN. - Trong đó, trường ĐHKH với nhiệm vụ chính là kết nối với Internet thông qua . - Hiện tại, các trường đại học thành viên có thể quay số đến mạng Intranet của ĐHKH để có thể truy cập Internet và cơ quan Đại Học Huế đã kết nối WAN với mạng trung tâm.. - Với mô hình này, giúp hiểu được cơ chế hoạt động của hệ thống mạng riêng ảo, phân tích khả năng chứng thực, mã hoá và an toàn dữ liệu.. - o Đối với mạng LAN: máy tính có kết nối đến mạng LAN.. - Tạo chương trình kết nối cho máy trạm từ xa, trong Windows 9x hay Windows NT, nó là một biểu tượng thể hiện kết nối dialup để đăng nhập vào mạng. - Để có thể quản lý các user một cách hợp lý ta cần phải có Connection Manager Administration Kit. - Thực Hiện Kết Nối. - Tại máy trạm, nếu là trạm từ xa thì trước tiên phải thực hiện kết nối vào mạng internet thông qua . - Sau khi kết nối thành công, trên khay hệ thống (system tray) xuất hiện biểu tượng của kết nối VPN: . - Hình 9: Các biểu tượng sau khi kết nối đối với Client 9x và 2000.. - Hình 10: Trạng thái sau khi kết nối VPN.. - Qua bảng, ta nhận được địa chỉ IP thật và ảo của Client và địa chỉ IP thật của Server đang tồn tại kết nối trên hệ thống mạng. - Với hệ thống mạng riêng ảo xây dựng được, ta có thể triển khai các dịch vụ giống như trên Internet. - Tại máy trạm, người dùng bây giờ có thể sử dụng dịch vụ FTP với địa chỉ ftp . - Hình 11: Sử dụng dịch vụ ftp.. - Với ứng dụng này, lập trình viên làm việc tại các điểm khác nhau có thể cùng phát triển và trao đổi các module sản phẩm thông qua trang web chạy trên VPN mà vẫn đảm bảo an toàn. - Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống". - Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol). - Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:. - Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.. - Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.. - Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).. - Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. - Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.. - giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). - Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách. - L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểmnốiđiểm và VPN truy cập từ xa. - Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt