Bài giảng VPN

Chia sẻ: Tran Viet Son | Ngày: | Loại File: DOC | Số trang:39

0
82
lượt xem
28
download

Bài giảng VPN

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Công nghệ VPN cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng. VPN thường dùng để kết nối các văn bản phòng chi nhánh

Chủ đề:
Lưu

Nội dung Text: Bài giảng VPN

  1. Tác giả: Đăng Quang Minh ̣ BÀI GIẢNG VPN (UPDATED 11/5/2004) I. GIỚI THIỆU: Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng chi nhánh (branch-office), các người dùng từ xa về văn phòng chính. Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall, Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE). I.1 IPSec: - Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), Security Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm bảo toàn vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu). - Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi tiết về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nh ận (receiver) có thể đọc được dữ liệu. - Security Association (SA) thường được quản lý bời IKE. - SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA signatures. - SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng.
  2. - Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay đổi khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật hash như Encapsulating Security payload (ESP), Authentication Header (AH), Message-Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng ESP hoặc AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn) bị thay đổi. - Origin Authentication là một option của IPSec. Thành phần này dùng digital signatures hoặc digital certificate. I.2. DES - DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng (private-key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có có một khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi (sender) và đầu nhận (receiver) phải giống nhau. - Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc dù quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp dụng DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có thể được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption Resesarch” của nhà xuất bản O’ Reilly’s. - Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ trợ AES (Advance Encryption Standard) vào cuối năm 2001. I.3.Triple DES - 3DES dùng khóa có chiều dài là 168-bit. I.4. IKE - IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers.
  3. - IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước (pre-share keys), RSA và RSA signature. - IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong ISAKMP. - Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết nối VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale). - Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key. II. CÁC VÍ DỤ CẤU HÌNH VPN: II.1. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa biết trước (pre-share key) 1. Topology E0-(HQ-Router)-s0-----(Internet)------s0-(Remotesite1)---E0 Sơ đồ địa chỉ: HeadQuater: E0: 10.1.1.1/24 HeadQuater: S0: 134.50.10.1/24 RemoteSite: S0 64.107.35.1/24 RemoteSite: E0: 172.16.1.0/24
  4. 2. Các bước cấu hình: Bước 1: Cấu hình hostname Router(config)# hostname hq-vpn-rtr Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập. Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1 Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định. Hq-vpn-rtr(config)# crypto isakmp policy 10 Hq-vpn-rtr(config-isakmp)# encryption 3des Hq-vpn-rtr(config-isakmp)# authentication pre-share Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa: Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
  5. Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5). Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac Bước 6: Cấu hình crypto-map: Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set được dùng. Tên của crypto map trong trường hợp này la netcg. Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1 Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro Hp-vpn-rtr(config-crypto-map# match address 100 Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions. Hq-vpn-rtr(config)# interface f0/1 Hq-vpn-rtr(config-if)# description Inside network Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0 Bước 8: cấu hình interface outside:
  6. Hq-vpn-rtr(config)# interface s0/0 Hq-vpn-rtr(config-if)# description outside network Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252 Hq-vpn-rtr(config-if)# crypto map netcg Cấu hình RemoteSite: Router(config)#hostname site1-rtr-vpn site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1 site1-rtr-vpn(config)# crypto isakmp policy 10 site1-rtr-vpn(config-isakmp)# encryption 3des site1-rtr-vpn(config-isakmp)# authentication pre-share site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255 site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1 site1-rtr-vpn (config-crypto-map)# set transform-set netcg site1-rtr-vpn (config-crypto-map)# match address 100 site1-rtr-vpn (config)# interface F0/1 site1-rtr-vpn (config-if)# description inside network
  7. site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0 site1-rtr-vpn (config)# interface s0/0 site1-rtr-vpn (config-if)# description outside network site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252 site1-rtr-vpn (config-if)# crypto map netcg Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping) II.2. Cấu hình Router- Router VPN dùng 3DES và cơ chế khóa biết trước (pre-share key) với NAT
  8. Cấu hình host Headquarter hostname hq ! username cisco123 password 0 cisco123 username 123cisco password 0 123cisco ! crypto isakmp policy 5 hash md5 authentication pre-share crypto isakmp key cisco123 address 10.64.20.45 crypto isakmp key 123cisco address 0.0.0.0 crypto isakmp client configuration address-pool local test-pool ! crypto ipsec transform-set testset esp-des esp-md5-hmac mode transport ! crypto dynamic-map test-dynamic 10 set transform-set testset ! crypto map test client configuration address initiate crypto map test client configuration address respond ! crypto map test 5 ipsec-isakmp set peer 10.64.20.45 set transform-set testset match address 115 ! crypto map test 10 ipsec-isakmp dynamic test-dynamic ! interface FastEthernet0/0 ip address 192.168.100.1 255.255.255.0 no ip directed-broadcast ip nat inside duplex auto speed auto ! interface Serial0/0 ip address 10.64.10.44 255.255.255.0 no ip directed-broadcast ip nat outside no fair-queue crypto map test ! ip local pool test-pool 192.168.1.1 192.168.1.254 ip nat inside source route-map nonat interface Serial0/0 overload
  9. ip classless ip route 0.0.0.0 0.0.0.0 10.64.10.43 ip http server ! access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.200.0 0.0.0.255 access-list 110 deny ip 192.168.100.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 110 permit ip 192.168.100.0 0.0.0.255 any access-list 115 deny ip any 192.168.100.0 0.0.0.255 access-list 115 permit ip any any ! route-map nonat permit 10 match ip address 110 Cấu hình host Internet hostname Internet ! ip subnet-zero no ip domain-lookup ! interface Ethernet0 ip address 192.168.1.1 255.255.255.0 interface Serial0 ip address 10.64.20.42 255.255.255.0 no fair-queue clockrate 64000 ! interface Serial1 ip address 10.64.10.43 255.255.255.0 clockrate 64000 ! ip classless ip route 10.64.10.0 255.255.255.0 Serial1 ip route 10.64.20.0 255.255.255.0 Serial0 Cấu hình host Branch hostname Branch ! ip subnet-zero ! crypto isakmp policy 5 hash md5
  10. authentication pre-share crypto isakmp key cisco123 address 10.64.10.44 ! crypto ipsec transform-set testset esp-des esp-md5-hmac mode transport ! crypto map test 5 ipsec-isakmp set peer 10.64.10.44 set transform-set testset match address 115 ! interface Ethernet0 ip address 192.168.200.1 255.255.255.0 no ip directed-broadcast ip nat inside ! interface Serial0 ip address 10.64.20.45 255.255.255.0 no ip directed-broadcast ip nat outside crypto map test ! ip nat inside source route-map nonat interface Serial0 overload ip route 0.0.0.0 0.0.0.0 10.64.20.42 ! access-list 110 deny ip 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255 access-list 115 deny ip any 192.168.200.0 0.0.0.255 access-list 115 permit ip any any route-map nonat permit 10 match ip address 110 End! Ghi chú: để có thể thử nghiệm VPN, phiên bản IOS cần là IPSec/DES. III. CÁC LOẠI VPN:
  11. Một mạng riêng ảo (VPN) chỉ ra việc truyền các dữ liệu riêng trên một hạ tầng mạng công cộng. So với các công nghệ khác, để hiểu về VPN và các đặc tính phức tạp thì người học gặp nhiều khó khăn. Trong chương này, các vấn đề sau đây sẽ được trình bày: • Service provider VPNs • Enterprise VPNs • Các công nghệ VPNs ở lớp datalinks • IPSec and security associations • IPSec modes and protocols • Trao đổi khóa (Key exchange), băm (hashing) , và mã hóa (encryption) trong IPSec III.1. Service Provider, Dedicated, and Access VPNs Trong thế giới truyền thông trước đây, các nhà cung cấp dịch vụ thường nhấn mạnh đến các dịch vụ truyền thông ở cấp thấp, ví dụ như leased line và Frame Relay. Trong thế giới truyền thông ngày nay, các nhà cung cấp dịch vụ thường làm việc với khách hàng để đáp ứng các nhu cầu về mạng của khách hàng thông qua việc sử dụng VPN. Dịch vụ VPN của các nhà cung cấp dịch vụ (còn được gọi là provider dependant VPN) là một trong những công nghệ chủ chốt mà các nhà cung cấp dịch vu sẽ dùng để cạnh tranh trong những năm sắp đến. VPN cho phép mở rộng các kết nối mạng của các doanh nghiệp và việc mở rộng này được triển khai trên hạ tầng mạng chung. Một VPN có thể được xây dựng trên hạ tầng mạng Internet hoặc trên mạng IP, FrameRelay, ATM của nhà cung cấp dịch vụ. Giải pháp này ngày nay còn được gọi là dedicated VPN hoặc là VPN kiểu cũ.
  12. Một dịch vụ VPN mới được gọi là Remote Access to Multiprotocol Label Switching Virtual Private Network (RA to MPLS VPN). Dịch vụ này cho phép những người dùng mạng từ xa (remote user) kết nối vào mạng của công ty họ. Dịch vụ này quản lý các kết nối từ xa cho các người dùng cơ động, các văn phòng nhỏ. Giải pháp này còn được gọi là truy cập VPN. Từ quan điểm của nhà cung cấp dịch vụ, MPLS là một đồ hình mạng dạng full-mash hoặc dạng hub-and-spokes, tùy thuộc vào khách hàng muốn kết nối các chi nhánh của họ như thế nào. Từ góc độ người dùng, các ISP sẽ cung cấp dịch vụ site-to-site VPN. ISP sẽ xây dựng một mạng IP riêng và cho phép các khách hàng khác nhau kết nối các site của họ trên mạng IP này. Công nghệ này cho phép các khách hàng riêng rẽ xem dịch vụ MPLS như thể họ đang có một mạng riêng kết nối các chi nhánh. Tình huống này cho phép khách hàng sử dụng những ưu điểm giống như của các công nghệ Layer 2 như FrameRelay và ATM nhưng lại có những đặc tính mở rộng và khả năng quản lý của layer 3. Ngoài ra, bởi vì MPLS chạy trên một mạng IP riêng chứ không phải là Internet, các ISP có thể cung cấp các mức khác nhau của chất lượng dịch vụ (QoS) và
  13. SLA. Tuy nhiên, do MPLS được dựa trên mạng riêng của nhà cung cấp dịch vụ, khả năng cung cấp dịch vụ bị giới hạn bởi các khu vực mà các ISP hoạt động. Giải pháp Remote Access to MPLS VPN cung cấp các chọn lựa mở rộng đối với hệ thống MPLS VPN hiện tại. Ở thời điểm hiện tại, một nhà cung cấp dịch vu ISP có thể tạo ra các kết nối VPN hiệu quả trên hạ tầng mạng của ISP thông qua các kết nối dialup, DSL, và Cable Modem (DOCSIS). Với việc giới thiệu dịch vụ Remote Access to MPLS VPN, các nhà cung cấp dịch vụ đã có thể tích hợp các phương thức truy cập khác nhau vào dịch vụ VPN của họ. Điều này cho phép các nhà cung cấp dịch vụ ISP cung cấp thêm nhiều gói dịch vụ đến các khách hàng. Các khuynh hướng công nghệ mới được ưa chuộng là dùng wireless, dùng vệ tinh và multiprotocol VPN. Gần đây, Cisco cũng đã công bố công nghệ Any Transport Over MPLS (AToM)2 tích hợp L2 tunneling vào mạng MPLS. Với việc dùng IP-based MPLS với IPSEC/L2TP, các nhà cung cấp dịch vụ có thể cải tiến khả năng mở rộng và hiện thực QoS. III.2. Tổng quan về VPN cho doanh nghiệp Enterprise VPN cung cấp các kết nối đưọc triển khai trên hạ tầng mạng công cộng với cùng một policy như mạng riêng, ở đó các người dùng có thể có cùng performance, ứng dụng và loại kết nối. Cisco chia các giải pháp VPN ra thành 3 loại chính: • Cisco Remote Access VPN • Cisco Site-to-Site VPN • Cisco Extranet VPN
  14. Remote Access và site-to-site VPN cung cấp cung cấp một giải pháp để xây dựng mạng riêng ảo cho mạng của doanh nghiệp. Các công ty có thể mở rộng mạng ra những nơi mà trước đây không thể mở rộng. Ví dụ, trong nhiều ứng dụng, VPN cho phép tiết kiệm nhiều chi phí thông qua các kết nối VPN. Ngoài ra, thay vì có nhiều kết nối về cùng HO, VPN cho phép traffic cùng tích hợp vào một kết nối duy nhất.VPN còn tạo ra cơ hội để giảm chi phí bên trong và bên ngoài doanh nghiệp. Mạng Internet hiện nay thật sự là một hạ tầng rất tốt, cho phép doanh nghiệp thay đổi mạng của họ theo các chiều hướng chủ chốt sau đây: • Đối với Intranets: phần lớn các công ty, đặc biệt là các công ty lớn đều phải duy trì các kết nối WAN tốn kém. Dễ dàng nhận thấy rằng các chi phí của leased lines có thể bị cắt giảm bởi các kết nối VPN. • Đối với extranets: các giải pháp hiện hành cho các doanh nghiệp lớn và các đối tác của họ thường yêu cầu dùng các đường thuê bao riêng. VPN và Internet sẽ là một giải pháp thay thế nghiêm túc. • Đối với dịch vụ truy cập từ xa: thay vì dùng các đường kết nối tốc độ chậm hoặc các dịch vụ đắc tiền như ISDN/Frame Relay, các người dùng từ xa bây giờ đã có thể sử dụng VPN thông qua các công nghệ như:
  15. - Truy cập tốc độ cao DSL và các dịch vụ cable modem - ISDN, Dial, Frame Relay hoặc các dịch vụ được cung cấp bởi bưu điện. - Những người dùng cơ động (mobile user) cũng có thể tận dụng các kết nối tốc độ cao Ethernet trong các khách sạn, sân bay. Chỉ riêng yếu tố cắt giảm chi phí cuộc gọi đường dài trong trường hợp này cũng là một lý do rất thuyết phục để dùng VPN. - Một trong những lợi ích khác của VPN là các công ty có thể triển khai các ứng dụng mới ví dụ như e-commerce. Mặc dù Internet là một hạ tầng mạng tốt, một vài yếu tố cũng cần xem xét và được xem là trở ngại của Internet là bảo mật, QoS, độ tin cậy và khả năng quản lý. III.3. Phân loại Enterprise VPN: Tất cả các công nghệ mới đòi hỏi việc phân loại để phân biệt nó với các giải pháp khác. Cisco phân loại các giải pháp VPN khác nhau vào hai nhóm chính: - Nhóm chức năng (functional): nhấn mạnh đến các thiết kế đặc biệt của VPN - Nhóm công nghệ (technological): định nghĩa giải pháp VPN dựa trên mô hình OSI và các protocol cho từng lớp. III.3.1. Functional VPN Categories Ba nhóm công nghệ VPN mà Cisco chia ra là Remote Access VPN, site-to-site VPN và firewall-based VPN. Cũng cần chú ý là có một kiểu phân loại khác là remote access VPN, Intranet VPN, extranet VPN. III.3.1.1 Remote Access VPNs
  16. Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ truyền thống để tạo lại các tunnel về mạng HO của họ. Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel. Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…). III.3.1.2. Site-to-Site or LAN-to-LAN VPN Site-to-site hay còn gọi là LAN-to-LAN VPN là việc kết nối các hệ thống mạng ở các nơi khác nhau về mạng ở một vị trí khác thông qua VPN. Trong tình huống này, quá trình xác thực ban đầu cho những người dùng sẽ là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt động như gateways, truyền traffic một cách an toàn cho site kia. Các routers hay firewall với khả năng VPN đều có khả năng thực hiện kết nối này. LAN-to-LAN VPN có thể được xem như một Intranet hoặc Extranet VPN nếu xét từ quan điểm quản lý chính sách. Nếu hạ tầng mạng này có chung một nguồn quản lý, nó có thể được xem như Intranet VPN. Ngược lại, nó có thể xem là extranet. Vấn đề truy cập giữa các sites phải được kiểm soát chặt chẽ bởi các thiết bị ở các site tương ứng. Sự khác nhau giữa remote access VPN và LAN-to-LAN VPN chỉ là mang tính tượng trưng. Một ví dụ là: các thiết bị VPN mới có thể hoạt động theo cả hai cách. Một ví dụ khác là chế độ mở rộng của giải pháp EzVPN bằng cách dùng 806 hoặc Cisco 17xx routers.
  17. III.3.1.3. Firewall-Based VPNs: Firewall-based VPN là giải pháp trong đó doanh nghiệp sẽ quản lý firewall và tự triển khai VPN hoặc nhà cung cấp dịch vụ sẽ cung cấp các tính năng firewall nâng cao để hỗ trợ VPN. Nhìn chung, giải pháp này dựa trên Cisco Pix firewall (??) bao gồm PIX 506 cho các văn phòng nhỏ, Pix 515 cho các doanh nghiệp vừa và Pix 525, 535 cho tầm cỡ nhà cung cấp dich vụ và doanh nghiệp lớn. Cisco cung cấp vài giải pháp cho VPN clients. Các giải pháp này bao gồm: • Concentrator-based VPN clients—Cisco VPN Client 3.x.x and the VPN 3002 software and hardware client • Cisco IOS(router)-based VPN solutions—Cisco 806 and 17xx end-user routers, and EzVPN • Cisco PIX firewall-based solutions—Cisco PIX 501 Một cách nhìn khác về giải pháp VPN của Cisco từ quan điểm phần mềm là • Software clients: — VPN client for Microsoft — VPN client for Solaris — VPN client for Linux — VPN client for wireless devices • Hardware clients:
  18. — Easy VPN — VPN 3002 — 806 Router — PIX 501 Với việc đưa vào Pix 501, giải pháp VPN sẽ mở rộng những chọn lưa cho người dùng. III.3.2. Phân loại dựa trên công nghệ và mô hình OSI: Từ quan điểm công nghệ, VPN không phải là việc truyền các electrons trên hạ tầng mạng chung mà thật ra là việc truyền các packets trên các mạng khác. Các packets được truyền này sẽ được mã hóa và xác thực trong một cách để phân biệt nó với những packets khác. Thông thường điều này kết hợp với việc dùng một tunnel trong hệ thống mạng. Các giải pháp ban đầu bao gồm việc chia các mạch trong các tổng đài của nhà cung cấp dịch vụ trong đó ngăn ngừa các truy cập trái phép giữa các đường leased lines cho các doanh nghiệp riêng. Các giải pháp về sau bao gồm việc cài đặt các protocol Secure
  19. Socket layer cho các trình duyệt web và các ứng dụng khác. Việc triển khai này cho phép tất cả các ứng dụng được bảo vệ. Đây là giải pháp mã hoá VPN dựa trên lớp ứng dụng của TCP/IP. III.3.2.1. Datalink Layer VPN: Trong môi trường mạng công cộng, các giải thuật mã hóa lớp datalink có thể được hiện thực trong các thiết bị bên trong mạng riêng. Tuy nhiên, người dùng phải mã hóa traffic trước khi traffic đi vào routers. Rõ ràng là trong tình huống này, traffic phải được bridged hoặc được mã hóa/giải mã ở từng hop của mạng bởi vì lớp hai không có một sơ đồ địa chỉ duy nhất. Kết quả là frame phải được mã hóa/giải mã vài lần và dẫn đến kết quả là độ chậm trễ của hệ thống mạng tăng cao. ATM và Frame Relay thỉng thoảng được gọi là các mạng VPN vì nó dùng hạ tầng mạng chung để cung cấp các dịch vụ mạng riêng. Các công nghệ VPN ở lớp datalink được thiết kế để chạy trên lớp Datalink và bao gồm các protocol sau: • Point-to-Point Tunneling Protocol (PPTP) and generic routing encapsulation (GRE)
  20. • L2TP III.3.2.2. PPTP and GRE PPPTP được định nghĩa bởi IETF trong RFC 2673. Protocol này đưọc thiết kế bởi Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông qua mạng Internet công cộng. Các phiên kết nối PPTP bảo mật cho phép kết nối vào mạng doanh nghiệp thông qua Internet. Các cuộc gọi này thường được gọi vào các thiết bị phần cứng, sau đó thiết bị này kết nối vào một Windows NT server. FEP sẽ truyền các gói PPP từ người dùng cuối và sau đó đóng gói các gói đó vào mạng WAN. Bởi vì PPP hỗ trợ nhiều giao thức khác nhau (IP, IPX, NetBEUI), nó có thể truy cập các hạ tầng mạng rất khác nhau. Kiến trúc này bao gồm các ứng dụng client/server trong đó client là các PC của người dùng, chạy PPTP. Về phía server, sẽ có các dial-in routers, VPN concentrator. Cả hai đầu đều có thể khởi tạo tunnel. Khi người dùng ở xa khởi tạo một tunnel, nó được gọi là chế độ xung phong (voluntary mode). Khi tunnel được tạo từ server, chế độ này được gọi là compulsory mode. Một NAS có thể khởi tạo một tunnel ngay cả khi một client không có chạy PPTP. PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng IP, chẳng hạn như mạng Internet/Intranet. PPTP sẽ kế thừa các đặc tính của PPP như mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một PPTP server. PPTP client có thể được kết nối vào một mạng IP mà PPTP server cũng kết nối vào mạng IP này. Hoặc PPTP clients cũng có thể quay vào một NAS để thiết lập kết nối IP. PPTP dùng TCP để tạo và hủy các tunnel. PPTP cũng dùng một phiên bản bổ sung của GRE để đóng gói PPP như là dữ liệu của tunnel. Tải của khung PPP có thể được mã hóa hoặc nén hoặc cả hai. GRE được định nghĩa trong RFC 1701 và 1702, đơn giản chỉ là một cơ chế để thực hiện quá trình đóng gói một giao thức lớp network tùy ý vào một giao thức khác. GRE cung cấp một cơ chế đơn giản, gọn nhẹ để đóng gói data để gửi trên mạng IP. Vì vậy

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản