Tài liệu Đồ án tốt nghiệp đại học công nghệ ip vpn

Đồ án tốt nghiệp Đại học Công nghệ IP - VPN MỤC LỤC MỤC LỤC..........................................................................................................................i Danh mục bảng biểu.........................................................................................................v Danh sách hình vẽ............................................................................................................vi Ký hiệu viết tắt.................................................................................................................ix LỜI NÓI ĐẦU..................................................................................................................1 Chương 1 BỘ GIAO THỨC TCP/IP................................................................................3 1.1 Khái niệm mạng Internet........................................................................................3 1.2 Mô hình phân lớp bộ giao thức TCP/IP.................................................................4 1.3 Các giao thức trong mô hình TCP/IP.....................................................................5 1.3.1 Giao thức Internet...................................................................................................5 1.3.1.1 Giới thiệu chung.................................................................................................5 1.3.1.2. Cấu trúc IPv4.....................................................................................................6 1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu....................................................................8 1.3.1.4. Địa chỉ và định tuyến IP....................................................................................9 1.3.1.5. Cấu trúc gói tin IPv6.........................................................................................9 1.3.2. Giao thức lớp vận chuyển....................................................................................11 1.3.2.1. Giao thức UDP................................................................................................11 1.3.2.2. Giao thức TCP.................................................................................................12 1.4 Tổng kết................................................................................................................17 Chương 2 CÔNG NGHỆ MẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN..........18 2.1 Gới thiệu về mạng riêng ảo trên Internet IP-VPN...............................................18 2.1.1 Khái niệm về mạng riêng ảo trên nền tảng Internet...........................................18 2.1.2 Khả năng ứng dụng của IP-VPN.........................................................................18 2.2 Các khối cơ bản trong mạng IP-VPN..................................................................19 2.2.1 Điều khiển truy nhập............................................................................................19 2.2.2 Nhận thực..............................................................................................................20 2.2.3 An ninh..................................................................................................................21 2.2.4 Truyền Tunnel nền tảng IP-VPN.........................................................................21 2.2.5 Các thỏa thuận mức dịch vụ.................................................................................23 2.3 Phân loại mạng riêng ảo theo kiến trúc................................................................23 2.3.1 IP-VPN truy nhập từ xa........................................................................................23 2.3.2 Site-to-Site IP-VPN...............................................................................................25 i Đồ án tốt nghiệp Đại học Công nghệ IP - VPN 2.3.2.1 Intranet IP-VPN................................................................................................25 2.3.2.2 Extranet IP-VPN...............................................................................................26 2.4 Các giao thức đường ngầm trong IP-VPN...........................................................27 2.4.1 PPTP (Point - to - Point Tunneling Protocol)......................................................28 2.4.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP.........................................28 2.4.1.2 Đóng gói dữ liệu đường ngầm PPTP...............................................................29 2.4.1.3 Xử lí dữ liệu đường ngầm PPTP......................................................................30 2.4.1.4 Sơ đồ đóng gói..................................................................................................30 2.4.2 L2TP (Layer Two Tunneling Protocol)................................................................31 2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP.........................................32 2.4.2.2 Đường ngầm dữ liệu L2TP...............................................................................32 2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec..............................................33 2.4.2.4 Sơ đồ đóng gói L2TP trên nền IPSec................................................................33 2.5 Tổng kết................................................................................................................35 Chương 3 GIAO THỨC IPSEC CHO IP-VPN..............................................................36 3.1 Gới thiệu...............................................................................................................36 3.1.1 Khái niệm về IPSec...............................................................................................36 3.1.2 Các chuẩn tham chiếu có liên quan.....................................................................37 3.2 Đóng gói thông tin của IPSec...............................................................................39 3.2.1 Các kiểu sử dụng...................................................................................................39 3.2.1.1 Kiểu Transport..................................................................................................39 3.1.1.2 Kiểu Tunnel.......................................................................................................39 3.2.2 Giao thức tiêu đề xác thực AH.............................................................................40 3.2.2.1 Giới thiệu..........................................................................................................40 3.2.2.2 Cấu trúc gói tin AH..........................................................................................41 3.2.2.3 Quá trình xử lý AH...........................................................................................42 3.2.3 Giao thức đóng gói an toàn tải tin ESP...............................................................45 3.2.3.1 Giới thiệu..........................................................................................................45 3.2.3.2 Cấu trúc gói tin ESP.........................................................................................46 3.2.3.3 Quá trình xử lý ESP..........................................................................................48 3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE...........................................53 3.3.1 Kết hợp an ninh SA...............................................................................................53 3.3.1.1 Định nghĩa và mục tiêu.....................................................................................53 3.3.1.2 Kết hợp các SA..................................................................................................54 3.3.1.3 Cơ sở dữ liệu SA...............................................................................................55 3.3.2 Giao thức trao đổi khóa IKE................................................................................56 3.3.2.1 Bước thứ nhất...................................................................................................57 3.3.2.2 Bước thứ hai.....................................................................................................58 3.3.2.3 Bước thứ ba......................................................................................................60 3.3.2.4 Bước thứ tư.......................................................................................................62 3.3.2.5 Kết thúc đường ngầm........................................................................................62 3.4 Những giao thức đang được ứng dụng cho xử lý IPSec......................................62 ii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN 3.4.1 Mật mã bản tin......................................................................................................62 3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES.......................................................................62 3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES..................................................63 3.4.2 Toàn vẹn bản tin....................................................................................................63 3.4.2.1 Mã nhận thực bản tin băm HMAC...................................................................64 3.4.2.2 Thuật toán MD5................................................................................................64 3.4.2.3 Thuật toán băm an toàn SHA...........................................................................64 3.4.3 Nhận thực các bên................................................................................................65 3.4.3.1 Khóa chia sẻ trước............................................................................................65 3.4.3.2 Chữ ký số RSA..................................................................................................65 3.4.3.3 RSA mật mã nonces.........................................................................................65 3.4.4 Quản lí khóa..........................................................................................................66 3.4.4.1 Giao thức Diffie-Hellman.................................................................................66 3.4.4.2 Quyền chứng nhận CA......................................................................................67 3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec...........................................68 3.6 Tổng kết................................................................................................................69 Chương 4 AN TOÀN DỮ LIỆU TRONG IP-VPN........................................................70 4.1 Giới thiệu..............................................................................................................70 4.2 Mật mã..................................................................................................................71 4.2.1 Khái niệm mật mã.................................................................................................71 4.2.2 Các hệ thống mật mã khóa đối xứng...................................................................72 4.2.2.1 Các chế độ làm việc ECB, CBC.......................................................................72 4.2.2.2 Giải thuật DES (Data Encryption Standard)....................................................74 4.2.2.3 Giới thiệu AES (Advanced Encryption Standard)............................................76 4.2.2.4Thuật toán mật mã luồng (stream cipher).........................................................77 4.2.3 Hệ thống mật mã khóa công khai........................................................................77 4.2.3.1 Giới thiệu và lý thuyết về mã khóa công khai...................................................77 4.2.3.2 Hệ thống mật mã khóa công khai RSA.............................................................79 4.2.4 Thuật toán trao đổi khóa Diffie-Hellman............................................................81 4.3 Xác thực................................................................................................................82 4.3.1 Xác thực tính toàn vẹn của dữ liệu......................................................................82 4.3.1.1 Giản lược thông điệp MD dựa trên các hàm băm một chiều...........................82 4.3.1.2 Mã xác thực bản tin MAC dựa trên các hàm băm một chiều sử dụng khóa....85 4.3.1.3 Chữ ký số dựa trên hệ thống mật mã khóa công khai......................................87 4.3.2 Xác thực nguồn gốc dữ liệu..................................................................................88 4.3.2.1 Các phương thức xác thực................................................................................88 4.3.2.2 Các chứng thực số (digital certificates)...........................................................91 Chương 5 THỰC HIỆN IP-VPN....................................................................................94 5.1 Giới thiệu..............................................................................................................94 5.2 Các mô hình thực hiện IP-VPN...........................................................................95 iii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN 5.2.1 Access VPN............................................................................................................96 5.2.1.1 Kiến trúc khởi tạo từ máy khách.......................................................................96 5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS.................................................97 5.2.2 Intranet IP-VPN và Extranet IP-VPN.................................................................97 5.2.3 Một số sản phẩm thực hiện VPN..........................................................................98 5.3 Ví dụ về thực hiện IP-VPN..................................................................................98 5.3.1 Kết nối Client-to-LAN...........................................................................................99 5.3.2 Kết nối LAN-to-LAN...........................................................................................101 KẾT LUẬN...................................................................................................................102 Tài liệu tham khảo........................................................................................................103 Các website tham khảo.................................................................................................104 iv Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Danh mục bảng biểu Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec-----------------------------------------38 Bảng 3.2: Kết quả khi kết hợp lệnh permit và deny-----------------------------------------58 Bảng 3.3: Tổng kết chương các giao thức của IPSec---------------------------------------69 Bảng 4.1: Một số giao thức và thuật toán ứng dụng thông dụng--------------------------70 Bảng 4.2: Thời gian bẻ khóa trong giải thuật RSSA/DSS và ECC.----------------------79 Bảng 4.3: Tóm tắt giải thuật RSA và độ phức tạp-------------------------------------------80 Bảng 4.4: Các bước thực hiện để trao đổi khóa Diffie Hellman--------------------------81 Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen----------------------------------98 v Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Danh sách hình vẽ Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP..........................................................4 Hình 1.2: Định tuyến khi sử dụng IP Datagram..............................................................5 Hình 1. 3: Giao thức kết nối vô hướng.............................................................................6 Hình 1.4: Cấu trúc gói tin IPv4........................................................................................6 Hình 1.5: Hiện tượng phân mảnh trong IP......................................................................8 Hình 1.6: Các lớp địa chỉ IPv4.........................................................................................9 Hình 1.7: Cấu trúc tiêu đề IPv6......................................................................................10 Hình 1.8: Cấu trúc tiêu đề UDP.....................................................................................12 Hình 1.9: Cấu trúc tiêu đề TCP......................................................................................12 Hình 1.10: Thiết lập kết nối theo giao thức TCP...........................................................14 Hình 1.11: Thủ tục đóng kết nối TCP.............................................................................15 Hình 1.12: Cơ chế cửa sổ trượt với kích thước cố định.................................................17 Hình 2.1: Truyền Tunnel trong nối mạng riêng ảo.........................................................21 Hình 2.2: Che đậy địa chỉ IP riêng bằng truyền Tunnel................................................22 Hình 2.3: IP-VPN truy nhập từ xa..................................................................................25 Hình 2.4: Intranet IP-VPN..............................................................................................26 Hình 2.5: Extranet IP-VPN.............................................................................................26 Hình 2.6: Gói dữ liệu của kết nối điều khiển PPTP.......................................................29 Hình 2.7: Dữ liệu đường ngầm PPTP............................................................................29 Hình 2.8: Sơ đồ đóng gói PPTP.....................................................................................30 Hình 2.9: Bản tin điều khiển L2TP.................................................................................32 Hình 2.10: Đóng bao gói tin L2TP.................................................................................32 Hình 2.11: Sơ đồ đóng gói L2TP....................................................................................34 Hình 3.1 Gói tin IP ở kiểu Transport..............................................................................39 Hình 3.2: Gói tin IP ở kiểu Tunnel.................................................................................39 Hình 3.3: Thiết bị mạng thực hiện IPSec kiểu Tunnel...................................................40 Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram.....................................................41 Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport.....................43 Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport.........................43 vi Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel..............................................44 Hình 3.8: Xử lý đóng gói ESP........................................................................................46 Hình 3.9: Khuôn dạng gói ESP......................................................................................46 Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport.................48 Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport..................49 Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel..........................................49 Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau...................................54 Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau...............................55 Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau.......................55 Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE........................56 Hình 3.17: Danh sách bí mật ACL.................................................................................57 Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode)................................59 Hình 3.19: Các tập chuyển đổi IPSec............................................................................61 Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec...........................................68 Hình 4.1: Các khái niệm chung sử dụng trong các thuật toán mật mã.........................71 Hình 4.2: Chế độ chính sách mã điện tử ECB...............................................................73 Hình 4.3: Thuật toán mật mã khối ở chế độ CBC..........................................................73 Hình 4.4: Sơ đồ thuật toán DES.....................................................................................74 Hình 4.5: Mạng Fiestel...................................................................................................75 Hình 4.6: Phân phối khóa trong hệ thống mật mã khóa đối xứng.................................76 Hình 4.7: Mật mã luồng..................................................................................................77 Hình 4.8: Sơ đồ mã khóa công khai...............................................................................78 Hình 4.9: Một bít thay đổi trong bản tin dẫn đến 50% các bít MD thay đổi................83 Hình 4.10: Các hàm băm thông dụng MD5, SHA..........................................................84 Hình 4.11: Cấu trúc cơ bản của MD5, SHA...................................................................84 Hình 4.12: Xác thực tính toàn vẹn dựa trên mã xác thực bản tin MAC........................85 Hình 4.13: Quá trình tạo mã xác thực bản tin MAC......................................................86 Hình 4.14: Chữ ký số......................................................................................................88 Hình 4.15: Giao thức hỏi đáp MAC...............................................................................89 Hình 4.16: Giao thức hỏi đáp sử dụng chữ ký số...........................................................90 Hình 4.17: Mô hình tin tưởng thứ nhất (PGP Web of Trust).........................................91 vii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs).....................92 Hình 4.19: Cấu trúc chung của một chứng thực X.509.................................................93 Hình 5.1: Ba mô hình IP-VPN........................................................................................95 Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng.............................96 Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ.........................................................97 Hình 5.4: IP-VPN khởi tạo từ routers............................................................................97 Hình 5.5: Các thành phần của kết nối Client-to-LAN...................................................99 Hình 5.6: Đường ngầm IPSec Client-to-LAN..............................................................100 Hình 5.7: Phần mềm IPSec Client................................................................................101 Hình 5.8: Đường ngầm IPSec LAN-to-LAN.................................................................101 viii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Ký hiệu viết tắt Viết tắt 3DES AA AAA Chú giải tiếng Anh Triple DES Acccess Accept Authentication, Authorization and Accounting AC Access Control ACK Acknowledge ACL Acess Control List ADSL Asymmetric Digital Subscriber Line AH Authentication Header ARP Address Resolution Protocol ARPA Advanced Research Project Agency ARPANET Advanced Research Project Agency ATM Asynchronous Transfer Mode BGP Border Gateway Protocol B-ISDN Broadband-Intergrated Service Digital Network BOOTP Boot Protocol CA Certificate Authority CBC Cipher Block Chaining CHAP Challenge - Handshake Authentication Protocol CR Cell Relay CSU Channel Service Unit DCE Data communication Equipment DES Data Encryption Standard DH Diffie-Hellman DLCI Data Link Connection Identifier DNS Domain Name System DSL Digital Subscriber Line DSLAM DSL Access Multiplex DTE Data Terminal Equipment EAP Extensible Authentication Chú giải tiếng Việt Thuật toán mã 3DES Chấp nhận truy nhập Nhận thực, trao quyền và thanh toán Điều khiển truy nhập Chấp nhận Danh sách điều khiển truy nhập Công nghệ truy nhập đường dây thuê bao số không đối xứng Giao thức tiêu đề xác thực Giao thức phân giải địa chỉ Cục nghiên cứu các dự án tiên tiến của Mỹ Mạng viễn thông của cục nghiên cứu dự án tiên tiến Mỹ Phương thức truyền tải không đồng bộ Giao thức định tuyến cổng miền Mạng số tích hợp đa dịch vụ băng rộng Giao thức khởi đầu Thẩm quyền chứng nhận Chế độ chuỗi khối mật mã Giao thức nhận thực đòi hỏi bắt tay Công nghệ chuyển tiếp tế bào Đơn vị dịch vụ kênh Thiết bị truyền thông dữ liệu Thuật toán mã DES Giao thức trao đổi khóa Diffie-Hellman Nhận dạng kết nối lớp liên kết dữ liệu Hệ thông tên miền Công nghệ đường dây thuê bao số Bộ ghép kênh DSL Thiết bị đầu cuối số liệu Giao thức xác thực mở rộng ix Đồ án tốt nghiệp Đại học ECB ESP FCS FDDI FPST FR FTP GRE HMAC IBM ICMP ICV IETF IKE IKMP IN IP IPSec ISAKMP ISDN ISO ISP IV L2F L2TP LAN LCP MAC MD5 Protocol Electronic Code Book Mode Encapsulating Sercurity Payload Frame Check Sequence Fiber Distributed Data Interface Fast Packet Switched Technology Frame Relay File Transfer Protocol Generic Routing Encapsulation Hashed-keyed Message Authenticaiton Code International Bussiness Machine Internet Control Message Protocol Intergrity Check Value Internet Engineering Task Force Internet Key Exchange Internet Key Management Protocol Intelligent Network Internet Protocol IP Security Protocol Internet Security Association and Key Management Protocol Intergrated Service Digital Network International Standard Organization Internet Service Provider Initial Vector Layer 2 Forwarding Layer 2 Tunneling Protocol Local Area Network Link Control Protocol Message Authentication Code Message Digest 5 Công nghệ IP - VPN Chế độ sách mã điện tử Giao thức đóng gói an toàn tải tin Chuỗi kiểm tra khung Giao diện dữ liệu cáp quang phân tán Kỹ thuật chuyển mạch gói nhanh Công nghệ chuyển tiếp khung Giao thức truyền file Đóng gói định tuyến chung Mã nhận thực bản tin băm Công ty IBM Giao thức bản tin điều khiển Internet Giá trị kiểm tra tính toàn vẹn Cơ quan tiêu chuẩn kỹ thuật cho Internet Giao thức trao đổi khóa Giao thức quản lí khóa qua Internet Công nghệ mạng thông minh Giao thức lớp Internet Giao thức an ninh Internet Giao thức kết hợp an ninh và quản lí khóa qua Internet Mạng số tích hợp đa dịch vụ Tổ chức chuẩn quốc tế Nhà cung cấp dịch vụ Internet Véc tơ khởi tạo Giao thức chuyển tiếp lớp 2 Giao thức đường ngầm lớp 2 Mạng cục bộ Giao thức điều khiển đường truyền Mã nhận thực bản tin Thuật toán tóm tắt bản tin MD5 x Đồ án tốt nghiệp Đại học MTU NAS NGN NSA OSI OSPF PAP Công nghệ IP - VPN Maximum Transfer Unit Network Access Server Next Generation Network National Sercurity Agency Open System Interconnnection Open Shortest Path First Password Authentication Protocol Protocol Data Unit Public Key Infrastructure Point - Of - Presence Point-to-Point Protocol Point-to-Point Tunneling Protocol Public Switched Telephone Network Remote Authentication Dial-in User Service Reverse Address Resolution Protocol Đơn vị truyền tải lớn nhất Máy chủ truy nhập mạng Mạng thế hệ kế tiếp Cơ quan an ninh quốc gia Mỹ Kết nối hệ thống mở Giao thức định tuyến OSPF Giao thức nhận thực khẩu lệnh RAS Remote Access Service Dịch vụ truy nhập từ xa RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF đưa ra RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa công cộng SA Security Association Liên kết an ninh SAD SA Database Cơ sở dữ liệu SA SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản SN Sequence Number Số thứ tự SPI Security Parameter Index Chỉ số thông số an ninh SS7 Signalling System No7 Hệ thống báo hiệu số 7 TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường TLS Transport Level Security An ninh mức truyền tải PDU PKI POP PPP PPTP PSTN RADIUS RARP Đơn vị dữ liệu giao thức Cơ sở hạn tầng khóa công cộng Điểm hiển diễn Giao thức điểm tới điểm Giao thức đường ngầm điểm tới điểm Mạng chuyển mạch thoại công cộng Dịch vụ nhận thực người dùng quay số từ xa Giao thức phân giải địa chỉ ngược xi Đồ án tốt nghiệp Đại học Công nghệ IP - VPN UDP User Data Protocol Giao thức dữ liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng Các ký hiệu toán học Ký hiệu C D DK E EK IV K KR KU Li, Ri P Ý nghĩa Văn bản mật mã. Thuật toán giải mã. Thuật toán giải mã với khóa K. Thuật toán mật mã. Thuật toán mật mã với khóa K. Vectơ khởi tạo. Khóa K. Khóa bí mật. Khóa công cộng. Bít bên trái và bên phải tại vòng thứ i của thuật toán mã hóa DES. Văn bản rõ. xii Đồ án tốt nghiệp Đại học Công nghệ IP - VPN LỜI NÓI ĐẦU Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới. Một công ty có thể có chi nhánh, có các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin với nhau. Để bảo đảm bí mật các thông tin được trao đổi thì theo cách truyền thống người ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi không nhiều và không thường xuyên. Vì thế người ta đã nghiên cứu ra những công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thông tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo. VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này. Các tổ chức, doanh nghiệp sử dụng dịch vụ IP VPN sẽ tiết kiệm được rất nhiều chi phí trong việc muốn kết nối các chi nhánh văn phòng với nhau, truy cập từ xa vào mạng nội bộ, gọi điện thoại VoIP, với độ bảo mật cao. Hiện nay ADSL đã trở nên phổ biến, chi phí thấp, nên việc thực hiện IP VPN trở nên rất đơn giản, hiệu quả vì tận dụng được đường truyền Internet tốc độ cao. Tính tương thích của IP VPN cao vì sự phổ biến của nó, nên bạn có thể kết hợp nhiều thiết bị của những sản phẩm thương hiệu khác nhau. Trên cơ sở đó, tôi quyết định chọn hướng nghiên cứu đô án của mình là công nghệ IP-VPN. Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN. Bố cục của đồ án gồm 5 chương: - Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái quát về bộ giao thức của TCP/IP. - Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này trình bày các khái niệm VPN, bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó 1 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN có thể trở thành một giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo là trình bày về các khối chức năng cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó. Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN. Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn đề về giao thức IPSec. Bộ giao thức rấ quan trọng IPSec dung cho IP - VPN để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng. Chương 4: An toàn dữ liệu trong IP-VPN. Trình bày một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên IPSec Chương 5: Thực hiện IP – VPN. Chương này trình bày các phương pháp thực hiện IP – VPN hiện đang được sử dụng. Công nghệ IP - VPN không phải là một vấn đề mới mẻ trên thể giới và cũng đang được triển khai rộng rãi ở Việt Nam. Tuy nhiên để có thể triển khai được một cách hoàn chỉnh thì còn có rất nhiều khó khăn phải giải quyết, đồ án chỉ dừng lại ở mức độ nghiên cứu lý thuyết và có những phân tích cơ bản. Em xin gửi lời cảm ơn chân thành đến Trường Đại học Vinh, các thầy cô trong Khoa Công Nghệ đã tạo điều kiện giúp đỡ em trong quá trình học tập và nghiên cứu. Và đặc biệt em xin bày tỏ lòng kính trọng và biết ơn sâu sắc đến Ts. Phạm Văn Bình, giảng viên Đại học Bách Khoa Hà Nội, người đã tận tình hướng dẫn và chỉ bảo em trong quá trình nghiên cứu, xây dựng và hoàn thành đồ án. Mặc dù nhận được rất nhiều sự giúp đỡ của thầy hướng dẫn, các thầy cô giáo và sự cố gắng của bản thân nhưng đồ án không tránh khỏi sai sót vì vậy tôi mong nhận được sự đóng góp nhiều hơn nữa ý kiến từ phía các thầy cô và ban bè cùng những người quan tâm đến lĩnh vực này. 2 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Chương 1 BỘ GIAO THỨC TCP/IP 1.1 Khái niệm mạng Internet Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó được thay thế bởi bộ giao thức TCP/IP (Transfer Control Protocol/ Internet Protocol). Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng. Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụng giao thức IP”. Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn có thể kết nối vào Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet. Internet không chỉ là một tập hợp các mạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng được liên kết với nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép các máy tính liên lạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà chúng không được đấu nối trực tiếp tới. Như vây, kỹ thuật Internet che dấu chi tiết phần cứng của mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với những liên kết mạng vật lý của chúng. TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến: Độc lập với kến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN.  Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệ điều hành nào. Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng như phần mềm khác nhau.  Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác định duy nhất. Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ của máy đích cũng như địa chỉ của máy nguồn.  Khung Client - Server: TCP/IP là khung cho những ứng dụng client - server mạnh hoạt động trên mạng cục bộ và mạng diện rộng. 3 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN  Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trình phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều phương thức mức ứng dụng (những giao thức thực hiện các chức năng dùng như E-mail, truyền nhận file). 1.2 Mô hình phân lớp bộ giao thức TCP/IP Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khác nhau, không chỉ có các giao thức TCP và IP. Mỗi lớp có chức năng riêng. Mô hình TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) như sau: Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP  Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng cụ thể. Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI. Nó gồm các giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng như SMTP, FTP, TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng nghìn các giao thức thuộc lớp này. Các chương trình ứng dụng giao tiếp với các giao thức ở lớp vận chuyển để truyền và nhận dữ liệu. Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển để xử lý trước khi chuyển xuống lớp Internet để tìm đường đi.  Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác. Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không bị lỗi và đúng theo trật tự. Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao thức dữ liệu đồ người sử dụng UDP.  Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phần cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc vật lý khác nhau. 4 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói. (Hỗ trợ giao thức liên IP khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng LAN). Các giao thức của lớp này là IP, ICMP, ARP, RARP.  Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng vật lý. (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành và các card giao diện mạng tương ứng trong máy tính. Lớp này thực hiện nhiệm vụ điều khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý vớ cácp (hoặc với bất kỳ môi trường nào được sử dụng)). Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng vật lý. Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giao thức chuẩn và độc quyền. Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async, ATM, SNA… 1.3 Các giao thức trong mô hình TCP/IP 1.3.1 Giao thức Internet 1.3.1.1 Giới thiệu chung Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích. IP sử dụng các gói tin dữ liệu đồ (datagram). Mỗi datagram có chứa địa chỉ đích và IP sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp. Các gói tin của cùng một cặp người sử dụng dùng những tuyến thông tin khác nhau, việc định tuyến là riêng biệt đối với từng gói tin. Giao thức IP không lưu giữ trạng thái, sau khi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó nữa, vì thế mà không có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới trình trạng lặp gói và sai thứ tự gói tin. Hình 1.2: Định tuyến khi sử dụng IP Datagram. Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là không cần thiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử lí độc lập. IP không kiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của gói là được kiểm tra để tránh 5 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN gửi nhầm địa chỉ. Các gói tin có thể đi được theo nhiều hướng khác nhau để tới đích. Vì vậy dữ liệu trong IP datagram không được đảm bảo. Để xử lý nhược điểm mất hoặc lặp gói IP phải dựa vào giao thức lớp cao hơn để truyền tin cậy (ví dụ TCP). Data Data Sender Sender11 Receiver Data Data Data Data Sender Sender22 Hình 1. 3: Giao thức kết nối vô hướng 1.3.1.2. Cấu trúc IPv4 Thông tin nhận từ lớp vận chuyển được gán thêm vào tiêu đề IP. Tiêu đề này có chiều dài từ 20 đến 60 bytes trên đường đi tùy thuộc vào các chức năng lựa chon được sử dụng. Cấu trúc gói IPv4 được mô tả như trong hình 1.4. Hình 1.4: Cấu trúc gói tin IPv4 Giải thích ý nghĩa các trường: * Version (phiên bản): chỉ ra phiên bản của giao thức IP dùng để tạo datagram, được sử dụng để máy gửi, máy nhận, các bộ định tuyến cùng thống nhất về định dạng lược đồ dữ liệu. Ở đây phiên bản là IPv4. 6 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN * IP header length (độ dài tiêu đề IP): cung cấp thông tin về độ dài của tiêu đề datagram được tính theo các từ 32 bit. * Type of service (loại dịch vụ): trường loại phục vụ dài 8 bit gồm 2 phần, trường ưu tiên và kiểu phục vụ. Trường ưu tiên gồm 3 bit dùng để gán mức ưu tiên cho datagram, cung cấp cơ chế cho phép điều khiển các gói tin qua mạng. Các bit còn lại dùng để xác định kiểu lưu lượng datagram tin khi nó chuyển qua mạng như đặc tính thông, độ trễ và độ tin cậy. Tuy nhiên, bản thân mạng Internet không đảm bảo chất lượng dịch vụ, vì vậy trường này chỉ mạng tính yêu cầu chứ không mang tính đòi hỏi đối với các bộ định tuyến. * Total length (tổng độ dài): trường này gồm 16 bit, nó sử dụng để xác định chiều dài của toàn bộ IP datagram. * Identification (nhận dạng): trường nhận dạng dài 16 bit. Trường này được máy chủ dùng để phát hiện và nhóm các đoạn bị chia nhỏ ra của gói tin. Các bộ định tuyến sẽ chia nhỏ các datagram nếu như dơn vị truyền tin lớn nhất của gói tin (MTU-Maximum Transmission Unit) lớn hơn MTU của môi trường truyền. * Flags (cờ): chứa 3 bit được sử dụng cho quá trình điều khiển phân đoạn, bít đầu tiên chỉ thị tới các bộ định tuyến cho phép hoặc không cho phép phân đoạn gói tin, 2 bit giá trị thấp được sử dụng điều khiển phân đoạn, kết hợp với trường nhận dạng để xác định được gói tin nhận sau quá trình phân đoạn.Fragment offset: mạng thông tin về số lần chỉa một gói tin, kích thước của gói tin phụ thuộc vào mạng cơ sở truyền tin, tức là đọ dài gói tin không thể vượt quá MTU của môi trường truyền. * Time - to - live (thời gian sống): được dùng để ngăn việc các gói tin lặp vòng trên mạng. Nó có vai trò như một bộ đếm ngược, tránh hiện tượng các gói tin đi quá lâu trong mạng. Bất kì gói tin nào có thời gian sống bằng 0 thì gói tin đó sẽ bị bộ định tuyến hủy bỏ và thông báo lỗi sẽ được gửi về trạm phát gói tin. * Protocol (giao thức): trường này được dùng để xác nhận giao thức tầng kế tiếp mức cao hơn đang sử dụng dịch vụ IP dưới dạng con số. * Header checksum: trường kiểm tra tổng header có độ dài 16 bit, được tính toán trong tất cả các trường của tiêu đề IPv4. Một gói tin khi đi qua các bộ định tuyến thì các trường trong phần tiêu đề có thể bị thay đổi, vì vậy trường này cần phải được tính toán và cập nhập lại để đảm bảo độ tin cậy của thông tin định tuyến. * Source Address - Destination Address (địa chỉ nguồn và địa chỉ đích): được các bộ định tuyến và các gateway sử dụng để định tuyến các đơn vị số liệu, luôn luôn đi cùng với gói tin từ nguồn tới đích. 7 Đồ án tốt nghiệp Đại học Công nghệ IP - VPN * Option and Padding (tùy chọn và đệm): có độ dài thay đổi, dùng để thêm thông tin chọn và chèn đầy đảm bảo số liệu bắt đầu trong phạm vi 32 bit. 1.3.1.3. Phân mảnh IP và hợp nhất dữ liệu Giao thức IP khi thực hiện phải luôn có các thuật toán phân chia và hợp nhất dữ liệu. Vì mỗi datagram đều được quy định một kích thước khung cho phép tối đa trên một kết nối điểm - điểm, được gọi là MTU. Khi đi qua các mạng khác nhau có các MTU khác nhau, gói sẽ bị phân chia tùy theo giá trị MTU của mạng đó. Việc xác định MTU của một mạng phụ thuộc vào các đặc điểm của mạng sao cho gói được truyền đi với tốc độ cao nhất. Trong quá trình di chuyển từ nguồn tới đích, một datagram có thể đi qua nhiều mạng khác nhau. Mỗi Router mở gói IP datagram từ khung dữ liệu nó nhận được, xử lý và sau đó đóng gói nó trong một khung dữ liệu khác. Các datagram hình thành sau khi phân chia sẻ được đánh số thứ tự để tiện lợi cho qua trình hợp nhất sau này. Định dạng và kích cỡ của khung dữ liệu nhận được phụ thuộc vào giao thức của mạng vật lý mà khung dữ liệu đi qua. Nếu IP cần chuyển datagram có kích cỡ lớn hơn MTU thì nó gửi datagram trong các mảnh (fragment), các mảnh này sẽ được ghép lại ở đầu thu để trở lại trạng thái ban đầu. Hình 1.5 minh họa hiện tượng phân mảnh. Hình 1.5: Hiện tượng phân mảnh trong IP Khi phân mảnh, hầu hết các trường sẽ được lặp lại, chỉ có một vài thay đổi và mỗi mảnh sẽ lại được tiếp tục bị chia nhỏ nếu nó gặp phải mạng có MTU nhỏ hơn kích thước của nó. Chỉ có host đích là có khả năng ghép các mảnh lại với nhau. Vì mỗi mảnh được xử lý độc lập nên có thể đi qua nhiều mạng và node khác nhau để tới đích. 8