ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN THANH QUỲNH
MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG
MẠNG RIÊNG ẢO
LUẬN VĂN THẠC SĨ
Hà Nội – 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN THANH QUỲNH
MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG
MẠNG RIÊNG ẢO
Ngµnh : C«ng nghÖ §iÖn tö – ViÔn th«ng
Chuyªn ngµnh: Kü thuËt §iÖn tö
M· sè: 60 52 70
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Vương Đạo Vy
Hà Nội – 2011
Mục lục
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT .......................................................... 1
MỞ ĐẦU ........................................................................................................... 5
CHƢƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO .......................... 6
1.1 Internet .................................................................................................... 6
1.2 Giao thƣ́c TCP/IP ...................................................................................... 6
1.2.1 Lớp Truy nhâ ̣p ma ̣ng ........................................................................... 9
1.2.2 Lớp Liên ma ̣ng .................................................................................... 9
1.2.3 Lớp Giao vâ ̣n....................................................................................... 9
1.2.4 Lớp Ƣ́ng du ̣ng ................................................................................... 10
1.2.5 Nhận xét ............................................................................................ 11
1.3 Tổ ng quan về Ma ̣ng Riêng Ảo ................................................................. 11
1.3.1 Khái niệm .......................................................................................... 11
1.3.2 Tính năng và ƣu điể m c ủa mạng riêng ảo .......................................... 11
1.3.2.1 Các tính năng của mạng riêng ảo ............................................... 11
1.3.2.2 Ƣu điể m của mạng riêng ảo ....................................................... 12
1.3.3 Mô ̣t số loa ̣i ma ̣ng riêng ảo ................................................................. 12
1.3.3.1 Mạng riêng ảo truy nhâ ̣p tƣ̀ xa ................................................... 13
1.3.3.2 Mạng riêng ảo nội bô .................................................................
14
̣
1.3.3.3 Mạng riêng ảo mở rô ̣ng .............................................................. 15
1.4 Kết luận ................................................................................................... 16
CHƢƠNG 2 - BẢO MẬT TRONG MẠNG RIÊNG ẢO ................................. 17
2.1 Khái niệm bảo mật .................................................................................. 17
2.2 Giao thƣ́c PPTP ....................................................................................... 18
2.2.1 Khái niệm .......................................................................................... 18
2.2.2 Các cơ chế làm việc của PPTP .......................................................... 18
2.2.3 Hoạt động của PPTP.......................................................................... 25
2.2.4 Nhận xét ............................................................................................ 26
2.3 Giao thƣ́c L2TP ....................................................................................... 27
2.3.1 Khái niệm .......................................................................................... 27
2.3.2 Các cơ chế làm việc của L2TP .......................................................... 27
2.3.3 Hoạt động của giao thức L2TP .......................................................... 32
2.3.4 Nhận xét ............................................................................................ 33
2.4 Giao thƣ́c IPSec ....................................................................................... 34
2.4.1 Khái niệm .......................................................................................... 34
2.4.2 Chế độ đóng gói dữ liệu IP của IPSec ................................................ 36
2.4.2.1 Các chế độ đóng gói .................................................................. 36
2.4.2.2 Giao thƣ́c tiêu đề xác thƣ̣c AH ................................................... 38
2.4.2.3 Giao thƣ́c đóng gói an toàn tải tin ESP ...................................... 42
2.4.3 Các cơ chế làm việc của IPSec .......................................................... 46
2.4.4 Giao thƣ́c bảo mâ ̣t IPSec ................................................................... 54
2.4.4.1 Mâ ̣t mã dƣ̃ liê ̣u ........................................................................... 54
2.4.4.2 Toàn vẹn dữ liệu ........................................................................ 55
2.4.4.3 Nhâ ̣n thƣ̣c .................................................................................. 57
2.4.4.3 Quản lý khóa ............................................................................. 58
2.5 Kết luận ................................................................................................... 59
CHƢƠNG 3 – MÔ PHỎNG ĐƢỜNG HẦM IPSec VPN QUA INTERNET ... 60
3.1 Mô ̣t số loa ̣i Router hỗ trơ ̣ kế t nố i IPSec VPN .......................................... 60
3.2 Mô phỏng mô hin
̀ h IP -VPN Site-to-Site .................................................. 60
3.2.1 Giới thiê ̣u phầ n mề m mô phỏng GNS 3/Graphical Network Senulator60
3.2.2 Mô hình mô ph ỏng ............................................................................ 60
3.2.3 Các bƣớc cấ u hin
̀ h thiế t bi ̣ ................................................................. 62
3.2.3.1 Cấ u hin
̀ h SiteA .......................................................................... 62
3.2.3.2 Cấ u hình SiteB ........................................................................... 63
3.2.3.3 Cấ u hình ISP .............................................................................. 65
3.2.4 Thƣ̣c hiê ̣n Ping giƣ̃a 2 Site và phân tích gói tin ................................. 66
3.2.4.1 Thực hiện ping ........................................................................... 66
3.2.4.2 Thực hiện phân tích gói tin ........................................................ 67
3.2.4.3 So sánh với một bản tin không đƣợc mã hóa bất kỳ ................... 68
3.3 Kết luận ................................................................................................... 70
3.4 Lơ ̣i ích phầ n mề m mang la ̣i ..................................................................... 70
3.5 Một số mô hình VPN thực tế tại các cơ quan, tổ chức ............................ 71
3.5.1 Triển khai VPN thực tế tại Cty TNHH Máy tính NÉT – NETCOM .. 71
3.5.2 Triển khai thực tế tại Bộ Công Thƣơng ............................................. 73
KẾT LUẬN ...................................................................................................... 75
TÀI LIỆU THAM KHẢO ................................................................................ 77
1
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
Viết tắt
3DES
AA
AAA
Chú giải tiếng Anh
Triple DES
Acccess Accept
Authentication,
Authorization and
Accounting
AC
Access Control
ACK
Acknowledge
ACL
Acess Control List
ADSL
Asymmetric Digital
Subscriber Line
AH
Authentication Header
ARP
Address Resolution Protocol
ARPA
Advanced Research Project
Agency
ARPANET Advanced Research Project
Agency
ATM
Asynchronous Transfer
Mode
BGP
Border Gateway Protocol
B-ISDN
Broadband-Intergrated
Service Digital Network
BOOTP
Boot Protocol
CA
Certificate Authority
CBC
Cipher Block Chaining
CHAP
Challenge - Handshake
Authentication Protocol
CR
Cell Relay
CSU
Channel Service Unit
DCE
Data communication
Equipment
DES
Data Encryption Standard
DH
Diffie-Hellman
Chú giải tiếng Việt
Thuật toán mã 3DES
Chấp nhận truy nhập
Nhận thực, trao quyền và thanh
toán
Điều khiển truy nhập
Chấp nhận
Danh sách điều khiển truy nhập
Công nghệ truy nhập đƣờng dây
thuê bao số không đối xứng
Giao thức tiêu đề xác thực
Giao thức phân giải địa chỉ
Cục nghiên cứu các dự án tiên tiến
của Mỹ
Mạng viễn thông của cục nghiên
cứu dự án tiên tiến Mỹ
Phƣơng thức truyền tải không đồng
bộ
Giao thức định tuyến cổng miền
Mạng số tích hợp đa dịch vụ băng
rộng
Giao thức khởi đầu
Thẩm quyền chứng nhận
Chế độ chuỗi khối mật mã
Giao thức nhận thực đòi hỏi bắt tay
Công nghệ chuyển tiếp tế bào
Đơn vị dịch vụ kênh
Thiết bị truyền thông dữ liệu
Thuật toán mã DES
Giao thức trao đổi khóa Diffie-
2
DLCI
DNS
DSL
DSLAM
DTE
EAP
ECB
ESP
FCS
FDDI
FPST
FR
FTP
GRE
HMAC
IBM
ICMP
ICV
IETF
IKE
IKMP
IN
IP
IPSec
Data Link Connection
Identifier
Domain Name System
Digital Subscriber Line
DSL Access Multiplex
Data Terminal Equipment
Extensible Authentication
Protocol
Electronic Code Book Mode
Encapsulating Sercurity
Payload
Frame Check Sequence
Fiber Distributed Data
Interface
Fast Packet Switched
Technology
Frame Relay
File Transfer Protocol
Generic Routing
Encapsulation
Hashed-keyed Message
Authenticaiton Code
International Bussiness
Machine
Internet Control Message
Protocol
Intergrity Check Value
Internet Engineering Task
Force
Internet Key Exchange
Internet Key Management
Protocol
Intelligent Network
Internet Protocol
IP Security Protocol
Hellman
Nhận dạng kết nối lớp liên kết dữ
liệu
Hệ thông tên miền
Công nghệ đƣờng dây thuê bao số
Bộ ghép kênh DSL
Thiết bị đầu cuối số liệu
Giao thức xác thực mở rộng
Chế độ sách mã điện tử
Giao thức đóng gói an toàn tải tin
Chuỗi kiểm tra khung
Giao diện dữ liệu cáp quang phân
tán
Kỹ thuật chuyển mạch gói nhanh
Công nghệ chuyển tiếp khung
Giao thức truyền file
Đóng gói định tuyến chung
Mã nhận thực bản tin băm
Công ty IBM
Giao thức bản tin điều khiển
Internet
Giá trị kiểm tra tính toàn vẹn
Cơ quan tiêu chuẩn kỹ thuật cho
Internet
Giao thức trao đổi khóa
Giao thức quản lí khóa qua Internet
Công nghệ mạng thông minh
Giao thức lớp Internet
Giao thức an ninh Internet
3
ISAKMP
Internet Security Association Giao thức kết hợp an ninh và quản
and Key Management
lí khóa qua Internet
Protocol
ISDN
Intergrated Service Digital
Network
Mạng số tích hợp đa dịch vụ
ISO
International Standard
Organization
Tổ chức chuẩn quốc tế
ISP
Internet Service Provider
Nhà cung cấp dịch vụ Internet
IV
Initial Vector
Véc tơ khởi tạo
L2F
Layer 2 Forwarding
Giao thức chuyển tiếp lớp 2
L2TP
Layer 2 Tunneling Protocol
Giao thức đƣờng ngầm lớp 2
LAN
Local Area Network
Mạng cục bộ
LCP
Link Control Protocol
Giao thức điều khiển đƣờng truyền
MAC
Message Authentication
Code
Mã nhận thực bản tin
MD5
Message Digest 5
Thuật toán tóm tắt bản tin MD5
MTU
Maximum Transfer Unit
Đơn vị truyền tải lớn nhất
NAS
Network Access Server
Máy chủ truy nhập mạng
NGN
Next Generation Network
Mạng thế hệ kế tiếp
NSA
National Sercurity Agency
Cơ quan an ninh quốc gia Mỹ
OSI
Open System
Interconnnection
Kết nối hệ thống mở
OSPF
Open Shortest Path First
Giao thức định tuyến OSPF
PAP
Password Authentication
Protocol
Giao thức nhận thực khẩu lệnh
PDU
Protocol Data Unit
Đơn vị dữ liệu giao thức
PKI
Public Key Infrastructure
Cơ sở hạn tầng khóa công cộng
POP
Point - Of - Presence
Điểm hiển diễn
PPP
Point-to-Point Protocol
Giao thức điểm tới điểm
PPTP
Point-to-Point Tunneling
Protocol
Giao thức đƣờng ngầm điểm tới
điểm
PSTN
Public Switched Telephone
Mạng chuyển mạch thoại công
4
Network
cộng
RADIUS
Remote Authentication Dial- Dịch vụ nhận thực ngƣời dùng
in User Service
quay số từ xa
RARP
Reverse Address Resolution
Protocol
Giao thức phân giải địa chỉ ngƣợc
RAS
Remote Access Service
Dịch vụ truy nhập từ xa
RFC
Request for Comment
Các tài liệu về tiêu chuẩn IP do
IETF đƣa ra
RIP
Realtime Internet Protocol
Giao thức báo hiệu thời gian thực
RSA
Rivest-Shamir-Adleman
Tên một quá trình mật mã bằng
khóa công cộng
SA
Security Association
Liên kết an ninh
SAD
SA Database
Cơ sở dữ liệu SA
SHA-1
Secure Hash Algorithm-1
Thuật toán băm SHA-1
SMTP
Simple Mail Transfer
Protocol
Giao thức truyền thƣ đơn giản
SN
Sequence Number
Số thứ tự
SPI
Security Parameter Index
Chỉ số thông số an ninh
SS7
Signalling System No7
Hệ thống báo hiệu số 7
TCP
Transmission Control
Protocol
Giao thức điều khiển truyền tải
TFTP
Trivial File Transfer Protocol Giao thức truyền file bình thƣờng
TLS
Transport Level Security
An ninh mức truyền tải
UDP
User Data Protocol
Giao thức dữ liệu ngƣời sử dụng
VPN
Virtual Private Network
Mạng riêng ảo
WAN
Wide Area Network
Mạng diện rộng
5
MỞ ĐẦU
Hiện nay, mạng Internet đã trở nên phổ biến trên toàn thế giới. Internet không
chỉ phục vụ cho Giáo dục, Khoa học , Kinh doanh, Viễn thông ...mà nó còn thể
hiện rõ nét một vấn đề đó là: một đất nước có thực sự phát triển và hiện đại hay
không là nhờ vào sự phát triển hạ tầng cũng như ứng dụng CNTT vào thực tế. Vì
thế vai trò của nó là quá lớn, nhưng để tìm hiểu nó ứng dụng thế nào vào thực tế
mà các Doanh nghiệp hiện nay đang ứng dụng thì có lẽ chúng ta phải bỏ ra
công sức không nhỏ và cũng không phải dễ dàng . Vậy trong đề tài này tôi xin
phép được giới thiệu một Công nghệ mà nhiều Doanh nghiệp , đặc biê ̣t là những
doanh nghiê ̣p có nhiề u chi nhánh đang ứng dụng . Và đó là Công nghê ̣ M ạng
riêng ảo chạy trên nền tảng Internet.
Mục đích của luận văn “Mạng Riêng Ảo và Bảo mật trong Mạng Riêng Ảo” là
tìm hiểu những vấn đề cơ bản về bộ giao thức TCP/IP, tổng quan về mạng riêng
ảo – VPN, các giao thức bảo mật được ứng dụng trong mạng VPN và đặc biệt
nhấn mạnh kết quả mô phỏng mô hình đường hầm VPN IPSec site-to-site, nội
dung khoá luận như sau:
Chương 1, giới thiệu tổng quan về Internet, bộ giao thức TCP/IP. Trong đó nêu
rõ chức năng của từng phân lớp của TCP/IP. Đi vào giới thiệu lịch sử phát triển
của mạng VPN, các chức năng và ưu điểm của mạng VPN. Đặc biệt, nhấn mạnh
về một số loại mạng VPN thường vẫn được ứng dụng và triển khai hiện nay
như: Mạng VPN truy cập từ xa, mạng VPN site-to-site.
Chương 2, đề cập tới các giao thức bảo mật được sử dụng trong mạng VPN như
giao thức đường hầm điểm – điểm PPTP, giao thức đường hầm lớp 2 L2TP.
Đặc biệt, chương này đã đi sâu vào giao thức IPSec, là giao thức được sử dụng
cho mạng IP-VPN. Và IP-VPN cũng là mạng mà luận văn này đề cập tới. Các
thuật toán mã hoá, toàn vẹn dữ liệu, nhận thực và quản lý khoá được trình bày
khá chi tiết trong chương này.
Chương 3, thực hiện mô phỏng đường hầm IP-VPN site-to-site sử dụng giao
thức bảo mật IPSec. Dùng lệnh ping để kiểm tra đường đi của gói tin đồng thời
thực hiện bắt gói tin trên đường đi và phân tích offline gói tin bắt được. Qua đó
đưa ra một số kết luận và tham vấn cho các khách hàng có nhu cầu sử dụng kết
nối mạng VPN đồng thời khẳng định được về độ tin cậy của IPSec VPN.
6
CHƢƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO
1.1 Internet
Internet là mô ̣t hê ̣ thố ng toàn cầ u của các ma ̣ng máy tính đƣợc kết nối . Các
máy tính và các mạng máy tính trao đ ổi thông tin sƣ̉ du ̣ng giao thƣ́c TCP /IP –
Transmission Control Protocol /Internet Protocol để liên la ̣c với nhau . Các máy
tính đƣợc kết nối nhờ mạng viễn thông và Internet có thể đƣợc sử dụng để gửi
nhâ ̣n thƣ điê ̣n tƣ̉ (email), truyề n nhâ ̣n các tâ ̣p tin và truy câ ̣p thông tin trên ma ̣ng
toàn cầu.
1.2 Giao thƣ́c TCP/IP
Giao thức TCP/IP trở thành giao thức mạng phổ biến nhất nhờ sự phát triển
không ngừng của mạng Internet. Các mạng máy tính của các cơ quan, tổ chức,
công ty hầu hết đều sử dụng TCP/IP làm giao thức mạng nhờ tính dễ mở rộng và
qui hoạch của nó. Đồng thời, do sự phát triển của mạng Internet nên nhu cầu kết
nối ra Internet và sử dụng TCP/IP đã trở nên thiết yếu cho mọi đối tƣợng.
Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của Internet mà tiền
thân là mạng ARPAnet (Advanced Research Projects Agency) do Bộ Quốc
phòng Mỹ tạo ra. Đây là bộ giao thức đƣợc dùng rộng rãi nhất vì tính mở của
nó. Điều đó có nghĩa là bất cứ máy nào dùng bộ giao thức TCP/IP đều có thể nối
đƣợc vào Internet. Hai giao thức đƣợc dùng chủ yếu ở đây là TCP
(Transmission Control Protocol) và IP (Internet Protocol). Chúng đã nhanh
chóng đƣợc đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công
nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông mở
rộng khắp thế giới mà ngày nay chúng ta gọi là Internet. Phạm vi phục vụ của
Internet không còn dành cho quân sự nhƣ ARPAnet nữa mà nó đã mở rộng lĩnh
vực cho mọi loại đối tƣợng sử dụng, trong đó tỷ lệ quan trọng nhất vẫn thuộc về
giới nghiên cứu khoa học và giáo dục.
Khái niệm giao thức (protocol) là một khái niệm cơ bản của mạng thông tin
máy tính. Có thể hiểu một cách khái quát rằng đó chính là tập hợp tất cả các qui
tắc cần thiết (các thủ tục, các khuôn dạng dữ liệu, các cơ chế phụ trợ...) cho phép
các thao tác trao đổi thông tin trên mạng đƣợc thực hiện một cách chính xác và
an toàn. Có rất nhiều họ giao thức đang đƣợc thực hiện trên mạng thông tin máy
tính hiện nay nhƣ IEEE 802.X dùng trong mạng cục bộ, CCITT X25 dùng cho
mạng diện rộng và đặc biệt là họ giao thức chuẩn của ISO (tổ chức tiêu chuẩn
7
hóa quốc tế) dựa trên mô hình tham chiếu bảy tầng cho việc nối kết các hệ thống
mở. Gần đây, do sự xâm nhập của Internet vào Việt nam, chúng ta đƣợc làm
quen với họ giao thức mới là TCP/IP mặc dù chúng đã xuất hiện từ hơn 20 năm
trƣớc đây.
TCP/IP - Transmission Control Protocol/ Internet Protocol là một họ giao
thức cùng làm việc với nhau để cung cấp phƣơng tiện truyền thông liên mạng
đƣợc hình thành từ những năm 70.
Đến năm 1981, TCP/IP phiên bản 4 mới hoàn tất và đƣợc phổ biến rộng rãi
cho toàn bộ những máy tính sử dụng hệ điều hành UNIX. Sau này Microsoft
cũng đã đƣa TCP/IP trở thành một trong những giao thức căn bản của hệ điều
hành Windows 9x mà hiện nay đang sử dụng. Đến năm 1994, một bản thảo của
phiên bản IPv6 đƣợc hình thành với sự cộng tác của nhiều nhà khoa học thuộc
các tổ chức Internet trên thế giới để cải tiến những hạn chế của IPv4.
Khác với mô hình ISO/OSI tầng liên mạng sử dụng giao thức kết nối mạng
"không liên kết" (connectionless) IP, tạo thành hạt nhân hoạt động của Internet.
Cùng với các thuật toán định tuyến RIP, OSPF, BGP, tầng liên mạng IP cho
phép kết nối một cách mềm dẻo và linh hoạt các loại mạng "vật lý" khác nhau
nhƣ: Ethernet, Token Ring , X.25... Giao thức trao đổi dữ liệu "có liên kết"
(connection - oriented) TCP đƣợc sử dụng ở tầng vận chuyển để đảm bảo tính
chính xác và tin cậy việc trao đổi dữ liệu dựa trên kiến trúc kết nối "không liên
kết" ở tầng liên mạng IP.
Các giao thức hỗ trợ ứng dụng phổ biến nhƣ truy nhập từ xa (telnet), chuyển
tệp (FTP), dịch vụ World Wide Web (HTTP), thƣ điện tử (SMTP), dịch vụ tên
miền (DNS) ngày càng đƣợc cài đặt phổ biến nhƣ những bộ phận cấu thành của
các hệ điều hành thông dụng nhƣ UNIX (và các hệ điều hành chuyên dụng cùng
họ của các nhà cung cấp thiết bị tính toán nhƣ AIX của IBM, SINIX của
Siemens, Digital UNIX của DEC), Windows9x/NT, Novell Netware,...
8
Hình 1.1 Mô hình OSI và mô hình kiế n trúc TCP/IP
Nhƣ vậy, TCP tƣơng ứng với lớp 4 cộng thêm một số chức năng của lớp 5
trong họ giao thức chuẩn ISO/OSI. Còn IP tƣơng ứng với lớp 3 của mô hình
OSI. Trong cấu trúc bốn lớp của TCP/IP, khi dữ liệu truyền từ lớp ứng dụng cho
đến lớp vật lý, mỗi lớp đều cộng thêm vào phần điều khiển của mình để đảm bảo
cho việc truyền dữ liệu đƣợc chính xác. Mỗi thông tin điều khiển này đƣợc gọi
là một header và đƣợc đặt ở trƣớc phần dữ liệu đƣợc truyền. Mỗi lớp xem tất cả
các thông tin mà nó nhận đƣợc từ lớp trên là dữ liệu, và đặt phần thông tin điều
khiển header của nó vào trƣớc phần thông tin này. Việc cộng thêm vào các
header ở mỗi lớp trong quá trình truyền tin đƣợc gọi là encapsulation. Quá trình
nhận dữ liệu diễn ra theo chiều ngƣợc lại: mỗi lớp sẽ tách ra phần header trƣớc
khi truyền dữ liệu lên lớp trên.
Mỗi lớp có một cấu trúc dữ liệu riêng, độc lập với cấu trúc dữ liệu đƣợc dùng
ở lớp trên hay lớp dƣới của nó. Sau đây là giải thích một số khái niệm thƣờng
gặp. Stream là luồ ng s ố liệu đƣợc truyền trên cơ sở đơn vị là Byte. Số liệu đƣợc
trao đổi giữa các ứng dụng dùng TCP đƣợc gọi là stream, trong khi dùng UDP,
chúng đƣợc gọi là message.
Mỗi gói số liệu TCP đƣợc gọi là segment còn UDP định nghĩa cấu trúc dữ
liệu của nó là packet. Lớp Internet xem tất cả các dữ liệu nhƣ là các khối và gọi
là datagram. Bộ giao thức TCP/IP có thể dùng nhiều kiểu khác nhau của lớp
mạng dƣới cùng, mỗi loại có thể có một thuật ngữ khác nhau để truyền dữ liệu.
9
Phần lớn các mạng kết cấu phần dữ liệu truyền đi dƣới dạng các packets hay
là các frames.
Application
Stream
Transport
Segment/datagram
Internet
Datagram
Network Access
Frame
Hình 1.2. Cấu trúc dữ liệu tại các lớp của TCP/IP
1.2.1 Lớp Truy nhâ ̣p ma ̣ng
Lớp Truy nhập mạng/Network Access Layer là lớp thấp nhất trong cấu trúc
phân bậc của TCP/IP. Những giao thức ở lớp này cung cấp cho hệ thống phƣơng
thức để truyền dữ liệu trên các tầng vật lý khác nhau của mạng. Nó định nghĩa
cách thức truyền các khối dữ liệu (datagram) IP. Các giao thức ở lớp này phải
biết chi tiết các phần cấu trúc vật lý mạng ở dƣới nó (bao gồm cấu trúc gói số
liệu, cấu trúc địa chỉ...) để định dạng đƣợc chính xác các gói dữ liệu sẽ đƣợc
truyền trong từng loại mạng cụ thể.
So sánh với cấu trúc OSI/OSI, lớp này của TCP/IP tƣơng đƣơng với hai lớp
Datalink, và Physical. Chức năng định dạng dữ liệu sẽ đƣợc truyền ở lớp này
bao gồm việc nhúng các gói dữ liệu IP vào các frame sẽ đƣợc truyền trên mạng
và việc ánh xạ các địa chỉ IP vào địa chỉ vật lý đƣợc dùng cho mạng.
1.2.2 Lớp Liên mạng
Lớp Liên mạng/Internet Layer là lớp ở ngay trên lớp Network Access trong
cấu trúc phân lớp của TCP/IP. Internet Protocol là giao thức trung tâm của
TCP/IP và là phần quan trọng nhất của lớp Internet. IP cung cấp các gói lƣu
chuyển cơ bản mà thông qua đó các mạng dùng TCP/IP đƣợc xây dựng.
1.2.3 Lớp Giao vâ ̣n
Trách nhiệm của tầng giao vận là kết hợp các khả năng truyền thông điệp
trực tiếp (end-to-end) không phụ thuộc vào mạng bên dƣới, kèm theo kiểm soát
lỗi (error control), phân mảnh (fragmentation) và điều khiển lƣu lƣợng. Việc
truyền thông điệp trực tiếp hay kết nối các ứng dụng tại tầng giao vận có thể
đƣợc phân loại nhƣ sau:
Định hƣớng kết nối (connection-oriented), ví dụ TCP
Phi kết nối (connectionless), ví dụ UDP
10
Tầng giao vận có thể đƣợc xem nhƣ một cơ chế vận chuyển thông thƣờng,
nghĩa là trách nhiệm của một phƣơng tiện vận tải là đảm bảo rằng hàng
hóa/hành khách của nó đến đích an toàn và đầy đủ. Tầng giao vận cung cấp dịch
vụ kết nối các ứng dụng với nhau thông qua việc sử dụng các cổng TCP và
UDP. Do IP chỉ cung cấp dịch vụ phát chuyển nỗ lực tối đa (best effort
delivery), tầng giao vận là tầng đâu tiên giải quyết vấn đề độ tin cậy.
Ví dụ, TCP là một giao thức định hƣớng kết nối. Nó giải quyết nhiều vấn đề
độ tin cậy để cung cấp một dòng byte đáng tin cậy (reliable byte stream):
Dữ liệu đến đích đúng thứ tự
Sửa lỗi dữ liệu ở mức độ tối thiểu
Dữ liệu trùng lặp bị loại bỏ
Các gói tin bị thất lạc/loại bỏ đƣợc gửi lại
Có kiểm soát tắc nghẽn giao thông dữ liệu
1.2.4 Lớp Ƣ́ng du ̣ng
Tầng ứng dụng là nơi các chƣơng trình mạng thƣờng dùng nhất làm việc
nhằm liên lạc giữa các nút trong một mạng. Giao tiếp xảy ra trong tầng này là
tùy theo các ứng dụng cụ thể và dữ liệu đƣợc truyền từ chƣơng trình, trong định
dạng đƣợc sử dụng nội bộ bởi ứng dụng này, và đƣợc đóng gói theo một giao
thức tầng giao vận.
Do bộ giao thức TCP/IP không có tầng nào nằm giữa ứng dụng và các tầng
giao vận, tầng ứng dụng trong bộ TCP/IP phải bao gồm các giao thức hoạt động
nhƣ các giao thức tại tầng trình diễn và tầng phiên của mô hình OSI. Việc này
thƣờng đƣợc thực hiện qua các thƣ viện lập trình.
Dữ liệu thực để gửi qua mạng đƣợc truyền cho tầng ứng dụng, nơi nó đƣợc
đóng gói theo giao thức tầng ứng dụng. Từ đó, dữ liệu đƣợc truyền xuống giao
thức tầng thấp tại tầng giao vận.
Hai giao thức tầng thấp thông dụng nhất là TCP và UDP. Mỗi ứng dụng sử
dụng dịch vụ của một trong hai giao thức trên đều cần có cổng. Hầu hết các ứng
dụng thông dụng có các cổng đặc biệt đƣợc cấp sẵn cho các chƣơng trình phục
vụ (server)(HTTP - Giao thức truyền siêu văn bản dùng cổng 80; FTP - Giao
thức truyền tệp dùng cổng 21, v.v..) trong khi các trình khách (client) sử dụng
các cổng tạm thời (ephemeral port).
11
1.2.5 Nhận xét
Khi mạng Internet xuất hiện cũng đồng nghĩa với rất nhiều các ứng dụng đa
phƣơng tiện khác phát triển theo. Trong các ứng dụng chạy trên nền tảng bộ giao
thức TCP/IP nhƣ Video Conferencing, FTP hay Webmail...Thì bên cạnh đó một
ứng dụng đã ngày càng đƣợc biết đến, đƣợc ứng dụng rộng rãi đó là mạng riêng
ảo/VPN-Virtual Private Network. VPN đã mang lại nhiều lợi ích cho nhiều
doanh nghiệp, nhiều tổ chức thông qua sự tiện lợi, dễ dùng, rất bảo mật và đặc
biệt là rất tiết kiệm chi phí của nó. Chúng ta có thể tìm hiểu chi tiết hơn về mạng
riêng ảo tại mục 1.3 dƣới đây.
1.3 Tổ ng quan về Ma ̣ng Riêng Ảo
Thuật ngữ Mạng Riêng Ảo/Virtual Private Network hay VPN là một công
nghệ đã đƣợc ứng dụng rất phổ biến hiện nay. Nhiều doanh nghiệp đã tận dụng
đƣợc cơ sở hạ tầng mạng Internet sẵn có để triển khai mạng VPN và phát triển
nhiều ứng dụng khác nhau trên nền tảng VPN này.
1.3.1 Khái niệm
Mạng Riêng Ảo đƣợc định nghĩa là một kết nối mạng triển khai trên cơ sở hạ
tầng mạng công cộng (nhƣ mạng Internet) với các chính sách quản lý và bảo mật
giống nhƣ mạng cục bộ.
Hình 1.3 Mô hình mạng riêng ảo
1.3.2 Tính năng và ƣu điể m của mạng riêng ảo
1.3.2.1 Các tính năng của mạng riêng ảo
Mạng riêng ảo hỗ trợ các tính năng sau: tính xác thực, tính toàn vẹn và tính
bảo mật.
12
Tính xác thực: Để thiết lập một kết nối VPN thì trƣớc hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngƣời
mình mong muốn chứ không phải là một ngƣời khác.
Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền và trao đổ i dƣ̃ liê ̣u .
Tính bảo mật: Ngƣời gửi có thể mã hoá các gói dữ liệu trƣớc khi truyền
qua mạng công cộng và dữ liệu sẽ đƣợc giải mã ở phía thu. Vì nhƣ vậy không ai
có thể đọc đƣợc thông tin khi cố tình xâm nhập và bắt gói tin.
1.3.2.2 Ƣu điể m của mạng riêng ảo
Mạng riêng ảo mang lại lợi ích thực sự cho các doanh nghiệp. Mạng riêng
ảo không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa,
ngƣời dùng di động, mở rộng đến từng văn phòng, chi nhánh, mà còn có thể
triển khai mạng riêng ảo Extranet đến tận khách hàng và các đối tác quan trọng.
Những lợi lợi thực sự mà mạng riêng ảo mang lại nhƣ: Tính tiết kiệm chi phí,
tính mềm dẻo, khả năng mở rộng cùng nhiều ƣu điểm khác.
Tính tiết kiệm chi phí: VPN có thể giúp các doanh nghiệp tiết kiệm từ 50% 70% chi phí đầu tƣ vào các kết nối leased line và remote access truyền thống,
giảm đáng kể các chi phí đầu tƣ cho hạ tầng truyền thông và chi phí hàng tháng
đối với các kết nối site to site
Tính linh hoạt: Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận
hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách
hàng có thể sử dụng kết hợp với các công nghệ sẵn có và cơ sở hạ tầng mạng
của doanh nghiệp trƣớc đó.
Khả năng mở rộng: Mạng VPN đƣợc xây dựng dựa trên cơ sở hạ tầng mạng
công cộng. Vì thế với bất kỳ doanh nghiệp nào có nhiều chi nhánh ở xa nhau mà
muốn kết nối với nhau sử dụng công nghệ mạng riêng ảo thì điều cần và đủ là
các chi nhánh đƣợc kết nối tới mạng Internet.
Tính bảo mật: Mạng riêng ảo cung cấp chế độ bảo mật cao nhất nhờ các cơ chế
mã hóa trên nền tảng mạng riêng ảo (mã hóa, xác nhận truy cập và bảo mật hệ
thống). Quản lý các kết nối dễ dạng thông qua tên và mật khẩu truy cập vào hệ
thống mạng riêng ảo trong mạng nội bộ.
1.3.3 Mô ̣t số loa ̣i ma ̣ng riêng ảo
Dựa vào cộng nghệ hoặc dựa vào mô hình, cấu trúc của từng tổ chức mà có
thể phân loại mạng riêng ảo thành các loại khác nhau. Và nếu dựa vào kiến trúc
của doanh nghiệp chúng ta có thể phân loại mạng riêng ảo thành ba loại sau:
13
- Mạng riêng ảo truy nhập từ xa (Remote Access VPN)
- Mạng riêng ảo cục bộ (Intranet VPN)
- Mạng riêng ảo mở rộng (Extranet VPN)
1.3.3.1 Mạng riêng ảo truy nhâ ̣p tƣ̀ xa
Các mạng riêng ảo truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại
mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao
đổi, truy nhập vào mạng của công ty. Vì thế khi nhân viên đi công tác xa tại bất
cứ đâu đều có thể truy nhập vào mạng của công ty bất cứ lúc nào, có thể nói đây
là một sự tiện lợi rất riêng của mạng riêng ảo truy nhập từ xa. Mạng riêng ảo
truy nhập từ xa hay cũng đƣợc gọi là Mạng quay số riêng ảo (Virtual Private
Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các
công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ
các địa điểm từ xa và bằng các thiết bị khác nhau.
Khi VPN đƣợc triển khai, các nhân viên chỉ việc kết nối Internet thông qua
các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty
của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng
trăm nhân viên thƣơng mại. Các Truy Cập từ xa VPN đảm bảo các kết nối đƣợc
bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một
nhà cung cấp dịch vụ thứ ba (third-party). Với Truy cập từ xa VPN, các nhân
viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ
để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức. Các thiết bị
phía máy chủ VPN có thể là Cisco Routers, PIX Firewalls hoặc VPN
Concentrators, phía client là các phần mềm VPN hoặc Cisco Routers.
Hình 1.4 Mô hình truy nhập từ xa – nhân viên di động
14
1.3.3.2 Mạng riêng ảo nội bô ̣
Các mạng riêng ảo nội bộ đƣợc sử dụng để bảo mật các kết nối giữa các địa
điểm khác nhau của một doanh nghiệp. Mạng riêng ảo liên kết trụ sở chính, các
văn phòng, chi nhánh trên một cơ sở hạ tầng mạng công cộng Internet sẵn có và
các kết nối đƣợc mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể
truy nhập an toàn vào các nguồn dữ liệu tại trụ sở chính.
Hình 1.5 Mô hình mạng VPN site to site
Ƣu điểm:
Giảm thiểu đáng kể số lƣợng hổ trợ yêu cầu ngƣời dùng cá nhân qua toàn
cầu, các trạm ở một số remote site khác nhau.
Bởi vì Internet hoạt động nhƣ một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp
dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm
thiểu chi phí cho việc thực hiện Intranet.
Nhƣợc điểm:
Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công
cộng-Internet-và những nguy cơ tấn công, nhƣ tấn công bằng từ chối dịch
vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.
Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
15
Trong một số trƣờng hợp, nhất là khi dữ liệu là loại high-end, nhƣ các tập
tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đƣợc truyền
thông qua Internet.
Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thƣờng
xuyên, và QoS cũng không đƣợc đảm bảo.
1.3.3.3 Mạng riêng ảo mở rô ̣ng
Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ
nhƣ: một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng
extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty
đó có thể làm việc trong một môi trƣờng có chia sẻ tài nguyên.
Hình 1.6 Mô hình mạng VPN mở rộng
Ƣu điểm:
Do hoạt động trên môi trƣờng Internet, bạn có thể lựa chọn nhà phân phối
khi lựa chọn và đƣa ra phƣơng pháp giải quyết tuỳ theo nhu cầu của tổ
chức.- Bởi vì một phần Internet-connectivity đƣợc bảo trì bởi nhà cung
cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.- Dễ
dàng triển khai, quản lý và chỉnh sữa thông tin.
- Xem thêm -