HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
_____________
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2017-2022
Đề tài:
TÌM HIỂU VỀ CÔNG NGHỆ DMVPN
Sinh viên thực hiện
MSSV
Lớp
Giáo viên hướng dẫn
: TRẦN NGỌC HIẾU
: N17DCVT023
: D17CQVT01-N
: TS. ĐỖ PHÚ THỊNH
TP. HCM – 8/2021
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
_____________
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KỸ THUẬT ĐIỆN TỬ TRUYỀN THÔNG
HỆ: ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2016-2021
Đề tài:
TÌM HIỂU VỀ CÔNG NGHỆ DMVPN
Sinh viên thực hiện
MSSV
Lớp
Giáo viên hướng dẫn
: TRẦN NGỌC HIẾU
: N17DCVT023
: D17CQVT01-N
: TS. ĐỖ PHÚ THỊNH
TP. HCM – 8/2021
BM4-TTTN
HỌC VIỆN
CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI TP. HỒ CHÍ MINH
Khoa Viễn Thông 2
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
TP. Hồ Chí Minh, ngày
tháng
năm 2021
PHIẾU GIAO ĐỀ CƯƠNG THỰC TẬP TỐT NGHIỆP
Căn cứ Quyết định số:……./QĐ-HVCS ngày …..tháng……năm 2021 của Phó Giám
đốc Học viện – Phụ trách Cơ sở tại TP. Hồ Chí Minh về việc giao nhiệm vụ thực tập tốt
nghiệp cho……..sinh viên Khoá 2017 hệ chính qui Ngành Kỹ thuâ ̣t Điện tử truyền thông,
Khoa Viễn Thông 2 giao nhiệm vụ thực hiện đề cương thực tập tốt nghiệp cho sinh viên:
1. Họ và tên sinh viên: Trần Ngọc Hiếu
Mã SV: N17DCVT023
Lớp: D17CQVT01-N Ngành: KT-Điện tử truyền thông
Hình thức đào tạo: Chính
qui
2. Nội dung thực tập chính: Tìm hiểu về Công nghệ DMVPN
3. Nơi đăng ký thực tập:
Đơn vị chủ quản: Chi nhánh Công ty TNHH Viễn Thông Minh Tú
Đơn vị cơ sở tiếp nhận thực tập: Văn phòng chính, Công ty TNHH Viễn Thông Minh
Tú
Địa chỉ: 34 Đường số 6, KDC Z756, Phường 12, Quận 10, TP.HCM (Hà Đô Centrosa
Garden)
Số ĐT: +8428 73097888
Số Fax: …………………………………………
4. Đề cương thực tập:
- Tìm hiểu về đơn vị thực tập.
- Tìm hiểu tổng quan về VPN.
- Tìm hiểu tổng quan về DMVPN.
- So sánh VPN & DMVPN.
- Triển khai mô hình DMVPN trong môi trường Lab ảo.
5. Giáo viên hướng dẫn: TS. Đỗ Phú Thịnh
Ký tên………………………
6. Yêu cầu kết quả thực hiện: Kết thúc kỳ thực tập tốt nghiệp, sinh viên phải lập báo
cáo kết quả thực tập, có ý kiến đánh giá của cơ sở thực tập, hình thức theo quy định
của Học viện.
7. Thời gian thực hiện:
Từ ngày:
tháng
năm 2021 đến ngày
tháng
năm 2021.
TRƯỞNG KHOA
Nơi nhận:
- Sinh viên có tên tại khoản 1;
- Lưu VP khoa.
PGS. TS. Võ Nguyễn Quốc Bảo
Khoa Viễn Thông
Học Viện Công Nghệ Bưu Chính Viễn Thông
11 Nguyễn Đình Chiểu, Phường Đakao, Quận 1, TP. Hồ Chí Minh
Điện thoại/Fax: +84-283-9101-536
Website: http://ft.ptithcm.edu.vn
BẢNG ĐÁNH GIÁ QUÁ TRÌNH THỰC TẬP
Họ và tên sinh viên :
Cơ quan thực tập :
Địa chỉ:
Thời gian thực tập :
Người trực tiếp hướng dẫn (tại cơ quan thực tập) :
I. PHẦN ĐÁNH GIÁ
T
T
1
1.
1
1.
2
1.
3
1.
4
1.
5
1.
6
2
2.
1
2.
2
2.
3
3
Các phẩm chất
Kiến thức và kỹ năng của sinh
viên
Kiến thức chuyên ngành
Khả năng nắm bắt vấn đề và giải
quyết vấn đề thực tập
Khả năng vận dụng kiến thức đã
học vào giải quyết vấn đề
Khả năng tìm phương pháp mới
để giải quyết vấn đề
Kỹ năng thực hành
Kỹ năng sắp xếp và trình bày
Khả năng thích ứng với công ty
Khả năng kết nối và phối hợp
trong công việc với nhóm làm
việc
Khả năng chủ động giải thích,
trao đổi trong công việc
Tôn trọng nhưng quy định công
việc và văn hóa của công ty
Báo cáo thực tập
Xuất
sắc
Giỏ
i
MSSV :
Kh
á
Trung
bình
Yếu
Không
chấp nhận
được
3.
1
3.
2
3.
3
Mức độ hoàn thành công việc
được giao tại công ty
Về mặt nội dung và cấu trúc: đầy
đủ, hợp lý và khoa học
Về mặt trình bày
II. PHẦN NHẬN XÉT
Trong những sinh viên thực tập mà công ty đã nhận, mức độ sinh viên đạt được là
Một trong
Một trong
những sinh
Dưới mức
những sinh
Giỏi
Khá
Trung bình
viên xuất sắc
trung bình
viên kém
nhất
nhất
□
□
□
□
□
□
Lời khuyên cho sinh viên:
Những nhận xét/quan sát khác cho sinh viên trong quá trình thực tập:
Điểm tổng kết thực tập tốt nghiệp (hệ 10):
XÁC NHẬN CỦA CƠ QUAN
NGƯỜI HƯỚNG DẪN
(tại cơ quan thực tập)
Ký tên
● Ghi chú: Cơ quan xác nhận phải là cơ quan đăng ký thực tập, hoặc là cơ quan
chủ quản của đơn vị thực tập.
● Dấu xác nhận là dấu tròn.
LỜI CẢM ƠN
Trong suốt khoảng thời gian học tập và gắn bó tại Học viện Công nghệ Bưu chính viễn
thông cơ sở tại TP.HCM, em có đôi lời muốn nhắn gửi. Trước tiên, em xin gửi lời cảm ơn
chân thành và sâu sắc của mình đến quý Thầy/Cô đã và đang công tác tại đây - những người
đã dìu dắt, truyền đạt cho em những kiến thức hữu ích bằng tất cả tâm huyết và luôn sẵn sàng
tạo cơ hội cho em được tiếp cận với thực tế chuyên môn cũng như môi trường học tập tốt
nhất.
Hơn ai hết, em xin gửi lời cảm ơn chân thành đến thầy Đỗ Phú Thịnh - giáo viên chịu
trách nhiệm hướng dẫn em trong kỳ thực tập vừa qua. Trong suốt thời gian qua, Thầy đã tận
tình hướng dẫn, góp ý, định hướng và giúp đỡ em hoàn thành tốt bài báo cáo thực tập.
Tiếp theo, em cũng xin chân thành cảm ơn Công Ty TNHH Viễn Thông Minh Tú nói
chung cũng như toàn thể các anh/chị tại công ty nói riêng, đã đồng ý tiếp nhận em đến thực
tập tại đây. Đặc biệt, em xin cảm ơn anh Minh Tú đã nhiệt tình giúp đỡ, chỉ bảo và tạo điều
kiện để em hoàn thành tốt nhiệm vụ được giao trong suốt quá trình thực tập.
Cuối cùng em xin kính chúc ban lãnh đạo cùng toàn thể các anh chị tại Công Ty TNHH
Viễn Thông Minh Tú được dồi dào sức khỏe và thành công trong công tác. Vì kiến thức bản
thân có hạn, trong quá trình thực tập và hoàn thiện đề tài này, em không thể tránh khỏi những
sai sót, kính mong nhận được sự bỏ qua cũng như những ý kiến đóng góp từ Thầy/Cô và các
anh/chị trong Công ty.
Em xin chân thành cảm ơn!
TP. Hồ Chí Minh, ngày … tháng 08 năm
2021
Sinh viên thực tập
Trần Ngọc Hiếu
MỤC LỤC
LỜI MỞ ĐẦU
1
CHƯƠNG 1: GIỚI THIỆU VỀ ĐƠN VỊ THỰC TẬP – CÔNG TY TNHH VIỄN
THÔNG MINH TÚ
2
1.1 Giới thiệu chung................................................................................................................2
1.2 Các dịch vụ........................................................................................................................3
1.2.1 Các dịch vụ cố định cho khách hàng đại chúng.........................................................3
1.2.2 Các dịch vụ cho khách hàng doanh nghiệp................................................................3
1.3 Thông tin liên hệ...............................................................................................................4
CHƯƠNG 2: CÔNG NGHỆ VPN
5
2.1 Khái niệm VPN.................................................................................................................5
2.1.1 Lịch sử........................................................................................................................5
2.1.2 Định nghĩa..................................................................................................................5
2.1.3 Nguyên tắc hoạt động.................................................................................................5
2.2 Các chức năng, ưu & nhược điểm.....................................................................................6
2.2.1 Các chức năng............................................................................................................6
2.2.2 Ưu & nhược điểm.......................................................................................................6
2.2.2.1 Ưu điểm...................................................................................................................6
2.2.2.2 Nhược điểm.............................................................................................................7
2.3 Đường hầm & mã hóa (Tunnel & Encryption).................................................................7
2.3.1 Định nghĩa đường hầm & mã hóa..............................................................................7
2.3.2 Cách thức hoạt động của đường hầm.........................................................................8
2.3.3 Các giao thức mã hóa.................................................................................................9
2.4 Các dạng kết nối mạng VPN...........................................................................................10
2.4.1 Site-To-Site VPN......................................................................................................10
2.4.1.1 Intranet VPN......................................................................................................11
2.4.1.2 Extranet VPN.....................................................................................................12
2.4.2 Remote Access VPN................................................................................................13
2.5 An toàn & bảo mật VPN.................................................................................................15
2.5.1 Các vấn đề bảo mật...................................................................................................15
2.5.2 Hình thức an toàn.....................................................................................................16
2.5.2.1 An toàn phần cứng.............................................................................................16
2.5.2.2 An toàn thông tin...............................................................................................16
2.5.2.3 An toàn quản trị.................................................................................................16
CHƯƠNG 3: CÔNG NGHỆ DMVPN
18
3.1. Tổng quang về DMVPN................................................................................................18
3.1.1 Khái niệm DMVPN..................................................................................................18
3.1.2 Cách thức hoạt động của DMVPN...........................................................................18
3.1.3 Các dạng triển khai DMVPN....................................................................................18
3.1.4 Các giao thức trong DMVPN...................................................................................19
3.1.4.1 Giao thức GRE...................................................................................................19
3.1.4.1.1 Các tính năng..................................................................................................20
3.1.4.2 GRE over IPSEC................................................................................................20
3.1.4.3 Phân loại GRE....................................................................................................21
3.1.4.2 Giao thức NHRP (Next Hop Resolution Protocol)............................................23
CHƯƠNG 4: SO SÁNH CÔNG NGHỆ VPN & DMVPN
25
4.1. Mô hình VPN thông thường...........................................................................................25
4.2. Mô hình DMVPN...........................................................................................................25
4.3. Ưu điểm của công nghệ DMVPM..................................................................................26
CHƯƠNG 5: TRIỂN KHAI DMVPN
28
5.1. Sơ đồ...............................................................................................................................28
5.2. Cấu hình.........................................................................................................................29
KẾT LUẬN
38
CÁC TỪ VIẾT TẮT
39
TÀI LIỆU THAM KHẢO
41
DANH MỤC HÌNH
Hình 1.1: Logo Công ty TNHH Viễn Thông Minh Tú...............................................................3
Hình 1.2: Các dịch vụ cho khách hàng....................................................................................4Y
Hình 2.1: Mô hình VPN thông thường.......................................................................................6
Hình 2.2: Cấu trúc một gói tin IP trong đường hầm...................................................................9
Hình 2.3: Địa chỉ IP....................................................................................................................9
Hình 2.4: Mô hình Site-To-Site VPN.......................................................................................12
Hình 2.5: Mô hình VPN cục bộ................................................................................................13
Hình 2.6: Mô hình VPN mở rộng.............................................................................................14
Hình 2.7: Mô hình VPN truy cập từ xa.......................................................................................1
Hình 3.1: Mô hình triển khai DMVPN.....................................................................................20
Hình 3.2: Định dạng Packet được đóng gói với GRE...............................................................21
Hình 3.3: Định dạng GRE over IPSEC.....................................................................................21
Hình 3.4: Thiết lập GRE Tunnel over IPSEC...........................................................................22
Hình 3.5: Point-To-Point GRE.................................................................................................23
Hình 3.6: Point-To-Multipoint GRE.........................................................................................23
Hình 3.7: Mô hình mô phỏng giao thức NHRP bằng EVE 24
Y
Hình 4.1: Mô hình VPN thông thường.....................................................................................26
Hình 4.2: Mô hình DMVPN.......................................................................................................2
Hình 5.1: Sơ đồ bài Lab............................................................................................................29
Hình 5.2: Kiểm tra trạng thái đường Tunnel............................................................................32
Hình 5.3: Kiểm tra trạng thái NHRP trên Spoke......................................................................33
Hình 5.4: Kiểm tra trạng thái NHRP trên Hub.........................................................................34
Hình 5.5: Kiểm tra trạng thái DMVPN.....................................................................................34
Hình 5.6 : Kiểm tra trạng thái IPSEC.......................................................................................36
Hình 5.7: Kiểm tra định tuyến các lớp mạng giữa các site.......................................................38
Hình 5.8: Kiểm tra đường đi của gói tin...................................................................................38
MỤC LỤC BẢNG
Bảng 3.1: Quy hoạch IP.........................................................................................................25Y
Bảng 5.1: Quy hoạch IP cho sơ đồ Lab....................................................................................29
LỜI MỞ ĐẦU
Ngày nay, cùng với xu hướng phát triển vượt bậc của công nghệ, Internet đang ngày càng
chiếm vị thế quan trọng trong cuộc sống. Nhờ có Internet, thông tin được nắm bắt nhanh
chóng, các mối quan hệ công việc trong xã hội ngày càng tiện lợi hơn, cho phép các nhân viên
làm việc một cách hiệu quả tại nhà và cho phép doanh nghiệp kết nối một cách an toàn đến
các đối tác của họ.
Vấn đề trao đổi thông tin liên lạc là cực kì quan trọng, đặc biệt với những tổ chức, công
ty, doanh nghiệp có trụ sở hoặc chi nhánh đặt khắp nơi trên thế giới. Có rất nhiều giải pháp
được đặt ra, tuy nhiên, đâu là giải pháp vừa đáp ứng nhu cầu trao đổi thông tin vừa đáp ứng
nhu cầu bảo mật thông tin khi nó được truyền qua mạng Internet – một môi trường bảo mật
kém.
Một trong những công nghệ mà hiện nay được các doanh nghiệp, các công ty, các hãng
thương mại,.. sử dụng phổ biến là Virtual Private Network (VPN). Dựa vào công nghệ VPN,
khoảng cách địa lí không còn là vấn đề khi truy xuất tài nguyên nội bộ, ngoài ra VPN còn
giúp tiết kiệm nhiều chi phí và thời gian. Mặc dù vậy, VPN thông thường có những nhược
điểm của nó. Đó là các điểm kết nối phải thuê những địa chỉ tĩnh; đồng thời trên Router đóng
vai trò trung tâm phải thực hiện việc cấu hình khá nhiều và phức tạp. Thêm vào đó, khi các
điểm muốn kết nối với nhau phải thông qua Router trung tâm này mà không thể kết nối trực
tiếp được.
Từ những hạn chế đó nảy sinh công nghệ DMVPN. Công nghệ này là một bước phát triển
của VPN nhằm cải thiện những hạn chế trên. Với DMVPN, việc cấu hình trở nên đơn giản,
các kết nối được thực hiện một cách tự động và chi phí bỏ ra cũng ít hơn một VPN thông
thường. Khi xây dựng công nghệ DMVPN, vấn đề đảm bảo an ninh giữa các mạng là vấn đề
cần được quan tâm nhất. Giải pháp đảm bảo tính bảo mật của mạng DMVPN. Tuy công nghệ
này không phải là mới nhưng nó được áp dụng rất rộng rãi.
Chính những vấn đề trên và với mong muốn nắm vững kiến thức về công nghệ DMVPN,
em đã quyết định chọn đề tài “Tìm hiểu về Công nghệ DMVPN” làm đề tài nghiên cứu thực
tập của mình.
CHƯƠNG 1: GIỚI THIỆU VỀ ĐƠN VỊ THỰC TẬP – CÔNG TY TNHH
VIỄN THÔNG MINH TÚ
1.1 Giới thiệu chung
Hình 1.: Logo Công ty TNHH Viễn Thông Minh Tú
Công Ty TNHH Viễn Thông Minh Tú (tên gọi tắt là MT Telecom) là một doanh nghiệp
hàng đầu trong lãnh vực cung cấp dịch vụ Viễn thông & Internet, truyền dẫn số liệu, cung ứng
các giải pháp CNTT cho khách hàng đại chúng, các nhà cung cấp dịch vụ và khách hàng
doanh nghiệp,..
Thành lập từ năm 2010, đến nay đã được 11 năm đi vào hoạt động. MTT hiện có hơn 30
nhân lực và vẫn đang mở rông thêm. Sức mạnh của MTT dựa trên nguồn nhân lực với nhiều
năm kinh nghiệm và hiểu biết về mạng. MTT có thể liên kết một đội ngũ những người có mối
quan hệ bền vững với các nhà cung cấp và khách hàng. Tinh thần của MTT là đặt nhu cầu của
khách hàng lên hàng đầu, bất cứ khi nào và bất kỳ ở đâu. Nhiệm vụ của MTT là tiếp tục theo
đuổi những ý tưởng sáng tạo và các giải pháp cho khách hàng.
Với sứ mệnh tiên phong trong mạng Internet, MT Telecom mong muốn trở thành công ty
cung cấp dịch vụ viễn thông, CNTT Việt Nam theo phương thức dịch vụ 1 điểm dừng (OneStop-Shop) từ Internet, phần cứng, phần mềm đến các dịch vụ IT cho khách hàng. MTT luôn
lấy “khách hàng làm trung tâm” với mong muốn thấu hiểu nhu cầu của khách hàng và đáp
ứng yêu cầu cho cả nhà cung cấp lẫn khách hàng một giải pháp vẹn toàn nhất.
1.2 Các dịch vụ
Hình 1.: Các dịch vụ cho khách hàng
1.2.1 Các dịch vụ cố định cho khách hàng đại chúng
Dịch vụ truy nhâ ̣p Internet băng rô ̣ng cố định mă ̣t đất công nghê ̣ FTTH/xPON.
Dịch vụ IT: cung ứng các giải pháp IT tối ưu cho các ngân hàng, siêu thị, nhà sách,..
nhỏ và lẻ.
1.2.2 Các dịch vụ cho khách hàng doanh nghiệp
Truyền dẫn số liệu: điện thoại VoIP, Hội nghị trực tuyến (Video Conferencing) dựa
trên các đường truyền số liệu nhằm tiết kiệm chi phí điện thoại, chi phí đi lại.
Kênh thuê riêng Internet: phạm vi kết nối trong nước lẫn quốc tế.
Dịch vụ thoại: tổng đài ảo IPBX.
Domain & Hosting: Tên miền, lưu trữ dữ liệu và email, thuê máy chủ và chỗ đặt máy
chủ.
Dịch vụ điện toán đám mây máy chủ ảo: public cloud & private cloud.
Dịch vụ giải pháp SD-WAN cho doanh nghiệp lớn.
1.3 Thông tin liên hệ
Công ty TNHH Viễn Thông Minh Tú
ĐỊA CHỈ VĂN PHÒNG
34 Đường số 6, KDC Z756, Phường 12, Quận 10, TP. HCM (Hà Đô Centrosa Garden)
EMAIL
Liên hệ công ty: mailto:
[email protected]
Tuyển Dụng: mailto:
[email protected]
Hỗ trợ kỹ thuật: mailto:
[email protected]
Thông báo: mailto:
[email protected]
WEBSITE
www.mtt.vn
HOTLINE
028 73097888
CHƯƠNG 2: CÔNG NGHỆ VPN
2.1 Khái niệm VPN
2.1.1 Lịch sử
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đã có từ nhiều
năm trước và trải qua nhiều quá trình phát triển, thay đổi cho đến nay đã tạo ra một dạng mới
nhất. VPN đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biết như
Software Defined Networks (SDN). Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công
nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số ISDN (Integrated Services Digital Network)
từ đầu những năm 90. Hai công nghệ này cho phép truyền những gói dữ liệu qua các mạng
chia sẽ chung.
Sau khi thế hệ thứ hai của VPN ra đời, thị trường VPN tạm thời lắng động và chậm tiến
triển, cho tới khi có sự nổi lên của hai công nghệ FR (Frame Relay) và ATM (Asynchronous
Tranfer Mode). Thế hệ thứ ba của VPN đã phát triển dựa theo 2 công nghệ này. Hai công
nghệ này phát triển dựa trên khái niệm về chuyển mạch kênh ảo, theo đó các gói dữ liệu sẽ
không chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ mang những con trỏ, trỏ đến các
mạch ảo nơi mà dữ liệu nguồn và đích sẽ được giải quyết.
2.1.2 Định nghĩa
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết
nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì
dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được
truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Một mạng riêng ảo (VPN – Virtual Private Network) là một công nghệ cung cấp sự bảo
mật và riêng tư trong quá trình trao đổi dữ liệu trong môi trường mạng không an toàn. VPN
đảm bảo dữ liệu được truyền bằng cách đóng gói dữ liệu và mã hóa dữ liệu.
Hình 2.: Mô hình VPN thông thường
2.1.3 Nguyên tắc hoạt động
Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằng cách
kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công cộng như Internet.
Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên mạng chia sẻ hoặc mạng
công cộng như Internet thông qua mô phỏng một liên kết điểm tới điểm (point-to-point). Các
gói tin được gửi qua VPN nếu bị chặn trên mạng chia sẻ hoặc mạng công cộng sẽ không thể
giải mã được vì không có mã khóa. Đó là một mạng riêng sử dụng hạ tầng truyền thông công
cộng, duy trì tính riêng tư bằng cách sử dụng một giao thức đường hầm (tunneling protocol)
và các thủ tục bảo mật (security procedures). VPN có thể sử dụng để kết nối giữa một máy
tính tới một mạng riêng hoặc hai mạng riêng với nhau.
Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng
gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại đích đến
bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.
Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng trong
VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem xét và so sánh
chúng dựa trên mục đích sử dụng.
Internet Protocol Security (IPSec)
Point-to-Point Tunneling Protocol (PPTP)
Layer2 Tunneling Protocol (L2TP)
Secure Socket Layer (SSL)
2.2 Các chức năng, ưu & nhược điểm
2.2.1 Các chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn
(Integrity) và tính bảo mật (Confidentiality):
- Tính xác thực (Authentication): để thiết lập một kết nối VPN thì trước hết cả hai phía
phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người
mình mong muốn chứ không phải là một người khác.
- Tính toàn vẹn (Integrity): Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
- Tính bảo mật (Confidentiality): Người gửi có thể mã hóa các dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,
không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy
được thông tin thì cũng không đọc được.
2.2.2 Ưu & nhược điểm
2.2.2.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN không chỉ
để đơn giản hóa việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở
rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng
và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc
mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp
đều bao gồm: tiết kiệm chi phí (cost saving), tính mềm dẻo (Flexibility), khả năng mở rộng
(scalability) và một số ưu điểm khác:
• Tiết kiệm chi phí (cost saving): VPN làm giảm chi phí hơn so với mạng cục bộ: tổng
giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho
việc thuê băng thông đường truyền, các thiết bị mạng đường trục và hoạt động của hệ
thống. Giá thành cho việc kết nối Lan-to-Lan giảm từ 20-30% so với việc sử dụng
đường truyền leased lines truyền thống. Việc truy cập từ xa giảm 60-80%.
• Tính mềm dẻo (Flexibility): Khách hàng có thể sử dụng các kết nối khác nhau giữa
các văn phòng, các đối tượng di động. Nhà cung cấp dịch vụ VPN có thể cung cấp
nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s,
xDSL, T1, T3 … Khả năng mở rộng: Do VPN được xây dựng dựa trên cơ sở hạ tầng
mạng công cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển
khai VPN. Mà mạng công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của
VPN là rất linh động. Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng
của công ty bằng cách sử dụng đường dây điện thoại hay DSL… Và mạng VPN dễ
dàng gỡ bỏ khi có nhu cầu.
• Đáp ứng các nhu cầu thương mại: Các sản phẩm dịch vụ VPN tuân theo chuẩn chung
hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan
trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với
nhau. Đối với các thiết bị Công nghệ Viễn thông mới thì vấn đề cần quan tâm là
chuẩn hóa, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế
thừa, độ tin cậy và hiệu suất hoạt động. Đặc biệt là khả năng thương mại của sản
phẩm.
2.2.2.2 Nhược điểm
Phụ thuộc trong môi trường Internet.
Thiếu sự hổ trợ cho một số giao thức kế thừa.
• Secure Socket Layer (SSL)
2.3 Đường hầm & mã hóa (Tunnel & Encryption)
Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật thông tin bằng cách
mã hoá(Encryption) và chứng thực qua một đường hầm (Tunnel).
2.3.1 Định nghĩa đường hầm & mã hóa
Đường hầm
Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã hoá bằng
một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu
sau khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người
nhận cho nên sẽ tránh được sự mất cắp, xem trộm thông tin, đường hầm chính là đặc tính ảo
của VPN.
Hình 2. : Cấu trúc một gói tin IP trong đường hầm
Hình 2.: Địa chỉ IP
Tunnel là một cơ chế, mà người ta gọi là đường ống, nó có chức năng che dấu đi dữ
liệu A nào đó bằng một lớp dữ liệu B khác. Mô hình là vậy để chúng ta dễ hiễu, thực chất
công việc này trong truyền thông là gắn thêm vào dữ liệu một header riêng, để biết rằng đó là
gói dữ liệu theo định dạng của B.
Nhìn vào mô hình minh họa này, chúng ta cũng thấy có một vấn để được đề cập đến
chính là địa chỉ IP. Bản thân gói dữ liệu gửi từ A, đã có địa chỉ ip của riêng nó và của đích
mà nó cần đến. Khi được tunnel hóa đi, nó mang thêm vào một địa chỉ ip nguồn và đích của
tunnel. Người ta gọi đây là ip tunnel, và giao tiếp giữa hai ip tunnel này gọi là Tunnel
Interface. Như vậy, giữa hai đầu của tunnel, về mặt luận lý, bạn có thể hiểu nó là một sợ cáp
mạng nối hai điểm cần giao tiếp với nhau.
Mục đích của việc tạo tunnel là để che dấu địa chỉ ip private bằng địa chỉ ip public, từ
đó giúp hai hệ thống mạng private có thể giao tiếp được với nhau. Tại đầu gửi, địa chỉ ip
private nằm trong gói dữ liệu, được gói thành một gói dữ liệu mới (đúng hơn là gắn thêm
header) mang địa chỉ ip public, và thông qua tunnel nó được gửi đến đầu nhận có địa chỉ ip
public. Tại đầu nhận gói dữ liệu được tháo ra để lấy dữ liệu bên trong và trả vào cho mạng
private.
Mã hóa
Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay plain text)
thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nó không có
khả năng đọc được hay khả năng sử dụng bởi những người dùng không được phép.
2.3.2 Cách thức hoạt động của đường hầm
Công nghệ mạng riêng ảo dựa trên khái niệm tunneling. Giống như một đường ống
nước chứa chất lỏng chảy bên trong nó, VPN tunnel cách ly và đóng gói lưu lượng truy cập
Internet, thường là với một số loại mã hóa để tạo ra một tunnel riêng tư cho dữ liệu, khi nó
truyền trong một mạng không bảo mật.
Khi lưu lượng truy cập Internet truyền bên trong VPN tunnel, nó cung cấp kết nối riêng
tư, bảo mật giữa máy tính của bạn và một máy tính hoặc máy chủ khác tại một trang web
khác. Khi được kết hợp với mã hóa mạnh, việc tạo tunneling khiến dữ liệu của bạn hầu như
không thể bị xem trộm hoặc hack.
VPN tunneling là một quá trình đóng gói và mã hóa dữ liệu:
Đóng gói dữ liệu: Đóng gói là quá trình gói một gói dữ liệu Internet bên trong
một gói khác, giống như khi bạn đặt một lá thư bên trong một phong bì để gửi.
Mã hóa dữ liệu: Tuy nhiên, chỉ có một tunnel là chưa đủ. Mã hóa làm xáo
trộn và khóa nội dung của bức thư, tức là dữ liệu của bạn, để bất kỳ ai cũng
không thể mở và đọc được ngoại trừ người nhận dự định.
Mặc dù VPN tunnel có thể được tạo mà không cần mã hóa, nhưng VPN tunnel thường
không được coi là bảo mật trừ khi chúng được bảo vệ bằng một số loại mã hóa. Đây là lý do
tại sao VPN được mô tả là kết nối được mã hóa.
2.3.3 Các giao thức mã hóa
Một số giao thức mã hóa đã được tạo riêng để sử dụng với các VPN tunnel. Các loại
giao thức mã hóa VPN phổ biến nhất bao gồm IPSec, PPTP, L2TP, OpenVPN, IKEv2, SSTP
và OpenVPN:
IPsec là bộ giao thức bảo mật được sử dụng để xác thực và mã hóa dữ liệu qua
mạng VPN. Nó bao gồm các tiêu chuẩn để thiết lập kết nối giữa hai máy tính
và trao đổi key mật mã. Các key mã hóa dữ liệu, vì vậy chỉ các máy tính tham
gia trao đổi mới có thể mở key và xem dữ liệu.
PPTP được phát triển bởi Microsoft và đã trở thành một tiêu chuẩn từ cuối
những năm 90. Nó phụ thuộc vào kênh điều khiển TCP và Generic Routing
Encapsulation để hoạt động. Tuy nhiên, PPTP không còn được coi là bảo mật
nữa
L2TP thuộc sở hữu của Cisco và được coi là phiên bản tốt hơn của PPTP.
L2TP là giao thức tunneling duy nhất không cung cấp bất kỳ mã hóa nào của
riêng nó. Đây là lý do tại sao nó thường được ghép nối với IPSec. Sự kết hợp
của hai giao thức này thường được gọi là L2TP/IPsec, một giao thức hỗ trợ mã
hóa tối đa 256 bit và thuật toán 3DES.
IKEv2 là một giao thức liên kết bảo mật được phát triển bởi Microsoft và
Cisco được sử dụng để thiết lập một liên kết xác thực và mã hóa giữa hai máy
tính. IKEv2 thường được ghép nối với bộ bảo mật IPsec và được gọi là
IKEv2/IPsec. Sự kết hợp này cung cấp mã hóa lên tới 256 bit và các key mật
mã mạnh mẽ.
SSTP là một chuẩn giao thức thuộc sở hữu của Microsoft, hoạt động với
Windows, Linux và MacOS. Tuy nhiên, chủ yếu bạn sẽ thấy nó được sử dụng
với các nền tảng Windows. Nó được coi là một giao thức VPN ổn định và bảo
mật cao, sử dụng tiêu chuẩn Secure Socket Layer 3.0.
OpenVPN là một giao thức mã nguồn mở được hỗ trợ bởi tất cả các hệ điều
hành chính đang sử dụng hiện nay (Mac, Windows và Linux), cũng như
Android và iOS. Nó cũng hỗ trợ các nền tảng ít được biết đến, bao gồm
OpenBSD, FreeBSD, NetBSD và Solaris. OpenVPN có tính năng mã hóa lên
tới 256 bit bằng cách sử dụng OpenSSL, một bộ công cụ đầy đủ tính năng,
mạnh mẽ, ở cấp thương mại cho Transport Layer Security. OpenVPN, với khả
năng mã hóa mạnh mẽ và né tránh tường lửa, được coi là tiêu chuẩn vàng cho
VPN hiện nay. Đây là một trong những lựa chọn tốt nhất cho VPN cá nhân và
sẽ hoạt động trên hầu hết mọi nền tảng. L2TP/IPSec, IKEv2/IPSec và SSTP
cũng là những lựa chọn tốt, nhưng chỉ có thể khả dụng trên một số nền tảng
nhất định.
2.4 Các dạng kết nối mạng VPN
2.4.1 Site-To-Site VPN
Site-to-site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một
vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị
mạng được giao cho người sử dụng. Nơi mà có một kết nối VPN được thiết lập giữa chúng.
Khi đó các thiết bị này đóng vài trò như là một gateway, và đảm bảo rằng việc lưu thông đã
được dự tính trước cho các site khác. Các Router và Firewall tương thích với VPN, và các bộ
tập trung VPN chuyên dụng đều cung cấp chức năng này.
Hình 2.: Mô hình Site-To-Site VPN
Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN. Nếu
chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem như là một intranet
VPN, ngược lại chúng được xem như một extranet VPN. Tính chặt chẽ trong việc truy cập
giữa các site có thể được điều khiển bởi cả hai (Intranet và Extranet VPN) theo các site tương