1.

Khái niệm về mạng riêng ảo

VPN là viết tắt của cụm từ Virtual Private Network ,thực sự bùng nổ vào
năm 1997,ngày càng nhiều những giải pháp riêng về VPN .
Mạng riêng ảo là phương pháp làm cho một mạng công cộng (vi dụ như
mạng Internet) hoạt động giống như mạng cục bộ ,cùng có các đặc tính như bảo
mật và tính ưu tiên mà người dùng yêu thích. VPN cho phép thành lập các kết nối
riêng với những người dùng ở xa ,các văn phòng chi nhánh của công ty và đối tác
của công ty đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN
truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường dây
riêng ,song song với việc đầu tư các thiết bị và đội ngũ cán bộ.Những vấn đề về chi
phí làm cho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mang đem
lại nhưng đôi khi họ không thực hiện nổi. trong đó,VPN không bị rào cản về chi
phí như các mạng WAN trên do được thực hiện qua một mạng công cộng .
Khái niệm VPN không phải là công nghệ mới ,chúng đã từng được sử dụng
trong các mạng điện thoại ( Telephone Networks). các mạng VPN chỉ trở nên thực
sự có tính mới mẻ khi chúng chuyển thành các mạng IP chẳng hạn như Internet.
VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùng không được phép
truy cập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi.
Định đường hầm ( tunneling) là một cơ chế dùng để đóng gói (encapsulate)
một giao thức vào một giao thức khác. trong mạng Internet ,định đường hầm cho
phép những giao thức IPX,AppleTalk và IP được mã hóa , sau đó đóng gói trong
IP. Trong VPN ,định đường hầm che giấu giao thức lớp mạng nguyên thủy bằng.
cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong vỏ bọc IP ( IP envelope )
Vỏ bọc IP này thực ra là một gói IP ,sau đó sẽ được chuyển đi một cách bảo mật
qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành gỡ bỏ vỏ
bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến thiết bị
truy cập thích hợp ,chẳng hạn như bộ định tuyến .
VPN còn cung cấp các thoả thuận về chất lượng dịch vụ QoS ,những thỏa
thuận này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình
của gói trong mạng. Ngoài ra,các thỏa thuận trên có thể kèm theo một sự chỉ định
cho giới hạn dưới của băng thông hiệu dụng cho mỗi người dùng.
Qua những vấn đề trên ta có thể định nghĩa VPN một cách ngắn gọn qua
công thức sau :
1
 VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
2. Những lợi ích do VPN mang lại
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn
giản hóa việc truy cập đối với nhân viên làm việc và người dùng lưu động ,mở
rộng Intranet đến từng văn phòng chi nhánh ,thậm chí triển khai Extranet đến tận
khách hàng và đối tác . Có thể đưa ra các lợi ích mà VPN đem lại như :
• giảm chi phí thường xuyên.
• Giảm chi phí đầu tư.
• Giảm chi phí và hỗ trợ.
• Truy cập mọi lúc ,mọi nơi: khách hàng của VPN qua mạng mở rộng
này ,có quyền truy cập và khả năng như nhau đối với các dịch vụ
trung tâm bao gồm www,e-mail,FTP… cũng như các ứng dụng thiết
yếu khác .
1. Các loại VPN
Hiện nay chúng ta có thể phân VPN ra làm thành ba loại như sau :
1.1. Các VPN truy cập từ xa ( Remote Access VPN ) : các VPN này cung cấp
truy cập tin cậy cho người dùng ở đầu xa như các nhân viên di động ,các
nhân viên ở xa và các văn phòng chi nhánh thuộc mạng lưới công ty .

Hình 3.1 : các VPN truy nhập từ xa

1.2. Các VPN nội bộ ( Intranet VPN ) : chúng cho phép các văn phòng chi
nhánh được liên kêt một cách bảo mật đến trụ sở chính của công ty.

2
 Hình 3.2 : các Intranet VPN

1.3. Các VPN mở rộng ( Extranet VPN ) : cho phép khách hàng ,các nhà cung
cấp và các đối tác có thể truy cập một cách bảo mật đến mạng Intranet
của công ty.

2. Cấu trúc của VPN

Tất cả các VPN đều cho phép truy cập bảo mật qua các mạng công cộng bằng
cách sử dụng những dịch vụ bảo mật ,bao gồm việc định đường hầm (tunneling)
và các biện pháp mã hóa dữ liệu.
2.1. Đường hầm
Các đường hầm ( tunnel ) chính là đặc tính ảo của VPN, nó làm cho một
kết nối dường như một dòng lưu lượng duy nhất trên đường dây.Đồng thời
còn tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu
tiên như đã được áp dụng trong mạng nội bộ ,bảo đảm cho vai trò kiểm soát
dòng lưu chuyển dữ liệu. Đường hầm cũng làm cho VPN có tính riêng tư.
Các loại công nghệ đường hầm được sử dụng phổ biến cho truy cập VPN
gồm các giao thức định đường hầm điểm - điểm( Point to Point Tunneling
Protocol ),chuyển tiếp lớp 2 –L2F( Layer 2 Forwarding) hoặc giao thức
định đường hầm lớp 2 – L2TP ( layer tunneling protocol). Các mạng VPN
nội bộ và mở rộng dành riêng có thể sử dụng những công nghệ như bảo mật
IP – IPsec ( IP security ) hoặc bọc gói định tuyến chung GRE ( Generic
Route Encapsulation ) để tạo nên các đường hầm ảo thường trực.

3
2.2. Mã hóa
Mã hóa ( encrytion ) là tính năng tùy chọn nó cũng đóng gói vào đặc
điểm “riêng tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng dữ liệu
quan trọng đặc biệt ,còn bình thường thì không cần vì việc mã hóa có thể
ảnh hưởng xấu đến tốc độ ,tăng gánh nặng cho bộ xử lý.
2.3. Tường lửa
Chúng ta sử dụng tường lửa ( firewall ) để bảo mật mạng nội bộ của mình
chống lại những cuộc tấn công vào lưu lượng trên mạng và những kẻ phá
hoại ,giải pháp bức tường lửa tốt là công cụ có khả năng phân biệt các lưu
lượng dựa trên cơ sở người dùng ,trình ứng dụng hay nguồn gốc.
2.4. Định danh người dùng(User Identification)
Mọi người dùng đều phải chịu sự kiểm tra xác thực cho mạng biết thông
tin về họ ( quyền truy cập ,mật khẩu …)và phải chịu sự ủy quyền để báo cho
biết về những gì họ được phép làm . Mỗi hệ thống tốt còn thực hiện tính
toán để theo dõi những việc mà người dùng đã làm nhằm mục đích tính cước
và bảo mật. Xác thực ( Authentication) ,trao quyền (Athorization) và tính
cước (Accounting) ,được gọi là các dịch cụ AAA.
2.5. Tính ưu tiên
Ưu tiên là quá trình “gán thẻ” cho dòng lưu lượng của một ứng dụng nào
đó đối với các dịch vụ được xúc tiến thông qua mạng, Ví dụ như lưu thông
các trình ứng dụng nghiệp vụ quan trọng ( chẳng hạn như các ứng dụng cơ
sở dữ liệu danh mục và bán hàng) có thể nhận được ưu tiên hàng đầu để
chuyển nhanh ,phù hợp với xu thế cạnh tranh trên thương trường ,trong khi
các dịch vụ như gửi e- mail hay truyền tập tin thì có tính ưu tiên thấp hơn .

4
 5. Kiến trúc của mạng riêng ảo
Hai thành phần cơ bản của Internet tạo nên các mạng riêng ảo VPN đó là :
– Thứ nhất ,là tiến trình được biết đến như định đường hầm (tunneling )
cho phép làm “ảo” một VPN.
– Thứ hai ,đó là những dịch vụ bảo mật đa dạng nhằm giữ cho dữ liệu
của VPN được bảo mật-riêng (private).
5.1. Đường hầm : phần ảo trong VPN
Trong mạng riêng ảo VPN , “ảo” mang ý nghĩa là mạng linh động ,với các
kết nối được thiết lập dựa trên nhu cầu của tổ chức. Không như những kết nối sử
dụng đường thuê riêng trong các mạng VPN truyền thống , VPN không duy trì
những kết nối thường trực giữa các điểm cuối tạo thành mạng công ty. Thay vào
đó, một kết nối được tạo ra giữa hai site khi cần đến. Và khi kết nối này không còn
cần thiết nữa thì nó sẽ bị hủy bỏ , làm cho băng thông và các tài nguyên mạng khác
sẵn sàng cho những kết nối khác sử dụng.
Ảo – “virtual” cũng mang ý nghĩa rằng cấu trúc logic của mạng được hình
thành chỉ có những thiết bị mạng tương ứng của mạng đó,bất chấp cấu trúc vật lý
của mạng cơ sở ( trong trường hợp này là Internet ). Các thiết bị như bộ định tuyến
( router) ,chuyển mạch ( switch ) hay những thành phần mạng của các ISP được
giấu đi khỏi những thiết bị và người dùng của mạng ảo. Do đó ,những kết nối tạo
nên mạng riêng ảo VPN không có cùng tính chất vật lý với những kết nối cố định (
hard – wired) được dùng trong mạng LAN. Việc che giấu cơ sở hạ tầng của ISP và
Internet được thực hiện bởi một khái niệm gọi là định đường hầm ( tunneling).
Những đường hầm được sử dụng cho các dịch vụ khác trên Internet bên
cạnh VPN,như quảng bá IP ( IP multicasting ) và IP di động ( mobile IP ) . Việc
tạo đường hầm tạo nên kết nối đặc biệt giữa hai điểm cuối. Để tạo ra một đường
hầm , điểm cuối phải đóng gói ( encapsulate) các gói (packet ) của mình những gói
IP ( IP packet ) cho việc truyền qua Internet. Đối với mạng riêng ảo - VPN ,việc
đóng gói có thể bao gồm việc mã hóa gói gốc ( original) và thêm tiêu đề IP ( IP
header ) mới cho gói . Tại cuối điểm nhận ,cổng nối ( gateway ) gỡ bỏ tiêu đề IP và
giải mã gói nếu như cần thiết và chuyển gói nguyên thủy đến đích của nó.

5
 Việc tạo đường hầm cho phép những dòng dữ liệu và những thông tin người
dùng kết hợp được truyền trên một mạng chia sẻ trong một ống ảo ( virtual pipe).
Ống này làm cho việc định tuyến trên mạng hoàn toàn trở nên trong suốt đối với
người dùng.

Hình 5.1.1 : định dạng gói cho việc tạo đường hầm.

Hình 5.1.2 : cấu trúc một đường hầm.

Thông thường ,những đường hầm được định nghĩa là một trong hai loại sau :
thường trực ( permanent ) ,tạm thời ( temporary). Những đường hầm tĩnh
( static tunnel) thuộc loại thường trực ít được sử dụng trong VPN ,bởi vì chúng sẽ
chiếm dụng băng thông ngay cả lúc không sử dụng. Đường hầm tạm thời hay còn
gọi là đường hầm động ( dynamic tunnel ) được quan tâm và hữu dụng hơn cho
VPN ,bởi vì loại đường hầm này có thể được thiết lập khi cần đến và sau đó được
hủy bỏ khi không còn nhu cầu ,ví dụ như khi một phiên thông tin được kết thúc. Vì
thế ,những đường hầm không còn yêu cầu đặt trước băng thông cố định. Bởi vì
nhiều ISP cung cấp những kết nối có giá trị phụ thuộc vào băng thông trung bình
sử dụng trên một kết nối, đường hầm động có thể giảm băng thông sử dụng dẫn
đến giá thấp hơn.

6
 Những đường hầm có thể bao gồm hai kiểu điểm cuối ,có thể là một máy
tính cá nhân hay là một mạng LAN với một cổng nối bảo mật mà cổng nối này có
thể là một bộ định tuyến hay là tường lửa. Tuy nhiên chỉ có hai kiểu kết hợp của
những điểm cuối này thường được xem xét trong thiết kế VPN.
Trong trường hợp đầu tiên đường hầm kết nối LAN – LAN,một cổng kết nối
bảo mật tại mỗi điểm cuối phục vụ như bộ giao tiếp giữa đường hầm với mạng
LAN riêng. Trong những trường hợp như vậy ,người dùng trên các LAN có thể
dùng đường hầm một cách trong suốt để thông tin với nhau.
Trong trường hợp thứ hai, đó là những đường hầm kết nối client –
LAN, đây là kiểu thường thiết lập cho người dùng di động ( mobile user ) muốn
kết nối với mạng LAN công ty . Client khởi tạo việc tạo đường hầm trên đầu cuối
của mình để trao đổi lưu lượng với mạng công ty. Để làm được việc này , người
dùng phải chạy một chương trình client đặc biệt trên máy tính của người dùng để
thông tin với cổng nối bảo mật để đến mạng LAN đích.
5.2. Các dịch vụ bảo mật : tính riêng của VPN
Quan trọng ngang với việc sử dụng một mạng riêng ảo – VPN ,là việc đưa ra
tính riêng hay tính bảo mật. Trong hầu hết các sử dụng cơ bản của nó , tính “riêng
tư” trong VPN mang ý nghĩa là một đường hầm giữa 2 người dùng trên một mạng
VPN xuất hiện như một liên kết riêng ( private link ) ,thậm chí nó có thể chạy trên
môi trường dùng chung ( shared media ). Nhưng đối với việc sử dụng của các nhà
kinh doanh , đặc biệt cho kết nối LAN – LAN , “riêng” phải mang ý nghĩa hơn
điều đó ,nó phải có ý nghĩa bảo mật ,đó là thoát khỏi những con mắt tò mò và can
thiệp.
Mạng VPN cần cung cấp bốn chức năng giới hạn để đảm bảo độ bảo mật
cho dữ liệu. Bốn chức năng đó là :
– Xác thực (authentication): đảm bảo dữ liệu đến từ một nguồn gốc yêu
cầu.
– Điều khiển từ xa ( access control ) : hạn chế việc đạt được quyền cho
phép vào mạng của những người dùng bất hợp pháp.
– Tin cậy ( confidentiality ): ngăn không cho một ai đó đọc hay sao
chép khi dữ liệu được truyền qua mạng Internet.
– Tính toàn vẹn dữ liệu ( data integrity) : đảm bảo không một ai làm
thay đổi dữ liệu khi nó truyền trên mạng Internet.
7
 5. Các giao thức của một mạng VPN
Bốn giao thức được đề nghị lúc ban đầu như những giải pháp cho mạng
VPN. Trong đó giao thức được thiết kế làm việc ở lớp liên kết dữ liệu gồm có giao
thức chuyển tiếp lớp 2- L2F, giao thức định đường hầm điểm – điểm PPTP và giao
thức định đường hầm lớp 2 L2TP. Giao thức của VPN duy nhất cho lớp 3 là IPsec
được phát triển bởi IETF.
Một số đặc điểm của các giao thức này :
– PPTP là một cơ chế xây dựng đường hầm điểm- điểm được tạo ra
trước tiên để hỗ trợ các gói đường hầm (packet tunneling) trong phần
cứng máy chủ truy cập từ xa .
– Giao thức định đường hầm lớp 2 lai ghép còn được gọi là giao thức
định đường hầm lớp 2 – L2TP được Cisco phát triển từ giao thức L2F
của họ
– IPsec là một tiêu chuẩn được tạo ra để thêm vào tính bảo mật cho
mạng TCP/IP.
5.1. Giao thức IPsec
Các giao thức nguyên thủy TCP/IP không bao gồm các đặc tính bảo mật vốn
có. Để thiết lập tính bảo mật trong IP ở cấp độ gói ,IETF đã đưa ra họ giao thức
IPsec. Họ giao thức này mô tả kiến trúc cơ bản của IPsec bao gồm 2 loại tiêu đề
được sử dụng trong gói IP. Gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPsec
định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã
hóa : một là xác thực tiêu đề IP – AH ( IP authentication Header) điều khiển việc
xác thực và hai là bọc gói bảo mật tải ESP ( Encapsulating Security Payload) cho
mục đích mã hóa.

5.2. Giao thức PPTP

8
 Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm –
điểm PPP (point- to –point protocol). PPTP được xây dựng dựa trên chức năng của
PPP,cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua
Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE
( Generic Routing Encapsulation ) được mô tả lại để đóng và tách gói PPP,giao
thức này cho phép PPTP mềm dẻo xử lý các giao thức khác nhau không phải IP
như IPX , NETBEUI.
Bởi vì PPTP dựa trên PPP nên nó dựa trên cơ chế xác thực của PPP có tên là
PAP và CHAP. PPTP có thể sử dụng PPP để mã hóa dữ liệu nhưng Microsoft đã
đưa một phương thức mã hóa khác mạnh hơn đó là mã hóa điểm – điểm MPPE để
sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kê để hoạt động ở lớp 2 ,trong khi
IPsec chạy ở lớp 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2,PPTP có thể
truyền trong đường hầm bằng các giao thức khác IP , trong khi IPsec chỉ có thể
truyền các gói IP trong đường hầm.

5.3. Giao thức L2TP

Giao thức định đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức đó là
PPTP và chuyển lớp 2 – L2F ( Layer 2 Forwading). PPTP do Microsoft đưa ra còn
L2F do Cisco khởi xướng.
Giống như PPTP,L2F là giao thức đường hầm,nó sử dụng tiêu đề đóng gói
riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP
là L2F không phụ thuộc vào IP và GRE,cho phép nó có thể làm việc ở môi trường
vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói nên L2F định

9
nghĩa riêng cách thức các gói được điều khiển trong môi trường khác. Tương tự
như PPTP,L2F tận dụng PPP để xác thực người dùng quay số truy cập. Có hai mức
xác thực người dùng : đầu tiên ở ISP trước khi thiết lập đường hầm ,sau đó là ở
cổng nối của mạng riêng sau khi kết nối được thiết lập.
L2TP mang các đặc tính của PPTP và L2F. Tuy nhiên L2TP định nghĩa riêng một
giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông
qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều
công cụ chủ yếu của L2FT tập trung cho UDP của mạng IP,nhưng nó có thể thiết
lập một hệ thống L2FT mà không cần sử dụng IP làm giao thức đường hầm. Một
mạng ATM hay Frame Relay có thể áp dụng cho đường hầm L2TP. Do L2TP là
giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển
một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống
như PPTP, L2TP cũng có cơ chế xác thực PAP,CHAP hay RADIUS.

10
 Mục lục
trang
1. Khái niệm về mạng riêng ảo…………………………….. 1
2. Những lợi ích do VPN mang lại………………………… 2
3. Các loại VPN…………………………………………….. 3
4. Cấu trúc của VPN……………………………………….. 4
5. Kiến trúc của mạng riêng ảo……………………………. 5
6. Các giao thức của mạng VPN…………………………... 8
7. Mục lục…………………………………………………... 11

11