Camera IP

Tìm hiểu VPN và Cấu hình Camera IP GVHD :Trương Quang Trung

Đồ án tốt nghiệp 1

LỜI CẢM ƠN

Đồ án tốt nghiệp là đúc kết quá trình học tập trong

những năm tháng tại trường Cao Đẳng Kỹ Thuật Cao Thắng, để đạt được kết quả như hôm nay, ngoài sự phấn đấu của từng thành viên trong nhóm thực hiện là sự quan tâm giúp đỡ của quý thầy cô tại trường, đặc biệt là các thầy cô tại khoa điện tử tin học. bên cạnh đó là sự chia sẽ kinh nghiệm từ các bạn tại lớp CĐ ĐTVT07B.

Qua đây, nhóm sinh viên thực hiện chúng em cũng xin

gởi lời cảm ơn chân thành đến thầy TRƯƠNG QUANG TRUNG người đã nhệt tình giúp đở chúng em trong quá trình thực hiện đồ án này.

Một lần nữa, nhóm xinh viên chúng em xin chân thành

cảm ơn tất cả mọi người.

Nhóm sinh viên thưc hiện: Nguyễn Hữu Phúc Nguyễn Hồ Thanh

Phan Xuân Thịnh



NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

TPHCM, ngày ...... tháng …… năm 2010 ( Chữ ký của giáo viên )



NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

TPHCM, ngày ...... tháng …… năm 2010 ( Chữ ký của giáo viên )



NHẬN XÉT CỦA HỘI ĐỒNG BẢO VỆ ..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

..............................................................................................................................

TPHCM, ngày ...... tháng …… năm 2010

( Chữ ký của giáo viên )



MỤC LỤC NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ............................................................. 2 NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ................................................................ 3 NHẬN XÉT CỦA HỘI ĐỒNG BẢO VỆ........................................................................ 4 MỤC LỤC ....................................................................................................................... 5 LỜI MỞ ĐẦU.................................................................................................................. 8 PHẦN I GIỚI THIỆU VỀ MẠNG MÁY TÍNH............................................................. 9 CHƯƠNG I : KHÁI QUÁT VỀ MẠNG MÁY TÍNH.................................................. 10

1.1. Mạng máy tính là gì? .......................................................................................... 10 1.2. Ưu điểm của mạng máy tính .............................................................................. 10 1.3. Phân loại mạng máy tính .................................................................................... 11

1.3.1. Phân loại mạng theo khoảng cách địa lý : ................................................... 11 1.3.2. Phân loại theo kỹ thuật chuyển mạch: ........................................................ 11 1.3.3 Phân loại theo kiến trúc mạng sử dụng:....................................................... 12 1.3.4. Phân loại theo hệ điều hành mạng : ............................................................ 12 1.3.5. Phân loại mạng theo chức năng :................................................................. 13 1.3.6. Phân loại mạng máy tính theo topo:............................................................ 13

CHƯƠNG II : MÔ HÌNH OSI...................................................................................... 16 2.1. Khái niệm ............................................................................................................ 16 2.2. Nhiệm vụ các tầng trong mô hình OSI............................................................... 17

CHƯƠNG III : MÔ HÌNH TCP/IP .............................................................................. 22 3.1. Tổng quát về TCP/IP .......................................................................................... 22

3.1.1. Tầng Ứng Dụng (Application Layer) .......................................................... 22 3.1.2. Tầng Giao Vận (Transport Layer) .............................................................. 22 3.1.3. Tầng Liên Mạng (Internet Layer) ............................................................... 22 3.1.4. Tầng Giao Diện Mạng (Network Interface Layer) ..................................... 23

3.2. Giao thức TCP/UDP ........................................................................................... 24 3.2.1. TCP ( Transmission Control Protocol ) ...................................................... 24 3.2.2. UDP (User Datagram Protocol)................................................................... 26

3.3. Giao thức IP ( Internet Protocol ) ...................................................................... 28 3.3.1 Tổng quan về giao thức IP ............................................................................ 28 3.3.2. IPv4 ............................................................................................................... 29

3.3.2.1. Tổng quan về địa chỉ IP ......................................................................... 29 3.3.2.2. Các khái niệm và thuật ngữ .................................................................. 30 3.3.2.3. Các lớp địa chỉ ....................................................................................... 30 3.3.2.4. Bảng tổng kết......................................................................................... 32 3.3.2.5. Địa chỉ IP Public.................................................................................... 32 3.3.2.6. Địa chỉ IP Private .................................................................................. 33

3.4. NAT ( Network address translation )................................................................. 33 3.4.1. Khái niệm về NAT........................................................................................ 33 3.4.2. Các kiểu NAT .............................................................................................. 34

PHẦN II : CAMERA IP................................................................................................ 36 CHƯƠNG I: TỔNG QUAN VỀ CAMERA ................................................................. 37

1.1. Giới thiệu về camera quan sát........................................................................... 37 1.1.1 Phân loai camera quan sát............................................................................ 37

1.1.1.1 Phân loại theo kĩ thuật hình ảnh............................................................ 37 1.1.1.2 Phân loại Camera quan sát theo kỹ thuật đường truyền...................... 39 1.1.1.3 Phân loại Camera qua sát theo tính năng sử dụng ............................... 41

1.1.2 Thông số cơ bản của camera ........................................................................ 43 1.1.2.1 Camera quan sát Indoor, Outdoor ........................................................ 43



1.1.2.2 IR Camera: Camera quan sát hồng ngoại............................................. 44 1.1.2.3 Chất lượng hình ảnh .............................................................................. 44 1.1.2.4 Điều kiện hoạt động ............................................................................... 44 1.1.2.5 Góc quan sát ........................................................................................... 45 1.1.2.6. Các thông số khác.................................................................................. 39

1.2. Sơ đồ khối camera .............................................................................................. 39 1.3. Bộ tách màu ........................................................................................................ 39 1.4. Thiết bị ghép diện tích CCD (Charge Couple Device )...................................... 40 1.5. Xử lý tín hiệu....................................................................................................... 42 1.6. Giới thiệu về Camera IP ..................................................................................... 42 1.7. Cấu trúc Camera IP ........................................................................................... 43 1.8. Nguyên lý hoạt động của IP Camera: ................................................................ 43

CHƯƠNG II : CẤU HÌNH VÀ KHAI THÁC CAMERA IP....................................... 45 2.1. Datasheet Vivotek IP7135................................................................................... 45 2.2. Cấu hình Camera IP Vivotek IP7135 : .............................................................. 47

2.2.1. Kết nối với camera ip :................................................................................. 47 2.2.2. Đăng nhập vào camera ip: ........................................................................... 48 2.2.3. Cấu hình camera bằng trình duyệt Web :................................................... 48 2.2.4. Cấu hình xem camera ip qua mạng internet : ............................................ 53 2.2.5. Cấu hình xem camera ip qua mạng LAN.................................................... 59

2.2.5.1.Mô hình................................................................................................... 59 2.2.5.2.Cách thực hiện........................................................................................ 60

2.3. Khai thác các tính năng của camera ip qua phần mềm Vivotek ST3402 và playback :................................................................................................................... 68

2.3.1. Cài đặt phần mềm :...................................................................................... 68 2.3.2. Sử dụng chương trình Monitor Vivotek ST3402 : ...................................... 69 2.3.3. Cài đặt camera : ........................................................................................... 70 2.3.4. Sử dụng chương trình Playback for Vivotek ST3402 :............................... 76

2.4. Các ứng dụng của camera ip :............................................................................ 77 2.5. Kết luận :............................................................................................................. 80

PHẦN III : M ẠNG RIÊNG ẢO VPN .......................................................................... 81 CHƯƠNG I : VIRTUAL PRIVATE NETWORK ( VPN ).......................................... 82

1.1.Tìm hiểu VPN: ..................................................................................................... 82 1.1.1. Định nghĩa VPN: .......................................................................................... 82 1.1.2. Lịch sử phát triển của VPN: ........................................................................ 83 1.1.3. Chức năng và ưu điểm của VPN: ................................................................ 84

1.1.3.1 Chức năng của VPN:.............................................................................. 84 1.1.3.2 Ưu điểm: ................................................................................................. 85 1.1.3.3. Khuyết điểm: ......................................................................................... 85

1.2. Các dạng của VPN :............................................................................................ 86 1.2.1. Remote Access VPN : ................................................................................... 86

1.2.1.1. Các thành phần chính của Remote Access Network:........................... 87 1.2.1.2. Ưu và khuyết điểm của Remote Access VPN : ..................................... 88

1.2.2. VPN Site to Site (LAN to LAN ): ................................................................. 89 1.2.2.1. Intranet VPN ( Mạng VPN cục bộ ) : ................................................... 90 1.2.2.2. Extranet VPN (Mạng VPN mở rộng ): ................................................. 91

1.3. Cơ sở kỹ thuật đường hầm:................................................................................ 92 1.3.1. Các thành phần của kỹ thuật đường hầm :................................................. 93 1.3.2. Phân loại đường hầm :................................................................................. 93

1.3.2.1. Voluntary Tunnels (Đường hầm tùy ý) : .............................................. 93 1.3.2.2. Compulsory Tunnels (Đường hầm cưỡng bức ) :................................. 94



1.3.3. Giao thức đường hầm : ................................................................................ 95 1.3.4. Giao thức đường hầm lớp 2:........................................................................ 95

1.3.4.1. Giao thức điểm – điểm (PPP – Point – to - Point Protocol ): ............... 96 1.3.4.2. Giao thức định hướng lớp 2 (L2F – Layer 2 Forwarding): ................. 98 1.3.4.3 Giao thức đường hầm điểm – điểm (PPTP – Point to Point Tunneling Protocol) :......................................................................................................... 100 1.3.4.4. Giao thức đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol) : 105

CHƯƠNG II : THIẾT LẬP MÔ HÌNH VPN SERVER TRÊN WINDOWS 2003.................................................................................................................................. 122 2.1. Xây dựng một Remote Access VPN : ............................................................... 122

2.1.1. Yêu cầu phần cứng : .................................................................................. 122 2.1.2. Yêu cầu phần mềm : .................................................................................. 122 2.1.3. Mô hình Remote Access VPN : .................................................................. 122 2.1.4. Các bước thực hiện : .................................................................................. 123

2.2. Kết luận :........................................................................................................... 150 KẾT LUẬN.................................................................................................................. 151 THUẬT NGỮ VIẾT TẮT ........................................................................................... 152 TÀI LIỆU THAM KHẢO ........................................................................................... 156



LỜI MỞ ĐẦU

Trong thời đại ngày nay Internet phát triển mạnh cả về mô hình lẫn công

nghệ, đáp ứng các nhu cầu của người dùng. Internet được thiết kế để kết nối nhiều

mạng khác nhau và cho phép thông tin được chuyển đến người sử dụng một cách tự

do và nhanh chóng mà không phải xem xét đến máy và mạng mà người đó đang sử

dụng. Với Internet các giao dịch từ xa, mua hàng trực tuyến, tư vấn y tế và nhiều

điều khác đã trở thành hiện thực. Tuy nhiên Internet phủ khắp toàn cầu và không

một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật, an

toàn dữ liệu cũng như quản lý các dịch vụ. Từ đó người ta đã đưa một mô hình

mạng mới nhằm thỏa mãn các nhu cầu trên mà vẫn có thể tận dụng cơ sở hạ tầng

hiện có của mạng Internet, đó chính là mô hình mạng riêng ảo (VPN – Virtual

Private Network). Với mô hình mạng mới này người ta không phải đầu tư nhiều

vào cơ sở hạ tầng mà các tính năng bảo mật, độ tin cậy vẫn đảm bảo đồng thời vẫn

có thể quản lý được sự hoạt động của mạng này. VPN có thể cho phép người dùng

hoạt động tại nhà, trên đường đi hay các chi nhánh văn phòng có thể kết nối an toàn

đến máy chủ của cơ quan mình bằng cơ sở hạ tầng được cung cấp bởi mạng công

cộng. VPN đảm bảo an toàn thông tin giữa các đại lý, nhà cung cấp, các đối tác kinh

doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều trường hợp

VPN cũng giống như WAN (Wide Area Network) nhưng đặc tính quyết định của

VPN chúng có thể sử dụng mạng công cộng như Internet mà vẫn đảm bảo được

tính riêng tư và tiết kiệm hơn nhiều.

Sự phát triển nhanh chóng của các dịch vụ IP và sự bùng nổ của Internet hiện

đại cho ra đời hàng loạt các ứng dụng mới đòi hỏi tính ổn định, hiệu suất cao và có

thể mở rộng các đáp ứng với những yêu cầu trong tương lai. Với sự phát triển của

Internet, việc truyền dữ liệu thông tin không còn là vấn đề khoảng cách. Thiết bị IP

Camera với sự tích hợp IP là một trong những sản phẩm truyền dữ liệu âm thanh và

hình ảnh khá tốt. Ứng dụng của IP Camera khá rộng rãi trong thực tế. Một trong

những ứng dụng của IP Camera khá phổ biến trong những năm gần đây là dùng

trong an ninh, giam sát. Đây là một vấn đề khá hay và mới mẻ.



PHẦN I : GIỚI THIỆU VỀ MẠNG

MÁY TÍNH



CHƯƠNG I : KHÁI QUÁT VỀ MẠNG MÁY TÍNH 1.1. Mạng máy tính là gì?

Hình 1 Mạng máy tính trong nội bộ doanh nghiệp

Mạng máy tính là hệ thống các máy tính độc lập được kết nối với nhau thông

qua các đường truyền vật lý và tuân theo các quy ước truyền thông nào đó.

Khái niệm máy tính độc lập ở đây có nghĩa là các máy tính không có máy nào

có khả năng khởi động hoặc đình chỉ một máy khác.

Các đường truyền vật lý được hiểu là các môi trường truyền tín hiệu vật lý (có

thể là hữu tuyến hoặc vô tuyến như dây dẫn, tia Laser, sóng ngắn, vệ tinh nhân

tạo...).

Các quy ước truyền thông chính là cơ sở để các máy tính có thể “nói chuyện”

được với nhau và là một yếu tố quan trọng hàng đầu khi nói về công nghệ mạng

máy tính.

1.2. Ưu điểm của mạng máy tính

• Sử dụng chung tài nguyên: chương trình, dữ liệu, thiết bị....

• Tăng độ tin cậy của hệ thống thông tin: Nếu một máy tính hay một đơn vị

dữ liệu nào đó trong mạng bị hỏng thì luôn có thể sử dụng một máy tính khác hay

một bản sao của đơn vị dữ liệu.

• Tiết kiệm chi phí.

• Quản lý tập trung

• Tạo ra môi trường truyền thông mạnh giữa nhiều người sử dụng trên phạm



vi địa lý rộng. Mục tiêu này ngày càng trở nên quan trọng.

1.3. Phân loại mạng máy tính

Có nhiều cách phân loại mạng khác nhau tuỳ thuộc vào yếu tố chính được

chọn dùng để làm chỉ tiêu phân loại, thông thường người ta phân loại mạng theo

các tiêu chí như sau :

• Khoảng cách địa lý của mạng

• Kỹ thuật chuyển mạch mà mạng áp dụng

• Kiến trúc mạng

• Hệ điều hành mạng sử dụng ...

1.3.1. Phân loại mạng theo khoảng cách địa lý :

Nếu lấy khoảng cách địa lý làm yếu tố phân loại mạng thì ta có mạng cục bộ,

mạng đô thị, mạng diện rộng, mạng toàn cầu.

Mạng cục bộ ( LAN - Local Area Network ) : là mạng được cài đặt trong

phạm vi tương đối nhỏ hẹp như trong một toà nhà, một xí nghiệp...với khoảng

cách lớn nhất giữa các máy tính trên mạng trong vòng vài km trở lại.

Mạng đô thị ( MAN - Metropolitan Area Network ) : là mạng được cài đặt

trong phạm vi một đô thị, một trung tâm văn hoá xã hội, có bán kính tối đa khoảng

100 km trở lại.

Mạng diện rộng ( WAN - Wide Area Network ) : là mạng có diện tích bao

phủ rộng lớn, phạm vi của mạng có thể vượt biên giới quốc gia

thậm chí cả lục địa.

Mạng toàn cầu ( GAN - Global Area Network ): là mạng có phạm vi trải

rộng toàn cầu.

1.3.2. Phân loại theo kỹ thuật chuyển mạch:

Nếu lấy kỹ thuật chuyển mạch làm yếu tố chính để phân loại sẽ có: mạng

chuyển mạch kênh, mạng chuyển mạch thông báo và mạng chuyển mạch gói.

Mạch chuyển mạch kênh (circuit switched network) : Khi có hai thực thể cần

truyền thông với nhau thì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết

nối đó cho tới khi hai bên ngắt liên lạc. Các dữ liệu chỉ truyền đi theo con đường

cố định đó. Nhược điểm của chuyển mạch kênh là tiêu tốn thời gian để thiết lập

kênh truyền cố định và hiệu suất sử dụng mạng không cao.



Mạng chuyển mạch thông báo (message switched network) : Thông báo là

một đơn vị dữ liệu của người sử dụng có khuôn dạng được quy định trước. Mỗi

thông báo có chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền tới của

thông báo. Căn cứ vào thông tin điều khiển này mà mỗi nút trung gian có thể

chuyển thông báo tới nút kế tiếp trên con đường dẫn tới đích của thông báo. Như

vậy mỗi nút cần phải lưu giữ tạm thời để đọc thông tin điều khiển trên thông báo,

nếu thấy thông báo không gửi cho mình thì tiếp tục chuyển tiếp thông báo đi. Tuỳ

vào điều kiện của mạng mà thông báo có thể được chuyển đi theo nhiều con

đường khác nhau.

Mạng chuyển mạch gói ( packet switched network ): ở đây mỗi thông báo

được chia thành nhiều gói nhỏ hơn được gọi là các gói tin (packet) có khuôn dạng

quy định trước. Mỗi gói tin cũng có chứa các thông tin điều khiển, trong đó địa

chỉ nguồn (người gửi) và địa chỉ đích (người nhận) của gói tin. Các gói tin của

cùng một thông báo có thể được gởi đi qua mạng tới đích theo nhiều con đường

khác nhau.

1.3.3 Phân loại theo kiến trúc mạng sử dụng:

Kiến trúc của mạng bao gồm hai vấn đề: hình trạng mạng ( network topology)

và giao thức mạng ( network protocol ).

Hình trạng mạng: Cách kết nối các máy tính với nhau về mặt hình học mà ta

gọi là tô pô của mạng

Giao thức mạng: Tập hợp các quy ước truyền thông giữa các thực thể truyền

thông mà ta gọi là giao thức (hay nghi thức) của mạng. Khi phân loại theo topo

mạng người ta thường có phân loại thành: mạng hình sao, tròn, tuyến tính. Phân loại

theo giao thức mà mạng sử dụng người ta phân loại thành mạng : TCPIP, mạng

NETBIOS . .. Tuy nhiên cách phân loại trên không phổ biến và chỉ áp dụng cho các

mạng cục bộ.

1.3.4. Phân loại theo hệ điều hành mạng :

Nếu phân loại theo hệ điều hành mạng người ta chia ra theo mô hình mạng

ngang hàng, mạng khách/chủ hoặc phân loại theo tên mạng điều hành mà mạng sử

dụng: Windows NT, Unix, Novell….

Tuy nhiên trong thực tế người ta thường chỉ phân loại theo hai tiêu chí đầu

tiên.



1.3.5. Phân loại mạng theo chức năng :

Mạng Client-Server: một hay một số máy tính được thiết lập để cung cấp các

dịch vụ như file server, mail server, Web server, Printer server… Các máy tính

được thiết lập để cung cấp các dịch vụ được gọi là Server, còn các máy tính truy

cập và sử dụng dịch vụ thì được gọi là Client

Mạng ngang hàng (Peer-to-Peer): các máy tính trong mạng có thể hoạt động

vừa như một Client vừa như một Server.

Mạng kết hợp: Các mạng máy tính thường được thiết lập theo cả hai chức

năng Client-Server và Peer-to-Peer.

1.3.6. Phân loại mạng máy tính theo topo:

Mạng dạng hình sao (Star topology): Ở dạng hình sao, tất cả các trạm được nối

vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín

hiệu đến trạm đích với phương thức kết nối là phương thức "điểm - điểm".

Hình 2 Mạng dạng hình sao

Mạng hình tuyến (Bus Topology): Trong dạng hình tuyến, các máy tính đều

được nối vào một đường dây truyền chính (bus). Đường truyền chính này được giới

hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu

cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối

chữ T (T_connector) hoặc một bộ thu phát (transceiver).



Hình 3 Mạng hình bus

Mạng dạng vòng (Ring Topology): Các máy tính được liên kết với nhau thành

một vòng tròn theo phương thức "điểm - điểm", qua đó mỗi một trạm có thể nhận

và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một

Hình.4 Mạng hình Ring

Mạng dạng kết hợp: trong thực tế tuỳ theo yêu cầu và mục đích cụ thể ta có thể

thiết kế mạng kết hợp các dạng sao, vòng, tuyến để tận dụng các điểm mạnh của

mỗi dạng



Hình 5 Mạng kết hợp



CHƯƠNG II : MÔ HÌNH OSI 2.1. Khái niệm

Mô hình OSI (Open Systems Interconnection Reference Model, viết ngắn là OSI

Model hoặc OSI Reference Model) - là Mô hình tham chiếu kết nối các hệ thống

mở - là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ

thuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức mạng giữa

chúng. Mô hình này được phát triển thành một phần trong kế hoạch kết nối hệ thống

mở (Open Systems Interconnection) do ISO và IUT-T khởi xướng. Nó còn được gọi

là Mô hình bảy tầng của OSI.

Hình 6 Mô hình OSI



2.2. Nhiệm vụ các tầng trong mô hình OSI

Tầng 7: Tầng ứng dụng (Application layer)

Tầng ứng dụng là tầng gần với người sử dụng nhất. Nó cung cấp phương

tiện cho người dùng truy nhập các thông tin và dữ liệu trên mạng thông qua chương

trình ứng dụng. Tầng này là giao diện chính để người dùng tương tác với chương

trình ứng dụng, và qua đó với mạng. Một số ví dụ về các ứng dụng trong tầng này

bao gồm Telnet, Giao thức truyền tập tin FTP và Giao thức truyền thư điệntử SMTP

Hình 7 Tầng ứng dụng

Tầng 6: Tầng trình diễn (Presentation layer)

Tầng trình diễn biến đổi dữ liệu để cung cấp một giao diện tiêu chuẩn cho

tầng ứng dụng. Nó thực hiện các tác vụ như mã hóa dữ liệu sang dạng MIME, nén

dữ liệu, và các thao tác tương tự đối với biểu diễn dữ liệu để trình diễn dữ liệu theo

như cách mà chuyên viên phát triển giao thức hoặc dịch vụ cho là thích hợp. Chẳng

hạn: chuyển đổi tệp văn bản từ mã EBCDIC sang mãASCII, hoặc tuần tự

hóa các đối tượng (object serialization) hoặc các cấu trúc dữ liệu (data structure)



Hình 8 Tầng trình diễn

Tầng 5: Tầng phiên (Session layer)

Tầng phiên kiểm soát các (phiên) hội thoại giữa các máy tính. Tầng này

thiết lập, quản lý và kết thúc các kết nối giữa trình ứng dụng địa phương và trình

ứng dụng ở xa. Tầng này còn hỗ trợ hoạt động song công (duplex) hoặc bán song

công (half-duplex) hoặc đơn công (Single) và thiết lập các qui trình đánh dấu điểm

hoàn thành (checkpointing) - giúp việc phục hồi truyền thông nhanh hơn khi có lỗi

xảy ra, vì điểm đã hoàn thành đã được đánh dấu - trì hoãn (adjournment), kết thúc

(termination) và khởi động lại (restart).

Mô hình OSI uỷ nhiệm cho tầng này trách nhiệm "ngắt mạch nhẹ nhàng"

(graceful close) các phiên giao dịch (một tính chất của giao thức kiểm soát giao

vận TCP) và trách nhiệm kiểm tra và phục hồi phiên, đây là phần thường không

được dùng đến trong bộ giao thức TCP/IP.

Tầng 4: Tầng giao vận (Transport Layer)

Tầng giao vận cung cấp dịch vụ chuyên dụng chuyển dữ liệu giữa các

người dùng tại đầu cuối, nhờ đó các tầng trên không phải quan tâm đến việc cung

cấp dịch vụ truyền dữ liệu đáng tin cậy và hiệu quả. Tầng giao vận kiểm soát độ tin

cậy của một kết nối được cho trước. Một số giao thức có định hướng trạng thái và

kết nối (state and connection orientated). Có nghĩa là tầng giao vận có thể theo dõi

các gói tin và truyền lại các gói bị thất bại.



Một ví dụ điển hình của giao thức tầng 4 là TCP. Tầng này là nơi các thông

điệp được chuyển sang thành các gói tin TCP hoặc UDP. Ở tầng 4 địa chỉ được

đánh là address ports, thông qua address ports để phân biệt được ứng dụng trao đổi.

Hình 9 Tầng giao vận

Tầng 3: Tầng mạng (Network Layer)

Tầng mạng cung cấp các chức năng và qui trình cho việc truyền các chuỗi

dữ liệu có độ dài đa dạng, từ một nguồn tới một đích, thông qua một hoặc nhiều

mạng, trong khi vẫn duy trì chất lượng dịch vụ (quality of service) mà tầng giao vận

yêu cầu.

Tầng mạng thực hiện chức năng định tuyến, .Các thiết bị định

tuyến (router) hoạt động tại tầng này — gửi dữ liệu ra khắp mạng mở rộng, làm cho

liên mạng trở nên khả thi. Đây là một hệ thống định vị địa chỉ lôgic (logical

addressing scheme) – các giá trị được chọn bởi kỹ sư mạng. Hệ thống này có cấu

trúc phả hệ. Ví dụ điển hình của giao thức tầng 3 là giao thức IP.

Hình 10 Tầng mạng

Tầng 2: Tầng liên kết dữ liệu (Data Link Layer)

Tầng liên kết dữ liệu cung cấp các phương tiện có tính chức năng và quy

trình để truyền dữ liệu giữa các thực thể mạng, phát hiện và có thể sửa chữa các lỗi



trong tầng vật lý nếu có. Cách đánh địa chỉ mang tính vật lý, nghĩa là địa chỉ (địa

chỉ MAC) được mã hóa cứng vào trong các thẻ mạng (network card) khi chúng

được sản xuất. Hệ thống xác định địa chỉ này không có đẳng cấp (flat scheme).

Chú ý: Ví dụ điển hình nhất là Ethernet. Những ví dụ khác về các giao thức

liên kết dữ liệu (data link protocol) là các giao thức HDLC; ADCCP dành cho các

mạng điểm-tới-điểm hoặc mạng chuyển mạch gói (packet-switched networks) và

giao thức Aloha cho các mạng cục bộ. Trong các mạng cục bộ theo tiêu chuẩn IEEE

802, và một số mạng theo tiêu chuẩn khác, chẳng hạn FDDI, tầng liên kết dữ liệu có

thể được chia ra thành 2 tầng con: tầng MAC (Media Access Control - Điều khiển

Truy nhập Đường truyền) và tầng LLC (Logical Link Control - Điều khiển Liên kết

Lôgic) theo tiêu chuẩn IEEE 802.2.

Tầng liên kết dữ liệu chính là nơi các cầu nối (bridge) và các thiết bị

chuyển mạch (switches) hoạt động. Kết nối chỉ được cung cấp giữa các nút mạng

được nối với nhau trong nội bộ mạng. Tuy nhiên, có lập luận khá hợp lý cho rằng

thực ra các thiết bị này thuộc về tầng 2,5 chứ không hoàn toàn thuộc về tầng 2.

Hình 11 Tầng liên kết dữ liệu

Tầng 1: Tầng vật lí (Physical Layer)

Tầng vật lí định nghĩa tất cả các đặc tả về điện và vật lý cho các thiết bị.

Trong đó bao gồm bố trí của các chân cắm (pin), các hiệu điện thế, và các đặc tả

về cáp nối (cable). Các thiết bị tầng vật lí bao gồm Hub, bộ lặp (repeater), thiết bị

tiếp hợp mạng (network adapter) và thiết bị tiếp hợp kênh máy chủ (Host Bus

Adapter)- (HBA dùng trong mạng lưu trữ (Storage Area Network)). Chức năng và

dịch vụ căn bản được thực hiện bởi tầng vật lý bao gồm:

- Thiết lập hoặc ngắt mạch kết nối điện (electrical connection) với

một phương tiện truyền thông (transmission medium).



- Tham gia vào quy trình mà trong đó các tài nguyên truyền thông được chia

sẻ hiệu quả giữa nhiều người dùng. Chẳng hạn giải quyết tranh chấp tài

nguyên (contention) và điều khiển lưu lượng.

- Điều biến (modulation), hoặc biến đổi giữa biểu diễn dữ liệu số (digital

data) của các thiết bị người dùng và các tín hiệu tương ứng được truyền

qua kênh truyền thông (communication channel).

Cáp (bus) SCSI song song hoạt động ở tầng cấp này. Nhiều tiêu chuẩn khác

nhau của Ethernet dành cho tầng vật lý cũng nằm trong tầng này; Ethernet nhập

tầng vật lý với tầng liên kết dữ liệu vào làm một. Điều tương tự cũng xảy ra đối với

các mạng cục bộ như Token ring, FDDI và IEEE 802.11.

Hình 12 Tầng vật lý



CHƯƠNG III : MÔ HÌNH TCP/IP 3.1. Tổng quát về TCP/IP

TCP/IP là viết tắt của Transmission Control Protocol (Giao thức Điều Khiển

Truyền Thông) / Internet Protocol (Giao thức Internet).

Để cho các máy tính trao đổi dữ liệu với nhau TCP/IP sử dụng mô hình truyền

thông 4 tầng hay còn gọi là Mô Hình DoD (Mô hình của Bộ Quốc Phòng Mỹ). Các

tầng trong mô hình này là (Theo thứ tự từ trên xuống):

+ Tầng Ứng Dụng (Application Layer).

+ Tầng Giao Vận (Transport Layer).

+ Tầng Liên Mạng (Internet Layer).

+ Tầng Giao Diện Mạng (Network Interface Layer).

Mỗi giao thức của Họ TCP/IP đều thuộc 1 trong các tầng này. Ta sẽ cùng tìm

hiểu từng tầng .

3.1.1. Tầng Ứng Dụng (Application Layer)

Gồm nhiều giao thức cung cấp cho các ứng dụng người dùng. Được sử dụng

để định dạng và trao đổi thông tin người dùng. 1 số giao thức thông dụng trong tầng

nàylà:

+ DHCP (Dynamic Host Configuration Protocol): Giao Thức Cấu Hình

HostĐộng.

+ DNS (Domain Name System): Hệ Thống Tên Miền

+ SNMP (Simple Network Management Protocol): Giao Thức Quản Lý

Mạng Đơn Giản.

+ FTP (File Transfer Protocol): Giao Thức Truyền Tập Tin.

+ TFTP (Trivial File Transfer Protocol): Giao Thức Truyền Tập Tin Bình

Thường .

+ SMTP (Simple Mail Transfer Protocol): Giao Thức Truyền Thư Đơn

Giản .

3.1.2. Tầng Giao Vận (Transport Layer)

Có trách nhiệm thiết lập phiên truyền thông giữa các máy tính và quy định

cách truyền dữ liệu. 2 giao thức chính trong tầng này gồm:



+ UDP (User Datagram Protocol): Còn gọi là Giao Thức Gói Người

Dùng. UDP cung cấp các kênh truyền thông phi kết nối nên nó không đảm bảo

truyền dữ liệu 1 cách tin cậy. Các ứng dụng dùng UDP thường chỉ truyền những gói

có kích thước nhỏ, độ tin cậy dữ liệu phụ thuộc vào từng ứng dụng .

+ TCP (Transmission Control Protocol): Ngược lại với UDP, TCP cung

cấp các kênh truyền thông hướng kết nối và đảm bảo truyền dữ liệu 1 cách tin cậy.

TCP thường truyền các gói tin có kích thước lớn và yêu cầu phía nhận xác nhận về

các gói tin đã nhận.

3.1.3. Tầng Liên Mạng (Internet Layer)

Nằm bên trên tầng giao diện mạng. Tầng này có chức năng gán địa chỉ, đóng

gói và định tuyến (Route) dữ liệu. 4 giao thức quan trọng nhất trong tầng này gồm:

+ IP (Internet Protocol): Có chức năng gán địa chỉ cho dữ liệu trước khi

truyền và định tuyến chúng tới đích.

+ ARP (Address Resolution Protocol): Có chức năng biên dịch địa chỉ IP

của máy đích thành địa chỉ MAC.

+ ICMP (Internet Control Message Protocol): Có chức năng thông báo lỗi

trong trường hợp truyền dữ liệu bị hỏng.

+ IGMP (Internet Group Management Protocol): Có chức năng điều khiển

truyền đa hướng (Multicast)

3.1.4. Tầng Giao Diện Mạng (Network Interface Layer)

Tầng Giao Diện Mạng có trách nhiệm đưa dữ liệu tới và nhận dữ liệu từ phương

tiện truyền dẫn. Tầng này gồm các thiết bị phần cứng vật lí chẳng hạn như Card

Mạng và Cáp Mạng.

1 Card Mạng chẳng hạn card Ethernet chứa 1 số HEX 12 kí tự (00-18-37-03-

C0-F4) được gọi là Địa Chỉ MAC (Media Access Control) hay Địa Chỉ Truy Nhập

Phương Tiện . MAC đóng vai trò quan trọng trong việc gán địa chỉ và truyền dữ

liệu.

Một số giao thức tiêu biểu thuộc tầng này gồm :

+ ATM (Asynchronous Transfer

+ Ethernet

+ Token Ring



+ FDDI (Fiber Distributed Data Interface)

+ Frame Relay

Hình 13 Khái quát về mô hình TCP/IP

3.2. Giao thức TCP/UDP

3.2.1. TCP ( Transmission Control Protocol )

Giao thức TCP (Transmission Control Protocol - "Giao thức điều khiển

truyền vận") là một trong các giao thức cốt lõi của bộ giao thức TCP/IP. Sử dụng

TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các "kết nối" với

nhau, mà qua đó chúng có thể trao đổi dữ liệu hoặc các gói tin. Giao thức này đảm

bảo chuyển giao dữ liệu tới nơi nhận một cách đáng tin cậy và đúng thứ tự. TCP

còn phân biệt giữa dữ liệu của nhiều ứng dụng.

Để thiết lập một kết nối, TCP sử dụng một quy trình bắt tay 3 bước (3-way

handshake) Trước khi client thử kết nối với một server, server phải đăng ký một

cổng và mở cổng đó cho các kết nối: đây được gọi là mở bị động. Một khi mở bị

động đã được thiết lập thì một client có thể bắt đầu mở chủ động. Để thiết lập một

kết nối, quy trình bắt tay 3 bước xảy ra như sau:



- Client yêu cầu mở cổng dịch vụ bằng cách gửi gói tin SYN (gói

tin TCP) tới server, trong gói tin này, tham số sequence number được gán cho một

giá trị ngẫu nhiên X.

- Server hồi đáp bằng cách gửi lại phía client bản tin SYN-ACK, trong

gói tin này, tham số acknowledgment number được gán giá trị bằng X + 1, tham

số sequence number được gán ngẫu nhiên một giá trị Y

- Để hoàn tất quá trình bắt tay ba bước, client tiếp tục gửi tới server bản

tin ACK, trong bản tin này, tham số sequence number được gán cho giá trị bằng X

+ 1 còn tham sốacknowledgment number được gán giá trị bằng Y + 1

Tại thời điểm này, cả client và server đều được xác nhận rằng, một kết nối đã được

thiết lập.

Cấu trúc gói tin:

Hình 14 Cấu trúc gói tin TCP

Một gói tin TCP bao gồm 2 phần

Header

Dữ liệu

Phần header có 11 trường trong đó 10 trường bắt buộc. Trường thứ 11 là

tùy chọn (trong bảng minh họa có màu nền đỏ) có tên là: options

Ý nghĩa các header trong TCP :

Source port : Số hiệu của cổng tại máy tính gửi.

Destination port : Số hiệu của cổng tại máy tính nhận.

+ Bít 0 - 3 4 - 9 10 - 15 16 - 31

0 Source Port Destination Port

32 Sequence Number

64 Acknowledgement Number

96 Data Offset Reserved Flags Window

128 Checksum Urgent Pointer

160 Options (optional)

160/192+

Data



Sequence number : Trường này có 2 nhiệm vụ. Nếu cờ SYN bật thì

nó là số thứ tự gói ban đầu và byte đầu tiên được gửi có số thứ tự này cộng

thêm 1. Nếu không có cờ SYN thì đây là số thứ tự của byte đầu tiên.

Acknowledgement number : Nếu cờ ACK bật thì giá trị của trường

chính là số thứ tự gói tin tiếp theo mà bên nhận cần.

Data offset : Trường có độ dài 4 bít qui định độ dài của phần header

(tính theo đơn vị từ 32 bít). Phần header có độ dài tối thiểu là 5 từ (160

bit) và tối đa là 15 từ (480 bít).

Reserved : Dành cho tương lai và có giá trị là 0.

Flags (hay Control bits)

Bao gồm 6 cờ:

URG : Cờ cho trường Urgent pointer

ACK : Cờ cho trường Acknowledgement

PSH : Hàm Push

RST : Thiết lập lại đường truyền

SYN : Đồng bộ lại số thứ tự

FIN : Không gửi thêm số liệu

Window : Số byte có thể nhận bắt đầu từ giá trị của trường báo nhận

(ACK)

Checksum : 16 bít kiểm tra cho cả phần header và dữ liệu

3.2.2. UDP (User Datagram Protocol)

Là một trong những giao thức cốt lõi của giao thức TCP/IP. Dùng UDP,

chương trình trên mạng máy tính có thể gởi những dữ liệu ngắn được gọi

là datagram tới máy khác. UDP không cung cấp sự tin cậy và thứ tự truyền nhận

mà TCP làm; các gói dữ liệu có thể đến không đúng thứ tự hoặc bị mất mà không

có thông báo. Tuy nhiên UDP nhanh và hiệu quả hơn đối với các mục tiêu như kích

thước nhỏ và yêu cầu khắt khe về thời gian.

Cấu trúc gói tin:

UDP là giao thức hướng thông điệp nhỏ nhất của tầng giao vận hiện được

mô tả trong RFC 768 của IETF.



Trong bộ giao thức TCP/IP, UDP cung cấp một giao diện rất đơn giản

giữa tầng mạng bên dưới (thí dụ, IPv4) và tầng phiên làm việc hoặc tầng ứng

dụng phía trên.

UDP không đảm bảo cho các tầng phía trên thông điệp đã được gửi đi và

người gửi cũng không có trạng thái thông điệp UDP một khi đã được gửi (Vì lý do

này đôi khi UDP còn được gọi làUnreliable Datagram Protocol).

UDP chỉ thêm các thông tin multiplexing và giao dịch. Các loại thông tin

tin cậy cho việc truyền dữ liệu nếu cần phải được xây dựng ở các tầng cao hơn.

+ Bits 0 - 15 16 - 31

0 Source Port Destination Port

32 Length Checksum

64

Data

Hình 15 Cấu trúc gói tin UDP

Phần header của UDP chỉ chứa 4 trường dữ liệu, trong đó có 2 trường là

tùy chọn (ô nền đỏ trong bảng).

Source port

Trường này xác định cổng của người gửi thông tin và có ý nghĩa

nếu muốn nhận thông tin phản hồi từ người nhận. Nếu không dùng đến thì đặt nó

bằng 0.

Destination port

Trường xác định cổng nhận thông tin, và trường này là cần thiết.

Length

Trường có độ dài 16 bit xác định chiều dài của toàn bộ datagram:

phần header và dữ liệu. Chiều dài tối thiểu là 8 byte khi gói tin không có dữ liệu, chỉ

có header.

Checksum



Trường checksum 16 bit dùng cho việc kiểm tra lỗi của phần

header và dữ liệu.

3.3. Giao thức IP ( Internet Protocol )

3.3.1 Tổng quan về giao thức IP

Là một giao thức hướng dữ liệu được sử dụng bởi các máy chủ nguồn và đích để

truyền dữ liệu trong một liên mạng chuyển mạch gói.Dữ liệu trong một liên mạng

IP được gửi theo các khối được gọi là các gói (packet hoặc datagram). Cụ thể, IP

không cần thiết lập các đường truyền trước khi một máy chủ gửi các gói tin cho một

máy khác mà trước đó nó chưa từng liên lạc với.

Giao thức IP cung cấp một dịch vụ gửi dữ liệu không đảm bảo (còn gọi là cố

gắng cao nhất), nghĩa là nó hầu như không đảm bảo gì về gói dữ liệu. Gói dữ liệu có

thể đến nơi mà không còn nguyên vẹn, nó có thể đến không theo thứ tự (so với các

gói khác được gửi giữa hai máy nguồn và đích đó), nó có thể bị trùng lặp hoặc bị

mất hoàn toàn.

Hình 16 Cấu trúc gói tin IP

- Version : chỉ ra phiên bản hiện hành của IP đang được dùng, có 4 bit. Nếu

trường này khác với phiên bản IP của thiết bị nhận, thiết bị nhận sẽ từ chối và

loại bỏ các gói tin này.



- IP Header Length (HLEN) : Chỉ ra chiều dài của header theo các từ 32 bit.

Đây là chiều dài của tất cảc các thông tin Header.

- Type Of Services (TOS): Chỉ ra tầm quan trọng được gán bởi một giao

thức lớp trên đặc biệt nào đó, có 8 bit.

- Total Length : Chỉ ra chiều dài của toàn bộ gói tính theo byte, bao gồm dữ

liệu và header,có 16 bit..Để biết chiều dài của dữ liệu chỉ cần lấy tổng chiều dài này

trừ đi HLEN.

- Identification : Chứa một số nguyên định danh hiện hành, có 16 bit. Đây là

chỉ số tuần tự.

- Flag : Một field có 3 bit, trong đó có 2 bit có thứ tự thấp điều khiển sự phân

mảnh. Một bit cho biết gói có bị phân mảnh hay không và gói kia cho biết gói có

phải là mảnh cuối cùng của chuỗi gói bị phân mảnh hay không.

- Fragment Offset : Được dùng để ghép các mảnh Datagram lai với nhau,

có 13 bit.

- Time To Live (TTL) : Chỉ ra số bước nhảy (hop) mà một gói có thể đi

qua.Con số này sẽ giảm đi một khi một gói tin đi qua một router. Khi bộ đếm đạt tới

0 gói này sẽ bị loại. Đây là giải pháp nhằm ngăn chặn tình trạng lặp vòng vô hạn

của gói nào đó.

- Protocol : Chỉ ra giao thức lớp trên, chẳng hạn như TCP hay UDP, tiếp

nhận các gói tin khi công đoạn xử lí IP hoàn tất, có 8 bit.

- Header CheckSum : Giúp bảo dảm sự toàn vẹn của IP Header, có 16 bit.

- Source Address : Chỉ ra địa chỉ của node truyền diagram, có 32 bit.

- Destination Address : Chỉ ra địa chỉ IP của Node nhận, có 32 bit.

- Padding : Các số 0 được bổ sung vào field này để đảm bảo IP Header luôn

la bội số của 32 bit.

- Data : Chứa thông tin lớp trên, chiều dài thay đổi đến 64Kb.

3.3.2. IPv4

3.3.2.1. Tổng quan về địa chỉ IP

Là địa chỉ có cấu trúc,được chia làm 2 hoặc 3 phần : network_id & host_id

hoặc network_id & subnet_id & host_id.

Là một con số có kích thước 32 bit được chia thành bốn phần, mỗi phần gồm 8

bit, gọi là octet hoặc byte. Có các có các cách trình bày sau:



- Ký pháp thập phân có dấu chấm. Ví dụ: 172.16.256.56

- Ký pháp nhị phân. Ví dụ : 10101011 11111111 00010110 10110001

- Ký pháp thập lục phân. Ví dụ AC 20 BD EF

Không gian địa chỉ IP gồm 232 bit được chia thành nhiều lớp. Đó là các lớp

A,B,C,D,E; trong đó các lớp A,B,C dung để đặt cho các host trên mạng internet,lớp

D dung cho các nhóm multicast,lớp E dung để nghiên cứu.

3.3.2.2. Các khái niệm và thuật ngữ

Network_id: là giá trị để xác định mạng. Trong số 32 bit dùng làm địa

chỉ IP thì sẽ có một số bit đầu tiên dung để xác định network_id.

Host_id: là giá trị xác định host trong mạng. Trong số 32 bit dùng làm địa

chỉ IP thì sẽ có một số bit cuối dùng để xác định host_id.

Địa chỉ host: là địa chỉ IP, có thể đặt cho các interface của host.

Mạng ( network ): một nhóm gồm nhiều host kết nối với nhau.

Địa chỉ mạng ( network address ): là địa chỉ IP dùng để đặt cho các

mạng, phần host_id của địa chỉ chỉ chứa các bit 0.

Mạng con ( subnet network ): là mạng có được khi một địa chỉ mạng

được phân chi nhỏ hơn, được xác định nhờ vào địa chỉ IP và subnet mask.

Địa chỉ broadcast: là địa chỉ IP dùng để đại diện cho tất cả các host trong

mạng.

Mặt nạ mạng ( network mask ):là con số dài 32 bit , là phương tiện để

xác định được địa chỉ mạng của một địa chỉ IP.

Mặt nạ mặc định của lớp A: 255.0.0.0

Mặt nạ mặc định của lớp B: 255.255.0.0

Mặt nạ mặc định của lớp C: 255.255.255.0

3.3.2.3. Các lớp địa chỉ

a). Lớp A

Dành 1 byte cho phần network_id và 3 byte cho phần host_id.

Network_id

Host_id



Để nhận diện ra lớp A bit đầu tiên của byte đầu tiên phải là bit 0.

7 bit còn lại trong byte thứ nhất dành cho địa chỉ mạng.

3 byte còn lại có 24 bit dành cho địa chỉ của máy chủ.

Vùng địa chỉ sử dụng là: 0 → 127.

Network_id: 128 mạng từ 0.0.0.0 đến 127.0.0.0

Host_id: 16.777.214 máy chủ trên một mạng.

b). Lớp B


Network_id Host_id

Để nhận diện ra lớp B byte đầu tiên luôn phải bắt đẩu bằng 2 bit 10.

14 bit còn lại trong 2 byte đầu dành cho địa chỉ mạng.




Host_id: 65534 máy chủ trên một mạng

c) Lớp C


Network_id Host_id

Để nhận diện ra lớp C byte đầu tiên luôn phải bắt đẩu bằng 3 bit 110

21 bit còn lại trong 3 byte đầu dành cho địa chỉ mạng.




Host_id: 254 máy chủ trên một mạng



d) Lớp D và E

Các địa chỉ có byte đầu tiên trong khoảng 224 đến 255 là các địa chỉ thuộc

lớp D và E. Do các lớp này không sử dụng để đánh địa chỉ nên không trình bày.

3.3.2.4. Bảng tổng kết

Lớp A Lớp B Lớp C

Giá trị của

byte đầu

tiên

0-127 128-191 192-223

Số byte

phần

Network_id

1 2 3

Số byte

phần

Host_id

2 2 1

Network

mask

255.0.0.0 255.255.0.0 255.255.255.0

Broadcast XX.255.255.255 XX.XX.255.255 XX.XX.XX.255.255

Netwok

address

XX.0.0.0 XX.XX.0.0 XX.XX.XX.0

Số mạng 128 16.384 2.097.152

Số host

trên mỗi

mạng

16.777.214 65.534 254

Hình 17 Bảng tổng kết

3.3.2.5. Địa chỉ IP Public

IP Public là những địa chỉ IP định tuyến được (sử dụng trên internet).



Hình 18 Khoảng địa chỉ IP Public

3.3.2.6. Địa chỉ IP Private

IP Private là những địa chỉ IP không định tuyến được các dải IP này phải

qua cơ chế NAT ip của modem ADSL hoặc router mới dùng được Internet.

Hình 19 Khoảng địa chỉ IP Private

3.4. NAT ( Network address translation )

3.4.1. Khái niệm về NAT

Hình 20 Ví dụ về NAT

Dịch địa chỉ là thay thế địa chỉ thực trong một packet thành địa chỉ được

ánh xạ có khả năng định tuyến trên mạng đích. Nat gồm có 2 bước: một tiến trình



dịch địa chỉ thực thành địa chỉ ánh xạ và một tiến trình dịch ngược trở lại. PIX

Firewall sẽ dịch địa chỉ khi một luật Nat kết hợp với packet. Nếu không có sự kết hợp

với luật Nat thì tiến trình xử lý packet được tiếp tục. Ngoại lệ là khi kích hoạt Nat

control. Nat control yêu cầu các packets từ một interface có mức an ninh cao hơn

(inside) đến một interface có mức an ninh thấp hơn (outside) kết hợp với một luật Nat

hoặc các packets phải dừng lại.

Nat có một số lợi ích như sau:

Bạn có thể sự dụng các địa chỉ riêng trên mạng inside. Các

địa chỉ này không được định tuyến trên Internet

Nat ẩn địa chỉ thực của một host thuộc mạng inside trước các

mạng khác vì vậy các attacker không thể học được địa chỉ thực của một host inside

Có thể giải quyết vấn đề chồng chéo địa chỉ IP.

3.4.2. Các kiểu NAT

a) Dynamic NAT

Dynamic Nat dịch một nhóm các địa chỉ thực thành một dải các địa chỉ

được ánh xạ và có khả năng định tuyến trên mạng đích. Các địa chỉ được ánh xạ có thể

ít hơn các địa chỉ thực. Khi một host muốn dịch địa chỉ khi truy cập vào mạng đích

thì PIX sẽ gán cho nó một địa chỉ trong dải địa chỉ được ánh xạ. Translation chỉ

được thêm vào khi host thực khởi tạo kết nối. Translation được duy trì trong suốt quá

trình kết nối. Người sử dụng không thể giữ được địa chỉ IP khi Translation time out (hết

thời gian). Người sử dụng trên mạng đích không thể khởi tạo kết nối đến host mà sử dụng

dynamic Nat thậm chí kết nối này được phép bởi access list. (chỉ có thể khởi tạo kết nối

trong suốt translation).



b) PAT PAT dịch một nhóm các địa chỉ thực thành một địa chỉ được ánh xạ. Đặc

biệt, PAT dịch địa chỉ thực và port nguồn (real socket) thành địa chỉ được ánh xạ và một

port duy nhất (mapped port) lớn hơn 1024. Mỗi một kết nối yêu cầu một translation

riêng biệt bởi vì port nguồn là khác nhau cho mỗi kết nối.

c) Static NAT

Static NAT tạo một translation cố định của một (hoặc nhiều) địa chỉ

thực đến một (hoặc nhiều) địa chỉ được ánh xạ. Đối với Dynamic NAT hoặc PAT thì mỗi

host sẽ sử dụng địa chỉ hoặc cổng khác nhau cho mỗi translation. Bởi vì địa chỉ được ánh

xạ là như nhau cho các kết nối liên tục và tồn tại một translation cố định do đó với static

Nat, người sử dụng ở mạng đích có thể khởi tạo một kết nối đến host được dịch (nếu

accsess list) cho phép.

d) Static PAT

Static PAT cũng tương tự như Static NAT, ngoại trừ chúng ta cần phải

chỉ ra giao thức (TCP hoặc UDP) và cổng cho địa chỉ thực và địa chỉ được ánh xạ.



PHẦN II : CAMERA IP



CHƯƠNG I: TỔNG QUAN VỀ CAMERA 1.1. Giới thiệu về camera quan sát

Camera là thiết bị quan sát và thu giữ hình ảnh, âm thanh để phục vụ cho vấn để

giám sát và an ninh.Với chức năng cơ bản là ghi hình, Camera được ứng dụng rộng

rãi trong lĩnh vực giám sát.

Một hệ thống các Camera đặt tại những vị trí thích hợp sẽ cho phép bạn quan

sát, theo dõi toàn bộ ngôi nhà, nhà máy, xí nghiệp hay những nơi bạn muốn quan

sát, ngay cả khi bạn không có mặt trực tiếp tại đó.

1.1.1 Phân loai camera quan sát

Có 3 cách phân loại Camera:

- Phân loại theo kĩ thuật hình ảnh.

- Phân loại theo đường truyền.

- Phân loại theo tính năng sử dụng.

1.1.1.1 Phân loại theo kĩ thuật hình ảnh

a) Camera quan sát Analog

Ghi hình băng từ xử lý tín hiệu analog, xử lý tín hiệu màu vector màu,

tín hiệu điện truyền trên đường cáp đồng trục.

Loại Camera này có chất lượng hình ảnh kém , và có rất ít khách

hàng sử dụng

Hình 21 Camera tương tự



b) Camera quan sát CCD (Charge Couple Device) (100% số):

Camera quan sát CCD sử dụng kĩ thuật CCD để nhận biết hình ảnh.

CCD là tập hợp những ô tích điện có thể cảm nhận ánh sáng sau đó chuyển tín hiệu

ánh sáng sang tín hiệu số để đưa vào các bộ xử lý. Nguyên tắc hoạt động của CCD

có thể mô tả dưới đây:

CCD gồm một mạng lưới các điểm bắt sáng được phủ bằng lớp bọc

màu (đỏ - red, hoặc xanh lục - green, hoặc xanh dương - blue), mỗi điểm ảnh chỉ bắt

một màu. Do đó, khi chụp ảnh (cửa trập mở), ánh sáng qua ống kính và được lưu lại

trên bề mặt chíp cảm biến dưới dạng các điểm ảnh.

Mỗi điểm ảnh có một mức điện áp khác nhau sẽ được chuyển đến bộ

phận đọc giá trị theo từng hàng. Giá trị mỗi điểm ảnh sẽ được khuếch đại và đưa

vào bộ chuyển đổi tín hiệu tương tự sang tín hiệu số, cuối cùng đổ vào bộ xử lý để

tái hiện hình ảnh đã chụp. Chính quá trình đọc thông tin thực hiện theo từng hàng đã

làm cho tốc độ xử lý ảnh chậm, rồi thiếu hoặc thừa sáng.

Các thông số kỹ thuật của Camera quan sát CCD là đường chéo màn

hình cảm biến (tính bằng inch ). Kích thước màn hình cảm biến càng lớn thì chất

lượng càng tốt. (màn hình 1/3 inch Sony CCD sẽ có chất lượng tốt hơn 1/4 inch

CCD, vì 1/3 inch > 1/4 inch). Hiện nay có rất nhiều hãng sản xuất cảm biến hình

ảnh nhưng chỉ có cảm biến hình của Sony và Sharp hình ảnh đẹp và trung thực.

Chất lượng của Sharp kém hơn chất lượng của Sony và giá thành rẻ hơn.

Hình 22 Camera CCD



c) Camera quan sát CMOS ( complementary metal oxide

semiconductor).

Camera quan sát CMOS có nghĩa là chất bán dẫn có bổ sung oxit kim

loại, cạnh mỗi điểm bắt sáng đã có sẵn mạch điện bổ trợ dễ dàng tích hợp ngay quá

trình xử lý điểm ảnh. Với cấu trúc này, mỗi điểm ảnh sẽ được xử lý ngay tại chỗ và

đồng loạt truyền tín hiệu số về bộ xử lý để tái hiện hình ảnh đã chụp nên tốc độ xử

lý sẽ nhanh hơn rất nhiều.

Một ưu điểm nữa mà cấu trúc này mang lại là có thể cung cấp chức

năng tương tác một vùng điểm ảnh (như phóng to một phần ảnh) cho người sử

dụng, điều mà chíp cảm biến CCD khó làm được. Với khả năng bổ trợ nhiều như

vậy nhưng chip cảm biến CMOS lại tiêu thụ ít năng lượng hơn chip cảm biến CCD,

cộng với nhiều yếu tố khác mà giá thành sản xuất chip CMOS thấp.

Hình 23 Camera CMOS

Hiện nay trên thị trường, dòng máy dùng chip cảm biến CMOS thường là

dòng chuyên nghiệp hay bán chuyên nghiệp, đa số là ở máy quay video (gần đây

cũng đã có máy ảnh bán chuyên nghiệp dùng chip CMOS của Canon), nên giá tiền

có thể sẽ vượt quá khả năng của người dùng mua máy ảnh phục vụ cho nhu cầu của

cá nhân, gia đình. Do vậy, máy ảnh dùng chip CCD vẫn còn chiếm lĩnh thị trường

phổ thông trong thời gian trước mắt.

1.1.1.2 Phân loại Camera quan sát theo kỹ thuật đường truyền

a) Camera quan sát có dây

Camera quan sát có dây có ưu điểm đó là khả năng an toàn cao, tính

bảo mật tốt được sử dụng truyền tín hiệu trên dây cáp đồng trục khoảng 75ohm -



1Vpp, dây C5. Đây là giải pháp được đánh giá là an toàn, chúng tôi cũng khuyến

khích các bạn nên dùng loại Camera quan sát có dây, ngoại trừ những trường hợp

đặc biệt khác.Chú ý rằng khi truyền với khoảng cách xa thì cần có bộ khuyếch đại

để tránh việc tín hiệu đường truyền suy hao, dẫn đến chất lượng hình ảnh không tốt.

Hình 24 Camera có dây

b) Camera quan sát không dây.

Giống như tên gọi, các Camera quan sát này đều không có dây. Nhưng

rất tiếc là cũng không hoàn toàn như vậy.Các Camera này vẫn cần thiết phải có dây

nguồn. Các loại Camera quan sát không dây có ưu điểm đó là dễ thi công lắp đặt do

không cần đi dây, tuy nhiên Camera quan sát có hệ số an toàn không cao Có 1 số

vấn đề cần quan tâm đối với thiết bị không dây. Đó là tần số bạn sử dụng.Camera

quan sát không dây sử dụng sóng vô tuyến RF để truyền tín hiệu thường tần số dao

động từ 1,2 đến 2,4MHZ. Camera quan sát không dây được sử dụng khi lắp đặt tại

các khu vực địa hình phức tạp khó đi dây từ Camera quan sát đến các thiết bị quan

sát, ví dụ như các ngôi nhà có nhiều tường chắn.

Đối với khoảng cách xa hàng ngàn mét chúng ta cần phải sử dụng

những thiết bị đặc biệt hoạt động ở tần số cao và giá thành khá đắt.

Việc sử dụng Camera quan sát không dây được đánh giá là không an

toàn dễ bị bắt sóng hoặc bị ảnh hưởng nhiễu trước các nguồn sóng khác như điện

thoại di động và thời tiết …



Hình 25 Camera không dây

c) IP Camera (Camera quan sát mạng)

IP Camera được kết nối trực tiếp vào mạng thông qua Swich hoặc

router, tín hiệu hình ảnh và điều khiển được truyền qua mạng. Tất cả các camera

muốn hiển thị hoặc ghi hình được đều phải thông qua phần mền được cài đặt trên

máy vi tính.

Hiện nay hệ thống camera IP có rất ít mẫu mã để lựa chọn và giá

thành khá cao (Có một số loại rẻ tiền thì dùng cảm biến hình không tốt) nên nó chỉ

phù hợp với những nơi có khuôn viên nhỏ như nhà riêng hoặc các cửa hàng nhỏ.

Hình 26 Camera CCD

1.1.1.3 Phân loại Camera qua sát theo tính năng sử dụng

a) Camera quan sát dạng Dome (Camera áp trần)

Đây là loại Camera quan sát thường được đặt trong nhà, kiểu dáng

hình bán nguyệt rất trang nhã và thường được gắn ốp lên trần nhà. Camera này có



tính năng bảo mật cao và thẩm mỹ phù hợp để gắn trong các văn phòng, khách sạn,

nhà hàng, quầy tiếp tân …

Hình 27 Camera Dome

b) Camera quan sát bí mật

Giống như tên gọi, Camera quan sát này không thể nhận biết được.

Nó có nhiều hình dạng và kích thước khác nhau, có thể ngụy trang và tránh bị phát

hiện.

Camera quan sát có thể ngụy trang trong ố cắm điện, bức tranh hay

bình hoa. Ngoài ra nó còn có những mẫu mã khác dạng đầu báo khói. Có những loại

camera quan sát gắn chỉ âm tường hoặc giấu vào vật gì đó chỉ chừa lại 1 lỗ ống kính

bằng bằng đầu tăm mà thôi.

c) Camera quan sát hình hộp

Đây là loại Camera quan sát truyền thống thường được dùng trong các

nhà xưởng, khu vực ngoài trời hoặc có khuôn viên rộng .... Tuỳ thuộc vào nhu cầu

quan sát của khách hàng mà Camera quan sát này có thể thiết kế để nhìn xa hay

nhìn gần khi thay đổi ống kính. Loại camera quan sát này rất đa dụng nên thường

được sử dụng rất nhiều, có thể gắn thêm đế xoay để camera xoay, cũng có thể gắn

thêm hộp bảo vệ để chống mưa, nắng, chống phá hoại ..

d) Camera quan sát hồng ngoại ( IR Camera)

Camera quan sát hồng ngoại này có khả năng quan sát ban đêm khi tắt

hết đèn (0 Lux) Khoảng cách quan sát của Camera quan sát phụ thuộc vào công suất

của đèn hồng ngoại. Khoảng cách quan sát trong bóng tối của Camera quan sát

hồng ngoại thông thường sẽ quan sát trong phạm vi dao động khoảng 10m đến 60m.

Một số loại đặc biệt thì có khả năng quan sát xa hơn, thậm chí khoảng 300 m.



Trong điều kiện môi trường ánh sáng ban ngày thì Camera quan sát

hồng ngoại cũng quan sát bình thường như tất cả các loại camera quan sátkhác.

Camera quan sát hồng ngoại có thể quan sát được trong điều kiện tối 100% v à hình

ảnh s ẽ chuyển sang chế độ trắng đen

.

Hình 28 Camera IR

e) Camera quan sát PTZ

P: Pan - Quay ngang (trái/phái)

T: Tilt - Quay dọc (l ên/xu ống)

Z: Zoom - (Phóng to)

Pan/Tilt/Zoom hay những họ tương tự được biết đến với cái tên

thương mại là PTZ Camera. Camera quan sát hỗ trợ khả năng quay 4 chiều, phóng

to thu nhỏ hình ảnh. Camera quan sát này có thể kết nối và điều khiển thông qua

bàn điều khiển chuyên dụng, máy vi tính hoặc đầu ghi hình kỹ thuật số. Hơn nữa

Camera quan sát có thể được lập trình các vị trí tuần tra để hoạt động, nên nó có thể

làm tất cả các công việc cho bạn.

Camera quan sát này phù hợp với những nơi cần độ an ninh cao và có

phạm vi rộng.

1.1.2 Thông số cơ bản của camera

1.1.2.1 Camera quan sát Indoor, Outdoor

Indoor: Camera quan sát đặt trong nhà.

Outdoor: Camera quan sát đặt ngoài trời.

Các Camera quan sát trong nhà đều có thể đặt ngoài trời khi gắn

trong hộp bảo vệ ngoài trời. Chú ý rằng, Nếu Camera quan sát của bạn dự định đặt



ngoài trời thì nên chọn Camera quan sát Outdoor để đảm bảo chịu đựng được các

tác động bên ngoài như độ ẩm, thời tiết, nước, bụi, hay các tác nhân phá hoại khác.

1.1.2.2 IR Camera: Camera quan sát hồng ngoại

Với Camera quan sát hồng ngoại, bạn có thể ghi hình vào ban đêm,

điều mà các Camera quan sát thông thường không thực hiện được. Với những ứng

dụng quan sát 24/24, bạn cần chọn Camera quan sát có chức năng hồng ngoại. Cũng

nên nhớ rằng, trong điều kiện đủ ánh sáng Camera, Camera này hoạt động không

khác những Camera bình thường, chỉ khi đêm tối, đèn hồng ngoại được tự động bật,

và Camera bắt đầu hoạt động với tính năng hồng ngoại.

Trong bảng thông số, bạn cần quan tâm đến những thông số sau:

Ir Led: Số lượng đèn LED hồng ngoại.

Visible Distance: Khoảng cách quan sát.

Khi hoạt động ở chế độ hồng ngoại, các đèn LED sẽ tự động bật lên,

và đòi hỏi công suất khá lớn, đó là lý do tại sao nguồn cấp cho các Camera hồng

ngoại thường là lớn hơn nhiều với các Camera thông thường.

Water Resistance: Sự chịu nước.

1.1.2.3 Chất lượng hình ảnh

Chất lượng hình ảnh của một Camera phụ thuộc vào nhiều thông số

như :

Image Sensor: Cảm biến hình.

Resolution: Độ phân giải: Độ phân giải càng lớn thì chất lượng

hình ảnh càng nét.

CCD Total Pixels: Số điểm ảnh. Thông số này nói lên chất

lượng hình ảnh, số điểm ảnh càng lớn thì chất lưọng hình ảnh càng tốt, tuy nhiên,

chất lượng hình ảnh càng tốt thì cũng đồng nghĩa với dung lưọng ảnh càng lớn, và

sẽ tốn bộ nhớ lưu trữ cũng như ảnh hưỏng đến tốc độ đường truyền.

1.1.2.4 Điều kiện hoạt động

Minimum Illumination: Cường độ ánh sáng nhỏ nhất.

Thường được tính bằng Lux. Thông số này nói lên rằng, Camera chỉ

có thể hoạt động ở cường độ ánh sáng lớn hơn cường độ ánh sáng nhỏ nhất. Trong

điều kiện quá tối, nếu không phải là Camera có chức năng hồng ngoại thì sẽ không

hoạt động được.



Ánh nắng mặt trời: 4000 lux

Mây: 1000lux

Ánh sáng đèn tuýp: 500 lux,

Bầu trời có mây: 300lux

Ánh sáng đèn tuýp đỏ 500 lux, trắng (300 lux) trắng sáng 1lux

Đêm không trăng: 0.0001 Lux

Xin chú ý đến loại Camera quan sát có chức năng Auto Iris (Tự

động hiệu chỉnh ánh sáng). Đặc điểm của Camera loại này là chỉ với 1 nguồn sáng

nhỏ, nó có thể tự động khuyếch đại nguồn sáng đó lên để có thể quan sát được.

Power Supply: Nguồn cung cấp.

Hiện nay đa số các Camera quan sát đều dùng loại nguồn 12VDC,

chỉ một số ít các Camera dùng nguồn khác. Tuy nhiên, bạn không phải lo lắng đến

vấn đề nguồn 12VDC, vì phần lớn các công ty bán camera quan sát đều bán bộ

chuyển đổi nguồn, do đó bạn có thể sử dụng trực tiếp nguồn 220VAC.

Operatinon Temperature: Dải nhiệt độ hoạt động.

Phần lớn các Camera quan sát đều cho phép hoạt động trong dải

nhiệt độ -100C ~ 500C, nếu Camera của bạn được sử dụng trong những điều kiện

khắc nghiệt như trong công nghiệp, khu vực có nhiệt độ cao thì bạn nên sử dụng các

loại Camera quan sát chuyên dụng trong công nghiệp.

Operational Humidity: Độ ẩm cho phép.

Thông thường, độ ẩm cho phép là 90% RH (độ ẩm tương đối).

1.1.2.5 Góc quan sát.

Trong tài liệu kỹ thuật thường không ghi góc mở, mà ghi thông số tiêu cự

thay cho góc mở. Có thể sử dụng bảng quy đổi sau:

2.1 mm 138°36’

2.5 mm 100°24’

2.8 mm 85°36’

3.6 mm 79°36’

4 mm 61°36’

6 mm 46°12’

8 mm 34°24’

12 mm 22°42’

16 mm 21°30

Tùy vào ứng dụng của bạn mà nên chọn loại Camera quan sát có góc

quan sát là bao nhiêu độ. Nếu bạn cần quan sát rộng, có thể chọn loại Camera quan



sát mà ống ính của nó có góc mở lớn. Còn nếu chỉ muốn quan sát trong một phạm

vi rất hẹp thì cũng sẽ có những loại Camera quan sát gắn ống kính có tiêu cự phù

hợp với nhu cầu của bạn.

Còn nếu muốn góc quan sát rất lớn, nên chọn loại Camera đặc biệt có

chức năng Pan/ Tilt (quay ngang, quay dọc). Nếu bạn đã có một chiếc Camera

nhưng không có chức năng Pan/Tilt, bạn hoàn toàn có thể cải tiến nó bằng cách lắp

thêm một đế quay ngang, quay dọc, khi đó, bạn có thể điều khiển Camera của bạn

quay theo bất cứ hướng nào bạn muốn.

1.1.2.6. Các thông số khác

Auto White Balance: Tự động cân bằng ánh sáng trắng.

Auto Gain Control: Tự động kiểm soát độ lợi.

Backlight Compensation: Bù ánh sáng ngược.

Auto Electronic Shutter: Tự động chống sốc điện.

1.2. Sơ đồ khối camera

Ảnh của vật được ánh sáng chiếu vào sẽ phản đến bộ lọc quang của camera

nhằm mục đích hiệu chỉnh cường độ ánh sáng, sau đó đưa qua lăng kính tách màu để

tách thành 3 màu cơ bản RGB và đập vào ma trận cảm biến độ sáng CCD, tín hiệu độ

sáng được chuyển thành tín hiệu điện analog được số hóa, xử lý, định dạng thành

khung truyền và đưa đến thiết bị lưu trữ hoặc thiết bị hiển thị.

1.3. Bộ tách màu

Y = 0.59G+0.3R+0.11B



Bộ tách màu gồm một hệ thống lăng kính được ghép lại với nhau tạo ra các mặt

lưỡng sắc ( Green, Blue ) và ( Green, Red ). Nguồn ánh sáng phản chiếu từ ảnh đến hệ

thống lăng kính sẽ được tách ra thành 3 thành phần , thành phần ánh sáng Green được

đi thẳng qua hệ thống lăng kính để đến cảm biến Green, hai thành phần còn lại là Red

và Blue lần lượt phản xạ trên 2 mặt lưỡng sắc để đến các biến tương ứng.

Phân bố năng lượng ánh sáng tổng hợp sau khi qua hệ thống thấu kính cũng có

sự thay đổi :

1.4. Thiết bị ghép diện tích CCD (Charge Couple Device )



1. Cấu trúc chuyển khung.

2. Cấu trúc chuyển dòng.

3. Cấu trúc chuyển khung – dòng.



1.5. Xử lý tín hiệu

100+600%

Các camera cho phép bảo vệ vùng sáng đến 600% trước khi đạt đến giới hạn

bảo hòa của CCD và việc này thực hiện được bởi các thiết bị điện tử.

Hệ số K được lưu vào ram.

1.6. Giới thiệu về Camera IP

Camera IP hay còn gọi là camera mạng cho phép việc giám sát có thể thực

hiện tại chỗ hoặc thông qua hệ thống mạng Lan / Wan / Wireless được xác nhận

bằng 1 địa chỉ IP riêng biệt. Các camera được chế tạo sử dụng tiêu chuẩn nén ảnh

JPEG, MJEG, MPEG4 nhằm giảm tối đa dung lượng đường truyền nhưng vẫn giữ

được chất lượng hình ảnh.



1.7. Cấu trúc Camera IP

1.8. Nguyên lý hoạt động của IP Camera: Một IP Camera hay còn gọi là Network Camera có thể được mô tả như một

thiết bị hai trong một (gồm 1 camera thông thường và 1 máy vi tính).Nó kết nối trực

tiếp vào hệ thống Internet như những thiết bị Network khác. 1 Network camera có

riêng cho nó 1 địa chỉ IP và gắn liền với những tính năng của một máy vi tính để

điều khiển việc truyền thông tin trên Internet. Một số Ntetwork Camera còn được

trang bị thêm những tính năng có giá trị như phát hiện những sự chuyển động hay

có những cổng output cho các camera thông thường khác.

Thấu kính sẽ bắt lấy những hình ảnh – có thể được miêu tả như những chiều

dài dải sóng khác nhau của ánh sáng – và biến đổi chúng vào tín hiệu điện tử khác.

Những tín hiệu này sau đó được chuyển đổi tỷ biến (tương tự) – thành – số và

chuyển đến những tín năng “vi tính nơi mà hình ảnh được nén lại và gửi đi thông

qua Internet.



Ống kính của Camera làm cho hình ảnh tập trung vào chíp hình ảnh – image

sensor (CCD / CMOS). Trước khi đến được chíp hình ảnh thì những hình ảnh đó

phải đi qua bộ kính lọc – sẽ bỏ đi những tia hồng ngoại để những màu sắc “chuẩn sẽ

được hiển thị. ( Đối với Camera ra quay được ngày và đêm thì bộ phận lọc tia hồng

ngoại sẽ được chuyển đi để cung cấp những hình ảnh trắng và đen ở chất lượng cao

trong điều kiện ban đêm). Lúc này chíp hình ảnh sẽ chuyển đổi hình ảnh – bao gồm

những thông tin về ánh sáng – vào tín hiệu điện tử. Những tín hiệu này sẵn sàng để

được nén và gửi đi thông qua mạng Internet.

CPU, Flash memory và DRAM có thể được hình dung như “bộ não hay

những tín năng tin học của Camera và được thiết kế đặc biệt cho những ứng dụng

mạng. Cùng 1 lúc, chúng điều khiển sự truyền thông tin với hệ thống mạng và với

web server. Qua cổng Ethernet, một Network Camera có thể đồng thời gởi những

hình ảnh trực tiếp đến 10 máy tính khác hoặc nhiều hơn.



CHƯƠNG II : CẤU HÌNH VÀ KHAI THÁC CAMERA IP Phần này chúng em xin giới thiệu về Camera IP Vivotek IP7135

2.1. Datasheet Vivotek IP7135

Hệ thống

- CPU: VVTK-1000 SoC

- Flash: 4MB

- RAM: 32MB SDRAM

- Tương thích OS: Linux 2.4

Ống kính Dạng khối, f=4.0 mm, F2.0

Cảm biến hình ảnh Chip CMOS ¼” VGA

Cường độ ánh sáng nhỏ

nhất 1.5 Lux / F2.0

Video

- Chuẩn nén: MPEG-4 cho video và

JPEG cho hình ảnh.

- Tốc độ khung: 30/25 fps tại 640x480

Hình ảnh

- Có thể điều chỉnh : khích thước, chất

lượng, bit rate của hình ảnh.

- Lật và nghiêng hình.

- Cấu hình: độ sáng , tương phản.

Âm thanh - Chuẩn nén: GSM-AMR speech , bit

rate: 4.75 kbps ~ 12.2 kbps.



- MPEG-4 AAC audio encoding, bit

rate 16 kbps ~ 128kbps.

Chuẩn mạng

- 10/100 Mbps Ethernet, RJ-45

- Built-in 802.11b/g WLAN (IP7137)

- Protocols: Ipv4, TCP/IP, HTTP,

UPnP, RTSP/ RTP/RTCP, IGMP,

SMTP, FTP, DHCP, NTP, DNS,

DDNS, and PPPoE.

Cảnh báo và quản lý

- Phát hiện chuyển động.

- Sử dụng giao thức: HTTP,FTP,

SMTP.

An ninh Sử dụng password để truy cập.

Led chỉ thị Nguồn và tình trạng hoạt động

Nguồn 12 VDC

Nhiệt độ làm việc 0°C ~ 50°C

Độ ẩm 20% ~ 80% RH

Yêu cầu hệ thống

OS: Microsoft Windows

2000/XP/Vista

Browser: Internet Explorer

Cell phone: 3GPP player

Quick Time: 6.5 or above

Real Player: 10.5 or above

Installation, Management,

and Maintenance

Installation Wizard 2

16-CH recording software

Supports firmware upgrade



Toàn bộ hệ thống

Cấu trúc bên ngoài

2.2. Cấu hình Camera IP Vivotek IP7135 :

2.2.1. Kết nối với camera ip :



2.2.2. Đăng nhập vào camera ip:

Mở chương trình Install Wizard kèm theo khi mua Camera để dò tìm địa chỉ IP

của Camera. Khi khởi động chương trình lên sẽ có giao diện như sau:

Nếu chương trình tìm thấy thì sẽ hiện ra một dòng như hình trên có các thông

số IP cũng như tên của camera (Trường hợp nếu không có dòng thông số như trên

thì bạn hãy ấn vào nút Search ở góc dưới bên trái chươg trình để nó tìm lại,nếu

như Search nhiều lần cũng không được thì bạn nên kiểm tra lại dây tín hiệu cũng

như kiển tra xem camera đã có nguồn chưa.Nếu vẫn không được thì bạn nên đi đến

nơi bán Camera để KT kiểm tra lại)

Bạn hãy đánh dấu chọn vào ô vuông của dòng thông số trên và ấn vào nút

để xem Camera bằng trình duyệt web (Chú ý : Xem bằng

IE và lần đầu tiên bạn xem bằng trình duyệt web thì bạn phải đợi máy tính cài đặt

chương trình hổ trợ của Vivotek).

2.2.3. Cấu hình camera bằng trình duyệt Web :

Mở trình duyệt IE lên và ta gõ địa chỉ IP của camera đã xác điịnh từ trước (trong ví

dụ này là 192.168.1.36) ta sẽ có giao diện như sau :



Chúng ta đăng nhập user name : root ,pass : theo pass trong quá trình cài đặt.

Và giao diện sẽ hiện ra như sau . Chú ý: nếu máy tính của bạn chưa bao giờ xem

camera Vivotek thì bạn cần active X để có thể xem được camera .

Trên giao diện có 3 thanh công cụ là Snapshot, Client Settings, Configuration .

Snapshot : dùng để chụp hình.



Client Settings : dùng để chỉnh các tùy chọn về Audio và Protocol như sau :

Configuration : dùng để cấu hình các thông số của camera và có giao diện

như sau :

Hình : giao diện của Configuration .

Gồm các Tab như sau :

System : có các phần để đặt tên cho camera, chỉnh giờ ,ngày, tháng ,năm.

Security : dùng để đặt lại user name và password.



Hình : tab Security.

Network : dùng để chỉnh đại chỉ IP, mở port. Đây là một trong những tab quan

trọng nhất. Chúng ta sẽ quay lai tab này trong phần cấu hình camera qua mạng

internet và LAN.

DDNS : Dynamic Domain Name System : là nơi chúng ta nhập vào nhà cung cấp

tên miền động , user và password của tài khoản ta đăng ký ở nhà cung cấp đó.

Trong ví dụ này là nhà cung cấp là Dyndns.org .

Hình : Tab DDNS.

Audio and Video : Gồm có 3 phần :

General : cho phép cấu hình trên máy tính hay thiết bị di động.

Video : chỉnh các thông số về Video như màu ,kích thước khung, số khung

/giây, chất lượng ảnh …

Audio : chỉnh các thông số về âm thanh.



Hình : tab Video and Audio.

Sau khi chỉnh xong thì ta save lại để lưu cấu hình vừa chỉnh.

Motion detection : chỉnh độ nhạy và phần trăm.



Hình : tab Motion detection.

Mantenance : dùng để reboot, update firmware.

Hình : tab Maintenance.

Ngoài ra còn có các tab khác như Access list, Email and FTP…

2.2.4. Cấu hình xem camera ip qua mạng internet :

Các thành phần cần thiết để xem hình ảnh của camera ip qua mạng internet gồm:

một camera ip, một modem ADSL và máy tính để cấu hình



Ta có mô hình như sau :

Cách thực hiện như sau :

a) Đăng ký một tên miền động: như no-ip.com hay Dyndns.org (cách đăng ký

tương tự như ở phần đăng ký tên miền cho VPN ).

b) Cấu hình cho camera ip :

Đăng nhập vào camera ip vào phần Configuration .

Bước 1: vào tab DDNS và khai báo tài khoản tên miền động .

Trong phần Provider : chọn trang cung cấp DDNS (ở đây là dyndns.org)

Host name : tên miền mà chung ta đã đăng ký.



User name và Password : tên tài khoản mà chúng ta đã đăng ký ở nhà

cung cấp DDNS.

Bước 2 : vào tab Network .

.

Ta chọn Use fixed IP address và gõ vào các thông số sau :

.

Trong phần Primary DNS chúng ta đánh địa chỉ của ISP đang sử dụng vào.

Trong ví dụ này sử dụng dịch vụ của ISP FPT nên ta gõ là 210.245.24.20. Ngoài ra

chúng ta có thể sử dụng các open DNS như 216.146.35.35 hay 208.67.222.222 .

Bước 3 : mở port cho camera. Trong ví dụ này ta mở port 5000.

Cũng ở tab Network ta chọn ở HTTP port : 5000 và RTSP port : 5001.



.

Các thông số còn lại ta giữ nguyên và save cấu hình đã chỉnh sửa lại.

c) Cấu hình trên modem ADSL :

Trong ví dụ này chúng ta sử dụng modem của ZyXEL P-660H-T1 v2.

Bước 1 : khai báo tên miền đã đăng ký.

Cũng tương tự như ở phần VPN, ta đăng nhập vào modem và chọn tab

Advanced -> Dynamic DNS để khai báo tên miền và tài khoản của chúng ta . Đánh

dấu check vào ô Active Dynamic DNS, sau đó apply để lưu cấu hình lại



Hình : giao diện DDNS.

Bước 2 : mở port trên modem ADSL .

Chúng ta vào tab Network -> NAT -> Port forwarding .

Hình : Port forwarding.

Trong ô Service Name ta chọn User define thì sẽ xuất hiện trang tiếp theo.

Ta đánh dấu check vào ô Active ,gõ tên bất kỳ vào ô service name, start port là

5000 end port là 5002 , ô IP ta gõ địa chỉ của camera ip vào. Trong ví dụ này là

192.168.1.36. Sau đó apply và kết quả là .



Như vậy chúng ta đã cấu hình xong cho camera ip và modem ADSL. Bây giờ

chúng ta đứng ở bên ngoài mạng internet, mở trình duyệt IE và gõ vào

ttp07b.homeip.net:5000 (tên miền và port đã mở ). Ta sẽ có kêt quả như sau .

Ta nhập vào user name : root và password : như trong quá trình cài đặt .

Và đây là kết quả .



2.2.5. Cấu hình xem camera ip qua mạng LAN

2.2.5.1.Mô hình:

Với mạng LAN lớp C có IP :192.168.1.X

Subnet mask : 255.255.255.0



Các thành phần :

Camera ip :

IP : 192.168.1.50:5000

Subnet mask : 255.255.255.0

PC admin : có quyền xem và cấu hình.

IP : 192.168.1.X

Subnet mask : 255.255.255.0

Username : root (mặc định )

Password : 111111

PC client : chỉ có quyền xem.

IP : 192.168.1.Y

Subnetmask : 255.255.255.0

Username : u1

Password : 123

Với X,Y,Z thuộc dãi IP trên đi từ 1 -> 254.

2.2.5.2.Cách thực hiện

Ta thực hiện các bước sau :

Bước 1 : Tìm kiếm và đặt lại IP của camera.

Đầu tiên ta đăng nhập vào camera ip bằng phần mềm để tìm

kiếm camera ip trong mạng LAN.

Ta có giao diện như sau :



Click vào nút Search để tìm kiếm camera ip trong mạng sau đó click vào Setup để

đăng nhập vào camera ip .



Đăng nhập bằng password 111111 và ta có giao diện như sau :



Click vào Next vào tiếp trang sau để thay đổi IP của camera cho phù hợp với mạng

LAN.



Bỏ chọn ô Reset IP address at next boot ,thay đổi đại chỉ IP như mô hình và

click Next sau đó Apply để hoàn thành. Và camera sẽ xử lý.

Sau đó giao diện ban đầu sẽ xuất hiện lại.



Đánh dấu check vào ô địa chỉ và click vào Link to selected device(s) để vào

xem hình ảnh của camera ip.

.

Ở ô user name : root

Pass : 111111

Và kết quả là :



Để cấu hình ta click vào .

Sau đó vào tab Network để kiểm tra lại.



Bước 2 : đặt một user chỉ cho phép xem và không được cấu hình.

Sau đây ta tạo một user cho phép vào xem nhưng không cho cấu hình.

.

Chúng ta vào tab Security , vào mục Add user :

Ô User name : u1

Ô User password : 123

Sau đó chọn Add .Như vậy là hoàn thành . Bây giờ chúng ta thử đăng nhập vào

camera bằng user: u1 .



Chúng ta có kết quả là :

Chúng ta thấy không có tab Configuration để cấu hình . Mô hình hoàn thành .

2.3. Khai thác các tính năng của camera ip qua phần mềm Vivotek ST3402 và

playback :

2.3.1. Cài đặt phần mềm :

- Cài dặt phần mềm đi kềm theo trong đĩa.

- Chú ý trong quá trình cài đặt có password để chạy chương trình.

- Phần mềm chỉ cho phép xem 16 camera .



2.3.2. Sử dụng chương trình Monitor Vivotek ST3402 :

Chạy chương trình với username và password để chứng thực người sử dụng.

Username : mặc định là root.

Password : ta đặt trong quá trình cài đặt.

.

.

Trong đó :

Funtion area :



Channel camera area : chọn camera để thể hiện trạng thái của chính nó.

Layout area : lựa chọn số camera hiển thị lên vùng video area 1,4,6,9,13,16.

HDD status : hiển thị trạng thái của dung lượng ổ đĩa cứng ghi hình của camera.

Common area :

PTZ, DI/DO .., area :

- PTZ : điều khiển pan/tilt/zoom của camera (yêu cầu là camera phải có chức

năng PTZ.)

- DI/DO : điều khiển nhập, gửi tín hiệu đến camera tương ứng .

2.3.3. Cài đặt camera :

Click vào biểu tượng configuration .



Chọn thanh camera configuration :

Trong đó gồm các mục :

Hình : camera configuration.

- Insert : thêm vào một camera . Nhập vào IP của camera hoặc tên miền (ở

ngoài mạng ), port và password của camera đó .



.

- Delete : xóa camera được chọn khỏi chương trình .

- Alert Setting:

+ Enable motion detect: check ñeå caûnh baûo doø tìm chyeån ñoäng baèng aâm

thanh (thieát laäp ôû phaàn Display & UI setting).

+ Enable digital input: check ñeå caûnh baùo khi coù tín hieäu ngoõ vaøo.

+ Digital input alert when: caûnh baùo ngoõ ra ôû möùc cao hay thaáp

+ Enable video loss: caûnh baùo khi maát tín hieäu video

+ Enable remote alert: cho pheùp caûnh baùo töø xa

Trong phaàn naøy thì ñoøi hoûi camera phaûi hoã trôï.

Chọn Global setting :



Mục này có giao diện như sau :

Trong ñoù:

- Directory Settings:

Thieát laäp ñöôøng daãn löu tröõ data treân HDD (goàm Snapshot, Record vaø

Scheduler).

- Record Diskspace Usage Settings:

Mục Cycle Recording: neân check ñeå baät chöùc naêng ghi deø leân data tröôùc

ño khi HDD tôùi dung löôïng cho pheùp tröôùc.

- Network account:

Trong tröôøng hôïp muoán löu data leân oå ñóa maïng thì muïc naøy ñöôïc check, sau ñoù

nhaäp Username, password vaø domain vaøo töông öùng.



Chọn Display & UI Setting :

Giao diện như sau :

.

- Local Alert Setting: chæ ñònh aâm thanh caûnh baùo töông öùng.

- Remote Alert sound: thieát laäp aâm thanh caûnh baùo töø xa

- Snapshot Format: thieát laäp ñònh file aûnh khi chuïp nhanh.

- Modulation Mode: choïn mode tín hieäu video vaøo

- Display Options:



+ Location: soá thöù töï vaø teân video cuûa camera

+ Connect time: Thôøi löôïng keát noái vôùi camera

+ Remote Time: thôøi gian thöïc töông öùng vôùi camera

+Record Time: Thôøi löôïng ghi hình cuûa camera.

- Miscellaneous:

+ Click on image to enable PTZ: check ñeå coù theå ñieàu khieån PTZ baèng caùch

click tröïc tieáp vaøo

khung hình.

+ Enable PTZ hot key: cho ñieàu khieån PTZ baèng phím taét.

+ Apply to new device:

Chọn Scheduler :

Giao diện như sau :



Ñeå cheá ñoä ghi hình moät caùch lieân tuïc ta choïn everyday vaø continuous mode roài

baám save as ñeå löu laïi caáu hình.

2.3.4. Sử dụng chương trình Playback for Vivotek ST3402 :

Choïn playback, hoaëc Chaïy chöông trình Playback for Vivotek ST3402 khi ñoù

seõ xuaát hieän giao dieän nhö sau:

Location: thöù töï camera.

Period Start Time: thôøi gian baét ñaàu.

Period End Time: thôøi gian keát thuùc.

Sau ñoù baám play.

Löu yù: caàn choïn ñuùng ñöôøng daãn ñeán nôi chöùa data ghi hình



2.4. Các ứng dụng của camera ip :

IP Camera được ứng dụng rất phổ biến trong các công việc quan sát và đặc

biệt hiện nay được áp dụng nhiều trong hội nghị truyền hình.

Các ứng dụng của IP camera rất lớn và trong hầu hết các lĩnh vực: doanh

nghiệp, y tế, giáo dục, an ninh quốc phòng …

Trong phần này của báo cáo sẽ trình bầy chi tiết về ứng dụng IP camera

trong hội nghị truyền hình và ứng dụng tư vấn y tế từ xa.

Định đường nơi dẫn đến nơi chứa data ghi hình.



Hình 29 : Ứng dụng trong quản lí, quan sát bán hàng

Hình 30 : Ứng dụng trong giám sát sản xuất



Thiết bị IP Camera không chỉ giới hạn ở việc quan sát, giám sát, mà còn

được ứng dụng vào phạm vi rộng hơn và cũng rất phù hợp đó là hội thảo video

(Video Conference).

Hội thảo video sử dụng công nghệ viễn thông của audio và video, cho phép

người dùng ở những địa điểm cách nhau có thể tham gia một cuộc họp cùng nhau

trong thời gian thực. Nó có thể đơn giản như là một cuộc nói chuyện giữa hai người

trong những văn phòng riêng của họ (point-to-point) hoặc bao gồm một vài địa

điểm (multi-point) với nhiều người trong những căn phòng lớn ở những nơi khác

nhau. Bên cạnh âm thanh và hình ảnh của những hoạt động của cuộc họp được

truyền tải, hội nghị video còn có thể dùng để chia sẻ tài liệu, trình diễn thông tin cho

các bên tham gia.

Một hệ thống hội nghị video dạng tương tự đơn giản có thể được thiết lập dễ

dàng chỉ với hai mạch TV đóng và được nối với nhau qua cáp. Trong những chuyến

bay đầu tiên vào vũ trụ của mình, cơ quan hàng không vũ trụ Mĩ - NASA sử dụng

liên lạc qua hai băng tần sóng vô tuyến là UHF và VHF, mỗi băng tần được sử dụng

cho một hướng truyền. Và những chương trình TV sử dụng kiểu hội thoại này trong

các mục báo cáo tình hình ở những nơi khác, cho tới khi hệ thống vệ tinh nhân tạo

và những xe thông tin được đưa vào sử dụng và trở nên phổ biến.

Công nghệ này tuy nhiên quá tốn kém và không thể được sử dụng cho các

ứng dụng liên quan khác, như là chữa bệnh từ xa, giáo dục từ xa, hội họp trong các

doanh nghiệp, và rất nhiều vấn đề khác nữa nói riêng của ứng dụng từ xa. Những cố

gắng sử dụng những mạng lưới điện thoại sẵn có để truyền tải video chất lượng

thấp, như là hệ thống đầu tiên được phát triển bởi AT&T, đều đã thất bại với

nguyên nhân chính là chất lượng hình ảnh quá thấp không có những kĩ thuật nén

video hiệu quả. Ngay cả với hệ thống có băng thông 1MHz và tốc độ truyền 6Mbps

của hãng Picturephone vào những năm 1970 cũng không mang lại kết quả như

mong muốn.

Chỉ cho đến khi các mạng lưới truyền tải tín hiệu điện thoại số vào những

năm 1980 trở nên khả thi như là ISDN, đảm bảo tốc độ truyền tải tối thiểu (thường

là 128 kilobits/s) cho video nén và audio. Những hệ thống xuất hiện đầu tiên, của

những nhà phát triển phần cứng VTC tiên phong như là PictureTel, bắt đầu xuất



hiện ở ngoài thị trường như là những hệ thống mạng ISDN và được mở rộng ra trên

toàn thế giới. Những hệ thống hội thoại video suốt những năm 1990 nhanh chóng

chuyển từ việc sử dụng các thiết bị phần cứng và phần mềm đắt tiền sang những

công nghệ chuẩn với chi phí chấp nhận được. Và cuối cùng, vào những năm 1990,

chuẩn hội nghị video qua IP đã được cung cấp, bên cạnh đó là những công nghệ nén

video được phát triển, cho phép thực hiện hội nghị video qua nền desktop hay PC.

Vào năm 1992, CU-SeeMe được phát triển tại Cornell bởi Tim Dorcey et al., IVS

được phát triển tại INRIA, VTC trở nên phổ biến và trở thành những dịch vụ miễn

phí, những web plugin và phần mềm, như là NetMeeting, MSN Messenger, Yahoo

Messenger, SightSpeed, Skype và những phần mềm khác đem đến dịch vụ rẻ tiền,

chất lượng chấp nhận được, VTC.

2.5. Kết luận :

Ngày nay nhu cầu giám sát và an ninh ngày càng cao, cộng với sự phát triển

không ngừng của internet thì camera ip là một sự lựa chọn đúng đắn cho nhu cầu

này.

Với sự phát triển không ngừng của khoa học và kỹ thuật thì chất lượng camera ip

ngày càng được nâng cao và củng cố.Vì thế loại camera này đã và đang chiếm ưu

thế trên thị trường.



PHẦN III : M ẠNG RIÊNG ẢO VPN



CHƯƠNG I : VIRTUAL PRIVATE NETWORK ( VPN ) 1.1.Tìm hiểu VPN:

1.1.1. Định nghĩa VPN:

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private

network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng

rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các

mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết

nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo

được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các

nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn

bảo đảm tính an tòan và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên

đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel)

giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường

ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu

gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông

qua mạng công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn

thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể

đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa

và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là

đường ống VPN (VPN Tunnel).

Hình 31 : Mô hình VPN



1.1.2. Lịch sử phát triển của VPN:

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt

nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có

hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng

(WAN). Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia

sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc

thông tin với nhau.

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ

dây chuyên dùng cho các khách hang lớn. Colisee có thể cung cấp phương thức gọi

số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra

cước phí và nhiều tính năng quản lý khác.

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên

riêng là mạng được định nghĩa bằng phần mềm SDN.

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra

Ibercom.

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một

số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần

30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra

của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái

Bình Dương.

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty

hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập

Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có

dịch vụ VPN.



- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert,

cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu

(GVPNS).

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông

Pháp (French Telecom) kết thành liên minh Global One.

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN,

Công nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội

thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã

mang lại một khả năng mới, một cái nhìn mới cho VPN. Công nghệ VPN là giải

pháp thông tin tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa

chọn. Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet)

ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện.

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch

vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.

1.1.3. Chức năng và ưu điểm của VPN:

1.1.3.1 Chức năng của VPN:

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính

toàn vẹn (Integrity) và tính bảo mật (Confidentiality).

a) Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người

mình mong muốn chứ không phải là một người khác.

b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.

c) Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như

vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí

nếu có lấy được thì cũng không đọc được.



1.1.3.2 Ưu điểm:

a) Tiết kiệm chi phí : Việc sử dụng một VPN sẽ giúp các công ty giảm được

chi phí đầu tư và chi phí thường xuyên. Tổng giá thành của việc sở hữu một mạng

VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền,

các thiết bị mạng đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc

kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng

truyền thống. Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.

b) Tính linh hoạt : Tính linh hoạt ở đây không chỉ là linh hoạt trong quá

trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng.

Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối

khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di

động. Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng,

có thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng : Do VPN được xây dựng dựa trên cơ sở hạ tầng

mạng công cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển

khai VPN. Mà mạng công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của

VPN là rất linh động. Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng

của công ty bằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ

dàng gỡ bỏ khi có nhu cầu.

Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông

lớn hơn thì nó có thể được nâng cấp dễ dàng.

d) Giảm thiểu các yêu cầu về thiết bị : VPN dựa trên cơ sở hạ tầng của mạng

công cộng nên không cần phải đầu tư nhiều về các thiết bị modem chuyên biệt, các

card tương thích (adapter) , chi phí bảo trì các thiết bị chuyên biệt đó.

e) Tính bảo mật : Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu

thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó,

VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và

ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.

1.1.3.3. Khuyết điểm:



a) Phụ thuộc nhiều vào chất lượng của mạng Internet. Sự quá tải hay tắc nghẽn

mạng làm ảnh hưởng đến chất lượng truyền thông tin.

b) Thiếu các giao thức kế thừa hỗ trợ : VPN hiện nay dựa hoàn toàn trên cơ sở

kỹ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và

các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs

không phù hợp được với các thiết bị và giao thức này.

1.2. Các dạng của VPN :

Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:

- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ

thời gian nào.

- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung

cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.

Dựa vào những yêu cầu cơ bản trên VPN được chia thành :

- Mạng VPN truy cập từ xa (Remote Access VPN).

- Mạng VPN cục bộ (Intranet VPN).

- Mạng VPN mở rộng (Extranet VPN).

1.2.1. Remote Access VPN :

Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối

người dùng đến LAN , thường là nhu cầu của một tổ chức có nhiều nhân viên cần

kiên hệ đến mạng riêng của công ty từ nhiều địa điểm rất xa.

VD: công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ

doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS)

và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính

của họ. sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và

dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại

VPN này cho phép các kết nối an toàn, có mật mã.



Hình 32 : Remote Access VPN.

1.2.1.1. Các thành phần chính của Remote Access Network:

-Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác

nhận và chứng nhận các yêu cầu gửi tới.

-Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số

yêu cầu ở khá xa so với trung tâm.

-Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và

hỗ trợ truy cập từ xa bởi người dùng.

-Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc

các chi nhánh văn phòng chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ

ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua internet.

Thông tin Remote Access Setup được mô tả bởi hình sau:



Hình 33 : Remote Access VPN setup.

1.2.1.2. Ưu và khuyết điểm của Remote Access VPN :

Các ưu và khuyết điểm của mạng VPN truy nhập từ xa so với các

phương pháp truy nhập từ xa truyền thống:

a) Ưu điểm :

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì

quá trình kết nối từ xa được các ISP thực hiện.

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối

khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng

Internet.

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở

tốc độ cao hơn so với các truy nhập khoảng cách xa.



- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì

chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.

b) Khuyết điểm :

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng

dịch vụ.

- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát

không đến nơi hoặc mất gói.

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể. Thêm vào đó việc nén dữ liệu IP xảy ra chậm.

- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn

thì sẽ rất chậm.

1.2.2. VPN Site to Site (LAN to LAN ):

LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm

bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc

IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối

lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu.

Gồm 2 loại : Intranet và Extranet :

Hình 34 : Kết nối các mạng doanh nghiệp qua mạng công cộng



1.2.2.1. Intranet VPN ( Mạng VPN cục bộ ) :

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm

khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi

nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.

Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu

được phép trong toàn bộ mạng của công ty.

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả

năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí

thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như

là một VPN Site- to- Site.

v¨n phßng ë xa

Router

InternetInternetPOPPOP

Remote site Central site

or

Hình 35 : Mô hình Intranet VPN

Những ưu điểm của mạng VPN cục bộ :

-Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng

thông qua một hay nhiều nhà cung cấp dịch vụ).

-Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

-Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,

nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.



-Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường

ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví

dụ như công nghệ Frame Relay, ATM.

Các nhược điểm đi cùng:

- Khả năng bị mất gói khi truyền dữ liệu vẫn rất cao.

- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ

thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet

cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất

lượng dịch vụ (QoS).

1.2.2.2. Extranet VPN (Mạng VPN mở rộng ):

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN

mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng

cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết

để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà

cung cấp…

Intranet

DSLcable

ExtranetBusiness-to-business

Router

InternetInternetPOPPOP

Remote site Central site

or

.

Hình 36 : Mô hình mạng VPN mở rộng.



Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các

nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử

dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–

Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập

mạng được công nhận ở một trong hai đầu cuối của VPN.

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền

thống.

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều

cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu

cầu của mỗi công ty hơn.

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên

giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí

vận hành của toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn

những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công

cộng vẫn tồn tại.

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền

dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường

Internet.

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

1.3. Cơ sở kỹ thuật đường hầm:

Kỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nó cho

phép các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng công cộng

khác. Mạng riêng ảo này không bị xâm nhập bởi “người lạ”, những cá nhân, máy

tính không thuộc tổ chức của mạng riêng ảo này.



Đường hầm là kỹ thuật đóng gói tòan bộ dữ liệu của bất kỳ một định dạng

giao thức nào khác. Header (hoặc có thêm Trailer) của Đường hầm sẽ được đính

vào gói tin ban đầu sau đó đựơc truyền thông qua một cơ sở hạ tầng trung gian đến

điểm đích.

1.3.1. Các thành phần của kỹ thuật đường hầm :

Để triển khai một đường hầm giữa hai điểm, chúng ta cần có bốn thành phần

cho đường hầm :

- Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy

khách ( nó có tên gọi khác là home network )

- Nút initiator: Là máy khách từ xa hoặc máy chủ khởi tạo một phiên làm

việc VPN. Initiator có thể là một phần của mạng nội bộ hoặc là một người dùng di

động, ví dụ laptop.

- Home agent : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ

nhận yêu cầu và kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập không. Nếu

kiểm tra thành công, nó sẽ bắt đầu thiết lập đường hầm.

- Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập

mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ

HA tại mạng đích.

1.3.2. Phân loại đường hầm :

Dựa trên cách thức đường hầm thông tin được tạo ra ta chia làm hai lọai

voluntary hay compulsory.

1.3.2.1. Voluntary Tunnels (Đường hầm tùy ý) :

Voluntary Tunnels là lọai đường hầm xuyên suốt từ đầu đến cuối.

Voluntary Tunnels được tạo ra theo yêu cầu của máy khách. Kết quả là inititor sẽ

trở thành một đầu cuối của đường hầm. Bởi vậy một đường hầm riêng biệt được tạo

ra cho mỗi cặp máy trao đổi thông tin. Sau khi quá trình truyền thông giữa hai máy

kết thúc, đường hầm này cũng sẽ kết thúc theo.



Hình 37 : Minh họa đường hầm tùy ý.

1.3.2.2. Compulsory Tunnels (Đường hầm cưỡng bức ) :

Không giống như đường hầm voluntary được tạo ra theo yêu cầu của máy

khách. Đường hầm compulsory được tạo ra và định cấu hình bởi một thiết bị trung

gian. Initiator phải sử dụng đường hầm được tạo ra bởi thiết bị trung gian nên nó

mới có tên là đường hầm cưỡng bức.

Ghi chú: Các giao thức đường hầm khác nhau sử dụng các thiết bị trung gian

hòan tòan khác nhau. Ví dụ đối với L2TP sử dụg L2TP Access Concentrator (LAC).

Tương tự giao thức PPTP sử dụng thiết bị trung gian là Front End Processor (FEP).

Còn cài đặt IPSec, thiết bị trung gian sử dụng trong phiên truyền thông VPN là IP

Security Gateway.

Trong trường hợp đường hầm compulsory , cả máy khách từ xa cũng như

máy khách kết nối cục bộ đều phải kết nối với thiết bị trung gian, được đặt tại ISP's

POP. Sau khi kết nối thành công, thiết bị trung gian sẽ tao ra đường hầm.

Hình 38 : Minh họa đường hầm cưỡng bức.

Bảng so sánh hai loại đường hầm.

Đường hầm voluntary Đường hầm compulsory

initiator là điểm cuối của đường hầm. Thiết bị trung gian là điểm cuối của

đườn hầm

Một đường hầm riêng biệt cho mỗi

quá trình truyền thông

Một đường hầm được dùng chung cho

nhiều quá trình truyền thông

Đường hầm kết thúc khi quá trình

truyền dữ liệu giữa hai máy kết thúc

Đường hầm sẽ không kết thúc cho đến

khi cặp truyền thông cuối cùng dừng

trao đổi dữ liệu



Dữ liệu được trao đổi nhanh Dữ liệu trao đổi chậm hơn do nhiều

quá trình truyền thông dùng chung

một đường hầm

Đường hầm ngắn Đường hầm dài

1.3.3. Giao thức đường hầm :

Kỹ thuật đường hầm sử dụng 3 giao thức :

- Carrier protocol (giao thức truyền tải). Giao thức được dùng để gửi

gói tin đường hầm đến đích thông qua mạng tương tác. Gói tin đường hầm được

đóng gói bên trong gói tin của giao thức này. Do nó phải gửi gói tin qua một mạng

không đồng nhất, ví dụ internet, giao thức này cần được hỗ trợ rộng rãi. PPPoE,

PPPoA..

- Encapsulating protocol (giao thức đóng gói). Giao thức được dùng để

đóng gói payload ban đầu. Giao thức đóng gói cũng chịu trách nhiệm tạo ra, bảo trì

và kết thúc đường hầm. Ngày nay giao thức đóng gói thường là PPTP, L2TP, and

IPSec.

- Passenger protocol (giao thức gói tin). Dữ liệu gốc cần được đóng gói

để truyền qua mạng nhờ đường hầm thuộc về giao thức này. VD: IPX, NetBeui, IP .

1.3.4. Giao thức đường hầm lớp 2:

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và

an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao

thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả

Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải

pháp VPN. Có 4 giao thức đường hầm được sử dụng trong VPN đó là:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding).

- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling

protocol).

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol).



Hình 39 : Công nghệ VPN và mô hình OSI.

Các giao thức ở lớp 2 đều có sự thừa kế từ giao thức liên kết điểm- điểm. Vì

vậy để hiểu rõ các giao thức này, chúng ta sẽ tìm hiểu về giao thức liên kết điểm-

điểm.

1.3.4.1. Giao thức điểm – điểm (PPP – Point – to - Point Protocol ):

Trong mạng máy tính, Point-to-Point Protocol (hoặc PPP) là một giao

thức liên kết dữ liệu, thường được dùng để thiết lập một kết nối trực tiếp giữa 2 nút

mạng. Nó có thể cung cấp kết nối xác thực, mã hóa việc truyền dữ liệu...

PPP được sử dụng bằng nhiều kiểu mạng vật lý khác nhau, bao gồm cáp

tuần tự (serial cable), dây điện thoại, mạng điện thoại, radio và cáp quang giống như

SONET. Đa phần các nhà cung cấp dịch vụ Internet đều sử dụng PPP cho khách

hàng để truy cập Internet. Hai kiểu đóng gói dữ liệu của PPP là PPPoE (Point-to-

Point Protocol over Ethernet) và PPPoA (Point-to-Point Protocol over ATM), chúng

được sử dụng bởi các nhà cung cấp dịch vụ Internet để kết nối tới dịch vụ Internet.



Một số chức năng của PPP:

- Gán và quản lý địa chỉ IP vào gói dữ liệu non_IP.

- Cấu hình và kiểm soát đường truyền được thiết lập.

- Đóng gói dữ liệu đồng bộ và bất đồng bộ.

- Phát hiện lỗi trong quá trình truyền.

- Dồn kênh két hợp các giao thức mạng ở lớp 2.

- Thỏa thuận các thông số thích hợp cho cấu hình như tỷ lệ nén dữ liệu và

địa chỉ.

Cấu trúc gói PPP:

Hình 40 : Định dạng gói PPP.

Cấu trúc khung PPP có 6 trường :

- Flag: trường xác định bắt đầu và kết thúc frame, có độ dài là 1 byte

- Address(địa chỉ) : Trong liên kết điểm điểm, giao thức PPP không sử

dụng địa chỉ riêng cho từng nút nên trường địa chỉ chứa chuỗi nhị phân 11111111 (

chuẩn địa chỉ truyền đại chúng), độ dài của trường là 1 byte.

- Control: Trường điều khiển chứa chuỗi nhị phân 00000011, nó chỉ ra

rằng frame mang dữ liệu không nằm trong chuỗi giao tác PPP. Chiều dài của trường

là 1byte.

- Protocol. Trường xác nhận giao thức của dữ liệu được đóng gói trong

trường dữ liệu cử frame. Nghi thức trong trường này được xác định bởi số assigned

trong chuẩn RFC 232. Chiều dài là 1 byte.

- Data. Trường chứa thông tin được chuyển đổi giữa nút nguồn và nút

đích. Chiều dài của trường có không xác định, phụ thuộc vào thông tin cần chuyển

đổi, tuy nhiên độ dài lớn nhất của trường dữ liệu là 1500 bytes

- FCS (Frame Check Sequence). Trường chứa chuỗi kiểm tra giúp cho

bên nhận xác định độ chính xác của thông tin nhận được trong rrường dữ liệu.



Thông thường độ dài của trường là 2 bytes, tuy nhiên khi hiện thực PPP có thể sử

dụng đến 4 bytes cho FCS để tăng khả năng phát hiện lỗi.

1.3.4.2. Giao thức định hướng lớp 2 (L2F – Layer 2 Forwarding):

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát

triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho

dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ

tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương

pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty

thông qua thiết bị truy cập từ xa.

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên

kết dữ liệu. a) Cấu trúc gói của L2F

1bit 1bit 1bit 1bit 8bit 1bit 3bit 8bit 8bit

F K P S Reserved C Version Protocol Sequence

Multiplex ID Client ID

Length Offset

Key

Data

Ckecksums

Hình 41 : Định dạng gói L2F.

Trong đó:

F: Trường “Offset” có mặt nếu bit này được thiết lập.

K: Trường “Key” có mặt nếu bít này được thiết lập.

P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.

S: Trường “Sequence” có mặt nếu bít này được thiết lập.

Reserved: luôn được đặt là: 00000000.

Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này luôn là 111.

Protocol : Xác định giao thức đóng gói L2F.

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.



Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).

Client ID: Giúp tách đường hầm tại những điểm cuối.

Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum.

Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu.

Trường này có khi bít F=1.

Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một phần của

quá trình nhận thực.

Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bít C=1.

b) Ưu và nhược của L2F:

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức.

- Được cung cấp bởi nhiều nhà cung cấp.

Nhược điểm:

- Không có mã hoá.

- Yếu trong việc xác thực người dùng.

- Không có điều khiển luồng cho đường hầm.

c) Hoạt động của L2F :

Khi có một máy khách quay số yêu cầu khởi tạo kết nối tới một máy chủ

trong mạng nội bộ, các quy trình sau sẽ được thực hiện tuần tự:

- User từ xa khởi tạo một kết nối PPP tới nhà cung cấp dịch vụ mạng của

họ. Nếu user từ xa là một bộ phận của mạng cục bộ thì người dùng có thể sử dụng

ISDN hoặc các kết nối tương tự đến ISP. Nếu user không phải là một bộ phận của

mạng nội bộ thì họ phải dịch vụ.

- Nếu NAS hiện hữu ở ISP's POP chấp nhận yêu cầu kết nối thì kết nối

PPP sẽ được thiết lập giữa NAS và user.

- User được chứng thực ở ISP. Có thể sử dụng CHAP hay PAP để thực

hiện chứng thực.

- Nếu không có đường hầm nào tồn tại ở cổng vào của mạng đích mong

muốn thì một đường hầm sẽ được khởi tạo.

- Sau khi đường hầm được thiết lập xong, sẽ có một multiplex ID ( MID)

duy nhất được chỉ định trên kết nối. Một thông điệp thông báo sẽ được gửi tới cổng



vào của máy chủ mạng. Thông điệp này thông báo cho cổng vào về yêu cầu kết nối

từ user từ xa.

- Gateway có thể chấp nhận hay hủy bỏ yêu cầu kết nối. Trong trường hợp

yêu cầu bị hủy bỏ thì user sẽ được thông báo điều này và kết nối quay số kết thúc.

Trong trường hợp yêu cầu kết nói được chấp nhận, gateway của máy chủ sẽ gửi

thông báo khởi tạo cài đặt tới user từ xa. Đáp ứng này có thể bao gồm cả thông tin

về chứng thực mà gateway sử dụng để chứng thực user từ xa.

- Sau khi user đã được chứng thực bởi máy chủ mạng, một giao thức ảo sẽ

được thiết lập giữa hai đầu cuối.

1.3.4.3 Giao thức đường hầm điểm – điểm (PPTP – Point to Point

Tunneling Protocol) :

Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một nhóm

các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend



comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao

thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ

tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng

riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa

phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram để

truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết

nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản

của giao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung)

để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được mật mã

hoặc/và giải nén.

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giao

thức đường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP). PPTP client

có thể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng (Network

Access Server - NAS) để thiết lập kết nối IP.

Việc xác thực trong quá trình thiết lập kết nối IP-VPN trên giao thức PPTP sử

dụng các cơ chế xác thực của kết nối PPP, ví dụ EAP (Extensible Authentication

Protocol: giao thức nhận thực mở rộng), CHAP (Challenge - Handshake

Authentication Protocol: giao thức nhận thực đòi hỏi bắt tay), PAP (Password

Authentication Protocol: giao thức nhận thực khẩu lệnh). PPTP cũng thừa hưởng

việc mật mã hoặc/ và nén phần tải tin của PPP. Mật mã phần tải PPP sử dụng MPPE

(Microsoft Point - to - Point Encryption: mật mã điểm tới điểm của Microsoft) (với

điều kiện xác thực sử dụng giao thức EAP - TLS (EAP - Transport Level Security:

EAP - an ninh mức truyền tải) hoặc MS - CHAP của Microsoft). MPPE chỉ cung

cấp mật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối. Nếu

cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã

lưu lượng IP giữa các đầu cuối sau khi đường ngầm PPTP đã được thiết lập. Máy

chủ PPTP là máy chủ IP-VPN sử dụng giao thức PPTP với một giao diện nối với

Internet và một giao diện khác nối với Intranet.

a) Duy trì đường hầm bằng kiểu kết nối PPTP :



Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có

cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP

dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí

cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP. Các bản tin này bao

gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định kỳ để phát hiện

các lỗi kết nối giữa PPTP client và PPTP server. Các gói của kết nối điều khiển

PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header,

trailer của lớp đường truyền dữ liệu.

Hình 4.12 : Gói dữ liệu của kết nối điều khiển PPTP

b) Đóng gói dữ liệu đường ngầm PPTP :

Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói thông qua

nhiều mức. Hình 4.13 là cấu trúc dữ liệu đã được đóng gói.

Hình 4.13: Dữ liệu đường ngầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để

tạo ra khung PPP. Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản

sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định

tuyến chung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để

gửi qua mạng IP.

Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:

Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác

nhận 32 bit.

Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường

chỉ số cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết lập bởi PPTP

client trong quá trình khởi tạo đường ngầm PPTP.

Một trường xác nhận dài 32 bit được thêm vào.



Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE Header sau

đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích

hợp cho PPTP client và PPTP server.

Đóng gói lớp liên kết dữ liệu: để có thể truyền qua mạng LAN hoặc WAN,

IP datagram cuối cùng sẽ được đóng gói với một Header và Trailer của lớp liên kết

dữ liệu ở giao diện vật lý đầu ra. Ví dụ, nếu IP datagram được gửi qua giao diện

Ethernet, nó sẽ được gói với phần Header và Trailer Ethernet. Nếu IP datagram

được gửi qua đường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương

tự hoặc ISDN), nó sẽ được đóng gói với phần Header và Trailer của giao thức PPP.

c) Xử lí dữ liệu đường ngầm PPTP : Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server sẽ thực

hiện các bước sau:

Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.

Xử lý và loại bỏ IP Header.

Xử lý và loại bỏ GRE Header và PPP Header.

Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết).

Xử lý phần Payload để nhận hoặc chuyển tiếp.

d) Sơ đồ đóng gói : Hình 2.9 là sơ đồ đóng gói PPTP qua kiến trúc mạng (từ một IP-VPN

client qua kết nối truy nhập từ xa VPN, sử dụng modem tương tự).



text

TCP/IP IPX

PPTP Async

NetBEUI

X.25 ISDNL2TP

Data link Trailer

GRE Header

Data link Header

Encrypted PPP Payload (IP Datagram, IPX Datagram,

NetBEUI Frame)

IP Header

PPP Heade

r

NDIS

NDISWAN

Bắt đầu gói ở đây

Cấu trúc gói tin cuối cùng

Hình 42: Sơ đồ đóng gói PPTP

Quá trình được mô tả các bước sau:

Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giao

diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng

NDIS (Network Driver Interface Specification).

NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu,

và cung cấp PPP Header. Phần tiêu đề PPP này chỉ gồm trường mã số giao thức

PPP (PPP Protocol ID Field), không có các trường Flags và FCS (Frame Check

Sequence). Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức

điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP.

NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với

phần tiêu đề GRE. Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích

hợp để xác định đường ngầm.

Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.

TCP/IP dóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đó gửi

kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.



NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header và

Trailer.

NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

phần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem).

e) Ưu và khuyết điểm của PPTP :

Ưu điểm chính của PPTP:

PPTP là một giải pháp được xây dựng trên nền các sản phẩm của

Microsoft( các sản phẩm được sử dụng rất rộng rãi).

PPTP có thể hỗ trợ các giao thức non-IP.

PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's

Macintosh. Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử

dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP.

Nhược điểm củaPPTP:

PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec.

PPTP phụ thuộc nền.

PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.

Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng

như máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa dụng các

giải pháp định tuyến bằng đưòng quay số.

Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã

hóa với khóa mã phát sinh từ password của user. Điều này càng nguy hiểm hơn khi

password được gửi trong môi trường không an toàn để chứng thực. Giao thức

đưòng hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo

mật.

1.3.4.4. Giao thức đường hầm lớp 2 (L2TP – Layer 2 Tunneling

Protocol) :

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP

và L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi

xướng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn

hoá tại IETF.



Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng

gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và

PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi

trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F

định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác. Nhưng

nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực

người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của

mạng riêng sau khi kết nối được thiết lập.

L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng

một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền

thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù

nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể

thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường

hầm. Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP.

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các

giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc

NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay

RADIUS.

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi

xây dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows

nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và

Windows 98.

a) Duy trì đường hầm ngầm bằng bản tin điều khiển L2TP :

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông

qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi được

gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP

server đều sử dụng cổng UDP 1701).

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram. UDP

datagram lại được mật mã bởi IPSec ESP như trên hình 43.



Hình 43: Bản tin điều khiển L2TP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc

truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next-Received

(tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence

Number) được sử dụng để duy trì thực tự các bản tin điều khiển. Các gói không

đúng thứ tự bị loại bỏ. Các trường Next-Sent và Next-Received cũng có thể được sử

dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm.

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm. Trong bản tin điều khiển L2TP

và phần tiêu đề L2TP của dữ liệu đường ngầm có một mã số đường ngầm (Tunnel

ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi

trong đường ngầm đó.

b) Đường ngầm dữ liệu L2TP

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói. Hình

44 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec.

Hình 44 : Đóng bao gói tin L2TP

-Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP Header

và một L2TP Trailer.

- Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP Header, các

địa chỉ cổng nguồn và đích được đặt bằng 1701.

-Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và

đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer.

-Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP nguồn

và đích của IP-VPN client và IP-VPN server.



-Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường truyền

LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và

Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra.

Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ

được đóng gói với Ethernet Header và Trailer. Khi các IP datagram được gửi trên

đường truyền WAN điểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP

datagram được đóng gói với PPP Header và Trailer.

c) Xử lý dữ liệu đường ngầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP

server sẽ thực hiện các bước sau:

Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu.

Xử lý và loại bỏ IP Header.

Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header.

Dùng IPSec ESP Header để giải mã phần gói đã mật mã.

Xử lý UDP Header và gửi gói L2TP tới L2TP.

L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header

để xác định đường ngầm L2TP cụ thể.

Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới đúng

giao thức để xử lý.

d) Sơ đồ đóng gói L2TP trên nền IPSec

Hình 45 : Sơ đồ đóng gói L2TP



Các bước sau mô tả quá trình đó:

Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới

giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp.

NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPP

Header chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS không

được thêm vào.

NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP

Frame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ số

cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm.

Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để

gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các

địa chỉ IP của IP-VPN client và IP-VPN server.

Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP

Header thích hợp. IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách

IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật

mã phần bản tin UDP của gói IP sử dụng các ESP Header và Trailer phù hợp. IP

Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gói

ESP. Giao thức TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối

quay số tới local ISP sử dụng NDIS.

NDIS gửi số tới NDISWAN.

NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu

được tới cổng AN thích hợp đại diện cho phần cứng dial-up.

e) Ưu điểm và khuyết điểm của L2TP :

Ưu điểm:

L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ

thuật mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết non-

IP của mạng WAN mà không cần IP.

Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó không

yêu cầu bổ sung cấu hình của user từ xa và ISP.

L2TP cho phép tổ chức kiểm soát chứng thực users thay vì.



L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm

quá tải. do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.

L2TP cho phép users với địa chỉ IP chưa được đăng ký có thể truy cập

mạng từ xa thông qua mạng công cộng.

L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec

trên suốt đường hầm và khả năng chưng thực gói của IPSec.

Khuyết điểm:

L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng

gói nhận đựoc..

Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu

hình thêm bộ định tuyến và máy phục vụ truy cập từ xa.

1.3.5. Giao thức bảo mật IPSec (Intrenet Protocol Security) :

Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn

có. Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và

các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như

bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi

trên Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker.

Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức

IPSec. Họ giao thức IPSec đầu tiên đựoc dung cho xác thực, mã hoá các gói dữ liệu

IP, được chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức

này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong

gói IP, gói IP là đơn vị dữ kiệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề

cho các gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề

IP – AH (IP Authentication Header) điều khiển việc xác thực và hai là đóng gói tải

tin an toàn ESP (Encapsulation Security Payload) cho mục đích mã hoá.

IPSec không phải là một giao thức. Nó là một khung của các tập giao thức

chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và

phương pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự

tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án



tối ưu cho mạng của công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP công

cộng đối với các ứng dụng.

IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền

những luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để

bảo vệ luồng dữ liệu giữa hai Host.

IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc

triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được

thay đổi cho phù hợp với IPv4.

a)Khung giao thức IPSec :

IPSec là khung của các chuẩn mở, được phát triển bởi IETF.

Hình 46: Khung giao thức được sử dụng trong IPSec

Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.

- Giao thức bảo mật IP (IPSec)

+ AH (Authentication Header)

+ ESP (Encapsulation Security Payload)

- Mã hoá bản tin

+ DES (Data Encryption Standard)

+ 3 DES (Triple DES)

- Các chức năng toàn vẹn bản tin

+ HMAC (Hash – ased Message Authentication Code)

+ MD5 (Message Digest 5)

+ SHA-1 (Secure Hash Algorithm -1)



- Nhận thực đối tác (peer Authentication)

+ Rivest, Shamir, and Adelman (RSA) Digital Signatures

+ RSA Encrypted Nonces

- Quản lý khoá

+ DH (Diffie- Hellman)

+ CA (Certificate Authority)

- Kết hợp an ninh

+ IKE (Internet Key Exchange)

+ ISAKMP (Internet Security Association and Key Management

Protocol)

IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo

mật, toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang

hàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định

tuyến, những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và

một cổng nối bảo mật, như trong VPN truy cập từ xa.

Hai giao thức chính của IPSec là AH (Authentication Header) và ESP

(Encapsulation Security Payload ).

- AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP truyền

giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay

đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu

nên các dữ liệu đều được truyền dưới dạng bản rõ.

- ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ

liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thông tin

thông qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã

giữa hai hệ thống.

Giao thức AH

khuôn dạng AH



Hình 47 : Khuôn dạng gói AH

+ Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị

của trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi

IANA (TCP_6; UDP_ 17).

+ Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte).

+ Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá trị của

trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data.

+ Security Parameter Index (SPI):

- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh

ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ

1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa

chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc.

- Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa

có SA nào tồn tại.

+ Sequence number (SN):

- Trường 32 bit không dấu chứa một giá trị đếm tăng dần. SN là trưòng bắt

buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA

cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải

truyền trường này, còn phía thu có thể không cần phải xử lý nó.



- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được

thiết lập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ

anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách

thiết lập một SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 232

của một SA.

+ Authentication Data:

Trường này có độ dài biến đổi chứa một một giá trị kiểm tra tính toàn vẹn ICV

(integrity Check Value) cho gói tin. Độ dài của trường này bằng số nguyên lần 32

bit (hay 4 Byte).

Trường này có thể chứa một phần dữ liệu đệm kiểu tường minh (Explicit padding)

để đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối với IPv4) hoặc 64 bit

(đối với IPv6).

Giao thức ESP

Khuôn dạng ESP

Hình 48: Khuôn dạng gói ESP

Trong đó:

+ Security Parameter Index (SPI):

- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh

ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ



1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa

chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc.

- Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa

có SA nào tồn tại.

+ Sequence number (SN):

- Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN). SN là trưòng

bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một

SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn

phải truyền trường này, còn phía thu có thể không cần phải xử lý nó.

- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được

thiết lập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ

anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách

thiết lập một SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 232

của một SA.

+ Payload Data

Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header. Payload

Data là trường bắt buộc và có độ dài bằng số nguyên lần Byte.

+ Padding

Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext)

phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sử

dụng để thêm vào Plaintext để có kích thước yêu cầu.

Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4

Byte để phân biệt rõ ràng với trường Authentication Data.

Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload,

tuy nhiên mục dích này phải được cân nhắc vì nó ảnh hưởng tói băng tần truyền

dẫn. Bên gửi có thể thêm 0÷255 Padding Byte.

+ Pad length

Trường này xácđịnh số padding Byte đã thêm vào. Các giá trị hợp lệ là 0÷255.

Pad length là trường bắt buộc.



+ Next header (8bit)

Là một trường bắt buộc. Next header xác định kiểu dữ liệu chứa trong Payload

Data. Giá trị của trường này được lựa chọn từ tập cácgiá trị IP Protocol Numbers

định nghĩa bởi IANA..

+ Authentication Data

Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn ven ICV

(integrity Check Value) tính trên dữ liệu của toàn bộ gói ESP trừ trường

Authentication Data. Độ dài của trường phụ thuộc vào hàm xác thực được lựa chọn.

trường này là tuỳ chọn, và chỉ được thêm vào nếu dịch vụ authentication được lựa

chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài của ICV và các bước

xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính toàn vẹn của gói tin.

Hoạt động của AH và ESP trong các chế độ (mode)

AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác

nhau tương ứng với hai mode: Transport mode và Tunnel mode.

+ Transport mode:

Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết bị

có chức năng như những host. Ví dụ, một cổng nối IPSec (đó có thể là bộ định

tuyến phần mềm IOS, FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có thể

xem như là một host khi được truy nhập bởi một nhà quản lý cấu hình hay những

hoạt động điều khiển khác.

Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế

bảo mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP

header luôn ở dạng “clear”.

Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao

thức lớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó.

+ Tunnel mode:

Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX Firewwall,

những bộ tập trung. Tunnel mode cũng được sử dụng phổ biến khi một host kết nối

tới một trong những cổng nối đó để gia tăng truy nhập tới các mạng được điều



khiển bởi cổng nối đó, như trong trường hợp những người dùng từ xa quay số truy

cập tới một bộ định tuyến hay bộ tập trung.

Hình 4.21 : Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 49 : Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH



Hình 4.23 : Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Hình 50 : Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode,

IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transport mode và Tunnel mode.

Điều này được thực hiện bằng các sử dụng Tunnel mode để mã hoá và xác thực các

gói và tiêu đề của nó rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế độ transport

mode để bảo mật cho tiêu đề mới được tạo ra. AH và ESP không thể sử dụng chung

trong Tunnel mode bởi vì ESP đã có cơ chế tuỳ chọn xác thực, tuỳ chọn này nên sử

dụng trong Tunnel modekhi các gói cần phải mã hoá và xác thực.



b) Hoạt động của giao thức IPSec :

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn

với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước

chính như sau:

A gửi lưu lượng cần bảo vệ tới B

Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE

SA ← IKE Phase → IKE SA

Router A và B thoả thuận một phiên trao đổi IKE Phase 2

IPSec SA ← IKE Phase → IPSec SA

Thông tin được truyền dẫn qua đường hầm IPSec

Kết thúc đường hầm IPSec

Hình 4.24 : 5 bước hoạt động của IPSec.

Bước 1: Lưu lương cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết

bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường

địa chỉ.

Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch vụ

bảo mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SAs

(Security associations)). Trong phase này, thiết lập một kênh truyền thông an toàn

để tiến hành thoả thuận IPSec SA trong Phase 2.

Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các

IPSec SA tương đương ở hai phía. Những thông số an ninh này được sử dụng để

bảo vệ dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối. kết quả cuối cùng của

hai bước IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía.

Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên

cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.



Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc do

hết hạn (time out).

c) Ví dụ về hoạt động của IPSec :

Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như trong

hình vẽ.

Internal Network

Mạng riêng đựoc bảo vệ

Mạng riêng được bảo vệ

LAN

`

B

Dữ liệuInternal

Network

A

LAN

IKE Session

Internet

Certificate Authority

SA

Clear text

Encrypted

Authenticated Encryption Tunnel

Digital Certification

Hinh 51 : Quá trình trao đổi thông tin

Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới

Router B, Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được

bảo vệ. chính sách an ninh được cấu hình trước cũng cho biết Router A sẽ là điểm

cuối phía bên kia của đường hầm IPSec. Router B kiểm tra xem đã có IPSec SA nào

được thiết lập với Router A chưa? nếu chưa thì yêu cầu một quá trình IKE để thiết

lập IPSec SA. Nếu hai Router đã thoả thuận được một IPSec SA thì IPSec SA có

thể được tạo ra tức thời. Trong trưòng hợp, hai Router chưa thoả thuận một IKE SA

thì đầu tiên chúng phải thoả thuận một IKE SA trước khi thoả thuận các IPSec SA.

Trong quá trình này, hai Router trao đổi các chứng thực số, các chứng thực này phải

được ký trước bởi một CA mà hai phía cùng tin tưởng. Khi phiên IKE đã được thiết

lập, hai Router có thể thoả thuận IPSec SA. Khi IPSec SA đã được thiết lập, hai

Router sẽ thống nhất được thuật toán mật mã (chẳng hạn DES), thuật toán xác thực

(chẳng hạn MD5), và một khoá phiên sử dụng chung. Tới đây, Router B có thể mật

mã gói tin của B, đặt nó vào trong một gói IPSec mới, sau đó gửi tới Router A. Khi



Router A nhận gói IPSec, nó tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về

dạng gói tin ban đầu và chuyển tới A. Quá trình phức tạp này được thực hiện hoàn

toàn trong suốt đối với A và B.

d) Các vấn đề còn tồn đọng của IPSec :

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một

VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để

hướng tới hoàn thiện. Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích thước

gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm

xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã hóa,

nhưng điều này chưa được chuẩn hóa.

- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá

bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di

động.

- IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.

- Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với

các trạm làm việc và máy PC cũ.

- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối

với chính phủ một số nước.

- Sử dụng IPSec ở chế độ dường hầm cho phép các nút có thể có những địa

chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng

khi chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý

cẩn thận sao cho nhận dạng được nhau.



CHƯƠNG II : THIẾT LẬP MÔ HÌNH VPN SERVER TRÊN

WINDOWS 2003

2.1. Xây dựng một Remote Access VPN :

2.1.1. Yêu cầu phần cứng :

- Một modem ADSL

- Cần có một đường truyền ADSL tốc độ cao (Nếu là dịch vụ ADSL với địa

chỉ IP tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong

và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ

cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công

ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ

của công ty.

- Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000

làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng

nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên

ngoài ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch

vụ Dynamic DNS như dynDNS.org hay no-ip.com) để kết nối với bên

ngoài (Internet).

2.1.2. Yêu cầu phần mềm :

- Một máy tính VPN server sử dụng Windows server 2003.

- Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7.

2.1.3. Mô hình Remote Access VPN :

Gồm một máy tính làm server VPN và một máy client :

Máy VPN server :

IP Address : 192.168.1.200

Subnet Mask : 255.255.255.0

Default Gateway : 192.168.1.1



Preferred DNS Server : 210.245.24.20

Máy VPN client :

IP Address : 192.168.1.X ( X nằm trong dãi từ 1 đến 255)

Subnet Mask : 255.255.255.0

Default Gateway : 192.168.1.1

Preferred DNS Server : 210.245.24.20

2.1.4. Các bước thực hiện :

a) Đăng ký một DDNS (Dynamic Domain Name System – Hệ thống

tên miền động) :

DDNS có nhiệm vụ có nhiệm vụ cập nhật địa chỉ IP WAN cho kết nối

Internet.

Hình 52 IP WAN

Ñeå thuaän tieán cho quaù trình truy caäp ta ngöôøi ta söû duïng teân mieàn thay theá

cho IP WAN. Giaû söû ta coù teân mieàn ttp07b.homeip.net töông öùng vôùi ñòa chæ IP

WAN 118.112.10.156 , khi IPWAN thay ñoåi thaønh 1 ñòa chæ khaùc nhö



118.68.9.169 thì dòch vuï DDNS seõ töï ñoäng caäp nhaät ñòa chæ IPWAN môùi cho teân

mieàn ttp07b.homeip.net.

=> nhö vaäy chuùng ta khoâng caàn quan taâm ñeán IP WAN maø chæ caàn nhôù ñeán teân

mieàn maø thoâi.

Ta có thể đăng ký tài khoản ở các trang no-ip.com hoặc dyndns.com . Sau khi

đăng ký xong thì mở mail kích hoạt tài khoản , vào lại trang no-ip.com hoặc

dyndns.com đăng nhập bằng accoutn đã đăng ký rồi tạo một tên miền .

Hình 53: Tạo một tên miền.



Hình 54 : Tạo một tên miền.

Sau đó click Next để hoàn thành .

Tạo một tên miền rồi chọn đuôi.

Nhấp vào đây để cập nhật IP

WAN



Hình 55 : Tên miền động đã hoàn thành.

b) Cấu hình một VPN server trên Windows 2003 :

Bước 1 : Cài đặt các dịch vụ trên Routing and Remote Access.

Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet

Connection Sharing (ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định sau

khi cài là Automatic).

Chạy Services Manager bằng cách click Start->Programs->

Administrative Tools->Services. Giao diện của Services Manager như hình :



Hình 56 : Tắt Windows Firewall/Internet Connection Sharing (ICS).

Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS),

tiến hành cài đặt VPN Server.

Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách

click Start->Programs->Administrative Tools-> Manager Your Server.

Hình 57 : Manager Server.



Nhấp vào Add or remove a role để tạo thêm các dịc vụ.

Hình 58 : Configure Your Server Wizard.

Click Next để tiếp tục.

Hình 59: Lựa chọn dịch vụ Remote access/VPN server.




Hình 60: Hiện ra danh sách các dịch vụ đã được thiết lập.


Click Next để tiếp tục vào cấu hình VPN .



Hình 61: Cho phép cấu hình Routing and Remote Access Server.

Hình 62 : Lựa chọn VPN server và LAN routing.

Cho phép lựa chọn các dịch vụ có trong Routing and Remote Access.



Hình 63 dịch vụ đã được cài đặt , nhấn Finish để hoàn thành.

Hình 2.13 Nhấn Next để Start các dịch vụ đó.



Hình 64: Nhấn Finish để kết thúc. Sau bước này là cấu hình VPN server

Bước 2 : Cấu hình VPN server :

Hình 65 : Manage Server.



Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có thể chạy

Manage Your Server, sau đó click vào Manage this remote access/VPN server (như

hình). Hoặc có thể click Start-> Programs-> Administrative Tools -> Routing and

Remote Access.

Hình 66 : Giao diện chính của Routing and Remote Access.

Chú ý : trên menu chuột phải có một số chức năng cần quan tâm:

- Disable Routing and Remote Access: Chức năng này được sự dụng khi ta

muốn xoá cấu hình Routing and Remote Access cũ để tạo 1 cấu hình mới. Sau khi

disable, trên menu chuột phải nói trên, chọn Configure and Enable Routing and

Remote Access, để cấu hình một Routing and Remote Access mới.

- All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart

được sử dụng đối với service Enable Routing and Remote Access. Việc này cũng

tương tự như khi sử dụng Service Manager.



Hình 67: Tab General.

Cần chú ý đến 3 tab là General, Security và IP.

Trong Tab General, cần kiểm tra mục Router và Remote access server đã được

check. Mục Router cho phép định tuyến các yêu cầu từ VPN Client đến các máy

trong mạng nội bộ. Mục Remote access server cho phép các VPN client kết nối đến

được. Nên chọn LAN and demand-dial routing.

Hình 68 : Tab Security.



Tab này cho phép lựa chọn Authentication provider và Accounting provider. Nếu

trong mạng nội bộ có 1 máy tính cài RADIUS, có thể lựa chọn Authentication

provider và Accounting provider là RADIUS. Trong phần này, lựa chọn Windows

Authentication và Windows Accounting.

Hình 69 : Tab IP.

Chọn Static address pool rồi chọn Add.



Hình 70 Nhập khoảng địa chỉ vào

Trong hình nhập các giá trị vào các ô Start IP address và End IP address. Các IP

trong dải này sẽ được cấp tự động cho mỗi kết nối VPN.

Bước 3 : Remote Access Policies :

Bước cuối cùng là cho phép truy cập qua Remote Access Policies.



\

Hình 71 Remote Access Policies

Trong hình chọn Remote Access Policies. Remote Access Policies có 2 lựa chọn là

Connections to Microsoft Routing and Remote Access Server và Connections to

other access server. Chuột phải vào Connections to Microsoft Routing and Remote

Access Server, trên menu chuột phải chọn Properties.



Hình 72 Thẻ Connections to Microsoft Routing and Remote Access Server

Trong hình lựa chọn Grant remote access permission, sau đó nhắp OK để

xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to other

access server.

Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối

VPN.

Bước 4 :Tạo một user trên Windows cho phép sử dụng VPN :

Như đã biết, việc tạo user trên Windows sử dụng Computer Manager. Để

chạy Computer Manager, click Start -> Programs->Administrative Tools-

>Computer Manager. Giao diện chính của Computer Manager như bên dưới.



Hình 73 Tạo user đăng nhập

Trên hình chọn System Tools->Local Users and Groups->Users. Sau đó

chuột phải vào user muốn cho phép dùng VPN, ví dụ user client. Trên menu chuột

phải, nhắp Properties.



Hình 74 : Properties của client.

Trên hình chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu muốn

chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static

IP Address. Sau đó gõ địa chỉ IP vào ô tương ứng. Địa chỉ này có thể nằm ngoài dải

IP mà ta đã chọn ở trên. Tuy nhiên nó nên nằm cùng lớp với dải IP đó.

Sau bước này, user client có thể kết nối VPN đến VPN Server.

c) NAT port 1723 trên Modem ADSL :

Modem được cấu hình trong ví dụ này là ZyXEL P-660H-T1 v2. Mở trình

duyệt gõ 192.168.1.1. Password là 1234.



Password là 1234.

Chọn Ignore để vào giao diện chính.



Sau khi vào được giao diện chính chọn Tab Advanced để khai báo tên miền động.



Chọn thanh Dynamic DNS trong Tab Advanced. Đánh dấu check vào ô Active

Dynamic DNS và khai báo tên miền , account , password đã đăng ký ở trang

dyndns.com -> sau đó Apply để thực thi.

Sau đó vào Tab Security chọn thanh Firewall. Bỏ chọn nút check ở ô Active

Firewall.



Trong Tab Network chọn thanh NAT, màn hình bên phải chọn Tab Port

Forwarding. Sau đó chọn giao thức PPTP trong ô Service Name rồi gõ địa chỉ IP

của VPN server -> sau đó Add lại.

Như vậy là đã mở port 1723 trong modem ADSL. Bước tiếp theo là kiểm tra port

đó đã mở thành công chưa . Vào trang web canyouseeme.org để kiểm tra.

Gõ port 1723 vào ô màu đỏ và nhấn nút check để kiểm tra.



c) Cài đặt VPN client trên Windows 7 :

Vào Control Panel chọn Network and Sharing Center .

Open mục đó :

Chọn thanh Set up a new connection or network.



Trong ô Set up a connection or Network chọn Connect to a workplace.

Trong ô Connection to a Workplace đánh dáu check vào ô màu đỏ.



Chọn mục Use my Internet connection (VPN).



Trong ô Connection to a Workplace gõ địa chỉ tên miền động đã đăng ký từ

trước vào ô Internet address . Sau đó chọn Next. Trong ví dụ này gõ là

ttp07b.homeip.net.

Gõ user name và password mà VPN server đã cấp trước đó. Phần Domain bỏ trống.



Nếu được như hình trên là chúng ta đã kết nối thành công.

Để tiện cho việc sử dụng vào lần sau ta tạo shortcut ra ngoài màn hình

desktop và lần truy nhập sau sẽ như hình dưới.



Ta nhập vào user và password để truy nhập đến máy chủ VPN.

2.2. Kết luận :

- Với công nghệ thông tin phát triển như hiện nay áp dụng các giảp pháp công

nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý

các văn phòng một cách có hiệu qủa.

- Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng

Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang

ngày càng phát triển mạnh ở nước ta như hiện nay.

- Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở

mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó,

nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong

thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh. Nó sẽ là

nền tảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian

địa lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh

trong doanh nghiệp mình.



KẾT LUẬN Đề tài “ Tìm hiểu VPN và Cấu hình Camera IP ” của chúng em đã hoàn tất.Đề

tài đã trình bày được nguyên tắc làm việc và cách cấu hình cua một mạng VPN và

cách cấu hình Camera IP qua internet.

Cuối cùng em xin chân thành cảm ơn quý thầy cô và các bạn đã giúp đỡ chúng

em hoàn tất đồ án này. Đặc biệt, chúng em xin cảm ơn thầy Trương Quang Trung

đã hướng dẫn em hoàn thành dồ án này.

Tuy nhiên do kiến thức và thời gian có hạn nên đồ án không tránh khỏi sai sót,

rất mong được sự đóng góp ý kiến của thầy và các bạn để em hoàn thiện đồ án này.



THUẬT NGỮ VIẾT TẮT

Từ viết tắt Từ đầy đủ Ý nghĩa

ADSL Asymmetric Digital Subscriber Line Công nghệ truy nhập đường dây thuê bao số bất đối xứng

AES Advanced Encryption Standard Chuẩn mật mã cao cấp

AH Authentication Header Giao thức tiêu đề xác thực

ARP Address Resolution Protocol Giao thức biên dịch địa chỉ

ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng bộ

B-ISDN Broadband Integrated Service Digital Network

Mạng số đa dịch vụ băng rộng

CIR Committed Information Rate Tốc độ thông tin cam kết

CHAP Challenge Handshake Authentication Protocol.

Giao thức xác thực yêu cầu bắt tay

CSU Channel Service Unit Đơn vị dịch vụ kênh

DCE Data Communication Equipment Thiết bị truyền thông dữ liệu

DES Data Encryption Standard Thuật toán mật mã DES

DHCP Dynamic Host Configuration Protocol

Giao thức cấu hình host động

DNS Domain Name System hệ thống phân giải tên miền

DDNS Dynamic DNS Hệ thống phân giải tên miền động

DSL Digital Subcriber Line Đường dây thuê bao số

DSP Digital Signal Processors Bộ xử lý tín hiệu số

DSU Data Service Unit Đơn vị dịch vụ dữ liệu

ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói

FCS Frame Check Sequence Chuỗi kiểm tra khung

FR Frame Relay Chuyển tiếp khung dữ liệu

FTP File Transfer Protocol Giao thức truyền tập tin

GAN Global Area Network Mạng toàn cầu



GVPNS Global VPN Service Dịch vụ VPN toàn cầu

ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet

IKE Internet Key Exchange Giao thức trao đổi khoá Internet

IN Intelligent Network Mạng thông minh

IP Internet Protocol Giao thức Internet

IP-Sec Internet Protocol Security Giao thức an ninh Internet

ISDN Integrated Service Digital Network Mạng số đa dịch vụ

ISO International Standard Organization Tổ chức chuẩn quốc tế

ISP Internet Service Provider Nhà cung cấp dịch vụ internet

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2

LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP

LAN Local Area Network Mạng cục bộ

LCP Link Control Protocol Giao thức điều khiển liên kết

LLC Logical Link Control Điều khiển liên kết logic

LNS L2TP Network Server Máy chủ mạng L2TP

MAC Message Authentication Code Mã xác thực bản tin

MG Media Gateway Cổng kết nối phương tiện

MGC Media Gateway Controller Thiết bị điều khiển truy nhập

MPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn

MPPE Microsoft Point-to-Point Encryption Mã hoá điểm-điểm của Microsoft

MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất

NAS Network Access Server Máy chủ truy nhập mạng

NCP Network Control Protocol Giao thức điều khiển mạng

NGN Next Generation Network Mạng thế hệ sau

OSI Open System Interconnection

Referency Model

Mô hình OSI

PAP Passwork Authentication Protocol Giao thức xác thực mật khẩu.



PDU Protocol Data Unit Đơn vị dữ liệu giao thức

PKI Public Key Infrastructure Cơ sở hạ tầng khoá công khai

POP Point of presence Điểm truy cập truyền thống.

PPP Point to Point Protocol Giao thức điểm tới điểm

PPPoA Point to Point Protocol over ATM Giao thức điểm điểm qua ATM

PPPoE Point to Point Protocol over Ethernet

Giao thức điểm điểm qua Ethernet

PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm

QoS Quality of Service Chất lượng dịch vụ

RAS Remote Access Service Dịch vụ truy nhập từ xa

RADIUS Remote Authentication Dial-In User Service

Xác thực người dùng quay số từ xa

RRAS Routing and Remote Access Server Máy chủ truy cập định hướng và truy vập từ xa.

SA Securty Association Kết hợp an ninh

SIG Session Initiation Protocol Giao thức khởi tạo phiên

SNMP Simple Network Management Protocol

Giao thức quản lý mạng đơn giản

SONET Synchronous Optical Network Mạng quang đồng bộ

RTP Real Time Protocol Giao thức thời gian thực

SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản

SVC Switched Virtual Circuit Mạch ảo chuyển mạch

TCP Transmission Control Protocol Giao thức điều khiển đường truyền

TE Terminal Equipment Thiết bị đầu cuối

TFTP Trivial File Transfer Protocol Giao thức truyền tập tin bình thường

UNI User Network Interface Giao diện mạng người sử dụng

UDP User Datagram Protocol Giao thức UDP

VC Virtual Circuit Kênh ảo

VNS Virtual Network Service Dịch vụ mạng ảo



VPN Virtual Private Network Mạng riêng ảo

WAN Wide Area Network Mạng diện rộng



TÀI LIỆU THAM KHẢO Sách tham khảo

Tài liệu Mạng máy tính

Trung tâm tin học Đại học KHTN Hồ Chí Minh.

Các website

1) http://google.com.vn

2) http://nhatnghe.com

3) http://thegioimang.com

4) http://vi.wikipedia.org

Documents

Camera IP