Tweet
🔐 Tunneling – Dữ liệu chạy trong "đường hầm"
Trong mô hình mạng, mỗi tầng trong mô hình OSI hay TCP/IP đều có nhiệm vụ riêng, và khi dữ liệu được gửi đi, nó được đóng gói (encapsulation) theo từng tầng. Điều này nghĩa là dữ liệu của tầng trên sẽ được “bọc lại” bằng tiêu đề của tầng dưới — và tầng dưới không nhìn thấy nội dung chi tiết của tầng trên.
Khi chúng ta nói đến tunneling, tức là tạo một “đường hầm” để truyền tải dữ liệu, thì ý chính là việc đóng gói một gói tin (gốc) vào bên trong một gói tin khác, giúp che giấu nội dung gốc khi truyền qua mạng – đặc biệt là Internet công cộng, nơi ai cũng có thể sniff packet.
🧱 Mô hình Tunnel với VPN - Giải thích quy trình
Hãy hình dung bạn cần truyền dữ liệu từ văn phòng chi nhánh về trụ sở chính một cách bảo mật, toàn vẹn, và không bị nghe lén. Lúc này bạn cấu hình VPN giữa hai thiết bị đầu cuối (ví dụ: router chi nhánh và firewall trung tâm). Các thiết bị này thống nhất sử dụng giao thức bảo mật như IPsec để tạo kết nối tunnel.
Dưới đây là mô tả từng bước:
🔄 Bước 1: Khởi tạo gói tin – Gửi như bình thường
📍 PC1 (10.2.2.2) gửi gói tin IP đến web server (10.1.1.1). Ở tầng mạng, gói tin có tiêu đề IP gốc (source: 10.2.2.2, dest: 10.1.1.1).
🧠 PC1 không biết về VPN. Với nó, chỉ là một gói tin thông thường gửi đi.
🔄 Bước 2: Đóng gói và mã hóa tại router chi nhánh
📍 Router chi nhánh nhận gói tin gốc.
✅ Router:
💡 Lúc này, gói tin ban đầu đã được ẩn hoàn toàn trong gói mới – giống như nhét một lá thư riêng vào một phong bì bọc bên ngoài.
🔄 Bước 3: Truyền qua Internet – nhưng vẫn an toàn
📍 Gói tin di chuyển qua Internet, nơi các thiết bị mạng trung gian có thể “thấy” gói IP công cộng.
🚨 Kẻ tấn công (man-in-the-middle) có thể copy gói tin, nhưng vì:
➡️ Hacker không đọc được nội dung, và không thể chỉnh sửa mà không bị phát hiện.
🔄 Bước 4: Nhận và giải mã tại firewall trung tâm
📍 Firewall FW1 nhận được gói tin tunnel IPsec.
✅ Firewall thực hiện:
🔄 Bước 5: Gửi đến máy chủ nội bộ
📍 Gói tin gốc được forward vào mạng nội bộ, đến web server (10.1.1.1) như bình thường. Máy chủ không biết gói tin từng đi qua Internet hoặc bị mã hóa.
✅ Tóm tắt nhanh:
Nếu bạn làm việc với hạ tầng mạng bảo mật, việc hiểu rõ cách gói tin được encapsulate, encrypt và decapsulate sẽ giúp bạn xử lý sự cố VPN hiệu quả hơn và thiết kế hệ thống bảo mật vững chắc hơn. 🔒🌐
Trong mô hình mạng, mỗi tầng trong mô hình OSI hay TCP/IP đều có nhiệm vụ riêng, và khi dữ liệu được gửi đi, nó được đóng gói (encapsulation) theo từng tầng. Điều này nghĩa là dữ liệu của tầng trên sẽ được “bọc lại” bằng tiêu đề của tầng dưới — và tầng dưới không nhìn thấy nội dung chi tiết của tầng trên.
Khi chúng ta nói đến tunneling, tức là tạo một “đường hầm” để truyền tải dữ liệu, thì ý chính là việc đóng gói một gói tin (gốc) vào bên trong một gói tin khác, giúp che giấu nội dung gốc khi truyền qua mạng – đặc biệt là Internet công cộng, nơi ai cũng có thể sniff packet.
🧱 Mô hình Tunnel với VPN - Giải thích quy trình
Hãy hình dung bạn cần truyền dữ liệu từ văn phòng chi nhánh về trụ sở chính một cách bảo mật, toàn vẹn, và không bị nghe lén. Lúc này bạn cấu hình VPN giữa hai thiết bị đầu cuối (ví dụ: router chi nhánh và firewall trung tâm). Các thiết bị này thống nhất sử dụng giao thức bảo mật như IPsec để tạo kết nối tunnel.
Dưới đây là mô tả từng bước:
🔄 Bước 1: Khởi tạo gói tin – Gửi như bình thường
📍 PC1 (10.2.2.2) gửi gói tin IP đến web server (10.1.1.1). Ở tầng mạng, gói tin có tiêu đề IP gốc (source: 10.2.2.2, dest: 10.1.1.1).
🧠 PC1 không biết về VPN. Với nó, chỉ là một gói tin thông thường gửi đi.
🔄 Bước 2: Đóng gói và mã hóa tại router chi nhánh
📍 Router chi nhánh nhận gói tin gốc.
✅ Router:
- Mã hóa nội dung gói tin gốc (bao gồm IP, TCP, dữ liệu).
- Thêm tiêu đề IPsec (ESP hoặc AH tùy cấu hình).
- Đóng gói toàn bộ vào một gói IP mới – gói tin mới này sẽ có:
- Source IP: IP công cộng của router chi nhánh.
- Destination IP: IP công cộng của firewall tại trung tâm.
💡 Lúc này, gói tin ban đầu đã được ẩn hoàn toàn trong gói mới – giống như nhét một lá thư riêng vào một phong bì bọc bên ngoài.
🔄 Bước 3: Truyền qua Internet – nhưng vẫn an toàn
📍 Gói tin di chuyển qua Internet, nơi các thiết bị mạng trung gian có thể “thấy” gói IP công cộng.
🚨 Kẻ tấn công (man-in-the-middle) có thể copy gói tin, nhưng vì:
- Nội dung đã mã hóa bằng IPsec.
- Gói tin có chữ ký xác thực (integrity check).
➡️ Hacker không đọc được nội dung, và không thể chỉnh sửa mà không bị phát hiện.
🔄 Bước 4: Nhận và giải mã tại firewall trung tâm
📍 Firewall FW1 nhận được gói tin tunnel IPsec.
✅ Firewall thực hiện:
- Xác thực: kiểm tra tính hợp lệ và người gửi.
- Kiểm tra tính toàn vẹn: đảm bảo không bị chỉnh sửa.
- Giải mã: lấy lại gói tin gốc như khi nó rời khỏi PC1.
🔄 Bước 5: Gửi đến máy chủ nội bộ
📍 Gói tin gốc được forward vào mạng nội bộ, đến web server (10.1.1.1) như bình thường. Máy chủ không biết gói tin từng đi qua Internet hoặc bị mã hóa.
✅ Tóm tắt nhanh:
- Tunneling = Đóng gói gói tin vào một gói khác để truyền qua mạng công cộng.
- Mã hóa (Encryption) + Xác thực (Authentication) giúp bảo vệ dữ liệu trong tunnel.
- IPsec VPN sử dụng các tiêu đề đặc biệt (ESP/AH) và thêm tiêu đề IP mới.
- Các thiết bị đầu cuối như router hoặc firewall chịu trách nhiệm đóng/mở gói tunnel.
Nếu bạn làm việc với hạ tầng mạng bảo mật, việc hiểu rõ cách gói tin được encapsulate, encrypt và decapsulate sẽ giúp bạn xử lý sự cố VPN hiệu quả hơn và thiết kế hệ thống bảo mật vững chắc hơn. 🔒🌐