RE: Công nghệ VPN

:roll: :roll: :roll:
Mình nghĩ đây là một vấn đề rất hay nhưng cũng khá phức tap. Mong đựoc thảo luận cùng bạn như sau:

1. VPN là một peer-to-peer connection, vì thế mỗi khi đề cập đến VPN Tunnel, hình như chúng chỉ giới hạn cho 1 cặp 2 router nào đó mà thôi.
Với sự đồng bộ về các thông số VPN ở cả 2 Router, chúng sẽ bắt tay được với nhau và trở thành các VPN Peer. Lúc này Tunnel đã được hình thành. Tuy nhiên điều này không có nghĩa là mọi traffic đi qua VPN peer sẽ được gửi qua Tunnel hay nói cách khác là được mã hóa. Chỉ có các VPN subnet, được chỉ định ra bởi các Crypto Access List mới được truyền đi trong Tunnel này mà thôi. Những Policy này sẽ chỉ ra rằng chỉ khi nào sỏuce là VPN subnet bên phía này và dest là VPN subnet bên phía còn lại thì VPN Tunnel mới đựoc up, còn không thì VPN Tunnel sẽ standby.
Giữa 2 VPN Peer, chúng ta có thể thiết lập đồng thời nhiều VPN Tunnel cùng 1 lúc với các giải thuật khác nhau ở mỗi phase tương ứng. Và mỗi một VPN Tunnel có thể được dùng cho 1 cặp VPN subnet riêng biệt nằm sau Router (VPN Peer).

2.Mỗi một VPN Tunnel đòi hỏi một group rất nhiều thông số mang đặc thù riêng của kỹ thuật VPN. Crypto ACL chỉ là một thành phần trong số đó, và cái bao hàm tất cả hình như là Crypto map thì phải! :P

Mong được trao đổi và học hỏi thêm về kỹ thuật thú vị này!
Thân mến

Như bạn nói vậy thì chỉ khi nào dữ liệu thỏa mãn điều kiện của Crypto ACL thì nó với mã hóa còn dữ liệu không thỏa mãn thì được vận chuyển đi một cách bình thường.
Như vậy thì khi ta cấu hình VPN thì ngoài việc thực hiện VPN tunnel giữa nó và đàu kia thì nó vẫn có thể truyền dữ liệu với các router khác một cách bình thường.
Như vậy thì khi router nhận được dũ liệu thì làm sao nó biết đuọc là dữ liệu đó đuợc mã hóa hay không? Chẳng lẽ nó kiểm tra bằng cách kiểm tra địa chỉ nguồn của gói tin.Nếu địa chỉ nguồn chính là VPN peer còn lại của nó thì nó sẽ giải mã dữ liệu ra.
Mong trao đổi thêm.

RE: Công nghệ VPN

:roll: :roll: :roll:
[quote]Như vậy thì khi ta cấu hình VPN thì ngoài việc thực hiện VPN tunnel giữa nó và đàu kia thì nó vẫn có thể truyền dữ liệu với các router khác một cách bình thường.
Như vậy thì khi router nhận được dũ liệu thì làm sao nó biết đuọc là dữ liệu đó đuợc mã hóa hay không? Chẳng lẽ nó kiểm tra bằng cách kiểm tra địa chỉ nguồn của gói tin.Nếu địa chỉ nguồn chính là VPN peer còn lại của nó thì nó sẽ giải mã dữ liệu ra.
[quote]

Bạn mến, không chỉ riêng với các Router khác, ngay cả 2 VPN peer cũng tuân theo nguyên tắc này.
Khi một packet được gửi đến VPN peer, nó sẽ check các địa chỉ trong packet này để thực hiện việc layer 3 switching. Nếu các địa chỉ này không thuộc VPN subnet, VPN peer sẽ chuyển nó đi một cách bình thường đến next-hop theo 1 giaothức định tuyến nào đó, cho dù next-hop đó có là VPN peer của nó. LẼ tất nhiên, VPN peer ở phía bên kia, trong trường hợp này cũng phải xử lý packet theo đúng quy luật của giao thức ậy

Nhưng nếu đó packet xuất phát từ VPN subnet, các Crypto ACL sẽ được match, và router ngay lập tức gửi các mesage đến VPN peer của nó để up Tunnel lên. Và lúc này, traffic đi trong Tunnel sẽ được mã hóa và giải mã ờ đầu bên kia theo những giải thuật tương ứng đựoc chọn đồng bộ ở cả 2 phía.

Hoạt động của một VPN Tunnel được chia ra làm nhiều giai đoạn gọi là phase. Mình thấy có rất nhiều bài viết hay về cái này trong bõ, không biết bạn đã có thời gian rãnh để đọc chúng chưa?

Mong đựoc học hỏi và trao đổi thêm!
Thân mến

Vậy cho mình hỏi về đầu nhận dữ liệu?
Khi router nhận được dữ liệu.Nó làm sao mà biết dữ liệu đó là đến từ một VPN peer để nó giải mã hay là dữ liệu đến từ một node bình thường để route bình thường.
Thanks

ĐỀ NGHỊ anh xem lại về mô hình OSI 7 lớp và các nguyên tắc truyền số liệu thông thường.

Theo mình nghĩ VPN nếu dùng theo dạng chuẩn thì encrypted data sẽ transfer trên port UDP 500 (IKE, ipsec), ngoài port này là các channel không phải VPN ipsec.

Ngoài các port chuẩn để transfer data trên các encrypted channel như trên, các vendor còn dùng thêm các port tcp hay udp khác cho các mục đích riêng để quản lý VPN connection dễ dàng hơn ví dụ như tcp 264, udp 256...

RE: Công nghệ VPN

Theo mình nghĩ thì router sẽ dựa vào header của packet đi tới nó mà nhận ra là có encrypt hay không, điều này mình cũng chưa rõ để xem tài liệu lại rồi confirm sau. vì mình nghĩ rằng router phân biệt được packet header và nó biết được header nào là bình thường, header nào đã encrypt.
còn việc nó nhận dạng packet thuộc peer nào thì dựa vào acl encrypt.

RE: Công nghệ VPN

"Vậy cho mình hỏi về đầu nhận dữ liệu?
Khi router nhận được dữ liệu.Nó làm sao mà biết dữ liệu đó là đến từ một VPN peer để nó giải mã hay là dữ liệu đến từ một node bình thường để route bình thường.
Thanks"

Dường như bạn đang nói về IPSec VPN thì phai?

Nếu thế, routers sẽ dùng Crypto ACL statements (deny/permit) để phân loại các encrypted và non-encrypted data.

Cheer,

To Vuongxibul

Xem tài liệu lại tới đâu rồi?

RE: Công nghệ VPN

Khi router hay PIX nhận một packet, nó sẽ xác định xem có bộ unique triple trong packet hay không: bộ unique triple gồm: Security Parameters Index(SPI), destination address, protocol.
Interface có một Security Association Database, nó sẽ được so sánh với bộ unique triple trong packet đến.

cho mình hỏi về độ nông sâu của các Tunnel. ĐỘ nông sâu này là do các yếu tố nào ?

Vào mục VPN ... :D

hơho. Đang thảo luận lại bảo vào Ebook.Chán thía