Đồ án Công nghệ IP-VPN

Mục lục Danh mục hình vẽ Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP 4 Hình 1.2: Định tuyến khi sử dụng IP datagram. 5 Hình 1. 3: Giao thức kết nối vô hướng 6 Hình 1.4: Cấu trúc gói tin IPv4 6 Hình 1.5: Hiện tượng phân mảnh trong IP 8 Hình 1.6: Các lớp địa chỉ IPv4 9 Hình 1.7: Cấu trúc tiêu đề IPv6 10 Hình 1.8: Cấu trúc tiêu đề UDP 12 Hình 1.9: Cấu trúc tiêu đề TCP 12 Hình 1.10: Thiết lập kết nối theo giao thức TCP 14 Hình 1.11: Thủ tục đóng kết nối TCP 15 Hình 1.12: Cơ chế cửa sổ trượt với kích thước cố định 17 Hình 2.1: Các yếu tố thúc đẩy sự phát triển của thị trường IP-VPN 19 Hình 2.2: Truyền Tunnel trong nối mạng riêng ảo 22 Hình 2.3: Che đậy địa chỉ IP riêng bằng truyền Tunnel 23 Hình 2.4: IP-VPN truy nhập từ xa 26 Hình 2.5: Intranet IP-VPN 27 Hình 2.6: Extranet IP-VPN 27 Hình 2.7: Gói dữ liệu của kết nối điều khiển PPTP 30 Hình 2.8: Dữ liệu đường ngầm PPTP 30 Hình 2.9: Sơ đồ đóng gói PPTP 31 Hình 2.10: Bản tin điều khiển L2TP 33 Hình 2.11: Đóng bao gói tin L2TP 34 Hình 2.12: Sơ đồ đóng gói L2TP 35 Hình 3.1 Gói tin IP ở kiểu Transport 40 Hình 3.2: Gói tin IP ở kiểu Tunnel 41 Hình 3.3: Thiết bị mạng thực hiện IPSec kiểu Tunnel 41 Hình 3.4: Cấu trúc tiêu đề AH cho IPSec Datagram 43 Hình 3.5: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport 45 Hình 3.6: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport 45 Hình 3.7: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel 45 Hình 3.8: Xử lý đóng gói ESP 48 Hình 3.9: Khuôn dạng gói ESP 48 Hình 3.10: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 50 Hình 3.11: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 50 Hình 3.12: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel 51 Hình 3.13: Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau 56 Hình 3.14: Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau 56 Hình 3.15: Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau 57 Hình 3.16: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 58 Hình 3.17: Danh sách bí mật ACL 59 Hình 3.18: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) 60 Hình 3.19: Các tập chuyển đổi IPSec 63 Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec 70 Hình 4.1: Các khái niệm chung sử dụng trong các thuật toán mật mã 74 Hình 4.2: Chế độ chính sách mã điện tử ECB 76 Hình 4.3: Thuật toán mật mã khối ở chế độ CBC 77 Hình 4.4: Sơ đồ thuật toán DES 77 Hình 4.5: Mạng Fiestel 78 Hình 4.6: Phân phối khóa trong hệ thống mật mã khóa đối xứng 79 Hình 4.7: Mật mã luồng 80 Hình 4.8: Sơ đồ mã khóa công khai 81 Hình 4.9: Một bít thay đổi trong bản tin dẫn đến 50% các bít MD thay đổi 87 Hình 4.10: Các hàm băm thông dụng MD5, SHA 87 Hình 4.11: Cấu trúc cơ bản của MD5, SHA 88 Hình 4.12: Xác thực tính toàn vẹn dựa trên mã xác thực bản tin MAC 89 Hình 4.13: Quá trình tạo mã xác thực bản tin MAC 90 Hình 4.14: Chữ ký số 91 Hình 4.15: Giao thức hỏi đáp MAC 93 Hình 4.16: Giao thức hỏi đáp sử dụng chữ ký số 94 Hình 4.17: Mô hình tin tưởng thứ nhất (PGP Web of Trust) 95 Hình 4.18: Mô hình tin tưởng thứ hai (phân cấp tin tưởng với các CAs) 96 Hình 4.19: Cấu trúc chung của một chứng thực X.509 97 Hình 5.1: Ba mô hình IP-VPN 99 Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 100 Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ 101 Hình 5.4: IP-VPN khởi tạo từ routers 101 Hình 5.5: Các thành phần của kết nối Client-to-LAN 103 Hình 5.6: Đường ngầm IPSec Client-to-LAN 104 Hình 5.7: Phần mềm IPSec Client 105 Hình 5.8: Đường ngầm IPSec LAN-to-LAN 106 Danh mục bảng Bảng 3.1: Các RFC đưa ra có liên quan đến IPSec 38 Bảng 3.2: Kết quả khi kết hợp lệnh permit và deny 60 Bảng 3.3: Tổng kết chương các giao thức của IPSec 72 Bảng 4.1: Một số giao thức và thuật toán ứng dụng thông dụng 73 Bảng 4.2: Thời gian bẻ khóa trong giải thuật RSSA/DSS và ECC. 82 Bảng 4.3: Tóm tắt giải thuật RSA và độ phức tạp 83 Bảng 4.4: Các bước thực hiện để trao đổi khóa Diffie Hellman 84 Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen 102 Ký hiệu viết tắt Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt 3DES Triple DES Thuật toán mã 3DES AA Acccess Accept Chấp nhận truy nhập AAA Authentication, Authorization and Accounting Nhận thực, trao quyền và thanh toán AC Access Control Điều khiển truy nhập ACK Acknowledge Chấp nhận ACL Acess Control List Danh sách điều khiển truy nhập ADSL Asymmetric Digital Subscriber Line Công nghệ truy nhập đường dây thuê bao số không đối xứng AH Authentication Header Giao thức tiêu đề xác thực ARP Address Resolution Protocol Giao thức phân giải địa chỉ ARPA Advanced Research Project Agency Cục nghiên cứu các dự án tiên tiến của Mỹ ARPANET Advanced Research Project Agency Mạng viễn thông của cục nghiên cứu dự án tiên tiến Mỹ ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ BGP Border Gateway Protocol Giao thức định tuyến cổng miền B-ISDN Broadband-Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ băng rộng BOOTP Boot Protocol Giao thức khởi đầu CA Certificate Authority Thẩm quyền chứng nhận CBC Cipher Block Chaining Chế độ chuỗi khối mật mã CHAP Challenge - Handshake Authentication Protocol Giao thức nhận thực đòi hỏi bắt tay CR Cell Relay Công nghệ chuyển tiếp tế bào CSU Channel Service Unit Đơn vị dịch vụ kênh DCE Data communication Equipment Thiết bị truyền thông dữ liệu DES Data Encryption Standard Thuật toán mã DES DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu DNS Domain Name System Hệ thông tên miền DSL Digital Subscriber Line Công nghệ đường dây thuê bao số DSLAM DSL Access Multiplex Bộ ghép kênh DSL DTE Data Terminal Equipment Thiết bị đầu cuối số liệu EAP Extensible Authentication Protocol Giao thức xác thực mở rộng ECB Electronic Code Book Mode Chế độ sách mã điện tử ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin FCS Frame Check Sequence Chuỗi kiểm tra khung FDDI Fiber Distributed Data Interface Giao diện dữ liệu cáp quang phân tán FPST Fast Packet Switched Technology Kỹ thuật chuyển mạch gói nhanh FR Frame Relay Công nghệ chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền file GRE Generic Routing Encapsulation Đóng gói định tuyến chung HMAC Hashed-keyed Message Authenticaiton Code Mã nhận thực bản tin băm IBM International Bussiness Machine Công ty IBM ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet IKE Internet Key Exchange Giao thức trao đổi khóa IKMP Internet Key Management Protocol Giao thức quản lí khóa qua Internet IN Intelligent Network Công nghệ mạng thông minh IP Internet Protocol Giao thức lớp Internet IPSec IP Security Protocol Giao thức an ninh Internet ISAKMP Internet Security Association and Key Management Protocol Giao thức kết hợp an ninh và quản lí khóa qua Internet ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ ISO International Standard Organization Tổ chức chuẩn quốc tế ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IV Initial Vector Véc tơ khởi tạo L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2 LAN Local Area Network Mạng cục bộ LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã nhận thực bản tin MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5 MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất NAS Network Access Server Máy chủ truy nhập mạng NGN Next Generation Network Mạng thế hệ kế tiếp NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ OSI Open System Interconnnection Kết nối hệ thống mở OSPF Open Shortest Path First Giao thức định tuyến OSPF PAP Password Authentication Protocol Giao thức nhận thực khẩu lệnh PDU Protocol Data Unit Đơn vị dữ liệu giao thức PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng POP Point - Of - Presence Điểm hiển diễn PPP Point-to-Point Protocol Giao thức điểm tới điểm PPTP Point-to-Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm PSTN Public Switched Telephone Network Mạng chuyển mạch thoại công cộng RADIUS Remote Authentication Dial-in User Service Dịch vụ nhận thực người dùng quay số từ xa RARP Reverse Address Resolution Protocol Giao thức phân giải địa chỉ ngược RAS Remote Access Service Dịch vụ truy nhập từ xa RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF đưa ra RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa công cộng SA Security Association Liên kết an ninh SAD SA Database Cơ sở dữ liệu SA SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản SN Sequence Number Số thứ tự SPI Security Parameter Index Chỉ số thông số an ninh SS7 Signalling System No7 Hệ thống báo hiệu số 7 TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường TLS Transport Level Security An ninh mức truyền tải UDP User Data Protocol Giao thức dữ liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng Các ký hiệu toán học Ký hiệu Ý nghĩa C Văn bản mật mã. D Thuật toán giải mã. DK Thuật toán giải mã với khóa K. E Thuật toán mật mã. EK Thuật toán mật mã với khóa K. IV Vectơ khởi tạo. K Khóa K. KR Khóa bí mật. KU Khóa công cộng. Li, Ri Bít bên trái và bên phải tại vòng thứ i của thuật toán mã hóa DES. P Văn bản rõ. LỜI NÓI ĐẦU Cùng với xu hướng IP hóa mạng viễn thông hiện nay, vấn đề đảm bảo an ninh cho dữ liệu khi truyền qua mạng IP là vấn đề mang tính chất tất yếu. Đối với các tổ chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và IP-VPN là một giải pháp hiệu quả. Theo như dự đoán của nhiều hãng trên thế giới thì thị trường VPN sẽ là thị trường phát triển rất mạng trong tương lai. Thực tế thì VPN không phải là một khái niệm mới. Nó được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, quản lý rất lớn và do doanh nghiệp phải gánh chịu trong khi các nhà cung cấp dịch vụ chỉ đảm bảo về một kênh riêng cho số liệu và không chắc chắn về vấn đề an ninh của kênh riêng này. Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì quản lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt và không hạn chế. Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử dụng, các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này…nhưng không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông. Mục đích của đồ án “Công nghệ IP-VPN” là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện IP-VPN, nội dung cụ thể như sau: Chương 1: Bộ giao thức TCP/IP. Chương này trình bày khái niệm của mô hình phân lớp bộ giao thức TCP/IP. Trong đó tập trung đến 2 lớp là lớp Internet và lớp vận chuyển. Đây là lớp giao thức nền tảng chung cho các thiết bị trong mạng Internet, là cơ sở quan trọng cho nền tảng các mạng dựa trên IP. Qua đấy chúng ta cũng nhận ra rằng mạng Internet nguyên thủy hoàn toàn không hỗ trợ các dịch vụ an ninh và IP-VPN là một trong giải pháp cho vấn đề an ninh Internet. Chương 2: Công nghệ mạng riêng ảo trên Internet IP-VPN. Chương này bắt đầu với việc phân tích khái niệm IP-VPN, ưu điểm của nó để có thể trở thành một giải pháp có khả năng phát triển mạnh trên thị trường. Tiếp theo là trình bày về các khối chức năng cơ bản của IP-VPN, phân loại mạng riêng ảo theo cấu trúc của nó. Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho IP-VPN. Ở đây chỉ trình bày một cách khái quát nhất về hai giao thức đường ngầm hiện đang tồn tại và các sản phẩm tương đối phổ biến trên thị trường là PPTP và L2TP. Chương 3: Giao thức IPSec cho IP-VPN. Chương này trình bày các vấn đề sau đây: thứ nhất là giới thiệu, khái niệm về giao thức IPSec và các chuẩn RFC có liên quan. Thứ hai, trình bày vấn đề đóng gói thông tin IPSec, cụ thể là hai giao thức đóng gói là AH (nhận thực tiêu đề) và ESP (đóng gói an toàn tải tin). Thứ ba, trình bày về kết hợp an ninh SA và giao thức trao đổi khóa IKE để thiết lập các chính sách và tham số cho kết hợp an ninh giữa các bên VPN. Thứ tư, giới thiệu về các giao thức đang tồn tại ứng dụng cho IPSec, bao gồm có: mật mã bản tin, toàn vẹn bản tin, nhận thực các bên và quản lý khóa. Cuối cùng là một ví dụ về IP-VPN sử dụng giao thức đường ngầm IPSec. Chương 4: An toàn dữ liệu trong IP-VPN. Nội dung của chương này là một số thuật toán được áp dụng để đảm bảo an toàn dữ liệu cho IP-VPN dựa trên IPSec. Đối với vấn đề an toàn dữ liệu có 2 vấn đề chính đó là mật mã dữ liệu và xác thực dữ liệu. Đối với mật mã dữ liệu, tồn tại hai thuật toán là khóa đối xứng và khóa công khai. Ở đây đã trình bày chi tiết về thuật toán khóa đối xứng DES và cơ sở lí thuyết của thuật toán khóa công khai. Ngoài ra, phần này còn trình bày về trao đổi khóa Diffie-Hellman. Đối với xác thực dữ liệu có hai vấn đề trọng tâm là xác thực nguồn gốc dữ liệu và xác thực tính toàn vẹn của dữ liệu: thuật toán MD5/SHA-1để đảm bảo vấn đề toàn vẹn dữ liệ; giới thiệu các phương pháp xác thực và chứng thực số để xác định nguồn gốc dữ liệu. Chương 5: Thực hiện VPN. Do có nhiều hãng tham gia phát triển các sản phẩm cho IP-VPN và mỗi hãng lại có nhiều dòng sản phẩm nên thực tế có rất nhiều mô hình thực hiện VPN. Chương này giới thiệu một số mô hình cụ thể thực hiện IP-VPN. Phần cuối của chương giới thiệu tình hình thị trường VPN Việt Nam. Tôi xin chân thành cảm ơn cô giáo Ths. Nguyễn Thúy Hằng và các thầy cô giáo trong khoa Viễn thông thuộc ọc viện công nghệ Bưu chính viễn thông đã tận tình dạy dỗ và giúp đỡ tôi trong quá trình học tập cũng như làm đồ án này. Hà Nội, ngày 25 tháng 10 nămg 2005 Sinh viên: Nguyễn Đức Cường CHƯƠNG 1 BỘ GIAO THỨC TCP/IP 1.1 Khái niệm mạng Internet Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay. Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó được thay thế bởi bộ giao thức TCP/IP (Transfer Control Protocol/ Internet Protocol). Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng. Trước đây, người ta định nghĩa “Internet là mạng của tất cả các mạng sử dụng giao thức IP”. Nhưng hiện nay, điều đó không còn chính xác nữa vì nhiều mạng có kiến trúc khác nhau nhưng nhờ các cầu nối giao thức nên vẫn có thể kết nối vào Internet và vẫn có thể sử dụng đầy đủ các dịch vụ Internet. Internet không chỉ là một tập hợp các mạng được liên kết với nhau, Internetworking còn có nghĩa là các mạng được liên kết với nhau trên cơ sở cùng đồng ý với nhau về các quy ước mà cho phép các máy tính liên lạc với nhau, cho dù con đường liên lạc sẽ đi qua những mạng mà chúng không được đấu nối trực tiếp tới. Như vây, kỹ thuật Internet che dấu chi tiết phần cứng của mạng, và cho phép các hệ thống máy tính trao đổi thông tin độc lập với những liên kết mạng vật lý của chúng. TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến: Độc lập với kến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN. Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệ điều hành nào. Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng như phần mềm khác nhau. Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác định duy nhất. Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ của máy đích cũng như địa chỉ của máy nguồn. Khung Client - Server: TCP/IP là khung cho những ứng dụng client - server mạnh hoạt động trên mạng cục bộ và mạng diện rộng. Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trình phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều phương thức mức ứng dụng (những giao thức thực hiện các chức năng dùng như E-mail, truyền nhận file). 1.2 Mô hình phân lớp bộ giao thức TCP/IP Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khác nhau, không chỉ có các giao thức TCP và IP. Mỗi lớp có chức năng riêng. Mô hình TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) như sau: Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng cụ thể. Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI. Nó gồm các giao thức mức cao, mã hóa, điều khiển hội thoại … Các dịch vụ ứng dụng như SMTP, FTP, TFTP … Hiện nay có hàng trăm hoặc thậm chí hàng nghìn các giao thức thuộc lớp này. Các chương trình ứng dụng giao tiếp với các giao thức ở lớp vận chuyển để truyền và nhận dữ liệu. Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển để xử lý trước khi chuyển xuống lớp Internet để tìm đường đi. Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác. Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không bị lỗi và đúng theo trật tự. Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao thức dữ liệu đồ người sử dụng UDP. Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phần cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc vật lý khác nhau. Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói. (Hỗ trợ giao thức liên IP - khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng LAN). Các giao thức của lớp này là IP, ICMP, ARP, RARP. Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng vật lý. (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành và các card giao diện mạng tương ứng trong máy tính. Lớp này thực hiện nhiệm vụ điều khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý vớ cácp (hoặc với bất kỳ môi trường nào được sử dụng)). Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng vật lý. Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giao thức chuẩn và độc quyền. Ví dụ: Ethernet, Tocken Ring, FDDI, X.25, wireless, Async, ATM, SNA… 1.3 Các giao thức trong mô hình TCP/IP 1.3.1 Giao thức Internet 1.3.1.1 Giới thiệu chung Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích. IP sử dụng các gói tin dữ liệu đồ (datagram). Mỗi datagram có chứa địa chỉ đích và IP sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường đi thích hợp. Các gói tin của cùng một cặp người sử dụng dùng những tuyến thông tin khác nhau, việc định tuyến là riêng biệt đối với từng gói tin. Giao thức IP không lư