THIẾT KẾ CÀI ĐẶT QUẢN TRỊ MẠNG ĐỀ TÀI MẠNG ẢO RIÊNG VPN

THIẾT KẾ, CÀI ĐẶT VÀ QUẢN TRỊ MẠNG Đề tài: MẠNG ẢO RIÊNG VPN 1Giới thiệu về mạng ảo VPN 2Hướng dẫn cài đặt và cấu hình VPN 3Tài liệu tham khảo  Khái niệmVề cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.

Trang 1

Trường Cao Đẳng Kinh Tế-Kỹ Thuật

4 Nguyễn Thanh Hòa.

5.Nguyễn Phương Duy.

6.Huỳnh Thị Diễm Trinh

Giáo Viên Hướng Dẫn: Phạm Hoàng Sơn

THIẾT KẾ, CÀI ĐẶT VÀ QUẢN TRỊ MẠNG

Đề tài: MẠNG ẢO RIÊNG VPN

Trang 2

NỘI DUNG BÁO CÁO

I Giới thiệu về mạng ảo VPN

II Hướng dẫn cài đặt và cấu hình VPN

III Tài liệu tham khảo

Trang 3

GIỚI THIỆU

thiết kế cho những tổ chức có xu hướng tăng

cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết

kiệm được được chi phí và thời gian.

Trang 4

GIỚI THIỆU

 Khái niệm

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công

cộng (thường là Internet) để kết nối các địa điểm hoặc người sử

dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ

chức với địa điểm hoặc người sử dụng ở xa.

Trang 6

GIỚI THIỆU

VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối

người dùng-đến-LAN (User-to-Lan) , thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa.

Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp ESP (Enterprise Service Provider ) ESP này tạo ra một máy chủ truy cập mạng NAS ( Network Access Server ) và cung cấp cho những người

sử dụng từ xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối

an toàn, có mật mã.

Trang 7

GIỚI THIỆU

Trang 8

GIỚI THIỆU

VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm

cố định với nhau thông qua một mạng công cộng như Internet Loại này có thể dựa trên

Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa

muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có

Trang 9

GIỚI THIỆU

Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet.

Trang 10

GIỚI THIỆU

 Bảo mật trong VPN

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể

thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được

chuyển qua và giao thức sử dụng

Mật mã truy cập (Mã hóa) - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được Có hai loại :

- Mật mã riêng hay Mã hoá sử dụng khoá riêng (Symmetric-key encryption) Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng

- Mật mã chung hay Mã hoá sử dụng khoá công khai (Public-key encryption) kết hợp mã riêng và một mã công cộng

Trang 11

GIỚI THIỆU

 Giao thức bảo mật giao thức Internet IPSec (Internet Protocol Security Protocol ) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn

 Máy chủ AAA

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),

Authorization (cho phép) và Accounting (kiểm soát) Các server này được dùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới từ

máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.

Trang 12

GIỚI THIỆU

 Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt

những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:

- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.

- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.

- Server VPN cao cấp dành cho dịch vụ Dial-up.

- NAS (Network Access Server: máy chủ truy cập mạng ) do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa.

- Trung tâm quản lý mạng và chính sách VPN

Trang 13

GIỚI THIỆU

 Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này

Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc)

Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco ( Ảnh: quadrantcommunications)

Trang 14

GIỚI THIỆU

 Bộ đinh tuyến VPN thông minh

(Cisco's VPN-optimized routers) cung cấp khả năng định tuyến, bảo mật và chất lượng

dịch vụ mở rộng Dựa trên nền tảng phần mềm hệ điều hành mạng internat của Cisco IOS

(Internet Operating System) , hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn

Bộ định tuyến truy nhập Cisco1750

Trang 15

GIỚI THIỆU

 Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp.

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.

Trang 16

GIỚI THIỆU

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo

ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo

những "đường ống" riêng (tunnel)

Trang 17

 Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức

(như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu

gốc.

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).

GIỚI THIỆU

Trang 18

GIỚI THIỆU

Trong VPN loại này, bộ định tuyến dùng chung GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói“ giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải

(Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đang

mã hóa và thông tin về kết nối giữa máy chủ với máy khách

Trang 19

GIỚI THIỆU

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa

Trang 20

GIỚI THIỆU

Trong mô hình VPN này, tunneling thường sử dụng PPP (Point-to-point Protocol ) Một phần của giao thức TCP/IP, PPP

là giao thức truyền tải cho các giao thức IP khác khi thông tin

trên mạng giữa các máy tính Remote-Access VPN tunneling dựa trên nền tảng PPP Nói tóm lại, kỹ thuật Tunneling cho mạng

VPN truy cập từ xa phụ thuộc vào PPP.

Trang 21

GIỚI THIỆU

Sơ đồ nối kết của giao thức PPP

Trang 22

GIỚI THIỆU

yêu cầu sau:

-Bảo mật (Security)

-Tin cậy (Reliability)

-Dễ mở rộng, nâng cấp (Scalability)

-Quản trị mạng thuận tiện (Network management)

-Quản trị chính sách mạng tốt (Policy management)

Trang 23

Hướng dẫn cài đặt và cấu hình VPN

 Hướng dẫn cài đặt mạng VPN loại truy

cập từ xa theo giao thức Tunneling

điểm-nối-điểm (PPTP) Mô hình thực nghiệm

này dùng hệ điều hành Windows XP cho

máy truy cập từ xa và Windows Server

2003 cho các máy chủ.

Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính

Trang 24

Hướng dẫn cài đặt và cấu hình

VPN

 Hướng dẫn cách cài đặt VPN kiểu

LAN nối LAN theo giao thức

L2TP/IPSec Đây là giao thức có

mức độ bảo mật cao nhất dành cho

mạng riêng ảo vì cả người sử dụng

và máy tính đều phải qua giai đoạn

kiểm định quyền truy cập.

Một mô hình VPN điểm-nối-điểm Ảnh: Microsoft

Trang 25

 Cấu hình VPN trên windows server 2008

Trang 26

 Hướng dẫn thiết lập mạng riêng ảo (VPN)

máy chủ VPN trên Windows 7 và kết nối với

máy tính Windows XP, Vista hay Windows

7 Không cần phải mua một máy chủ VPN

đắt tiền nếu bạn không có nhiều người

dùng Hệ điều hành Windows chính thức có

cung cấp chức năng máy chủ và máy khách

VPN

Trang 27

 Tránh xung đột IP

Do các kết nối VPN sẽ liên kết các mạng với nhau nên bạn phải hết sức thận trọng với địa chỉ subnet và IP, làm sao để chúng không xảy ra bất cứ xung đột nào Bạn nên sử dụng một địa chỉ IP khác biệt cho Router, chẳng hạn như 192.168.50.1 Nếu có nhiều văn phòng làm việc, bạn có thể gán cho mỗi một văn phòng một IP/subnet khác nhau, chẳng hạn như 192.168.51.1, 192.168.52.1,…

Trang 28

 Tạo kết nối gửi đến trong Windows

Để cấu hình máy chủ VPN Windows, cần phải tạo kết nối gửi đến Đây sẽ là một máy chủ hoặc host của VPN Ngoài ra bạn cần chỉ định người dùng mà bạn muốn kết nối đến

1 Kích phải vào biểu tượng mạng nằm trong khay hệ thống và chọn Open Network and Sharing

Center

2 Kích Manage network connections (Windows Vista) hoặc Change adapter settings hoặc (Windows

7)

3 Nhấn phím Alt để hiện File Menu và kích File > New Incoming connection…

4 Chọn những ai mà bạn thích cung cấp truy cập VPN đến hoặc tạo các tài khoản tùy chỉnh bằng cách

kích vào Add someone

Trang 30

 5 Chọn Through the Internet , kích Next được thể hiện trong hình

Trang 31

 6 Bạn có thể chọn các giao thức mình muốn kích hoạt cho kết nối này Ở đây bạn có lựa chọn chẳng hạn

như Internet Protocol Version 4 (TCP/IPv4) , để người dùng từ xa có thể nhận địa chỉ IP và có thể truy cập

vào mạng hoặc Internet Ngoài ra nếu muốn người dùng từ xa có thể truy cập vào file và các máy in được

chia sẻ, hãy chọn File and Printer Sharing for Microsoft Networks Sau khi thực hiện xong, kích Allow

access

Trang 32

 7 Trong cửa sổ kế tiếp, kích Close

 Lúc này bạn cần truy cập các thuộc tính của kết nối mạng gửi đến vừa được tạo và định nghĩa dải địa chỉ IP cho các máy khách VPN:

1 Trong cửa sổ Network Connections , kích đúp vào Incoming Connections

2 Chọn tab Networking và kích đúp vào Internet Protocol Version 4 (TCP/IPv4)

3 Chọn Specify IP addresses và sau đó nhập vào địa chỉ khởi đầu và cuối của dải subnet cục bộ nhưng không xung

đột với dải DHCP Cho ví dụ, nếu IP của Router là 192.168.50.1, bạn có thể nhập vào 192.168.50.50 đến

192.168.50.59, như thể hiện trong hình dưới, khi đó hệ thống của bạn sẽ hỗ trợ 10 máy khách Nếu muốn các máy khách có thể tự gán một IP, hãy chọn tùy chọn đó.

Trang 33

4 Kích OK trong cả hai hộp thoại để lưu các thay đổi

Trang 34

 Cấu hình địa chỉ IP, DNS động và Router

Khi đã chỉ ra địa chỉ IP, hãy tìm đến thiết lập máy chủ ảo hoặc cổng chuyển tiếp trong giao diện điều khiển web của Router Sau đó tạo một mục cổng chuyển tiếp 1723 đến địa chỉ IP cục bộ của máy tính, chẳng hạn như trong hình lưu các thay đổi!

Trang 35

 Tạo các kết nối VPN gửi ra trong Windows

Sau khi đã cài đặt xong máy chủ, bạn cần cấu hình các máy tính mà bạn muốn kết nối từ đó, các máy tính này được gọi là các máy khách VPN Đây là cách cấu hình trong Windows Vista và Windows 7:

1 Kích hải vào biểu tượng mạng trong khay hệ thống và chọn Open Network and Sharing Center.

2 Kích Set up a connection or network (Windows Vista) hoặc Set up a new connection or network(Windows 7, như

thể hiện trong hình7).

3 Trên wizard, chọn Connect to a workplace, và kích Next.

4 Chọn Use my internet connection (VPN).

5 Đánh địa chỉ IP Internet hoặc hostname vào phần Internet address Các tùy chọn khác có thể để vô hiệu hóa

Kích Next để tiếp tục.

6 Nhập User name và password đã được chọn khi bạn tạo kết nối VPN gửi vào, kích Next để thực hiện kết nối Thao tác

này sẽ thực hiện hành động kết nối bằng cách sử dụng các giao thức: SSTP, PPTP, và sau đó L2TP.

7 Sau khi đã kết nối, kích Close.

Trang 36

 Kết nối với VPN

Trong Windows XP, bạn có thể kết nối và hủy kết nối bằng cách mở

cửa sổ Network Connections và kích phải vào kết nối VPN Trong

Windows Vista, bạn có thể kích vào biểu tượng mạng trong khay hệ thống,

kíchConnect to, sau đố chọn kết nối Trong Windows 7, kích biểu tượng

mạng trong khay hệ thống và chọn kết nối VPN

Sau khi kết nối, bạn sẽ có thể truy cập đến các tài nguyên chia sẻ trên mạng cấu hình VPN Cần lưu ý rằng, bạn có thể phải truy cập một một

cách thủ công đến các chia sẻ (ví dụ như ip_address_of_computer hoặc

Network

Trang 37

Tài liệu tham khảo

 Phạm Hoàng Sơn ,Giáo trình thiết kế, cài đặt và quản trị mạng

 Website: http://quangtrimang.com.vn

 Luận văn cấu hình PVN trên server 2008 của sinh viên hà tỉnh ngày 25/5/2013

Định dạng
Số trang	38
Dung lượng	18,73 MB