10118141 vũ văn dương Triển Khai dịch vụ VPN Trên Window server 2019

1.1 Lý do chọn đề tàiCùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và sự phát triển của mạng internet ngày càng phát triển đa dạng phong phú. Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sông xã hội. Các thông tin trên mạng internet cũng đa dạng về nội dung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh tế, tính chính xác và tính tin cậy của nó.Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn. Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho người quản trị mạng là hết sức quan trọng và cần thiết. Xuất phát từ những thực tế đó, đã có rất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tính xuất hiện, việc nắm bắt các công nghệ này là rất cần thiết.VPN – Vitual Private Network là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các: tổ chức, doanh nghiệp... và các doanh nhân trao đổi thông tin từ mạng cục bộ của mình thường xuyên qua internet một cách an toàn và bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết từ xa vì địa bàn rộng ( trên toàn quốc hay toàn cầu). Nhận thấy được tầm quan trọng của dịch vụ VPN nên em chọn đề tài: “Tìm hiểu và triển khai dịch vụ VPN trên hệ điều hành windows server 2019 cho Trường THPT Ân Thi. ” 1.2 Mục tiêu của đề tàiSử dụng Windows Server 2019Triển khai được dịch vụ VPNMáy client hoàn toàn có thể truy cập mạng nội bộ từ xa, thông qua Internet để tiến hành chia sẻ và sử dụng dữ liệu. Khi hệ thống xảy ra sự cố, kỹ thuật sao lưu và dự phòng phải đảm bảo kịp thời khắc phục sự cố và nhanh chóng, giảm tối đa thời gian ngưng trệ hệ thống.Triển khai hệ thống cân bằng tải Load BlancingGiải pháp lưu trữ phải có khả năng sẵn sàng caoTối ưu hiệu suất hoạt động, chi phí cho các giải pháp không được quá tốn kém

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT HƯNG YÊN

DỰ ÁN 3 TÌM HIỂU VÀ TRIỂN KHAI DỊCH VỤ VPN

CHO TRƯỜNG THPT ÂN THI

NGÀNH: CÔNG NGHỆ THÔNG TINCHUYÊN NGÀNH: QUẢN TRỊ MẠNG

SINH VIÊN: VŨ VĂN DƯƠNG

MÃ LỚP: 101182 HƯỚNG DẪN: THS PHẠM QUỐC HÙNG

HƯNG YÊN – 2020

NHẬN XÉT

Nhận xét của giảng viên hướng dẫn

GIẢNG VIÊN HƯỚNG DẪN

(Ký và ghi rõ họ tên)

LỜI CAM ĐOAN

Tôi xin cam đoan đồ án “Tìm hiểu và triển khai dịch vụ VPN cho nhàtrường THPT ÂN THI” là do tôi thực hiện dưới sự hướng dẫn của Thầy giáoPhạm Quốc Hùng và không chứa bất kỳ nội dung nào được sao chép từ cáccông trình đã được người khác công bố Các tài liệu trích dẫn là trung thực vàđược chỉ rõ nguồn gốc

Tôi xin hoàn toàn chịu trách nhiệm về lời cam đoan trên

Hưng Yên, ngày 10 tháng 9 năm 2020

MỤC LỤC

NHẬN XÉT 2

LỜI CAM ĐOAN 3

MỤC LỤC 4

DANH SÁCH HÌNH VẼ 7

DANH SÁCH TỪ VIẾT TẮT 9

CHƯƠNG 1: TỔNG QUAN VỀ DỊCH VỤ VPN 10

1.1 Lý do chọn đề tài 10

1.2 Mục tiêu của đề tài 11

1.3 Giới hạn và phạm vi của đồ án 11

1.4 Nội dung thực hiện 11

1.4.1 Nghiên cứu lý thuyết 11

1.4.2 Xây dựng giải pháp và triển khai / mô phỏng hệ thống 12

1.5 Phương pháp tiếp cận 12

CHƯƠNG 2: TỔNG QUAN VỀ DỊCH VỤ VPN 14

2.1 Tổng quan về mạng máy tính và Windows Server 14

2.1.1 Giới thiệu về mạng máy tính 14

2.1.2 Giới thiệu về hệ điều hành Windows Server 2019 17

2.2 Một số dịch vụ mạng có trên Windows Server 19

2.2.1 Dịch vụ AD 19

2.2.2 Dịch vụ Web Server 20

2.2.3 Dịch vụ File Server 22

2.2.4 Dịch vụ máy chủ DNS 22

2.3.1 Khái niệm 23

2.3.2 Chức năng của VPN 25

2.3.3 Các thành phần cần thiết tạo nên kết nối VPN 25

2.3.4 Phân loại 26

2.3.5 Cơ chế hoạt động của VPN 29

2.3.6 Một số giao thức VPN 31

2.4 Tổng quan về Routing and Remote Access Service 36

2.4.1 Khái niệm 36

2.4.2 Chức năng 37

2.4.3 Kỹ thuật RRAS cung cấp 38

2.4.4 Cách sử dụng RRAS 39

2.4.5 Kiến trúc 39

2.5 Tổng quan về dịch vụ Load Balancing 41

2.5.1 Giới Thiệu 41

2.5.2 Lợi ích của giải pháp Load Balancing 42

2.5.3 Các giao thức mà Load Balancing có thể xử lý 44

CHƯƠNG 3: TRIỂN KHAI DỊCH VỤ VPN CHO TRƯỜNG THPT ÂN THI 46

3.1 Khảo sát hệ thống 46

3.1.1 Tổng quan về nhà trường 46

3.1.2 Khảo sát yêu cầu của nhà trường 46

3.2 Phân tích yêu cầu của hệ thống mạng 47

3.3 Cài đặt và cấu hình dịch vụ mạng 49

3.3.1 Các bước triển khai 49

3.3.2 Cài đặt và cấu hình VPN 50

3.3.3 Cấu hình dịch vụ cân bằng tải Network Load Balancing 65

CHƯƠNG 4: KẾT LUẬN 74

4.1 Kết quả đạt được của đồ án 74

4.2 Hạn chế của đề tài 74

4.3 Hướng phát triển của đề tài 74

Tài liệu tham khảo 76

DANH SÁCH HÌNH

Hình 2 1 Mô hình mạng máy tính 14

Hình 2 2 Mô hình mạng Client-Serve 16

Hình 2 3 Mô hình mạng Peer-to- Peer 17

Hình 2 4 Cấu trúc của Active Directory 20

Hình 2 5 Mô hình liên kết webserver 21

Hình 2 6 Mô hình mạng VPN 24

Hình 2 7: Mô hình mạng VPN Remote Access 27

Hình 2 8 Mô hình mạng VPN Site-to-Site 28

Hình 2 9: Mô hình cách thức hoạt động của VPN với đường hầm 30

Hình 2 10: Giao thức PPTP 31

Hình 2 11: Giao thức L2TP 32

Hình 2 12: IPSEC làm việc tại tầng Network Layer trong mô hình OSI 33

Hình 2 13 Mô hình giao thức SSTP 35

Hình 2 14 Mô hình kiến trúc dịch vụ Routing and Remote Access 40

YHình 3 1 Sơ đồ logic 47

Hình 3 2: Sơ đồ triển khai 49

Hình 3.6: Giao diện quá trình cài đặt 50

Hình 3.7: Giao diện cửa sổ Routing and Remote Access 51

Hình 3.8: Giao diện thiết lập dịch vụ cấu hình 52

Hình 3.9: Giao diện cấu hình tùy chỉnh 52

Hình 3.10: Giao diện kết thúc quá trình cấu hình 53

Hình 3.11: Giao diện bắt đầu khởi động dịch vụ RRAS 53

Hình 3.12: Đặt dải địa chỉ IP cho máy client truy cập từ xa 54

Hình 3 13: Cấp quyền truy cập từ xa cho máy client VPN 55

Hình 3.14: Thiết lập một kết nối VPN cho máy client VPN 56

Hình 3.15: Chọn kiểu kết nối cho mạng riêng ảo bằng kết nối internet 56

Hình 3.16: Thiết lập kết nối internet để sử dụng VPN 57

Hình 3.17: Nhập địa chỉ IP public của máy VPN Server để kết nối 57

Hình 3.18: Nhập tên và mật khẩu User đã được cấp quyền truy vập từ xa 58

Hình 3.19: Giao diện kết nối VPN đã sẵn sàng 59

Hình 3.20: Giao diện cửa sổ VPN Connection properties 60

Hình 3.21: Nhập tên và password của user đã được cấp quyền truy cập từ xa 61 Hình 3.22: Máy Client VPN truy cập từ xa lấy tài liệu tại VPN Server 61

DANH SÁCH TỪ VIẾT TẮT

Configuration Protocol

Giao thức cấu hình động máy chủ

Protocol

Giao thức kết nối điểm-điểm

service

Dịch vụ định tuyến và truy cập từ xa

CHƯƠNG 1: TỔNG QUAN VỀ DỊCH VỤ VPN 1.1 Lý do chọn đề tài

Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính

và sự phát triển của mạng internet ngày càng phát triển đa dạng phong phú.Các dịch vụ trên mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sông

xã hội Các thông tin trên mạng internet cũng đa dạng về nội dung và hìnhthức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tính kinh

tế, tính chính xác và tính tin cậy của nó

Bên cạnh đó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạphơn Do đó đối với mỗi hệ thống, nhiệm vụ bảo mật được đặt ra cho ngườiquản trị mạng là hết sức quan trọng và cần thiết Xuất phát từ những thực tế

đó, đã có rất nhiều công nghệ liên quan đến bảo mật hệ thống mạng máy tínhxuất hiện, việc nắm bắt các công nghệ này là rất cần thiết

VPN – Vitual Private Network là giải pháp được đưa ra để cung cấp mộtgiải pháp an toàn cho các: tổ chức, doanh nghiệp và các doanh nhân trao đổithông tin từ mạng cục bộ của mình thường xuyên qua internet một cách antoàn và bảo mật Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểuđược chi phí cho những liên kết từ xa vì địa bàn rộng ( trên toàn quốc haytoàn cầu)

Nhận thấy được tầm quan trọng của dịch vụ VPN nên em chọn đề tài:

“Tìm hiểu và triển khai dịch vụ VPN trên hệ điều hành windows server 2019cho Trường THPT Ân Thi ”

1.2 Mục tiêu của đề tài

- Sử dụng Windows Server 2019

- Triển khai được dịch vụ VPN

- Máy client hoàn toàn có thể truy cập mạng nội bộ từ xa, thông quaInternet để tiến hành chia sẻ và sử dụng dữ liệu

- Khi hệ thống xảy ra sự cố, kỹ thuật sao lưu và dự phòng phải đảm bảokịp thời khắc phục sự cố và nhanh chóng, giảm tối đa thời gian ngưngtrệ hệ thống

- Triển khai hệ thống cân bằng tải Load Blancing

- Giải pháp lưu trữ phải có khả năng sẵn sàng cao

- Tối ưu hiệu suất hoạt động, chi phí cho các giải pháp không được quátốn kém

1.4 Nội dung thực hiện

1.4.1 Nghiên cứu lý thuyết

- Tìm hiểu lý thuyết tổng quan về VPN, nắm bắt được nguyên lý hoạtđộng và cách thức triển khai

- Cài đặt và cấu hình được Windows Server 2019

- Khảo sát và phân tích yêu cầu của nhà trường để đưa ra đề xuất tốtnhất.

1.4.2 Xây dựng giải pháp và triển khai / mô phỏng hệ thống

- Khảo sát yêu cầu khách hàng cần sử dụng những phần mềm gì trênmáy Client

- Phân tích các yêu cầu cần khảo sát từ đó xác định được các yêu cầu đốivới hệ thống cần triển khai

- Xây dựng giải pháp triển khai dịch vụ VPN

- Xây dựng được bảng báo giá / chi phí đề xuất ( nếu có )

- Triển khai mô phỏng hệ thống

- Cài đặt và cấu hình dịch vụ VPN mà nhà trường yêu cầu trên hệ điềuhành máy chủ chạy trên Windows Server 2019

- Kiểm tra hoạt động của hệ điều hành dịch vụ

- Vận hành và chuyển giao dịch vụ VPN cho đơn vị / doanh nghiệp

1.5 Phương pháp tiếp cận

- Bước 1: Khảo sát nhà trường thông qua các phương pháp: Phỏng vấn,

quan sát, ghi chép ,…

- Bước 2: Phân tích yêu cầu, nhu cầu cần sử dụng cho nhà trường nhằm

đề suất danh sách thiết bị, dịch vụ sao cho phù hợp

- Bước 3: Xây dựng giải pháp

- Bước 4: Triển khai cài đặt / mô phỏng hệ thống

- Bước 5: Vận hành và chuyển giao: Vận hành và chuyển giao đào tạo

quản trị và dịch vụ VPN cho nhà trường

CHƯƠNG 2: TỔNG QUAN VỀ DỊCH VỤ VPN 2.1 Tổng quan về mạng máy tính và Windows Server

2.1.1 Giới thiệu về mạng máy tính

Mạng máy tính là tập hợp các thiết bị được kết nối với nhau bằng cácphương tiện truyền vật lý và tuân theo một kiến trúc mạng nhất định nhằm thuthập và chia sẻ tài nguyên cho nhiều người sử dụng

Hình 2 1 Mô hình mạng máy tính

a) Phân loại theo phạm vi địa lý:

- Mạng cục bộ LAN(Local Area Network ): Là mạng được lắp đặt trongphạm vi hẹp, khoảng cách giữa các nút mạng nhỏ hơn 10 km Kết nối đượcthực hiện thông qua các môi trường truyền thông tốc độ cao Mạng LANthường được sử dụng trong các cơ quan xí nghiệp…Các mạng LAN có thể kếtnối thành mạng WAN

- Mạng đô thị MAN(Metropolitan Area Network ): Là mạng được cài đặttrong phạm vi đô thị hoặc một trung tâm kinh tế có bán kính khoảng 100 kmtrở lại

- Mạng diện rộng WAN(Wide Area Network ): Là mạng dùng trongvùng địa lý lớn thường cho quốc gia hay cả lục địa, phạm vi vài trăm cho đếnvài ngàn km Nhiều LAN, MAN kết hợp với nhau tạo thành mạng WAN

- Mạng toàn cầu GAN(Global Area Network ): Là mạng có thể trải rộngtrong nhiều quốc gia, phục vụ phát triển kinh tế xã hội cho những nhà trườngsiêu quốc gia hoặc nhóm các quốc gia, đường truyền có thể sử dụng cơ sở hạtầng của viễn thông, mạng Internet là một mạng GAN

b) Phân loại theo chức năng:

- Mô hình Client – Server:

Trong mô hình này, một hoặc vài máy sẽ được chọn để đảm nhận việcquản lý và cung cấp tài nguyên (chương trình, dữ liệu, thiết bị,…) được gọi làServer, các máy khác sử dụng tài nguyên này được gọi là máy khách (Client).Máy chủ là máy tính đảm bảo việc phục vụ các máy khách bằng cáchđiều khiển việc phân phối tài nguyên nằm trong mạng với mục đích sử dụngchung Máy khách là máy sử dụng tài nguyên do máy chủ cung cấp

Mô hình khách – chủ có ưu điểm là dữ liệu được quản lý tập trung, bảomật tốt, thích hợp với các mạng trung bình và lớn.

Hình 2 2 Mô hình mạng Client-Serve

- Mô hình mạng ngang hàng (Peer-to-Peer): Trong mô hình này, tất cảcác máy tính tham gia đều có vai trò giống nhau Mỗi máy vừa có thểcung cấp trực tiếp tài nguyên của mình cho các máy khác, vừa có thể sửdụng trực tiếp tài nguyên của các máy khác trong mạng Mô hình nàychỉ thích hợp với mạng có quy mô nhỏ, tài nguyên được quản lý phântán, chế độ bảo mật kém

Hình 2 3 Mô hình mạng Peer-to- Peer

2.1.2 Giới thiệu về hệ điều hành Windows Server 2019

Windows Server 2019 là một nhánh của hệ dều hành dành cho máy chủđược sản xuất bởi tập đoàn Microsoft Windows Server 2019 được phát triểndựa trên nền tảng vững chắc của Windows Server 2016 – phiên bản WindowsServer được người dung sử dụng nhiều nhất từ trước đến nay WindowsServer có tác dụng giúp người dung có thể quản lí cơ sở hạ tầng của họ mộtcách tối đa, đảm bảo độ an toàn, khả năng tin cậy và cung cấp môi trườngmáy chủ làm việc vững chắc

Windows Server 2019 với nhiều phiên bản và chức năng chuyên dụngkhác nhau như sau :

 Windows Server 2019 Datacenter: Như các hệ điều hành đã ratrước đó, đây là phiên bản được sử dụng cho các trung tâm dữ liệuđám mây cũng như các môi trường bão hòa cao

 Windows Server 2019 Standard: Phiên bản này đã được Microsoftdùng để sử dụng cho các môi trường vật lý

 Windows Server 2019 MultiPoint Premium Server: Đây là phiênbản dung cho các máy chủ có chức năng lưu trữ dữ liệu, chỉ chophép người dung truy cập để đọc thông tin.

 Windows Server 2019 Essentials; Phiên bản dành cho các doanhnghệp có quy mô nhỏ

 Windows Storage Server 2019: Dành cho giải pháp lưu trữ OEMchuyên dụng

Tính năng và ưu điểm của phiên bản 2019 so với các phiên bản trướcđó:

- Tăng cường khả năng bảo vệ nhiều lớp Nâng cao khả năng bảo mậtbằng cách bảo vệ trung tâm dữ liệu bắt đầu từ hệ điều hành An ninh tiếp tục

là ưu tiên hàng đầu của các tổ chức Số lượng các sự cố an ninh mạng tiếp tụcgia tăng và tác động của những sự cố này cũng đang leo thang nhanh chóng

- Triển khai ứng dụng nhanh hơn, Windows Server 2019 giúp các nhàphát triển và chuyên gia CNTT tạo các ứng dụng gốc trên đám mây Hiện đạihóa các ứng dụng truyền thống của họ bằng cách sử dụng các Container vàdịch vụ vi mô

- Container hiệu quả hơn: Mọi tổ chức đang tìm kiếm các giảm thiểu tối

đa các chi phí hoạt động công nghệ thông tin cũng như loại bỏ nhiều máy chủcồng kềnh với các Container nhỏ gọn và hiệu quả hơn bằng cách sử dụng mật

độ tính toán cao hơn để cải thiện hoạt động của ứng dung tổng mà không mấtthêm chi phí trong các hệ thống máy chủ hoặc mở rộng dung lượng phần

- Công cụ quản lý máy chủ Project Honolulu: là một giao diện điều khiểntrung tâm cho phép các chuyên gia CNTT dễ dàng quản lý các máy chủWindows 2019, 2016 và 2012 R2 bằng giao diện (GUI) hoặc bằng giao diệncommandline Nó giúp cho quản trị viên dễ dàng quản lý các hệ thống máy

chủ, đặc biệt là các hệ thống enterprise, datacenter bằng cách tạo các tác vụgiám sát phổ biến (PerfMon), cấu hình máy chủ và các task cài đặt, và quản lýcác dịch vụ windows chạy trong các hệ thống máy chủ.

2.2 Một số dịch vụ mạng có trên Windows Server

2.2.1 Dịch vụ AD

AD (Active Directory) là một dịch vụ thư mục (directory service) đãđược đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trongkiến trúc Windows Active Directory là một hệ thống chuẩn và tập trung,dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và cácnguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác.Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kếtnối mạng được phân bổ theo một kiểu nào đó

Active Directory sẽ tự động quản lý sự truyền thông giữa các domaincontroller để bảo đảm mạng được duy trì Người dùng có thể truy cập vào tất

cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần Tất cả các tàinguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chếbảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truycập đối với tài nguyên

Hình 2 4 Cấu trúc của Active Directory

Active Directory cho phép tăng cấp, hạ cấp các domain controller và cácmáy chủ thành viên một cách dễ dàng Các hệ thống có thể được quản lý vàđược bảo vệ thông qua các chính sách nhóm Group Policies Đây là một môhình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm tráchnhiệm quản trị Mặc dù vậy quan trọng nhất vẫn là Active Directory có khảnăng quản lý hàng triệu đối tượng bên trong một miền

2.2.2 Dịch vụ Web Server

Web server dịch ra tiếng Việt nghĩa là máy chủ Web server là máy tính lớn

được kết nối với tập hợp mạng máy tính mở rộng Đây là một dạng máy chủtrên internet mỗi máy chủ là một IP khác nhau và có thể đọc các ngôn ngữnhư file *.htm và *.html… Tóm lại máy chủ là kho để chứa toàn bộ dữ liệuhoạt động trên internet mà nó được giao quyền quản lý

Web server phải là một máy tính có dung lượng lớn, tốc độ rất cao để có thểlưu trữ vận hành tốt một kho dữ liệu trên internet Nó sẽ điều hành trơn chucho một hệ thống máy tính hoạt động trên internet, thông qua các cổng giaotiếp riêng biệt của mỗi máy chủ Các web server này phải đảm bảo hoạt độngliên tục không ngừng nghỉ để duy trì cung cấp dữ liệu cho mạng lưới máy tínhcủa mình.

Hình 2 5 Mô hình liên kết webserver

Xét ở khía cạnh phần cứng thì Web Server là một máy tính lưu trữ các filethành phần của một website như: tài liệu HTML, file ảnh, file CSS hoặc fileJavascript

Xét ở khía cạnh phần mềm thì Web Server bao gồm một vài phần mềm điềukhiển người sử dụng website truy cập tới các file lưu trữ trên một máy chủHTTP (máy chủ HTTP là phần mềm hiểu được các địa chỉ url website vàHTTP là giao thức trình duyệt dùng để xem trang web)

Dễ hiểu hơn web server chính là máy chủ, được thiết kế với các siêu tính năngdùng để chứa các dữ liệu cho một phần mạng lưới máy tính trên internet Tất

cả những hoạt động dịch vụ trên internet nào đều phải có máy chủ này mớihoạt động được

2.2.3 Dịch vụ File Server

File server (hay máy chủ tập tin) là một máy tính có kết nối mạng cungcấp không gian để lưu trữ và chia sẻ dữ liệu như văn bản, hình ảnh, âm thanh,video Các dữ liệu này có thể được truy cập bởi các workstation (máy trạm).Workstation này có thể kết nối được tới máy chủ khi các máy này chia sẻquyền truy cập thông qua một mạng máy tính

Trong lược đồ máy khách - máy chủ (client – server), các máy kháchchính là các máy trạm sử dụng storage Thông thường, một file server sẽkhông thực hiện các nhiệm vụ máy tính và cũng không chạy các chương trìnhthay cho các client File server chủ yếu chỉ thiết lập cho lưu trữ và truy xuất

dữ liệu trong khi nhiệm vụ tính toán được thực hiện bởi các workstation

IP là những con số rất khó nhớ)

Về chức năng, DNS có thể được hiểu như một “người phiên dịch” và

“truyền đạt thông tin” DNS sẽ làm công việc dịch tên miền thành một địa chỉ

IP gồm 4 nhóm số khác nhau Khi mở một trình duyệt Web và nhập tênWebsite, trình duyệt sẽ đến thẳng Website mà không cần phải thông qua việcnhập địa chỉ IP của trang Web Quá trình "dịch" tên miền thành địa chỉ IP đểcho trình duyệt hiểu và truy cập được vào Website là công việc của một DNSServer

2.3 Giới thiệu về dịch vụ VPN

2.3.1 Khái niệm

Mạng riêng ảo hay VPN (Virtual Private Network): là một mô hìnhmạng riêng để kết nối các máy tính với nhau thông qua mạng INTERNET.VPN tạo ra cho chúng ta 1 mạng riêng ảo trên nền của một Public hay SharedNetwork, giúp chúng ta giống như đang kết nối với các thiết bị trên một mạngriêng (Private Network) Các ứng dụng chạy trên các thiết bị máy tính nhưlaptop, desktop, smartphone, giao tiếp thông qua VPN sẽ được kế thừa cácchức năng, tính bảo mật giống như một mạng riêng Và các đường truyềnVPN còn thường được mã hóa để đảm bảo độ an toàn và bảo mật của dữ liệutruyền trên đó

Công nghệ VPN ra đời giúp giải quyết các bài toán về 1 đường truyềnriêng, an toàn và bảo mật trên nền Internet Tính bảo mật của đường truyềnVPN được đảm bảo bằng việc sử dụng các lớp mã hóa đường hầm giữa đầucuối, dữ liệu truyền trên đường truyền đó sẽ được mã hóa bằng các thuật toán

mã hoá và xác thực khác nhau, các dữ liệu này sẽ được giải mã tại đầu cuối,nên dữ liệu trên đường truyền sẽ được đảm bảo an toàn

Người dùng VPN thì được xác thực bằng các phương thức xác thực khácnhau như password hay certificate để có thể có quyền truy cập VPN Nhờ đó,

người dùng VPN có thể truyền dữ liệu an toàn trên 1 đường truyền đã được

- VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phíthuê đường truyền và giảm chi phí phát sinh cho giáo viênở xa nhờ vào việc

họ có thể tự truy cập được vào hệ thống mạng nội bộ thông qua các điểmcung cấp dịch vụ tại địa phương, hạn chế thuê đường truy cập của nhà cungcấp đến giá thành đi đáng kể cho việc kết nối

- VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệutruyền trên mạng được mã hóa bằng các thuật toán và được truyền trong cácđường hầm (Tunnel) nên thông tin có độ an toàn cao.

- VPN dễ dàng kết nối các chi nhánh thành mạng nội bộ: VPN có thể dễdàng kết nối hệ thống mạng giữa các chi nhánh của một nhà trường và vănphòng trung tâm thành một mạng LAN với chi phí thấp

- VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP:thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạngriêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet

2.3.2 Chức năng của VPN

VPN cung cấp 3 chức năng chính:

- Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệutrước khi truyền chúng ngang qua mạng nên không ai có thể truy nhập thôngtin mà không được phép

- Tính toàn vẹn dữ liệu (Data Integrity) : Người nhận có thể kiểm trarằng dữ liệu đã được truyền qua mạng internet mà không có sự thay đổi nào

- Xác thực nguồn gốc (Origin authentication) : Người nhận có thể xácthực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

2.3.3 Các thành phần cần thiết tạo nên kết nối VPN

- User authentication: cung cấp cơ chế chứng thực người dùng, cho phépngười dùng hợp lệ kết nối vào hệ thống VPN

- Address management : cung cấp địa chỉ IP hợp lệ cho người dùng saukhi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ

- Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trìnhtruyền nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu

- Key Management : cung cấp giải pháp quản lý các khóa dùng cho quátrình mã hóa và giải mã dữ liệu Phụ thuộc vào kiểu VPN (truy nhập từ xaRemote Access hay kết nối ngang hàng Site-to-Site), một số thành phần nhấtđịnh cần thiết để hình thành VPN:

- Phần mềm máy trạm cho mỗi người dùng xa

- Các thiết bị phần cứng riêng biệt, ví dụ như: ộ trung tâm (VPNConcentrator) hoặc tường lửa (Secure PIX Firewall)

- Các máy chủ VPN sử dụng cho dịch vụ quay số

- Máy chủ truy cập NAS (Network Access Server) dùng cho các ngườidùng VPN ở xa truy nhập

- Trung tâm quản lý mạng và chính sách VPN

từ các địa điểm từ xa

Hình 2 7: Mô hình mạng VPN Remote Access

Mỗi nhà trường có thể cài đặt một mạng kiểu Remote – Access diệnrộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise ServiceProvider) ESP cài đặt một công nghệ Network Access Server (NAS) và cungcấp cho các user ở xa với phần mềm client trên mỗi máy của họ

Một đặc điểm quan trọng của VPN Remote ccess là: cho phép ngườidùng di động truy cập từ xa vào hệ thống mạng nội bộ trong nhà trường đểlàm việc

Để thực hiện được VPN Remote Access cần :

- Có 01 VPN Getway (có 01 IP Public) Đây là điểm tập trung xử lý khiVPN Client quay số truy cập vào hệ thống VPN nội bộ

- Các VPN Client kết nối vào mạng Internet

 VPN Site-to-Site

VPN Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chếbảo mật diện rộng, mỗi nhà trường có thể tạo kết nối với rất nhiều các site quamột mạng công cộng như Internet

Hình 2 8 Mô hình mạng VPN Site-to-Site

Các mạng VPN Site – To – Site có thể thuộc hai dạng:

- Intranet: Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ

sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WANdùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đãđược thực hiện ở mạng trung tâm

- Extranet: Liên kết các khách hàng, các nhà cung cấp, hay cộng đồngngười sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng côngcộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấp cácchính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật,tính ổn định

Về mặt kiến trúc thì Intranet và Extranet tương tự nhau, tuy nhiên điểmkhác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác ExtranetVPN sử dụng So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằngnhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng haycác nhà cung cấp sản phẩm Việc để cho khách hàng nhập trực tiếp dữ liệu vềcác hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như cáclỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WANtruyền thống Extranet VPN thường sử dụng các kết nối dành riêng và thêmvào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống

Để thực hiện được VPN Site-to-Site cần:

- Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public) Đây là điểmtập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào

- Các Client kết nối vào hệ thống mạng nội bộ

2.3.5 Cơ chế hoạt động của VPN

Cách thức làm việc của VPN cũng không khác là mấy so với các môhình Client-Server thông thường Server sẽ chịu trách nhiệm chính trong việclưu trữ và chia sẻ dữ liệu sau khi mã hóa, giám sát và cung cấp hệ thốnggateway để giao tiếp và xác nhận các tài khoản client trong khâu kết nối,trong khi client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiếnhành gửi yêu cầu - request tới server để nhận thông tin về dữ liệu chia sẻ, khởitạo kết nối tới các client khác trong cùng hệ thống VPN và xử lý quá trình bảomật dữ liệu qua ứng dụng được cung cấp

Cách giải thích đơn giản và dễ hiểu nhất: bạn hãy tưởng tượng VPN làmột đường hầm nằm giữa máy tính của bạn và trang web bạn truy cập Máytính của bạn kết nối đến một máy chủ VPN, có thể được đặt tại Hoa Kỳ hoặc

nước ngoài Khi bạn truy cập vào một website, bạn sẽ truy cập từ chính nhữngmáy chủ được đặt ở nước ngoài.

Hình 2 9: Mô hình cách thức hoạt động của VPN với đường hầm

Một khi bạn đã kết nối với VPN (tức “bên trong đường hầm”), sẽ trở nênrất khó khăn cho bất cứ ai theo dõi hoạt động duyệt web của bạn Những người biết được bạn là ai và đang làm gì chỉ có bạn, nhà cung cấp VPN

(thường kết nối HTTPS sẽ giảm thiểu điều này), và các trang web bạn đang truy cập

Khi bạn truy cập điểm phát Wi-Fi công cộng tại một sân bay hay quán càphê, việc kết nối qua VPN khiến cho tin tặc sẽ rất khó khăn khi cố gắng ăncắp thông tin đăng nhập của bạn, hoặc chuyển hướng máy tính của bạn đếnmột website giả mạo (trang của ngân hàng, trang đăng nhập facebook…) ISPhoặc hacker đang cố gắng theo dõi bạn, cũng sẽ rất khó khăn để tìm rawebsite bạn đã truy cập

Trên hết, ưu điểm lớn nhất của VPN là giả mạo địa điểm Khi bạn truycập vào VPN có máy chủ ở Mỹ, dù bạn ở Việt Nam đi nữa thì địa chỉ IP củabạn hiện thời đã là ở Mỹ Lợi ích của việc này là giúp bạn truy cập đượcnhiều trang web bị cấm hoặc giới hạn truy cập, ví dụ như website của nhà bán

lẻ Cotsco (đã chặn IP đến từ Việt Nam)

2.3.6 Một số giao thức VPN

a) Giao thức PPTP

PPTP ( Point to point Tunneling Protocol ) là giao thức kết nối điểm điểm , đây là phương pháp cấu hình đơn giản nhất của VPN , độ bảo mật kémnhất Ưu điểm của giao thức này là dễ cấu hình , client kết nối nhanh đếnserver PPTP là sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP)

-và sử dụng cùng kiểu xác thực như PPP (PAP, SPAP, CHAP, MS-CHAP,EAP) Là phương pháp VPN được hỗ trợ rộng rãi nhất giữa các máy trạmchạy Windows PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa Ưuđiểm khi sử dụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng(Public Key Infrastructure)

Hình 2 10: Giao thức PPTP

Hình 2 11: Giao thức L2TP

c) Giao thức IPSec VPN

IPSec VPN Là một hệ thống bao gồm các giao thức để bảo mật quá trìnhtruyền tin IPSec được IETF (Internet Engineeering Task Fore) phát triển.IPSec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4.Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau Phổbiến hiện nay là áp dụng và triển khai trên nền tảng IPv4.Các giao thức IPSecđược định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995 Năm

1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tươngthích với chuẩn 1825 – 1929 Trong tháng 12 năm 2005, thế hệ thứ 3 củachuẩn IPSec, RFC 4301 – 4309 Cũng không khác nhiều so với chuẩn RFC

2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second Trong thế

hệ mới này IP security cũng được viết tắt lại là IPSec.Các giao thức đó thựchiện việc xác thực và mã hóa cho mỗi IP packet trong quá trình truyền thôngtin, điểu khiển truy nhập, bảo vệ chống phát lại và bảo mật

IPSec làm việc tại tầng Network Layer – Layer 3 trong mô hình OSI.Tại Layer 3 này IPSec còn có thêm nhiệm vụ cho phép giảm nhẹ việc xâydựng các mạng riêng ảo (VPN) cho phép người sử dụng kết nối 1 cách antoàn trên mạng Internet tiêu chuẩn tới các mạng riêng của họ

Hình 2 12: IPSEC làm việc tại tầng Network Layer trong mô hình OSI

IPSec làm việc tại tầng Network Layer – Layer 3 trong mô hình OSI TạiLayer 3 này IPSec còn có thêm nhiệm vụ cho phép giảm nhẹ việc xây dựngcác mạng riêng ảo (VPN) cho phép người sử dụng kết nối 1 cách an toàn trênmạng Internet tiêu chuẩn tới các mạng riêng của họ.IPSec được sử dụng nhưmột chức năng xác thực và được gọi là Authentication Hearder (AH)

Được dùng trong việc chứng thực/mã hóa, kết hợp chứcnăng(authentication và integrity) gọi là Encapsulating Security Payload(ESP).Đảm bảo tính nguyên vẹn của dữ liệu.Chống quá trình replay trong cácphiên bảo mật

Trong các phạm vi sử dụng của Ipsec thì việc xác thực và mã hóa đượcchú ý và quan tâm nhiều nhất khi ứng dụng trên các mạng riêng ảo (VPN) Đểđảm bảo tính bảo mật cao cho người sử dụng.IPSec VPN có thể bảo vệ chốnglại hầu hết các phương pháp tấn công thông dụng bao gồm Denial of Service(DoS), replay, và “man-in-the-middle”

d) Giao thức SSTP

SSTP ( Secure Socket Tunneling Protocol ) là một dạng của kết nối VPNbằng HTTPS sử dụng Port 443, SSTP sử dụng các kết nối HTTP đã được mãhóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP là một giaothức rất an toàn vì các thông tin quan trọng của người dùng không được gửicho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPNgateway SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế

nó cũng có nghĩa là bạn có thể sử dụng các cơ chếchứng thực PPP và EAP đểbảo đảm cho các kết nối SSTP được an toàn hơn

dữ liệu SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu

sử dụng PKI SSTP sử dụng SSL để xác thực server với client và nó dựa vàoPPP chạy trên để xác thực client với server Nghĩa là Client xác thực server

bằng certificate và Server xác thực Client thông qua giao thức hiện có được

hỗ trợ bởi PPP Khi Client kết nối với Remote Access Server bằng cách sửdụng SSTP làm giao tác tạo lập đường hầm, SSTP thiết lập session HTTPsvới server từ xa tại port 443 ở một địa chỉ URL riêng biệt Các xác lập proxyHTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này.Với session HTTPs, client đòi hỏi server cung cấp certificate để xác thực.Khithíết lập quan hệ SSL hòan tất, các session HTTP được thíet lập trên đó Sau

đó, SSTP được sử dụng để thương lượng các tham số giữa Client và Server.Khi lớp SSTP được thiết lập, việc thương lượng SSTP được bắt đầu nhằmcung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ liệu

e) Giao thức OpenVPN

OpenVPN là phần mềm mã nguồn mở tạo các kết nối và thực hiện bảomật mạng ở tầng 2 và 3 Sử dụng SSL/TLS để tạo ra kênh truyền bảo mật (đãđược sử dụng rộng rãi trên thế giới và các hãng đang bắt đầu hỗ trợ VPN quagiao thức này như Microsoft, Cisco ) Sử dụng thư viện SSL API để thựchiện mã hóa, do đó ta có thể linh động thay đổi bằng những thuật toán khác

2.4 Tổng quan về Routing and Remote Access Service

2.4.1 Khái niệm

Routing là khái niệm dùng để mô tả tiến trình chọn một tuyến (route)phù hợp trong một danh sách các tuyến Mục đích của việc chọn tuyến là đểchuyển các gói dữ liệu mạng đến đích mong muốn Để thực hiện chức năngrouting người ta sử dụng thiết bị router

Remote Access là một dịch vụ cho phép các client từ xa để kết nối tớiserver truy cập từ xa bằng cách sử dụng một số các thiết bị phần cứng modemIntegrated Services Digital Network (ISDN) adapter và Digital Subscriber