Tìm hiểu công nghệ VPN và các ứng dụng của VPN

VPN cho phép thiết lập các kết nối riêngvới những ngời dùng ở xa, các văn phòng chi nhánh của công ty và đối tác củacông ty đang sử dụng chung một mạng công cộng.. Một cơ quan ở xa có th

MụC LụC Mở ĐầU CHƯƠNG 1: TổNG QUAN Về MạNG RIÊNG ảO VPN 1

1.1 Định nghĩa 1

1.2 Chức năng và u điểm của VPN 2

1.2.1 Chức năng 2

1.2.2 Ưu điểm 3

1.3 Phân loại mạng VPN 4

1.3.1 Mạng VPN truy cập từ xa 4

1.3.2 Mạng VPN cục bộ 5

1.3.3 Mạng VPN mở rộng 6

CHƯƠNG 2: CáC GIAO THứC ĐƯờNG HầM 8

2.1 Giao thức định hớng lớp 2-L2F 8

2.1.1 Ưu nhợc điểm của L2F 8

2.1.2 Thực hiện L2F 8

2.1.3 Hoạt động của L2F 9

2.2 Giao thức đờng hầm điểm-điểm PPTP 10

2.2.1 Kiến trúc của PPTP 10

2.2.2 Sử dụng PPTP 18

2.3 Giao thức đờng hầm lớp 2- L2TP 20

2.3.1 Kiến trúc của L2TP 20

2.3.2 Sử dụng L2TP 25

2.4 Giao thức bảo mật IP- IPSec 26

2.4.1 Khung giao thức IPSec 27

2.4.2 Hoạt động của IPSec 31

2.4.3 Ví dụ về hoạt động của IPSec 40

CHƯƠNG 3: XÂY DựNG MạNG VPN 41

3.1 Thành phần cơ bản của một VPN 41

3.1.1 Máy chủ VPN 41

3.1.2 Máy khách VPN 42

3.1.3 Bộ định tuyến VPN 42

3.1.4 Bộ tập trung VPN 43

3.1.5 Cổng kết nối VPN 43

3.2 Sự hoạt động của VPN 44

3.3 Cài đặt VPN 45

3.3.1 Cài đăt VPN Server 45

3.3.2 Cài đặt VPN clients 52

CHƯƠNG 4 : CáC ứNG DụNG TRÊN MạNG VPN 55

4.1 Xây dựng profile, home folder 55

4.1.1 Proflile 55

4.1.2 Home folder 55

4.1.3 Triển khai profile & home folder 55

4.2 DịCH Vụ DHCP 57

4.2.1 Giới thiệu 57

4.2.2 Hoạt động của dao thức DHCP 57

4.2.3 Cài đặt DHCP Server 58

4.2.4 Cấu hình DHCP Server 58

4.3 dịch vụ Webserver 65

4.3.1 Giới thiệu 65

4.3.2 Nguyên tắc hoạt động 65

4.3.3 Cài đặt và cấu hình Webserver 65

4.4 Triển khai máy FTP Server 76

4.4.1 Giới thiệu FTP 76

4.4.2 Quá trình cài đặt FTP server 76

4.4.3 Cấu hình & Triển khai FTP server 78

4.5 CHƯƠNG TRìNH CHạY MÔ PHỏNG 86

4.5.1 Nhiệm vụ và mục tiêu của bài toán 86

4.5.2 Phân tích và thiết kế chơng trình 87

4.5.3 Một số Form của chơng trình 88

KếT LUậN

THUậT NGữ VIếT TắT

TàI LIệU THAM KHảO

CH¦¥NG 1

TổNG QUAN Về MạNG RIÊNG ảO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thờng đợc gọi tắt là VPN

là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnhtranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ củaInternet Trong thực tế, ngời ta thờng nói tới hai khái niệm VPN đó là: mạngriêng ảo kiểu tin tởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sửdụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa cácsite của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựatrên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựatrên Internet

1.1 Định nghĩa

Mạng riêng ảo VPN đợc định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (nh mạng Internet) với các chính sách quản lý và bảomật giống nh mạng cục bộ

Router

Mạng riờng

(LAN)

Mạng riờng(LAN)

Hình 1.1: Mô hình VPN Các thuật ngữ dùng trong VPN nh sau:

Virtual - nghĩa là kết nối là động, không đợc gắn cứng và tồn tại nh một kết

nối khi lu lợng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng vớinhiều môi trờng khác nhau và có khả năng chịu đựng những khuyết điểm củamạng Internet Khi có yêu cầu kết nối thì nó đợc thiết lập và duy trì bất chấp cơ

sở hạ tầng mạng giữa những điểm đầu cuối

Private - nghĩa là dữ liệu truyền luôn luôn đợc giữ bí mật và chỉ có thể bị

truy cập bởi những nguời sử dụng đợc trao quyền Điều này rất quan trọng bởi vìgiao thức Internet ban đầu TCP/IP- không đợc thiết kế để cung cấp các mức độbảo mật Do đó, bảo mật sẽ đợc cung cấp bằng cách thêm phần mềm hay phầncứng VPN

Network - là thực thể hạ tầng mạng giữa những ngời sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng t, công cộng,dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có

để tạo nền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đãtừng đợc sử dụng trong các mạng điện thoại trớc đây nhng do một số hạn chế màcông nghệ VPN cha có đợc sức mạnh và khả năng cạnh tranh lớn Trong thờigian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đãlàm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêngvới những ngời dùng ở xa, các văn phòng chi nhánh của công ty và đối tác củacông ty đang sử dụng chung một mạng công cộng

ời mình mong muốn chứ không phải là một ngời khác

b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c) Tính bảo mật : Ngời gửi có thể mã hoá các gói dữ liệu trớc khi truyền qua

mạng công cộng và dữ liệu sẽ đợc giải mã ở phía thu Bằng cách làm nhvậy, không một ai có thể truy nhập thông tin mà không đợc phép Thậmchí nếu có lấy đợc thì cũng không đọc đợc

1.2.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ng ờidùng lu động, mở rộng Intranet đến từng văn phòng, thậm chí triển khai Extranet

đến tận khách hàng và các đối tác chủ chốt Những lợi ích này dù trực tiếp haygián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo(flexibility), khả năng mở rộng (scalability)

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm đợc chi phí đầu t và chiphí thờng xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ đợc thu nhỏ,

do chỉ phải trả ít hơn cho việc thuê băng thông đờng truyền, các thiết bị mạng ờng trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới30% so với việc sử dụng đờng thuê riêng truyền thống Còn

đ-đối với việc truy cập từ xa giảm từ 60 tới 80%

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khaithác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sửdụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể

đợc sử dụng để kết nối các văn phòng nhỏ, các đối tợng di động Nhà cung cấpdịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nốimodem 56 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN đợc xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạngcông cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh

động Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công tybằng cách sử dụng đờng dây điện thoại hay DSL…

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tợng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu vềnguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấpdịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗtrợ kỹ thuật đối với ngời sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so vớiviệc bảo trì các modem riêng biệt, các card tơng thích (adapter) cho các thiết bị

đầu cuối và các máy chủ truy cập từ xa

f) Đáp ứng các nhu cầu thơng mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để

đảm bảo khả năng làm việc của sản phẩm nhng có lẽ quan trọng hơn là để sảnphẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

1.3 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơbản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển đợc quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tợng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN đợc phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.3.1 Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời

điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truynhập vào mạng của công ty

VPN truy nhập từ xa mở rộng mạng công ty tới những ngời sử dụng thôngqua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫnduy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di

động, những ngời sử dụng di động, những chi nhánh và những bạn hàng củacông ty Những kiểu VPN này đợc thực hiện thông qua cơ sở hạ tầng công cộngbằng cách sử dụng công nghệ quay số, IP di động, DSL và công nghệ cáp và th-ờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của ngời sử dụng

POP

DSL cable

Mobile

POP

Extranet khách hàng tới công ty

Router Internet

or or

Hình 1.2 : Mô hình mạng VPN truy nhập từ xaCác u điểm của mạng VPN truy nhập từ xa so với các phơng pháp truy nhập

từ xa truyền thống nh:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởivì quá trình kết nối từ xa đợc các ISP thực hiện

- Cung cấp dịch vụ kết nối giá rẻ cho những ngời sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động

ở tốc độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởivì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều u điểm nhng mạng VPN truy nhập từ xa vẫn còn nhữngnhợc điểm cố hữu đi cùng nh:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể

1.3.2 Mạng VPN cục bộ

Các VPN cục bộ đợc sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn đợc mã hoá bảomật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồndữ liệu đợc phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN nh khả năng mởrộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấpnhng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thờng đợc cấu hình nh là mộtVPN Site- to- Site

văn phòng ở xa

Router

Internet POP

or PIX Firewall

Văn phũng trung tõm

Hình 1.3: Mô hình mạng VPN cục bộ

Những u điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Giảm đợc số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian đợc thực hiện thông qua mạng Internet,nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu đợc từ những lợi ích đạt đợc bằng cách sử dụng đờngngầm VPN thông qua Internet

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nhợc điểm nh:

- Bởi vì dữ liệu đợc truyền “ngầm” qua mạng công cộng mạng Internet cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức

-độ chất lợng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trờng hợp truyền dẫn khối lợng lớn dữ liệu, nh là đa phơng tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớntrong môi trờng Internet

1.3.3 Mạng VPN mở rộng

Không giống nh mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạngVPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mởrộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạngcần thiết để mở rộng những đối tợng kinh doanh nh là các đối tác, khách hàng,

Router

Internet POP

or PIX Firewall

Văn phũng

ở xa

Văn phũng trung tõm

Bên cạnh những u điểm ở trên giải pháp mạng VPN mở rộng cũng cònnhững nhợc điểm đi cùng nh:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng côngcộng vẫn tồn tại

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

CHƯƠNG 1

TổNG QUAN Về MạNG RIÊNG ảO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thờng đợc gọi tắt là VPN

là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnhtranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ củaInternet Trong thực tế, ngời ta thờng nói tới hai khái niệm VPN đó là: mạngriêng ảo kiểu tin tởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sửdụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa cácsite của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựatrên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựatrên Internet

1.4 Định nghĩa

Mạng riêng ảo VPN đợc định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (nh mạng Internet) với các chính sách quản lý và bảomật giống nh mạng cục bộ

Mạng riờng

(LAN)

Mạng riờng(LAN)

Hình 1.1: Mô hình VPN Các thuật ngữ dùng trong VPN nh sau:

Virtual - nghĩa là kết nối là động, không đợc gắn cứng và tồn tại nh một kết

nối khi lu lợng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng vớinhiều môi trờng khác nhau và có khả năng chịu đựng những khuyết điểm củamạng Internet Khi có yêu cầu kết nối thì nó đợc thiết lập và duy trì bất chấp cơ

sở hạ tầng mạng giữa những điểm đầu cuối

Private - nghĩa là dữ liệu truyền luôn luôn đợc giữ bí mật và chỉ có thể bị

truy cập bởi những nguời sử dụng đợc trao quyền Điều này rất quan trọng bởi vìgiao thức Internet ban đầu TCP/IP- không đợc thiết kế để cung cấp các mức độbảo mật Do đó, bảo mật sẽ đợc cung cấp bằng cách thêm phần mềm hay phầncứng VPN

Network - là thực thể hạ tầng mạng giữa những ngời sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng t, công cộng,dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có

để tạo nền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đãtừng đợc sử dụng trong các mạng điện thoại trớc đây nhng do một số hạn chế màcông nghệ VPN cha có đợc sức mạnh và khả năng cạnh tranh lớn Trong thờigian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đãlàm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêngvới những ngời dùng ở xa, các văn phòng chi nhánh của công ty và đối tác củacông ty đang sử dụng chung một mạng công cộng

1.5 Chức năng và u điểm của VPN

1.5.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

d) Tính xác thực : Để thiết lập một kết nối VPN thì trớc hết cả hai phía phảixác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ng -

ời mình mong muốn chứ không phải là một ngời khác

e) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

f) Tính bảo mật : Ngời gửi có thể mã hoá các gói dữ liệu trớc khi truyền qua

mạng công cộng và dữ liệu sẽ đợc giải mã ở phía thu Bằng cách làm nhvậy, không một ai có thể truy nhập thông tin mà không đợc phép Thậmchí nếu có lấy đợc thì cũng không đọc đợc

1.5.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ng ờidùng lu động, mở rộng Intranet đến từng văn phòng, thậm chí triển khai Extranet

đến tận khách hàng và các đối tác chủ chốt Những lợi ích này dù trực tiếp haygián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo(flexibility), khả năng mở rộng (scalability)

b) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm đợc chi phí đầu t và chiphí thờng xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ đợc thu nhỏ,

do chỉ phải trả ít hơn cho việc thuê băng thông đờng truyền, các thiết bị mạng ờng trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới30% so với việc sử dụng đờng thuê riêng truyền thống Còn

đ-đối với việc truy cập từ xa giảm từ 60 tới 80%

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khaithác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sửdụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể

đợc sử dụng để kết nối các văn phòng nhỏ, các đối tợng di động Nhà cung cấpdịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nốimodem 56 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN đợc xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạngcông cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh

động Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công tybằng cách sử dụng đờng dây điện thoại hay DSL…

e) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tợng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về

nguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấpdịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗtrợ kỹ thuật đối với ngời sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so vớiviệc bảo trì các modem riêng biệt, các card tơng thích (adapter) cho các thiết bị

đầu cuối và các máy chủ truy cập từ xa

g) Đáp ứng các nhu cầu thơng mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để

đảm bảo khả năng làm việc của sản phẩm nhng có lẽ quan trọng hơn là để sảnphẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

1.6 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơbản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển đợc quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tợng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN đợc phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.6.1 Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời

điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truynhập vào mạng của công ty

VPN truy nhập từ xa mở rộng mạng công ty tới những ngời sử dụng thôngqua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫnduy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di

động, những ngời sử dụng di động, những chi nhánh và những bạn hàng củacông ty Những kiểu VPN này đợc thực hiện thông qua cơ sở hạ tầng công cộngbằng cách sử dụng công nghệ quay số, IP di động, DSL và công nghệ cáp và th-ờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của ngời sử dụng

DSL cable

Mobile

POP

Extranet khách hàng tới công ty

Router Internet

or or

Hình 1.2 : Mô hình mạng VPN truy nhập từ xaCác u điểm của mạng VPN truy nhập từ xa so với các phơng pháp truy nhập

từ xa truyền thống nh:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởivì quá trình kết nối từ xa đợc các ISP thực hiện

- Cung cấp dịch vụ kết nối giá rẻ cho những ngời sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động

ở tốc độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởivì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều u điểm nhng mạng VPN truy nhập từ xa vẫn còn nhữngnhợc điểm cố hữu đi cùng nh:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể

1.6.2 Mạng VPN cục bộ

Các VPN cục bộ đợc sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn đợc mã hoá bảomật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồndữ liệu đợc phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN nh khả năng mởrộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấpnhng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thờng đợc cấu hình nh là mộtVPN Site- to- Site

văn phòng ở xa

Router Internet

POP

or PIX Firewall

Văn phũng trung tõm

Hình 1.3: Mô hình mạng VPN cục bộ

Những u điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Giảm đợc số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian đợc thực hiện thông qua mạng Internet,nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu đợc từ những lợi ích đạt đợc bằng cách sử dụng đờngngầm VPN thông qua Internet

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nhợc điểm nh:

- Bởi vì dữ liệu đợc truyền “ngầm” qua mạng công cộng mạng Internet cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức

-độ chất lợng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trờng hợp truyền dẫn khối lợng lớn dữ liệu, nh là đa phơng tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớntrong môi trờng Internet

1.6.3 Mạng VPN mở rộng

Không giống nh mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạngVPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mởrộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạngcần thiết để mở rộng những đối tợng kinh doanh nh là các đối tác, khách hàng,

và các nhà cung cấp.

DSL

cable

Extranet Business-to-business

Router

Internet POP

or PIX Firewall

Văn phũng

ở xa

Văn phũng trung tõm

Bên cạnh những u điểm ở trên giải pháp mạng VPN mở rộng cũng cònnhững nhợc điểm đi cùng nh:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng côngcộng vẫn tồn tại

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

CHƯƠNG 3

XÂY DựNG MạNG VPN

Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet

đ-ợc sung cấp bởi ISP và phần mềm cũng nh phần cứng để bảo mật dữ liệu bằngcách mã hoá trớc khi truyền ra mạng Internet Các chức năng của VPN đợc thực

hiện bởi các bộ định tuyến, tờng lửa và các phần cứng, phần mềm

3.1 Thành phần cơ bản của một VPN

Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers),máy khách VPN (VPN clients) và một số thiết bị phần cứng khác nh: Bộ địnhtuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung(Concentrator)

3.1.1 Máy chủ VPN

Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềmmáy chủ (Software servers) Dựa vào những yêu cầu của công ty, mà một mạngVPN có thể có một hay nhiều máy chủ Bởi vì mỗi máy chủ VPN phải cung cấpdịch vụ cho các máy khách (VPN client) ở xa cũng nh các máy khách cục bộ,

đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từcác máy khách

Những chức năng chính của máy chủ VPN bao gồm:

- Tiếp nhận những yêu cầu kết nối vào mạng VPN

- Dàn xếp các yêu cầu và các thông số kết nối vào mạng nh là: cơchế của các quá trình bảo mật hay các quá trình xác lập

- Thực hiện các quá trình xác lập hay quá trình bảo mật cho cácmáy khách VPN

- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu vềmáy khách

- Máy chủ VPN hoạt động nh là một điểm cuối trong đờng ngầmkết nối trong VPN Điểm cuối còn lại đợc xác lập bởi ngời dùngcuối cùng

Máy chủ VPN phải đợc hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng.Một hoặc nhiều hơn một cạc đáp ứng đợc sử dụng để kết nối chúng tới mạng mởrộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạngInternet

Một máy chủ VPN cũng có thể hoạt động nh là một cổng kết nối (Gateway)

hay nh một bộ định tuyến (Router) trong tròng hợp số yêu cầu hoặc số ngời dùngtrong mạng nhỏ (Nhỏ hơn 20) Trong trờng hợp máy chủ VPN phải hỗ trợ nhiềungời sử dụng hơn, mà vẫn hoạt động nh một cổng kết nối hoặc một bộ địnhtuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảomật thông tin cũng nh bảo mật dữ liệu lu trữ trong máy chủ

Với nhu cầu ngày càng tăng về số lợng nhân viên làm việc di động trongmột công ty thì những ngời dùng này (những máy khách VPN) bắt buộc phải có

hồ sơ cập nhật vị trí Những ngời dùng này có thể sử dụng VPN để kết nối đếnmạng cục bộ của công ty

Hình 3.1: Đặc trng của máy khách VPN

l-đợc đặt sau “bức tờng lửa” (Firewall) Vai trò của bộ định tuyến VPN là tạo kếtnối từ xa có thể đạt đợc trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịutrách nhiệm chính trong việc tìm tất cả những đờng đi có thể, để đến đợc nơi đếntrong mạng, và chọn ra đờng đi ngắn nhất có thể, cũng giống nh trong mạngtruyền thống.

Mặc dù những bộ định tuyến thông thờng cũng có thể sử dụng đợc trongmạng VPN, nhng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyếnVPN là khả quan hơn Bộ định tuyến VPN ngoài chức năng định tuyến còn thêmcác chức năng bảo mật và đảm bảo mức chất lợng dịch vụ (QoS) trên đờngtruyền Ví dụ nh bộ định tuyến truy nhập modun 1750 của Cisco đợc sử dụng rấtphổ biến

3.1.5 Cổng kết nối VPN

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giaothức IP sang giao thức IP và ngợc lại Nh vậy, những cổng kết nối này cho phépmột mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP Những thiết bị này cóthể là những thiết bị mạng dành riêng, nhng cũng có thể là giải pháp dựa trênphần mềm Với thiết bị phần cứng, cổng kết nối IP nói chung đợc thiết lập ở biêncủa mạng cục bộ của công ty Còn là giải pháp dựa trên phần mềm, thì cổng kếtnối IP đợc cài đặt trên mỗi máy chủ và đợc sử dụng để chuyển đổi các lu lợng từgiao thức không phải là giao thức IP sang giao thức IP và ngợc lại Ví dụ nh phầnmềm Novell’s Border Manager

Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) đợc

đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vàomạng riêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đờng hầm vàmã hoá dữ liệu riêng trớc khi đợc chuyển đến mạng công cộng

3.2 Sự hoạt động của VPN

Nhằn mục đích làm dễ hiểu hơn quá trình hoạt động của công nghệTunneling đợc chia ra lam 2 giai đoạn :

Giai đoạn 1 : Nút khởi tạo hoặc ngời dùng ở xa yêu cầu một phiên làm việcVPN và xác thực bởi HA tơng ứng

Giai đoạn 2 : Dữ liệu thực sự đợc chuyển qua mạng thông qua tunnel

Trong Giai đoạn 1 một kết nối yêu cầu đợc khởi tạo và những tham sốphiên đợc đàm phán ( giai đoạn thiết lập tunnel ) Nếu yêu cầu đợc chấp nhận vàtham số phiên đợc đàm phán thành công , một tunnel đợc thiết lập giữa hai nútthông tin đầu cuối

Điều này xảy ra qua những việc chính sau :

1 Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng

2 FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu đợccung cấp bởi ngời dùng ( thông thờng FA sử dụng các dịch vụ của một máy chủRemote access Dial-up services ( Radius) để xác nhận sự thống nhất của các nútkhởi tạo )

3 Nếu tên truy cập và mật khẩu cung cấp bởi ngời dùng không hợp lệ ,yêu cầu phiên làm việc VPN bị từ chối Ngợc lại nếu quá trình xác nhận sựthống nhất của FA thành công nó sẽ chuyển yêu cầu đến mạng HA

4 Nếu yêu cầu đợc HA chấp nhận ,FA gửi login ID đã đợc mã hoá và mậtkhẩu tơng ứng đến nó

5 HA kiểm chứng thông tin đã đợc cung cấp Nếu quá trình kiểm chứngthành công HA gửi những Register Rely , phụ thuộc vào một số tunnel đến

FA

6 Một tunnel đợc thiết lập khi FA nhận Register Rely và số tunnel

Giai đoạn 2 : ( giai đoạn chuyển giao dữ liệu )

Quá trình giao dịch trong giai đoạn 2 này thực hiện qua các bớc sau :

1 Nút khởi tạo bắt đầu chuyển hớng các gói dữ liệu đến FA

2 FA tạo tunnel Header và chèn nó vào từng gói dữ liệu Thông tinheader của giao thức định tuyến ( đợc đàm phán trong giai đoạn 1 ) sau đó đợcgắn vào gói dữ liệu

3 FA chuyển hớng các gói dữ liệu đã mã hoá đến HA bằng cách sử dụngtunnel number đã đợc cung cấp

4 Trong quá trình nhận thông tin mã hoá ,HA cởi bỏ tunnel header vàheader của giao thức định tuyến , đa gói dữ liệu trở về dạng nguyên bản của nó

5 Dữ liệu nguyên gốc sau đó đợc chuyển hớng đến nút mong muốn cần

đến trong mạng

3.3 Cài đặt VPN

3.3.1 Cài đặt VPN server

Bớc đầu tiên là enable Routing and Remote Access Service (RRAS)

Bớc này thì chúng ta không cần phải cài đặt vì nó đợc cài đặt sẵn khi bạn cài hệ

điều hành Windown Tuy nhiên mặc dù nó đợc cài đặt theo windown nhng nócha đợc enable , cho nên để có thể enable RRAS thì chúng ta làm nh sau :

Chọn Start , chọn Programs , chọn Administrative Tools , chọn Routing and Remote Access (RRAS)

Trong Routing and remote Access console , right Click tên Server của chúng ta và chọn Enable routing and Remote Access Sau khi chọn nh ở trên

nó cần khoảng vài giây để activate Sau đó RRAS Wizard sẽ khởi động Trong

phần này chúng ta chọn mục Custom configuration và click Next theo hình sau :

Chúng ta cứ tiếp tục làm theo sự chỉ dẫn trên wizard cho tới khi chúng ta

hoàn tất phần wizard , và cuối cùng là chọn Finish để hoàn tất phần enable

RRAS

Sau khi hoàn tất phần enable RRAS bạn cần phải restart service , bạn chỉ

cần chọn Yes

Lu ý : Chúng ta không sử dụng mục Virtual private network (VPN)

server vì có một trở ngại là khi chọn mục này , nó sẽ bảo vệ cái interface mà bạn

chọn bằng cách cài bộ lọc mà chỉ cho phép hai giao diện cơ bản là L2TP vàPPTP đợc quyền truyền tải dữ liệu RRAS sẽ không truyền tải nếu nó không phải

là giao thức trên , đó là lý do nên sử dụng mục custom configuration Khi

RRAS bắt đầu làm việc thì bạn sẽ thấy nh hình dới đây

Phần General Tab Right click vào server name của bạn và chọn Properties

theo hình sau :

Trong phần Properties trên bạn có thể chọn vào mục router và computer

của bạn sẽ chịu trách nhiệm chuyển tải những yêu cấu từ VPN clients với lạimạng nội bộ Lan , đó là lý do bạn cần phải chọn vào mục Router Phần làm việccủa mục Router này là Router traffic trực tiếp giữa mạng Lan và những máy truycập thong qua kết nối theo dạng demand-dial Nếu bạn muốn VPN theo dạng

gateway - to - gateway VPN , bạn nên chọn mục Router và luôn cả mục Lan and demand-dial routing

Bạn nhớ chọn thêm mục remote access server Nếu bạn không chọn mục này thì VPN client không thể gọi vào đợc The server IP Tab “ ” chọn vào mục

IP Tab nh hình dới Chọn vào mục Enable IP routing , mục này cho phép

clients đợc quyền truy cập vào mạng nội bộ của bạn , nếu bạn không chọn mục

này thì các clients chỉ có thể truy cập vào VPN server mà thôi Mục Allow base remote access and demand-dial connections phải đợc enable để các

IP-clients có thể cấp phát địa chỉ IP khi client truy cập Khi bạn chọn mục này cónghĩa là bạn cho phép giao thức điều khiển IP (IPCP) , Giao thức này đợc sửdụng để thiết lập kết nối theo dạng PPP Bớc tiếp theo là bạn phải quyết định số

Ip cấp phát cho VPN clients nh thế nào Bạn có hai cách cấp phát IP : DynamicHost Configuration Protocol (DHCP) IP động và Static Address Protocol IP tĩnh Trong phần cuối của hình dới bạn chọn vào mục Use the following adapter toobtain DHCP ,DNS, and WINS addresses for dial-up clients , ở đây bạn nên chọnNIC card của VPN server , và là client khi kết nối với mạng VPN của bạn , nócần phải nằm trong cùng mạng LAN , cho nên bạn phải chọn NIC card củaRRAS server vì NIC card này chịu trách nhiệm cung cấp các thong tin vềDHCP , DNS và WINS cho clients

Sauk hi chọn xong thì bạn Click tiếp OK để tiếp tục phần configure ports

Configuring the VPN Ports

Trong phần RRAS console , bạn right click vào port , chọn properties

nh hình dới đây

Trong phần Ports Properties nh hình dới đây Chọn VPN interface mà

bạn muốn enable , ví dụ nh bạn muốn enable giao thức PPTP để clients có thểtạo kết nối với mạng VPN , giao thức PPTP tơng đối là đơn giản nhất cho nênbạn nên bắt đầu bằng giao thức này bằng cách chọn WAN Miniport (PPTP) sau

dó nhấn vào mục Configure nh hình dới đây

Trong phần configure WAN Miniport (PPTP) nh hình dới , bạn nên chọn

mục Remote access connections ( inbound only) để clients có thể tạo kết nối

với VPN server

Mục Demand-dial routing connections (inbound and outbound) cho phép RAS server đợc phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-

dialrouters Trong hộp Phone number for this device , nhập vào địa chỉ IP của

VPN server interface nh hình dới ở mục Maximum ports box , bạn có thể nhập

vào bao nhiêu ports cũng đợc tuỳ theo nhu cầu của bạn ports thì có tổng cộng khoảng 16384 ports , cho nên nếu bạn có nhu cầu nhiều hơn số lợng ports đó thì bạn phải cần thêm một VPN server

Bớc cuối cùng là cho phép truy cập qua Remote Access Policy Chọn vào

th mục Remote Access Policy , bên tay phải bạn right click vào mục Allow Access if dial-in permission is enable chọn properties nh hình dới

Trong phần Allow Access if dial-in permission is enable Properties , chọn vào mục Grant remote access permission Mục này cho phép users truy cập bất cứ lúc nào miễn là khớp với điều kiện đặt ra của Policy Change the if a

user atches Theconditions Setting to Grant remote access permission Click Apply sau đó click OK

Next , sau đó chọn Virtual Private Network connection

Trong phần Host name or IP , bạn có thể nhập vào Server name của bạn hoặc nếu bạn không có tên miền thì bạn có thể nhập vào địa chỉ IP address nh hình sau đây

Nếu bạn cho phép các Users khác đợc phép sử dụng kết nối này của bạn

để truy cập VPN thì chọn mục “ Anyone user “ , còn không thì chọn “My user only “

Trong hình dới đây bạn chỉ việc nhập vào User name và password để kết nối

Những cài đặt bao gồm các ổ địa ánh xã trên mạng, cài đặt màn hình hiện thị

(desktop) và các mục menu Start.

4.1.2 home folder

Home folder (Th mục cơ sở ): Th mục cơ sở này đợc tạo ra cho ngời sử dụng

để lu lại các tài liệu của mình, th mục này có thể lu trên máy khách hoặc trong

th mục dùng chung trên máy chủ có thể truy cập bất cứ nơi nào trên mạng

Logon Script (Kịch bản đăng nhập) Đây là một tập tin do tài khoản ngời sử

dụng dùng để cấu định hình môi trờng lam việc Kịch bản này đợc thực hiện vào bất cứ khi nào ngời sử dụng dăng nhập

4.1.3 Triển khai profile & home folder

Chẳng hạn ta tạo các acount trên server là 45k1,45k2

Trên máy server vào Run\dsa.msc

T¹o Organizational Unit(Tỉ chøc) Tªn lµ Quanly Click chuét ph¶i vµo

Quanly\New\User tậ User lµ 45k1, t¬ng tù 45k2

Click Next

Click Next chọn Finish kết thúc

Sau đó Click chuột phải vào 45k1\Properties

Profile path: \\ Server\profile\45k1

Home folder: \\Server\Home\%usersname%

4.2 DịCH Vụ DHCP

4.2.1 Giới thiệu

Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP đều có một địa chỉ

IP hợp lệ, phân biệt Để hộ trợ cho vấn đề theo dõi và cấp phát các địa chỉ IP

đợc chính xác tổ chức IETF (Internet Engineering Task Force ) đã phát hiện

ra dao thức DHCP( Dynamic Host Configuration Protocol).

4.2.2 Hoạt động của dao thức DHCP