Đề tài :
VPN and Remote Access
Nhóm : Tạ Văn Thùy
Vũ Văn Tường
Trương Quốc Cường
Nội dung báo cáo
MẠNG RIÊNG ẢO – KHÁI NIỆM
1
2
3
4
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
DEMO VPN WINDOWN SERVER
TRIỂN KHAI MẠNG RIÊNG ẢO
SỬ DỤNG PHẦN MỀM CHECK POINT
KHÁI NIỆM MẠNG RIÊNG ẢO
•
Tính cần thiết và mục đích của mạng riêng ảo
o
Tính cần thiết
o
Mục đích
•
Khái niệm mạng riêng ảo
o
Các khái niệm
o
Các thiết bị VPN
o
Phân loại
o

Các thành phần cơ bản
o
Các yêu cầu cơ bản
o
Ưu và nhược điểm của VPN
KHÁI NIỆM MẠNG RIÊNG ẢO
Khái niệm:
•
Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng
(Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ
sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng
riêng và kiểm soát được truy cập
•
Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một
doanh nghiệp qua một mạng công cộng như Internet, tạo ra một
kết nối an toàn, thực chất là qua một đường hầm riêng
•
VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền
tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua
sử dụng giao thức tạo đường hầm và các phương thức an toàn.
KHÁI NIỆM MẠNG RIÊNG ẢO
- Để có thể gửi và nhận dữ liệu thông qua mạng công
cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung
cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra
một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel)
giống như một kết nối point-to-point trên mạng riêng. Để
có thể tạo ra một đường ống bảo mật đó, dữ liệu phải
được mã hoá hay cơ chế giấu đi, chỉ cung cấp phần đầu
gói dữ liệu (header) là thông tin về đường đi cho phép nó
có thể đi đến đích thông qua mạng công cộng một cách

nhanh chóng
KHÁI NIỆM MẠNG RIÊNG ẢO
Các thành phần cơ bản của VPN:
LỢI ÍCH CỦA VPN
1. Chi phí thấp hơn những mạng riêng:
2. Tính linh hoạt cho khả năng kinh tế trên Internet:
3. Đơn giản hóa những gánh nặng
4. Tăng tính bảo mật:
5. Hỗ trợ các giao thức mạng thông dụng nhất hiện
nay như TCP/IP
6. Bảo mật địa chỉ IP:
CHỨC NĂNG CHÍNH CỦA VPN
1. Sự tin cậy (Confidentiality): Người gửi có thể mã
hoá các gói dữ liệu trước khi truyền chúng ngang
qua mạng.
2. Tính toàn vẹn dữ liệu : Người nhận có thể kiểm
tra rằng dữ liệu đã được truyền qua mạng Internet
mà không có sự thay đổi nào
3. Xác thực nguồn gốc : Người nhận có thể xác thực
nguồn gốc của gói dữ liệu, đảm bảo và công nhận
nguồn thông tin
CÁC DẠNG KẾT NỐI VPN
•
Remote Access VPN
•
Site to Site VPN: Intranet based, Extranet based
REMOTE ACCES VPN
-
Remote Access VPNs cho phép truy cập bất cứ
lúc nào bằng Remote,mobile, và các thiết bị truyền

thông của nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức.
-
Remote Access VPN mô tả công việc các người
dùng ở xa sử dụng các phần mềm VPN để truy
cập vào mạng Intranet của công ty thông qua
gateway hoặc VPN concentrator (bản chất là một
server).
-
Một hướng phát triển khá mới trong remote
access VPN là dùng wireless VPN, trong đó một
nhân viên có thể truy cập về mạng của họ thông
qua kết nối không dây .
MỘT SỐ THÀNH PHẦN CHÍNH :
Remote Access Server (RAS): được đặt tại trung tâm
có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi
tới.
REMOTE ACCES VPN
Để thực hiện được VPN Remote Access cần:
-
Có 1 VPN Getway(có 1 IP Public). Đây là điểm tập
trung xử ly khi VPN Client quay số truy cập vao hệ
thống VPN nội bộ.
-
Các VPN Client kết nối vao mạng Internet.
MỘT SỐ THÀNH PHẦN CHÍNH :
Bằng việc triển khai Remote Access VPNs, những
người dùng từ xa hoặc các chi nhánh văn phòng chỉ
cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch
vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên

thông qua Internet.
Thuận lợi của Remote Access VPNs:
- Sự cần thiết của RAS và việc kết hợp với được loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết
nối từ xa đã được tạo điều kiện thuận lợi bởi ISP.
- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó,
những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối
cục bộ.
- Giảm giá thành chi phí kết nối với khoảng cách xa.
- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao
hơn so với kết nối trực tiếp đến những khoảng cách xa.
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó
hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng
nhanh chóng các kết nối đồng thời đến mạng.
Bất lợi của Remote Access VPNs:
- Remote Access VPNs cũng không đảm bảo được chất lượng
dịch vụ .
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của
gói dữ liệu có thể đi ra ngoài và bị thất thoát.
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng
đáng kể, điều này gây khó khăn cho quá trính xác nhận. Thêm
vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm
chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các
dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh
sẽ rất chậm.
Site – To – Site VPN
Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí
này kết nối tới mạng của một vị trí khác thông qua VPN.
SITE – TO – SITE

•
Site – to – site được chia làm 2 loại :
1. Intranet VPN :
Kết nối văn phòng trung tâm, các chi nhánh và văn phong ở xa
vao mạng nội bộ của cong ty dựa tren hạ tầng mạng được chia
sẻ. Intranet VPN khác với Extranet VPN ở chỗ nó chỉ cho phép
cac nhân viên nội bộ trong cong ty truy cập vao hệ thống mạng
nội bộ của công ty.
2. Extranet VPN :
Kết nối bộ phận khach hang của cong ty, bộ phận tư vấn, hoặc
cac đối tac của cong ty thanh một hệ thống mạng dựa tren hạ
tầng được chia sẻ. Extranet VPN khac với Intranet VPN ở chỗ
cho phep cac user ngoai cong ty truy cập vao hệ thống.
SITE – TO – SITE
•
Để thực hiện được VPN Site - to Site cần :
-
Có 2 VPN Getway(Mỗi VPN Getway có 01 IP Public).
Đây là điểm tập trung xử ly khi VPN Getway phía bên
kia quay số truy cập vào.
-
Các Client kết nối vào hệ thống mạng nội bộ.
ƯU VÀ NHƯỢC ĐIỂM CỦA VPN
•
Ưu điểm
o
Khả năng mở rộng và linh hoạt cao
o
Giá thành rẻ: Chỉ mất chi phí cho việc truy cập Internet
thông thường

o
Giảm chi phí thực hiện (thuê kênh riêng đường dài) và chi
phí quản trị (duy trì hoạt động và quản trị mạng WAN)
o
Băng thông không bị hạn chế (Chỉ phụ thuộc vào tốc độ
đường truyền Internet) và sử dụng hiệu quả băng thông
o
Nâng cao khả năng kết nối: Không hạn chế số lượng kết
nối
o
Đảm bảo khả năng bảo mật giao dịch nhờ công nghệ
đường hầm (mã hoá, xác thực truy cập, cấp quyền)
o
Quản lý các kết nối dễ dàng thông qua account
ƯU VÀ NHƯỢC ĐIỂM CỦA VPN
•
Nhược điểm:
o
Phụ thuộc nhiều vào mạng trung gian; khó thiết lập
và quản trị
o
Yêu cầu về chuẩn: 2 đầu đường hầm phải sử dụng
cùng một thiết bị để đảm bảo khả năng liên vận
hành
o
Mọi giao thông qua VPN đều được mã hoá bất
chấp nhu cầu có cần mã hoá hay không => Hiện
tượng tắc nghẽn cổ chai
o
Không cung cấp sự bảo vệ bên trong mạng

Nội dung báo cáo
MẠNG RIÊNG ẢO – KHÁI NIỆM
1
2
3
4
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
GIẢI PHÁP VPN CỦA CHECK POINT
TRIỂN KHAI MẠNG RIÊNG ẢO
SỬ DỤNG PHẦN MỀM CHECK POINT
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
•
Kỹ thuật đường hầm (tunneling)
•
Các giao thức xây dựng mạng riêng ảo:
o
Giao thức VPN tại tầng 2:

PPTP

L2F

L2TP
o
Giao thức VPN tại tầng 3 (IPSec) và IKE
o
Các giao thức quản trị:

RADIUS


ISAKMP/Oakley
•
Các công nghệ mạng riêng ảo

MPLS VPN

IPSec VPN

SSL VPN
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
Kỹ thuật Tunneling:
•
Tunneling là quá trình xử lý và đặt toàn bộ các gói tin trong một gói tin khác và
gửi đi trên mạng
•
Kênh thông tin yêu cầu 3 giao thức:
o
Giao thức sóng mang (Carrier Protocol): truyền thông tin về trạng thái
đường truyền
o
Giao thức đóng gói (Encapsulating Protocol): Che giấu nội dung truyền
(GRE, IPSec, L2F, PPTP, L2TP)
o
Giao thức gói (Passenger Protocol): IPX, NetBeui, IP
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
Kỹ thuật Tunneling:
- Về bản chất,đây là quá trình đặt toan bộ goi tin vao trong
một lớp header (tieu đề) chứa thong tin định tuyến co thể
truyền qua hệ thống mạng trung gian theo những "đường
ống" rieng (tunnel).

- Khi goi tin được truyền đến đich, chung được tach lớp
header va chuyển đến cac may trạm cuối cung cần nhận
dữ liệu. Để thiết lập kết nối Tunnel, may khach va may chủ
phải sử dụng chung một giao thức (tunnel protocol).
- Giao thức của goi tin bọc ngoai được cả mạng va hai
điểm đầu cuối nhận biết. Hai điểm đầu cuối nay được gọi la
giao diện Tunnel (tunnel interface), nơi goi tin đi vao va đi
ra trong mạng.
CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN
Chiếc xe ô tô giống giao thức truyền tải, cái hộp
giống giao thức đóng gói và chiếc máy tính là giao
thức gói.