Trường Cao Đẳng Kinh Tế-Kỹ Thuật
Cần Thơ
THIẾT KẾ, CÀI ĐẶT VÀ QUẢN TRỊ MẠNG
Đề tài:
MẠNG ẢO RIÊNG VPN
NHÓM 3.
1.Nguyễn Văn Tài.
2.Nguyễn Bửu Đạt.
3.Ngô Văn Thật.
4. Nguyễn Thanh Hòa.
5.Nguyễn Phương Duy.
6.Huỳnh Thị Diễm Trinh

Giáo Viên Hướng Dẫn:
Phạm Hoàng Sơn


NỘI DUNG BÁO CÁO
Giới thiệu về mạng ảo VPN
II.Hướng dẫn cài đặt và cấu hình VPN
III.Tài liệu tham khảo
I.


GIỚI THIỆU
 Giải

pháp VPN (Virtual Private Network) được
thiết kế cho những tổ chức có xu hướng tăng
cường thông tin từ xa vì địa bàn hoạt động rộng
(trên toàn quốc hay toàn cầu). Tài nguyên ở trung

tâm có thể kết nối đến từ nhiều nguồn nên tiết
kiệm được được chi phí và thời gian.


GIỚI THIỆU
 Khái niệm
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công
cộng (thường là Internet) để kết nối các địa điểm hoặc người sử
dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết
nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các
liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ
chức với địa điểm hoặc người sử dụng ở xa.


GIỚI THIỆU

 Các loại VPN

Có hai loại phổ biến hiện nay là:
- VPN truy cập từ xa (Remote-Access )
- VPN điểm-nối-điểm (site-to-site)


GIỚI THIỆU
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối
người dùng-đến-LAN (User-to-Lan) , thường là nhu cầu của một tổ chức có nhiều
nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa.
Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp
dịch vụ doanh nghiệp ESP (Enterprise Service Provider ). ESP này tạo ra một máy
chủ truy cập mạng NAS (Network Access Server ) và cung cấp cho những người

sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử
dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy
khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối
an toàn, có mật mã.


GIỚI THIỆU


GIỚI THIỆU
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm
cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên
Intranet hoặc Extranet. Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa
muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội
bộ) để nối LAN với LAN. Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật
thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng
một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có
thể
làm
việc
trên
một
môi
trường
chung.


GIỚI THIỆU

Trong hình minh họa trên, kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối

giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet.


GIỚI THIỆU
 Bảo mật trong VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể
thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được
chuyển qua và giao thức sử dụng .
Mật mã truy cập (Mã hóa) - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy
tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được . Có hai loại :
- Mật mã riêng hay Mã hoá sử dụng khoá riêng (Symmetric-key encryption) Mỗi
máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong
mạng.
- Mật mã chung hay Mã hoá sử dụng khoá công khai (Public-key encryption) kết
hợp mã riêng và một mã công cộng


GIỚI THIỆU
 Giao thức bảo mật giao thức Internet IPSec (Internet Protocol Security Protocol )
cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình
thẩm định quyền đăng nhập toàn diện hơn.

 Máy chủ AAA

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để
đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ
máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt
động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.



GIỚI THIỆU
 Sản phẩm công nghệ dành cho VPN
Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn sẽ cần phải cài đặt
những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:
- Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
- Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX.
- Server VPN cao cấp dành cho dịch vụ Dial-up.
- NAS (Network Access Server: máy chủ truy cập mạng ) do nhà cung cấp sử dụng để
phục vụ người sử dụng từ xa.
- Trung tâm quản lý mạng và chính sách VPN


GIỚI THIỆU
 Bộ xử lý trung tâm VPN
Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra
vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập
cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này.
Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung
lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích hợp cho các mô
hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng
lúc).
Bộ xử lý trung tâm VPN số hiệu 3000 của hãng
Cisco. ( Ảnh: quadrantcommunications)


GIỚI THIỆU

 Bộ đinh tuyến VPN thông minh
(Cisco's VPN-optimized routers) cung cấp khả năng định tuyến, bảo mật và chất lượng

dịch vụ mở rộng. Dựa trên nền tảng phần mềm hệ điều hành mạng internat của Cisco IOS
(Internet Operating System) , hãng Cisco phát triển loại router thích hợp cho mọi trường
hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn.

Bộ định tuyến truy nhập Cisco1750


GIỚI THIỆU

 Tường lửa PIX của Cisco
Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế
dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và
chặn truy cập bất hợp pháp.
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở
được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP.


GIỚI THIỆU


Kỹ thuật sử dụng trong VPN
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo
ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình
đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông
tin định tuyến có thể truyền qua hệ thống mạng trung gian theo
những "đường ống" riêng (tunnel).


GIỚI THIỆU



Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi
mạng có thông tin đang đi qua.
- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức
(như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu
gốc.
- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc
được truyền đi (như IPX, NetBeui, IP).


GIỚI THIỆU


Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm
Trong VPN loại này, bộ định tuyến dùng chung GRE (Generic
Routing Encapsulation) cung cấp cơ cấu "đóng gói“ giao thức gói
tin (Passenger Protocol) để truyền đi trên giao thức truyền tải
(Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang
mã hóa và thông tin về kết nối giữa máy chủ với máy khách.


GIỚI THIỆU

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router
(tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.


GIỚI THIỆU



Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Trong mô hình VPN này, tunneling thường sử dụng PPP
(Point-to-point Protocol ). Một phần của giao thức TCP/IP, PPP
là giao thức truyền tải cho các giao thức IP khác khi thông tin
trên mạng giữa các máy tính. Remote-Access VPN tunneling dựa
trên nền tảng PPP .Nói tóm lại, kỹ thuật Tunneling cho mạng
VPN truy cập từ xa phụ thuộc vào PPP.


GIỚI THIỆU

Sơ đồ nối kết của giao thức PPP


GIỚI THIỆU



Một mạng VPN được thiết kế tốt sẽ đáp ứng được các
yêu cầu sau:

-Bảo mật (Security)
-Tin cậy (Reliability)
-Dễ mở rộng, nâng cấp (Scalability)
-Quản trị mạng thuận tiện (Network management)
-Quản trị chính sách mạng tốt (Policy management)



Hướng dẫn cài đặt và cấu hình VPN



Hướng dẫn cài đặt mạng VPN loại truy
cập từ xa theo giao thức Tunneling điểmnối-điểm (PPTP). Mô hình thực nghiệm
này dùng hệ điều hành Windows XP cho
máy truy cập từ xa và Windows Server
2003 cho các máy chủ.

Mô hình VPN truy cập từ xa đơn giản hóa với 5 máy tính.


Hướng dẫn cài đặt và cấu hình
VPN


Hướng dẫn cách cài đặt VPN kiểu
LAN nối LAN theo giao thức
L2TP/IPSec. Đây là giao thức có
mức độ bảo mật cao nhất dành cho
mạng riêng ảo vì cả người sử dụng
và máy tính đều phải qua giai đoạn
kiểm định quyền truy cập.

Một mô hình VPN điểm-nối-điểm. Ảnh: Microsoft.





Cấu hình VPN trên windows server 2008