Tải bản đầy đủ (.doc) (75 trang)
  1. Trang chủ
    2. >>
  2. Giáo Dục - Đào Tạo
    3. >>
  3. Cao đẳng - Đại học

Cài đặt hệ thống VPN cho toàn bộ công ty

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (8.27 MB, 75 trang )

TRƯỜNG CAO ĐẲNG NGHỀ VIỆT MỸ
KHOA CÔNG NGHỆ THÔNG TIN
---- ----

ĐỀ TÀI : THIẾT KẾ MẠNG LAN
TÊN SV :
LAI MINH SANG
NGUYỄN ĐĂNG KHOA

BÁO CÁO THỰC TẬP TỐT NGHIỆP
Ngành: QUẢN TRỊ MẠNG
Lớp: 5103VIN2

NGƯỜI HƯỚNG DẪN
VÕ NGỌC HÀ SƠN


LỜI CẢM ƠN
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………


……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………

Page 2


NHẬN XÉT CỦA ĐƠN VỊ THỰC TẬP
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………

……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
…………….., ngày……tháng……năm……
Người hướng dẫn
Xác nhận của

Page 3

đơn

vị

thực tập


NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………

……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
……………………………………………………………………………………
Phần đánh giá của giáo viên hướng dẫn:
Thái độ làm việc:………………………………………………………………….
Kỹ năng làm việc:…………………………………………………………………
Mức độ hòan thành đề tài:………………………………………………………...
Hình thức trình bày:……………………………………………………………….
Điểm số: Bằng số…………………..Bằng chữ:………………………………..…
TP. Hồ Chí Minh, ngày……tháng……năm……
Giáo

Page 4

viên

hướng

dẫn


MỤC LỤC
Lời mở đầu
Chương 1: Tổng quan về VPN
1 Tổng Quan .......................................................................................................5
1.1 Định nghĩa VPN................................................................................... ........5
1.2 Lợi ích của VPN .................................................................................. ........6
1.3 Chức năng của VPN ............................................................................. .......7
2 Định nghĩa “đường hầm” và “mã hoá” .......................................................... .7

2.1 Định nghĩa đường hầm:........................................................................ ........7
2.2 Cấu trúc một gói tin IP trong đường hầm: ............................................ ......8
2.3 Mã hoá và giải mã (Encryption/Deccryption): ...................................... ......8
2.4 Một số thuật ngữ sử dụng trong VPN: .................................................. ......8
2.5 Các thuật toán được sử dụng trong mã hoá thông tin ............................ .....9
3 Các dạng kêt nối mạng riêng ảo VPN ......................................................... . 10
3.1 Truy cập VPN (Remote Access VPNs) .............................................. .......10
3.1.1 Một số thành phần chính ............................................................. ...........11
3.1.2 Thuận lợi chính của Remote Access VPNs: ................................ ...........12
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như:.................................................................................................... ..............12
3.2 Site – To – Site VPN ......................................................................... ........13
3.2.1 Intranet....................................................................................... .............14
3.2.2 Extranet VPNs (VPN mở rộng) ................................................... ..........16
4 VPN và các vấn đề an toàn bảo mật trên Internet. ..................................... . .18
4.1 An toàn và tin cậy. ............................................................................. ........19
4.2 Hình thức an toàn ............................................................................... .......20
Chương 2: Giao thức trong VPN
1 Bộ giao thức IPSec (IP Security Protocol): ................................................ ..22
1.1 Cấu trúc bảo mật ..................................................................................... . .22

Page 5


1.1.1 Hiện trạng......................................................................................... .......23
2 Chế độ làm việc của IPSec .......................................................................... . 23
2.1 Chế độ chuyển vận (Transport mode) ................................................. ......23
2.2 Chế độ đường hầm ( Tunnel Mode ):.................................................. .......24
3 Giao thức PPTP và L2TP............................................................................. ..31
3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling

Protocol) ....................................................................................................... ...31
3.1.1 Quan hệ giữa PPTP và PPP ......................................................... ...........32
3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) .................... 34
3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol)............... .35
3.3.1 Quan hệ giữa L2TP với PPP ............................................................ ......36
3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview). .......... ....38
3.5 Ứng dụng L2TP trong VPN................................................................. ......42
3.6 So sánh giữa PPTP và L2TP............................................................... ........42
3.6.1 Ưu điểm của L2TP. ........................................................................ .......43
3.6.2 Ưu điểm của PPTP ...................................................................... ..........43
Chương 3: Cấu hình VPN trên Widows Server 2003
1 Giới thiệu chung ........................................................................................... 92
2 Cài đặt VPN Server ...................................................................................... 92
3 Cấu hình VPN Server .................................................................................. . 99
3.1 Route and Remote Access Properties .....................................................99
3.2 Ports Properties ........................................................................................102
3.3 Remote Access Policies ....................................................................... ....103
4 Tạo User trên Windows cho phép sử dụng VPN........................................ .104
5 VPN Client trên Windows XP ................................................................... . 106
6 Quản lý kết nối trên VPN Server............................................................... ..113
Kết luận ......................................................................................................... 115
Tài liệu tham khảo ......................................................................................... 116
CÁC THUẬT NGỮ VIẾT TĂT .................................................................... 117

Page 6


DANH MỤC HÌNH ẢNH
Hình 1. Mô hình chi tiết mạng công ty............................................................21
Hình 2. Cấu Hình Ip.........................................................................................23

Hình 3. ............................................................................................................23
Hình 4..............................................................................................................24
Hình 5..............................................................................................................24
Hình 6..............................................................................................................25
Hình 7..............................................................................................................25
Hình 8..............................................................................................................26
Hình 9..............................................................................................................26
Hình 10............................................................................................................27
Hình 11............................................................................................................27
Hình 12............................................................................................................28
Hình 13............................................................................................................28
Hình 14............................................................................................................29
Hình 15............................................................................................................29
Hình 16............................................................................................................30
Hình 17............................................................................................................30
Hình 18............................................................................................................31
Hình 19............................................................................................................31
Hình 20............................................................................................................32
Hình 21............................................................................................................32
Hình 22............................................................................................................33
Hình 23............................................................................................................33
Hình 24............................................................................................................34
Hình 25............................................................................................................34
Hình 26............................................................................................................36
Hình 27............................................................................................................36
Hình 28............................................................................................................37
Hình 29............................................................................................................37
Page 7



Hình 30............................................................................................................38
Hình 31............................................................................................................38
Hình 32............................................................................................................39
Hình 33............................................................................................................39
Hình 34............................................................................................................40
Hình 35............................................................................................................40
Hình 36............................................................................................................41
Hình 37............................................................................................................42
Hình 38............................................................................................................42
Hình 39............................................................................................................43
Hình 40............................................................................................................44
Hình 41............................................................................................................44
Hình 42............................................................................................................45
Hình 43...........................................................................................................45
Hình 44............................................................................................................46
Hình 45............................................................................................................46
Hình 46............................................................................................................47
Hình 47............................................................................................................47
Hình 48............................................................................................................48
Hình 49............................................................................................................48
Hình 50............................................................................................................49
Hình 51............................................................................................................49
Hình 52............................................................................................................50
Hình 53............................................................................................................50
Hình 54............................................................................................................51
Hình 55............................................................................................................51
Hình 56............................................................................................................52
Hình 57............................................................................................................52
Hình 58............................................................................................................53
Hình 59............................................................................................................53

Hình 60............................................................................................................54
Page 8


Hình 61............................................................................................................54
Hình 62............................................................................................................55
Hình 63............................................................................................................55
Hình 64............................................................................................................56
Hình 65............................................................................................................56
Hình 66............................................................................................................57
Hình 67............................................................................................................57
Hình 68............................................................................................................58
Hình 69............................................................................................................58
Hình 70............................................................................................................59
Hình 71............................................................................................................59
Hình 72............................................................................................................60
Hình 73............................................................................................................60
Hình 74............................................................................................................61
Hình 75............................................................................................................61
Hình 76............................................................................................................62
Hình 77............................................................................................................62
Hình 78............................................................................................................63
Hình 79............................................................................................................63
Hình 80............................................................................................................64
Hình 81............................................................................................................64
Hình 82............................................................................................................65
Hình 83............................................................................................................65
Hình 84............................................................................................................66
Hình 85............................................................................................................66
Hình 86............................................................................................................67

Hình 87............................................................................................................67
Hình 88............................................................................................................68
Hình 89............................................................................................................68
Hình 90............................................................................................................69
Hình 91............................................................................................................69
Page 9


Hình 92............................................................................................................70
Hình 93............................................................................................................70
Hình 94............................................................................................................71
Hình 95............................................................................................................71
Hình 96............................................................................................................72
Hình 97............................................................................................................72
Hình 98............................................................................................................73
Hình 99............................................................................................................73
Hình 100..........................................................................................................74
Hình 101..........................................................................................................74

Page
10


LỊCH LÀM VIỆC TẠI NƠI THỰC TẬP
Thời gian

Nội dung thực hiện và kết quả đạt được

Tuần 1


-Liên hệ với đơn vị thực tập.

Từ ngày 10/6

-Tìm hiểu tổng quan về đơn vị thực tập.

Đến ngày 16/6

-Kiểm tra hệ thống máy tính hàng ngày.

Tuần 2

-Nghiên cứu hạ tầng mạng dự án mới của công ty.

Từ ngày 17/6
Đến ngày 23/6
Tuần 3

-Nghiên cứu hạ tầng mạng dự án mới của công ty.

Từ ngày 24/6
Đến ngày 30/6
Tuần 4

-Triển khai hạ tầng trên mô hình lab.

Từ ngày 1/7
Đến ngày 7/7
Tuần 5


-Triển khai và nghiệm thu trên mô hình lab.

Từ ngày 7/7

-Hoàn tất báo cáo và xin ý kiến của nhân viên phòng IT và đề
xuất trong báo cáo.

Đến ngày 14/7

Page
11


Chương 1
TỔNG QUAN VỀ VPN
1 Tổng Quan
Trong thời đại ngày nay. Internet đã phát triển mạnh mẽ về mặt mô hình
cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được
thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến
người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và
mạng mà người sử dụng đó đang sử dụng. Để làm được điều này người ta sử
dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau.
Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –
Internet service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật
còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông
công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư
vấn y tế,và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có
phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó
khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch

vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn những
yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet,
đó chính là mô hình mạng riên ảo (Virtual Private Network – VPN ). Với mô hình
mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính
năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được
sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà
riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy
chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng.
Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và
các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong
nhiều trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc
tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà
đảm bảo tính riêng tư và tiết kiệm hơn nhiều

Page
12


1.1 Định nghĩa VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng
( PrivateNetwork) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một
mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với
các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử
dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết
nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site
hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công
cộng mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá
dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi
(Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra

một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ
cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có
thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được
mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công
cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã. Liên kết
với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết nối
VPN thường được gọi là đường ống VPN (Tunnel).

Page
13


Hình 1: Mô hình mạng VPN

1.2 Lợi ích của VPN
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và
những mạng leased-line. Những lợi ích đầu tiên bao gồm:


Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi
truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm
việc chi phí truy cập từ xa từ 60-80%



Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính
linh hoạt và có thể leo thang những kiến trúc mạng hơn là
những mạng cổ điển, băng cách nào đó nó có thể hoạt động
kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối
từ xa của những văn phòng, những vị trí ngoài quốc tế, những

người truyền thông, những người dùng điện thoại di động, những
người hoạt động kinh doanh bên ngoài như những yêu cầu kinh doanh
đã đòi hỏi



Đơn giản hóa những gánh nặng



Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng:
Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp
với kết nối hướng những giao thức như là Frame Relay và ATM



Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với
những người không có quyền truy cập và cho phép truy cập đối với
những người dùng có quyền truy cập



Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP



Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã
hoá do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử
dụng các địa chỉ bên ngoài Internet


Page
14


1.3 Chức năng của VPN
VPN cung cấp 4 chức năng chính


Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu
trước khi truyền chúng ngang qua mạng. Bằng cách làm như
vậy, không một ai có thể truy nhập thông tin mà không được phép, mà
nếu lấy được thông tin thì cũng không đọc được vì thông tin đã được
mã hoá



Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra
rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay
đổi nào



Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác
thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông
tin.

2 Định nghĩa “đường hầm” và “mã hoá”:
Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật
thông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel)
2.1 Định nghĩa đường hầm:

Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã
hoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật
thông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được
thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem
trộm thông tin, đường hầm chính là đặc tính ảo của VPN.
Các giao thức định đường hầm được sử dụng trong VPN như sau:


L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp 2



PPTP (Point-to-Point Tunneling Protocol)



L2F (Layer 2 Forwarding)

Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:


IP Sec (IP security)

• GRE (Genenic Routing Encapsulation)
2.2 Cấu trúc một gói tin IP trong đường hầm:1

Page
15



Tunnel mode packet
IP

AH

ESP

Header

Data

Original packet
Hình 2: Cấu trúc một gói tin IP trong đường hầm
2.3 Mã hoá và giải mã (Encryption/Deccryption):
Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay
plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được
(cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi
những người dùng không được phép. Giải mã là quá trình ngược lại của mã hoá,
tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng
được phép
2.4 Một số thuật ngữ sử dụng trong VPN:
Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay
giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một
hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc
vào yêu cầu cho một vài loại traffic người dùng cụ thể.
Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một
công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và
một khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố
đinh. Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích. Ở nơi
nhận việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không

bị thay đổi trong khi truyền trên mạng.
Xác thực (Authentication): Là quá trình của việc nhận biết một người sử
dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng. Xác thực chắc
chắn rằng cá nhân hay một tiến trình là hoàn toàn xác định
Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được
phép thực hiện những quyền hạn cụ thể nào.
Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy
ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban
đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống
mật mã. Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được
tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ.
Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được
tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các
người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá
công cộng, cho mục đích mã hoá. Một CA đảm bảo cho sự lien kết giữa các
thành phần bảo mật trong chứng nhận.
Page
16


2.5 Các thuật toán được sử dụng trong mã hoá thông tin:
• DES (Data Encryption Security)
• 3DES (Triple Data Encryption Security)
• SHA (Secure Hash Algorithm)
AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ
liệu,bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm
tính duy nhất của gói tin). AH được nhúng vào trong dữ liệu để bảo vệ.
ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung
cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ
liệu, các dịch vụ “anti-replay”. ESP đóng gói dữ liệu để bảo vệ. Oakley

và Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoá
xác thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà
các khoá được sử lý và các khoá được sử dụng như thế nào.
ISAKMP (Internet Security Association and Key Management):
IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa
Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một
khung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một
giao thức trao đổi khoá và sự trao đổi của một SA (Security Association)
SA (Security Association): Là một tập các chính sách và các khoá được sử
dụng để bảo vệ thông tin. ISAKMP SA là các chính sách chung và các khoá được
sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để bảo vệ
thông tin của chúng
AAA (Authentication, Authorization và Accouting): là các dịch vụ bảo
mật mạng mà cung cấp các khung chính qua đó điều khiển truy cập được đặt trên
Router hay các Server truy cập. Hai sự lựa chọn chính cho AAA là TACACS +
và RADIUS
TACACS+ (Terminal Access Controller Access Control System Plus): Là
một ứng dụng bảo mật mà cung cấp sự xác thực tập trung của các người dùng cố
gắng truy nhập tới Router hay mạng truy cập Server.
RADIUS (Remote Authentication Dial-In User Service): Là một hệ thống
phân tán client/server mà bảo mật các truy cập không được phép tới mạng.
Page
17


3 Các dạng kêt nối mạng riêng ảo VPN
3.1 Truy cập VPN (Remote Access VPNs)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,
mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức

Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các
phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway
hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này
thường được gọi là client/server. Trong giải pháp này, các người dùng thường
thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng
HO của họ
Một hướng phát triển khá mới trong remote access VPN là dùng wireless
VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối
không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một
trạm wireless (Wireless terminal) và sau đó về mạng của công ty. Trong cả hai
trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo
mật, còn được gọi là tunnel
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực
ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin
cậy.
Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo
mật của công ty. Chính sách này bao gồm: quy trình (Procedure), kỹ thuật, server
(such as Remote Authentication Dial-In User Service [RADIUS], Terminal
Access Controller Access Control System Plus [TACACS+] …).
3.1.1 Một số thành phần chính
Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và
hỗ trợ truy cập từ xa bởi người dùng.

Page
18



Hình 3 Thiết lập một non-VPN remote access
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp
dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông
tin Remote Access Setup được mô tả bởi hình vẽ sau:

Page
19


Hình 4 Thiêt lập một VPN remote access

3.1.2 Thuận lợi chính của Remote Access VPNs:
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã
được tạo điều kiện thuận lợi bởi ISP.
- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối
với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
- Giảm giá thành chi phí kết nối với khoảng cách xa.
- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so với
kết nối trực tiếp đến những khoảng cách xa.
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch
vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối
đồng thời đến mạng.
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như:
- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có
thể đi ra ngoài và bị thất thoát.

Page
20


- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều
này gây khó khăn cho quá trính xác nhận. Thêm vào đó, việc nén dữ liệu IP và
PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như
các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
3.2 Site – To – Site VPN
Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới
mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng
thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có
một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vài trò
như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho
các site khác. Các Router và Firewall tương thích với VPN, và các bộ tập trung
VPN chuyên dụng đều cung cấp chức năng này.

Hình 5 Site – to – site VPN
Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet
VPN. Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem
như là một intranet VPN, ngược lại chúng được xem như một extranet VPN.
Page
21


Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiể bởi
cả hai (Intranet và Extranet VPN) theo các site tương ứng của chúng. Giải pháp
Site – To – Site VPN không phải là một remote access VPN nhưng nó được thêm
vào đây vì tính chất hoàn thiện của nó.

Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơn
thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích
thảo luận. Ví dụ như là các thiết bị VPN dựa trên phần cứng mới (Router
Cisco3002
chẳng hạn) ở đây để phân loại được, chúng ta phải áp dụng cả
hai cách, bởi vì harware-based client có thể xuất hiện nếu một thiết bị
đang truy cập vào mạng. Mặc dù một mạng có thể có nhiều thiết bị VPN đang
vận hành. Một ví dụ khác như là một chế độ mở rộng của giải pháp Ez VPN bằng
cách dùng Router 806 và 17xx
Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường
hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP,
L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không có
đường nối lại với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mật
của dữ liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết hợp
của các thiết bị VPN concentrators, Router, và Firewalls.
Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trực
tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân
chuyển thông qua Internet hoặc một mạng không được tin cậy. Bạn phải đảm bảo
vấn đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệu
đang luân chuyển giữa các mạng đó.
3.2.1 Intranet

Page
22


Hình 6 Thiết lập Intranet sử dụng WAN backbone
Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ
sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng
chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức

gồm nhiều công ty và văn phòng làm việc mà các kết nối này luôn luôn được mã
hoá thông tinIntranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng
của tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router
(Hình 7)
Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết
lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet
Backbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên
nó và phạm vi địa lý của toàn bộ mạng Intranet.
Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế
bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng
kể của việc triển khai mạng Intranet (Hình 1-5)

Page
23


Hình 7 Thiếp lập Intranet dựa trên VPN
Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7.
-

Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô
hình WAN backbone.

-

Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,
các trạm ở một số remote site khác nhau.

-


Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung
cấp những kết nối mới ngang hang.

-

Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp
dịch vụ, loại bỏ vấn đề khoảng cách xa và thêm nữa giúp tổ chức giảm
thiểu chi phí cho việc thực hiện Intranet.

Những bất lợi chính kết hợp với cách giải quyết:
-

Bởi vì dữ liệu vẫn còn tunnel trong quá trình chia sẻ trên mạng
công cộng-Internet và những nguy cơ tấn công, như tấn công bằng từ
chối dịch vụ (denial-of service), vẫn còn là một mối đe doạ an toàn
thông tin.

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các
tập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền
thông qua Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường
xuyên, và QoS cũng không được bảo đảm.
Page
24


3.2.2 Extranet VPNs (VPN mở rộng)

Hình 8 Extranet VPN

Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những
nhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet qua
cơ sở hạ tầng dùng chung chia sẽ những kết nối.
Không giốn như intranet và Remote Access –based, Extranet không an
toàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài
nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như
khách hàng, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ
chức.

Hình 9 Thiết lập mạng Extranet theo truyền thống
Page
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×