BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP. HCM
KHOA CÔNG NGHỆ THÔNG TIN
---------------------------
ĐỒ ÁN MÔN HỌC
XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VPN
CHO DOANH NGHIỆP
GVHD:
TS.Phạm Nguyễn Huy Phương
Họ và tên sinh viên: Huỳnh Vũ Giang
Mã sinh viên:
2201170003
Họ và tên sinh viên: Lê Đăng Tuấn Dũng
Mã sinh viên:
2201170002
Họ và tên sinh viên: Bùi Nguyễn Tuấn Kiệt
Mã sinh viên:
2201170008
Lớp:
07DHLTH5
TP. HỒ CHÍ MINH, tháng 4 năm 2019
BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP. HCM
KHOA CÔNG NGHỆ THÔNG TIN
---------------------------
ĐỒ ÁN MÔN HỌC
XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VPN
CHO DOANH NGHIỆP
GVHD:
TS.Phạm Nguyễn Huy Phương
Họ và tên sinh viên: Huỳnh Vũ Giang
Mã sinh viên:
2201170003
Họ và tên sinh viên: Lê Đăng Tuấn Dũng
Mã sinh viên:
2201170002
Họ và tên sinh viên: Bùi Nguyễn Tuấn Kiệt
Mã sinh viên:
2201170008
Lớp:
07DHLTH5
TP. HỒ CHÍ MINH, tháng 4 năm 2019
1
LỜI CAM ĐOAN
Chúng tôi xin cam đoan đây là công trình nghiên cứu của riêng nhóm chúng
tôi. Các số liệu, kết quả nêu trong Đồ án là trung thực và chưa từng được ai công bố
trong bất kỳ công trình nào khác.
Chúng tôi xin cam đoan rằng mọi sự giúp đỡ cho việc thực hiện Đồ án này
đã được cảm ơn và các thông tin trích dẫn trong Đồ án đã được chỉ rõ nguồn gốc.
Nhóm sinh viên thực hiện Đồ án
(Ký và ghi rõ họ tên)
Huỳnh Vũ Giang
Lê Đăng Tuấn Dũng
Bùi Nguyễn Tuấn Kiệt
2
LỜI CÁM ƠN
Trong suốt quá trình nghiên cứu luận văn này, ngoài sự nỗ lực của nhóm,
chúng tôi đã nhận được sự giúp đỡ, chỉ bảo tận tình của các thầy, cô giáo và của
nhiều cơ quan, tổ chức, cá nhân.
Trước hết chúng tôi xin gửi tới các thầy giáo, cô giáo trường Đại học Công
nghiệp Thực phẩm tp.Hồ Chí Minh lời chào trân trọng, lời chúc sức khỏe và lời cảm
ơn sâu sắc. Với sự quan tâm, giảng dạy, chỉ bảo tận tình, chu đáo của các thầy cô,
đến nay nhóm chúng tôi đã hoàn thành Đồ án, đề tài: “Tìm hiểu mạng riêng ảo
VPN”.
Đặc biệt, chúng tôi xin bày tỏ lòng biết ơn sâu sắc tới thầy giáo – TS.Phạm
Nguyễn Huy Phương đã quan tâm giúp đỡ, tận tình hướng dẫn chúng tôi hoàn thành
Đồ án này trong thời gian qua.
Ngoài ra, không thể không nhắc tới sự quan tâm tạo điều kiện giúp đỡ của Ban
Giám đốc và các đồng nghiệp Sở Lao động - TB&XH tỉnh Đắk Nông, các Sở, Ban,
Ngành trong tỉnh, cùng sự giúp đỡ nhiệt tình của gia đình, các bạn trong lớp trong
suốt quá trình học tập cũng như thực hiện Đồ án này.
Chúng tôi xin chân thành cảm ơn!
Nhóm sinh viên thực hiện Đồ án
(Ký và ghi rõ họ tên)
Huỳnh Vũ Giang
Lê Đăng Tuấn Dũng
Bùi Nguyễn Tuấn Kiệt
3
TÓM TẮT
Mạng riêng ảo VPN (Vitrual Private Network) là một mạng riêng rẽ được sử
dụng một mạng chung (thường là Internet) để kết nối cùng với các mạng riêng lẻ (các
site) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực,
chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua
đường Internet từ mạng riêng của công ty tới các mạng riêng lẻ của các nhân viên từ
xa.
Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng
giúp cho những văn phòng chi nhánh hay những văn phòng ở xa nhau hay những nhân
viên làm việc từ xa có thể dùng mạng Internet truy cập tài nguyên ở cơ quan, doanh
nghiệp chính một cách bảo mật và đầy đủ tính năng như đang sử dụng máy tính cục bộ
tại ngay cơ quan, doanh nghiệp đó.
Những thiết bị ở đầu mạng hỗ trợ cho VPN là Switch, Router, Firewall. Những
thiết bị này có thể được quản trị bởi công ty hoặc các nhà mạng cung cấp dịch vụ như
ISP.
Về ưu điểm:
- Tính bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm.
- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay số
đường dài tốn kém hay đường dây thuê bao không còn cần thiết nữa đối với những tổ
chức sử dụng VPN đóng gói dữ liệu một cách an toàn qua mạng Internet.
- Chủ động về thời gian: Những tổ chức có văn phòng chi nhánh hay những văn
phòng ở xa nhau hay những nhân viên làm việc từ xa có thể truy cập dữ liệu của cơ
quan, doanh nghiệp chính từ bất kỳ địa điểm nào trên thế giới mà không phải tốn kém
nhiều, chỉ cần có kết nối mạng Internet thông qua nhà cung cấp dịch vụ địa phương.
4
MỤC LỤC
Chương 1.................................................................................................................. 3
GIỚI THIỆU MÔ HÌNH MẠNG RIÊNG ẢO VPN.............................................3
I. TỔNG QUAN VỀ VPN......................................................................................3
I.1. Định nghĩa, chức năng, và ưu điểm của VPN...............................................3
I.1.1. Khái niệm cơ bản về VPN.....................................................................3
I.1.2. Chức năng của VPN..............................................................................4
I.1.3. Ưu điểm.................................................................................................5
I.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN....................................7
I.2. Đường hầm và mã hóa..................................................................................8
II. CÁC KIỂU VPN...............................................................................................8
II.1. Các VPN truy cập (Remote Access VPNs)..................................................9
II.2. Các VPN nội bộ (Intranet VPNs):.............................................................12
II.3. Các VPN mở rộng (Extranet VPNs):.........................................................14
Chương 2................................................................................................................ 17
GIAO THỨC ĐƯỜNG HẦM VPN......................................................................17
I. GIỚI THIỆU CÁC GIAO THỨC ĐƯỜNG HẦM............................................17
II. GIAO THỨC ĐƯỜNG HẦM ĐIỂM TỚI ĐIỂM (PPTP)...............................18
II.1. Nguyên tắc hoạt động của PPTP...............................................................18
II.2. Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP...............20
II.3. Nguyên lý đóng gói dữ liệu đường hầm PPTP..........................................20
II.4. Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP.........22
II.5. Triển khai VPN dựa trên PPTP..................................................................22
II.5.1. Máy chủ PPTP...................................................................................23
II.5.2. Phần mềm Client PPTP......................................................................24
II.5.3. Máy chủ truy nhập mạng....................................................................24
II.6. Một số ưu nhược điểm và khả năng ứng dụng của PPTP..........................24
Chương 3................................................................................................................ 26
ĐỀ XUẤT VIỄN CẢNH VÀ TRIỂN KHAI XÂY DỰNG MÔ HÌNH...............26
5
I. ĐỀ XUẤT VIỄN CẢNH XÂY DỰNG MÔ HÌNH..........................................26
II. TRIỂN KHAI XÂY DỰNG MÔ HÌNH..........................................................27
II.1. Cấu hình địa chỉ IP....................................................................................27
II.2. Thiết lập cổng riêng trên Windowns Firewall để các máy khách nhận nhau
.......................................................................................................................... 30
II.3.2. Tương tự cho VPN BMT và INTERNET...............................................36
II.4. Tiến hành routing trên INTERNET..............................................................37
II.4.1. Cấu hình.................................................................................................37
II.4.2. Kiểm tra..................................................................................................40
II.5. Tiến hành cài đặt VPN..................................................................................42
II.5.1. Cấu hình máy VPN GN..........................................................................42
II.5.1.1. Cấu hình VPN.................................................................................42
II.5.1.2. Cấu hình giao diện quay số yêu cầu................................................48
II.5.2. Cấu hình máy VPN BMT.......................................................................54
II.5.2.1. Cấu hình VPN.................................................................................54
II.5.2.2. Cấu hình giao diện quay số yêu cầu................................................59
II.5.3. Xác nhận chính sách truy cập từ xa........................................................65
II.5.3.1. Cài đặt trên VPN GN......................................................................65
II.5.3.2. Cài đặt trên VPN BMT....................................................................66
II.5.4. Kiểm tra Connect...................................................................................68
II.5.4.1. VPN BMT.......................................................................................68
II.5.4.2. VPN GN..........................................................................................69
Chương 4................................................................................................................ 77
KẾT LUẬN VÀ KIẾN NGHỊ VỀ NHỮNG NGHIÊN CỨU TIẾP THEO........77
I. KIẾN NGHỊ VỀ NHỮNG NGHIÊN CỨU TIẾP THEO..................................77
II. KẾT LUẬN.....................................................................................................77
6
DANH MỤC CÁC TỪ VIẾT TẮT
ATM: Asynchronous Transfer Mode (Chế độ chuyển tiếp bất đồng bộ)
CHAP: Challenge Handshake Authentication Protocol(Giao thức thử thách bắt tay)
CIA: Confidentiality, Integrity, and Availability (Tính bảo mật, Tính toàn vẹn và
Tính sẵn có)
DOS: Denial Of Service (Tấn công từ chối dịch vụ)
EAP: Extensible Authorized Protocol (Giao thức xác thực mở rộng)
FCS: Frame Check Sequence (Chuỗi kiểm tra khung)
GRE: Generic Routing Protocol (Giao thức định tuyến chung)
IETF: Internet Engineering Task Force (Là một tổ chức tiêu chuẩn mở, phát triển
và xúc tiến các tiêu chuẩn về Internet)
LAN: Local Area Network (Mạng cục bộ)
LCP: Link Control Protocol (Giao thức điểm khiển đường truyền)
L2F: Layer 2 Forwarding (Giao thức chuyển tiếp lớp 2)
L2TP: Layer 2 Tunneling Protocol (Giao thức đường hầm lớp thứ 2)
IP: Internet Protocol (Giao thức Internet)
IPSec: Internet Protocol security ( Bảo mật giao thức Internet)
ISDN: Integrated Services Digital Network ( Mạng kỹ thuật số toàn vẹn về dịch vụ)
ISP: Internet Service Provides (Nhà cung cấp dịch vụ Internet)
IPX: Internet Protocol Exchange (Trao đổi giao thức Internet)
MPPE:Microsoft Point-to-Point Encryption (Mã hóa Điểm tới Điểm của Microsoft)
NAS: Network Access Server (Server được truy cập từ mạng)
NDIS: Network Driver Interface Specification ( Đặc tả giao diện Network Driver)
NDIS-WAN: Network Driver Inteface Wide Area Network.
NetBEUI: NETBIOS Extended User Inteface (Giao diện người dùng mở rộng
NETBIOS)
OC3: Optical Carrier 3 ( Tiêu chuẩn về đơn vị chuyển băng thông)
OSI: Open System Interconnection (Chuẩn giao tiếp quốc tế về mô hình mạng)
PAP: Password Authentication Protocol (Giao thức xác thực mật khẩu mở rộng)
7
POP: Point of Presence (Điểm mà tại đó hai hay nhiều thiết bị kết nối internet giao
tiếp với nhau)
PPP: Point-to-Point Protocol (Giao thức Điểm tới Điểm)
PPTP: Point-to-Point Tunneling Protocol (Giao thức đường hầm Điểm tới Điểm)
PVC: Permanent Virtual Circuit (Mạch ảo vĩnh viễn)
QoS: Quality of Service (cách thức điều khiển mức độ ưu tiên traffic của hệ thống
mạng)
RAS: Remote Access Server (Máy chủ truy cập từ xa)
TCP: Transmission Control Protocol ( Giao thức chuyển giao điều khiển)
TCP 1723: Chuẩn TCP 1723
TCP/IP: một bộ các giao thức truyền thông cài đặt chồng giao thức mà Internet và
hầu hết các mạng máy tính thương mại đang chạy trên đó. Đặt tên theo 2 giao thức
TCP và IP.
VPN: Vitrual Private Network (Mạng riêng ảo)
WAN: Wide Area Network (Mạng diện rộng)
8
DANH MỤC CÁC BẢNG
Bảng 3.1. Bảng mô tả viễn cảnh mô hình................................................................26
Bảng 3.2. Bảng mô tả địa chỉ IP cho từng máy........................................................26
9
DANH MỤC HÌNH Ả
Hình 1.1. Mô hình VPN cơ bản.................................................................................3
Hình 1.2. Mô hình mạng VPN...................................................................................4
Hình 1.3. Ưu điểm của VPN so với mạng truyền thống............................................6
Hình 1.4. Các ưu điểm của VPN...............................................................................6
Hình 1.5. Đường hầm VPN.......................................................................................8
Hình 1.6. Mô hình mạng VPN truy cập...................................................................10
Hình 1.7. Cài đặt Remote Access VPN....................................................................11
Hình 1.8. Mô hình mạng VPN nội bộ......................................................................13
Hình 1.9. Thiết lập Extranet truyền thống...............................................................14
Hình 1.10. Mô hình mạng VPN mở rộng.................................................................15
Hình 1.11. Thiết lập Extranet VPN.......................................................................16Y
Hình 2.1. Gói dữ liệu kết nối điều khiển PPTP........................................................20
Hình 2.2. Mô hình đóng gói dữ liệu đường hầm PPTP............................................20
Hình 2.3. Sơ đồ đóng gói PPTP...............................................................................21
Hình 2.4. Các thành phần hệ thống cung cấp VPN dựa trên PPTP
2
Hình 3.1. Cấu hình địa chỉ IP cho Client GN...........................................................27
Hình 3. 2. Cấu hình địa chỉ IP cho VPN GN...........................................................28
Hình 3. 3. Cấu hình địa chỉ IP cho INTERNET.......................................................28
Hình 3. 4. Cấu hình địa chỉ IP cho VPN BMT.........................................................29
Hình 3. 5. Cấu hình địa chỉ IP cho Client BMT.......................................................29
Hình 3. 6. Vào Start / Control Panel........................................................................30
Hình 3. 7. Security Center.......................................................................................30
Hình 3. 8. Windows firewall....................................................................................31
Hình 3. 9. Advanced................................................................................................32
Hình 3. 10. Advanced / Settings..............................................................................33
Hình 3. 11. Chọn ICMP – Allow incoming echo request.........................................34
Hình 3. 12. Start / Administrattive Tools / Services.................................................35
10
Hình 3. 13. Windows Firewall/Internet Connection Sharing (ICS) / Properties......35
Hình 3. 14. Disable..................................................................................................36
Hình 3. 15. Kết quả tại máy VPN BMT..................................................................36
Hình 3. 16. Kết quả tại máy INTERNET.................................................................37
Hình 3. 17. Start / Administrative Tools / Routing and Remote Access...................37
Hình 3. 18. Chuột phải vào tên Server (Local) / Configure and Enable Routing and
Remote Access Server Setup Wizard.......................................................................38
Hình 3. 19. Next......................................................................................................39
Hình 3. 20. Chọn Custom configuration / Next.......................................................39
Hình 3. 21. LAN routing / Next...............................................................................40
Hình 3. 22. Finish / Yes...........................................................................................40
Hình 3. 23. Tại VPN GN.........................................................................................41
Hình 3. 24. Tại VPN BMT......................................................................................41
Hình 3. 25. Tại CLIENT GN...................................................................................42
Hình 3. 26. Tại CLIENT BMT................................................................................42
Hình 3. 27. Start / Administrative Tools / Routing and Remote Access...................43
Hình 3. 28. Chuột phải vào tên Server (Local) / Configure and Enable Routing and
Remote Access Server Setup Wizard.......................................................................43
Hình 3. 29. Next......................................................................................................44
Hình 3. 30. Chọn Remote access (dial-up or VPN) / Next......................................44
Hình 3. 31. VPN / Next...........................................................................................45
Hình 3. 32. Chọn card nối trực tiếp với INTERNET / chọn ô Enable security on the
selected interface by setting up stactic packet filters / Next.....................................45
Hình 3. 33. From a specified range of addresses / Next...........................................46
Hình 3. 34. New… / Điền 2 địa chỉ như hình / OK.................................................46
Hình 3. 35. Next......................................................................................................47
Hình 3. 36. No, use Routing and Remote Access to authenticate connection requests
/ Next....................................................................................................................... 47
Hình 3. 37. Finish / OK...........................................................................................48
11
Hình 3. 38. Chuột phải Network Interfaces / New Demand-dial Interface…..........48
Hình 3. 39. Next......................................................................................................49
Hình 3. 40. Tại ô Interface name: VPN_BMT (Tên tài khoản để chi nhánh ngoài kết
nối đến) / Next.........................................................................................................49
Hình 3. 41. Connect using virtual private networking (VPN) / Next.......................50
Hình 3. 42. Point to Point Tunneling Protocol (PPTP) / Next..................................50
Hình 3. 43. Ô host name or IP address (such as microsoft.com or 157.54.0.1): điền
10.2.0.2 (IP của VPN_BMT đây là IP mà tại chi nhánh BMT đi ra INTERNET) /
Next......................................................................................................................... 51
Hình 3. 44. Chọn Route IP packets on this interface và Add a user account so a
remote can dial in / Next..........................................................................................51
Hình 3. 45. Add / Nhập IP Destination và Network Mask mạng con tại BMT / OK /
Next......................................................................................................................... 52
Hình 3. 46. Nhập mật khẩu cho tài khoản VPN_BMT / Next..................................52
Hình 3. 47. Tạo tài khoản VPN_GN và mật khẩu / Next.........................................53
Hình 3. 48. Finish....................................................................................................53
Hình 3. 49. Kết quả.................................................................................................54
Hình 3. 50. Start / Administrative Tools / Routing and Remote Access...................54
Hình 3. 51. Chuột phải vào tên Server (Local) / Configure and Enable Routing and
................................................................................................................................. 55
Hình 3. 52. Next......................................................................................................55
Hình 3. 53. Chọn Remote access (dial-up or VPN) / Next......................................56
Hình 3. 54. VPN / Next...........................................................................................56
Hình 3. 55. Chọn card nối trực tiếp với INTERNET / chọn ô Enable security on the
selected interface by setting up stactic packet filters / Next.....................................57
Hình 3. 56. From a specified range of addresses / Next...........................................57
Hình 3. 57. New… / Điền 2 địa chỉ như hình / OK.................................................58
Hình 3. 58. No, use Routing and Remote Access to authenticate connection requests
/ Next....................................................................................................................... 58
12
Hình 3. 59. Finish / OK...........................................................................................59
Hình 3. 60. Chuột phải Network Interfaces / New Demand-dial Interface…..........59
Hình 3. 61. Next......................................................................................................60
Hình 3. 62. Tại ô Interface name: VPN_GN (Tên tài khoản để kết nối với chi nhánh
chính Gia Nghĩa) / Next..........................................................................................60
Hình 3. 63. Connect using virtual private networking (VPN) / Next.......................61
Hình 3. 64. Point to Point Tunneling Protocol (PPTP) / Next..................................61
Hình 3. 65. Ô host name or IP address (such as microsoft.com or 157.54.0.1): điền
10.1.0.2 (IP của VPN_GN đây là IP mà tại chi nhánh GN đi ra INTERNET) / Next
................................................................................................................................. 62
Hình 3. 66. Chọn Route IP packets on this interface và Add a user account so a
remote can dial in / Next..........................................................................................62
Hình 3. 67. Add / Nhập IP Destination và Network Mask mạng con tại BMT / OK /
Next......................................................................................................................... 63
Hình 3. 68. Nhập mật khẩu cho tài khoản VPN_GN (trùng với tài khoản đã tạo ở
VPN GN)/ Next.......................................................................................................63
Hình 3. 69. Tạo tài khoản VPN_BMT và mật khẩu (trùng với tài khoản đã tạo ở
VPN GN)/ Next.......................................................................................................64
Hình 3. 70. Finish....................................................................................................64
Hình 3. 71. Kết quả.................................................................................................65
Hình 3. 72. Remote Access Policies........................................................................65
Hình 3. 73. Chuột phải Connections to Microsoft Routing and Remote Access
Server / Properties...................................................................................................66
Hình 3. 74. Chọn Grant remote access permission / ok...........................................66
Hình 3. 75. Remote Access Policies........................................................................67
Hình 3. 76. Chuột phải Connections to Microsoft Routing and Remote Access
Server / Properties...................................................................................................67
Hình 3. 77. Chọn Grant remote access permission / OK.........................................68
Hình 3. 78. Network Interfaces / VPN_GN / Chuột phải chọn Properties...............68
13
Hình 3. 79. Networking / Chọn tất cả / OK.............................................................69
Hình 3. 80. Chuột phải VPN_GN / Connect............................................................69
Hình 3. 81. Network Interfaces / VPN_BMT / Chuột phải chọn Properties............70
Hình 3. 82. Networking / Chọn tất cả / OK.............................................................70
Hình 3. 83. Chuột phải VPN_BMT / Connect.........................................................71
Hình 3. 84. Ping địa chỉ 172.16.4.3 (IP máy CLIENT GN) đã thông mạng.............71
Hình 3. 85. Tại máy CLIENT GN / Chuột phải My Computer / Manage................72
Hình 3. 86. Local Users and Groups / Users / Chuột phải Guest / Set Password…. 72
Hình 3. 87. Proceed.................................................................................................73
Hình 3. 88. Đặt Password / OK...............................................................................73
Hình 3. 89. Tạo Folder.............................................................................................74
Hình 3. 90. Chuột phải Folder / Sharing and Security….........................................74
Hình 3. 91. Network sharing and security / Share this filder on the network / Apply /
OK........................................................................................................................... 75
Hình 3. 92. Tạo file Test connect VPN trong Folder Share VPN đã tạo và Share
trước đó................................................................................................................... 75
Hình 3. 93. Tại máy CLIENT BMT / Start / Run / nhập IP máy CLIENT GN
“172.16.4.3”............................................................................................................76
Hình 3. 94. Dữ liệu lấy được tại máy CLIENT GN.................................................76
14
TOÀN BỘ NỘI DUNG ĐỒ ÁN
Chương 1: Giới thiệu mô hình mạng riêng ảo VPN.
Chương 2: Đề xuất viễn cảnh để xây dựng mô hình .
Chương 3: Triển khai thực hiện mô hình theo viễn cảnh đã đề xuất.
Chương 4: Kết luận và kiến nghị về những nghiên cứu tiếp theo.
Tài liệu tham khảo:
[1]. Quản trị mạng và ứng dụng của Active Directory, tác giả K/S Ngọc Tuấn
NXB Thống kê năm 2004
[2]. Mạng truyền thông công nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học
kỹ thuật năm 2004
[3]. 100 thủ thuật bảo mật mạng, tác giả K/S Nguyễn Ngọc Tuấn, Hồng Phúc
NXB Giao thông vận tải, năm 2005
[4]. TS Nguyễn Tiến Ban và Thạc sĩ Hoàng Trọng Minh, “Mạng riêng ảo
VPN”, 2007.
[5]. PGS-TS.Nguyễn Văn Tam - Giáo trình An toàn mạng ĐH Thăng Long.
[6]. D_link Australia & NZ, “Vitual Private Network self study”
[7]. Stephen Thomas, “SSL and TLS Essential”
[8]. David Bruce, Yakov Rekhter - (2000) Morgan Kaufmann Publisher MPLS Technology and Application MPLS_Cisco
1
PHẦN MỞ ĐẦU
Lý do chọn đề tài
Với sự phát triển hàng ngày của khoa học công nghệ thông tin, công nghệ
mạng máy tính và đặc biệt không thể không nhắc đến là hệ thống thông tin toàn cầu
- mạng Internet. Mạng Internet ngày càng phát triển đa dạng và phong phú, các dịch
vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội.
Các thông tin trên Internet cũng đa dạng cả về nội dung lẫn hình thức, trong đó có
rất nhiều thông tin cần được bảo mật cao bởi tính kinh tế, tính chính xác và sự tin
cậy của nó.
Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo
tính ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại cũng trở nên tinh vi
và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người
quản trị là hết sức quan trọng và cần thiết.
Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất
nhiều công nghệ tiên tiến liên quan đến bảo mật hệ thống và mạng máy tính, việc
tìm hiểu và nắm bắt được những công nghệ này là điều hết sức thiết yếu và cần
thiết.
Chính vì vậy, thông qua việc nghiên cứu và tìm hiều một cách tổng quan về
bảo mật hệ thống và nhiều công nghệ bảo mật tiên tiến hiện nay, cụ thể trong Đồ án
này nhóm chúng tôi xin tìm hiểu về một công nghệ, đó là công nghệ mạng riêng ảo
(VPN – Vitrual Private Network). Trong Đồ án này, chúng tôi xin góp một phần vào
việc tìm hiểu thêm và nắm bắt rõ về kỹ thuật VPN trong cơ quan, doanh nghiệp, nhà
trường… nhằm phục vụ cho việc học tập và nghiên cứu.
Bảo mật hệ thống, bảo mật mạng máy tính hay chỉ nói riêng kỹ thuật VPN là
một vấn đề vô cùng rộng lớn, đồng thời do kinh nghiệm cùng với kiến thức còn hạn
chế, nội dung Đồ án chắc chắn sẽ còn nhiều sai sót và chưa đầy đủ, hy vọng thầy cô
cùng các bạn sinh viên sẽ đóng góp thêm ý kiến bổ sung nhằm giúp nhóm chúng tôi
hoàn thiện Đồ án được chính xác và hữu ích hơn.
Chúng tôi xin chân thành cảm ơn!
2
PHẦN TỔNG QUAN
Kết cấu của luận văn
Ngoài các phần Lời cam đoan, Lời cám ơn, Tóm tắt, Mục lục, Danh mục các
từ viết tắt, Danh mục các bảng, Danh mục hình ảnh, Toàn bộ nội dung đồ án, Phần
mở đầu, Phần tổng quan, nội dung của đồ án gồm có 04 chương:
Chương 1: GIỚI THIỆU MÔ HÌNH MẠNG RIÊNG ẢO VPN.
Chương 2: GIAO THỨC ĐƯỜNG HẦM VPN.
Chương 3: ĐỀ XUẤT VIỄN CẢNH VÀ TRIỂN KHAI XÂY DỰNG MÔ
HÌNH.
Chương 4: KẾT LUẬN VÀ KIẾN NGHỊ VỀ NHỮNG NGHIÊN CỨU
TIẾP THEO.
3
Chương 1
GIỚI THIỆU MÔ HÌNH MẠNG RIÊNG ẢO VPN
I. TỔNG QUAN VỀ VPN
I.1. Định nghĩa, chức năng, và ưu điểm của VPN
I.1.1. Khái niệm cơ bản về VPN
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan
tâm của nhiều doanh nghiệp, đặc biệt là các doanh nghiệp có các địa điểm phân tán
về mặt địa lý. Nếu như trước đây giải pháp thông thường là thuê các đường truyền
riêng (Leased Lines) để duy trì mạng WAN (Wide Are Network). Các đường truyền
này giới hạn từ đường truyền ISDN (128 Kbps) đến đường cáp quang OC3 (optical
carrier-3, 155Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng
công cộng như Internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng
để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở
nên quá đắt khi doanh nghiệp muốn mở rộng các chi nhánh.
Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như
một phương tiện quảng bá và mở rộng các mạng mà họ sở hữu. Ban đầu, là các
mạng nội bộ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho
việc sử dụng chỉ bởi các thành viên trong công ty.
Hình 1.1. Mô hình VPN cơ bản
4
Về căn bản, mỗi VPN (Virtual Private Network) là một mạng riêng rẽ sử
dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng
riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối
thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được
dẫn qua đường Internet từ mạng riêng của công ty tới các site của các nhân viên từ
xa.
Hình 1.2. Mô hình mạng VPN
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là Switch, Router và
Firewall. Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp
dịch vụ như ISP.
VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua một
mạng công cộng sử dụng các kết nối tạm thời. Những kết nối bảo mật được thiết lập
giữa hai host , giữa host và mạng hoặc giữa hai mạng với nhau
Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã
hoá”. VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI. VPN là sự cải tiến
cơ sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất của các
mạng cục bộ.
I.1.2. Chức năng của VPN
VPN cung cấp ba chức năng chính:
- Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước
khi truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có thể
5
truy cập thông tin mà không được cho phép. Và nếu có lấy được thì cũng không đọc
được.
- Tính toàn vẹn dữ liệu (Data Integrity): người nhận có thể kiểm tra rằng dữ
liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào.
- Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực
nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
I.1.3. Ưu điểm
VPN có nhiều ưu điểm hơn so với các mạng Leased-Line truyền thống, bao
gồm:
- Giảm chi phí hơn so với mạng cục bộ. Tổng giá thành của việc sở hữu một
mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường
truyền, các thiết bị mạng đường trục, và hoạt động của hệ thống. Giá thành cho việc
kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line
truyền thống. Còn đối với việc truy cập từ xa thì giảm tới từ 60-80%.
- VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet. Các VPN đã kế
thừa và phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là
các mạng WAN truyền thống. Điều này giúp các doanh nghiệp có thể nhanh chóng
và hiệu quả kinh tế cho việc mở rộng hay huỷ bỏ kết nối của các trụ sở ở xa, các
người sử dụng di động…, và mở rộng các đối tác kinh doanh khi có nhu cầu.
- VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và
vận hành một mạng cục bộ. Các doanh nghiệp có thể cho phép sử dụng một vài hay
tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vào các
đối tượng kinh doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ
xa.
- VPN cung cấp các kiểu mạng đường hầm và làm giảm thiểu các công việc
quản lý. Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định
tương ứng với các giao thức kết nối như là Frame Relay và ATM. Điều này tạo ra
một kiểu mạng lưới hoàn chỉnh trong khi giảm được độ phức tạp và giá thành.
6
Hình 1.3. Ưu điểm của VPN so với mạng truyền thống
Một mạng VPN có được những ưu điểm của mạng cục bộ trên cơ sở hạ tầng
của mạng IP công cộng. Các ưu điểm này bao gồm tính bảo mật và sử dụng đa giao
thức.
Hình 1.4. Các ưu điểm của VPN
Một mạng ảo được tạo ra nhờ các giao thức đường hầm trên một kết nối IP
chuẩn. GRE (Generic Routing Protocol), L2TP (Layer 2 Tunneling Protocol) và
IPSec là ba phương thức đường hầm.
Một mạng cục bộ là một mạng mà đảm bảo độ tin cậy, tính toàn vẹn và xác
thực, gọi tắt là CIA. Mã hoá dữ liệu và sử dụng giao thức IPSec giúp giữ liệu có thể
chung chuyển trên Website với các tính chất CIA tương tự như là một mạng cục bộ.
I.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
7
- Tính tương thích (compatibility)
Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ
và mạng diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một
chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử
dụng các chuẩn TCP/IP vì vậykhông thể kết nối trực tiếp với Internet. Để có thể sử
dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một
hệ thống địa chỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng
về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển
đổi các thủ tục khác nhau sang chuẩn IP. Hầu hết khách hàng được hỏi yêu cầu khi
chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của
họ.
- Tính bảo mật (security)
Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải
pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt
được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây
dựng và quản lý.
Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho
người sử dụng trong mạng và mã hoá dữ liệu khi truyền.
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản
cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị
hệ thống.
- Tính khả dụng (Availability):
Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng,
hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.
- Tiêu chuẩn về chất lượng dịch vụ (QoS):
Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch
vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ
dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên
8
I.2. Đường hầm và mã hóa
Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hoá qua
một đường hầm.
Hình 1.5. Đường hầm VPN
- Đường hầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm qua mạng IP
không hướng kết nối. Điều này giúp cho việc sử dụng các ưu điểm các tính năng
bảo mật. Các giải pháp đường hầm cho VPN là sử dụng sự mã hoá để bảo vệ dữ liệu
không bị xem trộm bởi bất cứ những ai không được phép và để thực hiện đóng gói
đa giao thức nếu cần thiết. Mã hoá được sử dụng để tạo kết nối đường hầm để dữ
liệu chỉ có thể được đọc bởi người nhận và người gửi.
- Mã hoá (Encryption) chắc chắn rằng thông tin sẽ không bị lộ đến bất kỳ ai
ngoài người nhận. Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự cần
thiết đối với việc mã hoá thông tin càng trở nên quan trọng. Mã hoá sẽ biến đổi nội
dung thông tin thành trong một văn bản mật mã. Chức năng giải mã chỉ có thể được
sử dụng bởi người nhận.
II. CÁC KIỂU VPN
VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :
- Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa (Remote), bằng điện
thoại di động, và việc liên lạc giữa các nhân viên của một cơ quan, doanh nghiệp tới
các tài nguyên qua đường mạng Internet.
- Kết nối thông tin liên lạc giữa các văn phòng chi nhánh hoặc từ các văn
phòng ở xa nhau.