Tải bản đầy đủ (.pdf) (60 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Kỹ thuật - Công nghệ

Tìm hiểu về vpn và triển khai vpn cho doanh nghiệp vừa và nhỏ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (899.07 KB, 60 trang )

Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Tr-ờng đại học vinh
Khoa cntt

------- -------

Đề tài:
TìM HIểU Về VPN Và TRIểN KHAI vpn
CHO doanh nghiệp VừA Và NHỏ

Giáo viên h-ớng dẫn
Sinh viên thực hiện
Lớp

:
:
:

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

Th.s Nguyễn Công Nhật
Hồ Sỹ Thắng
45K CNTT

Vinh - 12009

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ



Lời cảm ơn
Em xin gửi lời cảm ơn chân thành nhất đến thầy giáo Th.s Nguyễn
Công Nhật, thầy đà tận tình h-ớng dẫn, giúp đỡ em trong suốt thời gian
thực hiện đồ án này.
Con cảm ơn Cha, Mẹ và gia đình, những ng-ời đà dạy dỗ, khuyến khích,
động viên con trong những lúc khó khăn, tạo mọi điều kiện cho con nghiên
cứu học tập.
Em xin chân thành cảm ơn các thầy, các cô trong khoa Công Nghệ
Thông Tin tr-ờng Đại Học Vinh đà dìu dắt, giảng dạy em, giúp em có những
kiến thức quý báu trong những năm hoc vừa qua.
Cảm ơn bạn bè trong và ngoài lớp đà tận tình đóng góp ý kiến cho đồ
án của em. Mặc dù rất cố gắng nh-ng đồ án của em không tránh khỏi những
sai sót, em mong đ-ợc sự thông cảm và góp ý của thầy cô và các bạn.
Em xin chân thành cảm ơn!
Vinh, Ngày 10 tháng 05 năm 2009
Sinh viên: Hồ Sỹ Thắng

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

2

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Lời nói đầu
Những năm qua chúng ta đà và đang sống trong thời kì phát triển
nhanh chóng và sôi động của CNTT. Chiếc máy tính đa năng, tiện lợi và hiệu

quả mà chúng ta đang dùng, giờ đây đà trở nên chật hẹp và bất tiện so với
các máy vi tính nối mạng. Từ khi xuất hiện mạng máy tính, tính hiệu quả
tiện lợi của mạng đà làm thay đổi ph-ơng thức khai thác máy tính cổ điển.
Ph-ơng án truyền thông nhanh, an toàn và độ tin cậy đang trở thành mối
quan tâm của nhiều công ty, tổ chức, đặc biệt là các công ty, tổ chức có các
địa điểm phân tán về địa lí, công ty đa quốc gia.Giải pháp thông th-ờng đ-ợc
áp dụng bởi đa số các công ty là thuê đ-ờng truyền riêng để duy trì một
mạng WAN. Nh-ng để bảo trì một mạng WAN, đặc biệt là khi sử dụng một
đ-ờng truyền riêng,có thể trở nên quá đắt và làm tăng giá khi công ty muốn
mở rộng thêm các văn phòng đại diện. Khi phổ biến của Internet gia tăng,
các công ty th-ơng mại đầu t- và nó nh- một ph-ơng tiện quảng bá công ty
của họ và đồng thời cũng mở rộng các mạng mà họ sở hữu.
Với sự phát triển về ph-ơng tiện truyền thông nh- ngày nay, việc trao đổi
dữ liệu qua lại không còn gói gọn trong một môi tr-ờng nào đó mà nó mang
nghĩa rộng hơn, linh hoạt hơn. Ví dụ nh- để kết nối các site của một công ty
với nhau mà khoảng cách thì xa nhau, nếu thông qua môi tr-ờng Internet, để
đảm bảo trao đổi dữ liệu qua lại đ-ợc giữa các site này thì tr-íc kia ta
th-êng øng dơng theo kiĨu thuª kªnh riªng (Lease line). Nh-ng điều này trở
nên rất tốn kém, vì thế những năm gần đây công nghệ VPN ra đời trên
ph-ơng diện đó.
Mục đích của VPN là cho phép chúng ta truy cập giữa các site, hay client
đến site thông qua môi tr-ờng Internet, khi đó sẽ kết hợp với t-ờng lửa thì sẽ
đảm bảo độ tin cậy cũng nh- an toàn dữ liệu thông qua một đ-ờng pipe
(ống) riêng ảo đ-ợc tạo ra trên môi tr-ờng Internet của công nghƯ VPN.
ViƯc øng dơng VPN sÏ mang l¹i cho chóng ta khá nhiều lợi ích cũng nh- tiết
kiệm chi phí rÊt nhiỊu so víi viƯc thuª kªnh riªng.
Sinh viªn thùc hiện: Hồ Sỹ Thắng 45K CNTT

3


GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Mục Lục

Trang

Ch-ơng 1 : Một số khái niệm cơ bản về VPN .......... 6
1. Một số khái niệm cơ bản về VPN 6
1.1 Tìm hiểu về VPN..6
1.2 Các giao thức trong VPN..........9
1.3 Sự thuận lợi và bất lợi của VPN ..............10
1.4 Phân loại VPN ........ 11
2. Các thành phần bảo mật của VPN . 15
2.1 Các phương thức nhận dạng người dùng .... 17
2.2 Điều khiển quyền truy cập ..... 18
2.3 MÃ hoá dữ liệu ... 19
3. Các thiết bị sử dụng trong VPN . 20
Ch-ơng 2: Virtual Private Netwok Protocol . 23
1. Khái niệm cơ bản về Tunneling Technology 23
1.1 Những điểm thuận lợi của VPN .... 23
1.2 Các thành phần của VPN... 24
1.3 Sự hoạt ®éng cđa VPN ……………..……………………………… 24
2. Tunneling Protocol ë tÇng 2 ………………………………………

26

2.1 Point-to-Point Protocol (PPP)………..……………………………. . 26

2.2 Point-to-Point Tunneling Protocol (PPTP)..………………………... 27
2.3 Layer Forwarding (L2F)…………………...……………………….. .28
3. Giíi thiƯu vỊ IPSec ……………………….………………………….29
3.1 Understanding IPSec ………………………..……………………... 29
3.2 IPSec Security Associations- ………………..………………………31
3.3 IPSec Security Protocols .32
3.4 Các chế độ IPSec.33
3.5 Internet Key Exchange .. 36

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

4

GVHD:Th.s Nguyễn C«ng NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Ch-ơng 3: Bài toán thực tế, mô hình và các b-ớc triển khai VPN ..37
1. Một số bài toán thực tế cho doanh nghiệp quy mô vừa và nhỏ....37
1.1 Bài toán .. 37
1.2 Giải pháp .... 37
1.3 Hạch toán chi phí ....37
2. Mô hình VPN ... 38
3. C¸c b-íc triĨn khai VPN ………………………..…………………….38
3.1 Config Routing and Remote Access console trên VPN Server ...38
3.2 Tạo tài khoản ng-ời dïng (User) vµ cÊp qun truy cËp VPN…….....49
3.3 ThiÕt lËp VPN Client ..52
Kết luận ........58
Tài liệu tham khảo .........59


Danh từ các mục viết tắt
Dạng viết tắt

Dạng đầy đủ

VPN

Virtual Private Network

ATM

Asynchronous Transfer Mode

POP

Point Of Presence

PVC

Permanent Virtual Circuit

VPDN

Virtual Private Dial-up Network

LAN

Local Area Network


WAM

Wide Area Network

Logic

Logic connection

L2TP

Layer 2 Tunneling Protocol

L2F

Layer 2 Forwording

PPTP

Point-to-Point Tunneling Protocol

PSTNs

Public Switched Telephone Network

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

5

GVHD:Th.s Ngun C«ng NhËt



Tìm hiểu về VPN và triển khai VPN cho doanh nghiƯp võa vµ nhá

ISP

Internet Service Provider

RAS

Remote Access Service

FDDI

Fiber Destribute Data Interface

IPX

Internetwork Packet Exchange

PPP

Point-to-Point Protocol

RFC

Request For Comments

DTE

Data Terminal Equipment


DCE

Data Connection Equipment

GRE

Generic Routing Encapsulation

IPSec

IP Security Protocol

IETF

Internet Engineering Task Force

IKE

Internet Key Exchange

SA

Security Association

DH

Diffic-Hellman

ESP


Encapsulating Security Payload

IANA

Internet Numbers Authority

DES

Data Encryption Standard

AH

Authentication Header

HMAC-MD5

Hashing Message Authentication Codes-Message Digest 5

DOS

Denies Of Service

NAT

Network Address Translation

HSSI

Hig Link Quality Monitoring h-Speed Serial Interface


LCP

Link Control Protocol

NCP

Network Control Protocol

LQM

Link Quality Monitoring

PAP

Password Authentication Protocol

CHAP

Challenge Handshake Authentication Protocol

RARS

Routing And Remote Server

MPPE

Microsoft Point to Point Encryption

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT


6

GVHD:Th.s Nguyễn Công NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Ch-ơng I. Một số khái niệm về VPN (Virtual
Private Networking).
1. Một số khái niệm cơ bản về VPN.
1.1 Tìm hiểu về VPN.
1.1.1 Virtual Private Network.
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung
(th-ờng là Internet) để kết nối với các site (các mạng riêng lẻ) hay nhiều
ng-ời sử dụng từ xa. Thay cho viƯc sư dơng bëi mét kÕt nèi thùc, chuyên
dụng nh- đ-ờng truyền riêng (lease line), mỗi VPN sử dụng các kết nối ảo
đ-ợc dẫn đ-ờng qua Internet từ mạng riêng các công ty với các site hay các
nhân viên từ xa.
VPN_Virtual Private Network, có thể đ-ợc dịch là mạng ảo nội bộ. Bạn
có thể tự hỏi, đà trong mạng nội bộ rồi thì còn dùng ảo làm gi? Ng-ời dùng
khi đi công tác xa sử dụng VPN để nối tới các dịch vụ đang chạy hoặc những
ch-ơng trình có thể dùng nh- họ đang ngồi văn phòng. Đó là lí do cho cái
tên ảo (Virtual).
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và
tính phổ cập của nó. Tuy nhiên, do Internet là nguồn thông tin công cộng
nên có thể truy cập từ bất kì ai, bất kì lúc nào, bất kì nơi đâu, việc trao đổi
thông tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại
dữ liệu khi trao đổi dữ liệu. Công nghệ VPN cung cấp tính bảo mật, tính hiệu
quả và độ tin cậy trong mạng, trong khi vẫn đảm bảo cân bằng giá thành cho

toàn bộ cho quá trình xây dựng mạng. Sử dụng VPN, một ng-ời làm việc tại
nhà qua mạng (telcommuter) có thể truy xuất vào mạng của công ty thông
qua Internet bằng cách xây dựng một đ-ờng hầm bí mật (secure tunnel) giữa
máy PC của họ và một VPN router đặt tại bản doanh của công ty.
VPN đ-ợc hiểu là phần mở rộng của một mạng Intranet đ-ợc kết nối
thông qua mạng công cộng nhằm đảm bảo an toàn và tăng hiệu quả giá
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

7

GVHD:Th.s Ngun C«ng NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

thành kết nối giữa hai đầu nối. Cơ chế và độ giới hạn tính bảo mật tinh vi
cũng đ-ợc sử dụng để đảm bảo tính an toàn cho việc trao đổi những dữ liệu
dễ bị đánh cắp thông qua một môi tr-ờng không an toàn. Cơ chế an toàn bao
gồm những khái niệm sau đây:
Encyption : MÃ hoá dữ liệu là một quá trình xử lý thay đổi dữ liệu
theo một chuẩn nhất định và dữ liệu chỉ có thể đ-ợc đọc bởi ng-ời dùng
mong muốn. Để đọc đ-ợc dữ liệu ng-ời nhận buộc phải có chính xác một
khoá giải mà dữ liệu. Theo ph-ơng pháp truyền thống ng-ời nhận và gửi dữ
liệu sẽ có cùng một khoá để có thể giải mà và mà hoá dữ liệu. L-ợc đồ
public-key sử dụng 2 khoá, một khoá đ-ợc xem nh- một public-key (khoá
công cộng) mà bất cứ ai cũng có thể dùng để mà hoá và giải mà dữ liệu.
Authentication : Là một quá trình xử lý bảo đảm chắc chắn dữ liệu sẽ
đ-ợc chuyển đến ng-ời nhận đồng thời củng bảo đảm thông tin nhận đ-ợc
nguyên vẹn.


ở hình thức cơ bản, Authentication đòi hỏi ít nhất phải nhập vào

Username và Password để có thể truy nhập vào tài nguyên. Trong một số
tình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mà hoá dữ
liệu.
Authorization : Đây là quá trình xử lý cấp quyền truy cập hoặc ngăn
cấm vào tài nguyên trên mạng sau khi đà thực hiện Authentication.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn
phòng chính), các mạng LAN khác tại văn phòng từ xa, các kết nối (nh'Văn phòng' tại gia) hoặc ng-ời sử dụng (Nhân viên di động) truy cập đến từ
bên ngoài.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

8

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Sơ đồ mạng riêng ảo VPN
1.1.2 Sự Phát Triển Của VPN :
VPN không phải là một công nghệ hoàn toàn mới, khái niệm về VPN đÃ
có từ 17 năm tr-ớc và trải qua nhiêù quá trình phát triển, thay đổi cho đến
nay đà tạo ra một dạng mới nhất.
VPN đầu tiên đà đ-ợc phát sinh bởi AT&T từ cuối những năm 80.
Thế hệ thứ hai của VPN ra đời từ sự xuất hiện của công nghệ X.25 và
mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network:
ISDN) từ đầu những năm 90. Hai công nghệ này cho phép truyền những
dòng gói dữ liệu qua các mạng chia sẻ chung.

Sau khi thế hệ thứ hai của VPN ra đời, thị tr-ờng VPN tạm thời lắng
đọng và chËm tiÕn triĨn, cho tíi khi nỉi lªn cđa hai công nghệ cell-based

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

9

GVHD:Th.s Ngun C«ng NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiƯp võa vµ nhá

Frame Relay (FR) Asynchronous Tranfer Mode (ATM). Thế hệ thứ ba của
VPN đà phát triển dựa theo 2 công nghệ này.
Tunneling là một kỹ thuật đóng gói các dữ liệu trong tunneling
protocol, nh- IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP),
hoặc Layer 2 Tunneling Protocol (L2TP) và cuối cùng là đóng gói những gói
đà đ-ợc tunnel bên trong một gói IP. Tổng hợp các gói dữ liệu sau đó route
đến mạng đích bằng cách sử dụng lớp phủ thông tin IP. Bởi vì gói dữ liệu
nguyên bản có thể là bất cứ dạng nào nên tunning có thể hổ trợ đa giao thức
gồm IP, ISDN, FR, ATM.
1.2 Các giao thøc trong VPN (VPN Tunneling Protocol):
Cã 4 d¹ng giao thức tunneling nổi bật đ-ơc sử dụng trong VPN : IPSec,
PPTP, L2TP, IP-IP.
1.2.1 IP Security (IPSec).
IPSec cung cÊp viƯc x¸c thực, toàn bộ và riêng lẻ về IP. IPSec cung cấp 2
loại tunnel: Encapsulating Security PayLoad (ESP) cho việc xác thực, sự
cách biệt và tính toàn vẹn, và Authentication Header (AH) định dạng nó cho
việc xác thực và tính toàn vẹn nh-ng không cách biệt. Không giống với
những kỹ thuật mà hoá khác, IPSec thực hiện ở tầng thứ 7 trong mô hinh OSI

(Open System Interconnect), vì thế, chúng có thể chạy độc lập so với các ứng
dụng chạy trên mạng. Và vì thế mạng của bạn sẽ đ-ợc bảo mật hơn mà
không cần dùng bất kì ch-ơng trình bảo mật nào.
1.2.2 Point-to-Point Tunneling Protocol (PPTP).
Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP là
một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn còn đ-ợc sử
dụng nhiỊu trong mét sè Tunneling Protocol. PPTP thùc hiƯn ë tầng thứ 2
(Data Link Layer).

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

10

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Một gói PPTP đ-ợc biểu diễn nh- sau:
Data
Link

Encrypted PPP
IP

PPP

payload(IP Datagram,

Header


Header

IPX Datagram,

Header

Data-Link
trailer

NetBEUI frame)

1.2.3 Layer 2 Tunneling Protocol (L2TP).
Giao thức L2TP cung cấp một tunnel giữa các domain không có tin cậy
trong một mạng t-ơng tự giao thức PPTP. Cả hai giao thức này cung cấp việc
bắt đầu đóng gói dữ liệu sử dụng PPP.
Giao thức L2TP cấu thành từ PPTP và L2F (Layer 2 Forwarding). Nó
đóng gói các frame PPP, nó có thể đ-ợc gửi trên IP, frame relay, X.25 hoặc
ATM. L2TP có thể đ-ợc sử dụng nh- giao thøc tunnel trªn internet nÕu nã
sư dơng IP nh- là truyền tải của nó.
1.2.4 IP-IP
IP-IP hoặc IP trong IP là một ph-ơng thức tunnel đơn. Sử dụng ph-ơng
thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không
hổ trợ định tuyến multicast. Việc bổ sung IP Header đ-ợc tạo ra trong việc
đóng gói các gói IP do đó phải tạo một mạng ảo. Cấu trúc IP-IP cấu thành
bên ngoài IP Header, bên trong IP Header, tunnel Header vµ IP Payload.
Payload nµy bao gåm UDP, TCP vµ dữ liệu.
1.3 Sự thuận lợi và bất lợi của VPN.
1.3.1 Thuận lợi:
- Mở rộng vùng địa lý có thể kết nối đ-ợc.

- Tăng c-ờng bảo mật cho hệ thống mạng.
- Giảm chi phí vận hành so với mạng WAN truyền thống.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

11

GVHD:Th.s Nguyễn C«ng NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

- Giảm thời gian và chi phí truyền dữ liệu đến ng-ời dùng ở xa.
- Tăng c-ờng năng suất.
- Giảm đơn giản hoá cấu trúc mạng.
- Cung cấp thêm một ph-ơng thức mạng toàn cầu.
- Cung cấp khả năng hổ trợ thông tin từ xa.
- Cung cấp khả năng t-ơng thích cho mạng băng thông rộng.
- Cung cấp khả năng sinh lợi nhuận cao hơn trong mang WAN truyền
thông.
- Dịch vụ mạng riêng ảo rất thích hợp cho các cơ quan, doanh nghiệp có
nhu cầu kết nối mạng thông tin hiện đại, hoàn hảo tiết kiệm.
* Một mạng VPN đ-ợc thiết kế tốt sẽ đáp ứng đ-ợc yêu cầu sau:
- Bảo mật (Security).
- Tin cậy (Reliability).
- Dễ mở rộng nâng cấp (Scalability).
- Quản trị mạng thuận tiện (Network Management).
- Quản trị chính sách mạng tốt (Policy Management).
1.3.2 Bất lợi:
- Phụ thuộc trong môi tr-ờng Internet.

- Thiếu sự hổ trợ cho một số giao thức kế thừa.
1.4 Phân loại mạng riêng ảo VPN.
VPN nhằm h-ớng vào 3 yêu cầu cơ bản sau đây:
* Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm
tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên
mạng.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

12

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

* Nối kết thông tin liên lạc gữa các chi nhánh văn phòng từ xa.
* Đ-ợc điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng,
nhà cung cấp và những đối t-ợng quan trọng của công ty nhằm hợp tác kinh
doanh.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đà phát triển và
phân chia ra làm 2 loại VPN thông dụng sau:
* Remote Access.
* Site to site.
Remote Access :
Còn đ-ợc gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối ng-ời
dùng đến LAN, th-ờng là nhu cầu của một tổ chức có nhiều điểm nhân viên
cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa, bên ngoài
công ty thông qua Internet. Ví dụ nh- công ty muốn thiết lập một VPN lớn
phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). ESP này tạo ra

một máy chủ truy cập mạng Network Access Server (NAS) và cung cấp cho
ng-ời dùng từ xa một phần mềm m¸y kh¸ch cho m¸y tÝnh cđa hä. Khi ng-êi
dïng mn truy cập vào cơ sở dữ liệu hay các file server, gưi nhËn email tõ
c¸c mail server néi bé cđa c«ng ty…ng­êi dïng cã thĨ gäi mét sè tõ 1-800
miƠn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy
cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an
toàn,có mật mÃ.
Giống nh- gợi ý của tên gọi, Remote Access VPN cho phÐp truy cËp bÊt
cø lóc nµo b»ng Remote, mobile, và các thiết bị truyền thông của nhân viên
các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Đặc biệt là những
ng-ời dùng th-ờng xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà
không có kết nối th-ờng xuyên đến mạng Intranet hợp tác.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

13

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiƯp võa vµ nhá

Site to site :
Lµ viƯc sư dơng mật mà dành cho nhiều ng-ời để kết nối nhiều điểm cố
định với nhau thông qua mạng công cộng nh- Internet, áp dụng cho các tổ
chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu
với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa
các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng mét hÖ thèng
VPN Site to Site kÕt nèi 2 site Việt Nam và Singapore tạo ra một đ-ờng
truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn và

hiệu quả. Các mạng Site to Site VPN có thể thuộc một trong hai dạng sau:
* Intranet-based : áp dụng trong tr-ờng hợp trong công ty có một hoặc
nhiều địa điểm ở xa, mỗi địa điểm đều có một mạng cục bộ LAN. Khi đó họ
có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ trong
một mạng riêng thống nhất.
* Extranet-based : Khi một c«ng ty cã mét mèi quan hƯ mËt thiÕt víi
mét công ty khác (ví dụ nh-, một đồng nghiệp, nhà hổ trợ khách hàng), họ
có thể xây dựng một mạng Extranet VPN để kết nối kiểu mnạg LAN với
mạng LAN và cho phép các công ty đó có thể làm việc trong môi tr-ờng
chia sẻ tài nguyên.
Không giống nh- Intranet và Remote Access-based, Extranet không hoàn
toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài
nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn nh- khách
hàng, nhà cung cấp, đối tác những ng-ời giữ vai trò quan trọng trong tổ
chức.
Một số thuận lợi của Extranet :
* Do hoạt động trên môi tr-ờng Internet, bạn có thể lựa chon nhà phân phối
khi lựa chọn và đ-a ra ph-ơng pháp giải quyết tuỳ theo nhu cầu của tổ chức.
* Bởi vì một phần Internet-connectivity đ-ợc bảo trì bởi nhà cung cấp (ISP)
nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

14

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ


* Dễ dàng triển khai, quản lí và chỉnh sửa thông tin.
Một số bất lợi của Extranet :
* Sự đe doạ về tính an toàn, nh- bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
* Tăng thêm nguy hiểm sự xâm nhập đối với tỉ chøc trªn Extranet.
* Do dùa trªn Internet nªn khi dữ liệu là các loại high-end data thì việc trao
đổi diễn ra chậm chạp.
* Do dựa trên Internet, QoS cũng không đ-ợc bảo đảm th-ờng xuyên.

Ba loại mạng riêng ảo VPN
Để triển khai một hệ thống VPN chúng ta cần những thành phần cơ bản
sau đây:
- User Authentication : Cung cÊp c¬ chÕ chÝnh thùc ng-êi dïng, chØ cho
phÐp ng-êi dùng hợp lệ kết nối và truy cập hệ thống VPN.
- Address Management : Cung cấp địa chỉ IP hợp lÝ cho ng-êi dïng sau khi
gia nhËp hÖ thèng VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Emcryption : Cung cấp giải pháp mà hoá dữ liệu trong quá trình
truyền nhằm bảo đảm tính riêng t- và toàn vẹn dữ liệu.
- Key Managerment : Cung cấp giải pháp quản lí các khoá dùng cho quá
trình mà hoá và giải mà dữ liệu.
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

15

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

2. Các thành phần bảo mật của VPN.
Internet đ-ơc xem là môi tr-ờng không an toàn,dữ liệu truyền qua dễ bị

sự truy cập bất hợp pháp và nguy hiểm. Sự ra đời của VPN dựa trên giao thức
Tunneling đà làm giảm một l-ợng đáng kể số l-ợng rủi ro không an toàn. Vì
thế làm thế nào để đảm bảo dữ liệu đ-ợc an toàn qua VPN?. Làm thế nào để
những dữ liệu dễ h- hỏng tránh khỏi sự truy cập không hợp pháp và không
an toàn?. Sau đây là một vài ph-ơng pháp để duy trì kết nối và giữ an toàn
khi truyền dữ liệu:
*Bức t-ờng lửa : Mét bøc t-êng (fire wall) cung cÊp biƯn ph¸p ngăn
chặn hiệu quả giữa mạng riêng của bạn với Internet. Bạn có thể sử dụng
t-ờng lửa ngăn chặn các cổng đ-ợc mở, loại gói tin đ-ợc phép truyền qua và
giao thức sử dụng. Bạn cũng nên có t-ờng lửa tr-ớc khi b¹n sư dơng VPN,
nh-ng t-êng lưa cịng cã thĨ ngăn chặn các phiên làm viêc của VPN.
* Mà hoá : Đây là quá trình mật mà dữ liệu khi truyền đi khỏi máy tính
theo một quy tắc nhất định và máy tính đầu xa có thể giải mà đ-ợc. Hầu hết
các hệ thống mà hoá máy tính thuộc về 1 trong 2 loại sau:
+ MÃ hoá sử dụng khoá riêng (Symmetric-Key encryption)
+ MÃ hoá sử dụng khoá công khai (Public-Key encryption)
Trong hệ Symmetric-Key encryption, mỗi máy tính có một mà bí mật sử
dụng để mà hoá các gói tin tr-ớc khi truyền đi. Khoá riêng này cần đ-ợc cài
trên mỗi máy tính có trao đổi thông tin sử dụng mà khoá riêng và máy tính
phải biết đ-ợc trình tự giải mà đà đ-ợc quy -ớc tr-ớc. Mà bí mật thì sử dụng
để giải mà gói tin. Ví dụ: Bạn có tạo ra một bức th- mà hoá mà trong nội
dung th- mỗi ký tự đ-ợc thay thế bằng ký tự ở sau nó 2 vị trí trong bảng ký
tự. Nh- vậy A sẽ đ-ợc thay thế bằng C, và B sẽ đ-ợc thay thế bằng D. Bạn
đà nói với ng-ời bạn khoá riêng là dịch đi 2 vị trí ( Shift by 2). Bạn của bạn
nhận đ-ợc th- sẻ giải mà sử dụng chìa khoá riêng đó. Còn những ng-ời khác
sẽ không đọc đ-ợc nội dung th-.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

16


GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

* Máy tính gửi mà hoá dữ liệu cần gửi bằng khoá bí mật (Symetric
key), sau đó m· ho¸ chÝnh kho¸ bÝ mËt (Symetric key) b»ng kho¸ công khai
của ng-ời nhận ( public key). Máy tính nhận sử dụng khoá riêng của nó
(Symetric key), sau đó sử dụng khoá bí mật này để giải mà dữ liệu.
* Hệ public-key encryption sử dụng một tổ hợp khoá riêng và khoá
công khai để thực hiện mà hoá, giải mÃ. Khoá riêng chỉ sử dụng tại máy tính
đó, còn khoá công cộng đ-ợc truyền đi đến các máy tính khác mà nó muốn
trao đổi thông tin bảo mật. Để giải mà dữ liệu mà hoá, máy tính kia phải sử
dụng khoá công cộng nhận đ-ợc và khoá riêng của chính nó. Một phần mềm
đà mà hoá công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn
mà hoá đ-ợc hÇu hÕt mäi thø.
* Giao thøc IPSec - Internet Protocol Security Protocol cung cấp các
tính năng bảo mật mở rộng bao gồm các thuật toán mà hoá và xác thực tốt
hơn. IPSec có hai chế độ mà hoá : Kênh Tunnel mà hoá cả header và cả nội
dung mỗi gói tin trong khi mà hoá lớp truyền tải chỉ mà hoá nội dung gói tin.
Chỉ có những hệ thống sử dụng IPSec t-ơng thích mới có khả năng tiến này.
Mặc dù vậy, tất cả các thiết bị phải sử dụng một khoá dùng chung và các
t-ờng lửa ở mỗi mạng phải có chính sách cấu hình bảo mật t-ơng nhau.IPSec
có thể mà hoá dữ liệu truyền giữa rất nhiều thiết bị chẳng hạn nh-:
Từ Router đến Router
Từ firewall ®Õn Router
 Tõ PC ®Õn Router
 Tõ PC ®Õn Sever
* Máy chủ xác thực, xác nhận và quản lý tài khoản AAA sever

( Authentication, Authorizatinon, Accouting Sever) đ-ợc sử dụng để tăng
tính bảo mật trong truy cập từ xa của VPN, khi một yêu cầu đ-ợc gửi đến để
tạo nên một phiên làm viêc, yêu cầu này phải đi qua một AAA sever đóng
vai trò proxy. AAA sẽ kiểm tra:
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

17

GVHD:Th.s Nguyễn Công NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Bạn là ai ( xác thực)
Bạn đ-ợc phép làm gì ( xác nhận)
Bạn đang làm gì ( quản lý tài khoản)
Các thông tin về tài khoản sử dụng đặc biệt hữu ích khi theo dõi ng-ời
dùng nhằm mục đích bảo mật, tính hoá đơn, lập báo cáo.
2.1 Các ph-ơng thức nhận dạng ng-ời dùng
Cơ chế xác nhận ng-ời dùng th-ờng đ-ợc triển khai tại các điểm truy
cập và đ-ợc dùng để xác nhận cho ng-ời dùng truy cập vào tài nguyên bên
trong mạng. Kết quả là chỉ có ng-ời dùng hợp lệ thì mới có thể truy cập vào
bên trong mạng, điều làm giảm đáng kể sự truy cập bất hợp pháp vào những
dữ liệu đ-ợc l-u trữ trên mạng.
Một số cách xác nhận th-ờng đ-ợc sử dụng riêng biệt hoặc có thể đ-ợc
kết hợp với một số cách khác bao gồm những cách sau đây:

Login ID and password : Ph-ơng pháp này sử dụng cơ chế xác nhận ID
và mật khẩu cơ bản của hệ thống để xác nhận quyền truy cập của ng-ời dùng
tại các điểm VPN.

S/Key password : Ph-ơng pháp này khởi tạo một S/Key bằng cách lựa
chọn một mật mà bÝ mËt cđa mét con sè tù nhiªn. Sè tù nhiên này bao hàm
cả số lần của một secure hash function (MD4) sẽ đ-ợc sử dụng vào mật khẩu
bí mật . Khi ng-ời dùng login vào hệ thống, máy chủ sẽ cấp phát một hiệu
lệnh kiểm soát. Ch-ơng trình máy khách sẽ yêu cầu nhập mật khẩu bí mật,
gây ra n-1 lần lặp lại hàm băm đến nó và gửi trả lại máy chủ. Máy chủ sẽ
ứng dụng hàm băm này vào thông tin đ-ợc gửi lại, nếu cả hai giá trị đều
giống nhau, ng-ời dùng sẽ đ-ợc xác nhận thành công. Máy chủ sẽ l-u lại
thông tin mà ng-ời dùng gửi cho và giảm bộ đếm mật khẩu.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

18

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Dịch Vụ Quay Số Kết Nối Từ Xa (RADIUS) : RADIUS là một giao
thức bảo mật trên Internet khá mạnh dựa trên mô hình Client/Server, phía
client sẽ truy xuất vào mạng và RADIUS server là khúc mạng cuối sẽ xác
nhận client. Thông th-ờng, RADIUS server xác nhận ng-ời dùng bằng
Username và Password mà nó l-u trữ trong danh sách sẵn có.
RADIUS cũng thực hiện vai trò nh- một client khi xác nhận những
ng-ời dùng nh- là các hệ điều hành nh- UNIX, NT và NetWare, thêm nữa
RADIUS cũng đóng vai trò nh- một client khi RADIUS này kết nối đến
RADIUS khác. Để an toàn thông tin hơn trong quá trình trao đổi dữ liệu, dữ
liệu th-ờng đ-ợc mà hoá theo cơ chế xác nhận, chẳng hạn nh- Password
Authentication Protocol (PAP) vµ Challenge HandShake Authentication

Protocol (CHAP).
Two-Factor Token-Based Technique : Giống nh- tên gọi ám chỉ, kế
hoạch này triễn khai ph-ơng pháp xác nhận đôi để xác nhận những tài liệu
đáng tin của ng-ời dùng. Nó kết hợp tiện ích một của token và một của
pasword. Rrong suốt quá trình xử lý, các thiết bị điện tử phần cứng cơ bản
phục vụ nh- token và ID duy nhất, ví dụ nh- Personal Identification Number
(PIN) đ-ợc sử dụng nh- mật khẩu. Theo truyền thống, token sẽ la thiết bị
phần cứng (có thể là một thẻ card), nh-ng một số nhà cung cấp lại yêu cầu
sử dụng phần mềm để làm token.
Chú thích:

Ban có thể so sánh tính hữu dụng của ph-ơng pháp xác

nhận Two-Factor Token-Based khi bạn rút tiền từ Automated Teller Machine
(ATM). Bạn sẽ làm việc này bằng cách sử dụng một ATM card để truy cập
vào tài khoản cđa b¹n (harardware-based identification) cïng víi mét mËt
khÈu bÝ mËt hoặc một PIN. Chỉ với những nhân tố này kêt hợp với nhau bạn
mới có thể truy nhập vào tài khoản của bạn.
2.2 Điêu khiển truy cập ( Controlling Access).
Sau khi ng-ời dùng đà đ-ợc xác nhận, mặc định anh/chị ấy sẽ đ-ợc phép
truy cập vào những tài nguyên, dịch vụ và những ứng dụng đ-ợc đặt trên
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

19

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ


mạng. Điều này chứng tỏ rằng có một mối đe doạ lớn từ phía ng-ời dùng,
cho dù đà đ-ợc uỷ nhiệm, có thể cố ý hoặc không cố ý làm xáo trộn dữ liệu
trên mạng. Bằng cách sàng lọc tài nguyên bạn có thể han chế đ-ợc việc này.
Controlling Access Rights cũng là một phần tích hợp của controlling
access. Mới đe doạ bảo mật có thể đ-ợc giảm xuống nếu ta giới hạn một số
quyền truy cập ®èi víi ng-êi dïng. VÝ dơ nh- ng-êi dïng chØ đ-ợc phép đọc
dữ liệu còn ng-ời quản tri có quyền chỉnh sửa, xoá dữ liệu.
Ngày nay, một số kỹ thuj cải tiến đà cho phép độ an toàn cao hơn do
việc kết hợp nhiều yếu tố nh- địa chỉ IP nguồn và đích, địa chỉ cổng, và
group, ngày, giờ, thời gian và các ứng dụng v.v
2.3 MÃ hoá dữ liệu.
Mà hoá hoặc mật mà hoá dữ liệu là một trong những thành phần cơ bản
của VPN security. Đây là cơ chế chuyển đổi dữ liệu sang một định dạng
khác không thể đọc đ-ợc, vi dụ nh- ciphertext (văn bản viết thành mật mÃ),
để có thể ngăn cản những truy cập bất hợp pháp khi dữ liệu trao đổi trong
môi tr-ờng mạng không an toàn.
MÃ hoá dữ liệu ngăn chặn đ-ợc các việc sau :
* Nghe trộm và xem lén dữ liệu.
* Chỉnh sữa và đánh cắp lén dữ liệu.
* Giả mạo thông tin.
* Data non-repudiation.
* Sự gián đoạn các dịch vụ mạng.
Khi nhận đ-ợc gói tin, ng-ời nhận sẽ giải mà dữ liệu lại dạng cơ bản
ban đầu. Cho dù dữ liệu có bị chặn trong suốt quá trình trao đổi dữ liệu.
Ng-ời gửi và ng-ời nhận, phụ thuộc vào quá trình mà hoá, d-ới
hình thức là một hệ thống mà hoá. Hệ thống mà hoá (Cryptosystems) có 2
loại sau:
Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

20


GVHD:Th.s Nguyễn Công NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

* Đối xứng (Symmetric)
* Bất đối xứng (Asymmetric)
Một hệ thống mà hoá đ-ợc phân loại dựa vào con số của khoá mà nó
dùng. Một khoá có thể là con số, số từ, hoặc một cụm từ đ-ợc dùng vào mục
đích mà hoá và giải mà dữ liệu.
3. Các thiết bị sử dụng trong VPN
Các kỹ thuật đ-ợc sử dụng phụ thuộc vào một kiểu mô hình VPN mà
muốn xây dựng (truy cập từ xa Remote-Access hay kết nối ngang hàng
Site-to-Site), ta cần một số các thành phần cần thiết để hình thành mô hình
VPN nh- sau:
- Một số thiết bị phần cứng riêng nh-: Bộ tập trung (Concentrater), Bộ định
tuyến VPN thông minh (VPN-optimized routers), hay t-ờng lưa (secure PIX
Firewall).
- C¸c m¸y chđ VPN sư dơng cho các dịch vụ cần thiết.
- Máy chủ NAS (Network Access-Server) dùng cho các ng-ời dùng ở xa
truy nhập.
- Trung tâm quản lý mạng và chính sách VPN.
- Phần mềm máy trạm cho mỗi ng-ời dùng từ xa.
Do hiện nay ch-a có một tiêu chuẩn rộng rải để triển khai VPN, cho nên
đà có nhiều giải pháp cho việc triển khai tron gãi 1 hƯ thèng mang VPN, ta
cã thĨ ®-a ra một vài giải pháp (của Cisco) trong viêc triển khai nh- sau:
- Bé tËp trung VPN (VPN Concentrater) : Tích hợp các -u điểm tiên tiến
nhất của mà hoá và xác nhận. Bộ tập trung VPN đ-ợc chế tạo riêng biệt cho
tính năng truy cập VPN từ xa. Chúng cung cấp khả năng sử dụng với hiệu

quả cao, dễ nâng cấp mở rộng và cung cấp nhiều thành phần gọi là bộ xử lý
mà hoá có khả năng mở rộng, nó cho phép ng-ời dùng dễ dàng tăng thêm

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

21

GVHD:Th.s Nguyễn Công NhËt


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

dung l-ợng và khả năng xử lý. Các bộ tập trung rất phù hợp với các doanh
nghiệp cỡ vừa với số l-ợng ng-ời truy cập đồng thời không cao.

Hinh: Bộ tập trung Cisco3000
- Bộ định tuyến VPN thông minh (VPN-optimized routers) cung cấp khả
năng định tuyến, bảo mật và chất l-ợng dịch vụ mở rộng. Dựa trên nền tảng
phần mềm hệ điều hành Internat của Cisco IOS (Internet Operating System),
đây là một bộ định tuyến rất phù hợp cho tất cả các tr-ờng hợp từ Văn phòng
đến Gia đình truy cập đến trạm VPN hoặc các doanh nghiệp có quy mô lớn.
-

T-ờng lửa bảo mật Secure PIX Firewall Bộ PIX (Private Internet

Exchange) Firewall tích hợp bộ địa chỉ động, máy chủ proxy, bộ lọc gói tin,
t-ờng lửa và VPN trong một phần cứng duy nhất. Thay thế cho việc sử dụng
Cisco IOS, thiết bị này có dung l-ợng cao hơn phù hợp cho khả năng quản lý
nhiều giao thức rất tinh vi, đặc biệt là IP.


Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

22

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Hình: Bộ cisco-PIX-firewall-rearview

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

23

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

Ch-ơng II. Virtual Private Network Protocols.
1. Khái niệm cơ bản về Tunnelling Technology.
1.1 Những điểm thuận lợi của VPN.
Tunneling đ-a ra một số đặc điểm thuận lợi cã ý nghÜa quan träng trong
c«ng nghƯ trun th«ng. Sau đây là một số thuận lợi :
* Đơn giản và dễ triển khai. Bởi vì ý t-ởng của tunneling đơn giản nên
việc triển khai công nghệ này cũng đơn giản và dễ dàng. Hơn nữa , không
cần phải điều chỉnh cơ sở hạ tầng mạng đà có sẵn cho phù hợp với công nghệ
tunneling, điều này tạo ra đ-ợc giải pháp khả thi và có lợi cho những tổ chức
có phạm vi vừa.

* Bảo mật. Cấu tạo tunnel ngăn chặn sự truy cập của những ng-ời dùng
không đ-ợc phép. Kết quả, dữ liệu l-u thông qua tunnel thì t-ơng đối an
toàn, cho dù thực tế dữ liệu đ-ợc thông qua một môi tr-ờng không an toàn
và chung, nh- Internet chẳng hạn.
* Sự hiệu quả về chi phí. Tunneling sử dụng mạng công cộng nhInternet làm trung gian để truyền dữ liệu đến đích. Điều này tạo ra một giải
pháp vô cïng hiƯu qu¶ vỊ chi phÝ khi sư dơng tunneling, đặc biệt là khi so
sánh nó với việc triển khai một mạng Intranet riêng khi thuê đ-ờng line trải
dài trên toàn cầu hoặc với khoáng cách xa. Thêm vào đó, tổ chức có thể tiết
kiệm một số tiền đáng kể dùng để chi phí cho việc bảo trì và quản lý.
* Đồng bộ giao thức. Dữ liệu sử dụng các giao thức không định tuyến,
nh- Network Basic Input/Output System (NetBIOS), và NetBIOS Enhanced
User Interface (NetBEUI) thì không phù hợp với các giao thức Internet nhTCP và IP. Vì lí do đó, những gói dữ liệu không thể định tuyến thông qua
Internet. Tuy nhiên, tunneling cho phép bạn định tuyến qua những gói dữ
liệu non-ip để đi đến đích bằng việc bao bọc chúng "enveloping" bên trong
các gói IP.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

24

GVHD:Th.s Nguyễn Công Nhật


Tìm hiểu về VPN và triển khai VPN cho doanh nghiệp vừa và nhỏ

* Tiết kiệm địa chỉ IP. Nh- đà đề cập ở trên, tunneling cho phép các
giao thức không định tuyến, không địa chỉ IP có thể chèn vào bên trong một
gói sử dụng một địa chỉ IP duy nhất toàn cầu. Kết quả, thay vì phải mua và
đăng ký địa chỉ IP này cho mỗi nút trong mạng, hệ thống mạng có thể mua
một khối nhỏ các địa chỉ IP toàn cau duy nhất. Khi một nút trong mạng riêng

thiết lập một kết nối VPN, bất kỳ một địa chỉ IP sẵn có nào trong khối có thể
đ-ợc dùng gắn vào gói dữ liệu non-IP. Vì thế, mạng riêng có thể giảm sự cần
thiết địa chỉ IP trong một tổ chức.
1.2 Các thành phần của VPN.
Để có thể thiết lập hoàn chỉnh một tunnel giữa hai nút thông tin đầu cuối,
tunneling đ-a ra 4 thành phần yêu cầu sau :
- Mạng đích (Target network). Là mạng trong đó chứa các dữ liệu tài
nguyên mà ng-ời dùng từ xa cần truy cập để sử dụng, là những ng-ời khởi
tạo ra phiên yêu cầu VPN (mạng đích cũng d-ợc hiểu nh- là mạng gia đình
(home network) trong một số tài liêu về VPN).
- Nút khởi tạo (Initiator node). Ng-ời dùng khách hoặc máy chủ khởi
tạo phiên VPN. Nút khởi tạo có thể là một phần của mạng cục bộ hoặc có
thể là ng-ời dùng mobile sử dụng laptop.
- HA (Home Agent). Bề mặt chung của ch-ơng trình là th-ờng c- trú
tại các nút mạng (router) trong mạng đích. Ngoài ra, một nút đích, nh- Dialup Server có thể làm máy chủ HA. HA nhận và xác nhận những yêu cầu gửi
đến để xác thực chúng từ những host đà đ-ợc uỷ quyền. Khi xác nhận thành
công bộ máy khởi t¹o,HA cho phÐp thiÕt lËp tunnel.
- FA (Foreign Agent). Giao diện ch-ơng trình th-ờng c- trú tại các nut
khởi tạo hoặc ở nút truy cập mạng (router) của hệ thống mạng. Các nút khởi
dùng FA để yêu cầu một phiên VPN từ HA ở mạng đích.

Sinh viên thực hiện: Hồ Sỹ Thắng 45K CNTT

25

GVHD:Th.s Nguyễn Công Nhật


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×