Thiết kế hệ thống mạng cho doanh nghiệp vừa và nhỏ có thêm chi nhánh sử dụng VPN

Hiện nay, hầu hết các ứng dụng mới đều yêu cầu rất nhiều tài nguyên của hệ thống và băng thông mạng, cũng như các yêu cầu về điều khiển, giám sát mạng. Vậy làm thế nào để một doanh nghiệp vừa và nhỏ, với một số vốn đầu tư ban đầu hạn chế, có thể tiếp cận được với các công nghệ hiện đại, bắt kịp sự phát triển của thế giới.

MỤC LỤC

LỜI NÓI ĐẦU 4

DANH MỤC CÁC TỪ VIẾT TẮT 5

DANH MỤC HÌNH ẢNH 6

MỞ ĐẦU 8

Chương 1 - TỔNG QUAN VỀ MÔ HÌNH MẠNG DOANH NGHIỆP VỪA VÀ NHỎ 10

1.1 Khảo sát mô hình mạng 1 công ty tư vấn thiết kế xây dựng 10

1.2 Công việc phải thực hiện khi triển khai đề tài 11

Chương 2 - MỘT SỐ DỊCH VỤ MẠNG TRONG WINDOWS SERVER 2003 13

2.1 Tìm hiểu hệ điều hành Windows Server 2003 13

2.1.1 Các phiên bản của Windows Server 2003 13

2.1.2 Tìm hiểu mô hình Domain 13

2.2 Một số dịch vụ mạng của Windows Server 2003 14

2.2.1 Active Directory (AD) 14

2.2.2 DNS 17

2.2.3 DHCP 21

2.2.4 Web Server 24

2.2.5 Mail Server 25

2.2.6 File Server 27

2.2.7 Print Server 27

2.2.8 FTP Server 28

Chương 3 - MẠNG RIÊNG ẢO (VPN) 29

3.1 Khái niệm 29

3.2 Lợi ích của VPN 30

3.3 Các loại VPN 31

3.4 Bảo mật trong VPN 32

3.5 Sản phẩm công nghệ dành cho VPN 34

3.6 Kỹ thuật Tunneling 35

3.6.1 Kỹ thuật Tunneling trong mạng VPN điểm - nối điểm 36

3.6.2 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 37

3.7 Cấu hình VPN 40

3.7.1 Cấu hình cơ bản trên từng Router 40

3.7.2 Cấu hình ISAKMP/IKE 40

3.7.3 Cấu hình IPSec 42

3.7.4 Một số lệnh kiểm tra cấu hình VPN 46

Chương 4 - TIẾN HÀNH TRIỂN KHAI ĐỀ TÀI THIẾT KẾ HỆ THỐNG MẠNG DOANH NGHIỆP 47

4.1 Phần mềm mô phỏng 47

4.1.1 Phần mềm GNS3 47

4.1.2 Phần mềm VMware Workstation 48

4.2 Các bước tiền hành đề tài 48

4.2.1 Cấu hình VPN site to site trên phần mềm GNS3 48

4.2.2 Cài đặt các dịch vụ mạng trên Windows Server 2003 54

4.2.2.1 Cài đặt File Server (Áp dụng cho 2 Server ở Hà Nội và thành phố Hồ Chí Minh) 54

4.2.2.2 Nâng cấp Domain Controller 58

4.2.2.3 Cài đặt DHCP Server 61

4.2.2.4 Cài đặt Web Server và FTP Server 64

4.2.2.5 Cài đặt Mail Server 66

KẾT LUẬN 69

TÀI LIỆU THAM KHẢO 71

PHỤ LỤC 72

LỜI NÓI ĐẦU

Suốt quá trình học tập trong trường Đại học Cộng Nghiệp Hà Nội vừaqua, chúng em đã được các thầy cô cung cấp và truyền đạt tất cả kiến thứcquý giá và thiết thực nhất Ngoài ra, chúng em còn được rèn luyện một tinhthần học tập và rèn luyện tính độc lập, sáng tạo Đây là tính cách hết sức cầnthiết để có thể thành công khi bắt tay vào nghề nghiệp trong tương lai

Em xin chân thành cảm ơn Ban giám hiệu trường Đại học CôngNghiệp Hà Nội, ban chủ nhiệm khoa Điện Tử, cùng các thầy cô giáo đã tậntình giảng dạy, trang bị cho em những kiến thức cần thiết trong những nămhọc tại trường Và quãng thời gian đó thật hữu ích làm em trưởng thành lênrất nhiều khi chuẩn bị ra trường đó là những hành trang không thể thiếu trongcông việc sau này

Em xin chân thành cảm ơn ThS Vũ Thị Thu Hương đã tận tình quantâm, giúp đỡ và hướng dẫn em trong suốt thời gian làm đồ án để em hoànthành tốt đồ án tốt nghiệp này

Mặc dù đã cố gắng trong quá trình học tập và nghiên cứu nhưng dokinh nghiệm thực tế và trình độ chuyên môn chưa được nhiều nên em khôngtránh khỏi những thiếu sót em rất mong được sự chỉ bảo, góp ý chân thành từcác thầy, cô giáo cùng tất cả các bạn

Em xin chân thành cảm ơn!

Hà Nội, ngày 05 tháng 05 năm 2014

Sinh viên thực hiệnMai Hữu Tiến

DHCP Dynamic Host Configuatation Protocol

E-Mail Electronic Mail

FTP File Transfer Protocol

HTTP Hyper Text Transfer Protocol

IIS Internet Infomation Service

IPsec Internet Protocol security

NetBIOS Network Basic Input/Output System

POP3 Post Office Protocol

SMTP Simple Mail Transfer Protocol

TCP Transmission Control Protocol

TCP/IP Transmission Control Protocol/Internet ProtocolVPN Virtual Private Network

Hình 1 1: Sơ đồ mạng tổng quát của công ty 11

Hình 1 2: Mô hình thiết kế VPN doanh nghiệp 1

Hình 2 1: Cấu trúc AD 16

Hình 2 2: DNS Client truy vấn DNS Server 19

Hình 2 3: Client DNS Server sử dụng cơ chế phân cấp của DNS 20

Hình 2 4: Quá trình đạt được địa chỉ IP 22

Hình 2 5: Mô hình hoạt động của Web Server 25

Hình 2 6: Mô hình Mail Server nội bộ 26

Y Hình 3 1: Một mạng VPN điển hình 29

Hình 3 2: Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco 34

Hình 3 3: Gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập tới Router qua Tunnel để tới máy tính của văn phòng từ xa 37

Hình 3 4: Mô hình mạng sử dụng giao thức PPTP 38

Hình 3 5: Mô hình giao thức L2TP 39

Hình 3 6: Mô hình IPSec Client to IPSec Server 39

Hình 4 1: Icon phần mềm GNS3 47

Hình 4 2: Icon phần mềm VMware 48

Hình 4 3: Sơ đồ mạng VPN 49

Hình 4 4: Cấu hình IP ISP 49

Hình 4 5: Cấu hình cơ bản IP HN 49

Hình 4 6: Cấu hình IKE Policy trên Router HN 50

Hình 4 7: Kiểm tra Cryto map trên Router HN 50

Hình 4 8: Kiểm tra ISAKMP SA và IPSec SA trên Router HN 51

Hình 4 9: Cấu hình cơ bản IP SG 51

Hình 4 10: Cấu hình IKE Policy trên Router SG 52

Hình 4 11: Kiểm tra Cryto map trên Router SG 52

Hình 4 12: Kiểm tra ISAKMP SA và IPSec SA trên Router SG 53

Hình 4 13: Ping địa chỉ IP máy ở thành phố Hồ Chí Minh từ máy Hà Nội 53

Hình 4 14: Ping địa chỉ IP máy ở Hà Nội từ máy thành phố Hồ Chí Minh 54

Hình 4 15: Tạo cây thư mục và các thư mục con 54

Hình 4 16: Tạo Groups và Users 55

Hình 4 17: DATA Properties 56

Hình 4 18: Advanced Security Settings for NhanSu 57

Hình 4 19: Địa chỉ IP và DNS của Server 58

Hình 4 20: Lệnh cài Active Directory 58

Hình 4 21: Thiết lập Domain 59

Hình 4 22: Kiểm tra DNS phân giải 60

Hình 4 23: Chọn WINS 61

Hình 4 24: Chọn DHCP 62

Hình 4 25: Các Option trong DHCP 63

Hình 4 26: IP tự động trên máy Client 64

Hình 4 27: Website 65

Hình 4 28: File qua FPT Server 66

Hình 4 29: Add Mailbox 67

Hình 4 30: Mail Offline của Outlook Express 68

MỞ ĐẦU

Hiện nay ngành công nghệ kỹ thuật điện tử phát triển nhanh với côngnghệ ngày càng tiên tiến và hiện đại Một trong những thành tựu lớn nhất màngành điện tử mang lại cho cuộc sống con người là mạng máy tính Đây làmột môi trường thông tin liên kết con người trên toàn cầu lại với nhau, việctrao đổi thông tin bây giờ đã trở nên nhanh chóng, tiện lợi hơn bao giờ hết.Mạng máy tính được hình thành từ nhu cầu muốn chia sẻ tài nguyên và dùngchung nguồn dữ liệu Máy tính cá nhân là công cụ tuyệt vời giúp tạo dữ liệu,bảng tính, hình ảnh, và nhiều dạng thông tin khác, nhưng không cho phépchia sẻ dữ liệu ta đã tạo nên Nếu không có hệ thống mạng, dữ liệu phải được

in ra giấy thì người khác mới có thể hiệu chỉnh và sử dụng được hoặc chỉ cóthể sao chép lên đĩa mềm do đó tốn nhiều thời gian và công sức

Khi người làm việc ở môi trường độc lập mà nối máy tính của mìnhvới máy tính của nhiều người khác, thì ta có thể sử dụng trên các máy tínhkhác và cả máy in Mạng máy tính được các tổ chức sử dụng chủ yếu để chia

sẻ, dùng chung tài nguyên và cho phép giao tiếp trực tuyến bao gồm gửi vànhận thông điệp hay thư điện tử, giao dịch, buôn bán trên mạng, tìm kiếmthông tin trên mạng Một số doanh nghiệp đầu tư vào mạng máy tính để chuẩnhoá các ứng dụng chẳng hạn như: chương trình xử lý văn bản, để bảo đảmrằng mọi người sử dụng cùng phiên bản của phần mềm ứng dụng dễ dàng hơncho công việc Các doanh nghiệp và tổ chức cũng nhận thấy sự thuận lợi củaE-mail và các chương trình lập lịch biểu Nhà quản lý có thể sử dụng cácchương trình tiện ích để giao tiếp, truyền thông nhanh chóng và hiệu quả vớirất nhiều người, cũng như để tổ chức sắp xếp toàn công ty dễ dàng

Trong môi trường Windows, các phần mềm ứng dụng và các dịch vụmạng ra đời nhằm giải quyết các vấn đề chuyên môn một cách hữu hiệu Bêncạnh đó việc quản trị chúng là một công việc không hề đơn giản, đòi hỏi mọingười phải quan tâm

Thấy được tầm quan trọng của mạng máy tính nên em chọn đề tài:

“Thiết kế hệ thống mạng cho doanh nghiệp vừa và nhỏ” Đề tài này sẽ

hướng dẫn từng bước để có thể xây dựng 1 mô hình mạng cho doanh nghiệp,

đi từ đơn giản đến phức tạp Từ những thành phần ban đầu không thể thiếunhư DC, DNS, DHCP cho tới những dịch vụ cao cấp, những công nghệ mớicủa Microsoft để hỗ trợ doanh nghiệp như Mail Offline (Mail Server), WebServer, Hy vọng nó sẽ là 1 tài liệu hữu ích, không chỉ cho những ngườimới làm quen với mạng và hệ thống, mà còn giúp cho chúng ta đang tìm hiểu

về vấn đề này tích lũy thêm kiến thức

Bố cục báo cáo đồ án tốt nghiệp được chia ra thành 5 phần:

Chương 1 - TỔNG QUAN VỀ MÔ HÌNH MẠNG DOANH NGHIỆP VỪA VÀ NHỎ

Chương 2 - MỘT SỐ DỊCH VỤ MẠNG TRONG WINDOWS SERVER 2003

Chương 3 - MẠNG RIÊNG ẢO (VPN)

Chương 4 - TIẾN HÀNH TRIỂN KHAI ĐỀ TÀI THIẾT KẾ HỆ THỐNG MẠNG DOANH NGHIỆP

Và phần KẾT LUẬN.

Chương 1 - TỔNG QUAN VỀ MÔ HÌNH MẠNG DOANH NGHIỆP

VỪA VÀ NHỎ 1.1 Khảo sát mô hình mạng 1 công ty tư vấn thiết kế xây dựng

Hiện nay, hầu hết các ứng dụng mới đều yêu cầu rất nhiều tài nguyêncủa hệ thống và băng thông mạng, cũng như các yêu cầu về điều khiển, giámsát mạng Vậy làm thế nào để một doanh nghiệp vừa và nhỏ, với một số vốnđầu tư ban đầu hạn chế, có thể tiếp cận được với các công nghệ hiện đại, bắtkịp sự phát triển của thế giới

Với quy mô doanh nghiệp doanh nghiệp vừa và nhỏ có 21 ngườithường trực làm việc tại 2 cơ sở, mỗi cơ sở có 4 phòng ban:

 Phòng giám đốc: 1 người 1 máy tính

 Phòng nhân sự: 15 người (bao gồm 1 trường phòng ),15 máytính

 Phòng kế toán: 4 người (bao gồm 1 trưởng phòng), 4 máy tính

 Phòng IT: 1 người 1 máy tính

Theo tính toán mô hình mạng công ty thì mỗi cơ sở của công ty cần cónhững thiết bị mạng sau:

 1 Server dung để lưu trữ dữ liệu, quản lý giám sát máy tính user,đặt Web Server, Mail Server

 21 máy tính làm việc dành cho giám đốc, trưởng phòng và nhânviên

 1 máy in dùng để in tài liệu

 1 Router kết nối Internet

 1 Switch 24 port

Theo yêu cầu thiết kế hệ thống mạng của công ty, ta có sơ đồ sau đây:

Hình 1 1: Sơ đồ mạng tổng quát của công ty

1.2 Công việc phải thực hiện khi triển khai đề tài

 Triển khai File Server

 Triển khai mô hình Domain Controller (DC)

 Triền khai Web Server

 Triển khai FTP Server

 Triển khai Mail Server (Mail Offline)

 Triển khai cấu hình VPN (Site to Site)

 Điểm mới của đề tài:

Doanh nghiệp có 2 cơ sở cần kết nối các máy tính lại với nhau thôngqua mạng Internet công cộng Những máy tính tham gia mạng riêng ảo sẽ

"nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area Network)

Do vậy, VPN là một giải pháp tối ưu trong thiết kế đề tài này vì chi phí thựchiện thấp và tính bảo mật cao

Hình 1 2: Mô hình thiết kế VPN doanh nghiệp

Ngoài ra, Internet là một môi trường công cộng, việc chia sẻ dữ liệu

có tính riêng tư thông qua Internet là cực kỳ nguy hiểm vì những dữ liệu đó

có thể dễ dàng bị rò rỉ, bị ăn cắp Mạng riêng ảo là giao thức trợ giúp việckết nối các máy tính lại với nhau thông qua một kênh truyền dẫn dữ liệu(tunnel) riêng đã được mã hóa

Chương 2 - MỘT SỐ DỊCH VỤ MẠNG TRONG WINDOWS SERVER

2003 2.1 Tìm hiểu hệ điều hành Windows Server 2003

Windows Server 2003 là sản phẩm của hệ điều hành Windows Server

và được cải tiến rất nhiều so với các phiên bản trước đó: bảo mật tốt hơn, độtin cậy cáo hơn và dễ dàng quản trị

2.1.1 Các phiên bản của Windows Server 2003

Do hãng phần mềm Microsoft đưa ra, có rất nhiều phiên bản nhưng có

4 phiên bản được sử dụng rộng rãi:

Windows Server 2003 Web Edition (Phiên bản Web): tối ưu dànhcho các máy chủ web

Windows Server 2003 Standard Edition (Phiên bản Tiêu chuẩn): bảnchuẩn dành cho các doanh nghiệp, các tổ chức nhỏ đến vừa

Windows Server 2003 Enterprise Edition (Phiên bản Doanhnghiệp): bản nâng cao dành cho các tổ chức, các doanh nghiệp vừađến lớn

Windows Server 2003 Datacenter Edittion (Phiên bản Trung tâm Dữliệu): bản dành riêng cho các tổ chức lớn, các tập đoàn ví dụ nhưIBM, DELL…

2.1.2 Tìm hiểu mô hình Domain

Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ

chế Client-Server, trong hệ thống mạng phải có ít nhất một máy tính làm

chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiểntoàn bộ hoạt động của hệ thống mạng Việc chứng thực người dùng và quản

lý tài nguyên mạng được tập trung lại tại các Server trong miền Mô hình nàyđược áp dụng cho các công ty vừa và lớn Trong mô hình Domain củaWindows Server 2003 thì các thông tin người dùng được tập trung lại do dịch

vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng

(domain controller) với tên tập tin là NTDS.DIT Tập tin cơ sở dữ liệu này

được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoftnên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũchỉ lưu trữ được khoảng 5 nghìn tài khoản người dùng Do các thông tinngười dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhậpvào mạng cũng tập trung và do máy điều khiển vùng chứng thực

Một số lợi ích ở domain như sau:

 Triển khai cài đặt một lúc nhiều phần mềm tương tự trên 1 máy

 Chia sẻ tài nguyên dễ dàng hơn giữa các máy tính với nhau

 Công ty có nhiều phòng ban, có nhiều chi nhánh hệ thốngdomain sẽ là một cấu trúc phân cấp giúp ta quản lý từ cao tới thấp,quản lý và thiết lập quyền hạn cho từng phòng ban khác nhau dễdàng bởi nhu cầu và quyền hạn của mỗi phòng ban là khác nhau

 Trên domain còn được tích hợp nhiều dịch vụ đi kèm giúp nângcao hiệu quả quản lý và bảo trì mạng

2.2 Một số dịch vụ mạng của Windows Server 2003

2.2.1 Active Directory (AD)

Active Directory là một dịch vụ thư mục (Directory Service) đã đượcđăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiếntrúc Windows Giống như các dịch vụ thư mục khác, chẳng hạn như NovellDirectory Services (NDS), Active Directory là một hệ thống chuẩn và tậptrung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật vàcác nguồn tài nguyên được phân phối, cho phép tương tác với các thư mụckhác Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môitrường kết nối mạng được phân bổ theo một kiểu nào đó

Active Directory có thể được coi là một điểm phát triển mới so vớiWindows 2000 Server và được nâng cao và hoàn thiện tốt hơn trongWindows Server 2003, trở thành một phần quan trọng của hệ điều hành.Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là

Directory Service, đến tất cả các đối tượng trong một mạng, gồm có: user, groups, computer, printer, policy và permission.

Với người dùng hoặc quản trị viên, Active Directory (AD) cung cấpmột khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cảcác tài nguyên trong mạng

 Chức năng của Active Directory:

 Cung cấp một Server đóng vai trò chứng thực (authentication Server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).

 Lưu giữ một danh sách tập trung các tên tài khoản người dùng,mật khẩu tương ứng và các tài khoản máy tính

 Cho phép chúng ta tạo ra những tài khoản người dùng với những

mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa…

 Cho phép chúng ta chia nhỏ miền chính của mình ra thành các

miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyền cho các

quản trị viên bộ phận quản lý từng bộ phận nhỏ

 Những đơn vị cơ bản của AD:

 Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tínhtrong Active Directory

 Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên

và một cơ sở dữ liệu của các thành viên của chúng

 Organizational unit (OU): Nhóm các mục trong miền nào đó.Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc

công ty của Active Directory theo các điều kiện tổ chức và địa lý.

Hình 2 1: Cấu trúc AD

 Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc

OU Các Site phân biệt giữa các location được kết nối bởi các kếtnối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởimột hoặc nhiều IP subnet

 Các Policy thường dùng trong Doanh nghiệp:

Password Policy:

 Password must meet complexity requirements: Yêu cầu hoặckhông yêu cầu đạt password phức tạp

 Minimum password lenge: yêu cầu độ dài tối thiểu của password

 Maximum password age: Thời gian hiệu lực tối đa của 1password

Security Option:

 Accounts: Rename Administrator account: Đổi tên account

administrator để tăng tính bảo mật.

 Devices: Restrict CD-ROM access to locally logged-on user only:Không cho sử dụng ổ CD Rom

 Devices: Restrict Floppy access to locally logged-on user only:Không cho sử dụng ổ đĩa mềm

 Interactive log on: Do not require CTRL + ALT +DEL: Khôngcần phải nhấn Ctrl – ALT –Del khi log on

 Interactive log on: Messenge text for users atteping to log on: Hiểnthị 1 đoạn văn bản khi user log on vào máy

 Interactive log on: Messenge title for users atteping to log on: hiểnthị tiêu đề cho đoạn văn bản xuất hiện khi user log on

User Configuration  Administrative templates  Desktop

Hide My Network Places icon on the desktop: Ẩn My network Placestrên màn hình desktop của user

User Configuration  Administrative templates  Control panel

Prohibit access to the control panel: Không cho user truy cập vàocontrol panel để tránh việc user can thiệp vào máy tính (ví dụ xóa bớt phầnmềm cài trên máy tính)

2.2.2 DNS

DNS là từ viết tắt trong tiếng Anh của Domain Name System, là hệ

thống tên miền được phát minh vào năm 1984 cho Internet, chỉ một hệ thốngcho phép thiết lập tương ứng giữa địa chỉ IP và tên miền Hệ thống tên miền(DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất

kì nguồn lực tham gia vào Internet Nó liên kết nhiều thông tin đa dạng vớitên miền được gán cho những người tham gia Quan trọng nhất là, nó chuyểntên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết vớicác trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bịkhắp thế giới

Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin với

nhau thông qua địa chỉ IP hoặc là tên máy Tuy nhiên nếu số lượng máy tínhquá nhiều thì việc nhớ địa chỉ IP là rất khó Việc nhớ tên máy sẽ dễ dàng hơn

vì nó có tính trực quan và gợi nhớ hơn địa chỉ IP Vì thế người ta nghĩ ra cáchánh xạ địa chỉ IP thành tên máy tính

Dịch vụ DNS hoạt động theo mô hình Client – Server: Phần Server

(hay còn gọi là name Server) gọi là máy chủ phục vụ, còn phần Client là trìnhphân giải tên –Resolver Name Server chứa các thông tin về cơ sở dữ liệu của

DNS DNS được thi hành như một giao thức tầng Application trong mạng

Mỗi domain có một tên (domain name) Tên domain chỉ ra vị trí của

nó trong CSDL DNS Trong DNS tên miền là chuỗi tuần tự các tên nhãn tạicác nút đó đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm Tên

nhãn bên phải trong mỗi domain name được gọi là Top-level domain.

Các top-level domain:

.com các tổ chức, công ty thương mại

.org các tổ chức phi lợi nhuận

.net các trung tâm hỗ trợ về mạng

 Cơ chế phân giải tên miền

 Phân giải tên thành địa chỉ IP

Root name Server: là máy chủ quản lí các name Server ở mức

top-level domain Khi có truy vấn về một tên miền nào đó thì root name

Server phải cung cấp tên và địa chỉ IP của name Server quản lí

top-level domain (trên thực tế hầu hết các root Server cũng là máy chủ quản

lý top-level domain) và đến lượt các name Server của top-level domain

cung cấp danh sách các name Server có quyền trên các second-level

domain mà tên miền này thuộc vào Cứ như thế cho đến khi nào tìm

được máy quản lí tên miền cần truy vấn

Hình 2 2: DNS Client truy vấn DNS Server

Khi DNS Server nhận được yêu cầu, trước tiên nó sẽ kiểm tra

có cache của mình Sau đó nó kiểm tra để xem nó có thẩm quyền haykhông đối với yêu cầu domain Nếu có biết câu trả lời, nó sẽ hồi đápvới câu trả lời

Nếu DNS Server không biết câu trả lời (lúc này nó sẽ đóng vai

trò là Client DNS Server, thay Client thực hiện truy vấn) và nó không

được cấu hình chuyển tiếp yêu cầu đến một DNS Server khác, ClientDNS Server sẽ sử dụng cơ chế phân cấp của DNS để tìm câu trả lờichính xác Thay vì thực hiện truy vấn đệ quy, Client DNS Server sẽ

thực hiện truy vấn lập đi lập lại (iterative query), với truy vấn này sẽ trả

lại một câu trả lời tốt nhất hiện nay nếu Client DNS Server không biết

câu trả lời tốt nhất Ví dụ như, khi user gõ www.contoso.com vào trình

duyệt, Client DNS Server không có câu trả lời, Client DNS Server sẽliên hệ với một root DNS Server để biết được địa chỉ của máy chủ tên

miền com Client DNS Server sau đó liên hệ với máy chủ tên miền com để lấy máy chủ tên của contoso.com Client DNS Server tiếp tục liên hệ với máy chủ tên miền của contoso.com để lấy địa chỉ IP của

www.contoso.com Client DNS Server trả lời cho Client với địa chỉ IP

đã phân giải Ngoài ra, nó cũng thêm địa chỉ này vào cache của nó chocác truy vấn sau này

Hình 2 3: Client DNS Server sử dụng cơ chế phân cấp của DNS

Trong một vài trường hợp, Client DNS Server không biết câu trả lời và nó không thể tìm thấy câu trả lời, nên Client DNS Server trả lời cho Client rằng nó không thể tìm thấy hoặc là truy vấn domain không tồn tại

 Phân giải IP thành tên máy tính

Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịchcác tập tin log cho dễ đọc hơn Trong không gian tên miền đã nói ở trên

dữ liệu bao gồm cả địa chỉ IP - được lập chỉ mục theo tên miền Do đóvới một tên miền đã cho việc tìm ra địa chỉ IP khá dễ dàng

2.2.3 DHCP

Dynamic Host Configuration Protocol (DHCP - giao thức cấu hình

động máy chủ) là một giao thức cấu hình tự động địa chỉ IP Máy tính đượccấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng

Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ

thống mạng Mục đích quan trọng nhất là tránh trường hợp hai máy tính khácnhau lại có cùng địa chỉ IP

Nếu không có DHCP, các máy có thể cấu hình IP thủ công Ngoàiviệc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác, cụ thểnhư DNS Hiện nay DHCP có 2 version: cho IPv4 và IPv6

Để khởi tạo dịch vụ DHCP ta phải dùng một máy Server cài đặt dịch

vụ DHCP lên và máy đó được gọi là DHCP Server Các máy khi tham gia hệthống mạng được DHCP Server cấp phát IP được gọi là DHCP Client

Giao thức DHCP làm việc theo mô hình Client/Server Theo đó, quá

trình tương tác giữa DHCP Client và Server diễn ra thông qua các gói tin:

 DHCP Discover

 DHCP Offer

 DHCP Request

 DHCP Acknowledgement

Hình 2 4: Quá trình đạt được địa chỉ IP Bước 1: Máy trạm khởi động với “địa chỉ IP rỗng” cho phép liên lạc

với máy chủ DHCP bằng giao thức TCP/IP Nó chuẩn bị một thông điệp(DHCP-DISCOVER) chứa địa chỉ MAC (ví dụ địa chỉ của card Ethernet) vàtên máy tính Thông điệp này có thể chứa địa chỉ IP trước đây đã thuê Máytrạm phát tán liên tục thông điệp này lên mạng cho đến khi nhận được phảnhồi từ máy chủ

Bước 2: Mọi máy chủ DHCP có thể nhận thông điệp và chuẩn bị địa

chỉ IP cho máy trạm Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nóchuẩn bị thông điệp “chào hàng” (DHCP-OFFER) chứa địa chỉ MAC củakhách, địa chỉ IP “chào hàng”, mặt nạ mạng con (subnet mask), địa chỉ IPcủa máy chủ và thời gian cho thuê Địa chỉ “chào hàng” được đánh dấu là

“reserve” (để dành) Máy chủ DHCP phát tán thông điệp chào hàng này lênmạng

Bước 3: Khi khách nhận thông điệp chào hàng và chấp nhận một

trong các địa chỉ IP, máy trạm phát tán thông điệp này (DHCP-REQUEST)

để khẳng định nó đã chấp nhận địa chỉ IP và từ máy chủ DHCP nào

Bước 4: Cuối cùng, máy chủ DHCP khẳng định toàn bộ sự việc với

máy trạm bằng gói tin DHCP – ACK (DHCP - Acknowledgment) Để ý rằnglúc đầu máy trạm phát tán yêu cầu về địa chỉ IP lên mạng, nghĩa là mọi máychủ DHCP đều có thể nhận thông điệp này Do đó, có thể có nhiều hơn mộtmáy chủ DHCP tìm cách cho thuê địa chỉ IP bằng cách gởi thông điệp chàohàng Máy trạm chỉ chấp nhận một thông điệp chào hàng, sau đó phát tánthông điệp khẳng định lên mạng Vì thông điệp này được phát tán, tất cả máychủ DHCP có thể nhận được nó Thông điệp chứa địa chỉ IP của máy chủDHCP vừa cho thuê, vì thế các máy chủ DHCP khác rút lại thông điệp chàohàng của mình và hoàn trả địa chỉ IP vào vùng địa chỉ, để dành cho kháchhàng khác

 Quản lý, giám sát hoạt động dịch vụ DHCP

Cài đặt cấu hình dịch vụ DHCP là một phần của giải pháp mạng Vìmôi trường làm việc của dịch vụ DHCP là động, thay đổi liên tục Vậy nênviệc theo dõi hoạt động này là cần thiết tránh những sự cố có thể xảy ra trong

hệ thống mạng

Giám sát theo dõi các sự kiện: Sự cập nhật thông số của Client, thêm

hoặc bớt máy tính trong hệ thống mạng, thêm bớt mạng con, thêm vào cácServer chuyên dụng…

Sao lưu phục hồi dữ liệu: Đối với dịch vụ DHCP cũng quan trọng

không kém, tăng khả năng chịu lỗi của DHCP Server khi gặp sự cố về phầncứng hoặc phục hồi trong trường hợp đặc biệt

Đồng bộ dữ liệu: Thông thường khi có một số thay đổi về thông tin

trong hệ thống mạng hoặc sau khi phục hồi dữ liệu của DHCP thì sự đồng bộdiễn ra chưa kịp thời nên gây ra những sai sót Để khác phục ta tiến hànhđồng bộ trên hệ thống

Khi đi tiến hành đồng bộ dữ liệu dịch vụ DHCP sẽ tổng hợp 2 thôngtin từ Registry và trong cơ sở dữ liệu để tổng hợp chính xác các thông số cấuhình hiện tại Ta có thể thấy trong Console quản lý

Đưa ra các định mức hoạt động: DHCP Server thông qua tất cả

những gì liên quan đến Server bao gồm luôn: các services, memory,processor, … Theo dõi thông qua các gói tin Discovers, Offer, Requests,Acks,

Dùng các file log theo dõi sự hoạt động hàng ngày.

 Các vấn đề của dịch vụ DHCP:

Có các trường hợp Client tự cài dịch vụ DHCP trong hệ thống mạng(DHCP Server giả mạo) điều này gây ảnh hưởng đến các Client muốn đượccấp IP nhưng nằm xa vị trí DHCP Server thật sự Do tín hiệu xin và cấp địachỉ IP là Broadcast nên sẽ có trường hợp Client nhận không đúng thông số IP

do DHCP Server giả mạo cấp Ta cần ra soát kỹ trong hệ thống mạng củamình

Các thiết bị phần cứng như Router ADSL, Wireless, … cũng có khảnăng cấp địa chỉ IP, do đó cần tắt chức năng cấp IP động trên các thiết bịtrước khi đưa vào sử dụng

Chỉ có thành viên của nhóm DHCP Administrators mới cấu hình và

sử dụng các tính năng trong dịch vụ DHCP Chỉ cần cung cấp đủ quyền chocác đối tượng liên quan đến quản lý duy trì hoạt động của dịch vụ này

2.2.4 Web Server

Dịch vụ World Wide Web (viết tắt là www hoặc Web) là một dịch vụ

cung cấp thông tin trên hệ thống mạng Các thông tin này được lưu trữ dướidạng siêu văn bản (hypertext) và thường được thiết kế bằng ngôn ngữ

HTML (Hypertext Markup Language) Siêu văn bản là các tư liệu có thể là

văn bản (text), hình ảnh tĩnh (image), hình ảnh động (video), âm thanh(audio) , được liên kết với nhau qua các mối liên kết (link) và được truyềntrên mạng dựa trên giao thức HTTP (Hypertext Transfer Protocol), qua đóngười dùng có thể xem các tư liệu có liên quan một cách dễ dàng

Hình 2 5: Mô hình hoạt động của Web Server

Mô hình hoạt động:

 Web Server: Là một ứng dụng được cài đặt trên máy chủ trên

mạng với chức năng là tiếp nhận các yêu cầu dạng HTTP từ máytrạm và tùy theo yêu cầu này máy chủ sẽ cung cấp cho máy trạmcác thông tin web dạng HTML

 Web Client: là một ứng dụng cài trên máy trạm (máy của người

dùng đầu cuối) gọi là Web Browser để gởi yêu cầu đến WebServer và nhận các thông tin phản hồi rồi hiện lên màn hình giúpngười dùng có thể truy xuất được các thông tin trên máy Server.Một trong những trình duyệt Web (Web Browser) phổ biến nhấthiện nay là Internet Explorer của Microsoft

2.2.5 Mail Server

E-mail (electronic mail) là thư điện tử, là một hình thức trao đổi thư

từ nhưng thông qua mạng Internet Dịch vụ này được sử dụng rất phổ biến vàkhông đòi hỏi hai máy tính gởi và nhận thư phải kết nối online trên mạng

Tại mỗi Mail Server thông thường gồm hai dịch vụ: POP3 (PostOffice Protocol 3) làm nhiệm vụ giao tiếp mail giữa Mail Client và MailServer, SMTP (Simple E-mail Transfer Protocol) làm nhiệm vụ giao tiếpmail giữa các máy Mail Server.

Hình 2 6: Mô hình Mail Server nội bộ

Tin nhắn được gửi từ các thiết bị Client như máy tính cá nhân (PC),máy trạm hay các thiết bị di động như điện thoại di động… Các thiết bịClient này kết nối với mạng máy tính tập trung với Server hay các máyMainframe là nơi lưu trữ các hộp thư Các Server kết nối tới mạng Internethoặc mạng riêng (private network) nơi thư điện tử được gửi tới để nhận thưđiện tử của người sử dụng

 Các đặc tính của Email Server

 Email Server có thể xử lý số lượng lớn thư điện tử hàng ngày

 Có Server riêng biệt

 Email Server có tính năng bảo mật an toàn dữ liệu

 Có hệ thống quản trị (Control panel) để quản lý và tạo các tài khoảnemail cho nhân viên

 Có thể cài đặt dung lượng tối đa cho từng email (MDaemon MailServer)

 Nhân viên có thể tự đổi mật khẩu riêng với email Server

 Kiểm tra và quản lý nội dung email của nhân viên trong công ty.

 Email Server có khả năng chống virus và spam mail hiệu quả cựccao

 Email Server hỗ trợ Forwarder Email để cài đặt Email Offline

 Có thể check mail trên Outlook Express

kỳ chương trình nào thay mặt cho khách hàng (Client) Nó được thiết kế chủyếu để cho phép lưu trữ nhanh chóng và lấy dữ liệu, các tính toán được thựchiện bởi các máy trạm

2.2.8 FTP Server

FTP Server là máy chủ lưu trữ tập trung dữ liệu, cung cấp dịch vụFTP để hỗ trợ cho người dùng có thể cung cấp, truy xuất tài nguyên quamạng TCP/IP

FTP (viết tắt của File Transfer Protocol dịch ra là "Giao thức truyềntập tin") thường được dùng để trao đổi tập tin qua mạng lưới truyền thôngdùng giao thức TCP/IP (chẳng hạn như Internet - mạng ngoại bộ - hoặcintranet - mạng nội bộ), người dùng có thể upload và download thông tin mộtcách dễ dàng hơn

FTP cũng là một ứng dụng theo mô hình Client-Server, nghĩa là máylàm FTP Server sẽ quản lý các kết nối và cung cấp dịch vụ tập tin cho cácmáy trạm Nói tóm lại FTP Server thường là một máy tính phục vụ cho việcquảng bá các tập tin cho người dùng hoặc là một nơi cho phép người dùngchia sẻ tập tin với những người dùng khác trên Internet Máy trạm muốn kếtnối vào FTP Server thì phải được Server cấp cho một account có đầy đủ cácthông tin như: địa chỉ máy Server (tên hoặc địa chỉ IP), username vàpassword Phần lớn các FTP Server cho phép các máy trạm kết nối vào mìnhthông qua account anonymous (account anonymous thường được truy cậpvới password rỗng) Các máy trạm có thể sử dụng các lệnh ftp đã tích hợpsẵn trong hệ điều hành hoặc phần mềm chuyên dụng khác để tương tác vớimáy FTP Server

Chương 3 - MẠNG RIÊNG ẢO (VPN) 3.1 Khái niệm

VPN (Virtual Private Network) là công nghệ cung cấp một phươngthức giao tiếp an toàn giữa các mạng riêng dựa vào kỹ thuật gọi là Tunneling

để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặttoàn bộ gói tin vào trong một lớp header chứa thông tin định tuyến có thểtruyền qua mạng trung gian

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng(private network) thông qua các mạng công cộng Về căn bản, mỗi VPN làmột mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nốicùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thaycho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line,mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêngcủa các công ty tới các site hay các nhân viên từ xa

Hình 3 1: Một mạng VPN điển hình

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảođảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trênđường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi(Tunnel) giống như một kết nối point - to - point trên mạng riêng Để có thểtạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đichỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép

nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữlịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trênđường truyền công cộng cũng không thể đọc được nội dung vì không có khóa

để giải mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nốiVPN Các đường kết nối VPN thường được gọi là đường ống VPN (VPNTunnel)

và giảm việc chi phí truy cập từ xa từ 60 - 80%

 Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã cótính linh hoạt và có thể leo thang những kiến trúc mạng hơn lànhững mạng cổ điển, bằng cách đó nó có thể hoạt động kinhdoanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối

mở rộng Theo cách này VPN có thể dễ dàng kết nối hoặc ngắtkết nối từ xa của những văn phòng, những vị trí ngoài quốctế,những người truyền thông, những người dùng điện thoại diđộng, những người hoạt động kinh doanh bên ngoài như nhữngyêu cầu kinh doanh đã đòi hỏi

 Đơn giản hóa những gánh nặng

 Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánhnặng: Sử dụng một giao thức Internet backbone loại trừ nhữngPVC tĩnh hợp với kết nối hướng những giao thức như là FrameRely và ATM

 Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đốivới những người không có quyền truy cập và cho phép truy cậpđối với những người dùng có quyền truy cập

 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay nhưTCP/IP

 Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đãđược mã hóa do đó các điạ chỉ bên trong mạng riêng được chegiấu và chỉ sử dụng các địa chỉ bên ngoài Internet

3.3 Các loại VPN

Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote Access) và VPN điểm - nối - điểm (site - to - site):

-VPN truy cập từ xa còn được gọi là mạng Dial - up riêng ảo (VPDN),

là một kết nối người dùng - đến - LAN, thường là nhu cầu của một tổ chức cónhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở

xa Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cungcấp dịch vụ doanh nghiệp (ESP) ESP này tạo ra một máy chủ truy cập mạng(NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy kháchcho máy tính của họ Sau đó, người sử dụng có thể gọi một số miễn phí đểliên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạngriêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã

Hình 3.1 cho thấy kết nối giữa Văn phòng chính và "Văn phòng" tạigia hoặc nhân viên di động là loại VPN truy cập từ xa)

VPN điểm - nối - điểm là việc sử dụng mật mã dành cho nhiều người

để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng nhưInternet Loại này có thể dựa trên Intranet hoặc Extranet Loại dựa trênIntranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạngriêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LANvới LAN Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiếtvới một công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thểxây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều

tổ chức khác nhau có thể làm việc trên một môi trường chung

Trong hình 3.1 trên, kết nối giữa Văn phòng chính và Văn phòng từ xa

là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh làVPN Extranet

3.4 Bảo mật trong VPN

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và

Internet Ta có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loạigói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN nhưRouter 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửabằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy càitường lửa thật tốt trước khi thiết lập VPN

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một

máy tính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mãriêng và mật mã chung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một

mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mãriêng yêu cầu ta phải biết mình đang liên hệ với những máy tính nào để có thểcài mã lên đó, để máy tính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mãcông cộng Mã riêng này chỉ có máy của ta nhận biết, còn mã chung thì domáy của ta cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó

Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồncung cấp, đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại nàyđược dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép ta mã hóahầu như bất cứ thứ gì

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính

năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm địnhquyền đăng nhập toàn diện hơn

IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóatiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích

thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giaothức này Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và cáctường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec

có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như Router với Router,firewall với Router, PC với Router, PC với máy chủ

Máy chủ AAA:

AAA là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),Authorization (cho phép) và Accounting (kiểm soát) Các Server này đượcdùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối đượcgửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin

về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mụcđích an toàn

3.5 Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), ta sẽ cần phảicài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thểlà:

 Phần mềm cho desktop của máy khách dành cho người sử dụng

từ xa

 Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewallbảo mật PIX

 Server VPN cao cấp dành cho dịch vụ Dial-up

 NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục

vụ người sử dụng từ xa

 Mạng VPN và trung tâm quản lý

Bộ xử lý trung tâm VPN:

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sảnphẩm của Cisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mãhóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN đượcthiết kế chuyên biệt cho loại mạng này Chúng chứa các module xử lý mã hóaSEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tintruyền tải Dòng sản phẩm có các model thích hợp cho các mô hình doanhnghiệp từ nhỏ đến lớn (từ 100 cho đến 10.000 điểm kết nối từ xa truy cậpcùng lúc).

Hình 3 2: Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco

Router dùng cho VPN:

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệđiều hành Internet IOS của mình, hãng Cisco phát triển loại Router thích hợpcho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu của cácdoanh nghiệp quy mô lớn

Tường lửa PIX của Cisco:

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồmmột cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, cáctính năng VPN và chặn truy cập bất hợp pháp

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chứccao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tậptrung vào IP

3.6 Kỹ thuật Tunneling

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra mộtmạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tinvào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua

hệ thống mạng trung gian theo những "đường ống" riêng (tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp header vàchuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nốiTunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnelProtocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuốinhận biết Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnelinterface), nơi gói tin đi vào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

 Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụngbởi mạng có thông tin đang đi qua

 Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức(như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệugốc

 Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệugốc được truyền đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗtrợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn quaInternet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không địnhtuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộngmột mạng riêng trên Internet

3.6.1 Kỹ thuật Tunneling trong mạng VPN điểm - nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (GenericRouting Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin(Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol)

Nó bao gồm thông tin về loại gói tin mà ta đang mã hóa và thông tin về kếtnối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vìdùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa IPSec hoạt động tốttrên cả hai loại mạng VPN truy cập từ xa và điểm-nối-điểm Tất nhiên, nóphải được hỗ trợ ở cả hai giao diện Tunnel

Hình 3 3: Gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập tới Router qua Tunnel để tới máy tính của văn phòng từ xa

3.6.2 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm nối điểm PPP (Point - to - Point Protocol) Là một phần của TCP/IP, PPP đóng

-vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máychủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPNtruy cập từ xa phụ thuộc vào PPP.

Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản củaPPP và dùng trong mạng VPN truy cập từ xa

L2F (Layer 2 Forwarding) được Cisco phát triển L2F dùng bất kỳ cơ

chế thẩm định quyền truy cập nào được PPP hỗ trợ

PPTP (Point - to - Point Tunneling Protocol) được tập đoàn PPTP

Forum phát triển Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ

cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ

Hình 3 4: Mô hình mạng sử dụng giao thức PPTP

L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa

các thành viên PPTP Forum, Cisco và IETF Kết hợp các tính năng của cảPPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec L2TP có thể được sử dụnglàm giao thức Tunneling cho mạng VPN điểm - nối - điểm và VPN truy cập

từ xa Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và Router,NAS và Router, Router và Router So với PPTP thì L2TP có nhiều đặc tínhmạnh và an toàn hơn

Hình 3 5: Mô hình giao thức L2TP IPSec:

 IPSec là sự lựa chọn cho việc bảo mật trên VPN IPSec là mộtkhung bao gồm bảo mật dữ liệu (data confidentiality), tính toànvẹn của dữ liệu (integrity) và việc chứng thực dữ liệu

 IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏathuận các giao thức và thuật toán trên nền chính sách cục bộ(group policy) và sinh ra các khóa bảo mã hóa và chứng thựcđược sử dụng trong IPSec