Triển khai VPN trên Linux tại Trung tâm Giao dịch CNTT Hà Nội (Báo cáo thực tập tổng hợp tại Trung tâm Giao dịch CNTT Hà Nội)

Triển khai VPN trên Linux tại Trung tâm Giao dịch CNTT Hà Nội (Báo cáo thực tập tổng hợp tại Trung tâm Giao dịch CNTT Hà Nội)

LỜI NÓI ĐẦU

Trung tâm giao dịch CNTT Hà Nội (HITTC) được biết đến là đơn vị sựnghiệp khoa học và công nghệ trực thuộc Sở Bưu chính viễn thông Hà Nội.Trung tâm là một trong những đơn vị đi đầu trong việc hỗ trợ phát triển cácdoanh nghiệp kinh doanh trong lĩnh vực CNTT Là cầu nối quan trọng giữaChính quyền thành phố với các doanh nghiệp CNTT, giữa thị trường CNTTtrong nước với quốc tế Thông qua hoạt động của mình Trung tâm tham mưucho Thành phố trong việc xây dựng cơ chế, chính sách và giải pháp phù hợpnhằm thúc đẩy sự phát triển toàn diện ngành CNTT Việt Nam

Với môi trường làm việc cụ thể tại Trung tâm Giao dịch CNTT Hà Nội,được sự giúp đỡ tận tình của Lãnh đạo Trung tâm và các phòng, ban chuyênmôn nghiệp vụ, qua tìm hiểu thực tế về những vấn đề lý thuyết đã được họctại trường Dưới đây là bản Báo cáo Thực tập Tổng hợp của em về những vấn

đề cơ bản của Trung tâm Trong quá trình viết báo cáo không tránh khỏinhững thiếu sót, hạn chế em kính mong Lãnh đạo Trung tâm, các phòng, banchuyên môn nghiệp vụ và cô giáo hết sức giúp đỡ tạo điều kiện cho em hoànthành thực tập để chuẩn bị cho kỳ thi tốt nghiệp Em xin trân trọng cảm ơnLãnh đạo Trung tâm, các phòng, ban chuyên môn nghiệp vụ và giáo viênhướng dẫn Nguyễn Thanh Hương

Em xin chân thành cảm ơn!

Nội dung báo cáo tổng quan bao gồm những nội dung sau:

Phần 1:Giới thiệu về nơi thực tập – Trung tâm Giao dịch CNTT Hà Nội

I) Giới thiệu về Trung tâm Giao dịch CNTT Hà Nội

II) Chức năng hoạt động của Trung tâm Giao dịch CNTT Hà NộiIII) Mô hình hoạt động và các hoạt động của Trung tâm Giao dịchCNTT Hà Nội

Địa chỉ: 185 Giảng Võ- Đống Đa - Hà Nội

Điện thoại: (84) 04 5121430 Fax: (84) 04 5121430

Website: http://www.hittc.org.vn

Trung tâm Giao dịch CNTT Hà Nội là đơn vị sự nghiệp Khoa học trựcthuộc Sở Bưu chính, Viễn thông thành phố Hà Nội.Ngày 1/10/2004,UBND TP Hà Nội đã ban hành quyết định thành lập Trung tâm Giao dịchCNTT Hà Nội (HITTC) trực thuộc Ban CNTT Thành phố, có trụ sở tại K1,Hào Nam, Hà Nội

Theo đó, HITTC là đơn vị sự nghiệp khoa học và công nghệ, thực hiệncác chức năng liên kết thị trường CNTT Hà Nội với thị trường CNTT toànquốc, khu vực và thế giới, là cầu nối giữa các doanh nghiệp CNTT với các tổchức, kinh tế xã hội trên địa bàn thành phố và khu vực

HITTC tổ chức các hoạt động giao dịch các sản phẩm CNTT trên cả haihình thức: giao dịch trực tiếp theo phương thức truyền thống và giao dịch ảothông qua mạng Internet, hỗ trợ các doanh nghiệp CNTT trên địa bàn Thành

phố trao đổi mua bán, sản phẩm CNTT và ứng dụng CNTT vào các ngànhkinh tế xã hội.

HITTC cũng là đầu mối định tuyến, liên kết các hệ thống thông tin của

TP trong các giao dịch: Cổng giao dịch điện tử, giao dịch truy xuất thông tinphục vụ công tác quản lý điều hành và các trung tâm tích hợp dữ liệu theođịnh hướng Chính phủ điện tử của Thành phố Cung cấp các dịch vụ CNTT,các dịch vụ hạ tầng và các dịch vụ khác

Trung tâm đẩy mạnh các hoạt động hỗ trợ doanh nghiệp và cộng đồngCNTT như: Xúc tiến thương mại điện tử; quảng bá và giới thiệu sản phẩmmới; tư vấn và cung cấp thông tin về thị trường CNTT và xúc tiến thương mạiquốc tế Bên cạnh đó, trung tâm sẽ là nhà cung cấp dịch vụ ISP dùng riêng,dịch vụ thông tin Internet (ICP) và tương lai sẽ là nhà cung cấp dịch vụ kếtnối Internet (IXP), ISP và dịch vụ trực tuyến (OSP) Trung tâm giao dịchCNTT Hà Nội (HITTC) là đơn vị sự nghiệp khoa học và công nghệ trực thuộc

Sở Bưu chính viễn thông Hà Nội Trung tâm là một trong những đơn vị đi đầutrong việc hỗ trợ phát triển các doanh nghiệp kinh doanh trong lĩnh vựcCNTT Là cầu nối quan trọng giữa Chính quyền thành phố với các doanhnghiệp CNTT, giữa thị trường CNTT trong nước với quốc tế Thông qua hoạtđộng của mình Trung tâm tham mưu cho Thành phố trong việc xây dựng cơchế, chính sách và giải pháp phù hợp nhằm thúc đẩy sự phát triển toàn diệnngành CNTT Việt Nam

II) Chức năng hoạt động của Trung tâm Giao dịch CNTT Hà Nội

HITTC là đơn vị sự nghiệp khoa học và công nghệ, thực hiện các chứcnăng liên kết thị trường CNTT Hà Nội với thị trường CNTT toàn quốc, khuvực và thế giới, là cầu nối giữa các doanh nghiệp CNTT với các tổ chức, kinh

tế xã hội trên địa bàn thành phố và khu vực kinh tế trọng điểm Bắc Bộ

Cầu nối giữa Chính quyền thành phố Hà Nội với các doanh nghiệpCNTT Thông qua hoạt động của mình, Trung tâm tham mưu cho Thành phốtrong việc đề ra các cơ chế, chính sách và giải pháp phù hợp nhằm đẩy mạnhcác ứng dụng và phát triển CNTT nói chung và ngành công nghiệp CNTT nóiriêng.

III) Mô hình hoạt động và các hoạt động của trung tâm Giao dịch CNTT

Hà Nội

III.1 Mô hình hoạt động

Mô hình Trung tâm Giao dịch công nghệ thông tin Hà Nội, là sự kết hợphai không gian thực và ảo, với mô hình “chợ giao dịch thực” – không gianthực, nơi giao lưu, giới thiệu, mua và bán các sản phẩm, dịch vụ CNTT, bêncạnh mô hình “chợ ảo” , hoạt động của Trung tâm Giao dịch CNTT là phục

vụ sự phát triển chung của cộng đồng CNTT

Đây sẽ là một địa điểm hội tụ được nguồn nhân lực CNTT, nối kết quan

hệ cung cầu, kích thích thị trường CNTT Hà Nội phát triển

Công trình Trung tâm Giao dịch công nghệ thông tin với vị trí thuận lợi,được quản lý vận hành khai thác đúng hướng chắc chắn sẽ góp một phầnkhông nhỏ trong chương trình ứng dụng và phát triển CNTT, nâng cao trình

độ và nhận thức của người dân Thủ đô, thúc đẩy sự phát triển của ngành côngnghiệp CNTT trở thành ngành kinh tế mũi nhọn, đóng góp một phần vào côngcuộc công nghiệp hoá, hiện đại hoá đất nước, và tiến trình hội nhập kinh tếquốc tế

III.2 Các hoạt động

III.2.1 Hoạt động xúc tiến thương mại

Hoạt động xúc tiến thương mại là một trong hoạt động cơ bản của Trungtâm, đảm bảo chức năng hỗ trợ các doanh nghiệp CNTT trong quảng bá sảnphẩm, dịch vụ đối với thị trường tiêu dùng Đặc điểm chính hoạt động nàyđược đánh giá như sau:

- Hoạt động được xuất phát từ chính nhu cầu của doanh nghiệp trong nỗlực xúc tiến thị trường đối với các sản phẩm, dịch vụ của doanh nghiệp cungcấp cho các đối tượng tiêu dùng

- Có rất nhiều phương pháp tiếp cận với thị trường được các doanhnghiệp áp dụng, một trong những phương pháp có hiệu quả đó là tổ chứctrưng bày, giới thiệu các sản phẩm, dịch vụ tại một địa điểm thuận lợi cho cácđối tượng tiêu dùng đến tiếp xúc và tìm hiểu (doanh nghiệp cần có địa điểmtrưng bày, giới thiệu các sản phẩm, dịch vụ ); Tổ chức các buổi hội thảo thôngqua đó doanh nghiệp trình diễn và phổ biến các kiến thức về đặc điểm sảnphẩm, thông tin cho khách hàng những lợi ích, đặc điểm nổi trội của sảnphẩm, dịch vụ (doanh nghiệp cần tổ chức hội thảo)

III.2.2 Hoạt động xúc tiến đầu tư

Hoạt động xúc tiến đầu tư là hoạt động cơ bản thứ 2 nhằm đảm bảo chứcnăng là cầu nối giữa thị trường, doanh nghiệp CNTT Hà Nội với các thịtrường và đối tác nước ngoài Các hoạt động xúc tiến đầu tư thường nhằm cácmục đích sau:

- Thu hút đầu tư FDI (đầu tư trực tiếp của nước ngoài) vào Hà Nội

Tạo mối liên kết giữa doanh nghiệp trong nước với các đối tác nướcngoài nhằm tìm kiếm cơ hội hợp tác, gia công xuất khẩu phần mềm cho cácthị trường nước ngoài.

Xúc tiến đầu tư thông thường thực hiện các hoạt động sau:

- Quảng bá giới thiệu môi trường hấp dẫn đầu tư của Hà Nội

- Cung cấp các thông tin cần thiết cho các đối tác có ý định đầu tư

- Thuyết phục các Nhà đầu tư quyết định đầu tư tại Hà Nội

Tư vấn và hỗ trợ hoàn thành các thủ tục đầu tư

III.2.3 Hoạt động dịch vụ hạ tầng CNTT và Internet

Hoạt động dịch vụ hạ tầng CNTT và Internet nhằm đảm bảo môi trườngCNTT kết nối Internet cho các đối tượng sau:

- Cho các hoạt động của Trung tâm:

 Quản lý, điều hành, nghiệp vụ bên trong

 Sàn giao dịch thương mại điện tử

- Cung cấp theo yêu cầu của các công ty trong Toà nhà: hệ thống mạngLAN, truy nhập Internet và các dịch vụ trên Internet khác

- Phục vụ yêu cầu đảm bảo hạ tầng CNTT cho các đơn vị của Thành phố(theo nhiệm vụ cấp trên giao)

III.2.4 Hoạt động xúc tiến thương mại điện tử

Đây là hoạt động sẽ mở ra hướng phát triển mới trong hỗ trợ các doanhnghiệp CNTT phát triển sản xuất kinh doanh, hay nói một cách khác đầu tưxây dựng “Sàn Giao dịch TMĐT” Trung tâm Giao dịch CNTT Hà Nội đảmbảo chức năng thứ hai là hình thành hệ thống “chợ ảo” trong hỗ trợ các doanh

III.2.5 Hoạt động cho thuê văn phòng và khai thác hạ tầng Toà nhà

Hoạt động cho thuê văn phòng và khai tác hạ tầng Toà nhà là những hoạtđộng tạo nguồn thu cơ bản đảm bảo duy trì hoạt động của Toà nhà, đảm bảokhả năng tích luỹ để tái đầu tư lại công trình, mặt khác tạo ra một mức doanhthu ổn định của Trung tâm, trong giai đoạn đầu phát triển khi các hoạt độngxúc tiến của Trung tâm chưa phát triển, các hoạt động có thu phí chưa nhiềuthì doanh thu từ hoạt động cho thuê văn phòng và khai tác hạ tầng Toà nhà sẽgiúp cho Trung tâm duy trì được hoạt động, đảm bảo một phần quĩ lươngHoạt động cho thuê văn phòng và khai tác hạ tầng Toà nhà được tập trung vàocác loại dịch vụ sau:

- Cho các doanh nghiệp CNTT thuê văn phòng

- Các dịch vụ khai thác hạ tầng của Toà nhà: thuê hệ thống mạng cápmáy tính, cáp điện thoại; khai thác phía ngoài Toà nhà; cho thuê phòng hộithảo, phòng học; tổ chức căng tin cung cấp cho nhu cầu sinh hoạt chung củacác cá nhân, tổ chức trong Toà nhà; khai thác sân bãi cho thuê để xe ô tô, xemáy, … chung cho cán bộ, nhân viên của Trung tâm

V) Bộ máy tổ chức của Trung tâm Giao dịch công nghệ thông tin Hà Nội

Sơ đồ 1 Sơ đồ bộ máy tổ chức của Trung tâm Giao dịch công nghệ thông tin Hà Nội

trị-TP:Kiều Ngọc Thanh

Phòng kỹ dịch vụ

thuật-TP: Trương Vũ Trung

Phòng kế hoạch -tài chính

TP: Nguyễn Văn Ánh

Tổ tạp vụ

Tổ bảo vệ

Tổ kỹ thuật hệ thống

Tổ phát hiện phần mềm ứng dụng

IV) Nguồn Tài chính:

Trung tâm Giao dịch CNTT Hà Nội là đơn vị sự nghiệp có thu, trựcthuộc Sở Bưu chính, Viễn thông Hà Nội, tài chính của Trung tâm gồm cácnguồn sau:

IV.1 Nguồn kinh phí hoạt động do Nhà nước cấp:

Một phần Kinh phí hoạt động thường xuyên được Ngân sách Thành phốcấp thông qua số biên chế của Trung tâm được cấp có thẩm quyền phê duyệt.Kinh phí Ngân sách cấp chi thường xuyên còn thừa được để lại, chuyển sangnăm sau theo quy định của Nhà nước đối với đơn vị Sự nghiệp có thu

Ngoài ra còn một số kinh phí khác do cơ quan cấp trên giao thực hiệncác nhiệm vụ Kinh tế - Chính trị, cụ thể như:

1 Kinh phí các chương trình mục tiêu cấp quốc gia, cấp thành phố;

2 Nhiệm vụ đột xuất được cấp có thẩm quyền giao;

3 Kinh phí thực hiện các đề tài nghiên cứu khoa học cấp Nhà nước, cấp

Bộ, ngành, cấp thành phố;

4 Kinh phí thực hiện tinh giản biên chế;

5 Vốn đầu tư xây dựng cơ bản; vốn đối ứng dự án và vốn viện trợ;

6 Kinh phí mua sắm và sửa chữa lớn tài sản cố định

7 Kinh phí hỗ trợ hoạt động chương trình CNTT (nếu có)

8 Kinh phí thực hiện các dự án

9 Theo đơn đặt hàng của Nhà nước

IV.2 Nguồn Thu sự nghiệp:

Thu hoạt động các dịch vụ cung cấp cho các doanh nghiệp trên cơ sở bùđắp chi phí và có tích lũy một phần, gồm có các dịch vụ sau:

1 Dịch vụ xúc tiến giao dịch thương mại các sản phẩm Công nghệ thôngtin

2 Dịch vụ xúc tiến thương mại điện tử

3 Các dịch vụ gia tăng trên Internet

4 Dịch vụ cho thuê Văn phòng

5 Dịch vụ đào tạo và chuyển giao công nghệ

6 Dịch vụ hội thảo, hội nghị

7.Thu khác

V) Hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin Hà Nội

192.168.10.254/24

172.16.10.118 Tomcat, Apache svr

Mail Server

Switch L2

IP dong do DHCP (192.168.10.0

 10.99)

172.16.10.117

eth1

eth0 Internet

Sơ đồ 2: Sơ đồ hệ thống mạng tại Trung tâm Giao dịch công nghệ thông tin

Hà Nội

Hệ thống mạng tại trung tâm được chia làm 2 hệ thống mạng con riêng biệt

Hệ thống mạng con thứ nhất được dùng cho chính các phòng ban tại trung tâm này Hệ thống mạng con thứ hai được dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC

V.1) Hệ thống mạng dùng cho các phòng ban của trung tâm HITTC

192.168.10.254/24

172.16.10.118 Tomcat, Apache svr

Mail Server

Switch L2

IP dong do DHCP (192.168.10.0

Sơ đồ 3: Sơ đồ của hệ thống mạng dùng cho các phòng ban của Trung tâm

Mô tả chung:

Hoạt động của hệ thống mạng này do ba máy chủ quản lý, bao gồm mộtmáy chủ trung tâm, một Mail Server và một Web Server Hệ thống này kếtnối ra Internet thông qua một Modem ADSL của FPT Như vậy, modem này

sẽ dùng 4 cổng để giao tiếp Các máy tính tại các phòng ban đóng vai trò làcác Workstation được cấu hình địa chỉ IP động thông qua dịch vụ DHCP tạimáy chủ trung tâm cung cấp Các Workstation này kết nối với máy chủ trungtâm thông qua một Switch L2 Hệ điều hành được dùng trong hệ thống mạngtại đây là hệ điều hành Linux Đây là hệ điều hành với các khả năng đanhiệm, đa tác vụ, đa người dùng, là một hệ điều hành uyển chuyển ( có thểhoạt động trên nhiều loại phần cứng), đáng tin cậy và ổn định

Các thông số kỹ thuật của các máy chủ

Máy chủ trung tâm

3GHz

Intel P4DualCore 3GHz

Intel Xeon 3GHz

V.1.1 Máy chủ trung tâm

Máy chủ trung tâm có 2 card mạng Card mạng thứ nhất có địa chỉ IP là192.168.10.254, subnetmash: 255.255.255.0, được gắn với một Switch L2,thông qua thiết bị Switch này, hệ thống mạng có thể tạo ra các đoạn mạngkhác nhau, các đoạn mạng này là các máy Workstation đặt tại các phòngban.Card mạng thứ hai có địa chỉ IP: 172.16.10.253, subnetmash:255.255.255.0 Card mạng này kết nối ra ngoài Internet thông qua Modem

ADSL của FPT và cũng thông qua modem này giao tiếp được với máy chủWeb và máy chủ File.

Máy chủ trung tâm đóng vai trò cung cấp các ứng dụng và dịch vụ mạng

tới các thiết bị đầu cuối nối mạng như các máy trạm (workstation), các đầu

cuối nối mạng (terminal), các thiết bị ngoại vi

Các ứng dụng và các dịch vụ đó là : Squid, Ldap, Mysql, FTP, DHCP,

và máy chủ này còn đóng vai trò như một gateway, là cầu nối 2 mạng khácnhau ( mạng eth0 và mạng eth1 như trong sơ đồ) Máy chủ này cũng là mộtproxy server Nó ngăn chặn tất cả các yêu cầu tới máy chủ thật nếu nó không

có khả năng trả lời đầy đủ các yêu cầu

*) Các dịch vụ cài đặt trên máy chủ trung tâm:

Squid

Squid là một proxy server, khả năng của squid là tiết kiệm băngthông(bandwidth), cải tiến việc bảo mật, tăng tốc độ truy cập web Squid đưa

ra kỹ thuật lưu trữ ở cấp độ cao của các web client, đồng thời hỗ trợ các dịch

vụ thông thường như FTP, Gopher và HTTP Squid lưu trữ thông tin mới nhấtcủa các dịch vụ trên trong RAM, quản lý một cơ sở dữ liệu lớn của các thôngtin trên đĩa, có một kỹ thuật điều khiển truy cập phức tạp, hỗ trợ giao thứcSSL cho các kết nối bảo mật thông qua proxy

LDAP

LDAP là một dịch vụ thư mục, nó là ngôn ngữ chung cho phép LDAPkhách và chủ giao tiếp với nhau Đây là một giao thức mạng cho phép truynhập các thông tin trong một thư mục, xác định cấu trúc và đặc điểm củathông tin trong thư mục, là một không gian tên cho phép xác định cách các

thông tin được tham chiếu và tổ chức và nó cũng là một mô hình các thao táccho phép xác định cách tham chiếu và phân bố dữ liệu.

MySQL

MySQL là hệ quản trị cơ sở dữ liệu mã nguồn mở phổ biến nhất.MySQL được sử dụng cho việc bổ trợ PHP, Perl, và nhiều ngôn ngữ khác, nólàm nơi lưu trữ những thông tin trên các trang web viết bằng PHP hayPerl, FPT

FTP được dùng để trao đổi tập tin qua mạng lưới truyền thông dùng giaothức TCP/IP (chẳng hạn như Internet - mạng ngoại bộ - hoặc intranet - mạngnội bộ) Máy chủ FTP lắng nghe yêu cầu về dịch vụ của các máy tính kháctrên mạng lưới Máy khách chạy phần mềm FTP dành cho người sử dụng dịch

vụ khởi đầu một liên kết với máy chủ Khi hai máy đã liên kết với nhau, máykhách có thể xử lý một số thao tác về tập tin, như tải tập tin lên máy chủ, tảitập tin từ máy chủ xuống máy của mình, đổi tên của tập tin, hoặc xóa tập tin ởmáy chủ v.v

DHCP

Thông qua dịch vụ DHCP, máy chủ trung tâm cung cấp các máy trạmdải địa chỉ IP là 192.168.10.0 đến 192.168.10.99, subnetmash: 255.255.255.0 DHCP là một giao thức mở, được sử dụng để làm giảm sự phức tạp củaviệc quản trị các mạng dựa trên nền TCP/IP Quản lý địa chỉ IP và các tùychọn cho máy sẽ dễ dàng hơn rất nhiều khi thông tin cấu hình có thể quản lý

từ một địa điểm đơn hơn là kết hợp thông tin từ nhiều địa điểm DHCP cấuhình tự động cho một máy trạm khi nó khởi động trên một mạng TCP/IP cũngnhư có thể thay đổi các thiết lập trong khi các máy đang kết nối trên mạng

Tất cả các việc này được thực hiện bằng cách sử dụng các thiết lập và thôngtin từ CSDL DHCP trên máy chủ trung tâm

Các ứng dụng và dịch vụ cài đặt trên máy chủ này là Apache và Tomcat.Apache được phát triển để làm việc như một web server thuần túy và có thểđảm đương cả công tác của một proxy server Tomcat (Apache Tomcat) làmột servlet / jsp container Nó có khả năng phục vụ http requests, cung cấpcác thư viện Java cần thiết cho web applications (vì nó đóng vai tròcontainer)

V.1.4 Switch L2

Switch L2 có khả năng kết nối được nhiều đoạn lại với nhau, mỗi đoạnmạng là từng máy workstation Switch này “học” thông tin của mạng thôngqua các gói tin (packet) mà nó nhận được từ các máy trong mạng Trong cácgiao tiếp dữ liệu, Switch thường có 2 chức năng chính là chuyển các khung

dữ liệu từ nguồn đến đích, và xây dựng các bảng Switch

-Băng thông chuyển mạch 8.8Gbps

-Giao diện quản lý web-based

-Hỗ trợ QoS

-Quản lý băng thông từng cổng

-Bộ nhớ đêm 3Mb

Đặc tính phần mềm:

+ Quản lý bằng giao diện Web hoặc Inband Local Console + Hỗ trợ VLAN, cho phép tối đa 255 VLAN

+ Hỗ trợ thiết lập tính ưu tiên theo cổng: Bao gồm 3 mức thiết lậpdisable, low và high Khi thiết lập cổng ở chế độ disable, các gói tin đến sẽđịnh hướng theo thiết lập QoS, ngược lại các gói tin sẽ định hướng theo thiếtlập low/high

+ Hỗ trợ port mirror

+ Hỗ trợ điều khiển băng thông từng cổng

V 2) Hệ thống mạng dùng cho các khối văn phòng của các công ty có trong tòa nhà HITTC

Mail Server 172.16.10.117

Internet

Modem ADSL

VDC 192.168.1.254/24

Sơ đồ 4: Sơ đồ hệ thống mạng dùng cho các khối văn phòng của các công ty

có trong tòa nhà HITTC

Các khối văn phòng của các công ty khác (ví dụ: Vietcard, Masui, )trong tòa nhà HITTC có nhu cầu lắp đặt hệ thống mạng cho công ty của mình

và kết nối ra ngoài Internet sẽ được đặt trong hệ thống mạng này Switchlayer 3 có tính năng như một router được tích hợp nhiều port LAN, nó có khảnăng tìm đường đi trên mạng đây là bộ bộ chuyển kênh trung tâm, thiết bịnày có cấu hình mạnh sẽ nối với các switch ở từng tầng , nhờ thiết bị này cácVLAN có thể kết nối với nhau Mỗi VLAN là hệ thống mạng của từng công

ty trong tòa nhà HITTC, các VLAN này được tạo ra bởi các Switch L2 ở cáctầng Hệ thống mạng này kết nối Internet thông qua một modem ADSL củaVDC

Switch SMC8724ML3 có các tính năng mạnh gồm QoS/CoS, VLAN,

và bảo mật Hỗ tợ tới 8 hàng đợi phân mức ưu tiên 802.1p/ToS/DiffServ, sựphân lớp dựa trên MAC SA/DA, IP SA/DA, và/hoặc TCP/UDP Các đặc tínhbảo mật bao gồm: 802.1x (Port Authentication), port security, và AccessControl Lists (ACL) dựa trên điạ chỉ MAC, địa chỉ IP, và/hoặc số hiệu cổngTCP/UDP Switch này cũng hỗ trợ tốt các tính năng GARP/GVRP, 802.1q, vàthiết lập VLAN hết sức linh hoạt dựa trên cổng VLAN tag và giao thức

Phần 2: Triển khai mạng riêng ảo tại Trung tâm

Lý do chọn đề tài

Sau một thời gian thực tập và nghiên cứu hệ thống mạng tại Trung tâmGiao dịch công nghệ thông tin Hà Nội, em nhận thấy đây là một mô hìnhmạng khá hoàn chỉnh, qui mô với các thiết bị và cách lắp đặt các ứng dụng vàdịch vụ trên hệ thống một cách khoa học và hợp lý Tuy nhiên tại đây, việctriển khai OpenVpn cho hệ điều hành Linux mới chỉ là ở mức nghiên cứu lýthuyết, do đó, em chọn đề tài này với mong muốn đóng góp một ý tưởng đểcho hệ thống mạng tại đây ngày một hoàn thiện hơn

Mục tiêu của đề tài và kết quả dự kiến

Trong khuôn khổ của bài báo cáo chuyên đề, em xin được đưa ra nộidung của việc triển khai mạng riêng ảo tại Trung tâm giao dịch CNTT HàNội Cần phải nêu rõ rằng, đề tài này chỉ đưa ra nội dung của việc triển khaichứ không đi sâu vào các cơ chế hoạt động và cơ chế bảo mật của mạng riêng

ảo Do đó, mục tiêu của đề tài là xây dựng một mô hình mạng riêng ảo nhằmđáp ứng cho việc khai thác dữ liệu, dịch vụ của Trung tâm, đảm bảo các côngviệc của Trung tâm ở bất cứ nơi đâu mà không phải làm việc ở văn phòng Từ

đó bài báo cáo sẽ cung cấp những hiểu biết về các chức năng, ưu điểm,phương thức hoạt động và các giao thức của mạng riêng ảo

Từ những mục tiêu phải đạt được ở trên, trong khuôn khổ của bài báocáo chuyên đề cần đưa ra được những nội dung sau:

- Giao thức áp dụng cho việc xây dựng mạng riêng ảo

- Cách cài đặt và cấu hình mạng riêng ảo

II) Nội dung triển khai VPN trên Linux tại Trung tâm Giao dịch CNTT

Hà Nội

II.1 Cơ sở lý thuyết

I.1.1 Lợi ích của mạng riêng ảo:

- VPN làm giảm chi phí thuờng xuyên: VPN cho phép tiết kiệm đến 60% chi phí thuê đường truyền và giảm đáng kể tiền cuớc gọi đến của các

nhân viên ở xa nhờ vào việc họ truy nhập thông qua các điểm cung cấp dịch

vụ POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến modemtập trung Tổng giá thành của việc sở hữu một mạng VPN sẽ đuợc thu nhỏ.Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụngđuờng Leased-line truyền thống Còn đối với việc truy cập từ xa thì giảm tới

- Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho các máy chủ, cho

bộ định tuyến mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy

nhập bởi các thiết bị này do nhà cung cấp dịch vụ quản lý và làm chủ

- Giảm chi phí quản lý và hỗ trợ: Với việc tận dụng cơ sở hạ tầng Internet và các thiết bị mạng do ISP quản lý thì các công ty vẫn có thể sử

dụng mạng riêng ảo mà không cần trang bị các thiết bị phức tạp và đạo tạođội ngũ cán bộ để quản lý mà việc này do nhà cung cấp đảm nhiệm

- VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN đã

kế thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng

hơn là các mạng WAN truyền thống Ðiều này giúp các doanh nghiệp có thểnhanh chóng và hiệu quả cao trong việc mở rộng hay hủy bỏ kết nối của cáctrụ sở ở xa, của những nguời sử dụng di dộng…, và mở rộng các đối tác kinhdoanh khi có nhu cầu ”

- VPN làm đơn giản hoá cho việc quản lý các công việc so với việc sở hữu và vận hành một mạng cục bộ: Các doanh nghiệp có thể cho phép sử

dụng một vài hay tất cả các dịch vụ của mạng WAN, giúp các doanh nghiệp

có thể tập trung vào các đối tuợng kinh doanh chính, thay vì quản lý mộtmạng WAN hay mạng quay số từ xa

- VPN cung cấp các kiểu mạng đường hầm làm giảm thiểu các công việc

quản lý: Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit)

cố định tương ứng với các giao thức kết nối nhu là Frame Relay và ATM.Ðiều này tạo ra một kiểu mạng luới hoàn chỉnh trong khi giảm được độ phứctạp và giá thành

- VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trong mạng VPN được mã hóa bằng các thuật toán phức tạp Dữ liệu

được truyền trên mạng thông qua các đường hầm điều này đảm bảo cho dữ

liệu có độ tin cậy cao Kể cả khi mất mát thông tin thì nguời tấn công(attacker) cũng không thể xem đuợc nội dung của nó

II.1.2 Chức năng của mạng riêng ảo

VPN cung cấp ba chức năng chính:

- Sự tin cậy (Confidentiality): Nguời gửi có thể mã hoá các gói dữ liệu

truớc khi truyền chúng qua mạng công cộng Bằng cách làm như vậy, khôngmột ai có thể truy cập thông tin mà không được cho phép Và nếu có lấy đượcthì cũng không đọc được

- Tính toàn vẹn giữ liệu (Data Integrity): nguời nhận có thể kiểm tra

rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào

- Xác thực nguồn gốc (Origin Authentication): Nguời nhận có thể xác

thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

II.1.3.Tính bảo mật của mạng riêng ảo

Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trìkết nối và giữ an toàn khi truyền dữ liệu:

Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn

chặn hiệu quả giữa mạng riêng của bạn với Internet Có thể sử dụngtường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyềnqua và giao thức sử dụng Một vài sản phẩm VPN, chẳng hạn nhưCisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằngcách chạy Cisco IOS tương ứng ở trên router

Mã hoá - Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính

theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được.Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:

- Mã hoá sử dụng khoá công khai (Public-key encryption)

Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử

dụng để mã hoá các gói tin trước khi truyền đi Khoá riêng này cần được càitrên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phảibiết được trình tự giải mã đã được quy ước trrước Mã bí mật thì sử dụng đểgiải mã gói tin

Hệ Public-key encryption sử dụng một tổ hợp khoá riêng và khoá công

cộng để thực hiện mã hoá, giải mã Khoá riêng chỉ sử dụng tại máy tính đó,còn khoá công cộng được truyền đi đến các máy tính khác mà nó muốn traođổi thông tin bảo mật Để giải mã dữ liệu mã hoá, máy tính kia phải sử dụngkhoá công cộng nhận được, và khoá riêng của chính nó Một phần mềm mã

hóa công khai thông dụng là Pretty Good Privacy (PGP) cho phép bạn mã

hoá đựợc hầu hết mọi thứ

Giao thức bảo mật IPSec - Internet Protocol Security Protocol cung cấp

các tính năng bảo mật mở rộng bao gồm các thuật toán mã hóa và xác thực tốt

hơn IPSec có hai chế độ mã hoá: kênh tunnel và lớp truyền tải transport.

Mã hoá kênh Tunnel mã hoá cả header và nội dung mỗi gói tin trong khi mãhoá lớp truyền tải chỉ mã hoá nội dung gói tin Chỉ có những hệ thống sửdụng IPSec tương thích mới có khả năng tiên tiến này Mặc dù vậy, tất cả cácthiết bị phải sử dụng một khoá dùng chung và các tường lửa ở mỗi mạng phải

có chính sách cấu hình bảo mật tương đương nhau IPSec có thể mã hoá dữliệu truyền giữa rất nhiều thiết bị, chẳng hạn như:

 Từ router đến router

 Từ firewall đến router

 Từ PC đến router

 Từ PC đến server

Máy chủ xác thực, xác nhận và quản lý tài khoản AAA Server

(Authentication, Authorization, Accounting Server) được sử dụng để tăng tínhbảo mật trong truy nhập từ xa của VPN Khi một yêu cầu được gửi đến để tạonên một phiên làm việc, yêu cầu này phải đi qua một AAA server đóng via tròproxy AAA sẽ kiểm tra xác thực, xác nhận và quản lý tài khoản.Các thông tin

về tài khoản sử dụng đặc biệt hữu ích khi theo dõi người dùng nhằm mục đíchbảo mật, tính hoá đơn, hoặc lập báo cáo

II.2 )Triển khai mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội

II.2.1 OpenVPN – phương thức để xây dựng mạng riêng ảo tại Trung tâm Giao dịch CNTT Hà Nội.

Hệ điều hành được dùng trong hệ thống mạng tại Trung tâm là hệ điềuhành Linux Fedora 6 Đây là hệ điều hành với các khả năng đa nhiệm, đa tác

vụ, đa người dùng, là một hệ điều hành uyển chuyển ( có thể hoạt động trênnhiều loại phần cứng), đáng tin cậy và ổn định Trong các kỹ thuật VPN, kỹthuật được áp dụng cho phần mềm mã nguồn mở là OpenVPN Vì thế,OpenVPN là lựa chọn kỹ thuật thích hợp để xây dựng mạng riêng ảo tạiTrung tâm

Khái niệm về OpenVPN

OpenVPN là một phần mềm mạng riêng ảo mã nguồn mở dành choviệc tạo các đường ống (tunnel) điểm-tới-điểm được mã hóa giữa các máychủ Phần mềm này do James Yonan viết và được phổ biến dưới giấy phépGNU GPL

OpenVPN cho phép các máy đồng đẳng xác thực lẫn nhau bằng một

certificate), hoặc tên người dùng/mật khẩu Phần mềm này được cung cấpkèm theo các hệ điều hành Solaris, Linux, OpenBSD, FreeBSD, NetBSD,Mac OS X, và Windows 2000/XP Nó có nhiều tính năng bảo mật và kiểmsoát Nó không phải một mạng riêng ảo web, và không tương thích với IPsechay các gói VPN khác Toàn bộ phần mềm gồm có một file nhị phân cho cảcác kết nối client và server, một file cấu hình không bắt buộc, và một hoặcnhiều file khóa tùy theo phương thức xác thực được sử dụng

OpenVPN sử dụng thiết bị tun/tap (hầu như có sẵn trên các bản Linux)

và openssl để xác nhận (authenticate), mã hóa (khi gởi) và giải mã (khi nhận)đường truyền giữa hai bên thành chung một network Có nghĩa là khi ngườidùng nối vào máy chủ OpenVPN từ xa, họ có thể sử dụng các dịch vụ nhưchia sẻ tập tin sử dụng Samba/NFS/FTP/SCP, đọc thư (bằng cách khai báo địachỉ nội bộ trên máy họ, ví dụ, 192.168.1.1), duyệt intranet, sử dụng các phầnmềm khác v v như là họ đang ngồi trong văn phòng

Tính thuận lợi của OpenVPN

Trong khi các giải pháp VPN khác thường sử dụng các cơ chế khôngchuẩn hoặc thuộc quyền sở hữu riêng thì OpenVPN có cả hai khái niệm mạng

và bảo mật OpenVPN sử dụng cơ chế SSL/TLS bảo mật và ổn định cho việcxác thực và mã hóa, mà không phức tạp Đồng thời, nó cung cấp những khảnăng có thể tiến xa hơn phạm vi của tất cả những sự thực thi VPN khác

- Layer 2 và Layer 3 VPN: OpenVPN cung cấp 2 chế độ cơ bản chạy ởLayer 2 hoặc Layer 3 VPN Vì thế, đường hầm OpenVPN cũng có thể truyềntải Ethernet Frames, các gói IPX và các gói Windowns Network Browsing(NETBIOS), tất cả đều là những bài toán khó của các giải pháp VPN khác

- Bảo vệ người công tác ở xa với firewall nội bộ: một người đi công tác

ở xa kết nối tới trụ sở chính của công ty với một đường hầm VPN có thể thay