đồ án Công nghệ mạng riêng ảo VPN

đồ án Công nghệ mạng riêng ảo VPN

LỜI MỞ ĐẦU



Ngày nay với sự bùng nổ của ngành công nghệ thông tin đã đem lại cho chúng tanhiều điều mới mẻ, tạo mối quan hệ công việc trong xã hội ngày càng tiện lợi hơn,chophép các nhân viên làm việc hiệu quả tại nhà và cho phép một doanh nghiệp kết nốimột cách an toàn tới các đại lý của họ cùng các hãng hợp tác.Công nghệ không ngừngphát triển góp phần cải thiện cơ sở hạ tầng mạng của chúng ta,đảm bảo cho công việccủa chúng ta được an toàn hơn.Một trong những công nghệ mà được các doanh nghiệp,các công ty,các hãng thương mại hiện nay đều sử dụng phổ biến, đó là công nghệmạng riêng ảo (Virtual Private Network ) Công nghệ mạng riêng ảo đã mở rộng phạm

vi của các mạng LAN mà không cần bất kỳ đường dây nào Tài nguyên ở trung tâm cóthể kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí và thời gian thông quaInternet

Và công nghệ mạng riêng ảo ở Việt Nam đã được ứng dụng ngày càng nhiều vớicác doanh nghiệp.Nhưng đặc biệt ở nước ta thì nền kinh tế phát triển kém ,để đầu tưcho một doanh nghiệp thì hơi khó ,vấn đề về kinh phí luôn được các doanh nghiệp đặc

biệt quan tâm Vì vậy mà nhóm em chọn đề tài về “Công nghệ mạng riêng ảo VPN”.Nhằm tạo ra một giải pháp mới phù hợp cho các doanh nghiệp hiện nay.

Nhóm em xin gởi lời cảm ơn chân thành đến quý thầy cô Trường Cao Đẳng CôngNghệ Thông Tin TP.Hồ Chí Minh đã tận tâm truyền đạt kiến thức và đặc biệt nhóm

em xin bày tỏ lòng biết ơn sâu sắc đến thầy Võ Tấn Dũng đã tận tình hướng dẫn và

chỉ bảo trong quá trình hoàn thành báo cáo thực tập

Vì kiến thức và kinh nghiệm còn hạn chế,nên không tránh khỏi những sai sóttrong bài báo cáo này.Rất mong được sự đóng góp ý kiến của quý thầy cô

Xin Chân Thành Cám Ơn!

Nhóm Sinh Viên thực hiện

Lương Gia Đức Nguyễn Thị Ngọc Ẩn

MỤC LỤC

Phần I: TỔNG QUAN VỀ CÔNG NGHỆ VPN 4

Chương 1 KHÁI QUÁT CHUNG 5

1.1 Khái niệm VPN 6

Chương 2 PHÂN LOẠI VPN 7

2.1 VPN truy cập từ xa (Remote Access) 8

2.2 VPN điểm nối điểm (Site to Site) 9

Chương 3 SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN 10

3.1 Bộ xử lý trung tâm VPN 11

3.2 Router dùng cho VPN 11

3.3 Tường lửa PIX của Cisco 12

Chương 4 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN 13

4.1 Tính tương thích 14

4.2 Tính bảo mật 14

4.3 Tính khả dụng 14

4.4 Khả năng hoạt động tương tác 15

Chương 5 THIẾT LẬP KẾT NỐI TUNNEL 16

5.1 Các loại giao thức 17

5.2 Kỹ thuật Tunneling trong mạng VPN 17

5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 17

5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm 18

Chương 6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN 20

6.1 Giao thức định đường hầm điểm nối điểm PPTP 21

6.2 Giao thức định đường hầm lớp 2- L2TP 22

6.3 Giao thức bảo mật IP – Ipsec 22

Chương 7 LỢI ÍCH CỦA VPN 24

7.1 Đối với khách hàng 25

7.2 Đối với nhà cung cấp dịch vụ 25

Chương 8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 26

8.1 Ưu điểm 27

8.2 Nhược điểm 28

Phần II: THIẾT KẾ VÀ CÀI ĐẶT MÔ HÌNH VPN 29

CHƯƠNG 1: THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 30

1.1 TÌNH HUỐNG 31

1.2 PHÂN TÍCH VÀ THIẾT KẾ 31

1.2.1 Thiết bị sử dụng 31

1.2.2 Hệ điều hành và giao thức 31

1.3 MÔ HÌNH TRIỂN KHAI 32

CHƯƠNG 2:TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 33

2.1 Trên máy VPN Server 34

2.1.1 Nâng cấp Domain Controller (DC) trên VPN Server 34

2.1.2 Tạo Group VNP 39

2.1.3 Tạo User 40

2.1.4 Thêm User vào Group VPN 43

2.1.5 Các bước cài đặt VPN 44

2.1.5.1 Cài đặt Routing and Remote Access 44

2.1.5.2 Chỉ cho phép các kết nối theo giao thức PPTP 47

2.1.5.3 Cho phép tối đa 50 kết nối VPN 48

2.1.5.4 Phương pháp chứng thực: MSCHAPv2, CHAP 49

2.1.5.5 Chỉ cho nhóm VPN-Group có quyền kết nối VPN 51

2.1.5.6 Vùng IP được cấp phát 192.168.50.1->192.168.50.200 55

2.2 Cài đặt và kết nối máy Client 56

2.2.1 Tạo kết nối VPN 56

2.2.2 Kết nối VPN 59

PHẦN III:KẾT LUẬN 62

THUẬT NGỮ VIẾT TẮT 63

TÀI LIỆU THAM KHẢO 64

Phần I TỔNG QUAN VỀ CÔNG NGHỆ

VPN

CHƯƠNG I

KHÁI QUÁT CHUNG

1.1 Khái niệm VPN

Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ

chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toànquốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiếtkiệm được được chi phí và thời gian

Hình 1:Mô hình mạng VPN cơ bản Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòngchính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như vănphòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường

là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ởtrụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số,VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chứcvới địa điểm hoặc người sử dụng ở xa

Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network)tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp Nếu xét theo góc

độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cốđịnh) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ Đối tượng dịch vụchính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùngriêng

CHƯƠNG 2

PHÂN LOẠI VPN

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên, các mạng VPN

có thể kết nối hai mạng với nhau Điều này được biết đến như một mạng kết nối LAN

to LAN VPN hay mạng kết nối site to site VPN Thứ hai, một VPN truy cập từ xa cóthể kết nối người dùng từ xa tới mạng

2.1 VPN truy cập từ xa (Remote Access)

Remote Access, hay còn gọi là virtual private dial-up network (VPDN) Cungcấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻAccess VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đếnmạng cục bộ công ty bằng dial-up Khi công ty muốn thiết lập Remote access trên qui

mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lậpmột NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS vàdùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công ty Đườngtruyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số(DSL)

Hình 2:Mô hình VPN truy cập từ xa

2.2 VPN điểm nối điểm (Site to Site)

Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyêndụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet Site

to Site VPN gồm 2 loại:

 Các VPN nội bộ (Intranet VPN )

Đây là kiểu kết nối site to site VPN Các chi nhánh có riêng một Sever VPN vàkết nối lại với nhau thông qua Internet Và các chi nhánh này sẽ kết nối lại với nhauthành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN

 Các VPN mở rộng ( Extranet VPN )

Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác,nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nốiLan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi trườngchia sẻ riêng biệt (tất nhiên vẫn trên nền Internet)

Hình 3:Mô hình VPN điểm nối điểm

CHƯƠNG 3

SẢN PHẨM CÔNG NGHỆ DÀNH

CHO VPN

Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặtnhững bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:

Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa

Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX

Server VPN cao cấp dành cho dịch vụ Dial-up

NAS do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa

Mạng VPN và trung tâm quản lý

3.1 Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm củaCisco tỏ ra vượt trội ở một số tính năng Tích hợp các kỹ thuật mã hóa và thẩm địnhquyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt choloại mạng này Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễdàng tăng dung lượng và số lượng gói tin truyền tải Dòng sản phẩm có các modelthích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểmkết nối từ xa truy cập cùng lúc)

Hình 4:Bộ xử lý trung tâm VPN Cisco 3000

3.2 Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điều hànhInternet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trườnghợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn

Hình 5:Router Cisco

3.3 Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chếdịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặntruy cập bất hợp pháp

Hình 6:Bộ Cisco PIX FirewallThay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay

sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP

CHƯƠNG 4

CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.

4.2 Tính bảo mật

Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọngnhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệu thôngqua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùngriêng do họ tự xây dựng và quản lý Việc cung cấp tính năng bảo đảm an toàn cần đảmbảo hai mục tiêu sau:

Cung cấp tính năng an toàn thích hợp

Đơn giản trong việc duy trì quản lý, sử dụng

4.3 Tính khả dụng

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp đượctính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới cókhả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quanđến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến

cả hai vấn đề trên

4.4 Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng cáctiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàndiện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình Vìvậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng nhưđảm bảo tính đồng bộ của thiết bị sử dụng Trên thế giới hiện có tới 60 giải pháp khácnhau liên quan đến VPN

CHƯƠNG 5

THIẾT LẬP KẾT NỐI TUNNEL

5.1 Các loại giao thức

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạngriêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong mộtlớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trunggian theo những "đường ống" riêng (Tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến cácmáy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máychủ phải sử dụng chung một giao thức (Tunnel Protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đivào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng cóthông tin đang đi qua

Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền

đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trênInternet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ

có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khácdùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

5.2 Kỹ thuật Tunneling trong mạng VPN

5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nóthường dùng giao thức điểm nối điểm PPP (Point to Point Protocol) Là một phần củaTCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạnggiữa máy chủ và máy truy cập từ xa Các chuẩn truyền thông sử dụng để quản lý cácTunnel và đóng gói dữ liệu của VPN Nói tóm lại, kỹ thuật Tunneling cho mạng VPNtruy cập từ xa phụ thuộc vào PPP

Hình 7:Mô hình Tunneling truy cập từ xa

5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic RoutingEncapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) đểtruyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại góitin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách NhưngIPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mãhóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm.Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel

Hình 8:Mô hình Tunneling điểm nối điểm

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máychủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tớimáy tính của văn phòng từ xa.

CHƯƠNG 6

CÁC GIAO THỨC SỬ DỤNG

TRONG VPN

Hiện nay có ba giao thức chính dùng để xây dựng VPN là:

6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol)

Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to PointTunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS(Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sửdụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình củagiao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã

Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point TunnelingProtocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum.Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và USrobotic Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng củatruy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mậtgiữa client và mạng riêng Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch vụISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ

Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểmPPP (Point to Point Protocol) PPTP được xây dựng dựa trên chức năng của PPP, cungcấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đếnsite đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic RoutingEncapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTPmềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn.Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữliệu) trong khi IPSec chạy ở lớp thứ 3 Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2,PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ

có thể truyền các gói IP trong đường hầm

6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2

Hình 10:Giao thức L2TP

6.3 Giao thức bảo mật IP – Ipsec

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá Lợi điểm lớnnhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tựđộng và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập mộtVPN dựa trên cơ sở các máy tính mà không phải là người dùng IPSec được cung cấpnhư một phần trong hệ điều hành Windows NT 4.0 và Window 2000

Hình 11:Giao thức IPSec

Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở

để xây dựng nên L2TP

CHƯƠNG 7

LỢI ÍCH CỦA VPN

7.1 Đối với khách hàng

 Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênhthuê riêng Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng60% so với chi phí của việc dùng kênh kết nối riêng Ðiều này đặc biệt có ýnghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúpkhách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến.+ Giảm thiểu thiết bị sử dụng

+ Giảm thiểu chi phí kênh kết nối đường dài

+ Giảm thiểu việc thiết kế và quản lý mạng

+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theocước lưu lượng sử dụng

 Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng(khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nay nhu cầu sửdụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho côngtác kinh doanh đã trở thành một xu hướng Tổ chức IDC dự đoán nhu cầu sửdụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998lên 4,7 tỷ trong năm 2002

7.2 Đối với nhà cung cấp dịch vụ

 Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ giatăng giá trị khác kèm theo

 Tăng hiệu quả sử dụng mạng Internet hiện tại

 Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tốquan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với kháchhàng đặc biệt là các khách hàng lớn

 Ðầu tư không lớn hiệu quả đem lại cao

 Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sửdụng cho mạng VPN

CHƯƠNG 8

ƯU ĐIỂM VÀ NHƯỢC ĐIỂM

 Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với

thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làmviệc ở xa Giảm được cước phí đường dài khi truy cập VPN cho các nhânviên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vàomạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạnchế gọi đường dài đến các modem tập trung

 Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định

tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cậpbởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ Công

ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modemphức tạp

 Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả

các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác

mà không cần quan tâm đến những phần phức tạp bên dưới

 Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương

tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đốitượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào màISP cung cấp một điểm kết nối cục bộ POP

8.2 Nhược điểm

Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanhnghiệp Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng đượccải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đóvẫn là một vấn để khá lớn của VPN

Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa cácthông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém( thường là Internet) Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đuagiữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù và nhiều mụcđích khác của kẻ xấu muốn tấn công vào mạng công ty

QoS cho VPN cũng là một vấn đề đau đầu Hai thông số về QoS cho mạng là độtrễ và thông lượng Ta biết rằng VPN chạy trên một mạng chung Internet Mà đặc thùcủa mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũngchính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn ThườngQoS trên Internet chỉ là best effort

Khả năng quản lý cũng là vấn đề khó khăn của VPN Cũng với lý do là chạyngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhàcung cấp đơn lẻ là điều không thể thực hiện được Vì thế nhà cung cấp dịch vụ (ISP)không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức Cũng cómột lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông sốmạng, đảm bảo chất lượng dịch vụ cho khách hàng Tuy nhiên các cam kết này cũngkhông đảm bảo 100%

PHẦN II THIẾT KẾ VÀ CÀI ĐẶT

MÔ HÌNH VPN

CHƯƠNG 1

THIẾT KẾ MÔ HÌNH VPN

CLIENT TO SITE

 Hệ điều hành chủ yếu là Window Server 2003 và Window XP.

 Giao thức dùng trong hệ thống mạng là TCP/IP

1.3 MÔ HÌNH TRIỂN KHAI

Hình 12:Mô hình Client to Site

Yêu cầu đặt ra:

Máy tính VPN CLIENT2 truy cập từ xa vào trong mạng công ty theo giao thứcTunneling điểm nối điểm (PPTP)