CHƯƠNG I: TỒNG QUAN VỀ MẠNG RIÊNG ẢO (VPN)11.1 Tổng quát11.2 Phân loại, ứng dụng VPN31.2.1 Client to site (remote access)31.2.2 Site to site41.2.3 VPN site to site mở rộng51.3 Các giao thức đường hầm (tunnel) VPN sử dụng51.3.1 Giới thiệu giao thức tunnel51.3.2 Giao thức Layer Two Forwarding (L2F)51.3.3 Giao thức Point to Point Tunneling Protocol (PPTP)91.3.4 Giao thức Layer Two Tunneling Protocol (L2TP)141.4 Ưu khuyết điểm VPN191.4.1 Ưu điểm191.4.2 Khuyết điểm20CHƯƠNG II: VPN SITE TO SITE TRÊN NỀN IPSEC212.1 Đặc vấn đề212.2 Giao thức IPSec222.2.1 Giới thiệu IPSec222.2.2 Đóng gói thông tin IPSec242.2.3 Liên kết an ninh và trao đổi khóa IKE302.2.4 Vấn đề còn tồn tại trong IPSec31CHƯƠNG III: TRIỂN KHAI VPN SITE TO SITE TRÊN NỀN IPSEC333.1 Mô hình mạng thực tế333.2 Cấu hình343.3 Kiểm tra373.3.1 Kịch bản kiểm tra373.3.2 Kiểm tra (đứng trên máy HNMAY1 để kiểm tra)37CHƯƠNG IV: TỔNG KẾT404.1 Kết quả đạt được404.2 Hạn chế404.3 Hướng phát triển40TÀI LIỆU THAM KHẢO41
T T R R Ư Ư Ờ Ờ N N G G Đ Đ Ạ Ạ I I H H Ọ Ọ C C C C Ô Ô N N G G N N G G H H I I Ệ Ệ P P T T P P . . H H C C M M K K H H O O A A C C Ô Ô N N G G N N G G H H Ệ Ệ T T H H Ô Ô N N G G T T I I N N Đề tài: THIẾT LẬP HỆ THỐNG VPN TRÊN ROUTER G G i i á á o o v v i i ê ê n n h h ư ư ớ ớ n n g g d d ẫ ẫ n n : : P P h h ạ ạ m m T T h h á á i i K K h h a a n n h h S S i i n n h h v v i i ê ê n n t t h h ự ự c c h h i i ệ ệ n n : : T T r r ầ ầ n n V V i i ệ ệ t t T T h h ắ ắ n n g g L L ớ ớ p p : : Đ Đ H H T T H H 8 8 A A L L T T TP.Hồ Chí Minh, tháng 3, năm 2014 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang ii NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang iii NHẬN XÉT CỦA GIẢNG VIÊN PHẢN BIỆN VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang iv LỜI NÓI ĐẦU Mạng Internet ngày nay phát triển rất dữ dội và đươc áp dụng nhiều vào cách lĩnh vực trong đời sống hằng ngày. Từ việc học tập, giải trí, kinh doanh điều có sử dụng Internet. Xuất phát từ việc sử dụng Internet của mật doanh nghiệp để kinh doanh, VPN Site to site đáp ứng rất tốt vai trò liên kết các máy tính của doanh nghiệp từ các chi nhánh đến trụ sở chính một cách nhanh chóng và tiết kiệm chi phí. VPN Site to Site dựa vào mạng công cộng để liên kết các chi nhánh với trụ sở chính vậy nên vấn đề bảo mật là yêu cầu tất yếu nếu sử dụng công nghệ này. Giải viết vấn đề này rất đơn giản và không cần mất thêm nhiều đầu tư kinh phí đó là VPN kết hợp giao thêm IPSec. VPN kết hợp IPSec là đủ để kết nối các chi nhánh và trụ sở chính và cũng đảm bảo an toàn khi truyền tin. VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang v MỤC LỤC CHƯƠNG I: TỒNG QUAN VỀ MẠNG RIÊNG ẢO (VPN) 1 1.1 Tổng quát 1 1.2 Phân loại, ứng dụng VPN 3 1.2.1 Client to site (remote access) 3 1.2.2 Site to site 4 1.2.3 VPN site to site mở rộng 5 1.3 Các giao thức đường hầm (tunnel) VPN sử dụng 5 1.3.1 Giới thiệu giao thức tunnel 5 1.3.2 Giao thức Layer Two Forwarding (L2F) 5 1.3.3 Giao thức Point to Point Tunneling Protocol (PPTP) 9 1.3.4 Giao thức Layer Two Tunneling Protocol (L2TP) 14 1.4 Ưu khuyết điểm VPN 19 1.4.1 Ưu điểm 19 1.4.2 Khuyết điểm 20 CHƯƠNG II: VPN SITE TO SITE TRÊN NỀN IPSEC 21 2.1 Đặc vấn đề 21 2.2 Giao thức IPSec 22 2.2.1 Giới thiệu IPSec 22 2.2.2 Đóng gói thông tin IPSec 24 2.2.3 Liên kết an ninh và trao đổi khóa IKE 30 2.2.4 Vấn đề còn tồn tại trong IPSec 31 CHƯƠNG III: TRIỂN KHAI VPN SITE TO SITE TRÊN NỀN IPSEC 33 3.1 Mô hình mạng thực tế 33 3.2 Cấu hình 34 3.3 Kiểm tra 37 3.3.1 Kịch bản kiểm tra 37 3.3.2 Kiểm tra (đứng trên máy HN-MAY1 để kiểm tra) 37 CHƯƠNG IV: TỔNG KẾT 40 4.1 Kết quả đạt được 40 4.2 Hạn chế 40 4.3 Hướng phát triển 40 TÀI LIỆU THAM KHẢO 41 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang vi MỤC LỤC HÌNH ẢNH Hình 1.1: Ứng dụng của VPN 2 Hình 1.2: VPN client to site. 3 Hình 1.3: VPN Site to Site 4 Hình 1.4: Khuôn dạng gói của L2F 6 Hình 1.5: Mô hình hệ thống sử dụng L2F 7 Hình 1.6: Gói dữ liệu kết nối điều khiển PPTP 11 Hình 1.7: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP 12 Hình 1.8: Bản tin điều khiển L2TP 16 Hình 1.9: Các thành phần của hệ thống cung cấp VPN dựa trên L2TP 16 Hình 2.1: Mô hình mạng thực tế 21 Hình 2.2: Vị trí của IPSec trong mô hình OSI 22 Hình 2.3: Cấu trúc IPSec 23 Hình 2.4: Sự đóng gói của Transport mode. 25 Hình 2.5: Sự đóng gói của tunnel mode 25 Hình 2.6: vị trí và nội dung của AH trong gói tin IP 26 Hình 2.7: vị trí ESP trong gói tin IP 28 Hình 2.8: Khuôn dạng của gói ESP 28 Hình 3.1: Mô hình mạng triển khai VPN 33 Hình 3.2: Kiểm tra thông suốt 2 site 37 Hình 3.3: Kiểm tra đường đi của VPN 38 Hình 3.4: Kiểm tra thư mục share 38 Hình 3.5: Kiểm tra có ra internet được không 39 Hình 3.6: Thử truy cập web 39 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang vii DANH MỤC TỪ VIẾT TẮT Thuật ngữ Tiếng Anh Giải thích 3DES Triple DES Thuật toán mã DES bội 3 ADSL Asymmetric Digital Subscriber Line Đường thuê bao bất đối xứng AH Authentication Header Giao thức tiêu đề xác thực ATM Asynchronous Transfer Mode Hệ thống mạng công nghệ ATM CA Certificate Authority Trung tâm thẩm quyền chứng nhận CHAP Challenge - Handshake Authentication Protocol Giao thức xác thực đòi hỏi bắt tay 3 bước DES Data Encryption Standard Thuật toán mã DES DSL Digital Subscriber Line Thuê bao số ESP Encapsulating Security Payload Giao thức đóng gói tải tin an toàn GRE Generic Routing Encapsulation Giao thức định tuyến của CISCO HMAC Hashed-keyed Message Authenticaiton Code Mã xác thực bản băm ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn dữ liệu IETF Internet Engineering Task Force Tổ chức tiêu chuẩn kỹ thuật Internet IKE Internet Key Exchange Trao đổi khóa qua Internet IP Internet Protocol Giao thức Internet IPSec IP Security Protocol Giao thức an ninh Internet ISAKMP Internet Security Association and Key Management Protocol Giao thức an ninh và quả lý khóa thông qua Internet ISP Internet Service Provider Nhà cung cấp dịch vụ VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang viii L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2 LAN Local Area Network Mạng cụ bộ LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã xác thực vật lý MD5 Message Digest 5 Thuật toán băm NAS Network Access Server Máy chủ truy nhập mạng OSI Open System Interconnnection Mô hình tiêu chuẩn mạng PAP Password Authentication Protocol Giao thức xác thực bằng mật khẩu PPP Point to Point Protocol Giao thức điểm tới điểm PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm tới diểm RADIUS Remote Authentication Dial-in User Service Dịch vụ xác nhận người dùng từ xa RAS Remote Access Service Dịch vụ truy cập từ xa RFC Request for Comment Tiêu chuẩn của IETF RSA Rivest-Shamir-Adleman Thuật toán mã hóa bất đối xứng RSA SPI Security Parameter Index Chỉ số an ninh TCP Transmission Control Protocol Giao thức điều khiển tải UDP User Data Protocol Giao thức dữ liệu người dùng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang 1 CHƯƠNG I: TỒNG QUAN VỀ MẠNG RIÊNG ẢO (VPN) 1.1 Tổng quát Ngày nay việc áp dụng công nghệ thông tin vào sản xuất, kinh doanh là một yêu cầu tất yếu. Các công ty, xí nghiệp ứng dụng công nghệ thông tin vào việc quản lý dây chuyền sản xuất, kinh doanh, quản lý dân sự Để làm được như thế ngoài việc phải có máy tính thì việc kết nối các máy tính lại với nhau là tất yếu. Đáp ứng được yêu cầu đó mạng máy tính phát triển không ngừng. ngoài việc kết nối các máy tính gần với nhau thành mạng LAN thì công nghệ mạng có rất nhiều giải pháp kết nối các máy tính ở các môi trường địa lý cách xa nhau. Giải pháp kênh thuê riêng (leased line) là đường truyền riêng đề kết nối trên môi trường internet. Leased line được nhà cung cấp đảm bảo tốc độ up/down riêng biệt từng thuê bao. Chi phí cho việc đầu tư và duy trì kết nối rất cao nhưng được đảm bảo bảo mật. loại hình kết nối này phù hợp cho các công ty quy mô lớn và yêu cầu về bảo mật, tốc độ kết nối cao. Bảng giá leased line internet (viettel) TỐC ĐỘ CƯỚC PHÍ SỬ DỤNG TRỌN GÓI(VNĐ) 01Mbps quốc tế, 10Mbps trong nước 9.032.400 02Mbps quốc tế, 20Mbps trong nước 15.666.000 03Mbps quốc tế, 30Mbps trong nước 21.212.800 04Mbps quốc tế, 40Mbps trong nước 25.909.100 06Mbps quốc tế, 60Mbps trong nước 35.997.500 08Mbps quốc tế, 80Mbps trong nước 42.793.400 10Mbps quốc tế, 100Mbps trong nước 52.160.550 Giải pháp VPN (Virtual Private Network) là dựa vào môi trường kết nối internet sẵn có (ADSL hay cáp quang) để kết nối các site lại với nhau. Vì yếu tố là dựa vào đường internet sẵn có nên việc bảo mật và tốc độ không được đảm bảo VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh SVTH: Trần Việt Thắng - DHTH8ALT Trang 2 bằng leased line. Nhưng việc đầu tư hay chi phí phát sinh hàng tháng rất vừa túi tiền cho các doanh nghiệp vừa và nhỏ. Còn về giải pháp bảo mật thì ngày nay có rất nhiều giải pháp kết hợp với VPN như: IPSec, L2TP, Cisco GRE Bảng giá cáp quang internet (viettel) VPN được hiểu như là việc mở rộng của một mạng riêng (LAN) thông qua các đường mạng công cộng. Về cơ bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối các site hay việc nhiều người sử dụng từ xa. Thay sử dụng một kết nối thực, chuyên dụng như leased line, mỗi VPN sử dụng các kết nối ảo được dẫn dường thông qua internet, từ mạng riêng của công ty đến các site chi nhánh hay đến các nhân viên từ xa. Để có thể gởi nhận dữ liệu thông qua mà công cộng mà vẫn an toàn và bảo mật. Trước khi truyền trên mạng internet gói tin VPN được mã hóa theo một cơ chế riêng. Sau đó thêm header VPN, phần header này biểu thị đường đi thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hóa cẩn thận như vậy nên nếu các packet bị bắt lại trên đường truyền công cộng cũng không có thể đọc được vì không có khóa để giải mã. Hình 1.1: Ứng dụng của VPN TỐC ĐỘ CƯỚC PHÍ SỬ DỤNG TRỌN GÓI(VNĐ) 12Mbps trong nước, 640 Kbps quốc tế 350.000 32Mbps trong nước, 640Kbps quốc tế 700.000 34Mbps trong nước, 640Kbps quốc tế 1.400.000 50Mbpstrong nước, 1.5Mbps quốc tế 4.000.000 [...]... host người dùng không cần phải có phần mềm VPN chuyên dụng Việc kết nối được 2 router mặt ngoài của 2 site đảm nhiệm SVTH: Trần Việt Thắng - DHTH8ALT Trang 5 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh 1.2.3 VPN site to site mở rộng Khái niệm VPN site to site mở rộng là khái niệm tương đối mới Không giống như VPN site to site và VPN client to site, VPN site to site mở rộng nó có cơ chế cách... dữ liệu kết nối điều khiển PPTP c) Triển khai VPN dựa trên PPTP Để triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có các thành phần thiết bị như chỉ ra trên hình 1.7, cụ thể bao gồm: - Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật vào VPN; SVTH: Trần Việt Thắng - DHTH8ALT Trang 12 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh - Một máy... phần mềm VPN client là đủ SVTH: Trần Việt Thắng - DHTH8ALT Trang 4 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh Khi client cần liên kết về trụ sở chính để truy cập tài nguyên như là file server chẳn hạn, thì trước tiên client này "quay số" đến VPN server VPN server xác thực người dùng cấp một kênh truyền ảo (tunnel) Liên kết này VPN server quản lý 1.2.2 Site to site Hình 1.3: VPN Site to...Trang 3 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh 1.2 Phân loại, ứng dụng VPN Việc kết nối VPN phải đảm bảo các yêu cầu sau: Khi các nhân viên của công ty đi công tác ở xa phải có liên kết về trụ sở để truy vấn và làm việc bình thường như đang ở công ty Khi công ty phát triển, mở thêm chi nhánh thì các nhân viên ở các chi nhánh phải có thể truy vấn về trụ... các chi nhánh lại với nhau VPN site to site giải pháp rất hoàn hảo để giảm thiểu chi phí nhưng cũng không kém phần bảo mật Thành phần chính của VPN site to site là 2 router mặt ngoài của các site 2 router này đảm bảo việc tạo liên kết giữa 2 site bằng một đường hầm riêng Cũng giống như VPN client to site, 2 router này đảm nhiệm xác thức và chứng thực người dùng Khác với VPN client to site, VPN site... Thắng - DHTH8ALT Trang 20 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh 1.4.2 Khuyết điểm Một trong những rủi ro quang trọng nhất của VPN là vấn đề về an ninh VPN là dựa vào mạng công cộng nên việc truyền tin trên môi trường này việc đảm bảo thông tin không bị rò rỉ là yêu cầu tất yếu Vì vậy ta luôn cần lựa chọn một hay một vài giải pháp an ninh khi triển khai VPN Thường thì giải pháp IPSec... IPSec là được lựa chọn nhiều nhất SVTH: Trần Việt Thắng - DHTH8ALT Trang 21 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh CHƯƠNG II: VPN SITE TO SITE TRÊN NỀN IPSEC 2.1 Đặc vấn đề Công ty ABC làm ăn ngày càng phát triển, ngoài trụ sở chính ở TP Hồ Chí Minh, công ty này mở thêm chi nhánh ở Hà Nội Vì mới thành lập chi nhánh nên mọi việc liên quan đến công nghệ thông tin điều được lưu trừ tại... mật dữ liệu khi nó đi trong đường hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS Mỗi đường hầm có thể gán cho một ngưòi dùng xác định hoặc một nhóm người dùng và gán cho các SVTH: Trần Việt Thắng - DHTH8ALT Trang 19 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh môi... VPN ngày nay cũng đã hỗ trợ trên hầu hết các thiết bị mạng (từ modem quay số 56kbit/s đến các bộ giải mã cáp quang) VPN dựa vào nền tảng mạng công cộng (internet) là chủ yếu, mà ngày nay thì internet có khắp nơi nên việc kết nối theo kiểu VPN để mở rộng mạng đến các chi nhánh là rất đễ dàng Chúng ta chỉ cần có một đường line điện thoại, hay 1 thuê bao DSL là có thể VPN về trụ sở được rồi Ngoài ra VPN. .. vệ Kết nối LAN-LAN Máy chủ mạng L2TP Bộ tập trung truy cập mạng L2TP Computer Mạng riêng được bảo vệ Client L2TP Hình 1.9: Các thành phần của hệ thống cung cấp VPN dựa trên L2TP SVTH: Trần Việt Thắng - DHTH8ALT Trang 17 VPN trên router - đồ án học phần 2 GVHD: Phạm Thái Khanh Máy chủ L2TP Máy chủ L2TP có hai chức năng chính: đóng vai trò là điểm kết thúc của đường hầm L2TP và chuyển các gói đến từ . 1.4 .2 Khuyết điểm 20 CHƯƠNG II: VPN SITE TO SITE TRÊN NỀN IPSEC 21 2. 1 Đặc vấn đề 21 2. 2 Giao thức IPSec 22 2. 2.1 Giới thiệu IPSec 22 2. 2 .2 Đóng gói thông tin IPSec 24 2. 2.3 Liên kết an. khiển L2TP 16 Hình 1.9: Các thành phần của hệ thống cung cấp VPN dựa trên L2TP 16 Hình 2. 1: Mô hình mạng thực tế 21 Hình 2. 2: Vị trí của IPSec trong mô hình OSI 22 Hình 2. 3: Cấu trúc IPSec 23 . Hình 2. 4: Sự đóng gói của Transport mode. 25 Hình 2. 5: Sự đóng gói của tunnel mode 25 Hình 2. 6: vị trí và nội dung của AH trong gói tin IP 26 Hình 2. 7: vị trí ESP trong gói tin IP 28 Hình 2. 8: