Thiết kế và triển khai VPN Client to Site cho mạng LAN LỜI CẢM ƠN Sau gần 3 tháng nỗ lực thực hiện luận văn. Ngoài sự cố gắng hết mình của bản thân, em đã nhận được sự khích lệ, động viên rất nhiều từ phía nhà trường, thầy cô và bạn bè. Trước hết con xin cám ơn ba mẹ đã luôn động viên và tạo mọi điều kiện tốt để con học tập và hoàn thành luận văn tốt nghiệp này. Em xin cám ơn thầy cô Trường Đại Học Duy Tân đã truyền đạt những kiến thức quý báu cho em trong suốt quá trình học tập. Đặc biệt, em xin bày tỏ lòng biết ơn chân thành sâu sắc nhất đến Thầy Trần Bàn Thạch, người đã tận tình hướng dẫn và giúp đỡ em trong suốt thời gian thực hiện luận văn này. Xin cám ơn tất cả bạn bè đã và đang động viên, giúp đỡ em trong quá trình học tập và hoàn thành tốt luận văn tốt nghiệp này. ĐÀ NẴNG, 05/2008 Sinh viên thực hiện Đinh Duy Tú Đinh Duy Tú 1 Thiết kế và triển khai VPN Client to Site cho mạng LAN MỤC LỤC MỤC LỤC 2 TỔNG QUAN MẠNG MÁY TÍNH 10 1.1 KHÁI NIỆM CƠ BẢN 10 1.1.1 Định nghĩa 10 1.1.2 Kiến trúc mạng 10 1.1.3 Mô hình mạng 12 1.1.4 Phương tiện truyền dẫn 13 1.1.4.1 Cáp 13 1.1.4.2 Thiết bị không dây 14 1.1.5 Hệ điều hành mạng 14 1.2 MẠNG LAN VÀ WAN 15 1.2.1 Giao thức và mô hình truyền thông 15 1.2.1.1 Khái niệm giao thức 15 1.2.1.2 Mô hình OSI 15 1.2.1.3 Các giao thức phổ biến 16 1.2.2 Mạng LAN 18 1.2.2.1 Bốn tiêu chí mạng LAN 18 1.2.2.2 Các thiết bị mạng 18 1.2.2.3 Các chuẩn LAN 19 1.2.3 Mạng WAN 20 1.2.3.1 Thành phần của WAN 20 1.2.3.2 Các chuẩn WAN 21 1.3 CÁC DỊCH VỤ TRÊN MẠNG INTERNET 22 1.3.1 Dịch vụ truy nhập từ xa 22 1.3.2 Dịch vụ truyền tệp (FTP) 22 1.3.3 Dịch vụ Gopher 22 1.3.4 Dịch vụ WAIS 23 1.3.5 Dịch vụ World Wide Web 23 1.3.6 Dịch vụ thư điện tử (E mail) 23 1.4 CƠ BẢN AN TOÀN MẠNG 24 1.4.1 Các hiểm họa trên mạng 24 1.4.1.1 Các lỗ hổng loại C 24 1.4.1.2 Các lỗ hổng loại B 24 1.4.1.3 Các lỗ hổng loại A 24 1.4.2 Các phương pháp tấn công trên mạng 24 1.4.2.1 Virus 24 1.4.2.2 Treo cứng hệ thống 25 1.4.2.3 Từ chối dịch vụ 25 1.4.2.4 Lợi dụng chương trình 25 1.4.3 Các phương pháp bảo mật 25 1.5 FIREWALL VÀ MẠNG VPN 26 1.5.1 Firewall 26 Đinh Duy Tú 2 Thiết kế và triển khai VPN Client to Site cho mạng LAN 1.5.1.1 Khái niệm cơ bản 26 1.5.1.2 Các kiểu firewall 27 1.5.2 Mạng VPN 28 1.5.2.1 Định nghĩa 28 CHƯƠNG 2 29 TỔNG QUAN VỀ CÔNG NGHỆ VPN 29 2.1 KHÁI QUÁT CHUNG 29 2.1.1 Lịch sử hình thành và phát triển 29 2.1.2 Khái niệm VPN 30 2.2 PHÂN LOẠI VPN 31 2.2.1 VPN truy cập từ xa (Remote Access) 32 2.2.2 VPN điểm nối điểm (Site to Site) 32 2.3 SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN 33 2.3.1 Bộ xử lý trung tâm VPN 33 2.3.2 Router dùng cho VPN 34 2.3.3 Tường lửa PIX của Cisco 34 2.4 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN 35 2.4.1 Tính tương thích 35 2.4.2 Tính bảo mật 35 2.4.3 Tính khả dụng 35 2.4.4 Khả năng hoạt động tương tác 36 2.5 THIẾT LẬP KẾT NỐI TUNNEL 36 2.5.1 Các loại giao thức 36 2.5.2 Kỹ thuật Tunneling trong mạng VPN 37 2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 37 2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm 37 2.6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN 38 2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) 38 2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol ).39 2.6.3 Giao thức bảo mật IP – Ipsec 39 2.7 LỢI ÍCH CỦA VPN 40 2.7.1 Đối với khách hàng 40 2.7.2 Đối với nhà cung cấp dịch vụ 41 2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 41 2.8.1 Ưu điểm 41 2.8.2 Nhược điểm 42 CHƯƠNG 3 43 THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 43 3.1 TÌNH HUỐNG 43 3.2 PHÂN TÍCH VÀ THIẾT KẾ 43 3.2.1 Thiết bị sử dụng 43 Đinh Duy Tú 3 Thiết kế và triển khai VPN Client to Site cho mạng LAN 3.2.2 Hệ điều hành và giao thức 43 3.3 MÔ HÌNH TRIỂN KHAI 44 CHƯƠNG 4 45 TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 45 4.1 CÁC BƯỚC CÀI ĐẶT 45 4.1.1 Trên máy Domain Controller tạo Group VPN và User 45 4.1.1.1 Tạo Group VPN 45 4.1.1.2 Tạo User 46 4.1.1.3 Thêm User tu1 vào Group VPN 48 4.1.2 Cài đặt và cấu hình Radius Server 49 4.1.2.1 Các bước cài đặt 49 4.1.2.2 Cấu hình 52 1.4.3 Cài đặt và cấu hình VPN Server dùng Radius Server chứng thực bằng username, password 59 4.1.4 Cài đặt và kết nối máy Client 65 4.1.4.1 Cài đặt 65 4.1.4.2 Kết nối 68 TÀI LIỆU THAM KHẢO 71 Đinh Duy Tú 4 Thiết kế và triển khai VPN Client to Site cho mạng LAN DANH MỤC CÁC TỪ VIẾT TẮT SỐ TT CỤM TỪ VIẾT TẮT 01 Local Area Network LAN 02 Metropolitan Area Network MAN 03 Wide Area Network WAN 04 Global Area Network GAN 05 Advanced Research Projects Agency ARPA 06 Transmission Control Protocol/Internet Protocol TCP/IP 07 File Transfer Protocol FTP 08 Wide Area Information Server/ Service WAIS 09 World Wide Web WWW 10 HyperText Markup Language HTML 11 HyperText Transfer Protocol HTTP 12 Uniform Resource Locator URL 13 Mail User Agent MUA 14 Message Transfer Agent MTA 15 Software Defined Network SDN 16 Virtual Private Network VPN 17 Point of Presence POP 18 Quality of Service QoS 19 Internet Service Provider ISP 20 Virtual Private Dial-up Network VPDN 21 Enterprise Service Provider ESP 22 Network Access Server NAS 23 Point to Point Protocol PPP 24 Layer 2 Forwarding L2F 25 Point to Point Tunneling Protocol PPTP 26 Layer 2 Tunneling Protocol L2TP 27 Generic Routing Encapsulation GRE 28 Internet Protocol Security IPSec 29 Remote Authentication Dial-In User Service RADIUS Đinh Duy Tú 5 Thiết kế và triển khai VPN Client to Site cho mạng LAN DANH MỤC CÁC HÌNH VẼ SỐ TT TÊN HÌNH 01 Hình 1 Mô hình mạng cơ bản 02 Hình 2 Cấu trúc mạng dạng sao 03 Hình 3 Cấu trúc mạng dạng tuyến 04 Hình 4 Cấu trúc mạng dạng vòng 05 Hinh 5 Cấu trúc mạng dạng lưới 06 Hình 6 Mô hình mạng LAN 07 Hình 7 Mô hình mạng MAN 08 Hình 8 Mô hình mạng WAN 09 Hình 9 Cáp xoắn đôi STP 10 Hình 10 Cáp xoắn đôi UTP 11 Hình 11 Cáp đồng trục 12 Hình 12 Cáp quang 13 Hình 13 Mô hình OSI 14 Hình 14 Giao thức TCP/IP 15 Hình 15 Giao thức IPX/SPX 16 Hình 16 Giao thức ATP 17 Hình 17 Repeater 18 Hình 18 Hub 19 Hình 19 Bridge 20 Hình 20 Switch 21 Hình 21 Modems 22 Hình 22 Gateway 23 Hình 23 Router 24 Hình 24 Firewall 25 Hình 25 Application level gateway 26 Hình 26 Circuit level gateway 27 Hình 27 Proxy Server Firewall 28 Hình 28 Mô hình mạng VPN cơ bản 29 Hình 29 Mô hình VPN truy cập từ xa 30 Hình 30 Mô hình VPN điểm nối điểm 31 Hình 31 Bộ xử lý trung tâm 32 Hình 32 Router Cisco 33 Hình 33 Tường lửa PIX của Cisco 34 Hình 34 Mô hình Tunneling truy cập từ xa 35 Hình 35 Mô hình Tunneling điểm nối điểm 36 Hình 36 Giao thức PPTP Đinh Duy Tú 6 Thiết kế và triển khai VPN Client to Site cho mạng LAN 37 Hình 37 Giao thức L2TP 38 Hình 38 Giao thức IPSec 39 Hình 39 Mô hình Client to Site Đinh Duy Tú 7 Thiết kế và triển khai VPN Client to Site cho mạng LAN LỜI NÓI ĐẦU Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin. Cùng với sự phát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triển không ngừng. Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người. Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi. Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú. Từ các ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị dữ liệu phân bố…… Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm trước. Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu. Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN Client to Side cho mạng Lan” là đề tài nguyên cứu của em. VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Nội dung của đề tài chia làm bốn chương: Đinh Duy Tú 8 Thiết kế và triển khai VPN Client to Site cho mạng LAN Chương 1. Tổng quan về mạng máy tính Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giao thức mạng, hệ điều hành mạng, mô hình OSI, các thiết bị cơ bản trong mạng LAN và WAN, các dịch vụ trên mạng, các hiểm họa và phương pháp tấn công trên mạng. Bên cạnh đó tìm hiểu về Firewall và mạng VPN. Chương 2. Tổng quan về công nghệ VPN Giới thiệu khái quát chung, phân loại, các sản phẩm công nghệ, các giao thức, các kỹ thuật Tunneling, lợi ích, ưu và nhược điểm của công nghệ VPN. Chương 3. Thiết kế mô hình VPN Client to Site Đưa ra tình huống, phân tích, thiết kế và mô hình triển khai thực tế. Chương 4. Triển khai cài đặt mô hình VPN Client to Site Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển khai mô hình. Đinh Duy Tú 9 Thiết kế và triển khai VPN Client to Site cho mạng LAN CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH 1.1 KHÁI NIỆM CƠ BẢN 1.1.1 Định nghĩa Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau. Hình 1 Mô hình mạng cơ bản 1.1.2 Kiến trúc mạng • Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích với phương thức kết nối là “điểm - điểm”. Hình 2 Cấu trúc mạng dạng sao • Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được nối vào một đường dây truyền chính (bus). Đường truyền chính này được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver). Đinh Duy Tú 10 [...]... sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN • Các VPN mở rộng ( Extranet VPN ) Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối Đinh Duy Tú 32 Thiết kế và triển khai VPN Client to Site cho mạng LAN Lan to Lan và cho phép các công ty này cùng làm việc... thông tin cho một tổ chức riêng rẽ Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùng riêng 2.2 PHÂN LOẠI VPN Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứ hai, một VPN truy cập từ xa có thể kết nối người... 2.2.2 VPN điểm nối điểm (Site to Site) Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet Site to Site VPN gồm 2 loại: • Các VPN nội bộ (Intranet VPN ) Đây là kiểu kết nối site to site VPN Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet Và các chi nhánh này sẽ kết... 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết Đinh Duy Tú 29 Thiết kế và triển khai VPN Client to Site cho mạng LAN kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại... tính trong mạng có thể kết nối tới nhiều máy tính Hinh 5 Cấu trúc mạng dạng lưới Đinh Duy Tú 11 Thiết kế và triển khai VPN Client to Site cho mạng LAN 1.1.3 Mô hình mạng • LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một khu vực bán kính hẹp thông thường khoảng vài trăm mét Kết nối được thực hiện thông qua các môi trường truyền tốc độ cao, ví dụ cáp đồng trục hay cáp quang LAN thường... Microsoft Bất lợi chính của bộ giao thức này là không hỗ trợ định tuyến và sử dụng giới hạn ở mạng dựa vào Microsoft Đinh Duy Tú 17 Thiết kế và triển khai VPN Client to Site cho mạng LAN 1.2.2 Mạng LAN 1.2.2.1 Bốn tiêu chí mạng LAN • Phương tiện truyền dẫn • Quy tắc và chuẩn (giao thức) • Phần mềm và quản lý ứng dụng 1.2.2.2 Các thiết bị mạng 1.2.2.2.1 Bộ lặp (Repeater): làm việc trên tầng Physical Hình... 21 Thiết kế và triển khai VPN Client to Site cho mạng LAN lượng đường truyền cao cho dù chất lượng mạng lưới đường dây truyền thông không cao X.25 được thiết kế cho cả truyền thông chuyển mạch lẫn truyền thông kiểu điểm nối điểm, được quan tâm và triển khai nhanh chóng trên to n cầu • Frame Relay: công nghệ này ra đời có thể chuyển nhận các khung truyền lớn tới 4096 byte và không cần thời gian cho. .. Firewall Đinh Duy Tú 27 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình 27 Proxy Server Firewall 1.5.2 Mạng VPN 1.5.2.1 Định nghĩa VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền... 1.5.2.4 Kiểu VPN: có 3 kiểu VPN • Remote Access VPN • Intranet VPN • Extranet VPN Đinh Duy Tú 28 Thiết kế và triển khai VPN Client to Site cho mạng LAN CHƯƠNG 2 TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 KHÁI QUÁT CHUNG 2.1.1 Lịch sử hình thành và phát triển Bắt nguồn từ yêu cầu của hộ khách (client) , mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng... (GPN), đã phát triển nhanh nhất 2.1.2 Khái niệm VPN Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên to n quốc hay to n cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian Đinh Duy Tú 30 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình 28 . 6 Thiết kế và triển khai VPN Client to Site cho mạng LAN 37 Hình 37 Giao thức L2TP 38 Hình 38 Giao thức IPSec 39 Hình 39 Mô hình Client to Site Đinh Duy Tú 7 Thiết kế và triển khai VPN Client. Duy Tú 3 Thiết kế và triển khai VPN Client to Site cho mạng LAN 3.2.2 Hệ điều hành và giao thức 43 3.3 MÔ HÌNH TRIỂN KHAI 44 CHƯƠNG 4 45 TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 45 4.1. trúc mạng dạng lưới Đinh Duy Tú 11 Thiết kế và triển khai VPN Client to Site cho mạng LAN 1.1.3 Mô hình mạng • LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một khu vực bán