Đề tài nghiên cứu Công nghệ VPN Biên tập bởi: Khoa CNTT ĐHSP KT Hưng Yên Đề tài nghiên cứu Công nghệ VPN Biên tập bởi: Khoa CNTT ĐHSP KT Hưng Yên Các tác giả: Khoa CNTT ĐHSP KT Hưng Yên Phiên bản trực tuyến: http://voer.edu.vn/c/8f2b2b24 MỤC LỤC 1. Bài 1: Giới thiệu về Công nghệ VPN 1.1. Giới thiệu về Công nghệ VPN 2. Bài 2: Các loại VPN 2.1. Các loại VPN 3. Bài 3: Các công nghệ và giao thức hỗ trợ VPN 3.1. Các công nghệ và giao thức hỗ trợ VPN 4. Bài 4: Giao thức bảo mật IPSec 4.1. Giao thức bảo mật IPSec 5. Bài 5: Các chức năng của ISA 5.1. Các chức năng của ISA 6. Bài 6: Bài toán thực tế 6.1. Bài toán thực tế 7. Tài liệu tham khảo Tham gia đóng góp 1/38 Bài 1: Giới thiệu về Công nghệ VPN Giới thiệu về Công nghệ VPN VPN là gì Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được đinh nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng. Hai đặc điểm quan trọng của công nghệ VPN là ''riêng'' và ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN. . VPN=Đường hầm + Mã hoá 2/38 Lợi ích của VPN đem lại VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan - to - Lan giảm đi đáng kể so với việc thuê đường Leased-Line Giảm chi phí quản lý và hỗ trợ Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh. VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được truyền trong các đường hầm(Tunnle) nên thông tin có độ an toàn cao. VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhành tại nhiều quốc gia khác nhau. Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhành và văn phòng trung tâm thành một mạng LAN với chi phí thấp. 3/38 Bài 2: Các loại VPN Các loại VPN VPN được chia thành 02 loại: • VPN Remote Accesss • VPN Site to Site VPN Intranet VPN Extranet VPN Remote Access VPN Remote Access VPN Remote Access—Cung cấp kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable để thiết lập kết nối đến các Mobile user. Một đặc điểm quan trọng của VPN Remote Access là: Cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc. Để thực hiện được VPN Remote Access cần: 4/38 Có 01 VPN Getway(có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ. Các VPN Client kết nối vào mạng Internet VPN Site to Site VPN Site - to - Site VPN Site - to - Site được chia làm hai loại nhỏ là VPN Intranet và VPN Extranet Intranet VPN —Kết nối văn phòng trung tâm, các chi nhánh và văn phòng ở xa vào mạng nội bộ của công ty dựa trên hạ tầng mạng được chia sẻ. Intranet VPN khác với Extranet VPN ở chỗ nó chỉ cho phép các nhân viên nội bộ trong công ty truy cập vào hệ thống mạng nội bộ của công ty. Extranet VPN —Kết nối bộ phận khách hàng của công ty, bộ phận tư vấn, hoặc các đối tác của công ty thành một hệ thống mạng dựa trên hạ tầng được chia sẻ. Extranet VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ thống. 5/38 Để thực hiện được VPN Site - to Site cần: Có 02 VPN Getway(Mỗi VPN Getway có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào. Các Client kết nối vào hệ thống mạng nội bộ Mô hình áp dụng tại trường ĐH SPKT Hưng Yên. Theo phân tích và qua khảo sát thực tế, hiện nay các thầy, cô đi công tác tại các cơ sở, chi nhánh liên kết ngoài trường đều có máy tính và mong muốn kết nối vào hệ thống mạng nội bộ trong trường để làm việc. Tại thời điểm thực hiện đồ án này, trường ta chỉ có một cơ sở tại Huyện Khoái Châu, Tỉnh Hưng yên. Do vậy việc thiết lập mô hình hệ thống VPN Remote Access là phù hợp. Khi trường ta có thêm các cơ sở tại Hải Dương và Phố Nối, chúng ta có thể chuyển sang mô hình Site - to - Site để kết nối 03 cơ sở này vào thành một hệ thống LAN nội bộ. Mô hình VPN Remote Access áp dụng thử nghiệm tại Khoa CNTT Trường ĐH SPKT Hưng Yên Điều kiện thiết bị cần có khi thực hiện VPN Qua thử nghiệm cho thấy, một mạng VPN hoạt động tốt khi đáp ứng được các yêu cầu: Hoạt động ổn định và liên tục Tốc độ truy cập tốt Đáp ứng được số kết nối đồng thời 6/38 Trong mô hình thử nghiệm của chúng ta ở trên, các thiết bị cần có là mức tối thiểu cho việc thử nghiệm một mạng VPN Remote Access gồm: 01 Đường ADSL 01 Modem ADSL 01 Máy chủ Server cài phần mềm ISA Server(Đóng vai trò là VPN Server) Qua thử nghiệm cho thấy, với số lượng VPN Client ít, từ 5-10 kết nối đồng thời thì mạng VPN hoạt động bình thường, nhưng khi số kết nối tăng nên nhiều hơn và dung lượng download, upload cao thì hay xảy ra hiện tượng Disconect. Vấn đề này hoàn toàn là do dung lượng đường truyền và khả năng xử lý của thiết bị Để có thể thiết lập mạng VPN làm việc chuyên nghiệp tại trường ĐH SPKT Hưng Yên chúng ta cần các thiết bị chuyên dụng, có độ tin cậy cao như: Cisco PIX 500 Series Đây là dòng thiết bị an ninh chuyên dụng hàng đầu của Cisco cho phép nhiều kết nối VPN đồng thời tuỳ thuộc vào loại thiết bị như PIX 515E cho phép 500 kết nối đồng thời dành cho các doanh nghiệp nhỏ và trung bình có giá tham khảo là $3700. PIX 535E cho phép 10000 kết nối VPN đồng thời dành cho các tập đoàn lớn có giá tham khảo là $10,000 Đồng thời đường truyền cũng là một vấn đề rất quan trọng. Nếu đường truyền vào VPN Getway có dung lượng truyền cao và ổn định là một yếu tố đảm bảo hệ thống mạng hoạt động ổn định. 7/38 Bài 3: Các công nghệ và giao thức hỗ trợ VPN Các công nghệ và giao thức hỗ trợ VPN Đường hầm và mã hoá Chức năng chính của một mạng VPN là truyền thông tin đã được mã hoá trong một đường hầm dựa trên hạ tầng mạng được chia sẻ Đường hầm Đường hầm là một khái niệm quan trọng của mạng VPN, nó cho phép các công ty có thể tạo ra các mạng ảo dựa trên hệ thống mạng công cộng. Mạng ảo này không cho phép những người không có quyền truy cập vào. Đường hầm cung cấp một kết nối logic điểm đến điểm trên hệ thống mạng Internet hay trên các mạng công cộng khác. Để dữ liệu được truyền an toàn trên mạng, một giải pháp được đưa ra là mã hoá dữ liệu trước khi truyền. Dữ liệu truyền trong đường hầm chỉ có thể được đọc bởi người nhận và người gửi. Đường hầm tạo cho VPN có tính chất riêng tư trên mạng. Để mô tả chi tiết nguyên lý khi gói tin truyền qua đường hầm ta nghiên cứu một loại đường hầm điển hình là GRE. Đây cũng là giao thức tạo đường hầm được sử dụng trong PPTP là giao thức tạo kết nối VPN Peer to Peer và Remote Access rất phổ biến của Microsoft. Microsoft sử dụng dịch vụ RRA(Routing and Remote Access) để định tuyến giữa các LAN như hình sau: Định dạng gói tin GRE, đây cũng là giao thức Microsoft dùng để đóng gói dữ liệu như sau: 8/38 [...]... Hiểu đơn giản nhất, một kết nối VPN giữa hai điểm trên mạng công cộng là hình thức thiết lập một kết nối logic Kết nối logic có thể được thiết lập trên lớp 2 hoặc lớp 3 của mô hình OSI và công nghệ VPN có thể được phân loại rộng rãi theo tiêu chuẩn này như là VPN lớp 2 và VPN lớp 3(Layer 2 VPNs or Layer 3 VPNs) Công nghệ VPN lớp 2 Công nghệ VPN lớp 2 thực thi tại lớp 2 của mô hình tham chiếu OSI; Các... tất cả các công nghệ VPN là dữ liệu riêng được đóng gói và phân phối đến đích với việc gắn cho các gói tin thêm phần Header; MPLS VPN sử dụng các nhãn(Label) để đóng gói dữ liệu gốc và thực hiện truyền gói tin đến đích RFC 2547 định nghĩa cho dịch vụ VPN sử dụng MPLS Một tiện ích của VPN MPLS so với các công nghệ VPN khác là nó giảm độ phức tạp để cấu hình VPN giữa các site 11/38 Ví dụ Công ty chúng... QoS(Quality of Service) Đây là điều kiện tiên quyết khi vận chuyển các luồng dữ liệu cho Voice Công nghệ VPN Lớp 3 Một kết nối giữa các site có thể được định nghĩa như là VPN lớp 3 Các loại VPN lớp 3 như GRE, MPLS và IPSec Công nghệ GRE và IPSec được sử dụng để thực hiện kết nối point - to - point, công nghệ MPLS thực hiện kết nối đa điểm(any - to - any) 10/38 Đường hầm GRE Generic routing encapsulation... cấp dịch vụ VPN chia VPN thành 3 tập hợp đó là VPN lớp 1, 2 và 3 VPN lớp 1 được sử dụng để vận chuyển các dịch vụ lớp 1 trên hạ tầng mạng được chia sẻ, được điều khiển và quản lý bởi Generalized Multiprotocol Label Switching (GMPLS) Hiện nay, việc phát triển VPN lớp 1 còn đang trong giai đoạn thử nghiệm nên VPN Layer 1 không được đề cập đến trong tài liệu này Hiểu đơn giản nhất, một kết nối VPN giữa hai... cho thấy các kết nối site-to-site không tạo đường hầm point-to-point của VPN MPLS có khả năng mở rộng dễ dàng Các kết nối any-to-any giữa các site có thể được thực hiện dễ dàng bằng công nghệ MPLS Tuy nhiên công nghệ này gặp phải một trở ngại đó là phụ thuộc vào cơ sở hạ tầng nhà cung cấp dịch vụ VPN MPLS Trong khi đó công nghệ VPN GRE lại có thể được sử dụng thông qua Internet để mở rộng tầm hoạt động... vào đó bản thân công nghệ VPN GRE tự chính nó đã đạt được một khả năng bảo mật cơ bản với công nghệ truyền dữ liệu trong đường hầm IPSec VPNs Một nội dung chính mà bất kỳ ai sử dụng VPN muốn bảo mật dữ liệu khi chúng được truyền trên hệ thống mạng công cộng Một câu hỏi được đặt ra là làm thế nào để ngăn chặn mối nguy hiểm từ việc nghe trộm dữ liệu khi chúng được truyền đi trên mạng công cộng? Mã hoá... cập PPP là sẵn sàng cho kết nối song công (Full Duplex) và là giải pháp tốt cho kết nối Dialup 14/38 Bài 4: Giao thức bảo mật IPSec Giao thức bảo mật IPSec Công nghệ VPN sử dụng cơ sở hạ tầng mạng công cộng và các môi trường truyền dẫn được chia sẻ khác để truyền dữ liệu, do vậy bảo mật dữ liệu trong mạng VPN là vấn đề vô cùng quan trọng Để giải quyết vấn đề này, VPN xây dựng đường hầm(Tunnle) và sử... dựng hệ thống VPN cho phép các thầy, cô và các bạn sinh viên truy cập vào hệ thống mạng nội bộ của khoa CNTT khi đang đi công tác xa hoặc làm việc tại nhà Sơ đồ hệ thống Các bước cấu hình hệ thống ISA Server 2004 firewall có thể được cấu hình trở thành môt VPN server Khi bật chức năng VPN server nó có thể chấp nhận các kết nối vào từ VPN clients -incoming VPN client , nếu kết nối thành công, VPN client... mạng VPN được thiết lập sử dụng GRE Tunnel Tất cả các dữ liệu giữa các chi nhánh sẽ trao đổi với nhau trong một đường hầm GRE Hơn thế dữ liệu còn được bảo mật và chống lại các nguy cơ tấn công MPLS VPNs Công nghệ MPLS VPN xây dựng các kết nối chuyển mạch nhãn(Label Switched Path) thông qua các Router chuyển mạnh nhãn(Label Switch Routers) Các gói tin được chuyển đi dựa vào Label của mỗi gói tin MPLS VPN. .. mạch gói công cộng lớn nhất Công nghệ IPSec VPN được triển khai có một ý nghĩa quan trọng là tiết kiệm chi phí rất lớn so với mạng VPN sử dụng Leased-Line VPN Dịch vụ IPSec cho phép chứng thực, kiểm tra tính toàn vẹn dữ liệu, điều khiển truy cập và đảm bảo bí mật dữ liệu Với IPSec, thông tin được trao đổi giữa các site sẽ được mã hoá và kiểm tra IPSec có thể được triển khai cả trên hai loại VPN là Remote . Đề tài nghiên cứu Công nghệ VPN Biên tập bởi: Khoa CNTT ĐHSP KT Hưng Yên Đề tài nghiên cứu Công nghệ VPN Biên tập bởi: Khoa CNTT ĐHSP KT Hưng Yên Các. thiệu về Công nghệ VPN 1.1. Giới thiệu về Công nghệ VPN 2. Bài 2: Các loại VPN 2.1. Các loại VPN 3. Bài 3: Các công nghệ và giao thức hỗ trợ VPN 3.1. Các công nghệ và giao thức hỗ trợ VPN 4. Bài. của mô hình OSI và công nghệ VPN có thể được phân loại rộng rãi theo tiêu chuẩn này như là VPN lớp 2 và VPN lớp 3(Layer 2 VPNs or Layer 3 VPNs). Công nghệ VPN lớp 2 Công nghệ VPN lớp 2 thực thi