MỤC LỤC I. Giới thiệu về Công nghệ VPN 2 1.1 VPN là gì 3 1.2 Lợi ích của VPN đem lại 3 VPN làm giảm chi phí thường xuyên: 4 Giảm chi phí quản lý và hỗ trợ 4 VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực 4 VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ………………… ..4 1.3 Các thành phần cần thiết để tạo kết nối VPN…………………………………. 4 II. Các loại VPN 5 2.1 VPN Remote Access .6 VPN Remote Access……………………………………………………………. 6 Để thực hiện được VPN Remote Access cần: 6 2.2 VPN Site to Site 6 VPN Site to Site 6 • Intranet VPN 6 • Extranet VPN…………………………………………………………………..6 Để thực hiện được VPN Site to Site cần: 6 III. Các công nghệ và giao thức hỗ trợ VPN 7 3.1 Đường hầm và mã hoá 3.2 Đường hầm 3.2 Mã hoá 13 Công nghệ VPN lớp 2 14 Công nghệ VPN lớp 3 15 Đường hầm GRE 16 MPLS VPNs 16 IV. Giao thức bảo mật IPSec 17 Digital Signatures 18 IPSec Security Protocol 19 IPSec Transport Mode .20 IPSec Tunnle Mode .21 Encapsulating Security Header (ESP) .22 Authentication Header (AH) .23 Tiến trình chứng thực bắt tay 3 bước .24 ThreeWay CHAP Authentication Process .25 V. Kết luận…………………………………………………………26 VI. Cách cấu hình mô hình VPN (Client to Site)……………….. VII.Tài liệu tham khảo…………………………………………….27 I. Giới thiệu về Công nghệ VPN: 1.1 VPN là gì? Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được đinh nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểmđiểm. Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng. Hai đặc điểm quan trọng của công nghệ VPN là riêng và ảo tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN.
Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN KHOA ĐIỆN TỬ VIỄN THÔNG oOo Đề tài : GVHD: Nguyễn Anh Vinh Môn : Công nghệ mạng Nhóm : Phan Bá Tuệ -0520091 Nguyễn Minh Tâm -0520093 Nguyễn Thanh Hùng -0520031 ____________________________________________________________ __ 1 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ MỤC LỤC I. Giới thiệu về Công nghệ VPN 2 1.1 VPN là gì 3 1.2 Lợi ích của VPN đem lại 3 VPN làm giảm chi phí thường xuyên: 4 Giảm chi phí quản lý và hỗ trợ 4 VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực4Error: Reference source not found VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ………………… 4 1.3 Các thành phần cần thiết để tạo kết nối VPN…………………………………. 4 II. Các loại VPN 5 2.1 VPN Remote Access Error: Reference source not found6 VPN Remote Access……………………………………………………………. 6 Để thực hiện được VPN Remote Access cần: 6 2.2 VPN Site - to - Site 6 VPN Site - to - Site 6 • Intranet VPN 6 • Extranet VPN………………………………………………………………… 6 Để thực hiện được VPN Site - to Site cần: 6 III. Các công nghệ và giao thức hỗ trợ VPN 7 3.1 Đường hầm và mã hoá 3.2 Đường hầm 3.2 Mã hoá 13 Công nghệ VPN lớp 2 14 Công nghệ VPN lớp 3 15 Đường hầm GRE 16 MPLS VPNs 16Error: Reference source not found IV. Giao thức bảo mật IPSec17Error: Reference source not found Digital Signatures 18Error: Reference source not found IPSec Security Protocol 19 IPSec Transport Mode Error: Reference source not found20 IPSec Tunnle Mode Error: Reference source not found21 ____________________________________________________________ __ 2 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ Encapsulating Security Header (ESP) Error: Reference source not found22 Authentication Header (AH) Error: Reference source not found23 Tiến trình chứng thực bắt tay 3 bước Error: Reference source not found24 Three-Way CHAP Authentication Process Error: Reference source not found25 V. Kết luận…………………………………………………………26 VI. Cách cấu hình mô hình VPN (Client to Site)……………… VII.Tài liệu tham khảo…………………………………………….27 I. Giới thiệu về Công nghệ VPN: 1.1 VPN là gì ? Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được đinh nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm. Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng. Hai đặc điểm quan trọng của công nghệ VPN là ''riêng'' và ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN có thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN. ____________________________________________________________ __ 3 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ VPN=Đường hầm + Mã hoá ____________________________________________________________ __ 4 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ 1.2 Lợi ích của VPN đem lại : VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan - to - Lan giảm đi đáng kể so với việc thuê đường Leased-Line Giảm chi phí quản lý và hỗ trợ: Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh. VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực ____________________________________________________________ __ 5 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được truyền trong các đường hầm(Tunnle) nên thông tin có độ an toàn cao. VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhành tại nhiều quốc gia khác nhau. Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhành và văn phòng trung tâm thành một mạng LAN với chi phí thấp. VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP Bảo mật địa chỉ IP : thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài internet 1.3 Các thành phần cần thiết tạo nên kết nối VPN: • User authentication : cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối vào hệ thống VPN • Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ • Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu. • Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu . ____________________________________________________________ __ 6 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ II. Các loại VPN : VPN được chia thành 2 loại : • VPN Remote Accesss • VPN Site to Site o VPN Intranet o VPN Extranet Hình 1 - VPN Remote Access 2.1 VPN Remote Access ____________________________________________________________ __ 7 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ VPN Remote Access : Cung cấp kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable để thiết lập kết nối đến các Mobile user. Một đặc điểm quan trọng của VPN Remote Access là: Cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc. Để thực hiện được VPN Remote Access cần: • Có 01 VPN Getway(có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ. • Các VPN Client kết nối vào mạng Internet ____________________________________________________________ __ 8 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ Hình 2 - VPN Site to Site 2.2 VPN Site - to – Site: VPN Site - to - Site được chia làm hai loại nhỏ là VPN Intranet và VPN Extranet • Intranet VPN : Kết nối văn phòng trung tâm, các chi nhánh và văn phòng ở xa vào mạng nội bộ của công ty dựa trên hạ tầng mạng được chia sẻ. Intranet VPN khác với Extranet VPN ở chỗ nó chỉ cho phép các nhân viên nội bộ trong công ty truy cập vào hệ thống mạng nội bộ của công ty. • Extranet VPN : Kết nối bộ phận khách hàng của công ty, bộ phận tư vấn, hoặc các đối tác của công ty thành một hệ thống mạng dựa trên hạ tầng được chia sẻ. Extranet VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ thống. Để thực hiện được VPN Site - to Site cần • Có 02 VPN Getway(Mỗi VPN Getway có 01 IP Public). Đây là điểm tập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào. • Các Client kết nối vào hệ thống mạng nội bộ. III. Các công nghệ và giao thức hỗ trợ VPN : 3.1 Đường hầm và mã hoá Chức năng chính của một mạng VPN là truyền thông tin đã được mã hoá trong một đường hầm dựa trên hạ tầng mạng được chia sẻ 3.2 Đường hầm Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một ____________________________________________________________ __ 9 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên Đề tài VPN (Virtual Private Network( ______________________________________________________________________ __ lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel). Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol). Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng. Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau: - Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua. - Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc. - Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP). Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet. Kỹ thuật Tunneling trong mạng VPN điểm-nối điểm Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel. ____________________________________________________________ __ 10 Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên [...]... đến trong đề tài này Hiểu đơn giản nhất, một kết nối VPN giữa hai điểm trên mạng công cộng là hình thức thiết lập một kết nối logic Kết nối logic có thể được thiết lập trên lớp 2 hoặc lớp 3 của mô hình OSI và công nghệ VPN có thể được phân loại rộng rãi theo tiêu chuẩn này như là VPN lớp 2 và VPN lớp 3(Layer 2 VPNs or Layer 3 VPNs) Công nghệ VPN lớp 2 VPN lớp 2 thực thi tại lớp 2 của mô hình tham chiếu... vụ VPN MPLS đến khách hàng Nguồn gốc của tất cả các công nghệ VPN là dữ liệu riêng được đóng gói và phân phối đến đích với việc gắn cho các gói tin thêm phần Header; MPLS VPN sử dụng các nhãn(Label) để đóng gói dữ liệu gốc và thực hiện truyền gói tin đến đích RFC 2547 định nghĩa cho dịch vụ VPN sử dụng MPLS Một tiện ích của VPN MPLS so với các công nghệ VPN khác là nó giảm độ phức tạp để cấu hình VPN. .. Học Tự Nhiên 18 ( Đề tài VPN (Virtual Private Network IV Giao thức bảo mật IPSec: Công nghệ VPN sử dụng cơ sở hạ tầng mạng công cộng và các môi trường truyền dẫn được chia sẻ khác để truyền dữ liệu, do vậy bảo mật dữ liệu trong mạng VPN là vấn đề vô cùng quan trọng Để giải quyết vấn đề này, VPN xây dựng đường hầm(Tunnle) và sử dụng bộ giao thức IPSec để mã hoá dữ... sử dụng rất nhiều các loại giao thức được định tuyến khác nhau như IP, IPX, AppleTalk, IP Multicast ATM và Frame Relay còn cung cấp đặc điểm QoS(Quality of Service) Đây là điều kiện tiên quyết khi vận chuyển các luồng dữ liệu cho Voice Công nghệ VPN lớp 3 Một kết nối giữa các site có thể được định nghĩa như là VPN lớp 3 Các loại VPN lớp 3 như GRE, MPLS và IPSec Công nghệ GRE và IPSec được sử dụng để... Là giao thức lớp 2 được phát triển bởi Cisco System L2F được thiết kế cho phép tạo đường hầm giữa NAS và một thiết bị VPN Getway để truyền các Frame, người sử dụng từ xa có thể kết nối đến NAS và truyền Frame PPP từ remote user đến VPN Getway trong đường hầm được tạo ra Giao thức PPTP(Point-to-Point Tunneling Protocol) Đây là giao thức đường hầm phổ biến nhất hiện nay Giao thức được phát... truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa Giao thức L2F Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên 11 ( Đề tài VPN (Virtual Private... hiện kết nối point - to - point, công nghệ MPLS thực hiện kết nối đa điểm(any - to any) Đường hầm GRE Generic routing encapsulation (GRE) được khởi xướng và phát triển bởi Cisco và sau đó được IETF xác nhận thành chuẩn RFC 1702 GRE được dùng để khởi tạo các đường hầm và có thể vận chuyển nhiều loại giao thức như IP, IPX, Apple Talk và bất kỳ các gói dữ liệu giao thức khác vào bên trong đường hầm IP GRE... các VPN Getway trong mô hình Site-to-Site, IPSec Tunnle Mode Dịch vụ IPSec VPN sử dụng chế độ Transport và phương thức đóng gói GRE giữa các VPN Getway trong mô hình Site-to-Site là hiệu quả Nhưng khi các Client kết nối vào Getway VPN thì từ Client và Getway VPN là chưa được bảo vệ, hơn thế khi các Client muốn kết nối vào một Site thì việc bảo vệ IPSec cũng là một vấn đề IPSec Tunnle Mode ra đời để hỗ. .. dùng(Mobile User) truy cập vào VPN Getway/Concentrator Giao thức L2TP Là chuẩn giao thức do IETF đề xuất, L2TP tích hợp cả hai điểm mạnh là truy nhập từ xa của L2F(Layer 2 Forwarding của Cisco System) và tính kết nối nhanh Point to Point của PPTP(Point to Point Tunnling Protocol của Microsoft) Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho các frame và sử dụng giao thức PPP truyền dữ liệu... của L2TP L2TP hỗ trợ đa giao thức Không yêu cầu các phần mềm mở rộng hay sự hỗ trợ của HĐH Vì vậy những người dùng từ xa cũng như trong mạng Intranet không cần cài thêm các phần mềm đặc biệt L2TP cho phép nhiều Mobile user truy cập vào Remote Network thông qua hệ thống mạng công cộng Khoa Điện Tử Viễn Thông – Đại học Khoa Học Tự Nhiên 12 ( Đề tài VPN (Virtual Private