Hệ thống mạng ảo VPN

Hệ thống mạng ảo VPN

LỜI NÓI ĐẦU

Ngày nay, công nghệ viễn thông đang phát triển rất nhanh, trong đó công nghệ mạng đóng vai trò hết sức quan trọng trong việc thông tin dữ liệu Chỉ xét về góc độ kinh doanh, nhu cầu truyền thông của các công ty, tổ chức là rất lớn Một công ty có một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ Nhưng cũng muốn các chi nhánh, văn phòng, nhân viên di động hay các đối tác từ

xa có thể truy cập vào mạng công ty Có nhiều dịch vụ được cung cấp như Modem quay số, ISDN server hay các đường WAN thuê riêng đắt tiền Nhưng với sự phát triển rộng rãi của Internet, một số công ty có thể kết nối với nhân viên, đối tác từ xa

ở bất cứ đâu, thậm chí trên toàn thể giới mà không cần sử dụng các dịch vụ đắt tiền trên

Nhưng có một vấn đề là mạng nội bộ công ty chứa tài nguyên, dữ liệu quan trọng mà chỉ cho phép người dùng có quyền hạn, được cấp phép mới được truy cập vào mạng trong khi Internet là mạng công cộng và không bảo mật Do đó, Internet

có thể là mối nguy hiểm cho hệ thống mạng, cơ sở dữ liệu quan trọng của công ty

Sự thông tin qua môi trường Internet có thể bị làm sai lệch hoặc bị đánh cắp Và đây chính là chỗ để mạng ảo (VPN - Virtual Private Network) chứng tỏ khả năng VPN cung cấp giải pháp thông tin dữ liệu riêng tư an toàn thông qua môi trường mạng Internet công cộng với chi phí thấp, hiệu quả mà vẫn rất bảo mật

Sau thời gian được học ở trường với sự dạy dỗ và định hướng của các thầy

cô giáo trong khoa, chúng em đã chọn đề tài “Hệ thống mạng ảo VPN” để làm đồ

án tốt nghiệp cũng như để học hỏi thêm kiến thức để sau này áp dụng vào thực tế công việc của chúng em Do thời gian và kiến thức còn hạn chế nên quyển đồ án này của chúng em sẽ còn nhiều thiếu sót Kính mong sự hướng dẫn, góp ý thêm của thầy cô và bạn bè

Chúng em xin chân thành cảm ơn!

LỜI CẢM ƠNLời đầu tiên chúng em muốn gửi lời cảm ơn chân thành tới thầy Nguyễn

Tiến Lợi - Khoa Công nghệ thông tin - Trường Đại học Công nghiệp Hà Nội đã tận

tình hướng dẫn chúng em và tạo điều kiện tốt nhất để chúng em hoàn thành đề tài tốt nghiệp này

Chúng em cũng xin cảm ơn các thầy cô giáo trong khoa Công nghệ thông tin

- Trường Đại học Công nghiệp Hà Nội đã giúp đỡ chúng em trong suốt khóa học tại trường Đại học công nghiệp Hà Nội Cũng như sự đóng góp quý báu của các thầy

cô đối với đề tài tốt nghiệp này của chúng em

Lời cảm ơn sau cùng chúng em xin gửi tới toàn thể các bạn bè, đồng nghiệp làm việc trong lĩnh vực công nghệ thông tin đã đóng góp cho chúng em những kinh nghiệm quý báu và bổ ích

MỤC LỤC

L I NÓI Đ UỜ Ầ 1

L I C M N Ờ Ả Ơ 2

M C L CỤ Ụ 3

DANH M C HÌNH VỤ Ẽ 5

THU T NG VI T T TẬ Ữ Ế Ắ 8

PH N M Đ UẦ Ở Ầ 12

CHƯƠNG 1 – T NG QUAN Đ TÀIỔ Ề 14

1.1 Tính c p thi t c a đ tàiấ ế ủ ề 14

1.2 Tình hình nghiên c u th c tứ ự ế 15

1.3 V n đ đ t ra c a đ tàiấ ề ặ ủ ề 15

1.4 - M c đích và ý nghĩaụ 16

1.4.1 Mục đích 16

1.4.2 Ý nghĩa 17

1.5 - Hướng ti p c n, ph m vi và k t qu th c hi nế ậ ạ ế ả ự ệ 18

1.5.1 Hướng tiếp cận 18

1.5.2 Phạm vi 18

1.5.3 Kết quả thực hiện 18

1.6 So sánh u như ược đi m và nh ng sai thi u v i nh ng đ tài khácể ữ ế ớ ữ ề 18

CHƯƠNG 2 - C S LÝ THUY TƠ Ở Ế 21

2.1 - T ng quan v m ng căn b n, qu n tr m ng, Windows Server 2008, Domain, AD, VPN và m t sổ ề ạ ả ả ị ạ ộ ố d ch v m ng [1][2]ị ụ ạ 21

2.1.1 Tổng quan về mạng căn bản 21

2.1.2 Tổng quan về quản trị mạng 22

2.1.3 Tổng quan về Windows Server 2008 23

2.1.4 Tổng quan về Domain 27

2.1.5 Tổng quan về AD 28

2.1.6 Tổng quan về VPN [3],[7],[8],[9],[10] 29

2.1.7 Một số dịch vụ mạng khác 33

2.2 - Phát tri n đ tàiể ề 36

CHƯƠNG 3 - CÁC GIAO TH C ĐỨ ƯỜNG H M VPNẦ 38

3.1 Giao th c đ nh hứ ị ướng l p 2 – L2F [4],[6],[12]ớ 38

3.1.1 Cấu trúc gói của L2F 38

3.1.2 Ưu nhược điểm của L2F 39

3.1.3 Thực hiện L2F 39

3.2 Giao th c đứ ường h m đi m-đi m PPTP [4],[6],[12],[8]ầ ể ể 41

3.2.1 Kiến trúc của PPTP 42

3.2.2 Sử dụng PPTP 50

3.2.3 Khả năng áp dụng trong thực tế của PPTP 52

3.3 Giao th c đứ ường h m l p 2 - L2TP [4],[6],[12]ầ ớ 52

3.3.1 Dạng thức của L2TP 53

3.3.2 Sử dụng L2TP 59

3.3.3 Khả năng áp dụng trong thực tế của L2TP 61

3.4 Giao th c b o m t IP – IPSEC [4],[6],[12]ứ ả ậ 62

3.4.1 Khung giao thức IPSec 62

3.4.2 Hoat động của IPSec 70

3.4.3 Ví dụ về hoạt động của IPSec 79

CHƯƠNG 4 - B O M T TRONG VPNẢ Ậ 82

4.1 Quá trình xác th c [2],[4],[8]ự 82

4.1.1 Xác thực nguồn gốc dữ liệu 82

4.1.2 Xác thực tính toàn vẹn dữ liệu 87

4.2 Mã hoá [2],[4],[6],[8] 91

4.2.1 Thuật toán mã hoá khoá bí mật (hay đối xứng) 92

4.2.2 Thuật toán mã hoá khoá công cộng 96

CHƯƠNG 5 - NG D NG, CÀI Đ T H TH NG M NG OỨ Ụ Ặ Ệ Ố Ạ Ả 100

5.1 - Cài đ t và tri n khai h th ng lab o b ng VMWARE [1]ặ ể ệ ố ả ằ 100

5.1.1 - VPN client to site 100

5.1.2 VPN Site to Site 120

5.2 Đánh giá k t qu th c hi nế ả ự ệ 130

K T LU N VÀ HẾ Ậ ƯỚNG PHÁT TRI N Ể 132

TÀI LI U THAM KH OỆ Ả 134

DANH MỤC HÌNH VẼ

HÌNH 2.1: VPN=ĐƯỜNG H M + MÃ HOÁẦ 29

HÌNH 2.2: MÔ HÌNH H TH NG M NG OỆ Ố Ạ Ả 30

HÌNH 2.3: VPN REMOTE ACCESS 32

HÌNH 2.4: VPN SITE TO SITE 33

HÌNH 3.1: KHUÔN D NG GÓI C A L2FẠ Ủ 38

HÌNH 3.2: MÔ HÌNH Đ C TR NG L2FẶ Ư 40

HÌNH 3.3: KI N TRÚC C A PPTPẾ Ủ 42

HÌNH 3.4: CÁC GIAO TH C S D NG TRONG M T K T N I PPTPỨ Ử Ụ Ộ Ế Ố 44

HÌNH 3.5 : B C GÓI PPTP/ GREỌ 44

HÌNH 3.6: C U TRÚC GÓI D LI U TRONG ĐẤ Ữ Ệ ƯỜNG H M PPTPẦ 45

HÌNH 3.7: S Đ ĐÓNG GÓI PPTPƠ Ồ 46

HÌNH 3.8 : ĐƯỜNG H M B T BU C VÀ ĐẦ Ắ Ộ ƯỜNG H M T NGUY NẦ Ự Ệ 47

HÌNH 3.9: MÃ HOÁ GÓI TRONG PPTP 49

HÌNH 3.10 : ĐƯỜNG H M K T N I LAN-LANẦ Ế Ố 50

HÌNH 3.11: CÁC THÀNH PH N C B N C A M T VPN S D NG PPTPẦ Ơ Ả Ủ Ộ Ử Ụ 50

HÌNH 3.12: KI N TRÚC C A L2TPẾ Ủ 53

HÌNH 3.13: CÁC GIAO TH C S D NG TRONG M T K T N I L2TPỨ Ử Ụ Ộ Ế Ố 54

HÌNH 3.14: B C GÓI L2TPỌ 54

HÌNH 3.15: C U TRÚC GÓI D LI U TRONG ĐẤ Ữ Ệ ƯỜNG H M L2TPẦ 55

HÌNH 3.16: S Đ ĐÓNG GÓI L2TPƠ Ồ 56

HÌNH 3.17: CÁC ĐƯỜNG H M T NGUY N VÀ B T BU CẦ Ự Ệ Ắ Ộ 57

HÌNH 3.18: ĐƯỜNG H M K T N I LAN-LANẦ Ế Ố 59

HÌNH 3.19: CÁC THÀNH PH N C B N C A L2TPẦ Ơ Ả Ủ 60

HÌNH 3.20: KHUNG GIAO TH C ĐỨ ƯỢC S D NG TRONG IPSECỬ Ụ 63

HÌNH 3.21: KHUÔN D NG GÓI AHẠ 64

HÌNH 3.22: KHUÔN D NG GÓI ESPẠ 66

HÌNH 3.23: KHUÔN D NG GÓI TIN IPV4 TRẠ ƯỚC VÀ SAU KHI X LÝ AHỬ 68

HÌNH 3.24: KHUÔN D NG GÓI TIN IPV6 TRẠ ƯỚC VÀ SAU KHI X LÝ AHỬ 69

HÌNH 3.25: KHUÔN D NG GÓI TIN IPV4 TRẠ ƯỚC VÀ SAU KHI X LÝ ESPỬ 69

HÌNH 3.26: KHUÔN D NG GÓI TIN IPV6 TRẠ ƯỚC VÀ SAU KHI X LÝ ESPỬ 70

HÌNH 3.27: 5 BƯỚC HO T Đ NG C A IPSEC.Ạ Ộ Ủ 71

HÌNH 3.28 : IKE PHASE 1 72

HÌNH 3.29: T P CHÍNH SÁCH IKEẬ 73

HÌNH 3.30: XÁC TH C CÁC Đ I TÁCỰ Ố 75

HÌNH 3.31: THO THU N CÁC THÔNG S B O M T IPSECẢ Ậ Ố Ả Ậ 75

HÌNH 3.32: T P CHUY N Đ I IPSECẬ Ể Ổ 76

HÌNH 3.33 : CÁC K T H P AN NINHẾ Ợ 77

HÌNH 3.34: ĐƯỜNG H M IPSEC ĐẦ ƯỢC THI T L PẾ Ậ 78

HÌNH 3.35: K T THÚC ĐẾ ƯỜNG H M Ầ 79

HÌNH 3.36: QUÁ TRÌNH TRAO Đ I THÔNG TINỔ 79

HÌNH 4.2: HÀM BĂM THÔNG D NG MD5, SHA-1Ụ 88

HÌNH 4.4: XÁC TH C TÍNH TOÀN V N D LI U D A TRÊN XÁC TH C B N TINỰ Ẹ Ữ Ệ Ự Ự Ả MAC 90

HÌNH 4.5: CH KÝ SỮ Ố 91

HÌNH 4.6: MÃ HOÁ KHOÁ BÍ M T HAY Đ I X NGẬ Ố Ứ 92

HÌNH 4.7: S Đ THU T TOÁN DESƠ Ồ Ậ 94

HÌNH 4.8: M NG FIESELẠ 95

HÌNH 4.9: THU T TOÁN MÃ HOÁ KHOÁ CÔNG C NGẬ Ộ 96

THUẬT NGỮ VIẾT TẮT

3DES Triple Data Encryption Standard Thuật toán mật mã 3DES

ADSL Asymmetric Digital Subscriber

Line

Công nghệ truy nhập đường dâythuê bao số bất đối xứng

AES Advanced Encryption Standard Chuẩn mật mã cao cấp

AH Authentication Header Giao thức tiêu đề xác thực

API Application Programming

Interface

Giao diện chương trình ứng dụng

ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng

bộARIN American Registry for Internet

Number

Tiêu chuẩn Mỹ cho địa chỉ Internet

BGP Border Gateway Protocol Giao thức định tuyến cổng miềnBICC Bearer Independent Call Control Protocol Giao thức điều khiển cuộc gọi độc lập với kênh mangB-ISDN Broadband Integrated Service

Digital Network

Mạng số đa dịch vụ băng rộng

CA Certificate Authority Nhà phân phối chứng thực số

CIR Committed Information Rate Tốc độ thông tin cam kết

CHAP Challenge Handshake

Authentication Protocol

.

Giao thức xác thực yêu cầu bắt tay

CSU Channel Service Unit Đơn vị dịch vụ kênh

DCE Data Communication Equipment Thiết bị truyền thông dữ liệu

DES Data Encryption Standard Thuật toán mật mã DES

DHCP Dynamic Host Configuration

Protocol

Giao thức cấu hình host động

DSP Digital Signal Processors Bộ xử lý tín hiệu số

EAP Extensible Authentication

Protocol

Giao thức xác thực mở rộng

ESP Encapsulating Security Payload Giao thức tải an ninh đóng góiFCS Frame Check Sequence Chuỗi kiểm tra khung

GVPNS Global VPN Service Dịch vụ VPN toàn cầu

ICMP Internet Control Message

Protocol

Giao thức bản tin điều khiểnInternet

IETF Internet Engineering Task Force Cơ quan chuẩn Internet

IKE Internet Key Exchange Giao thức trao đổi khoá InternetIGP Interior Gateway Protocol Giao thức định tuyến trong miền

IP-Sec Internet Protocol Security Giao thức an ninh Internet

ISAKMP Internet Security Asociasion and

Key Management Protocol

Giao thức quản lý khoá và kết hợp

an ninh InternetISDN Integrated Service Digital

L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2

LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP

LCP Link Control Protocol Giao thức điều khiển liên kết

MAC Message Authentication Code Mã xác thực bản tin

MGC Media Gateway Controller Thiết bị điều khiển truy nhập

MGCP Media Gateway Control Protocol Giao thức điều khiển cổng kết nối

phương tiệnMIB Management Information Base Cơ sở dữ liệu thông tin quản lýMPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãnMPPE Microsoft Point-to-Point

Encryption

Mã hoá điểm-điểm của Microsoft

MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất

NAS Network Access Server Máy chủ truy nhập mạng

NCP Network Control Protocol Giao thức điều khiển mạng

NDIS Network Driver Interface

Specification

Xác định giao diện mạng

NGN Next Generation Network Mạng thế hệ sau

NSA National Security Agency Cơ quan an ninh quốc gia MỹPAP Passwork Authentication

Protocol

Giao thức xác thực mật khẩu

.

PDU Protocol Data Unit Đơn vị dữ liệu giao thức

PKI Public Key Infrastructure Cơ sở hạ tầng khoá công khaiPOP Point of presence .Điểm truy cập truyền thống

PPP Point to Point Protocol Giao thức điểm tới điểm

PPTP Point to Point Tunneling

Protocol

Giao thức đường ngầm điểm tớiđiểm

PVC Permanrnent Virtual Circuit Mạng ảo cố định

RAS Remote Access Service Dịch vụ truy nhập từ xa

RADIUS Remote Authentication Dial-In

SDH Synchronous Digital Hierachy Phân cấp số đồng bộ

SONET Synchronous Optical Network Mạng quang đồng bộ

SPI Sercurity Parameter Index Chỉ số thông số an ninh

RTP Real Time Protocol Giao thức thời gian thực

SVC Switched Virtual Circuit Mạch ảo chuyển mạch

TCP Transmission Control Protocol Giao thức điều khiển đường truyền

UNI User Network Interface Giao diện mạng người sử dụngUDP User Datagram Protocol Giao thức UDP

VCI Virtual Circuit Identifier Nhận dạng kênh ảo

VNS Virtual Network Service Dịch vụ mạng ảo

VPI Virtual Path Identifier Nhận dạng đường ảo

VPN Virtual Private Network Mạng riêng ảo

Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:

- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.

- Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp này lại không đáp ứng được tính bảo mật cao.

Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line

Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng

và hiệu quả hơn so với các giải pháp mạng diện rộng WAN Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế.

Với đề tài: "Hệ thống mạng ảo VPN” trong Đồ án Tốt nghiệp, chúng em hy vọng nó có thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.

Nội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bày các vấn đề

Chương 1: Nêu một số khái niệm tổng quan, tính cấp thiết của đề tài, hướng

tiếp cận đề tài, ý nghĩa của việc sử dụng Hệ thống mạng ảo VPN trong thực tiễn

Từ đó làm cơ sở để phát triển đề tài, đưa ra các thuận lợi và khó khăn khi sử dụng các loại hình VPN đó

Chương 2: Đây là chương giới thiệu về các dịch vụ mạng, định nghĩa những

ứng dụng trong quản trị mạng, đưa ra các khái niệm về VPN và các loại hình VPN, phân loại mạng VPN.

Chương 3: Đây là chương trọng tâm giới thiệu về các giao thức, các đặc

điểm và hoạt động của các giao thức đường hầm L2F, PPTP, L2TP, và IPSec được

sử dụng trong VPN

Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần quan trọng

trong VPN Bảo mật trong VPN bao gồm: quá trình mật mã và xác thực Trong chương này sẽ giới thiệu các giải pháp, thuật toán mã hoá và xác thực trong VPN

Chương 5: Dựa vào những kiến thức đã tìm hiểu ở các chương trước để xây

dựng các dạng mạng ảo VPN trên lab ảo để đưa vào ứng dụng thực tế tại các doanh nghiệp, công ty

Do nhiều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những sai sót Chúng em rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.

Chương 1 – TỔNG QUAN ĐỀ TÀI

Ngày nay việc ứng dụng hệ thống công nghệ thông tin vào cuộc sống đã được triển khai, ứng dụng và phát triển mạnh mẽ, với những tiến bộ vượt bậc Việc phát triển nghành công nghệ thông tin cũng chỉ ra rằng đất nước đó đang phát trển tới mức độ nào Khi hệ thống mạng máy tính phát triển và được đưa vào ứng dụng thì kèm theo sau nó là hàng loạt các dịch vụ ứng dụng cũng phát triển theo nhằm phục vụ cho nhu cầu công việc của con người, làm cho công việc ngày một thuận

tiện hơn và nhanh chóng hơn Trong những công nghệ kéo theo đó có Hệ thống mạng ảo VPN.

Hệ thống mạng ảo VPN được đưa ra nhằm giúp cho những công ty, doanh

nghiệp, hay những đối tác của nhau nhưng ở xa nhau về mặt địa lý có thể liên kết lại được với nhau thông qua hệ thống mạng Internet mà vẫn đảm bảo được về mặt bảo mật, an toàn dữ liệu.

1.1 Tính cấp thiết của đề tài

Cùng với sự ra đời của hệ thống mạng máy tình thì công nghệ mạng đã phát triển một cách vượt bậc Cách đây một thời gian thì mạng mạng máy tính còn là một khái niệm xa vời Nhưng bây giờ nó đã trở thành hiện thực và là một trong những nhu cầu lớn của các hệ thống công ty và những doanh nghiệp Việc xây dựng

và phát triển hệ thống mạng có ý nghĩa sống còn đối với mỗi đơn vị Việc áp dụng

hệ thống mạng vào công việc mang lại nhiều lợi ích to lớn

Những lợi ích mà hệ thống mạng mang lại không ai có thể phủ nhận đó là việc hỗ trợ trong công việc, việc truyền tải thông tin dữ liệu một cách nhanh chóng thuận tiện Tuy nhiên việc ra đời hệ thống mạng Internet cũng kéo theo nhiều hệ lụy của chúng đó là việc phá hoại hệ thống của một số đối tượng xấu Việc giao tiếp và truyền tải dữ liệu trên mạng có thể bị can thiệp, đánh cắp của một số phần tử xấu lợi dụng hệ thống mạng Internet

Vì vậy để đảm bảo việc kết nối và truyền tải dữ liệu các đơn vị có thể lựa chọn một trong hai dịch vụ viễn thông cho kết nối là:

Thuê một đường truyền riêng Leased Line của nhà cung cấp để kết nối các mạng con của công ty lại với nhau Tuy nhiên việc thuê đường truyền riêng sẽ rất đắt đỏ và tốn kém chi phí Vậy để kết nối hệ thống giữa các công ty cha và con là bất khả thi?

Hay sử dụng mạng internet để liên lạc với nhau, tuy nhiên phương pháp này không mang tính bảo mật cao, dễ bị nghe trộm và đánh cắp thông tin

Và Microsoft đã cho ra đời một khái niệm hoàn toàn mới đó là thiết lập một

hệ thống mạng ảo Virtual and Private Network (VPN) Việc xây dựng hệ thống mạng ảo VPN có ý nghĩa hết sức to lớn trong công cuộc cách mạng mạng VPN ra đời dung hòa được hai khái niệm trên, nó được xây dựng trên nền tảng có sẵn của mạng Internet, nhưng lại có được những tính chất của của một mạng cục bộ như khi

sử dụng các đường Leased line VPN cho phép thiết lập một kênh kết nối hay một đường hầm riêng giữa hệ thống các công ty cha và con Giúp cho việc truyền tải dữ liệu và trao đổi thông tin diễn ra một cách an toàn và hiệu quả

Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng

1.2 Tình hình nghiên cứu thực tế

Với sự hỗ trợ to lớn về mặt kiến thức của các thầy cô giáo trong khoa Khoa học máy tính - Trường Đại học Công nghiệp Hà Nội và nguồn tri thức vô hạn từ hệ thống mạng Internet Việc nghiên cứu và phát triển đề tài là thực sự được hỗ trợ và phát huy hiệu quả, toàn diện

Thông qua việc tìm hiêu các đề tài về “Hệ thống mạng ảo VPN” khác đã được nghiên cứu và xây dựng Từ đó rút ra được những điểm mạnh và hạn chế những khuyết điểm trong quá trình nghiên cứu thực tế

Tuy nhiên bên cạnh những mặt thuận lợi đó là những khó khăn lớn Mặc dù

hệ thống mạng ảo đã được phát triển và xây dựng từ lâu, song với lượng kiến thức còn hạ chế nên việc nghiên cứu đề tài còn là một vấn đề lớn Việc xây dựng đề tài làm sao để có thể phát huy hết được nguồn tri thức của nhân loại và phát huy hết khả năng của hệ thống mạng ảo (VPN) vào thực tế công việc còn phụ thuộc vào rất nhiều yếu tố khác nữa

1.3 Vấn đề đặt ra của đề tài

Xây dựng một hệ thống mạng ảo để có thể áp dụng vào thực tế hiện nay.Việc xây dựng Hệ thống mạng ảo VPN có ý nghĩa sống còn trong các doanh nghiệp lớn, nó giúp tiết kiệm chi phí và đảm bảo an ninh dữ liệu

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế

Giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức

có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối tới từ nhiều nguồn nên tiết kiệm được chi phí và thời gian

Mục đích của VPN là việc sử dụng Internet và tính phổ cập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể được truy cập bởi bất kỳ

ai, bất kỳ lúc nào, bất kỳ nơi đâu và việc trao đổi thông tin trên mạng có thể bị nghe trộm, đánh cắp Sự trao đổi dữ liệu và truy cập bất hợp pháp của tin tặc

Mục đích của VPN là cung cấp tính năng bảo mật dữ liệu, tính hiệu quả và

độ tin cậy trong mạng trong khi vẫn đảm bảo tính cân bằng và giá thành cho toàn bộ quá trình xây dựng mạng

VPN được hiểu là mở rộng của một mạng Intranet được kết nối thông qua mạng công cộng nhằm đảm bảo an toàn và tăng hiệu quả giá thành kết nối giữa hai đầu nối Cơ chế và độ giới hạn bảo mật tinh vi cũng được sử dụng để đảm bảo tính

an toàn cho việc trao đổi dữ liệu dễ bị đánh cắp thông qua một môi trường không an toàn Cơ chế an toàn bao gồm những khái niệm sau đây:

* Encryption (Mã hóa): Mã hóa dữ liệu là một quá trình xử lý thay đổi dữ

liệu theo một chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn Để đọc được dữ liệu người nhận bắt buộc phải có chính xác một mã khóa giải mã dữ liệu Theo phương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khóa để có thể giải mã và mã hóa dữ liệu Lược đồ public-key sử dụng hai khóa, một khóa được xem như một public-key (khóa công cộng) mà bất cứ ai cũng

có thể dùng để mã hóa và giải mã dữ liệu

* Authentication (Chứng thực): Là một quá trình xử lý đảm bảo chắc chắn

dữ liệu sẽ được chuyển đến người nhận đồng thời cũng đảm bảo thông tin được nguyên vẹn Ở hình thức cơ bản Authentication đòi hỏi ít nhất phải tuân thủ việc phải nhập vào Username và Password để có thể truy cập vào tài nguyên Trong một

số tình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mã hóa dữ liệu

* Authorization (Ủy quyền): Đây là quá trình xử lý cấp quyền truy cập

hoặc ngăn cấm vào tài nguyên trên mạng sau khi đã thực hiện Authentication

1.4.2 Ý nghĩa

Việc xây dựng hệ thống mạng ảo VPN dựa trên hệ thống mạng Internet thực

sự đã mang lại ý nghĩa và kết quả to lớn Đó là việc thiết lập dùng mạng riêng trên nền mạng công cộng sẵn có bằng cơ chế mã hóa, tạo ra các “đường hầm ảo” thông suốt và bảo mật

Mạng riêng ảo ra đời đáp ứng nhu cầu của các doanh nghiệp muốn duy trì một mạng riêng kết nối giữa các trụ sở chi nhánh và các nhân viên hoạt động ở ngoài công ty với mức chi phí thấp hoạt động ổn định và độ bảo mật cao

Vì được thiết lập một kênh riêng nên mang tính bảo mật cao và thuận tiện cho việc triển khai và mở rộng

- VPN làm giảm chi phí thường xuyên:

VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP (Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan to Lan giảm đi đáng kể so với việc thuê đường Leased-Line

- Giảm chi phí quản lý và hỗ trợ:

Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh

- VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực:

Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được truyền trong các đường hầm (Tunnel) nên thông tin có độ an toàn cao

- VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ:

Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhánh tại nhiều quốc gia khác nhau Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng LAN với chi phí thấp

- VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP

Bảo mật địa chỉ IP : thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.

1.5 - Hướng tiếp cận, phạm vi và kết quả thực hiện

Tìm hiểu những thông tin về đề tài trên mạng Internet và sách báo có liên quan tới đề tài thực tập “Hệ thống mạng ảo VPN”

1.5.2 Phạm vi

Đề tài này được xây dựng dựa trên việc nghiên cứu ứng dụng của công nghệ mạng riêng ảo VPN trên nền hệ điều hành Windows Server 2008, áp dụng cho hệ thống mạng của trụ sở BHXH tỉnh Lai Châu

Đề tài đi sâu vào việc làm sao để có thể xây dựng được hệ thống mạng ảo VPN trên nền máy ảo VMWare, để có thể áp dụng vào thực tiễn công việc

1.5.3 Kết quả thực hiện

Xây dựng hệ thống máy ảo hoàn chỉnh, với các site và hệ thống máy chủ sử dụng Windows Server 2008 và các máy trạm sử dụng hệ điều hành Windows 7 và Windows XP Sau khi bảo vệ đề tài ra trường có thể sử dụng đề tài này áp dụng ngay cho thực tế công việc tại đơn vị

1.6 So sánh ưu nhược điểm và những sai thiếu với những đề tài khác

Trong quá trình tìm hiểu và xây dựng báo cáo này chúng em có tham khảo từ những trang web, sách báo, từ các thầy cô giáo và với 2 đề tài khác cùng nói về hệ thống mạng riêng ảo VPN Đề tài của tác giả Đoàn Thanh Bình với đề tài là đồ án tốt nghiệp đại học về “Công nghệ mạng riêng ảo VPN, các giao thức đường hầm và bảo mật” Đề tài thứ hai là của nhóm tác giả Phan Bá Tuệ, Nguyễn Minh Tâm, Nguyễn Thanh Hùng – SV trường Đại học Quốc gia thành phố Hồ Chí Minh với đề tài “Virtual Private Network”

Qua tìm hiểu những đề tài trên chúng em nhận thấy:

- Cả 2 đề tài đều rất chi tiết và cụ thể, trong đề tài đưa ra được cho người đọc những khái niệm tổng quan nhất về hệ thống mạng riêng ảo VPN

- Những định nghĩa và khái niệm, các phương thức bảo mật trong quá trình xây dựng mạng riêng ảo VPN

* Nhược điểm:

Đối với đề tài của tác giả Đoàn Thanh Bình thì lại quá đi sâu vào lý thuyết

mà không nói tới thực hành, làm sao để có thể xây dựng được một hệ thống mạng riêng ảo VPN đơn giản áp dụng vào thực tế dựa trên những lý thuyết đã có sẵn

Còn đối với đề tài của nhóm tác giả trường Đại học Quốc gia Thành phố Hồ Chí Minh thì có hướng dẫn nhưng chưa cụ thể

Từ những điểm trên chúng em đã cố gắng thu nhận những thành tựu của 2 đề tài để góp phần hoàn thiện quyển đồ án “Hệ thống mạng ảo VPN” Từ đó chúng em đưa ra những ưu và nhược điểm trong đề tài mà chúng em đã thực hiện

* Về ưu điểm:

- Trong bài báo cáo chúng em đã đúc kết được một số khái niệm liên quan tới đề tài và một số dịch vụ ứng dụng trong quản trị mạng

- Ngắn gọn dễ hiểu, trình bài theo hướng người sử dụng và nghiên cứu

- Có hình ảnh và hướng dẫn thực hiện cụ thể, chi tiết Thông qua báo cáo người đọc có thể tự mình tìm hiểu về “Hệ thống mạng ảo VPN” và xây dựng được một số mô hình ứng dụng

- Vận dụng được những kiến thức trong các bài báo cáo khác vào bài của chúng em

* Song bên cạnh đó vẫn còn một số khuyết điểm:

- Việc nghiên cứu đề tài còn chưa thực sự sâu sắc

- Vẫn còn thiếu sót nhiều về kiến thức

- Do lượng kiến thức còn hạn chế nên trong quyển đồ án tốt nghiệp này chúng em vẫn chưa thể đưa ra hết được những điểm hay và dở của hệ thống mạng

ảo VPN Kính mong thầy và các bạn bổ xung góp ý

Kết luận chương 1: Qua nội dung của chương 1 chúng ta có thể thấy được

tầm quan trọng, tính cấp thiết của hệ thống mạng ảo VPN trong việc sống còn của các công ty, doanh nghiệp hiện nay, nó đáp ứng được hầu hết nhu cầu về việc trao đổi liên lạc về mặt hành chính, chuyển dữ liệu giữa các chi nhánh công ty với nhau

Tuy nhiên bên cạnh đó việc ứng dụng thực tế triển khai hệ thống mạng ảo VPN vào thực tế vẫn còn khó khăn do còn thiếu nhân lực chất lượng cao trong lĩnh vực quản trị mạng tại các công ty, doanh nghiệp.

Chương 2 - CƠ SỞ LÝ THUYẾT

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet Thông qua hệ thống mạng mà Hệ thống mạng riêng ảo VPN được xây dựng và phát triển nhằm phục vụ cho công việc.

Trong chương 2 này sẽ đề cập tới những cơ sở lý thuyết về hệ thống mạng,

hạ tầng mạng, hệ điều hành và những dịch vụ mạng đi kèm, là định nghĩa, nền tảng

để có thể xây dựng một hệ thống mạng ảo VPN hoàn chỉnh, đáp ứng được nhu cầu công việc.

2.1 - Tổng quan về mạng căn bản, quản trị mạng, Windows Server 2008, Domain, AD, VPN và một số dịch vụ mạng [1][2]

2.1.1 Tổng quan về mạng căn bản

* Định nghĩa mạng máy tính

Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau

Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng

để chuyển các tín hiệu điện tử từ máy tính này đến máy tính khác Các tín hiệu điện

tử đó biểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off) Tất cả các tín hiệu được truyền giữa các máy tính đều thuộc một dạng sóng điện từ Tùy theo tần số của sóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu Ở đây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến Các đường truyền dữ liệu tạo nên cấu trúc của mạng Hai khái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của mạng máy tính

* Phân loại mạng máy tính

Do hiện nay mạng máy tính được phát triển khắp nơi với những ứng dụng ngày càng đa dạng cho nên việc phân loại mạng máy tính là một việc rất phức tạp Người ta có thể chia các mạng máy tính theo khoảng cách địa lý ra làm hai loại: Mạng diện rộng và Mạng cục bộ

Mạng cục bộ (Local Area Networks - LAN) là mạng được thiết lập để liên kết các máy tính trong một khu vực như trong một toà nhà, một khu nhà

Mạng diện rộng (Wide Area Networks - WAN) là mạng được thiết lập để liên kết các máy tính của hai hay nhiều khu vực khác nhau như giữa các thành phố hay các tỉnh.

Sự phân biệt trên chỉ có tính chất ước lệ, các phân biệt trên càng trở nên khó xác định với việc phát triển của khoa học và kỹ thuật cũng như các phương tiện truyền dẫn Tuy nhiên với sự phân biệt trên phương diện địa lý đã đưa tới việc phân biệt trong nhiều đặc tính khác nhau của hai loại mạng trên, việc nghiên cứu các phân biệt đó cho ta hiểu rõ hơn về các loại mạng

có độ tin cậy cao, có thể triển khai được các dịch vụ, tiện ích qua mạng để phục vụ đời sống xã hội, chính trị, quân sự, thì vấn đề quản trị và an ninh mạng phải được cân nhắc và đánh giá đúng tầm quan trọng của nó

* Quản trị mạng lưới (Network Administration) được định nghĩa là các công việc quản lý mạng lưới bao gồm cung cấp các dịch vụ hỗ trợ, đảm bảo mạng lưới hoạt động hiệu quả, đảm bảo chất lượng mạng lưới cung cấp đúng như chỉ tiêu định ra

* Quản trị hệ thống (System Administration) được định nghĩa là các công việc cung cấp các dịch vụ hỗ trợ, đảm bảo sự tin cậy, nâng cao hiệu quả hoạt động của hệ thống và đảm bảo chất lượng dịch vụ cung cấp trên hệ thống đúng như chỉ tiêu định ra

Một định nghĩa khái quát về công tác quản trị mạng là rất khó vì tính bao hàm rộng của nó Quản trị mạng theo nghĩa mạng máy tính có thể được hiểu khái quát là tập bao gồm của các công tác quản trị mạng lưới và quản trị hệ thống

Có thể khái quát công tác quản trị mạng bao gồm các công việc sau:

* Quản trị cấu hình, tài nguyên mạng: Bao gồm các công tác quản lý kiểm soát cấu hình, quản lý các tài nguyên cấp phát cho các đối tượng sử dụng khác nhau

* Quản trị người dùng, dịch vụ mạng: Bao gồm các công tác quản lý người

sử dụng trên hệ thống, trên mạng lưới và đảm bảo dịch vụ cung cấp có độ tin cậy cao, chất lượng đảm bảo theo đúng các chỉ tiêu đề ra

* Quản trị hiệu năng, hoạt động mạng: Bao gồm các công tác quản lý, giám sát hoạt động mạng lưới, đảm bảo các thiết bị, hệ thống, dịch vụ trên mạng hoạt động hiệu quả, ổn định Các công tác quản lý, giám sát hoạt động của mạng lưới cho phép người quản trị tổng hợp, dự báo sự phát triển mạng lưới, dịch vụ, các điểm yếu, điểm mạnh của toàn mạng, các hệ thống và dịch vụ đồng thời giúp khai thác toàn bộ hệ thống mạng với hiệu suất cao nhất

* Quản trị an ninh, an toàn mạng: Bao gồm các công tác quản lý, giám sát mạng lưới, các hệ thống để đảm bảo phòng tránh các truy nhập trái phép, cố tình phá hoại hệ thống, dịch vụ, hoặc mục tiêu đánh cắp thông tin quan trọng của các tổ chức, công ty hay thay đổi nội dung cung cấp lên mạng với dụng ý xấu Việc phòng chống, ngăn chặn sự lây lan của các loại virus máy tính, các phương thức tấn công DoS làm tê liệt hoạt động mạng hay dịch vụ cũng là một phần cực kỳ quan trọng của công tác quản trị an ninh, an toàn mạng Đặc biệt hiện nay khi nhu cầu kết nối

ra mạng Internet trở nên thiết yếu thì các công tác đảm bảo an ninh, an toàn được đặt lên hàng đầu, đặc biệt là với các cơ quan cần bảo mật nội dung thông tin cao độ (ngân hàng, các cơ quan lưu trữ, các báo cáo điện tử, tập đoàn kinh tế mũi nhọn, )

2.1.3 Tổng quan về Windows Server 2008

Microsoft Windows Server 2008 là thế hệ tiếp theo của HĐH Windows Server giúp các chuyên gia CNTT kiểm soát được cơ sở hạ tầng tối ưu nhất mà vẫn đảm bảo khả năng quản lý, tính sẵn sàng, môi trường máy phục vụ mạnh mẽ, ổn định và bảo mật hơn nhiều so với trước đây Windows Server 2008 mang lại giá trị mới cho tổ chức vì mọi người dù đang ở bất cứ đâu cũng nhận được đầy đủ mọi dịch vụ của mạng Windows Server 2008 cũng giúp hiểu biết sâu sắc hơn về hệ điều hành cùng khả năng chẩn đoán sự cố để các nhà quản trị mạng có nhiều thời gian tập trung tạo thêm giá trị nghiệp vụ Windows Server 2008 dựa trên sự thành công và sức mạnh của hệ điều hành Windows Server 2003 được khen ngợi và trên các cải tiến trong Service Pack 1 và Windows Server 2003 R2 Tuy vậy, Windows Server 2008 không chỉ cải tiến các hệ điều hành trước mà được thiết kế để mang lại cho tổ chức một nền tảng có năng suất cao nhất để phục vụ các ứng dụng, mạng và các dịch vụ Web từ nhóm làm việc đến trung tâm dữ liệu, bằng tính năng mới, giá trị và hấp dẫn cùng những cải tiến lớn trong hệ điều hành cơ sở

* Các cải tiến trong hệ điều hành Windows Server

Ngoài tính năng mới, Windows Server 2008 còn có nhiều cải tiến lớn trong

hệ điều hành cơ sở so với Windows Server 2003 Các cải tiến đáng chú ý gồm có những cải tiến về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý các vai trò của máy phục vụ trung tâm, các công cụ giám sát độ tin cậy và vận hành, kết nối server dự phòng sự cố/kết nối chuyển dịch server khi có sự cố, triển khai và hệ thống tập tin Những cải tiến này và nhiều cải tiến khác nữa sẽ giúp

tổ chức tối ưu hoá mức độ linh hoạt, tính sẵn sàng và khả năng kiểm soát các máy phục vụ của mình

* Các lợi ích của Windows Server 2008

Windows Server 2008 mang lại lợi ích trong bốn lĩnh vực chính:

Web Windows Server 2008 mang lại khả năng chuyển giao

kinh nghiệm về web phong phú một cách hiệu quả và thực tế,nhờ khả năng quản trị và chẩn đoán sự cố trên mạng tốt hơn,công cụ lập trình và phát triển ứng dụng tốt hơn và chi phí bỏ racho cơ sở hạ tầng thấp hơn

Đơn giản hoá việc quản lý máy phục vụ Web nhờ cóInternet Information Services 7.0, là nền tảng làm Web mạnhcho ứng dụng và dịch vụ Nền tảng kiểu module này có giaodiện quản lý theo tác vụ và đơn giản, có khả năng kiểm tra chéomạnh hơn, cải tiến về bảo mật và quản lý hoạt động thống nhấtcho mọi Web service

-

Các giao diện theo tác vụ giúp đơn giản hoá việc quản

-lý chung các tác vụ của máy phục vụ Web

Khả năng sao chép liên site giúp bạn sao chép thiết lậpcủa trang Web qua nhiều máy phục vụ Web mà không cần cấuhình thêm

-

Quản trị ứng dụng và site chuyên biệt nên bạn có thểgiao quyền kiểm soát các phần khác nhau của máy phục vụ Webcho người cần giao

-.Chuyển giao các ứng dụng toàn diện và linh hoạt giúpnối kết các người dùng và dữ liệu lại với nhau, làm cho họ cóthể ảo hoá, chia sẻ và tác động lên thông tin

Ảo hoá Với công nghệ ảo hoá máy phục vụ có sẵn, Windows

Server 2008 giúp ta giảm chi phí, tăng tần suất sử dụng phầncứng, tối ưu hoá cơ sở hạ tầng và nâng cao tính sẵn sàng củamáy phục vụ

Nhờ khả năng ảo hoá có sẵn trong hệ điều hành vàchính sách cấp phép uyển chuyển hơn, đơn giản hơn, nên tậndụng được lợi ích và tiết kiệm chi phí Tính năng ảo hoá có sẵn

-sẽ ảo hoá nhiều hệ điều hành - Windows, Linux và các hệ điềuhành khác – trên một máy phục vụ

Truy cập ứng dụng tập trung và tích hợp liền mạch cácứng dụng phân bổ từ xa Các cải tiến còn giúp kết nối ứng dụng

-từ xa qua các tường lửa không dùng VPN, vì thế bạn có thể đápứng yêu cầu của người dùng nhanh chóng, dù họ đang ở đâu

Các tùy chọn triển khai mới có các phương pháp triểnkhai thích hợp cho môi trường của bạn nhất

-

Tương tác với môi trường sẵn có

Cộng đồng kỹ thuật giỏi và mạnh mẽ hỗ trợ kinhnghiệm phong phú trong suốt vòng đời sản phẩm

-Bảo mật Windows Server 2008 là máy phục vụ Windows bảo mật

nhất từ trước đến nay Những cải tiến về bảo mật và hệ điềuhành qua tôi luyện, gồm Network Access Protection, FederatedRights Management và Read-Only Domain Controller có nhiềucấp độ bảo vệ mạng, bảo vệ dữ liệu và công ty chưa từng có

Bảo vệ máy phục vụ bằng những cải tiến bảo mật làmgiảm tấn công bề mặt của trung tâm hệ điều hành, nên môitrường phục vụ càng bảo mật hơn và mạnh hơn

.Bảo vệ truy cập mạng bằng Network Access Protectionnên có thể cách ly các máy tính không tuân thủ chính sách bảomật đã định Khả năng bắt buộc tuân thủ các yêu cầu về bảo mật

là công cụ mạnh bảo vệ mạngCác giải pháp tạo chính sách và quy tắc thông minh mớigiúp tăng khả năng kiểm soát và bảo vệ khi nối mạng, cho ta

một mạng hoạt động theo chính sách.

Bảo vệ dữ liệu đảm bảo chỉ người dùng nào có mật mãđúng mới được truy cập và luôn sẵn sàng khi phần cứng bị hỏnghóc

Chống lại các phần mềm độc hại bằng User AccountControl với cách xác thực người dùng mới

-

Tăng cường kiểm soát thiết lập của người dùng bằngExpanded Group Policy

.Tăng độ tin cậy bằng các cải tiến về độ tin cậy tốt hơnnhằm giảm thiểu tổn thất về truy cập, công việc, thời gian, dữliệu và kiểm soát

.Quản lý cơ sở hạ tầng CNTT đơn giản hoá bằng nhữngcông cụ mới có chung một giao diện tập trung một đầu mối đểcấu hình máy phục vụ và giám sát, cũng như tự động hoá các tác

vụ thường ngày

Cài đặt và quản lý Windows Server 2008 hợp lý hơnbằng cách chỉ cài đặt những tính năng và vai trò cần thiết màthôi Chuyên biệt hoá cấu hình máy phục vụ theo nhu cầu giúpđơn giản hoá việc bảo trì vì ít bị tấn công bề mặt hơn và ít phảicập nhật phần mềm hơn

.Xác định chính xác và giải quyết sự cố hiệu quả bằngnhững công cụ chẩn đoán mạnh giúp nhìn thấy mọi việc đangxảy ra trên máy phục vụ, cả ảo lẫn trên thực tế

.Tăng cường kiểm soát các máy phục vụ ở xa, như các chinhánh chẳng hạn Với khả năng quản lý máy phục vụ và saochép dữ liệu tối ưu, người dùng có dịch vụ tốt hơn mà nhà quảntrị mạng còn đỡ đau đầu về mặt quản lý

2.1.4 Tổng quan về Domain

Một trong những khái niệm quan trọng nhất của mạng Windows là domain (tức miền hay vùng) Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung Và công việc quản

lý là dành cho các domain controller (Bộ điều khiển miền) nhằm giúp tài nguyên được khai thác dễ dàng hơn

Domain controller thực sự rất quan trọng Trong mạng, bất kỳ máy trạm (workstattion) nào đang chạy hệ điều hành Windows XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó Windows XP thậm chí còn cho phép bạn tạo một

số tài khoản bổ xung nếu thấy cần thiết Nếu máy trạm có chức năng như một hệ thống độc lập hoặc một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài nguyên trên mạng Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động như với chức năng đảm bảo cho quản trị viên có thể thực hiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng cuối khả năng can thiệp vào các thiết lập trên máy trạm

Tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép điểu khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng quản lý rất lớn Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ phải

di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với một mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản

Một lý do khác là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác Chẳng hạn nếu máy tính của một người dùng bị phá hoại, người

đó không thể đăng nhập vào máy tính khác để làm việc Vì tài khoản của họ chỉ có tác dụng trên máy cũ Nếu muốn làm được việc người đó phải tạo tài khoản mới trên máy khác

Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế Thậm chí nếu bạn muốn triển khai bảo mật này, Windows cũng không cho phép Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định

Domain có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa Chúng sẽ tập trung hóa tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật) Điều này giúp việc quản trị dễ dàng hơn và cho phép

người dùng đăng nhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng).

Về mặt nguyên lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm trên 1 máy chủ (server), tài khoản người dùng mức server sẽ được dùng để điều khiển truy cập Tuy nhiên còn nhiều vấn đề mà Domain cung cấp cho người dùng hơn nữa

Mỗi một Domain là duy nhất, hoạt động độc lập không bao giờ lặp lại nhưng nguyên tắc hoạt động giống nhau Trong domain tích hợp thêm thành phần Active Directory (AD) cây thư mục quản lý và thẩm định người dùng trong Domain

AD hoạt động như một nơi lưu trữ các đối tượng thư mục (directory), trong

đó có tài khoản người dùng (user account) Và một trong các công việc chính của

bộ điều khiển tên miền là cung cấp dịch vụ thẩm định (Điều này sẽ được nghiên cứu sâu hơn ở phần sau của báo cáo này)

Domain controller cung cấp dịch vụ thẩm định (Authetication) chứ không phải là dich vụ cấp phép (Athoriztion) Tức là, khi một người dùng nào đó đăng nhập vào mạng, một bộ điều khiển sẽ kiểm tra tính hợp lệ của Username và password họ nhập vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay không Nhưng domain controller không nói với người dùng họ có quyền truy cập tài nguyên nào

Tài nguyên trên mạng Windows được bảo vệ bởi các danh sách điều khiển truy cập (ACL - Acscess Control List) Một ACL là danh sách chỉ rõ ai có quyền làm gì Khi người dùng cố gắng truy cập tài nguyên, họ đưa ra nhân dạng của mình cho máy chủ chứa tài nguyên đó Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùng này đã được thẩm định Sau đó tham chiếu chéo đến ACL để xem người dùng có quyền làm gì

Domain Controller đóng vai trò hết sức quan trọng trong Windows Server

2.1.5 Tổng quan về AD

Active Director là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác Thêm vào đó, Active Directory được thiết

kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Active Directory có thể được coi là một điểm phát triển mới so với Windows

2000 Server và được nâng cao, hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, pocicy và permission

Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung hình mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng

2.1.6 Tổng quan về VPN [3],[7],[8],[9],[10]

a) VPN là gì?

Mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm Một cuộc điện thoại giữa hai cá nhân là ví dụ đơn giản nhất mô tả một kết nối riêng ảo trên mạng điện thoại công cộng Hai đặc điểm quan trọng của công nghệ VPN là ''riêng'' và ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private) VPN có thể xuất hiện tại bất

cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thêm tích chất của mạng cục bộ cho mạng WAN

Hình 2.1: VPN=Đường hầm + Mã hoá

Hình 2.2: Mô hình hệ thống mạng ảo

b) Lợi ích của VPN đem lại :

* VPN làm giảm chi phí thường xuyên:

VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan – to – Lan giảm đi đáng kể so với việc thuê đường Leased-Line

Giảm chi phí quản lý và hỗ trợ:

Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh

* VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực

Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được truyền trong các đường hầm(Tunnel) nên thông tin có độ an toàn cao

* VPN dễ dàng kết nối các chi nhánh thành một mạng cục bộ

Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhành tại nhiều quốc gia khác nhau Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần

thiết VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhành và văn phòng trung tâm thành một mạng LAN với chi phí thấp

* VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP

Bảo mật địa chỉ IP : thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet

c) Các thành phần cần thiết tạo nên kết nối VPN:

User authentication : cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng hợp lệ kết nối vào hệ thống VPN

Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ

Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình

mã hóa và giải mã dữ liệu

Hình 2.3: VPN Remote Access

* VPN Remote Access

VPN Remote Access : Cung cấp kết nối truy cập từ xa đến một mạng

Intranet hoặc Extranet dựa trên hạ tầng được chia sẻ VPN Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable để thiết lập kết nối đến các Mobile user

Một đặc điểm quan trọng của VPN Remote Access là: Cho phép người dùng

di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc

Để thực hiện được VPN Remote Access cần:

Có 01 VPN Getway(có 01 IP Public) Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ

Các VPN Client kết nối vào mạng Internet

Hình 2.4: VPN Site to Site

* VPN Site - to - Site:

VPN Site - to - Site được chia làm hai loại nhỏ là VPN Intranet và VPN

Extranet

+ Intranet VPN : Kết nối văn phòng trung tâm, các chi nhánh và văn phòng

ở xa vào mạng nội bộ của công ty dựa trên hạ tầng mạng được chia sẻ Intranet VPN khác với Extranet VPN ở chỗ nó chỉ cho phép các nhân viên nội bộ trong công

ty truy cập vào hệ thống mạng nội bộ của công ty

+ Extranet VPN : Kết nối bộ phận khách hàng của công ty, bộ phận tư vấn,

hoặc các đối tác của công ty thành một hệ thống mạng dựa trên hạ tầng được chia

sẻ Extranet VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ thống

Để thực hiện được VPN Site - to Site cần

Có 02 VPN Getway(Mỗi VPN Getway có 01 IP Public) Đây là điểm tập trung xử lý khi VPN Getway phía bên kia quay số truy cập vào

Các Client kết nối vào hệ thống mạng nội bộ

2.1.7 Một số dịch vụ mạng khác

Cũng như các hệ điều hành khác Windows NT cũng có những ưu, khuyết điểm của nó, tuy nhiên Windows NT hiện nay chinh phục được nhiều người dùng với những ưu điểm không thể chối cãi Là hệ điều hành mạng cho phép tổ chức quản lý một cách chủ động theo nhiều mô hình khác nhau: peer-to-peer, clien/server Nó thích hợp với tất cả các kiến trúc mạng hiện nay như: hình sao

(start), đường thẳng (bus), vòng (ring) và phức hợp Nó có một số đặc tính ưu việt bảo đảm thực hiện cùng lúc nhiều chương trình mà không bị lỗi Bản thân Windows

NT đáp ứng được hầu hết các giao thức phổ biến nhất trên mạng và cũng hỗ trợ được rất nhiều những dịch vụ truyền thông trên mạng Nó vừa đáp ứng được cho mạng cục bộ (LAN) và cho cả mạng diện rộng (WAN)

Windows NT cho phép dùng giao thức Windows NT TCP/IP, vốn là một giao thức được sử dụng rất phổ biến trên hầu hết các mạng diện rộng và trên Internet Giao thức TCP/IP dùng tốt cho nhiều dịch vụ mạng trên môi trường Windows NT

a) Internet Information Server (IIS)

Internet Information Server là một ứng dụng chạy trên Windows NT, tích hợp chặt với Windows NT, khi cài đặt IIS, IIS có đưa thêm vào tiện ích màn hình kiểm soát (Performance monitor) một số mục như thống kê số lượng truy cập, số trang truy cập Việc kiểm tra người dùng truy cập cũng dựa trên cơ chế quản lý người sử dụng của Windows NT Sau khi cài đặt IIS, trong thư mục InetSrv sẽ có các thư mục gốc tương ứng cho từng dịch vụ chọn cài đặt

IIS bao gồm 3 dịch vụ: World Wide Web (WWW), chuyển file (FTP - File Transfer Protocol) và Gopher Cả 3 dịch vụ này đều sử dụng kết nối theo giao thức TCP/IP

* Các dịch vụ trong IIS

+) WWW (World Wide Web) :

Là một trong những dịch vụ chính trên Internet cho phép người sử dụng xem thông tin một cách dễ dàng, sinh động Dữ liệu chuyển giữa Web Server và Web Client thông qua nghi thức HTTP (Hypertext Transfer Protocol)

Người quản trị có thể xem các thông tin như các người dùng đã truy cập, các trang được truy cập, các yêu cầu được chấp nhận, các yêu cầu bị từ chối thông qua các file có thể được lưu dưới dạng cơ sở dữ liệu

+) FTP (File Transfer Protocol)

Sử dụng giao thức TCP để chuyển file giữa 2 máy và cũng hoạt động theo

mô hình Client/Server, khi nhận được yêu cầu từ client, đầu tiên FTP Server sẽ kiểm tra tính hợp lệ của người dùng thông qua tên và mật mã Nếu hợp lệ, FTP Server sẽ kiểm tra quyền người dùng trên tập tin hay thư mục được xác định trên FTP Server Nếu hợp lệ và hệ thống file là NTFS thì sẽ có thêm kiểm tra ở mức thư

mục, tập tin theo NTFS Sau khi tất cả hợp lệ, người dùng sẽ được quyền tương ứng trên tập tin, thư mục đó.

+) Gopher

Là một dịch vụ sử dụng giao diện menu để Gopher Client tìm và chuyển bất

kỳ thông tin nào mà Gopher Server đã được cấu hình Gopher cũng sử dụng kết nối theo giao thức TCP/IP

b) Dynamic Host Configuration Protocol (DHCP) :

Trong một mạng máy tính, việc cấp các địa chỉ IP tĩnh cố định cho các host

sẽ dẫn đến tình trạng lãng phí địa chỉ IP, vì trong cùng một lúc không phải các host hoạt động đồng thời với nhau, do vậy sẽ có một số địa chỉ IP bị thừa Để khắc phục tình trạng đó, dịch vụ DHCP đưa ra để cấp phát các địa chỉ IP động trong mạng

Trong mạng máy tính NT khi một máy phát ra yêu cầu về các thông tin của TCPIP thì gọi là DHCP client, còn các máy cung cấp thông tin của TCPIP gọi là DHCP server Các máy DHCP server bắt buộc phải là Windows NT server

Cách cấp phát địa chỉ IP trong DHCP: Một user khi log on vào mạng, nó cần xin cấp 1 địa chỉ IP, theo 4 bước sau :

- Gửi thông báo đến tất cả các DHCP server để yêu cầu được cấp địa chỉ

- Tất cả các DHCP server gửi trả lời địa chỉ sẽ cấp đến cho user đó

- User chọn 1 địa chỉ trong số các địa chỉ, gửi thông báo đến server có địa chỉ được chọn

- Server được chọn gửi thông báo khẳng định đến user mà nó cấp địa chỉ

c) Dịch vụ Domain Name Service (DNS)

Hiện nay trong mạng Internet số lượng các nút (host) lên tới hàng triệu nên chúng ta không thể nhớ hết địa chỉ IP được, Mỗi host ngoài địa chỉ IP còn có một cái tên phân biệt, DNS là 1 cơ sở dữ liệu phân tán cung cấp ánh xạ từ tên host đếùn địa chỉ IP Khi đưa ra 1 tên host, DNS server sẽ trả về địa chỉ IP hay 1 số thông tin của host đó Điều này cho phép người quản lý mạng dễ dàng trong việc chọn tên cho host của mình

DNS server được dùng trong các trường hợp sau :

Chúng ta muốn có 1 tên domain riêng trên Interner để có thể tạo, tách rời các domain con bên trong nó

Chúng ta cần 1 dịch vụ DNS để điều khiển cục bộ nhằm tăng tính linh hoạt cho domain cục bộ của bạn.

Chúng ta cần một bức tường lửa để bảo vệ không cho người ngoài thâm nhập vào hệ thống mạng nội bộ của mình

Có thể quản lý trực tiếp bằng các trình soạn thảo text để tạo và sửa đổi các file hoặc dùng DNS manager để tạo và quản lý các đối tượng của DNS như: Servers, Zone, Các mẫu tin, các Domains, Tích hợp với Win,

d) Remote Access Service (RAS)

Ngoài những liên kết tại chỗ với mạng cục bộ (LAN) các nối kết từ xa vào mạng LAN hiện đang là những yêu cầu cần thiết của người sử dụng Việc liên kết

đó cho phép một máy từ xa như của một người sử dụng tại nhà có thể qua đường dây điện thoại thâm nhập vào một mạng LAN và sử dụng tài nguyên của nó Cách thông dụng nhất hiện nay là dùng modem để có thể truyền trên đường dây điện thoại

Windows NT cung cấp Dịch vụ Remote access Service cho phép các máy trạm có thể nối với tài nguyên của Windows NT server thông qua đường dây điện thoại RAS cho phép truyền nối với các server, điều hành các user và các server, thực hiện các chương trình khai thác số liệu, thiết lập sự an toàn trên mạng

Với những khả năng to lớn của mình trong các dịch vụ mạng, hệ điều hành Windows NT là một trong những hệ điều hành mạng tốt nhất hiện nay Hệ điều hành Windows NT vừa cho phép giao lưu giữa các máy trong mạng, vừa cho phép truy nhập từ xa, cho phép truyền file, vừa đáp ứng cho mạng cục bộ (LAN) vừa đáp ứng cho mạng diện rộng (WAN) như Intranet, Internet Với những khả năng như vậy hiện nay hệ điều hành Windows NT đã có những vị trí vững chắc trong việc cung cấp các giải pháp mạng trên thế giới

2.2 - Phát triển đề tài

Với quá trình tìm hiểu và thực tập về vấn đề mạng riêng ảo, thì chúng ta thấy rằng việc ứng dụng nó vào phát triển hệ thống hạ tầng công nghệ thông tin hoàn toàn phù hợp với xu hướng và mang tính sống còn Hệ thống giúp tiết kiệm chi phí, cắt giảm các thủ tục hành chính rườm rà không cần thiết

Việc xây dựng đề tài trong bài thực tập mới chỉ được ứng dụng trên hệ thống máy ảo nên vẫn còn nhiều tồn tại và khác so với thực tế nếu đưa vào triển khai

Tuy nhiên đề tài này là tiền đề để ứng dụng vào thực tế tại những cơ quan, công sở hành chính nhà nước mà ngày nay đang hướng tới vấn đề tin học hóa hệ

thống Cùng với sự giúp đỡ của các thầy cô giáo và nguồn tri thức từ cộng đồng ứng dụng công nghệ thông tin trong đời sống Đề tài này sẽ được tiếp tục nghiên cứu và triển khai tại trụ sở BHXH tỉnh Lai Châu và Bảo hiểm xã hội các huyện thị xã trong tỉnh Lai Châu.

Kết luận chương 2: Qua chương 2 đã đưa ra cho chúng ta được những định

nghĩa, khái niệm tổng quan về việc quản trị mạng cũng như những ứng dụng của chúng trong việc triển khai và quản trị hệ thống mạng Qua đó chúng ta cũng có một cái nhìn tổng quan và khái niệm về hệ thống mạng ảo VPN, phân loại hệ thống mạng ảo VPN Để từ đó áp dụng vào thực tế.

Chương 3 - CÁC GIAO THỨC ĐƯỜNG HẦM VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và

an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet Giao thức đường hầm là cốt lõi của giải pháp VPN Có 4 giao thức đường hầm được sử dụng trong VPN đó là:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)

3.1 Giao thức định hướng lớp 2 – L2F [4],[6],[12]

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty qua thiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu

3.1.1 Cấu trúc gói của L2F

1bit 1bi

t

KeyDataCkecksums

Hình 3.1: Khuôn dạng gói của L2F

Trong đó:

F: Trường “Offset” có mặt nếu bit này được thiết lập.

K: Trường “Key” có mặt nếu bit này được thiết lập.

P_ priority: Gói này là một gói ưu tiên nếu bit này được thiết lập.

S: Trường “Sequence” có mặt nếu bit này được thiết lập.

Reserved: Luôn được đặt là: 00000000.

Version : Phiên bản chính của L2F dùng để tạo gói 3 bit này luôn là 111 Protocol : Xác định giao thức đóng gói L2F.

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bit S=1.

Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel) Client ID: Giúp tách đường hầm tại những điểm cuối.

Length: Chiều dài của gói (tính bằng Byte) không bao gồm phần checksum Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt

đầu Trường này có khi bit F=1

Key: Trường này được trình bày nếu bit K được thiết lập Đây là một phần

của quá trình nhận thực

Checksum: Kiểm tra tổng của gói Trường checksum có nếu bit C=1

3.1.2 Ưu nhược điểm của L2F

* Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được cung cấp bởi nhiều nhà cung cấp

* Nhược điểm:

- Không có mã hoá

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

3.1.3 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền xuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động như NAS

Tunne:l Định hướng đường đi giữa NAS và home gateway Một đường hầm

gồm một số kết nối

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI, một

kết nối L2F được xem như là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích

* Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway)