Đang tải... (xem toàn văn)
MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình) MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình) MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình) MÔ PHỎNG MẠNG RIÊNG ảo VPN (có hướng dẫn cấu hình)
MÔ PHỎNG MẠNG RIÊNG ẢO VPN MỤC LỤC DANH MỤC HÌNH ẢNH DANH MỤC BẢNG BIỂU DANH MỤC CÁC TỪ VIẾT TẮT VPN Virtual Private Network OSI Open Systems Interconnection IPSEC Internet Protocol Security GRE Generic Routing Encapsulation ESP Encapsulation Security Protocol DES Data Encryption Standard AH Authentication Header LAN Local Area Network VLAN Virtual Local Area Network MD5 Message Digest IKE Internet Exchange Key ISAKMP Internet Security Association and Key Management Protocol EIGRP Enhanced Interior Gateway Routing Protocol OSPF Open Shortest Path First DHCP Dynamic Host Configuration Protocol HMAC Hash-based Message Authentication Code MAC Media Access Control TỔNG QUAN VỀ ĐỀ TÀI Virtual Private Network (mạng riêng ảo) thường gọi tắt VPN kỹ thuật xuất từ lâu, nhiên thực bùng nổ trở nên cạnh tranh xuất công nghệ mạng thông minh với đà phát triển mạnh mẽ Internet Trong thực tế, người ta thường nói tới hai khái niệm VPN là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) mạng riêng ảo an toàn (Secure VPN).Mạng riêng ảo kiểu tin tưởng xem số mạch thuê nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động đường dây mạng cục Tính riêng tư VPN thể chỗ nhà cung cấp dịch vụ đảm bảo sử dụng mạch thuê riêng Khách hàng mạng riêng ảo loại tin tưởng vào nhà cung cấp dịch vụ để trì tính toàn vẹn bảo mật liệu truyền mạng Các mạng riêng xây dựng đường dây thuê thuộc dạng “trusted VPN”.Mạng riêng ảo an toàn mạng riêng ảo có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng công cộng (ví dụ: mạng Internet) liệu khác để truyền tới đích sau giải mã liệu phía thu Dữ liệu mật mã coi truyền đường hầm (tunnel) bảo mật từ nguồn tới đích Cho dù kẻ cơng nhìn thấy liệu đường truyền khơng có khả đọc liệu mật mã Mạng riêng ảo xây dựng dựa Internet mạng riêng ảo kiểu an toàn, sử dụng sở hạ tầng mở phân tán Internet cho việc truyền liệu site cơng ty Trọng tâm đồ án tốt nghiệp bàn VPN dựa Internet Khi nói đến mạng riêng ảo VPN phải hiểu mạng riêng ảo dựa Internet Trang 6/ 35 CHƯƠNG 1: GIỚI THIỆU VPN VÀ MỘT VÀI KĨ THUẬT CƠ BẢN TRONG THIẾT KẾ MẠNG DOANH NGHIỆP 1.1 VPN gì? VPN (Virtual Private Network) hay gọi mạng riêng ảo công nghệ cung cấp giao thức an toàn mạng riêng dựa kĩ thuật “ tunneling” để tạo mạng riêng internet Về chất, q trình đặt tồn gói tin vào lớp header chứa thơng tin định tuyến truyền qua mạng trung gian VPN mạng riêng sử dụng mạng chung để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo dẫn qua đường internet từ mạng riêng công ty tới hạ tầng mạng nhân viên từ xa VPN doanh nghiệp chia thành ba loại : remote access VPN, site to site VPN, extranet VPN 1.1.1 Remote Access VPN Remoe Access VPN Còn gọi Dial-up riêng ảo (VPDN) kết nối người dùng đến mạng công ty, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa diểm xa Ví dụ cơng ty muốn thiết lập VPN lớn đến nhà cung cấp dịch vụ doanh nghiệp Doanh nghiệp tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an tồn, có mật mã Có hai cấu trúc sử dụng để kết nối Remote Access VPN Thứ khởi tạo người dùng, cấu trúc này, người dùng thiết lập phiên Ipsec thông qua môi trường internet để đến thiết bị đầu cuối công ty Thứ hai khởi tạo NAS, lúc người dùng kết nối với NAS, sau NAS tiến hành thiết lập đường truyền ảo internet từ cơng ty tới người dùng MƠ PHỎNG MẠNG RIÊNG ẢO VPN Trang 7/ 35 Hình 1.1 Sơ đồ mạng Remote Access VPN [1] 1.1.2 Site –to – site VPN Đây kiểu mạng VPN kết nối chi nhánh công ty xa sở Kiểu mạng dựa hạ tầng mạng internet để thiết lập đường truyền ảo Có thể thiết lập đường truyền ảo trực tiếp cở sở thiết lập đường truyền ảo thông qua nhà cung cấp dịch vụ internet Những ưu điểm mạng cục dựa giải pháp VPN bao gồm: Các mạng lưới cục hay tồn thiết lập (với điều kiện mạng thông qua hay nhiều nhà cung cấp dịch vụ) Giảm số nhân viên kỹ thuật hỗ trợ mạng nơi xa.Bởi kết nối trung gian thực thơng qua mạng Internet, nên dễ dàng thiết lập thêm liên kết ngang cấp Tiết kiệm chi phí thu từ lợi ích đạt cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ cơng nghệ Frame Relay, ATM Tuy nhiên mạng cục dựa giải pháp VPN có nhược điểm như: Bởi liệu truyền “ngầm” qua mạng cơng cộng – mạng Internet – mối “đe dọa” mức độ bảo mật liệu mức độ chất lượng dịch vụ (QoS) Khả gói liệu bị truyền dẫn cao Trường hợp truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực thách thức lớn môi trường Internet MƠ PHỎNG MẠNG RIÊNG ẢO VPN Trang 8/ 35 Hình 1.2 Site – to - site VPN [1] 1.1.3 Extranet Đây phương pháp dùng để liên kết công ty với công ty đối tác thân mật khác Khi đường truyền đực thiết lập phái cơng ty đối tác truy nhập vào nội dung mà công ty cho phép Đường truyền sử dụng sở hạ tầng internet Những ưu điểm mạng VPN mở rộng: chi phí cho mạng VPN mở rộng thấp nhiều so với mạng truyền thống Dễ dàng thiết lập, bảo trì dễ dàng thay đổi mạng hoạt động Vì mạng VPN mở rộng xây dựng dựa mạng Internet nên có nhiều hội việc cung cấp dịch vụ chọn lựa giải pháp MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 9/ 35 phù hợp với nhu cầu cơng ty hơn.Bởi kết nối Internet nhà cung cấp dịch vụ Internet bảo trì, nên giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, giảm chi phí vận hành toàn mạng Bên cạnh ưu điểm giải pháp mạng VPN mở rộng nhược điểm như: Khả bảo mật thông tin, liệu truyền qua mạng công cộng tồn tại.Truyền dẫn khối lượng lớn liệu, đa phương tiện, với yêu cầu truyền dẫn tốc độ cao đảm bảo thời gian thực, thách thức lớn môi trường Internet Làm tăng khả rủi ro mạng cục công ty 1.2 Các kĩ thuật thiết lập VPN Hiện có nhiều kĩ thuạt sử dụng việc thiết lập mảng riêng ảo L2TP, GRE, Ipsec Trong Ipsec GRE giao thức trội Trong này, chủ yếu tìm hiểu giao thức Ipsec 1.2.1 GRE VPN GRE VPN ( Generic Routing Encapsulation) giao thức phát triển Cisco để đóng gói loạt giao thức bên đường hầm IP để tạo đường kết điểm tới điểm 1.2.1.1 Cấu trúc GRE VPN GRE thêm vào tối thiểu 24 byte vào gói tin, bao gồm 20-byte IP header mới, byte lại GRE header GRE tùy chọn thêm vào 12 byte mở rộng để cung cấp tính tin cậy như: checksum, key chứng thực, sequence number MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 10/ 35 Hình 1.3 Cấu trúc gói tin đóng gói GRE[2] GRE cơng cụ tạo tunnel đơn giản hiệu Nó tạo tunnel cho kì giao thức lớp GRE cho phép giao thức định tuyến hoạt động kênh truyền GRE header thân chứa đựng byte, kích cỡ nhỏ GRE header không thêm vào tùy chọn byte cờ (flags) để định tùy chọn GRE Những tùy chọn active, thêm vào GRE header Bảng sau mô tả tùy chọn GRE header Bảng 1-1 Cấu trúc GRE header Bit Tùy chọn GRE header Kiểm tra lỗi (checksum) Chuỗi khóa (key) Số thứ tự 13-15 Mô tả Thêm trương byte checksum vào GRE header bit Thêm chuỗi khóa byte vào sau trường checksum bit Thêm chuyễn số thứ tự vào sau trường key bit Phiên GRE 0: GRE bản; 1: PPTP Trong GRE header byte lại định cho trường giao thức 16 bits xác định kiểu gói tin mang theo GRE tunnel Hình sau mơ tả cách mà gói tin GRE với tất tùy chọn gán vào IP header data MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 21/ 35 • • • • • • Xây dựng hệ thống mạng LAN cho sở Thiết lập server quản lí phân giải tên miền,trang mạng, email sở liệu công ty Việc sử dụng sở liệu phải phân quyền Cơng ty có web www.thanhnhan.com Địa mail : thanhnhan.com Nhân viên sử dụng internet Giảm tối đa chi phí xây dựng 2.2 Giải pháp Để kết nối sở, có cách Cách thứ thuê đường truyền internet riêng vật lí(leasedline) Cách thứ sử dụng đường truyền internet công cộng Cách thứ chi phí vơ đắt đỏ, độ an tồn cao Cách thứ hai rẻ nhiều, lại khơng đảm bảo độ an tồn Vì giải pháp đưa thiết lập mạng riêng ảo VPN kết nối sở Tại sở, xây dựng mạng LAN cho phòng ban giao tiếp với nhau, phải khác lớp mạng , dự trù khả mở rộng phòng ban trương lai Vì tạo VLAN giải pháp hợp lí, giúp giảm chi phí mua nhiều switch, đảm bảo phòng ban thuộc lớp mạng khác Xây dựng DNS server để phân miền địa cho web server, e-mail server, FTP server Đồng thời thiết lập mật cho phòng ban sử dụng email công ty,giới hạn nhân viên truy nhập sở liệu cung hạn chế quyền tương tác với liệu đồng thời cung mật cho cá nhân 2.3 Thiết kế 2.3.1 Quy hoạch IP: Bảng 2-1: Quy hoach IP cho sở PHỊNG GIÁM ĐỐC KINH DOANH NHÂN SỰ KẾ TOÁN IT LỚP MẠNG – ĐỊA CHỈ IP 192.168.10.0/24 DHCP 192.168.20.0/24 DHCP 192.168.30.0/24 DHCP 192.168.40.0/24 DHCP 192.168.50.0/24 MÔ PHỎNG MẠNG RIÊNG ẢO VPN DEFAULT-ROUTE 192.168.10.1/24 192.168.20.1/24 192.168.30.1/24 192.168.40.1/24 192.168.50.1/24 Trang 22/ 35 PC IT DNS SERVER FTP SERVER WEB SERVER E-MAIL SERVER 192.168.50.2/24 192.168.50.3/24 192.168.50.4/24 192.168.50.5/24 192.168.20.6/24 Bảng 3-2: Quy hoach IP cho chi nhánh PHÒNG LỚP MẠNG DEFAULT-ROUTE GIÁM ĐỐC 172.16.10.0/24 172.16.10.1/24 KINH DOANH 172.16.20.0/24 172.16.20.1/24 NHÂN SỰ 172.16.30.0/24 172.16.30.1/24 KẾ TOÁN 172.16.40.0/24 172.16.40.1/24 Công t y mua địa IP nhà mạng 172.17.1.2/24 cho chi nhánh 168.68.1.2 cho sở 2.3.2 Mơ hình thiết kế Sử dụng phần mềm mơ Cisco Packet Tracer MƠ PHỎNG MẠNG RIÊNG ẢO VPN Trang 23/ 35 Hình 11 Mơ hình mạng MƠ PHỎNG MẠNG RIÊNG ẢO VPN Trang 24/ 35 TÀI KIỆU THAM KHẢO [1] www.hocmangcoban.com [2] www.quantrimang.com [3]www.thegioimang.vn [4] Đàm Quang Hồng Hải (2010), Giao trình Mạng Máy Tính,NXB :ĐHQG-HCM [5] Khương Anh(2005), Giáo Trình Hệ Thống Mạng Máy Tính CCNA Semester 2,NXB Lao Động Xã Hội MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 25/ 35 PHỤ LỤC Thơng tin cấu hình router sở phụ Current configuration : 1941 bytes version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption hostname chinhanh ip dhcp excluded-address 172.16.10.1 ip dhcp excluded-address 172.16.20.1 ipdhcp excluded-address 172.16.30.1 ip dhcp excluded-address 172.16.40.1 ip dhcp pool vlan10 network 172.16.10.0 255.255.255.0 default-router 172.16.10.1 dns-server 192.168.50.3 ip dhcp pool vlan20 network 172.16.20.0 255.255.255.0 MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 26/ 35 default-router 172.16.20.1 dns-server 192.168.50.3 ip dhcp pool vlan30 network 172.16.30.0 255.255.255.0 default-router 172.16.30.1 dns-server 192.168.50.3 ip dhcp pool vlan40 network 172.16.40.0 255.255.255.0 default-router 172.16.40.1 dns-server 192.168.50.3 ip cef no ipv6 cef crypto isakmp policy 10 hash md5 authentication pre-share group crypto isakmp key thanhnhan address 168.68.1.2 crypto ipsec transform-set nhanset esp-des esp-md5-hmac crypto map nhanmap 10 ipsec-isakmp set peer 168.68.1.2 set transform-set nhanset match address 100 MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 27/ 35 spanning-tree mode pvst interface FastEthernet0/0 ip address 172.16.1.1 255.255.255.0 duplex auto speed auto interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.16.10.1 255.255.255.0 interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.16.20.1 255.255.255.0 interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.16.30.1 255.255.255.0 interface FastEthernet0/0.40 encapsulation dot1Q 40 ip address 172.16.40.1 255.255.255.0 interface FastEthernet0/1 ip address 172.17.1.2 255.255.255.0 duplex auto speed auto crypto map nhanmap MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 28/ 35 interface Vlan1 no ip address shutdown ip classless ip route 0.0.0.0 0.0.0.0 172.17.1.1 ip flow-export version access-list 100 permit ip 172.16.0.0 0.0.255.255 192.168.0.0 0.0.255.255 line line aux line vty login end Thơng tin cấu hình router sở hostname truso ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.20.1 ip dhcp excluded-address 192.168.30.1 ip dhcp excluded-address 192.168.40.1 ip dhcp pool vlan10 network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.50.3 ip dhcp pool vlan20 network 192.168.20.0 255.255.255.0 default-router 192.168.20.1 dns-server 192.168.50.3 ip dhcp pool vlan30 network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 dns-server 192.168.50.3 MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 29/ 35 ip dhcp pool vlan40 network 192.168.40.0 255.255.255.0 default-router 192.168.40.1 dns-server 192.168.50.3 ip cef no ipv6 cef crypto isakmp policy 10 hash md5 authentication pre-share group ! crypto isakmp key thanhnhan address 172.17.1.2 crypto ipsec transform-set nhanset esp-des esp-md5-hmac ! crypto map nhanmap 10 ipsec-isakmp set peer 172.17.1.2 set transform-set nhanset match address 100 spanning-tree mode pvst interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 192.168.20.1 255.255.255.0 interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 192.168.30.1 255.255.255.0 interface FastEthernet0/0.40 encapsulation dot1Q 40 ip address 192.168.40.1 255.255.255.0 MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 30/ 35 interface FastEthernet0/0.50 encapsulation dot1Q 50 ip address 192.168.50.1 255.255.255.0 interface FastEthernet0/1 ip address 168.68.1.2 255.255.255.0 duplex auto speed auto crypto map nhanmap interface Vlan1 no ip address shutdown ip classless ip route 0.0.0.0 0.0.0.0 168.68.1.1 ip flow-export version access-list 100 permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 line line aux line vty login end Cầu hình router ISP hostname isp ip dhcp excluded-address 150.1.1.1 ip dhcp pool vlan2 network 150.1.2.0 255.255.255.0 default-router 150.1.1.1 MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 31/ 35 dns-server 192.168.50.3 ip dhcp pool vlan3 network 150.1.3.0 255.255.255.0 default-router 150.1.1.1 dns-server 192.168.50.3 no ip cef no ipv6 cef spanning-tree mode pvst interface FastEthernet0/0 ip address 172.17.1.1 255.255.255.0 duplex auto speed auto interface FastEthernet0/1 ip address 168.68.1.1 255.255.255.0 duplex auto speed auto interface FastEthernet1/0 ip address 150.1.1.1 255.255.255.0 duplex auto speed auto interface Vlan1 no ip address MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 32/ 35 shutdown ip classless ip route 192.168.1.0 255.255.255.0 FastEthernet0/1 ip route 192.168.10.0 255.255.255.0 FastEthernet0/1 ip route 192.168.20.0 255.255.255.0 FastEthernet0/1 ip route 192.168.30.0 255.255.255.0 FastEthernet0/1 ip route 192.168.40.0 255.255.255.0 FastEthernet0/1 ip route 192.168.50.0 255.255.255.0 FastEthernet0/1 ip route 172.16.1.0 255.255.255.0 FastEthernet0/0 ip route 172.16.10.0 255.255.255.0 FastEthernet0/0 ip route 172.16.20.0 255.255.255.0 FastEthernet0/0 ip route 172.16.30.0 255.255.255.0 FastEthernet0/0 ip route 172.16.40.0 255.255.255.0 FastEthernet0/0 ip route 0.0.0.0 0.0.0.0 FastEthernet1/0 ip flow-export version line line aux line vty login !end Cấu hình switch chi nhánh hostname Switch spanning-tree mode pvst MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 33/ 35 interface FastEthernet0/1 switchport mode trunk interface FastEthernet0/2 switchport access vlan 10 interface FastEthernet0/3 switchport access vlan 20 interface FastEthernet0/4 switchport access vlan 30 interface FastEthernet0/5 switchport access vlan 40 interface GigabitEthernet0/1 interface GigabitEthernet0/2 interface Vlan1 no ip address shutdown line line vty login line vty 15 login end Cấu hình switch sở spanning-tree mode pvst MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 34/ 35 interface FastEthernet0/1 switchport mode trunk interface FastEthernet0/2 switchport access vlan 10 switchport mode trunk interface FastEthernet0/3 switchport access vlan 20 switchport mode trunk interface FastEthernet0/4 switchport access vlan 30 switchport mode trunk interface FastEthernet0/5 switchport access vlan 40 switchport mode trunk interface FastEthernet0/6 switchport access vlan 50 switchport mode trunk interface GigabitEthernet0/1 interface GigabitEthernet0/2 interface Vlan1 no ip address shutdown MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 35/ 35 line line vty login line vty 15 login CHƯƠNG 3: ĐÁNH GIÁ MƠ HÌNH THIẾT KẾ Địa IP toàn mạng chia theo phương pháp chia IP tĩnh, cấu hình DHCP để tạo cở sở lớp mạng để cấp phát IP cho thiết bị phương pháp tạo mạng riêng ảo cho mạng sử dụng giao thức Ipsec, nói trên, phương pháp làm cho công ty phụ thuộc ISP việc mở rộng lớp mạng Giải pháp cho vấn đề sử dụng kết hợp giao thúc GRE Ipsec MƠ PHỎNG MẠNG RIÊNG ẢO VPN ... khái niệm VPN là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) mạng riêng ảo an toàn (Secure VPN) .Mạng riêng ảo kiểu tin tưởng xem số mạch thuê nhà cung cấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt... liệu truyền mạng Các mạng riêng xây dựng đường dây thuê thuộc dạng “trusted VPN .Mạng riêng ảo an tồn mạng riêng ảo có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng cơng... switch thiết bị thuộc lớp 2( lớp liên kết liệu) MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 18/ 35 Hình 1.9 Mơ hình chuyển mạch [3] MÔ PHỎNG MẠNG RIÊNG ẢO VPN Trang 19/ 35 Dưới hình ảnh thực tế switch 1.4.3