CAO QUOC DUNG 21150438 TIEU LUAN TKDVM

LỜI CÁM ƠN Tôi xin chân thành cảm ơn khoa Công nghệ thông tin trường Cao đẳng Bách Việt cùng tất cả các thầy giáo, cô giáo đã tận tình giảng dạy và giúp đỡ tôi trong suốt quá trình học tập, nghiên cứu. Tôi xin bày tỏ lòng biết ơn sâu sắc đến thầy Nguyễn Văn Chung người đã trực tiếp giảng dạy và hướng dẫn tạo mọi điều kiện thuận lợi giúp đỡ tôi trong quá trình thực hiện đề tài. TS. Nguyễn Văn Chung đã tận tâm hướng dẫn tôi và các bạn qua từng buổi học trên lớp cũng như những buổi nói chuyện, thảo luận về những khía cạnh của môn học. Nếu không có sự hướng dẫn của Thầy thì bài luận này của tôi rất khó có thể hoàn thành được. Một lần nữa, tôi xin chân thành cảm ơn Thầy. Tuy đã có nhiều cố gắng, nhưng chắc chắn tiểu luận của tôi còn có rất nhiều thiếu sót. Rất mong nhận được sự góp ý của thầy giáo, cô giáo và các bạn sinh viên trong lớp. Xin chân thành cám ơn TP. HCM, ngày 29 tháng 03 năm 2018 Cao Quốc Dũng NHẬN XÉT CỦA GIẢNG VIÊN PHỤ TRÁCH 1. Ý thức kỷ luật và thái độ của sinh viên trong thời gian học tập: 2. Mức độ hiểu biết của sinh viên về dịch vụ mạng: 3. Khả năng vận dụng l‎ý thuyết vào quá trình triển khai: 4. Trình bày tiểu luận triển khai các dịch vụ mạng: 5. Đánh giá khác: 6. Đánh giá chung kết quả học tập: ĐIỂM : ………………… ( Bằng chữ : …………………… ) TP. HCM, ngày ……. tháng ….. năm 2018 GVBM (GVHD ký và ghi rõ Họ_ Tên) TS. NGUYỄN VĂN CHUNG MỤC LỤC Trang Trang phụ bìa Lời cảm ơn 1 Nhận xét của giáo viên hướng dẫn 2 Mục lục 3 Danh mục các từ viết tắt 4 Danh mục hình 5 LỜI MỞ ĐẦU 6 CHƯƠNG 1 7 1.1. Giới thiệu: 7 1.1.1. Khái niệm VPN: 7 1.1.2. Công dụng của VPN: 9 1.2. Các loại mạng VPN: 10 1.2.1. VPN truy cập từ xa (Access VPN): 10 1.2.2. VPN điểmnốiđiểm (site to site): 11 CHƯƠNG 2 13 2.1. Client to site 14 2.2. VPN Site To Site 26 KẾT LUẬN 44 DANH MỤC CÁC TỪ VIẾT TẮT TP. HCM : Thành phố Hồ Chí Minh VPN : Virtual Private Network SDN : Software Defined Network DANH MỤC HÌNH Trang Hình 1.1.1: Mô hình VPN truy cập từ xa 7 Hình 1.1.2: VPN thông qua dịch vụ Internet ISP 8 Hình 1.1.3: Mô hình hệ thống VPN 9 Hình 1.2.1: Mô hình VPN client to site 10 Hình 1.2.2: Mô hình VPN site to site 11 Hình 2.1.1: IP của Site chính 13 Hình 2.2.1. IP của Site nội bộ 25 LỜI MỞ ĐẦU Hiện nay nền kinh tế nước ta đang trên con đường phát triển mạnh, các doanh nghiệp, công ty có xu hướng mở chi nhánh phân bố các nơi khác nhau. Điều đó đã thu của các doanh nghiệp một khoản chi phí không nhỏ. Vì thế một vấn đề cấp thiết đặt ra là phải thiết kế một mạng máy tính có khả năng tăng cường thông tin từ xa trên địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). ngoài ra tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn để tiết kiệm được chi phí và thời gian. VPN ra đời đáp ứng tất cả các yêu cầu trên Cụm từ Virtual Private Network gọi là mạng riêng ảo VPN được khởi sự năm 1997. Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổ cập của nó. Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu. Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng. VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Do đó VPN có một vị trí quan trọng trong nền kinh tế hiện nay và trong tương lai. Tuy nhiên nó lại chưa được bi ết đến đầy đủ và chi tiết, vì vậy tôi quyết định chon đề tài về VPN. CHƯƠNG 1 CƠ SỞ LÝ THUYẾT 1.1. Giới thiệu: 1.1.1. Khái niệm VPN: Theo ATT (tên 1 công ty viễn thông ở Mỹ) đưa ra vào khoảng cuối thập niên 80. VPN được biết đến như là “mạng được định nghĩa bởi phần mềm” (Software Defined Network – SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ 2 của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ 90. Trong một thời gian, giao thức X25 qua mạng ISDN được thiết lập như là 1 giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. Sau thế hệ thứ 2, thị trường VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM ra đời thế hệ thứ 3 của VPN dựa trên 2 công nghệ này. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo. Trong thời gian gần đây, thương mại điện tử đã trở thành 1 phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người dùng mong muốn 1 giải pháp mà có thể dễ dàng được thực hiện, thay dổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IPVPN. IPVPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm. (Nguồn: Công ty CP công nghệ số Nhất Việt) Hình 1.1.1: Mô hình VPN truy cập từ xa VPN là một mạng riêng sử dụng hệ thống mạng công cộng (Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Một mạng riêng ảo dựa trên Internet dùng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site. Về bản chất những công ty sử dụng Internet VPN thiết lập các kết nối đến các điểm kết nối cục bộ của nhà cung cấp dịch vụ Internet ISP(internet Service Provider), gọi là POP(Poit of Presence) và để cho ISP bảo đảm rằng dữ liệu được truyền đến đích thông qua Internet. (Nguồn: Công ty CP công nghệ số Nhất Việt) Hình 1.1.2: VPN thông qua dịch vụ Internet ISP Vì Internet là một mạng công cộng với việc truyền hầu hết dữ liệu mở. VPN bao gồm cung cấp cơ chế mã hóa dữ liệu truyền giữa các site VPN, nhằm bảo mật dữ liệu chống lại các cuộc tấn công ăn cấp dữ liệu từ những người truy cập bất hợp pháp. 1.1.2. Công dụng của VPN: Bắt nguồn từ một nhu thực tế khi mà một khách hang hay một tổ chức mong muốn có thể kết nối một cách có hiệu quả tới trụ sở văn phòng chính thông qua mạng diện rộng WAN. Việc xây dựng một mạng riêng trên một khu vực nội bộ của một tòa nhà văn phòng thì có thể tương đối đơn giả, bởi vì các công ty thường có kiến trúc vật lý riêng do đó ta có thể sử dụng cách kết nối mạng LAN để thực hiện. Nhưng việc xây dựng một mạng chung bao gồm những văn phòng khác nhau hay các kiến trúc cách rất xa nhau tại Thành phố hay tại các Nước. Việc đó một lựa chọn sử dụng một kênh thuê riêng(internet leased line) thuê từ một nhà cung cấp dịch vụ mạng nhu FTP chẳng hạn hay dung những phương tiện khoảng cách xa để kết nối những máy tính lại với nhau. (Nguồn: Công ty CP công nghệ số Nhất Việt) Hình 1.1.3. Mô hình hệ thống VPN Những cách kết nối đó có các nhược điểm như: cứng nhắc về bản chất, ít mềm dẻo và chi phí cao. Vậy một vấn đề được đặt ra ở đây là làm thế nào để kết nối các tòa nhà ở xa lại với nhau mà vẫn đảm bảo được tính an toàn dữ liệu mà chi phí lại thấp, dể quản lý, dễ bảo trì... xin giới thiệu mạng riêng ảo (VPN). 1.2. Các loại mạng VPN: Có hai loại phổ biến hiện nay là VPN truy cập từ xa (RemoteAccess ) và VPN điểmnốiđiểm (sitetosite) 1.2.1. VPN truy cập từ xa (Access VPN): VPN truy cập từ xa (Access VPN): còn được gọi là mạng Dialup riêng ảo (VPDN), là một kết nối người dùngđếnLAN. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ Internet (ISP). ISP này tạo ra một máy chủ truy cập mạng và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với máy chủ truy cập mạng và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. (Nguồn: Microsoft) Hình 1.2.1: Mô hình VPN client to site 1.2.2. VPN điểmnốiđiểm (site to site): Là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LANtoLAN là kết nối hai mạng lại với nhau,thông qua việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. có hai loại kết nối Intranet VPN: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN Extranet VPN: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. (Nguồn: Công ty CP công nghệ số Nhất Việt) Hình 1.2.2: Mô hình VPN site to site CHƯƠNG 2 TRIỂN KHAI DỊCH VỤ VPN Thiết bị sử dụng Yêu cầu phần cứng : • Một Modem ADSL • Cần có một đường truyền ADSL tốc độ cao (Nếu là dịch vụ ADSL với địa chỉ IP tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty. • Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000 làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL • Các máy chủ Server làm máy Mail server hay Web server… và các máy client kết nối với card mạng nội bộ thông qua máy VPN server • Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dialup, ADSL… Yêu cầu phần mềm: • Một máy tính VPN server sử dụng Windows server 2003. • Một máy chủ DC sử dụng Windows server 2003 • Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7. 2.1. Client to site Máy Đặc tính PC01 PC02 PC03 Name Isa_HCM.iamvpn0.com DC.iamvpn0.com Client Card Externel IP Address 192.168.1.10 192.168.1.35 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 192.168.1.1 192.168.1.1 Preferred DNS 192.168.1.1 192.168.1.1 Card Internel IP Address 172.168.10.1 172.168.10.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 172.168.10.1 Preferred DNS 172.168.10.2 172.168.10.2 CARD External của PC01 nối với Modem và cấp địa chỉ IP tĩnh CARD Internal của PC01 nối với PC02 (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Hình 2.1.1: IP của Site chính Trên máy ISA 2006 cấp phát IP cho máy remote tới mạng nội bộ (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Click hoạt VPN client access (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Trên DC tạo user truy cập VPN (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Cho phép uservpn1 try cập VPN (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Tạo Rule VPN client to site (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Mở tất cả các traffic (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Chọn nơi truy cập (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Chọn đích cần đến (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Chọn nhóm người truy cập VPN (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Tạo new user set nhập tên user được phép truy cập VPN (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Add user được phép truy cập (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Chọn user này (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Tạo được Rule truy cập VPN (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Click chuột vào Virtual Private Networks(VPN) chọn bước thứ 2 Specify Windows Users or select a RADIUS Server add group VPN tạo trên máy DC được phép truy cập VPN (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Tạo kết nối VPN từ máy client tới site nội bộ (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Đặt tên client to site network Nhập địa chỉ IP publish của site chính Nhập usernam và password của user truy cập VPN Kết nối thành công tới site chính 2.2. VPN Site To Site Tạo một Site HN khác Site chính với các thông số sau: Máy Đặc tính PC04 PC05 Name Isa_HN Client Card Externel IP Address 192.168.1.20 Subnet Mask 255.255.255.0 Default gateway 192.168.1.1 Preferred DNS 192.168.1.1 Card Internel IP Address 172.169.20.1 172.169.20.2 Subnet Mask 255.255.255.0 255.255.255.0 Default gateway 172.169.20.1 Preferred DNS CARD External của PC01 nối với Modem và cấp địa chỉ IP tĩnh CARD Internal của PC01 nối với PC02 (Nguồn: phòng Lab1 – Trường Cao đẳng Bách Việt) Hình 2.2.1. IP của Site nội bộ Cấu hình trên Site chính (HCM) Bước 1a: Tại máy ISA_HCM (PC01) mở Computer Management tạo một UserPass là hcm123 Click phải chuột vào User chọn Properties, Check tùy chọn Allow Access trong Remote Access Permission Bước 2a: Tại máy ISA_HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients Click vào Configure Address Assignment Method Bước 3a: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho nhánh mạng VPN Site ở Hà Nội truy cập vào. Trong Static address pool chọn Add ví dụ này là dãy số 10.10.10.1 >> 10.10.10.254 Bước 4a: Tại máy PC01 trong ISA_HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites. Tiếp tục nhấp vào Create VPN SitetoSite Connection Tên remote site phải giống tên user mới tạo ở Computer Managemant của máy ISA_HCM Chọn giao thức PointtoPoint Tunneling Protocol (PPTP) Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng HN trong ví dụ này này chính là 192.168.1.20 Nhập chính xác VPN User name của Hà Nội vào cửa sổ Remote Authentication Nhập dãy địa chỉ IP của mạng Internal bên site HN Giữ nguyên giá trị mặc định trong cửa sổ SitetoSite Network Rule Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ SitetoSite Network Access Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic Thành công Hệ thống Hà Nội thì ta cấu hình tương tự nhưng cài đặt các thông số ngược lại. Bước 1b : Trên máy ISA_HN tạo userpass : hn123; được phép VPN Bước 2b: Tại máy ISA_HN chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients Click vào Configure Address Assignment Method Bước 3b: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho nhánh mạng VPN Site ở Hồ Chí Minh truy cập vào. Trong Static address pool chọn Add ví dụ này là dãy số 11.11.11.1 >> 11.11.11.254 Bước 4b: Tại máy PC03 trong ISA_HN chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites. Tiếp tục nhấp vào Create VPN SitetoSite Connection Tên remote site phải giống tên user mới tạo ở Computer Managemant của máy ISA_HN Chọn giao thức PointtoPoint Tunneling Protocol (PPTP) Nhập IP của mạng publish bên HCM lúc này là: 192.168.1.10 Nhập chính xác VPN User name của Hồ Chí Minh vào cửa sổ Remote Authentication Nhập dãy địa chỉ IP của mạng Internal bên site HCM Bước tiếp theo giữ nguyên mặc định Bước tiếp theo mở tất cả các traffic Thành công Cuối cùng ở máy ISA HCM: chọn Routing and Remote Acces => click phải chuột vào user VPN_HCM => connect Ở máy ISA Hà Nội thì ta làm tương tự. Một công việc rất rất quan trọng là:  Ở mạng nội bộ login vào Modem mở port PPTP và IPSec  Modem dùng là : ZyXEL P660HT1 v2; user admin bass 1234 Tắt Active Firewal trên modem IP publish mạng chính (HCM) Khi thưc hiện Remote Access Khi thực hiên trên sitetosite:  Ở Site HCM tại Remote site Gateway  Nhập IP publish của site HN  Ở Site HN tại Remote site Gateway  Nhập IP publish của site HCM KẾT LUẬN Sau khi nghiên cứu và hoàn thành tiểu luận “Triển khai dịch vụ VPN” em thấy mình hiểu biết thêm rất nhiều về thiết kế, lắp đặt hệ thống mạng doanh nghiệp sử dụng công nghệ VPN và cũng rút ra được nhiều kinh nghiệm riêng cho mình: 1. Tìm hiểu những kiến thức cơ bản về mạng máy tính như mô hình mạng, giao thức mạng, các dịch vụ trên mạng, các thiết bị dùng trong mạng LAN và WAN. 2. Tìm hiểu về công nghệ VPN như lịch sử hình thành, khái niệm, phân loại, các giao thức… 3. Thiết kế và cài đặt mô hình VPN Client to Site, VPN Site to Site. TÀI LIỆU THAM KHẢO 1. TS. Phạm Thế Quế (2010), Công nghệ mạng máy tính, NXB Thông tin và Truyền thông, Hà Nội. 2.http:nvc.vngiaiphaptimhieumangriengaovpnbanhieugivevpn.html 3. http:vdo.vnmangriengaovpn