Tìm hiểu về mạng riêng ảo VPN

Từ các ứng dụng truy xuất từ xa như: NC Network Computer, WWW,VPN… thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử Email, tin tức, các hệ

MỤC LỤC

LỜI NÓI ĐẦU

LỜI CÁM ƠN

DANH MỤC CÁC TỪ VIẾT TẮT

CHƯƠNG 1 TỔNG QUAN 1.1.Mục đích của đề tài

1.2.Ứng dụng thực tiễn của đề tài

1.3.Nội dung báo cáo

CHƯƠNG 2.TỔNG QUAN VỀ CÔNG NGHỆ VPN 2.1 Khái quát chung

2.1.1 Lịch sử hình thành và phát triển

2.1.2 Khái niệm VPN

2.2 Phân loại VPN

2.2.1 VPN truy cập từ xa (Remote Access)

2.2.2 VPN điểm nối điểm (Site to Site)

2.3 Sản phẩm công nghệ dành cho VPN

2.3.1 Bộ xử lý trung tâm VPN

2.3.2 Router dùng cho VPN

2.3.3 Tường lửa PIX của Cisco

2.4 Các yêu cầu cơ bản đối với một giải pháp VPN

2.4.1 Tính tương thích

2.4.2 Tính bảo mật

2.4.3 Tính khả dụng

2.4.4 Khả năng hoạt động tương tác

2.5 Thiết lập kết nối tunnel

2.5.1 Các loại giao thức

2.5.2 Kỹ thuật Tunneling trong mạng VPN

2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm

2.6 Các giao thức dùng trong VPN

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP

2.6.2 Giao thức định đường hầm lớp 2 - L2TP

2.6.3 Giao thức bảo mật IP – Ipsec

2.7 Lợi ích củaVPN

2.7.1 Đối với khách hàng

2.7.2 Đối với nhà cung cấp dịch vụ

CHƯƠNG 3 ỨNG DỤNG CỦA VPN

3.1 Lợi ích chung

3.2 Tiết kiệm chi phí hạ tầng

3.3 Ứng dụng trong giao dịch điện tử

3.3.1 Giao dịch ngân hàng

3.3.2 Giao dịch trong chứng khoán

3.3.3 Giao tiếp trực tuyến qua internet VoIP VPN

CHƯƠNG 4 CÀI ĐẶT 4.1 CÁC BƯỚC CÀI ĐẶT

4.1.1 Trên máy Domain Controller tạo Group VPN và User

4.1.1.1 Tạo Group VPN

4.1.1.2 Tạo User

4.1.1.3 thêm user kt vào group VPN

4.1.2 Cài đặt và cấu hình Radius Server

4.1.2.1 Các bước cài đặt

4.1.2.2 Cấu hình

4.1.3 Cài đặt và cấu hình VPN server dung Radius Server chứng thực bằng username, password

4.1.4 Cài đặt và kết nối máy Client

4.1.5 Kết nối

CHƯƠNG 5 KẾT LUẬN 5.1 Ưu điểm

5.2 Nhược điểm

Lời Nói Đầu

Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin Cùng với sự phát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triển không ngừng Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú Từ các ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị dữ liệu phân bố……

Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng lên Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm trước

Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng… Vấn đề này đã trở nên hết sức quan trọng Tuy nhiên để cho người quản trị hệ thống mạng

có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an

toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng

LỜI CẢM ƠN

Để thực hiện được đề tài này Em xin chân thành cảm ơn quý thầy cô giáo trong trường Cao Đẳng Nghề Công Nghiệp Hà Nội đã tạo điều kiện cho chúng em học tập và nghiên cứu

Xin chân thành gửi lời cảm ơn tới các bạn trong lớp CĐ10QTM2, các bạn đã

có những ý kiến đóng góp động viên quan tâm và giúp đỡ tôi trong lúc tôi gặp khó khăn trong quá trình làm đề tài tốt nghiệp này

Đăc biệt em xin cảm ơn thầy giáo Nguyễn Thái Hà đã tận tình hướng dẫn chỉ

bảo để em có thể hoàn thành được đề tài mà mình đã chọn

Mặc dù chúng em đã cố gắng hết sức để nghiên cứu đề tài nhưng do thời gian

có hạn không thể tránh khỏi nhưng thiếu sót Em rất mong các thầy cô chỉ bảo thêm

để em có thể hiểu rõ hơn về đề tài mà mình đã chọn và cũng là để em có thêm kiến thức hoàn thiện hơn

Cuối cùng em xin gửi lời chúc đến quí thầy cô trong khoa Công Nghệ Thông Tin một sức khỏe dồi dào và chúc quí thầy cô thành công trong cuộc sống

Em xin chân thành cảm ơn!!!

Hà Nội, Tháng 05 năm 2013 Sinh Viên Thực Hiện

Ngô Ngọc Thu

DANH MỤC CÁC TỪ VIẾT TẮT

02 Metropolitan Area Network MAN

05 Advanced Research Projects Agency ARPA

06 Transmission Control Protocol/Internet Protocol TCP/IP

08 Wide Area Information Server/ Service WAIS

10 HyperText Markup Language HTML

11 HyperText Transfer Protocol HTTP

20 Internet Service Provider ISP

21 Virtual Private Dial-up Network VPDN

22 Enterprise Service Provider ESP

26 Point to Point Tunneling Protocol PPTP

27 Layer 2 Tunneling Protocol L2TP

28 Generic Routing Encapsulation GRE

29 Internet Protocol Security IPSec

30 Remote Authentication Dial-In User Service RADIUS

1.1.Mục đích của đề tài

- Mở rộng kết nối ra nhiều khu vực và cả thế giới

- Tăng cường an ninh mạng

- Giảm chi phí so với thiết lập mạng WAN truyền thống

- Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả năng tương tác

- Đơn giản hoá mô hình kiến trúc mạng

- Cung cấp những cơ hội kết nối toàn cầu (điều này rất khó và đắt nếu kết nối trực tiếp bằng đường truyền riêng)

- Hỗ trợ làm việc từ xa

- Cung cấp khả năng tương thích với mạng lưới băng thông rộng

- Giúp thu hồi vốn nhanh (return on investment) so với mạng WAN truyền thống

- Quản lý dễ dàng: trường có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguồn lực từ bên ngoài để phục vụ cho công tác kinh doanh đãtrở thành một xu hướng

- Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử dụng công nghệ DSL

- Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng liên kết lớn, mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ

Đối với nhà cung cấp dịch vụ:

- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo

- Tăng hiệu quả sử dụng mạng internet hiện tại

- Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn

- Đầu tư không lớn hiệu quả đem lại cao

- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ Thiết bị sử dụng cho mạng VPN

Mục đích của VPN là cung cấp tính:

- Tính bảo mật (security)

- Độ tin cậy (reliability)

- Khả năng mở rộng (scalability)

- Khả năng quản trị hệ thống mạng (network management)

- Khả năng quản trị chính sách (policy management)

1.2.Ứng dụng thực tiễn của đề tài

Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi Kết nối các chi nhánh văn phòng với nhau Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài tới những tài nguyên của tổ chức.

Hiện nay, các công ty, xí nghiệp không chỉ có mối liên hệ chặt chẽ với nhau, với khách hàng mà luôn có sự truy nhập từ xa bởi các nhân viên đi công tác, thực hiện văn phòng ảo, làm việc tại nhà hoặc liên lạc với các chi nhánh ở khắp mọi nơi trên thế giới Các nhà cung cấp giải pháp bảo mật không chỉ cung cấp những sản phẩm VPN riêng rẽ mà luôn tích hợp với nhiều chính sách, kiểu thực hiện khác nhau để đảm bảo được một giải pháp hoàn chỉnh

Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổ cập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu.Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng

VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thông quamạng công cộng nhằm bảo đảm an toàn và tăng hiệu quả giá thành kết nối giữa hai đầu nối Cơ chế và độ giới hạng bảo mật tinh vi cũng được sử dụng để bảo đảm tính

an toàn cho việc trao đổi những dữ liệu dễ bị đánh cập thông qua một môi trường không an toàn

Với công nghệ thông tin phát triển như hiện nay áp dụng các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý cácvăn phòng một cách có hiệu quả

Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang ngày càng phát triển mạnh ở nước ta như hiện nay

Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó,

nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh Nó sẽ là nềntảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian địa

lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong doanh nghiệp mình

Như vậy, với mạng VPN các doanh nghiệp, tổ chức hoàn toàn có thể đạt được các mục tiêu của mình như: điều khiển nhiều hơn trên hạ tầng mạng, có được dịch vụ hiệu năng và độ tin cậy tốt hơn, cung cấp đa lớp dịch vụ tới người sử dụng, mở rộng an toàn, đảm bảo hiệu năng đáp ứng theo yêu cầu của ứng dụng, hỗ trợ hội tụ đa công nghệ và đa kiểu lưu lượng trên cùng một mạng đơn Tuy nhiên, các đơn vị này khi chọn lựa nhà cung cấp phần cứng cần phải cẩn thận và phải căn cứ trên nhiều góc độ và tiêu chí đánh giá khác nhau Ví dụ có thể căn cứ các tài liệu đánh giá hiệu năng sản phẩm của các đơn vụ truyền thông, bức tranh phát triển của nhà cung cấp đó cả về chiều rộng và chiều sâu Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN mới khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được,VPN thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thông tin doanh nghiệp.

1.3.Nội dung báo cáo

2.1 Khái quát chung

2.1.1 Lịch sử hình thành và phát triển

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng WAN PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộ LAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực hiện nối thông

Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụđược gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các

hộ khách thương mại loại lớn Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết bị tập trung này, đặt tại Paris Colisee có thể cung cấp phương án gọi số chuyên dụng cho hộ khách Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…) Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính làhình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách Nhưng phạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm),Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây chuyên dùng Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp vụ VPN Khoảng năm 1988, trên mặt nghiệp vụ VPN,

ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm cho một số

xí nghiệp vừa và nhỏ cũng chịu nổi cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích sự phát triển nhanh chóng của dịch vụ này tại Mỹ Hiện nay VPN không chỉ dùng cho nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu

Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng của VPN trên toàn cầu Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sự tăng trưởng nhu cầu dịch vụ viễn thông quốc tế Một số liên minh và công ty đa quốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và bảo dưỡng Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu quả nhu cầu của số hộ khách này Và so với đường dây trong nước, có thể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công ty hay tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từ cácmạng chuyên dùng đã được thiết lập sang sử dụng VPN Một số hộ khách thương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, như hiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích là nhằm có thể đạt được tỷ lệ tính năng trên giá cả tốt nhất trong việc sử dụng nghiệp vụ VPN Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay còn gọi là VPN toàn cầu (GPN), đã phát triển nhanh nhất

2.1.2 Khái niệm VPN

Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho

những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian

Hình 2.1.2 Mô hình mạng VPN cơ bản

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng

(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một

tổ chức với địa điểm hoặc người sử dụng ở xa

Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network)tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp Nếu xét theo góc

độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùng riêng

2.2 Phân loại VPN

Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN Trước tiên, các mạng VPN

có thể kết nối hai mạng với nhau Điều này được biết đến như một mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN Thứ hai, một VPN truy cập từ

xa có thể kết nối người dùng từ xa tới mạng

2.2.1 VPN truy cập từ xa (Remote Access)

Remote Access, hay còn gọi là virtual private dial-up network (VPDN) Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia

sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục bộ công ty bằng dial-up Khi công ty muốn thiết lập Remote access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công ty Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL)

Hình 2.2.1 Mô hình VPN truy cập từ xa

2.2.2 VPN điểm nối điểm (Site to Site)

Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet Site to Site VPN gồm 2 loại:

 Các VPN nội bộ (Intranet VPN )

Đây là kiểu kết nối site to site VPN Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet Và các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN

 Các VPN mở rộng ( Extranet VPN )

Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet)

Hình 2.2.2 Mô hình VPN điểm nối điểm

2.3 Sản phẩm công nghệ dành cho VPN

Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:

 Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa

 Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX

 Server VPN cao cấp dành cho dịch vụ Dial-up

 NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người

dễ dàng tăng dung lượng và số lượng gói tin truyền tải Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc)

Hình 2.3.1 Bộ xử lý trung tâm VPN Cisco 3000

2.3.2 Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọitrường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn

Hình 2.3.2 Router Cisco

2.3.3 Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN

và chặn truy cập bất hợp pháp

Hình 2.3.3 Bộ Cisco PIX Firewall

Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay

sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP

2.4 Các yêu cầu cơ bản đối với một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

2.4.1 Tính tương thích

Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tụckhác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ

 Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền

 Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống

2.4.3 Tính khả dụng

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấpđược tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên

2.4.4 Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng Trên thế giới hiện có tới 60 giải phápkhác nhau liên quan đến VPN

2.5 Thiết lập kết nối tunnel

2.5.1 Các loại giao thức

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (Tunnel)

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol)

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhậnbiết Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

 Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua

 Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

 Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền

đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

2.5.2 Kỹ thuật Tunneling trong mạng VPN

2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Các chuẩn truyền thông sử dụng để quản

lý các Tunnel và đóng gói dữ liệu của VPN Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP

Hình 2.5.2.1 Mô hình Tunneling truy cập từ xa

2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) đểtruyền đi trên giao thức truyền tải (Carier Protocol) Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giaothức mã hóa IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel

Hình 2.5.2.2 Mô hình Tunneling điểm nối điểm

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua

Tunnel để tới máy tính của văn phòng từ xa

2.6 Các giao thức dùng trong VPN

Hiện nay có ba giao thức chính dùng để xây dựng VPN là:

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point

Tunneling Protocol)

Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã

Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và USrobotic Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ

Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol) PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internetđến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic

Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết

dữ liệu) trong khi IPSec chạy ở lớp thứ 3 Bằng cách hỗ trợ việc truyền dữ liệu ở lớp

2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

2.6.3 Giao thức bảo mật IP – Ipsec

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách

tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000

+ Giảm thiểu thiết bị sử dụng

+ Giảm thiểu chi phí kênh kết nối đường dài

+ Giảm thiểu việc thiết kế và quản lý mạng

+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng

 Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002.

2.7.2 Đối với nhà cung cấp dịch vụ

 Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo

 Tăng hiệu quả sử dụng mạng Internet hiện tại

 Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn

 Ðầu tư không lớn hiệu quả đem lại cao

 Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN

CHƯƠNG 3 ỨNG DỤNG CỦA VPN 3.2 Tiết kiệm chi phí hạ tầng

- Giảm chi phí thiết lập:

VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do là VPN đã loại bỏ các kết nối khoảng cách

xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP)

- Giảm chi phí vận hành quản lý:

Bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng

- Nâng cao kết nối (Enhanced connectivity):

VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của

intranet Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính

- Bảo mật: tăng cường bảo mật như mã hóa, xác nhận và ủy quyền Do đó VPN được đánh giá cao bảo mật trong truyền tin

- Hiệu suất băng thông: vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet Do đó hạn chế rất nhiều sự lãng phí băng thông

- Có thể nâng cấp dễ dàng: Bởi bì VPN dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai

mà không cần đầu tư lại nhiều cho cơ sở hạ tầng

3.3 Ứng dụng trong giao dịch điện tử

3.3.1 Giao dịch ngân hàng

Ngày nay, việc thanh toán và chuyển tiền qua các tài khoản ngân hàng đã trởnên phổ biến, nhất là trong giao dịch trực tuyến Mạng internet là một mạng côngcộng nên khả năng bị nghe trộm hoặc đánh cắp thông tin là rất cao nếu không cómột giải pháp chống lại.

Hệ thống mạng của ngân hàng rất lớn và phức tạp, trải rộng trên phạm vi địa lýlớn với nhiều hoạt động nghiệp vụ phức tạp và chồng chéo Các máy trạm tại chinhánh đều phải kết nối về máy chủ dữ liệu trên Trung tâm để trao đổi dữ liệu vàtrong khi cũng có nhiều máy trạm đặt tại văn phòng Trung tâm cần phải trao đổi dữliệu với những máy chủ này

Các đối tượng lừa đảo giao dịch ngân hàng qua Internet sử dụng những chươngtrình đánh cắp thông tin tài khoản của khách hàng, đặc biệt là các mật khẩu một lần

sử dụng trong việc xác nhận giao dịch giữa khách hàng với ngân hàng

Có được mật khẩu này, tin tặc có thể thực hiện các giao dịch như chuyển tiền

từ tài khoản khách hàng đến một tài khoản lạ

VPN có thể khắc phục được vấn đề này Các thông tin được truyền tải trong VPN sử dụng các phương thức bảo mật hiện đại, khó có thể lấy trộm Không những thế, VPN còn giúp cho việc thực thi giao dịch chính xác hơn, không bị nhầm lẫn, tránh được các rủi ro

Hiện nay, mạng lưới internet đã phát triển rất nhanh Tận dụng điều đó, VPN sẽkết nối các chi nhánh ngân hàng lại với nhau, mặc dù các chi nhánh ở rất xa nhau nhưng các thông tin được truyền đi một các chính xác, không bị gián đoạn và an toàn, tránh mất mát thông tin quan trọng, dữ liệu được gửi đi đã được mã hóa, cho

dù tin tặc có lấy được thông tin nhưng việc giải mã là hết sức khó khăn

Thời gian kết nối tới các ngân hàng quốc tế được giảm bớt, giảm chi phí đi lại cũng như xây dựng cở sở hạ tầng phục vụ cho việc giao dịch Nay chỉ cần dùng VPN

là làm được tất cả mọi việc

3.3.2 Giao dịch trong chứng khoán

Trong những năm gần đây xuất hiện thêm một hình thức đầu tư mới, đó là chứng khoán

Chứng khoán là bằng chứng xác nhận quyền và lợi ích hợp pháp của người sở hữu đối với tài sản hoặc phần vốn của tổ chức phát hành Chứng khoán được thể hiện bằng hình thức chứng chỉ, bút toán ghi sổ hoặc dữ liệu điện tử Chứng khoán bao gồm các loại: cổ phiếu, trái phiếu, chứng chỉ quỹ đầu tư, chứng khoán phái sinh.Thực chất chứng khoán là một loại hàng hóa.

Chứng khoán là một phương tiện hàng hóa trừu tượng có thể thỏa thuận và có thể thay thế được, đại diện cho một giá trị tài chính Công ty hay tổ chức phát hành chứng khoán được gọi là đối tượng phát hành

Chính vì sử dụng dữ liệu điện tử và được truyền trong hệ thống internet nên khả năng bị mất thông tin là rất cao, hơn nữa, có rất nhiều người giao dịch cùng một thời điểm nên sẽ có thể thông tin bị nhầm lẫn

Đối tượng giao dịch trong chứng khoán thường sẽ chuyển rất nhiều tiền Khi truyền trong internet mà không có phương thức bảo mật sẽ bị lộ thông tin cá nhân như mật khẩu, tài khoản…, thiệt hại về tài chính…

Sử dụng VPN sẽ tránh được việc lộ thông tin các nhân khi giao dịch, việc giao dịch nhanh chóng và thuật tiện Các phương thức bảo mật khi áp dụng vào làm cho môi trường mạng an toàn hơn, các giao dịch từ xa cũng không bị gián đoạn

3.3.3 Giao tiếp trực tuyến qua internet VoIP VPN

Hiện nay, các công ty thường hay mở các chi nhánh ra nước ngoài để tìm thêm đối tác và tăng thêm thu nhập Đôi lúc sẽ có nhiều vấn đề xảy ra và cần phải họp bànlại với nhau ra để đưa ra các giải pháp khắc phục các vấn đề đó Sử dụng điện thoại bình thường để họp sẽ rất tốn kém do cước phí gọi điện quốc tế rất cao, chưa kể có những cuộc họp kéo dài nhiều giờ đồng hồ Lựa chọn tiếp theo là trở về trụ sở họp, việc này tiết kiệm khá nhiều chi phí nhưng rất mất thời gian đi lại

Sử dụng VoIP vào thời điểm này là hiệu quả nhất, mọi người có thể nói chuyện với nhau một cách thoải mái, không phải đi lại cũng như tiền điện thoại cũng không phải trả Ta có thể thực hiện cuộc gọi VoIP thông qua IP thực (hoặc là tên miền động – DDNS), tuy vậy nhưng cuộc gọi chưa được bảo mật và có nguy cơ bị tin tặc nghe trộm

Hiện nay công nghệ VoIP ngày càng phát triển và được người dùng mạng sử dụng khá rộng rãi vì những lợi ích mà công nghệ này mang lại như chất lượng cuộc gọi tốt, chống nhiễu tốt, hoàn toàn miễn phí khi gọi điểm-đến-điểm Chất lượng thoại như điện thoại thông thường Kết nối dễ dàng với hệ thống tổng đài điện thọai

có sẵn Nhân viên ở xa thưc hiện cuộc gọi về công ty ngay trên máy tính cá nhân có kết nối Internet, tận dụng được cơ sở hạ tầng thoại cũ, không tốn chi phí đào tạo, thuhồi vốn đầu tư ban đầu nhanh chóng, doanh nghiệp dễ dàng tự nâng cấp và mở rộng theo nhu cầu

Tốt nhất nên thực hiện cuộc gọi VoIP thông qua kết nối VPN, lợi ích của giải pháp này là cuộc gọi VoIP được bảo mật cao và nguy cơ bị nghe trộm cuộc thoại được giảm xuống mức thấp nhất, nội dung cuộc họp cũng không thể bị nghe trộm bởi đường truyền đã được mã hóa

Sử dụng VoIP sẽ giúp giảm tối đa chi phí viễn thông, do thực hiện cuộc gọi miễn phí hoàn toàn giữa các chí nhánh ở bất kỳ nơi nào, VPN tiết kiệm chi phí thuê kênh riêng, trong nước hoặc quốc tế

Sử dụng tính năng VPN server tích hợp trong thiết bị để kết nối và truyền dữ liệu như mạng nội bộ giữa các chí nhánh với nhau một cách an toàn sử dụng cơ chế

mã hoá IPsec với nhiều thuật toán DES, 3DES, MD5……, L2TP, Tính năng

DYNDNS giải quyết vấn đề IP động

CHƯƠNG 4 CÀI ĐẶT 4.1 CÁC BƯỚC CÀI ĐẶT

Mô hình triển khai như sau:

Mô hình gồm có:

- Một máy tính VPN SERVER cài hệ điều hành window server 2003, có 2 card mạng tương ứng với địa chỉ IP là: 172.16.1.2(card mạng ngoài) va 192.168.1.12(card mạng trong)

- Một máy DOMAIN CONTROLLER cài hệ điều hành Window server 2003

Yêu cầu đặt ra là: máy tính VPN CLIENT truy cập từ xa vào trong trung tâm

theo giao thức tunneling điểm nối điểm(PPTP), chứng thực bởi Radius server

Do việc thiết lập VPN yêu cầu tắt bỏ một số dịch vụ

Vào Start > All Programs > Administrative Tools > Services

Sau đó kích đúp vào dòng Windows Firewall/Internet Connection Sharing

(ICS)