Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN Trờng đại học vinh Khoa cntt ==== o0o ==== đồ án tốt nghiệp Mạng riêng ảo - vpn Giáo viên hớng dẫn : ThS Vũ Văn Nam Sinh viên thực : Hoàng Ngọc Đạt Vinh /2011 Hong Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN LỜI NÓI ĐẦU Ngày nay,với phát triển nhanh chóng khoa học kỹ thuật đặc biệt nghành Cơng nghệ thơng tin Viễn thơng,trong cơng nghệ mạng đóng vai trị quan trọng việc thơng tin liệu.Đóng góp phần quan trọng vào phát triển kinh tế giới.Các tổ chức,doanh nghiệp có nhiều chi nhánh,các cơng ty đa quốc gia q trình hoạt động ln phải trao đổi thơng tin với khách hàng,đối tác,nhân viên họ.Chính địi hỏi phải ln nắm bắt thơng tin nhất,chính xác nhất,đồng thời phải đảm bảo độ tin cậy cao chi nhánh khắp giới,cũng với đối tác khách hàng.Do có nhiều dịch vụ cung cấp Modem quay số,ISDN server hay đường WAN đắt tiền.Nhưng với phát triển rộng rải Internet,một số công ty kết nối với nhân viên,các đối tác từ xa đâu,thậm chí tồn giới mà không sử dụng dịch vụ đắt tiền trên.Nhưng có vấn đề mạng nội công ty chứa tài nguyên,dữ liệu quan trọng mà cho phép người dùng có quyền hạn,được cấp phép truy cập vào mạng,trong mạng Internet mạng cơng cộng khơng bảo mật.Vậy Internet mối nguy hiểm cho hệ thống mạng,các sở liệu quan trọng công ty.Đặc biệt thông tin qua mơi trường Internet bị làm sai lệch đánh cắp.Và có giải pháp tối ưu đưa ra,đó sử dụng mạng riêng ảo VPN(Virtual Private Network).Nó xây dựng sở hạ tầng sẵn có mạng Internet lại có tính chất mạng cục bộ.Vì ,có thể nói VPN là lựa chọn tối ưu cho doanh nghiệp kinh tế.Với chi phí hợp lý giúp doanh nghiệp tiếp xúc tồn cầu nhanh chóng hiệu so với giải pháp mạng diện rộng WAN.Với VPN,ta giảm chi phí xây dựng tận dụng sở hạ tầng cơng cộng sẵn có,giảm chi phí thường xun,nhưng đảm bảo tính hiệu bảo mật Do nhiều mặt hạn chế nên nội dung đề tài khơng tránh khỏi sai sót.Tơi mong nhận ý kiến đóng góp thầy bạn Em xin chân thành cảm ơn Ths Vũ Văn Nam tận tình hướng dẫn em hồn thành đề tài MỤC LỤC Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN LỜI NÓI ĐẦU DANH MỤC CÁC TỪ VIẾT TẮT PHẦN I KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VPN CHƯƠNG GIỚI THIỆU CHUNG VỀ MẠNG RIÊNG ẢO VPN 1.1 Khái quát chung 1.1.1 Định nghĩa mạng riêng ảo VPN 1.1.2 Lịch sử phát triển hình thành 1.1.3 Phân loại VPN 1.1.3.1 Mạng VPN truy nhập từ xa 1.1.3.2 Mạng VPN cục 11 1.1.3.3 Mạng VPN mở rộng 12 1.2 Lợi ích mạng riêng ảo VPN 13 1.2.1 Đối với người sử dụng 13 1.2.2 Đối với nhà cung cấp dịch vụ 14 1.3 Ưu điểm nhược điểm VPN 14 1.3.1 Ưu điểm 14 1.3.2 Nhược điểm 15 1.4 Các yêu cầu giải pháp VPN 15 1.4.1 Tính tương thích 15 1.4.2 Tính bảo mật 16 1.4.3 Tính khả dụng 16 1.4.4 Khả hoạt động tương tác 16 1.5 Các sản phẩm công nghệ dành cho VPN 16 1.5.1 Bộ xử lý trung tâm VPN 16 1.5.2 Router dùng cho VPN 17 1.5.3 Tường lửa PIX CISCO 17 CHƯƠNG CÁC GIAO THỨC ĐƯỜNG HẦM VPN 18 2.1 Giao thức đường hầm điểm nối điểm PPTP 18 2.1.1 Kiến trúc PPTP 19 2.1.2 Sử dụng PPTP 28 2.1.3 Khả sử dụng thực tế PPTP 30 2.2 Giao thức đường hầm lớp - L2TP 31 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN 2.2.1 Dạng thức L2TP 31 2.2.2 Sử dụng L2TP 36 2.2.3 Khả áp dụng thực tế L2TP 38 2.3 Giao thức bảo mật IP - IPSEC 39 2.3.1 Khung giao thức IPSEC 39 2.3.2 Hoạt động IPSEC 40 2.3.3 Hạn chế IPSEC 44 2.3.4 Ví dụ hoạt động IPSEC 45 2.4 Giao thức định hướng lớp - L2F 46 2.4.1 Cấu trúc gói L2F 47 2.4.2 Thực L2F 47 CHƯƠNG XÂY DỰNG VÀ BẢO MẬT MẠNG VPN 48 3.1 Thành phần VPN 48 3.1.1 Máy chủ VPN 49 3.1.2 Máy khách VPN 49 3.1.3 Bộ định tuyến VPN 50 3.1.4 Bộ tập trung VPN 52 3.1.5 Cổng nối VPN 52 3.1.6 Tường lửa 52 3.2 Quá trình xây dựng 54 3.3 Bảo mật VPN 57 3.3.1 Quá trình xác thực 57 3.3.2 Mã hóa 61 PHẦN II CÀI ĐẶT HỆ THỐNG MẠNG RIÊNG ẢO VPN 62 CHƯƠNG MƠ HÌNH VPN CLIENT TO SITE USING RADIUS 62 1.1 Các bước cài đặt 63 1.1.1 Trên máy Domain Controller 63 1.1.2 Trên máy Radius Server 72 1.1.3 Trên máy VPN Server 81 1.1.4 Trên máy Client 90 1.2 Kết 95 CHƯƠNG MƠ HÌNH VPN SITE TO SITE 95 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN 2.1 Các bước cài đặt 96 2.1.1 Máy VPN SERVER HÀ NỘI 96 2.1.2 Máy VPN SERVER VINH 105 2.1.3 Máy CLIENT HÀ NỘI 108 2.1.4 Máy CLIENT VINH 109 2.2 Kết nối 109 2.3 Kết 110 TÀI LIỆU THAM KHẢO 111 DANH MỤC CÁC TỪ VIẾT TẮT Stt Từ viết tắt Từ đầy đủ Ý nghĩa AD Analog to Digital Chuyển đổi tương tự sang số AH Authentication Header Giao thức tiêu đề xác thực CA Certificate Authority Nhà phân phối chứng thực số CHAP Challenge Handshake Authentication Protocol Giao thức xác thực yêu cầu bắt tay DNS Domain Name System Hệ thống tên miền IETF Internet Engineering Task Force Cơ quan chuẩn Internet IKE Internet Key Exchange Giao thức trao đổi khoá Internet IP Internet Protocol Giao thức Internet IPSEC Internet Protocol Security Giao thức an ninh Internet 10 ISP Internet Service Provider Nhà cung cấp dịch vụ internet 11 ISDN Integrated Service Digital Network Mạng số đa dịch vụ 12 LAN Local Area Network Mạng cục 13 LAC L2TP Access Concentrator Bộ tập trung truy cập L2TP 14 LCP Link Control Protocol Giao thức điều khiển liên kết 15 L2TP Layer Tunneling Protocol Giao thức đường ngầm lớp 16 L2F Layer Forwarding Giao thức chuyển tiếp lớp Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN 17 MPPE Microsoft Point-to-Point Encryption Mã hoá điểm-điểm Microsoft 18 NAS Network Access Server Máy chủ truy nhập mạng 19 NCP Network Control Protocol Giao thức điều khiển mạng 20 PAP Passwork Authentication Protocol Giao thức xác thực mật 21 POP Point of presence Điểm truy cập truyền thống 22 PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm 23 PPP Point to Point Protocol Giao thức điểm tới điểm 24 QoS Quality of Service Chất lượng dịch vụ 25 RADIUS Remote Authentication DialIn User Service Xác thực người dùng quay số từ xa 26 RAS Remote Access Service Dịch vụ truy nhập từ xa 27 RRAS Routing and Remote Access Server Máy chủ truy cập định hướng truy vập từ xa 28 SA Securty Association Kết hợp an ninh 29 TCP Transmission Control Protocol Giao thức điều khiển đường truyền 30 UDP User Datagram Protocol Giao thức UDP 31 VPN Virtual Private Network Mạng riêng ảo 32 WAN Wide Area Network Mạng diện rộng Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN PHẦN I : KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VPN CHƯƠNG 1: GIỚI THIỆU CHUNG VỀ MẠNG RIÊNG ẢO VPN 1.1 Khái quát chung 1.1.1 Định nghĩa mạng ảo VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Mạng riêng (LAN) Mạng riêng (LAN) Đường hầm Router Router Internet Router Router Router Router Hiện giải pháp VPN(Virtual Private Network) thiết kế cho tổ chức có xu hướng tăng cường thơng tin từ xa địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên trung tâm kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí thời gian Mơ hình mạng VPN Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN Một mạng VPN điển hình bao gồm mạng LAN trụ sở (Văn phịng chính), mạng LAN khác văn phòng từ xa, điểm kết nối (như văn phòng gia) người sử dụng (Nhân viên di động) truy cập đến từ bên Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Có nhiều khái niệm khác mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng thiết bị nhà cung cấp Nếu xét theo góc độ đơn giản dịch vụ VPN mạng cấu thành kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho tổ chức riêng rẽ Đối tượng dịch vụ VPN doanh nghiệp, tổ chức có nhu cầu thiết lập mạng dùng riêng Các thuật ngữ dùng VPN sau: Virtual- nghĩa kết nối động, không gắn cứng tồn kết nối lưu lượng mạng chuyển qua Kết nối thay đổi thích ứng với nhiều mơi trường khác có khả chịu đựng khuyết điểm mạng Internet Khi có yêu cầu kết nối thiết lập trì bất chấp sở hạ tầng mạng điểm đầu cuối Private- nghĩa liệu truyền luôn giữ bí mật bị truy cập nguời sử dụng trao quyền Điều quan trọng giao thức Internet ban đầu TCP/IP- không thiết kế để cung cấp mức độ bảo mật Do đó, bảo mật cung cấp cách thêm phần mềm hay phần cứng VPN Network- thực thể hạ tầng mạng người sử dụng đầu cuối, trạm hay node để mang liệu Sử dụng tính riêng tư, cơng cộng, dây dẫn, vô tuyến, Internet hay tài nguyên mạng dành riêng khác sẵn có để tạo mạng 1.1.2 Lịch sử phát triển hình thành Bắt nguồn từ yêu cầu hộ khách (client), mong muốn kết nối cách có hiệu tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diện rộng Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN WAN PBX hệ thống điện thoại nhóm (group telephone) mạng cục LAN trước sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung để thực nối thông Năm 1975, viễn thông Pháp (France telecom) đưa loại nghiệp vụ gọi Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho hộ khách thương mại loại lớn Kết cấu lấy tổng đài chuyển tiếp E 10 N3 Alcatel làm sở thông qua dây thuê chung, nối phận công ty lớn đến thiết bị tập trung này, đặt Paris Colisee cung cấp phương án gọi số chuyên dụng cho hộ khách Căn lượng nghiệp vụ mà đưa cước phí nhiều tính quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng thống kê lượng nghiệp vụ…) Mạng dây chuyên dùng loại hình hưởng thụ hình thức VPN, chủ yếu dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch âm thoại quản lý mạng lưới cho hộ khách Nhưng phạm vi bao phủ VPN lấy tổng đài làm sở để thực hẹp, chủng loại tính nghiệp vụ cung cấp khơng nhiều, tiếp nhập PBX mà tiếp nhập hộ dùng có đơi dây, nên khơng thực linh hoạt Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn Mỹ AT&T, MCI Sprint đưa nghiệp vụ mạng chuyên dùng ảo, có tên riêng SDN (Software Defined Network – mạng định nghĩa phần mềm), Vnet VPN, coi phương tiện tương đối rẻ tiền dùng để thay cho dây chuyên dùng Do chi phí VPN rẻ dây thuê dùng hộ khách có lượng nghiệp vụ không nhau, áp dụng ưu đãi cước phí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn bắt đầu chuyển sang áp dụng nghiệp vụ VPN Khoảng năm 1988, mặt nghiệp vụ VPN, ba cơng ty nói triển khai chiến liệt giá cả, làm cho số xí nghiệp vừa nhỏ chịu cước phí sử dụng VPN tiết kiệm gần 30% chi phí thơng tin, kích thích phát triển nhanh chóng dịch vụ Mỹ Hiện VPN không dùng cho nghiệp vụ âm thoại mà cịn dùng cho nghiệp vụ liệu Sự phát triển tồn cầu hóa kinh tế kéo theo phát triển nhanh chóng VPN tồn cầu Sự hình thành số tổ chức thương mại tầm cỡ giới liên minh kinh tế có tính khu vực, liên minh Châu Âu chẳng hạn, Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN làm cho tỷ trọng thương mại quốc tế hóa tăng lên nhiều, từ dẫn đến tăng trưởng nhu cầu dịch vụ viễn thông quốc tế Một số liên minh công ty đa quốc gia cần có mạng lưới tồn cầu phức tạp nối liền với chất lượng cao máy thương mại toàn giới họ lại với phải có phục vụ kịp thời mặt quản lý bảo dưỡng Do mạng lưới quốc tế áp dụng VPN thỏa mãn cách có hiệu nhu cầu số hộ khách Và so với đường dây nước, tiết kiệm chi phí truyền dẫn rõ rệt hơn, hộ khách lớn cơng ty hay tập đồn đa quốc gia có tính hấp dẫn, tổ chức ạt chuyển từ mạng chuyên dùng thiết lập sang sử dụng VPN Một số hộ khách thương mại lớn cịn liên kết lại với hình thành hiệp hội hộ dùng VPN, hiệp hội dùng VPN châu Âu (EVUA), có ảnh hưởng tương đối lớn, mục đích nhằm đạt tỷ lệ tính giá tốt việc sử dụng nghiệp vụ VPN Nhờ có ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) hay cịn gọi VPN toàn cầu (GPN), phát triển nhanh 1.1.3 Phân loại VPN Có cách chủ yếu sử dụng mạng riêng ảo VPN : - Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục (Intranet VPN) - Mạng VPN mở rộng (Extranet VPN) 1.1.3.1 Mạng VPN truy nhập từ xa Các VPN truy nhập từ xa cung cấp khả truy nhập từ xa Tại thời điểm, nhân viên, chi nhánh văn phịng di động có khả trao đổi, truy nhập vào mạng công ty Kiểu VPN truy nhập từ xa kiểu VPN điển hình Bởi vì, VPN thiết lập thời điểm nào, từ nơi có mạng Internet VPN truy nhập từ xa mở rộng mạng công ty tới người sử dụng thông qua sở hạ tầng chia sẻ chung, sách mạng cơng ty trì Chúng dùng để cung cấp truy nhập an toàn từ thiết bị di động, người sử dụng di động, chi nhánh bạn hàng công ty Những kiểu VPN thực thông qua sở hạ tầng công cộng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL công nghệ cáp thường yêu cầu vài kiểu phần mềm client chạy máy tính người sử dụng 10 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Card WAN  Cấu hình Routing and Remote Access  Chuột phải vào DAT1(local) -> Configure and Enable Routing and Remote Access -> Next 98 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Chọn Custom configuration -> Next  Chọn VPN access -> Next 99 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Click Finish  Sau cấu hình xong,ta tiến hành:  Click chuột phải lên DAT1(local) -> Properties -> tab IP -> chọn Static address pool -> Add 100 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Nhập dãi địa IP -> OK -> Apply  Click chuột phải vào Network Interfaces -> New Demand-dial Interface ->Next 101 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Đặt tên -> Next  Chọn Connect using virtual private networking (VPN) -> Next 102 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Chọn Point to Point Tunneling Protocol (PPTP) -> Next  Nhập đỉa IP máy VPN SERVER cần kết nối -> Next 103 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Chọn Route IP packets on this interface Add a user account so a remote can dial in -> Next  Sau chọn Add nhập địa IP tĩnh cho Route -> OK -> Next 104 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Nhập password user name: vinh -> Next  Nhập user name:hanoi,domain:DAT2(tên máy VPN cần kết nối),password user name: hanoi -> Next 105 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN 2.1.2 Máy VPN SERVER VINH  Địa IP  Card LAN  Card WAN 106 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN Các bước cài đặt giống cài đặt VPN SERVER HÀ NỘI,chỉ khác :  Click chuột phải lên DAT2 (local) -> Properties -> tab IP -> Chọn Static address pool -> Add -> Nhập dãi địa IP.Sau click OK -> Apply  Click chuột phải Network Interfaces -> New Demand-dial Interface Tại Interface name đặt là: hanoi -> Next 107 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Nhập địa IP VPN SERVER HÀ NỘI  Nhập địa tĩnh cho Route  Nhập Password User name: hanoi 108 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Nhập user name: vinh, domain tên máy kết nối đến,password user name: vinh 2.1.3 Máy CLIENT HÀ NỘI  Đặt địa IP : 109 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN 2.1.4 Máy CLIENT VINH  Đặt địa IP : 2.2 Kết nối  Tại máy VPN SERVER HÀ NỘI : Chuột phải vào vinh -> connect 110 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Tại máy VPN SERVER VINH : Chuột phải vào hanoi -> connect 2.3 Kết  Thực Ping từ máy Client Hà nội sang máy Client Vinh 111 Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN  Thực Ping từ máy Client Vinh sang máy Client Hà nội TÀI LIỆU THAM KHẢO Sách tham khảo :  Kỹ thuật Mạng riêng ảo - VPN (Trần Cơng Hùng).Học viện Bưu viễn thơng Các trang Web :  http://www.quantrimang.com.vn  http://www.khotailieu.vn  http://www.tailieu.vn 112 Hoàng Ngọc Đạt ... UDP 31 VPN Virtual Private Network Mạng riêng ảo 32 WAN Wide Area Network Mạng diện rộng Hoàng Ngọc Đạt Đồ án tốt nghiệp Đại học Mạng riêng ảo - VPN PHẦN I : KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VPN CHƯƠNG... nghiệp Đại học Mạng riêng ảo - VPN LỜI NÓI ĐẦU DANH MỤC CÁC TỪ VIẾT TẮT PHẦN I KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VPN CHƯƠNG GIỚI THIỆU CHUNG VỀ MẠNG RIÊNG ẢO VPN 1.1 Khái... CHUNG VỀ MẠNG RIÊNG ẢO VPN 1.1 Khái quát chung 1.1.1 Định nghĩa mạng ảo VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN