Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS r-ờng đại học vinh Khoa CNTT N TT NGHIP XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VIRTUAL PRIVATE NETWORKS Giáo viên hướng dẫn: TS Phan Lê Na Sinh viên thực : Nguyễn Ngọc Ánh Lớp : Sinh viên thực : Nguyễn Ngọc Ánh 46K3 - CNTT Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Vinh, tháng 05 Năm 2010 MỤC LỤC LỜI CẢM ƠN LỜI NÓI ĐẦU CH ƢƠNG I: TỔNG QUAN VỀ VPN 1.1 Tìm hiểu VPN 1.2 Các loại VPN 1.2.1 Remote Access VPN 1.2.2 Intranet VPN 11 1.2.3 Extranet VPN 13 1.3 Các thành phần bảo mật 1.3.1 Mã hóa liệu 15 1.2.2 Hệ thống mã hóa đối xứng (Symmetric Cryptosystems ) 16 1.2.3 Hệ thống mã hóa bất đối xứng (Asymmetric Cryptosystems ) 16 CHƢƠNG II: CÁC GIAO THỨC 17 2.1 Khái niệm Tunneling Technology 17 2.1.1 Những điểm thuận lợi VPN 17 2.1.2 Các thành phần VPN 18 2.1.3 Sự hoạt động VPN 19 Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS 2.1.4 Định dạng gói liệu VPN 20 2.2 Tunneling Protocols tầng 22 2.2.1 Point-to-Point Protocol (PPP) 22 2.2.2 Quá trình hoạt động PPP 23 2.2.3 Point-to-Point Tunneling Protocol (PPTP) 23 2.2.4 Layer Forwarding (L2F) 34 CHƢƠNG III: XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VPN 36 3.1 Hệ thống VPN Site to Site 36 3.2 Hệ thống VPN client to site 50 TỔNG KẾT 67 TÀI LIỆU THAM KHẢO 68 Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS LỜI CẢM ƠN Tôi xin chân thành cảm ơn Ban giám hiệu trường Đại học Vinh, ban chủ nhiệm khoa Công nghệ Thông tin, thầy cô giáo tận tình giảng dạy, trang bị cho tơi kiến thức cần thiết năm học trường Đó qng thời gian thật hữu ích để tơi trưởng thành lên nhiều chuẩn bị trường hành trang thiếu công việc sau Tôi xin chân thành cảm ơn cô giáo Tiến sỹ Phan Lê Na quan tâm, giúp đỡ hướng dẫn suốt thời gian làm đồ án để tơi hồn thành tốt khóa luận Tơi xin chân thành cảm ơn anh chị bạn có nhận xét, ý kiến đóng góp, động viên quan tâm giúp đỡ thời gian qua Cuối xin cảm ơn cha mẹ, gia đình tạo điều kiện, động viên, khích lệ hỗ trợ suốt thời gian qua Vinh, ngày 10 tháng 05 năm 2010 Sinh viên thực Nguyễn Ngọc Ánh Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS LỜI NÓI ĐẦU Với phát triển nhanh chóng cơng nghệ tin học viễn thông, giới ngày thu nhỏ trở nên gần gũi Nhiều công ty vượt qua ranh giới cục khu vực, vươn thị trường giới Nhiều doanh nghiệp có tổ chức trải rộng khắp tồn quốc chí vịng quanh giới, tất họ đối mặt với nhu cầu thiết thực: cách thức nhằm trì kết nối thơng tin kịp thời, an tồn hiệu cho dù văn phòng đặt nơi đâu Cho đến gần đây, ứng dụng kênh truyền dẫn thông tin thuê riêng (leased line) giải pháp cho kết nối mạng diện rộng (WAN) phạm vi khu vực giới Đường dây thuê, bao gồm từ ISDN (integrated services digital network, 128 Kbps) đến OC3 (Optical Carrier-3, 155 Mbps) fiber, giúp công ty mở rộng mạng cục nhiều khu vực địa lý khác Những dịch vụ kết nối mạng diện rộng đem đến lợi ích rõ ràng tốc độ, an tồn thơng tin hiệu thực thi cơng việc, nhiên việc trì mạng diện rộng (WAN) thế, ứng dụng đường dây thuê, có chi phí đắt đỏ thường tăng lên với gia tăng khoảng cách địa lý văn phịng cơng ty Cùng với phổ cập ngày cao Internet, doanh nghiệp dần chuyển sang sử dụng Internet phương tiện giúp họ mở rộng mạng cục sẵn có Đầu tiên intranets, sites bảo vệ password sử dụng phạm vi cơng ty Cịn nhiều doanh nghiệp thiết lập dịch vụ VPN (virtual private network) nhằm thoả mãn nhu cầu kết nối từ xa nhân viên với văn phòng văn phòng cách xa địa lý Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Một mạng ảo (VPN) tiểu biểu gồm mạng LAN đặt trụ sở công ty, mạng Lan khác đặt công ty xa, nhân viên kết nối từ xa tới mạng cục công ty Trong tình hình Việt Nam với việc phổ cập Internet tốc độ cao ( ADSL tới cáp Internet) ngày rộng với giá rẻ, xuất nhiều thiết bị mạng hỗ trợ VPN với chức tích hợp đa dạng, giao diện dễ sử dụng, giá hợp lý điều kiện tốt để doanh nghiệp tổ chức tăng cường sử dụng mạng riêng ảo VPN phương thức kết nối từ xa an toàn, tiện dụng với chi phí thấp Chính tầm quan trọng công nghệ vpn nên em chọn làm đề tài cho đồ án tốt nghiệp Bố cục đồ án gồm chương sau: Chương 1: Tìm hiểu chung cơng nghệ mạng tính báo mật VPN Chương 3: Tìm hiểu giao thức Chương 4: Xây dựng triển khai hệ thống VPN (site to site client to site) Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS CHƢƠNG I: TỔNG QUAN VỀ VỈTUAL PRIVATE NETWORKS 1.1 Tìm hiểu Virtual Private Networks Virtual Private Networks (VPN) hay gọi theo tiếng việt mạng riêng ảo, cho phép mở rộng phạm vi mạng nội cách sử dụng lợi internet Kỹ thuật VPN cho phép kết nối với host nằm xa với mạng LAN làm cho trở thành node hay PC mạng LAN Một đặc điểm VPN kết nối Clients mạng ảo an tồn ta ngồi mạng LAN Mục đích VPN cung cấp bảo mật, tính hiệu độ tin cậy mạng đảm bảo cân giá thành cho tồn q trình xây dựng mạng VPN hiểu phần mở rộng mạng Intranet kết nối thông qua mạng công cộng nhằm bảo đảm an toàn tăng hiệu giá thành kết nối hai đầu nối Cơ chế độ giới hạn bảo mật tinh vi sử dụng để bảo đảm tính an tồn cho việc trao đổi liệu dễ bị đánh cắp thông qua mơi trường khơng an tồn Cơ chế an toàn bao gồm khái niệm sau : Mã hóa (encryption): Mã hố liệu q trình xử lý thay đổi liệu theo chuẩn định liệu đọc người dùng mong muốn Ðể đọc liệu người nhận buộc phải có xác khóa giải mã liệu Thẩm quyền (authentication): Là trình xử lý bảo đảm chắn liệu chuyển đến người nhận đồng thời bảo đảm thông tin nhận nguyên vẹn Ở hình thức bản, Authentication địi hỏi phải nhập vào Username Password để truy cập vào tài nguyên Trong số tình phức tạp, có thêm secret-key public-key để mã hoá liệu Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Quyền hạn(authorization): Ðây trình xử lý cấp quyền truy cập ngăn cấm vào tài nguyên mạng sau thực Authentication VPN Tunneling Protocol: Có dạng giao thức tunneling sử dụng VPN: - Point-to-point Tunneling Protocol (PPTP): Phát triển Microsoft, 3COM PPTP thực tầng thứ (Data Link Layer) - IP Security (IPSec): Ðược phát triển IETF, IPSec chuẩn mở đảm bảo chắn q trình trao đổi liệu an tồn phương thức xác nhận người dùng qua mạng công cộng Khơng giống với kỹ thuật mã hố khác, IPSec thực tầng thứ mơ hình OSI (Open System Interconnect), Vì thế, chúng chạy độc lập so với ứng dụng chạy mạng Và mạng bạn bảo mật mà khơng cần dùng chương trình bảo mật - Layer Tunneling Protocol (L2TP): Ðược phát triển hệ thống Cisco, L2TP dự định thay cho IPSec Tuy nhiên IPSec chiếm ưu so bảo mật Internet L2TP kết hợp Layer Forwarding (L2F) PPTP dùng để đóng gói frame sử dụng giao thức Point-to-point để gửi qua loại mạng X.25, FR, ATM.(L2F protocol đăng ký độc quyền Cisco System để đảm bảo việc vận chuyển liệu mạng Internet an toàn) Ƣu điểm nhƣợc điểm VPN: Ƣu điểm: - Giảm thiểu chi phí triển khai: Chi phí cho VPN đáng kể so với cách giải truyền thống - Giảm chi phí quản lý - Cải thiện kết nối -An toàn giao dịch Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS -Hiệu băng thông Nhƣợc điểm: -Phụ thuộc môi trường Internet -Thiếu hỗ trợ cho số giao thức kế thừa Những Ðiều Cần Quan Tâm Trong VPN: - Tính an tồn - Thao tác thiết bị nhà cung cấp khác - Quản lý tập trung - Dễ triển khai - Dễ sử dụng - Hiệu suất - Quản lý băng thông - Bảo vệ mạng từ liệu gửi tự nhiên bên 1.2 Các loại VPN VPN nhằm hướng vào yêu cầu sau đây: - Có thể truy cập lúc điều khiển từ xa, điện thoại cầm tay, việc liên lạc nhân viên tổ chức tới tài nguyên mạng - Nối kết thông tin liên lạc chi nhánh văn phòng từ xa - Ðược điều khiển truy nhập tài nguyên mạng cần thiết khách hàng, nhà cung cấp đối tượng quan trọng công ty nhằm hợp tác kinh doanh Dựa nhu cầu trên, ngày VPN phát triển phân chia làm phân loại sau : - Remote Access VPN - Intranet VPN - Extranet VPN 1.2.1 Remote Access VPN Sinh viên thực : Nguyễn Ngọc Ánh Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Giống gợi ý tên gọi, Remote Access VPN cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Ðặc biệt người dùng thường xuyên di chuyển chi nhánh văn phịng nhỏ mà khơng có kết nối thường xuyên đến mạng Intranet hợp tác Một số thành phần : Remote Access Server(RAS): đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Hình 1.1 : Cài đặt truy cập từ xa khơng có VPN Bằng việc triển khai Remote Access VPN, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Thông tin Remote Access Setup mơ tả hình vẽ sau : Sinh viên thực : Nguyễn Ngọc Ánh 10 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sinh viên thực : Nguyễn Ngọc Ánh 56 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sinh viên thực : Nguyễn Ngọc Ánh 57 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS secret phải nhớ để cấu hình VPN server cần dùng lại Tạo user Domain cho phép user remote access user đƣợc sử dụng để kết nối Sinh viên thực : Nguyễn Ngọc Ánh 58 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sinh viên thực : Nguyễn Ngọc Ánh 59 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Bƣớc 2: Cấu hình dịch vụ VPN VPN Server: Sinh viên thực : Nguyễn Ngọc Ánh 60 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sinh viên thực : Nguyễn Ngọc Ánh 61 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sinh viên thực : Nguyễn Ngọc Ánh 62 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Shered secret trình bày trước, điền Shered secret Sinh viên thực : Nguyễn Ngọc Ánh 63 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Bƣớc 3: Trên client, tạo kết nối VPN Sinh viên thực : Nguyễn Ngọc Ánh 64 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sinh viên thực : Nguyễn Ngọc Ánh 65 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Chỉ rõ địa IP VPN server 172.16.1.1 Sinh viên thực : Nguyễn Ngọc Ánh 66 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Sử dụng tài khoản tạo máy Radius server để kết nối Sinh viên thực : Nguyễn Ngọc Ánh 67 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS KẾT LUẬN Đồ án thu kết sau:  Tìm hiểu thêm mạng máy tính  Tìm hiểu hoạt động,cài đặt cấu hình số dịch vụ mạng thông dụng  Bước đầu thực hành số chức quản trị mạng  Cài đặt xây dựng hệ thống VPN site to site va client to site Hướng phát triển đề tài:  Em tiếp tục tìm hiểu lĩnh vực mạng, dịch vụ quản trị mạng  Lắp đặt thiết bị cấu hình hệ thống  Cấu hình sở hạ tầng mạng  Xây dựng triển khai thêm dịch vụ, ứng dụng cho thống Vì ngành cơng nghệ thơng tin nói chung mạng nói riêng ngày phát triển mạnh ứng dụng nhiều vào thực tế nên ban đầu em định thiết kế mạng doanh nghiệp làm em gặp nhiều kó khăn.vì em thu gọn lại đề tài Do giớ hạn nhiều mặt nên đề tài nhiều thiếu sót Rất mong nhận đóng góp quý báu thầy cô bạn Sinh viên thực : Nguyễn Ngọc Ánh 68 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS TÀI LIỆU THAM KHẢO Phạm Hoàng Dũng -Làm chủ Windows Server 2003 tập 1,2,3 –Nhà xuất Thống kê 2004 Joseph Davies & Elliot Lewis –Deploying virtual private Networks with Microsoft Windows Server 2003 –Microsoft Press VietCERT Co., Ltd: http://vietnamlab.com http://quantrimang.com http://forum.saobacdau-acad.vn/showthread.php?t=1123 Sinh viên thực : Nguyễn Ngọc Ánh 69 Lớp 46K3- CNTT- Đại Học Vinh ... Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS Người gửi người nhận, phụ thuộc vào q trình mã hóa, hình thức hệ thống mã hóa Hệ thống mã hố (Cryptosystems) có... Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS kết nối PPP tới nhà ISP PPTP client phải kết nối vào thiết bị VPN để tunnel yêu cầu (và liệu tiếp theo, yêu cầu chấp nhận) đến thiết bị... : Nguyễn Ngọc Ánh 34 Lớp 46K3- CNTT- Đại Học Vinh Xây dựng thiết kế hệ thống VIRTUAL PRIVATE NETWORKS CHƢƠNG III : XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG VPN 4.1 Mơ hình VPN Site to Site - Mơ hình gồm