3.2.1. Phần cứng, phần mềm
Phần cứng:
Dựa trên cơ sở hạ tầng sẵn có của công ty thì công ty cần mua thêm một số thiết bị như sau:
- Một modem ADSL hỗ trợ dịch vụ Virtual Server (Dịch vụ máy chủ ảo).
- Cần có một ñường truyền ADSL tốc ñộ cao (Nếu là dịch vụ ADSL với ñịa chỉ IP tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các nhân viên ở xa (VPN Client) sẽ kết nối ñến máy chủ cung cấp dịch vụ VPN Server ñể gia nhập hệ thống mạng riêng ảo của công ty và ñược cấp phát ñịa chỉ IP thích hợp ñể kết nối với các tài nguyên nội bộ của công ty.
- 01 máy chủ cài ñặt Windows Server 2003 hoặc Windows Server 2000 làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL (IP tĩnh, nếu dùng IP ñộng thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như dynDNS.org hay no-ip.com) ñể kết nối với bên ngoài (Internet).
- Máy chủ cung cấp dịch vụ tốt nhất chạy ứng dụng trên nền tảng Domain Controller của hãng Microsoft ñể ñảm bảo an toàn khi chia sẻ dữ liệu và chia sẻ các dịch vụ trong mạng LAN (Dịch vụ File, Email nội bộ, Email Internet, Phần mềm nghiệp vụ: Kế toán, quản lý công văn công việc, nhân sự tiền lương, chăm sóc khách hàng, …)
Phần mềm:
- Microsoft Windows Server: Hệ ñiều hành máy chủ (Windows Server 2000, Windows Server 2003).
- Microsoft Remoter Access Server (RRAS): Cung cấp dịch vụ truy cập từ xa thông qua mã hóa VPN và dịch vụ cung cấp ñịa chỉ IP tự ñộng khi kết nối từ xa vào hệ thống mạng phía trong.
3.2.2. Dịch vụ
Về phần dịch vụ thì khi thiết lập cho máy chủ dùng làm VPN server chỉ nên ñể server hỗ trợ một số dịch vụ cơ bản.
Chúng ta không nên vô hiệu hóa dịch vụ Remote Registry Service, nếu chúng ta làm ñiều này thì VPN server của chúng ta sẽ không hoạt ñộng như yêu cầu hoặc không hoạt ñộng tất cả.
Theo khuyến cáo của Microsoft thì chúng ta nên tắt các dịch vụ không cần thiết khi thiết lập VPN, vì ñây có thể là một số dịch vụ có lợi cho những kẻ xâm nhập. Chúng ta nên tắt những dịch vụ như sau:
- Fax services
- Distributed File System - File Replication
- Indexing Services
- Internet Connection Sharing - Messaging Services
- Task Scheduler - Telnet
- Print Spooler - Windows Installer
- Distribuled Transaction Coordinator - License Logging Services
3.3. DEMO
Trong mô hình này tôi cấu hình cho một máy Client ở bất kỳ ñâu thông qua mạng Internet kết nối vào mạng công ty ABC thông qua VPN.
Mô hình mạng cơ bản của công ty ABC
Hình 3.1 Mô hình mạng của công ty ABC
Bước 1: Tại các máy VPN Server tôi vào Start Programs Administrative toolsRouting and Remote Access click phải vào VPN Server chọn Configure and Enable Routing and Remote Access Next
Bước 2: Chọn Remote access (dial-up or VPN) Next
Bước 4: Chọn card mạng WAN vì ñây chính là ngõ liên lạc bên ngoài của VPN ServerNext
Bước 5: Chọn From a specified range of addressesNext
Bước 7: Trong này tôi nhập dãy IP từ 172.16.22.100 172.16.22.149
Bước 8: Chọn No, use Routing and Remote Access to authenticate requests
Bước 9: Tạo các User trên máy VPN Server:
Tại các máy VPN Server tôi vào Start Programs Administrative tools
Active Directory Users and Computers
Tại cửa sổ Active Directory Users and Computers, tôi vào khung bên trái chọn mục Users, sau ñó click phải chuột vào phần trống của khung bên phải chọn New
User
Bước 11: Nhập password cho user vừa tạoNext và cuối cùng là Finish
Bước 12: Double-click lên User vpn1 vừa tạo chọn Tab Dial-in
Trong khung Remote Access Permission (Dial-in or VPN) chọn Allow access
có như thế khi ta ñứng từ máy VPN client kết nối với các máy trong mạng nội bộ của công ty thông qua VPN Server thì ta phải nhập ñúng tài khoản này mà ta ñã tạo
trên VPN Server thì lúc ñó VPN Server của mạng công ty mới cho phép truy cập
vào hệ thống của công ty.
Bước 13: Cấu hình trên máy VPN Client: Tôi vào Network Connections của máy Client chọn New Connection WizardNext, Sau ñó chọn tiếp phần Connect to the network at my workplaceNext
Bước 15: Trong phần Connection Name tôi ñặt cho nó một tên bất kỳ là remote
access vpnNext
Bước 16: Nhập ñịa chỉ IP public của mạng công ty mà nhân viên muốn kết nối và ñịa chỉ public của công ty chính là 192.168.1.1và Finish
Bước 17: Nhập tài khoản mà tôi ñã tạo trước ñó tại máy VPN Server và nhấp
Và ñây là màn hình khi kết nối thành công
Mô hình ping từ máy VPN client ñến máy client trong công ty
Mô hình kết nối từ máy VPN client ñến máy client trong công ty
Trên ñây là những thao tác thực hiện một kết nối Client to Site cơ bản ñã thành công cho mô hình mạng của công ty ABC.
KẾT LUẬN 1. Các vấn ñề ñạt ñược
Qua quá trình thực hiện ñồ án chuyên ngành lần này vấn ñề ñầu tiên mà em ñạt ñược là cơ bản hiểu ñược nguyên lý làm việc của công nghệ mạng riêng ảo là như thế nào và biết cách triển khai một hệ thống VPN cơ bản cho một doanh nghiệp nhỏ.
Từ việc triển khai ñồ án chuyên ngành này ñã giúp em biết thêm những kiến thức về bảo mật thông tin trong mạng quan trọng ra sao và nắm vững ñược kiến thức về an toàn mạng mà em ñã ñược học từ trước.
Em ñã triển khai ñược mô hình mạng riêng ảo cơ bản ñó là mô hình Client to
Site trên giao thức ñường hầm PPTP.
Cuối nữa là biết ñược tầm quan trọng của công nghệ mạng riêng ảo ñối với các doanh nghiệp trong nước, mặc dù ñây là một công nghệ mới phát triển chưa ñược bao lâu nhưng các doanh nghiệp thuộc nhiều lĩnh vực khác nhau trong nước ñã biết nắm bắt ñược công nghệ và ñã áp dụng thành công với công nghệ này. Nó ñã giúp cho các doanh nghiệp tiết kiệm ñược chi phí trong kinh doanh và thuận lợi cho việc trao ñổi thông tin với các ñối tác và liên lạc với nhân viên khi họ ñi công tác.
2. Hạn chế
Trong lần thực hiện ñồ án này riêng về lớp chúng em thì do lịch học với các Thầy ngoài trường về dạy quá nhiều nên thời gian dành ñể làm ñồ án là quá ít thành ra việc tìm hiểu và nghiên cứu tài liệu nhiều lúc còn sai sót, tài liệu chưa ñược chính thống hay là ñã có chỉnh sửa từ ñó dẫn ñến việc trong ñồ án có nhiều chỗ chưa ñược chính xác lắm.
Phần triển khai lý thuyết trong chương 2 còn chưa ñược hoàn thiện vì em chưa tìm hiểu ñược nhiều thông tin chuyên sâu của các giao thức ñường hầm nên lý thuyết về phần này còn sơ sài.
Còn về phần chương 3 thì do không có trang thiết bị nên em chỉ demo ñược trên
máy ảo mày chưa thử ñược trên các máy thật nên không biết khi ñi ra internet thì
như thế nào.
3. Hướng phát triển
Từ quá trình thực hiện ñồ án trên và với những kiến thức cơ bản mà em ñã tìm hiểu ñược thì em nghĩ rằng với công nghệ này thì có thể triển khai lên thành mô hình mạng riêng ảo Site to Site ñể các doanh nghiệp có thể triển khai việc hợp tác của họ một cách có thuận lợi hơn.
Hi vọng một ngày với ñồ án tốt nghiệp thì em sẽ hoàn thiện ñồ án này với mô hình triển khai cao hơn là mô hình Site to Site.
TÀI LIỆU THAM KHẢO A. Tài liệu Tiếng Việt
[1] Mạng truyền thông công nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kỹ thuật năm 2004
[2] 100 thủ thuật bảo mật mạng, tác giả K/S Nguyễn Ngọc Tuấn, Hồng Phúc NXB Giao thông vận tải, năm 2005
B. Tài liệu internet:
[3] http://3c.com.vn/Story/vn/hotrokhachhang/kienthucmang/2008/1/34478.html [4] http://3c.com.vn/Story/vn/hotrokhachhang/kienthucmang/2008/1/34479.html [5] http://forum.mait.vn/microsoft-windows/10762-vpn-client-site.html
[6] http://www.4shared.com/document/OLfMmpcZ/VPN.htm
[7] http://timsach.com.vn/viewEBOOK_33_2209_Co_ban_ve_VPN.html
C. Tài liệu Tiếng Anh
[8] David Bruce, Yakov Rekhter - (2000) Morgan Kaufmann Publisher - MPLS Technology and Application MPLS_Cisco.pdf
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...
