VPN Site to Site đây là giải pháp cho việc kết nối mạng từ xa, hiểu khái quát như là mở rộng mạng nội bộ. Người dùng có thể thông qua Internet để truy cập vào mạng nội bộ của công ty để lấy dữ liệu từ công ty chính về văn phòng
chi nhánh để làm việc và ngược lại. Sau đây là mô hình lớp học dùng để mô tả cách thiết lập VPN Site to Site trên môi trường Windows 2003
Với mô hình này mỗi Site em sử dụng 2 máy một máy chạy hệ điều hành win2k3 máy còn lại chạy hệ điều hành win xp là máy khách trong Site đó. Trong đó máy chạy hệ điều hành win 2k3 có một máy vừa thực hiện VPN Server của Site vừa thực hiện máy quản trị miền ( Server1), máy còn lại thực hiện VPN Server của Site kia (Server2)
Computer Server1 Server2 Client1 Client2
Ip address Lan1: 172.16.0.1/16 Wan1: 200.1.1.1/24 Lan2: 172.16.10.1/16 Wan2: 200.1.1.10/24 172.16.0.2/16 172.16.10.2/16 Default gateway 172.16.0.1/16 172.16.10.1/16 DNS server 172.16.0.1/16 172.16.0.1/16
Thực hiện nâng cấp Server1 thành máy chủ quản trị miền : vinhuni.com. Nâng cấp máy Server2 lên miền đã có sẵn và gia nhập 2 client còn lại vào miền. Sau khi nâng cấp xong chúng ta tạo User để người dùng remote sẽ có Acount
được xác nhận thì mới vào được mạng.
3.2.2.1 Tạo tài khoản
Tạo 2 tài khoản: vpnhn - 123@123aA vpnna - 123@123aA
Các tài khoản này đều được cho phép Allow access
3.2.2.2 Cấu hình Server1
• Thực hiện cài đặt dịch vụ RRAS như mô hình Client to Site mà em đã
Xuất hiện cửa sổ Configuration, chọn Custom configuration. Click
NEXT
Tiếp theo chọn như hình, sau đó click NEXT
Nhấp Next, nhấp Finish kết thúc quá trình cài đặt.
Để thực hiện kết nối, thì phải cấp cho nhau một dải IP để có thể làm việc được mạng kia. Ta thực hiện cấu hình như sau:
Nhấp chuột phải vào Server1, chọn Properties
Xuất hiện hộp thoại nhập vào tab IP chọn Static Address pool nhấp and Trong hộp thoại New Address Rang ta nhập dải địa chỉ mà ta muốn cấp cho các máy mạng kia khi truy cập vào mạng này:
• Cấu hình VPN
Nhấp chuột phải vào Network Interfaces chọn New Demand - dial
Interface...Tại Interface name: vpnna
Tại Connection Type chọn Connect using vitual private networking (VPN)
Tại VPN Type nhấp chọn giao thức Point to Point Tunneling Protocol (PPTP)
Tại cửa sổ Destination Address nhập địa chỉ IP Wan của mạng kia(Server2): 200.1.1.10
Tại Protocols and Security chọn như hình:
Tại cử sổ Static Router for Remote Network ta nhấp Add.Trong hộp thoại Static Router ta nhập địa chỉ 172.16.0.0/16 nhằm cho phép truy cập tới tất cả các client trong mạng kia
Tại hộp thoại Dial Out Credentials ta nhập user và passwork của vpnhn
Nhấp Finish để kết thúc quá trình cấu hình.
3.2.2.3 Cấu hình Server2
• Cấu hình dịch vụ RRAS
Tương tự như đối với Server1
Kết thúc cấu hình Restart lại từng máy. 3.2.2.4 Kết nối VPN
Vì VPN Server là một mạng riêng ảo được xây dựng dựa trên đường truyền Internet có tính bảo mật cao.Do đó để các máy trên mạng thấy được nhau ta phải tạo VPN Network Connection
Nhấp chuột phải chọn Properties vào cửa sổ Network Connection của từng VPN Server chọn New Connection Winzard, nhấp chọn Vitual Private
Tại Server1 ( VPN Hà Nội ) nhập 200.1.1.10
Nhấp Next, chọn Finish
Máy Server1 (VPN Hà Nội ) Máy Server2 ( VPN Nghệ An )
Kiểm tra địa chỉ IP khi các máy chủ kết nối VPN thành công Máy VPN Server ở Nghệ An (Server2)
Máy Server VPN ở Hà Nội (Server1)
Kết nối VPN client
Máy client ở Hà Nội kết nối tới dải Nghệ An
Máy client Nghệ An kết nối ra Client Hà Nội
Các kết nối thành công
Hoặc thông qua phương pháp Remote Destop để xem máy có những tài liệu nào hay là sửa lỗi máy
Remote vào máy client Hà Nội (client1)
Kết luận
Công nghệ mạng riêng ảo VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng các mạng riêng đảm bảo an ninh. Với những ưu điểm về mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt trong triển khai vf mở rộng, VPN là một công nghệ hứa hẹn triển vọng thị trường rất lớn.
Tuy thời gian làm đồ án còn hạn chế, nhưng được sự giúp đỡ nhiệt tình của thầy giáo hướng dẫn và những kiến thức được trang bị ở nhà trường cùng sự hiểu biết của mình, em đã tìm hiểu về lí thuyết về LAN,WAN, các kiến thức về mạng riêng ảo và xây dựng lắp đặt mô hình cụ thể. Nội dung công việc được hoàn thành là:
- Tổng quan về VPN cho biết khái niệm, chức năng,ưu điểm, các loại mạng VPN, đường hầm và mã hóa, tổng quan về các giao thức dùng cho VPN như :L2TP,L2F,PPP,giao thức bảo mật IPSec và quá trình hoạt động của nó,tìm hiểu về các giao thức đường hầm PPTP và L2TP, cách xác thực và mã hóa sử dụng chúng trong thực tế.
- Đi sâu nghiên cứu giao thức đường ngầm PPTP và L2TP. Để tạo đường ngầm cho IP nhiều hướng ta có thể sử dụng L2TP, với luồng lưu lượng mạng sử dụng thiết bị của Microsoft thì L2TP là sự lựa chọn tốt nhất.L2TP cũng phù hợp với các VPN truy cấp từ xa hỗ trợ đa giao thức.
- Giao thức bảo mật IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất, có tính linh hoạt cao do không bị ràng buộc bởi một phương pháp xác thực cũng như mật mã nào. Đây là giao thức tối ưu nhất cho IP-VPN và được tìm hiểu một cách chi tiết.Để thực hiện đóng gói dữ liệu, IPSec có 2 giao thức đóng gói AH và ESP.Giao thức trao đổi khóa IKE đảm bảo vai trò nhận các bên tham gia và thỏa thuận liên kết an ninh giữa các bên.
- Thực hiện kết nối VPN trong một số mô hình.
Hiện nay, tại Việt Nam có rất nhiều hãng đang cung cấp các giải pháp VPn cho các doanh nghiệp, mỗi hãng có một cấu hình VPN riêng. Theo như đánh giá của nhiều công ty thì thị trường VPN Việt Nam có tốc độ phát triển mạnh.
Một lần nữa em xin chân thành cảm ơn thầy giáo TS.Lê Ngọc Xuân người đã trực tiếp hướng dẫn em thực hiện hoàn thành luận văn, cùng các thầy cô trong khoa Công Nghệ Thông Tin trường Đại Học Vinh và các bạn trong lớp.
Hướng phát triển đề tài
Qua thời gian khảo sát, nghiên cứu và xây dựng mô hình VPN. Tôi đã đúc rút ra những kinh nghiệm quý báu mặc dù chưa thực sự được triển khai công nghệ VPN trên thực tế. Do vậy tôi muốn tiếp tục nghiên cứu và phát triển những vấn đề sau:
- Tìm hiểu mô hình VPN được triển khai trên thực tế nhằm đưa ra những giải pháp về phân quyền và bảo mật tốt hơn.
- Để có cái nhìn tổng quát và lâu dài thì trong hướng phát triển đề tài tôi tìm hiểu thêm về Access Control List ( ACL) và Network Address Translation( NAT). Ngoài ra còn tìm hiểu thêm một số thiết bị như bộ tập trung VPN ( VPN concentrater) tích hợp các ưu điểm tiên tiến của mã hóa và xác nhận
- Để đảm bảo mức độ bảo mật trên đường truyền cũng như sự an toàn cho dữ liệu cần phải có những giải pháp an ninh cao hơn.
Tài liệu tham khảo
[1] Nguyễn Thúc Hải, Mạng máy tính và các hệ thống mở, NXB Giáo
Dục 1999
[2] Phạm Hoàng Dũng, Làm chủ Windows server 2003, NXB Thống kê 2003
[3] Nguyễn Tiến Ban, Hoàng Trọng Minh, Mạng riêng ảo, Học viện công
nghệ bưu chính viễn thông, 5/2007
[4] Trang Web: www.nhatnghe.com
[5] Trang Web: www.giaiphapmang.net