a) VPN là gỡ?
Mạng riờng ảo hay cũn được biết đến với từ viết tắt VPN, đõy khụng phải là một khỏi niệm mới trong cụng nghệ mạng. VPN cú thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trờn cơ sở hạ tầng của hệ thống mạng cụng cộng với mục đớch tiết kiệm chi phớ cho cỏc kết nối điểm-điểm. Một cuộc điện thoại giữa hai cỏ nhõn là vớ dụ đơn giản nhất mụ tả một kết nối riờng ảo trờn mạng điện thoại cụng cộng. Hai đặc điểm quan trọng của cụng nghệ VPN là ''riờng'' và ''ảo" tương ứng với hai thuật ngữ tiếng anh (Virtual and Private). VPN cú thể xuất hiện tại bất cứ lớp nào trong mụ hỡnh OSI, VPN là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi và làm tăng thờm tớch chất của mạng cục bộ cho mạng WAN.
Hỡnh 2.2: Mụ hỡnh hệ thống mạng ảo
b) Lợi ớch của VPN đem lại :
* VPN làm giảm chi phớ thường xuyờn:
VPN cho phộp tiết kiệm chi phớ thuờ đường truyền và giảm chi phớ phỏt sinh cho nhõn viờn ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thụng qua cỏc điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuờ đường truy cập của nhà cung cấp dẫn đến giỏ thành cho việc kết nối Lan – to – Lan giảm đi đỏng kể so với việc thuờ đường Leased-Line
Giảm chi phớ quản lý và hỗ trợ:
Với việc sử dụng dịch vụ của nhà cung cấp, chỳng ta chỉ phải quản lý cỏc kết nối đầu cuối tại cỏc chi nhỏnh mạng khụng phải quản lý cỏc thiết bị chuyển mạch trờn mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đú cụng ty cú thể tập trung vào cỏc đối tượng kinh doanh.
* VPN đảm bảo an toàn thụng tin, tớnh toàn vẹn và xỏc thực
Dữ liệu truyền trờn mạng được mó hoỏ bằng cỏc thuật toỏn, đồng thời được truyền trong cỏc đường hầm(Tunnel) nờn thụng tin cú độ an toàn cao.
* VPN dễ dàng kết nối cỏc chi nhỏnh thành một mạng cục bộ
Với xu thế toàn cầu hoỏ, một cụng ty cú thể cú nhiều chi nhành tại nhiều quốc gia khỏc nhau. Việc tập trung quản lý thụng tin tại tất cả cỏc chi nhỏnh là cần
thiết. VPN cú thể dễ dàng kết nối hệ thống mạng giữa cỏc chi nhành và văn phũng trung tõm thành một mạng LAN với chi phớ thấp.
* VPN hỗ trợ cỏc giao thức mạng thụng dụng nhất hiện nay như TCP/IP
Bảo mật địa chỉ IP : thụng tin được gửi đi trờn VPN đó được mó húa do đú cỏc địa chỉ trờn mạng riờng được che giấu và chỉ sử dụng cỏc địa chỉ bờn ngoài Internet
c) Cỏc thành phần cần thiết tạo nờn kết nối VPN:
User authentication : cung cấp cơ chế chứng thực người dựng, chỉ cho phộp người dựng hợp lệ kết nối vào hệ thống VPN
Address management : cung cấp địa chỉ IP hợp lệ cho người dựng sau khi gia nhập hệ thống VPN để cú thể truy cập tài nguyờn trờn mạng nội bộ
Data Encryption : cung cấp giải phỏp mó húa dữ liệu trong quỏ trỡnh truyền nhằm bảo đảm tớnh riờng tư và toàn vẹn dữ liệu.
Key Management: cung cấp giải phỏp quản lý cỏc khúa dựng cho quỏ trỡnh mó húa và giải mó dữ liệu .
d) Cỏc loại VPN:
* VPN được chia thành 2 loại : * VPN Remote Accesss * VPN Site to Site
+ VPN Intranet + VPN Extranet
Hỡnh 2.3: VPN Remote Access
* VPN Remote Access
VPN Remote Access : Cung cấp kết nối truy cập từ xa đến một mạng Intranet hoặc Extranet dựa trờn hạ tầng được chia sẻ. VPN Remote Access sử dụng đường truyền Analog, Dial, ISDN, DSL, Mobile IP và Cable để thiết lập kết nối đến cỏc Mobile user.
Một đặc điểm quan trọng của VPN Remote Access là: Cho phộp người dựng di động truy cập từ xa vào hệ thống mạng nội bộ trong cụng ty để làm việc.
Để thực hiện được VPN Remote Access cần:
Cú 01 VPN Getway(cú 01 IP Public). Đõy là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ.
Hỡnh 2.4: VPN Site to Site
* VPN Site - to - Site:
VPN Site - to - Site được chia làm hai loại nhỏ là VPN Intranet và VPN
Extranet
+ Intranet VPN : Kết nối văn phũng trung tõm, cỏc chi nhỏnh và văn phũng
ở xa vào mạng nội bộ của cụng ty dựa trờn hạ tầng mạng được chia sẻ. Intranet VPN khỏc với Extranet VPN ở chỗ nú chỉ cho phộp cỏc nhõn viờn nội bộ trong cụng ty truy cập vào hệ thống mạng nội bộ của cụng ty.
+ Extranet VPN : Kết nối bộ phận khỏch hàng của cụng ty, bộ phận tư vấn,
hoặc cỏc đối tỏc của cụng ty thành một hệ thống mạng dựa trờn hạ tầng được chia sẻ. Extranet VPN khỏc với Intranet VPN ở chỗ cho phộp cỏc user ngoài cụng ty truy cập vào hệ thống.
Để thực hiện được VPN Site - to Site cần
Cú 02 VPN Getway(Mỗi VPN Getway cú 01 IP Public). Đõy là điểm tập trung xử lý khi VPN Getway phớa bờn kia quay số truy cập vào.
Cỏc Client kết nối vào hệ thống mạng nội bộ. 2.1.7 Một số dịch vụ mạng khỏc
Cũng như cỏc hệ điều hành khỏc Windows NT cũng cú những ưu, khuyết điểm của nú, tuy nhiờn Windows NT hiện nay chinh phục được nhiều người dựng với những ưu điểm khụng thể chối cói. Là hệ điều hành mạng cho phộp tổ chức quản lý một cỏch chủ động theo nhiều mụ hỡnh khỏc nhau: peer-to-peer, clien/server. Nú thớch hợp với tất cả cỏc kiến trỳc mạng hiện nay như: hỡnh sao
(start), đường thẳng (bus), vũng (ring) và phức hợp. Nú cú một số đặc tớnh ưu việt bảo đảm thực hiện cựng lỳc nhiều chương trỡnh mà khụng bị lỗi. Bản thõn Windows NT đỏp ứng được hầu hết cỏc giao thức phổ biến nhất trờn mạng và cũng hỗ trợ được rất nhiều những dịch vụ truyền thụng trờn mạng. Nú vừa đỏp ứng được cho mạng cục bộ (LAN) và cho cả mạng diện rộng (WAN).
Windows NT cho phộp dựng giao thức Windows NT TCP/IP, vốn là một giao thức được sử dụng rất phổ biến trờn hầu hết cỏc mạng diện rộng và trờn Internet. Giao thức TCP/IP dựng tốt cho nhiều dịch vụ mạng trờn mụi trường Windows NT.
a) Internet Information Server (IIS)
Internet Information Server là một ứng dụng chạy trờn Windows NT, tớch hợp chặt với Windows NT, khi cài đặt IIS, IIS cú đưa thờm vào tiện ớch màn hỡnh kiểm soỏt (Performance monitor) một số mục như thống kờ số lượng truy cập, số trang truy cập. Việc kiểm tra người dựng truy cập cũng dựa trờn cơ chế quản lý người sử dụng của Windows NT. Sau khi cài đặt IIS, trong thư mục InetSrv sẽ cú cỏc thư mục gốc tương ứng cho từng dịch vụ chọn cài đặt.
IIS bao gồm 3 dịch vụ: World Wide Web (WWW), chuyển file (FTP - File Transfer Protocol) và Gopher. Cả 3 dịch vụ này đều sử dụng kết nối theo giao thức TCP/IP.
* Cỏc dịch vụ trong IIS
+) WWW (World Wide Web) :
Là một trong những dịch vụ chớnh trờn Internet cho phộp người sử dụng xem thụng tin một cỏch dễ dàng, sinh động. Dữ liệu chuyển giữa Web Server và Web Client thụng qua nghi thức HTTP (Hypertext Transfer Protocol).
Người quản trị cú thể xem cỏc thụng tin như cỏc người dựng đó truy cập, cỏc trang được truy cập, cỏc yờu cầu được chấp nhận, cỏc yờu cầu bị từ chối. thụng qua cỏc file cú thể được lưu dưới dạng cơ sở dữ liệu.
+) FTP (File Transfer Protocol)
Sử dụng giao thức TCP để chuyển file giữa 2 mỏy và cũng hoạt động theo mụ hỡnh Client/Server, khi nhận được yờu cầu từ client, đầu tiờn FTP Server sẽ kiểm tra tớnh hợp lệ của người dựng thụng qua tờn và mật mó. Nếu hợp lệ, FTP Server sẽ kiểm tra quyền người dựng trờn tập tin hay thư mục được xỏc định trờn FTP Server. Nếu hợp lệ và hệ thống file là NTFS thỡ sẽ cú thờm kiểm tra ở mức thư
mục, tập tin theo NTFS. Sau khi tất cả hợp lệ, người dựng sẽ được quyền tương ứng trờn tập tin, thư mục đú.
+) Gopher
Là một dịch vụ sử dụng giao diện menu để Gopher Client tỡm và chuyển bất kỳ thụng tin nào mà Gopher Server đó được cấu hỡnh. Gopher cũng sử dụng kết nối theo giao thức TCP/IP.
b) Dynamic Host Configuration Protocol (DHCP) :
Trong một mạng mỏy tớnh, việc cấp cỏc địa chỉ IP tĩnh cố định cho cỏc host sẽ dẫn đến tỡnh trạng lóng phớ địa chỉ IP, vỡ trong cựng một lỳc khụng phải cỏc host hoạt động đồng thời với nhau, do vậy sẽ cú một số địa chỉ IP bị thừa. Để khắc phục tỡnh trạng đú, dịch vụ DHCP đưa ra để cấp phỏt cỏc địa chỉ IP động trong mạng.
Trong mạng mỏy tớnh NT khi một mỏy phỏt ra yờu cầu về cỏc thụng tin của TCPIP thỡ gọi là DHCP client, cũn cỏc mỏy cung cấp thụng tin của TCPIP gọi là DHCP server. Cỏc mỏy DHCP server bắt buộc phải là Windows NT server.
Cỏch cấp phỏt địa chỉ IP trong DHCP: Một user khi log on vào mạng, nú cần xin cấp 1 địa chỉ IP, theo 4 bước sau :
- Gửi thụng bỏo đến tất cả cỏc DHCP server để yờu cầu được cấp địa chỉ. - Tất cả cỏc DHCP server gửi trả lời địa chỉ sẽ cấp đến cho user đú.
- User chọn 1 địa chỉ trong số cỏc địa chỉ, gửi thụng bỏo đến server cú địa chỉ được chọn.
- Server được chọn gửi thụng bỏo khẳng định đến user mà nú cấp địa chỉ.
c) Dịch vụ Domain Name Service (DNS)
Hiện nay trong mạng Internet số lượng cỏc nỳt (host) lờn tới hàng triệu nờn chỳng ta khụng thể nhớ hết địa chỉ IP được, Mỗi host ngoài địa chỉ IP cũn cú một cỏi tờn phõn biệt, DNS là 1 cơ sở dữ liệu phõn tỏn cung cấp ỏnh xạ từ tờn host đếựn địa chỉ IP. Khi đưa ra 1 tờn host, DNS server sẽ trả về địa chỉ IP hay 1 số thụng tin của host đú. Điều này cho phộp người quản lý mạng dễ dàng trong việc chọn tờn cho host của mỡnh
DNS server được dựng trong cỏc trường hợp sau :
Chỳng ta muốn cú 1 tờn domain riờng trờn Interner để cú thể tạo, tỏch rời cỏc domain con bờn trong nú.
Chỳng ta cần 1 dịch vụ DNS để điều khiển cục bộ nhằm tăng tớnh linh hoạt cho domain cục bộ của bạn.
Chỳng ta cần một bức tường lửa để bảo vệ khụng cho người ngoài thõm nhập vào hệ thống mạng nội bộ của mỡnh
Cú thể quản lý trực tiếp bằng cỏc trỡnh soạn thảo text để tạo và sửa đổi cỏc file hoặc dựng DNS manager để tạo và quản lý cỏc đối tượng của DNS như: Servers, Zone, Cỏc mẫu tin, cỏc Domains, Tớch hợp với Win, .
d) Remote Access Service (RAS)
Ngoài những liờn kết tại chỗ với mạng cục bộ (LAN) cỏc nối kết từ xa vào mạng LAN hiện đang là những yờu cầu cần thiết của người sử dụng. Việc liờn kết đú cho phộp một mỏy từ xa như của một người sử dụng tại nhà cú thể qua đường dõy điện thoại thõm nhập vào một mạng LAN và sử dụng tài nguyờn của nú. Cỏch thụng dụng nhất hiện nay là dựng modem để cú thể truyền trờn đường dõy điện thoại.
Windows NT cung cấp Dịch vụ Remote access Service cho phộp cỏc mỏy trạm cú thể nối với tài nguyờn của Windows NT server thụng qua đường dõy điện thoại. RAS cho phộp truyền nối với cỏc server, điều hành cỏc user và cỏc server, thực hiện cỏc chương trỡnh khai thỏc số liệu, thiết lập sự an toàn trờn mạng.
Với những khả năng to lớn của mỡnh trong cỏc dịch vụ mạng, hệ điều hành Windows NT là một trong những hệ điều hành mạng tốt nhất hiện nay. Hệ điều hành Windows NT vừa cho phộp giao lưu giữa cỏc mỏy trong mạng, vừa cho phộp truy nhập từ xa, cho phộp truyền file, vừa đỏp ứng cho mạng cục bộ (LAN) vừa đỏp ứng cho mạng diện rộng (WAN) như Intranet, Internet. Với những khả năng như vậy hiện nay hệ điều hành Windows NT đó cú những vị trớ vững chắc trong việc cung cấp cỏc giải phỏp mạng trờn thế giới.
2.2 - Phỏt triển đề tài
Với quỏ trỡnh tỡm hiểu và thực tập về vấn đề mạng riờng ảo, thỡ chỳng ta thấy rằng việc ứng dụng nú vào phỏt triển hệ thống hạ tầng cụng nghệ thụng tin hoàn toàn phự hợp với xu hướng và mang tớnh sống cũn. Hệ thống giỳp tiết kiệm chi phớ, cắt giảm cỏc thủ tục hành chớnh rườm rà khụng cần thiết.
Việc xõy dựng đề tài trong bài thực tập mới chỉ được ứng dụng trờn hệ thống mỏy ảo nờn vẫn cũn nhiều tồn tại và khỏc so với thực tế nếu đưa vào triển khai.
Tuy nhiờn đề tài này là tiền đề để ứng dụng vào thực tế tại những cơ quan, cụng sở hành chớnh nhà nước mà ngày nay đang hướng tới vấn đề tin học húa hệ
thống. Cựng với sự giỳp đỡ của cỏc thầy cụ giỏo và nguồn tri thức từ cộng đồng ứng dụng cụng nghệ thụng tin trong đời sống. Đề tài này sẽ được tiếp tục nghiờn cứu và triển khai tại trụ sở BHXH tỉnh Lai Chõu và Bảo hiểm xó hội cỏc huyện thị xó trong tỉnh Lai Chõu.
Kết luận chương 2: Qua chương 2 đó đưa ra cho chỳng ta được những định
nghĩa, khỏi niệm tổng quan về việc quản trị mạng cũng như những ứng dụng của chỳng trong việc triển khai và quản trị hệ thống mạng. Qua đú chỳng ta cũng cú một cỏi nhỡn tổng quan và khỏi niệm về hệ thống mạng ảo VPN, phõn loại hệ thống mạng ảo VPN. Để từ đú ỏp dụng vào thực tế.
Chương 3 - CÁC GIAO THỨC ĐƯỜNG HẦM VPN
Hiện nay cú nhiều giải phỏp để giải quyết hai vấn đề về đúng gúi dữ liệu và an toàn dữ liệu trong VPN, dựa trờn nền tảng là cỏc giao thức đường hầm. Một giao thức đường hầm sẽ thực hiện đúng gúi dữ liệu với phần Header (và cú thể cả Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lừi của giải phỏp VPN. Cú 4 giao thức đường hầm được sử dụng trong VPN đú là:
- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol) - Giao thức bảo mật IP - IPSec (Internet Protocol Security)
3.1 Giao thức định hướng lớp 2 – L2F [4],[6],[12]
Giao thức định hướng lớp 2 L2F do Cisco phỏt triển độc lập và được phỏt triển dựa trờn giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải phỏp cho dịch vụ quay số ảo bằng cỏch thiết lập một đường hầm bảo mật thụng qua cơ sở hạ tầng cụng cộng như Internet. L2F là giao thức được phỏt triển sớm nhất, là phương phỏp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng cụng ty qua thiết bị truy cập từ xa.
L2F cho phộp đúng gúi cỏc gúi PPP trong L2F, định đường hầm ở lớp liờn kết dữ liệu.
3.1.1 Cấu trỳc gúi của L2F
1bit 1bi t
1bit 1bit 8bit 1bit 3bit 8bit 8bit
F K P S Reserved C Version Protocol Sequence
Multiplex ID Client ID
Length Offset
Key Data Ckecksums
Hỡnh 3.1: Khuụn dạng gúi của L2F
Trong đú:
K: Trường “Key” cú mặt nếu bit này được thiết lập.
P_ priority: Gúi này là một gúi ưu tiờn nếu bit này được thiết lập.
S: Trường “Sequence” cú mặt nếu bit này được thiết lập.
Reserved: Luụn được đặt là: 00000000.
Version : Phiờn bản chớnh của L2F dựng để tạo gúi. 3 bit này luụn là 111.
Protocol : Xỏc định giao thức đúng gúi L2F.
Sequence: Số chuỗi được đưa ra nếu trong L2F Header bit S=1.
Multiplex ID: Nhận dạng một kết nối riờng trong một đường hầm (tunnel).
Client ID: Giỳp tỏch đường hầm tại những điểm cuối.
Length: Chiều dài của gúi (tớnh bằng Byte) khụng bao gồm phần checksum.
Offset: Xỏc định số Byte trước L2F Header, tại đú dữ liệu tải tin được bắt
đầu. Trường này cú khi bit F=1.
Key: Trường này được trỡnh bày nếu bit K được thiết lập. Đõy là một phần của quỏ trỡnh nhận thực.