Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để
truy nhập thưđiện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.
Hình 5.5: Các thành phần của kết nối Client-to-LAN
Cĩ thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.
- Phần mềm IPSec (IPSec Client Software) khơng cĩ sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính cĩ yêu cầu truy nhập từ xa. Nĩ được sử dụng
để mật mã, xác thực và đĩng gĩi dữ liệu, đồng thời là một điểm cuối của đường ngầm. - Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.
- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an tồn (secure tunnel), thơng qua Internet để tới VPN 3000 Concentrantor.
- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối cịn lại của
đường ngầm. Nĩ thực hiện giải mã, xác thực, và mở gĩi dữ liệu.
Hình 5.6: Đường ngầm IPSec Client-to-LAN
Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thơng tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ
nguồn thường là địa chỉảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉảo giúp cho client cĩ thể hoạt động nhưđang ở ngay mạng trung tâm.
Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đĩ chúng được mật mã, xác thực và đĩng gĩi bằng giao thức ESP. Sau khi đĩng gĩi dữ
liệu bằng ESP thì một IP header mới được thêm vào gĩi dữ liệu (gọi là header ngồi)
để định tuyến gĩi tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện cơng cộng của VPN 3000 Concentrator.
Ngồi thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an tồn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý
đường ngầm.
Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.
- Thỏa thuận các thơng sốđường ngầm: địa chỉ, thuật tốn. - Thiết lập đường ngầm dựa trên các thơng sốđã thiết lập.
- Xác thực người sử dụng thơng qua username, groupname, password, digital certificate.
- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…
- Quản trị các khĩa an ninh để mật mã va giải mã. - Thiết lập phiên trao đổi IPSec .
- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.
Hình 5.7: Phần mềm IPSec Client