Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn tryền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN . Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Hình 2-10: Mô hình Tunneling truy cập từ xa 2.4.2.2 Kỹ thuật Tunneling trong mạng điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu“ đóng gói” giao thức gói tin ( Pasenger Protocol ) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả 2 giao diện Tunnel
Hình 2-11: Mô hình Tunneling điểm nối điểm
CHƯƠNG 3: TRIỂN KHAI MÔ HÌNH VPN
Hình 3-1: Mô hình VPN client-to-site 3.1.2 Vai trò và chức năng của các thiết bị trong mô hình
- Máy winserver 2008 làm máy chủ VPN
- Máy chủ VPN có hai card mạng: một card đặt tên là LAN, là card Internal. Một card đặt tên là WAN là card External.Địa chỉ của card LAN là: 172.16.1.1/24. Địa chỉ của card WAN là: 192.168.1.1/24
- Sử dụng một máy cài Windows 7 làm máy client. Địa chỉ máy client là: 192.168.1.11/24
3.1.3 Tổng quan các bước thực hiện
Bước 1: Đặt địa chỉ IP cho các máy như trong mô hình Bước 2: Kiểm tra kết nối từ máy client tới máy VPN Server. Bước 3: Cấu hình dịch vụ VPN trên VPN server
Bước 4: Cấu hình đăng nhập vào VPN trên máy Client. Bước 5: Kiểm tra kết quả.
3.1.4 Các bước thực hiện
- Đặt địa chỉ cho card mạng WAN: Card mạng này kết nối với máy client ở xa.
- Đặt địa chỉ cho máy Client: Nó phải có cùng miền mạng với card WAN trên máy VPN Server.
- Sau khi cài xong dịch vụ Routing and Remote access, chúng ta bắt đầu cấu hình dịch vụ VPN. Kích chuột phải chọn Configure and Enable Routing and Remote Access:
- Nhấn Next và chọn Viritual Private Network (VPN) access and NAT:Cho phép các máy client ở xa kết nối tới vpn server qua Internet và các máy client nội bộ kết nối Internet sử dụng một địa chỉ Public.
- Tạo user để đăng nhập vào VPN: đây là user các máy client ở xa sẽ sử dụng để đăng nhập vào VPN Server.
- Cấp quyền truy cập VPN cho user vừa tạo này:
- Chọn Use my Internet connection (VPN):
- Nhập username và password đã tạo trên máy VPN Server:
- Kết nối thành công:
3.2 Triển khai mô hình VPN Site-to-Site
Hình 3-2 Mô hình VPN Site-to-site
3.2.2 Mô tả vai trò và chức năng của các thiết bị trong mô hình:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh. Từ đó, phát sinh một số nhu cầu:
- Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
- Trao đổi dữ liệu an toàn giữa 02 hệ mạng HCM & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
Chuẩn bị:
- Hai máy Windows server 2008 làm máy chủ VPN
- Máy chủ VPN HN 2 card mạng. Địa chỉ card mạng external là: 10.21.1.1/24. Địa chỉ card mạng Internal: 192.168.1.1/24
- Máy chủ VPN HCM có 2 card mạng. Địa chỉ card mạng external là: 10.21.1.2/24. Địa chỉ card mạng Internal: 192.168.2.1/24.
- Hai máy client cài winxp: Máy client ở HN có địa chỉ: 192.168.1.10/24. Máy client ở HCM có địa chỉ: 192.168.2.10/24.
Kết quả cần đạt:
- Hai máy client HN và Client HCM có thể ping được với nhau. 3.2.3 Tổng quan các bước thực hiện:
1. Tạo User & cấp phép Dial-in
3. Cấu hình dịch vụ VPN trên máy server HCM.
4. Kiểm tra: kết nối VPN được tự động thiết lập khi 2 site phát sinh nhu cầu truy cập nhau.
3.2.4 Các bước thực hiện3.2.4.1 Đặt địa chỉ cho các máy 3.2.4.1 Đặt địa chỉ cho các máy Cấu hình địa chỉ cho máy Server HN:
- Đặt địa chỉ card mạng External: Card mạng này dùng để kết nối tới máy Server HCM.
- Đặt địa chỉ cho card mạng Internal của Server HCM: Card mạng này dùng để kết nối tới các máy nằm trong mạng nội bộ.
- Địa chỉ card mạng External của Server HCM: Card mạng này dùng để kết nối tới máy Server HN.
- Đặt địa chỉ cho máy LAN HN: Địa chỉ này phải có cùng miền mạng với card mạng Internal của máy Server HN.
- Đặt địa chỉ cho máy LAN HCM: Địa chỉ máy LAN HCM phải có cùng miền mạng với card mạng Internal của Server HCM.
3.2.4.2 Cài đặt và cấu hình VPN
- Cài dịch vụ Routing And Remote Access trên cả hai máy Server HN và Server HCM:
- Cấp quyền cho user vừa mới tạo:
- Thực hiện tương tự với Server HCM: ta cũng tạo một user để cho phép máy Server HN truy cập vào máy Server HCM.
Trên máy Server HN.
- Mở dịch vụ Routing and Remote Access -> Nhấn chuột phải và chọn Configure and Enable routing and remote Access.
- Xong phần thêm dịch vụ:
- Nhấn chuột phải vào Network -> New Demand-dial Interface: Thêm card mạng ảo để kết nối VPN.
- Đây là bước lựa chọn giao thức dùng để tạo kết nối VPN:
- Nhập username và password đã tạo trên máy Server HCM:
- Nhập dãy địa chỉ IP: dãy IP này dùng để cấp phát cho các máy Client ở xa muốn truy cập vào VPN Server.
- Chọn Interface HCM đã tạo và nhập dãy IP của mạng LAN phía bên HCM:
Đối với Server HCM
- Thực hiện tương tự như bên HN. Chúng ta mở Routing and Remote Access lên, thêm các dịch vụ: VPN Access, Demand-Dial Connection và LAN Routing.
- Đặt tên Interface là HN:
- Nhập username và password đã tạo bên máy HN:
- Chọn Interface HN và nhập vào địa chỉ của mạng LAN phía bên HN:
3.2.4.3 Kiểm tra kết quả
Kết luận
Kết quả đạt được:
• Lý thuyết
- Giới thiệu các giải pháp công nghệ để xây dựng một mạng riêng ảo. Là tiền đề cho những ai muốn nghiên cứu và thiết kế một mạng VPN.
- Tuy nhiên vẫn còn có nhiều hạn chế như chưa đi sâu tìm hiểu được các giao thức. Đặc biệt là 2 giao thức IPSEC và L2TP.
• Triển khai mô hình
- Triển khai thành công hai mô hình VPN là Site-to-site và Client-to-site trên hệ điều hành Windows Server 2008. Qua đó hiểu thêm về cách thức triển khai và hoạt động của VPN. Hướng phát triển:
- Cần đi sâu tìm hiểu thêm về các giao thức kết nối VPN. - Tìm hiểu thêm về an ninh và bảo mật trong VPN hiện nay. - Tìm hiểu về sự phát triển của VPN trên thế giới và tại Việt Nam
- Thực hiện triển khai mô hình mạng VPN trên các hệ điều hành khác nhau và trên các phần mềm tương lửa khác nhau.
Tài liệu tham khảo
1. Giáo trình Mạng máy tính – Tác giả: TS.Phạm Thế Quế - NXB: Thông tin và Truyền thông.
2. Mạng riêng ảo VPN - TS.Nguyễn Tiến Ban & TS.Hoàng Trọng Minh.
3. Kỹ thuật mạng riêng ảo – Tác giả: TS.Trần Công Hùng. NXB Bưu Điện. Học viện công nghệ Bưu Chính Viên Thông.
4. The Complete Cisco VPN Configuration Guide – Richard Dead.
5. Một số trang web tham khảo: http://tailieu.vn , http://vi.wikipedia.org ,