CHƢƠNG 2 CÁC GIAO THỨC ĐƢỜNG HẦM
2.2 Giao thức đƣờng hầm điểm tới điểm – PPTP
2.2.5 Triển khai VPN dựa trên PPTP
Để triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải có các thành phần thiết bị nhƣ chỉ ra trên hình 2-4, cụ thể bao gồm:
- Một máy chủ truy nhập mạng dùng cho phƣơng thức quay số truy nhập bảo mật vào VPN;
- Một máy chủ PPTP;
Internet
Client PPTP
Computer
Computer
Computer
Computer Computer Computer
Máy chủ mạngPPTP Máy chủ mạng PPTP Mạng riêng đƣợc bảo vệ Mạng riêng đƣợc bảo vệ Kết nối LAN-LAN Client PPTP Client PPTP Bộ tập trung truy cập mạng PPTP Kết nối
Client -LAN NAS
Hình 2 - 4 Các thành phần của hệ thống cung cấp VPN dựa trên PPTP
Các máy chủ PPTP có thể đặt tại mạng của khách hàng và do nhân viên trong công ty quản lý.
Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính: đóng vai trò là điểm kết nối của đƣờng hầm PPTP và chuyển các gói đến từ đƣờng hầm tới mạng LAN riêng. Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để có đƣợc địa chỉ mạng của máy tính đích. Máy chủ PPTP cũng có khả năng lọc gói. Bằng cách sử dụng cơ chế lọc gói PPTP máy chủ có thể ngăn cấm, chỉ cho phép truy nhập vào Internet, mạng riêng hay cả hai.
Thiết lập máy chủ PPTP tại site mạng có một hạn chế nếu nhƣ máy chủ PPTP nằm sau tƣờng lửa. PPTP đƣợc thiết kế sao cho chỉ có một cổng TCP 1723 đƣợc sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm cho tƣờng lửa dễ bị tấn công hơn. Nếu nhƣ tƣờng lửa đƣợc cấu hình để lọc gói thì phải thiết lập nó cho phép GRE đi qua.
Phần mềm client PPTP
Nếu nhƣ các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn. Nếu nhƣ các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng client vẫn có thể tạo kết nối bảo mật bằng cách đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo đƣợc thiết lập ở máy trạm.
Phần mềm client PPTP đã có sẵn trong Windows 9x, NT và các hệ điều hành sau này. Khi chọn client PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP đã có. Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì không thể tận dụng đƣợc ƣu điểm mã hoá trong RRAS.
Máy chủ truy cập mạng
Máy chủ truy nhập mạng NAS (Network Access Server) còn có tên gọi khác là máy chủ truy nhập từ xa RAS (Remote Access Server) hay bộ tập trung truy nhập (Access Concentrator). NAS cung cấp khả năng truy nhập đƣờng dây dựa trên phần
mềm, có khả năng tính cƣớc và có khả năng chịu đựng lỗi tại ISP POP. NAS của ISP đƣợc thiết kế cho phép một số lƣợng lớn ngƣời dùng có thể quay số truy nhập vào cùng một lúc.
Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP để hỗ trợ các client chạy trên các nền khác nhau nhƣ Unix, Windows, Macintosh, v.v. Trong truờng hợp này, máy chủ ISP đóng vai trò nhƣ một client PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đƣờng hầm, điểm cuối còn lại là máy chủ tại đầu mạng riêng.