3.6.3.1 Thiết bị mạng.
- Hiện nay có một số Switch, switch/hub hiện tại năng lực không đủ mạnh, khống có hỗ trợ VPN nên sẽ điều chuyển làm chuyển mạch nhóm cho các đơn vị.
- Sử dụng BRAS đặt tại Trung tâm tin học để quản lý việc định tuyến, nhóm các địa chỉ IP và bảo mật dung trong mạng riêng ảo tại các tổng đài vệ tinh.
3.6.3.2 Thiết bị máy tính và máy in
- Tiếp tục khai thác các máy chủ hiện có cho các ứng dụng
- Điều chuyển và sắp xếp lại các máy trạm một cách hợp lý theo yêu cầu và tính năng của từng ứng dụng
- Điều chuyển các máy in cho các đơn vị có nhu cầu sao cho hợp lý
Căn cứ quy định của Tập đoàn về việc phân bố địa chỉ IP cho các Viễn thông tỉnh, thnàh phố, căn cứ mô hình tổ chức hành chính của Viễn thông Hà Nội và yêu cầu phân bổ địa chỉ IP của mô hình mạng VPN triển khai toàn Viễn thông Hà Nội. Sơ đồ phân bổ địa chỉ IP cho mạng VPN như sau:
Các đơn vị tại khu vực trung tâm
STT Đơn vị Địa chỉ mạng
1 Trung tâm mạng 10.10.29.0 – 10.10.29.255 2 Văn phòng Viễn thông Hà Nội 10.10.30.0 – 10.10.30.255 3 Phòng Tổ chức cán bộ 10.10.31.0 – 10.10.31.255 4 Phòng kế toán Thống kê tài chính 10.10.32.0 – 10.10.32.255 5 Phòng Đầu tư –xây dựng cơ bản 10.10.33.0 – 10.10.33.255 6 Phòng Mạng và dịch vụ 10.10.34.0 – 10.10.34.255 7 Phòng kế hoạch kinh doanh 10.10.35.0 – 10.10.35.255 8 Phòng phát triển thị trường 10.10.36.0 – 10.10.35.255 9 Phòng Thanh tra 10.10.37.0 – 10.10.37.255 10 Ban Quản lý các dự án CTTT 10.10.38.0 – 10.10.38.255 11 Ban Quản lý các dự án BCC 10.10.38.0 – 10.10.38.255 12 Ban Quản lý các dự án kiến trúc 10.10.39.0 – 10.10.39.255
Các Công ty, Trung tâm trực thuộc
STT Đơn vị Địa chỉ mạng
1 Trung tâm tin học 10.10.40.0 – 10.10.40..255 2 Trung tâm điều hành thông tin 10.10.41.0 – 10.10.41..255 3 Trung tâm dịch vụ khách hàng 10.10.42.0 – 10.10.42..255 4 Công ty điên thoại Hà Nội 1 10.10.44.0 – 10.10.44..255 5 Công ty điện thoai Hà Nội 2 10.10.46.0 – 10.10.46..255 6 Công ty dịch vụ viễn thông HN 10.10.48.0 – 10.10.48..255 7 Công ty dịch vụ vật tư 10.10.49.0 – 10.10.49..255 Các điểm giao dịch STT Đơn vị Địa chỉ mạng 1 Điểm giao dịch 1 10.10.43.0 – 10.10.43.31 2 Điểm giao dịch 2 10.10.43.32 – 10.10.43.63 3 Điểm giao dịch 3 10.10.43.64 – 10.10.43.95 4 Điểm giao dịch 4 10.10.43.96 – 10.10.43.127 5 Điểm giao dịch 5 10.10.43.128 – 10.10.43.159 6 Điểm giao dịch 6 10.10.43.160 – 10.10.43.191 7 Điểm giao dịch 7 10.10.43.192 – 10.10.43..223 8 Điểm giao dịch 8 10.10.43.224 – 10.10.43..255
Các đài Viễn thông
STT Đơn vị Địa chỉ mạng
1 Đài điện thoại Giáp Bát 10.10.45.0 – 10.10.45.31 2 Đài điện thoại Trâu Quì 10.10.45.32 – 10.10.45.63
3 Đài điện thoại Đông Anh 10.10.45.64 – 10.10.45.95 4 Đài điện thoại Trần Khát Chân 10.10.45.96 – 10.10.45.127 5 Đài điện thoại Yên Phụ 10.10.45.128 – 10.10.45.159 6 Đài điện thoại Bờ Hồ 10.10.45.160 – 10.10.45.191 7 Đài điện thoại Sóc Sơn 10.10.45.192 – 10.10.45.223 8 Đài điện thoại Đức Giang 10.10.45.224 – 10.10.45.255 9 Đài điện thoại Kim Liên 10.10.47.0 – 10.10.47.31 10 Đài điện thoại Thượng Đình 10.10.47.32 – 10.10.47.63 11 Đài điện thoại Ô Chợ Dừa 10.10.47.64 – 10.10.47.95 12 Đài điện thoại Hùng Vương 10.10.47.96 – 10.10.47.127 13 Đài điện thoại Cầu Giấy 10.10.47.128 – 10.10.47.159 14 Đài điện thoại Nam Thăng Long 10.10.47.160 - 10.10.47.191 15 Đài điện thoai Cầu Diễn 10.10.47.192 – 10.10.47.223 16 Đài điện thoại Thanh Trì 10.10.47.224 – 10.10.47.255
3.7 Thiết lập thông số VPN trên các thiết bị
Do việc sử dụng công nghệ mạng riêng ảo dựa trên chuyển mạch MPLS VPN ở lớp 3 là sử dụng dịch vụ VPN Mega Wan của nhà cung cấp dịch vụ ISP nên trong phần này tôi chỉ giới thiệu cách cấu hình VPN tại NT G.SHDSL mà đang triển khai tại các điểm giao dịch của Trung tâm dịch vụ khách hàng (lớp 2)
Cấu hình VPN tại NT G.SHDSL
Bước 1 Kiểm tra cáp từ DSLAM điểm đặt máy
Bước 2 Cấu hình tại NT G.SHDSL, có hai cách
- Dùng cổng console của modem kết nối với cổng COM của máy tính. Cấu hình bằng Command line hoặc menu
- Dùng cổng Ethernet của modem kết nối với card mạng của máy tính, chú ý địa chỉ IP của LAN máy tính phải cùng mạng với địa chỉ của card mạng. Vào Web Browser nhập địa chỉ IP của Port Ethernet để cấu hình bằng Web
- Cài đặt các tham số cho phù hợp + Encapsulation: Router, Bridge + ATM Encapsulation: LLC
+ VPI/VCI = 8/35 đối với DSLAM Alcatel, 0/35 đối với DSLAM Siemens + Q.991.2 Annex A/B: Annex A (Bắc Mỹ), Annex B (Châu Âu)
Bước 3 Cắm dây điện thaọi vào cổn line, kiểm tra mặt trước của modem xem đèn link (khu vực Wan) có sang không? Nếu chớp lien tục thì đang đồng bộ với
DSLAM, bao giờ đèn sáng và dừng lại (không chớp) thì port đã đáu vào DSLAM tốt. Nếu không thấy đèn sang phải kiểm tra lại
Bước 4 Thay đổi địa chỉ IP của máy tính, chọn Default gateway phù hợp
Bước 5 Ping kiểm tra các điểm trong mạng VPN của đơn vị Từ máy tính Ping tới các địa chỉ trong mạng VPN
3.8 Đánh giá hiệu quả
Trên cơ sở hạ tầng mạng viễn thông sẵn có, cung với công nghệ đường day thuê bao số đã góp phần làm cho mạng VPN phát triển. Điều này làm tăng hiệu quả cho quản lý và sản xuất, đẩy nhanh tốc độ tổng hợp số liệu, an toàn số liệu, tự động hoá nhiều khâu trong dây truyền và tiết kiệm được chi phí đầu tư
3.9 Kết luận chương
Qua việc nghiên cứu công nghệ mạng riêng ảo, xuất phát từ nhu cầu sản xuất kinh doanh, chương này đã đi sâu về việc trình bày những phân tích, từ đó đưa ra phương án kỹ thuật chi tiết để xây dựng mạng máy tính cho Viễn thông Hà Nội
Với mô hình mạng máy tính này, Viễn thông Hà Nội vừa có những nét đặc điểm riêng của mình vừa có những nét chung trong thiết kế mạng của Tập đoàn. Điều này dẫn đến sự thống nhất cao, đồng bộ trong sản xuất kinh doanh và có tính mở cho sự phát triển trong tương lai
Chương 3 đã xây dựng giải pháp kết nối tổng thể cho mạng máy tính của Viễn thông Hà Nội, phương án chi tiết về trang thiết bị, phương án sử dụng mạng riêng ảo cho các điểm giao dịch Trung tâm dịch vụ khách hang, cho các tổng đài HOST, vệ tinh, và cuối cùng là phân bố địa chỉ IP dựa trên qui hoạch địa chỉ IP của cả Tập đoàn
KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO
Kết luận
Trong quá trình phát triển của đất nước ta thế kỷ 21, trao đổi thông tin dữ liệu đóng vai trò cực kì quan trọng trong điều hành sản xuất kinh doanh của các doanh nghiệp
Việc xây dựng hệ thống mạng máy tính điều hành sản xuất kinh doanh cho Viễn thông Hà Nội nhằm mục đích kết nối hệ thống các máy tính trong Viễn thông Hà Nội bao gồm khối Văn phòng Viễn thông Hà Nội, các Công ty điện thoại, Công ty viễn thông, Trung tâm tin học, Trung tâm điều hành thông tin, Trung tâm dịch vụ khách hàng… thành một mạng thống nhất, đảm bảo phục vụ công tác quản lý, điều hành và sản xuất kinh doanh của Viễn thông Hà Nội. Việc đầu tư tổng thể sẽ giúp cho Viễn thông Hà Nội có được cấu trúc mạng thống nhất cả về mặt cấu hình cũng như phần mềm, giúp Viễn thông Hà Nội triển khai nhanh, đạt hiệu quả và tiết kiệm vốn đầu tư. Ngoài ra, việc thống nhất mạng máy tính điều hành sản xuất kinh doanh nằhm một mục tiêu quan trọng là tiến tới xây dựng một mạng Internet thống nhất trong Tập đoàn.
Trước đòi hỏi đó, luận văn đã đi sâu tìm hiểu những đặc trưng của mạng riêng ảo VPN,. Khảo sát thực tế ở Viễn thông Hà Nội - một đơn vị của Tập đoàn Bưu chính Viễn thông Việt Nam để nghiên cứu và xây dựng một giải pháp cho mạng máy tính phục vụ sản xuất kinh doanh dựa trên các thiết bị và mạng tin học sẵn có sử dụng công nghệ mạng riêng ảo. Với cấu hình mới này, mạng máy tính được xây dựng xong và đã đi vào hoạt động, bước đầu cho hiệu quả tốt
Luận văn được hoàn thành với sự hướng dẫn tận tình, chu đáo của thày giáo Tiến Sĩ Nguyễn Minh Dân cùng với sự cho phép và giúp đỡ của các đồng chí lãnh đạo, các kỹ sư, kỹ thuật viên của Viễn thông Hà Nội
Qua luận văn này, tôi mong muốn nhận đuợc những đóng góp quí báu của các thày cô giáo cùng toàn thể các bạn đồng nghiệp để giúp luận văn được hoàn thiện hơn.
Hướng nghiên cứu tiếp theo
Do thời gian nghiên cứu hạn chế nên luận văn chỉ tập trung vào kỹ thuật mạng riêng ảo ứng dụng cho mạng riêng ảo tại Viễn thông Hà Nội. Tuy nhiên, đối với một mạng máy tính của một công ty kinh doanh hiện nay thì vấn đề bảo mật thông tin trên đường truyền, vấn đề băng thông và tính tin cậy mang ý nghĩa sống còn đối với công ty ấy. Và đó cũng là điều mà nhà cung cấp dịch vụ quan tâm đặt lên hàng đầu. Công nghệ VPN có thể chống lại kiểu tấn công sniff và nó chỉ đảm bảo an toàn dữ liệu trên đường truyền. Để hoàn thiện cho giải pháp mạng thì vấn đề cần nghiên cứu tiếp theo là an toàn dữ liệu và mã hoá thông tin.
TÀI LIỆU THAM KHẢO
Tiếng Việt
1. Trần Công Hùng (2002), “Kỹ thuật mạng riêng ảo” 2. Lê Đức Nhiệm (2000), “Mạng riêng ảo”
Tiếng Anh
1. Meeta Gupta (2003), “Building a Virtual Private Network”
2. Michael H Behringher, Monique J.Morrow (2005), “MPLS VPN Security” 3. Paul Knight, Chris Lewis (2004), “Layer 2 and 3 Virtual Private Networks” 4. Regina Romans, Albert Statti (2001), “VPN Overview”
5. Tim, Greene, (2002), “IP VPNs are a top choice for WANs, study shows”
Tham khảo từ các Website
1. Kết nối Mega Wan ứng dụng công nghệ mạng riêng ảo MPLS/VPN,
“http://vnpt.com.vn”
2. Giải pháp IP – VPN của Nortel, http://www.congnghemoi.net
3. The Point – to Point Protocol, “http://www.ietf.org”
4. Thiết lập mạng riêng ảo VPN, “http://www.quantrimang.com.vn”
5. Thegreenbow IPsec VPN clien configugage Guide,
http://www.thegreenbow.com
PHỤ LỤC
CÁCH CÀI ĐẶT VPN CLIENTS
1.Cài đặt VPN server trong Window 2000
Bước 1: Enable tính năng Routing and Remote Access Service (RRAS).
Chọn Start Programs Administrative Tools Routing and Remote Access (RRAS).
Trong cửa sổ Routing and Remote Access, click chuột phải vào tên server, và chọn
Configure andEnable Routing and Remote Access.
Chọn Manually configured server Next Finish
Lưu ý: Chúng ta không sử dụng mục Virtual private network (VPN) server vì có một trở ngại là khi chọn mục này, nó sẽ bảo vệ cái interface mà bạn chọn bằng cách cài bộ lọc mà chỉ cho phép hai giao thức căn bản là L2TP và PPTP được quyền truyền tải dử liệu, RRAS sẽ không truyền tải nếu nó không phải là giao thức trên, đó là lý do nên sử dụng mục Manually configured server.
Sau khi enable tính năng RRAS, chúng ta sẽ thấy cửa sổ Routing and Remote Access như sau
Tab General
Chọn Router (vì server sẽ chịu trách nhiệm chuyển tải những yêu cầu từ VPN clients tới mạng LAN, server sẽ route traffic trực tiếp giữa mạng LAN và VPN clients)
Chọn LAN and demand-dial routing.
Chọn Remote access server (Nếu bạn không chọn mục này thì VPN client không thể gọi vào được)
Chọn Enable IP routing (mục này cho phép clients được quyền truy cập vào mạng nội bộ của bạn, nếu bạn không chọn mục này thì các clients chỉ có thể truy cập vào VPN server mà thôi)
Chọn Allow IP-based remote access and demand-dial connections ( các clients có thể cấp phát địa chỉ IP khi client truy cập)
Chọn cách cấp phát IP cho VPN clients:
- Dynamic Host Configuration Protocol (DHCP) cấp phát IP động. - Static Address Pool cấp phát IP tĩnh
Trong mục Use the following adapter to obtain DHCP, DNS, and WINS addresses for dial-up clients chúng ta sẽ chọn Card mạng còn lại của VPN server (tức là Card mạng mà server cấp phát DHCP, DNS, WINS thông qua nó )
Configuring the VPN Ports
Chọn interface mà chúng ta muôn enable. Ví dụ : chúng ta muốn enable giao thức PPTP để client có thể tạo kết nối với VPN server,
Chọn Remote access connections (inbound only) để clients có thể tạo kết nối với VPN server.
Chọn Demand-dial routing connections (inbound and outbound) cho phép RRAS server được phép khởi tạo hoặc là chấp nhận kết nối đến và từ demand-dial routers
Trong phần Phone number for this device, nhập vào địa chỉ IP của VPN server Ở mục Maximum ports , bạn có thể nhập vào bao nhiêu ports cũng được tùy theo nhu cầu của bạn.
Click OK. Nếu bạn chọn ít hơn số port mặc định thì bạn sẽ gặp lời cảnh cáo như hình dưới đây, Yes Apply
Chọn Remote Access Policy, bên cửa sổ bên phải, click chuột phải vào mục Allow access if dial-in permission is enable Properties.
Chọn Grant remote access permission : cho phép users truy cập bất cứ lúc nào. Chọn ApplyOK.
Start Settings Control Panel Network and Dial up connection
Make new connection
Chọn Connect to a private network through the internet next
Nếu bạn chưa kết nối với internet thì bạn có thể chọn mục Automatically dial this initial connection, nếu bạn đã kết nối rồi thì nên chọn Do not dial the initial connection theo hình dưới đây và Click Next
Nếu bạn cho phép các users khác được phép sử dụng kết nối này của bạn để truy cập VPN thì chọn mục For all users, còn không thì chọn Only for myself
Khi mới thiết lập và làm quen với VPN, bạn nên sử dụng giao thức PPTP, vì giao thức này là giao thức đơn giản nhất trong 3 giao thức vì nó không đòi hỏi certificate hay là PKI (Public Key Infrastructure) như L2TP.