Các mô hình đã xem xét trong phần trước mô tả các đường hầm IPsec đã được thiết lập (ví dụ PE-PE), nhưng không xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế thứ 2 khi triển khai mạng IPsec. Các lựa chọn chính để thiết lập đường hầm IPsec:
IPsec tĩnh: trong mô hình này, mỗi nút IPsec được cấu hình tĩnh với tất cả IPsec đồng cấp của nó, thông tin nhận thực và chính sách bảo mật. Đây là cách cổ điển nhất trong việc cấu hình IPsec. Khó để cấu hình vì mỗi nút IPsec đồi hỏi cấu hình quan trọng; nhưng vì đây là cách cổ điển nhất của việc cấu hình IPsec, nên nó
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
được hỗ trợ trên hầu hết nền tảng hiện nay. IPsec tĩnh được mô tả trong RFC 2401, 2412. Nó có thể được áp dụng trên CE-CE và PE-PE.
IPsec động: trong môi trường hub- và-spoke, hub có thể được cấu hình mà không cần thông tin đặc điểm của spoke; chỉ các spoke biết cách đến được hub, và một đường hầm IPsec được thiết lập chỉ khi nào spoke có thể xác thực được chính nó. IPsec truy cập từ xa sử dụng ý tưởng tương tự, nhưng xác thực thường được thực hiện trên máy chủ AAA. IPsec động có thể được sử dụng cho CE-CE cũng như PE-PE.
VPN đa điểm động (DMVPN): mô hình này làm việc theo nguyên lý của giao thức phân giải chặng kế tiếp (NHRP): mỗi nút IPsec chứa thông tin về cách thức đến máy chủ chặng tiếp theo, trả về địa chỉ của nút IPsec đích đến nút gốc. Đây là một cách có khả năng thay đổi để thiết lập các đường hầm IPsec theo yêu cầu. DMVPN làm việc trên CE-CE và PE-PE.
Group Domain of interpretation (GDOI): Tất cả các mô hình trước duy trì liên kết bảo mật IPsec đồng cấp, ngay cả khi điểm được tìm thấy động. Điều này thiết lập giới hạn số nút có thể được trong miền IPsec vì mỗi nút phải giữ trạng thái cho mỗi cấp tích cực. GDOI chỉ duy trì một liên kết bảo mật đơn cho toàn bộ nhóm các nút IPsec, chẳng hạn như toàn bộ các nút trong một VPN. Điều này có nghĩa là toàn bộ các nút IPsec trong một nhóm phải chia sẻ khóa mã hóa/ xác thực. Khóa được quản lý bởi một máy chủ khóa bảo mật. Mỗi nút thiết lập một kết nối IPsec tĩnh đến máy chủ khóa; phần còn lại của nhóm là động và không yêu cầu trạng thái. GDOI được mô tả trong RFC 3547. Các thiết kế IPsec khác có thể khá phức tạp, với nhiều tùy chọn phụ cho mỗi mô hình.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT
3.1 Điều kiện triển khai Ipsec VPN và MPLS-VPN:
- Tại trung tâm Vĩnh Tuy phải đăng ký 01 đường MegaVNN hoặc FTTH
- Phải có Firewall hoặc router layer3 làm VPN Server
- Tại các điểm triển khai kết nối phải có 01 đường MegaVNN
- Có phần mềm Forticlient đối với các điểm triển khai IPSec VPN và Internet Explorer đối với các điểm triển khai MPLS VPN
- Có phần mềm Wireshark để giám sát các gói tin trong mạng
Sơ đồ mạng Đại học Kinh Doanh và Công Nghệ Hà Nội sau khi triển khai kết nối 2 cơ sở (Vĩnh Tuy và Từ Sơn Bắc Ninh) theo giải pháp mới ( IPSEC VPN VÀ MPLS VPN ):
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
3.2 Cấu hình Ipsec VPN trên mạng lƣới (Giải pháp dùng cho các điểm triển khai kết nối cố định đòi hỏi tính liên tục trong kết nối nhƣ 2 cơ sở):
Triển khai hệ thống IPSec/VPN trên Windows Server 2003
Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-1 (IP: 192.168.0.11).
Hình 3.2.1: IP VPN server
Bước 1: Tạo domain controler
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Bƣớc 2: Đưa SRV-1 (VPN Server) vào domain
Hình3.2.3: Đưa SRV-1 (VPN Server) vào domain
Bƣớc 3: cài đặt VPN Server trên SRV-1
Hình3.2.4: Cài đặt VPN Server trên SRV-1
Bƣớc 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Bƣớc 5: Kết nối VPN Client Client-1 vào domain
Bƣớc 6: Yêu cầu cấp phát chứng chỉ điện tử (certificate) cho VPN Server và Client dùng để chứng thực và mã hóa.
Hình3.2.6: Yêu cầu cấp phát chứng chỉ điện tử
Bƣớc 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC
Hình3.2.7: Thiết lập kết nối VPN
3.3.Kết quả thực nghiệm : Thực nghiệm 1:
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Các gói tin thấy đƣợc khi không kết hợp VPN IPSEC.
Thông tin về giao thức POP qua Wireshark
Hình3.2.8: Các gói tin trong VPN khi không sử dụng IPSEC
Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm thì nhận thấy như sau:
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
- Các gói tin thấy đƣợc khi kết hợp VPN IPSEC.
Rõ ràng khi chúng ta sử dụng Follow TCP Stream trong Wireshark thì các gói tin đều được mã hóa, và chúng ta không thể xem được gì.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Thực nghiệm 2
Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối dùng hình thức Megawan nội tỉnh T T Đơn vị Băng thông (DOW N/UP) Hình thức kết nối Chi phí thanh toán thƣờng xuyên VNĐ (VAT 10%) Ghi chú
1 Các điểm đang triển khai thực tế (Trung tâm dữ liệu + Cơ sở Vĩnh Tuy + Cơ sở Từ Sơn 4.096K bps/64 0Kbps Megaw an Nội tỉnh 1.818.181 2 10 điểm BC2 + 7 BC3 512Kb ps Megaw an 15.912.000 1 điểm = 936.999 VNĐ/thán g
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ dùng hình thức VPN T T Đơn vị Băng thông (DOW N/UP) Hình thức kết nối Chi phí thanh toán thƣờng xuyên VNĐ (VAT 10%) Ghi chú
1 Các điểm đang triển khai thực tế Trung tâm dữ liệu + Cơ sở Vĩnh Tuy + Cơ sở Từ Sơn 8Mbps/ 8Mbps FTTH 2.200.000 2 10 điểm BC2 + 7 BC3 2.048K bps/51 2Kbps IPSEC VPN 4.675.000 1 điểm = 275.000 VNĐ/thán g
So sánh nếu triển khai theo hình thức VPN so với hình MegaWan nội tỉnh 1 tháng chi phí thanh toán thường xuyên hiện tại chênh nhau 10.855.181 VNĐ/tháng (VAT 10%) chi phí thuê kênh bằng hình thức kết nối VPN giảm 130.262.172 VNĐ/năm (VAT 10%) so với megawan.
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
KẾT LUẬN
Khả năng đáp ứng và bảo mật dữ liệu trong mạng lưới:
1. Giải pháp kết nối nội tỉnh IPSec VPN và MPSL VPN đã đáp ứng được yêu cầu về bảo mật, về kết nối, về truyền nhận giữa 2 cơ sở Vĩnh Tuy và Từ Sơn Bắc Ninh. Tương thích tốt với các dịch vụ chạy trên nền IP, đảm bảo hoạt động thông suốt của hoạt động sản xuất kinh doanh.
2. Giải pháp vẫn đảm bảo việc kết nối và bảo mật dữ liệu và các gói tin từ các điểm trung tâm, các phòng thi và các văn phòng ban v.v… tới mạng liên tỉnh đi Post*net, phục vụ việc triển khai các dịch vụ E office, Thi cuối kỳ, trao đổi dữ liêu, In điểm v.v… giúp tăng cường khả năng phục vụ sinh viên trên toàn trường.
3. Giải pháp triển khai không phát sinh thêm việc đầu tư về thiết bị phần cứng, vẫn đảm bảo triển khai tốt trên hệ thống phần cứng sẵn có (Firewall Fortigate 300A, modem Linksys AG241 tại Bưu điện huyện/thị, Bưu cục 3, và các điểm BĐVHX có thể tận dụng modem khuyến mại của nhà cung cấp dịch vụ để thực hiện kết nối Internet…).
4. Việc triển khai cũng như việc xử lý sự cố về đường truyền đơn giản hơn so với hình thức kết nối Megawan nội tỉnh (chỉ cần Viễn thông huyện xử lý được đường truyền ADSL tại điểm trung tâm kết nối là thông được mạng bình
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
thường chứ không cần phối hợp với VTN như hình thức Megawan), giảm thiểu thời gian trễ cho việc khai thác dịch vụ trên mạng lưới.
5. Khả năng mở rộng mạng lưới dễ dàng, có thể tận dụng
được các điểm Phòng ban đã triển khai ADSL cho mục đích triển khai viễn thông công ích hoặc kinh doanh Internet để triển khai kết nối với trung tâm Vĩnh Tuy mà không cần kéo mới đường truyền ADSL. Đồng thời có thể triển khai theo hình thức đăng ký gói cước ADSL theo lưu lượng nhằm giảm chi phí tối đa mà vẫn có thể thực hiện kết nối từ các điểm kết nối có sản lượng doanh thu thấp về Trung tâm.
Hiệu quả về kinh tế :
Đối với chi phí thuê kênh hàng tháng và chi phí lắp đặt ban đầu thì giải pháp IPSec VPN và MPSL VPN giảm thiểu hơn rất nhiều so với giải pháp Megawan nội tỉnh, cụ thể như sau:
Số hóa bởi Trung tâm Học liệu http://www.lrc-tnu.edu.vn/
Cước thuê cổng ADSL Cước thuê kênh nội tỉnh
= =
181.818đ/tháng 670.000đ/tháng Tổng cước thuê cổng+kênh
VAT 10%
Tổng tiền phải thanh toán
=
=
851.818đ/tháng.
= 85.181đ
936.999đ/tháng.
Chi phí đấu nối thuê kênh MegaWan nội tỉnh, gồm có:
Chi phí thanh toán 1 lần sau khi lắp đặt:
Cước đấu nối hoà mạng ADSL = 600.000đ/cổng. Cước đấu nối hoà mạng kênh = 500.000đ/kênh. Tổng cước đấu nối hoà mạng = 1.100.000đ.
VAT 10% = 110.000đ.
Tổng tiền phải thanh toán = 1.210.000đ. Chi phí thanh toán thường xuyên :
Chi phí đấu nối hoà mạng ADSL, gồm có:
Chi phí thanh toán 1 lần sau khi lắp đặt:
Cước đấu nối hoà mạng ADSL = 80.000đ/cổng.
VAT 10% = 8.000đ/cổng.
Tổng tiền phải thanh toán = 88.000đ
Được miễn phí 01 modem
ADSL
Chi phí thanh toán thường xuyên (gói cước Easy – triển khai tại
các điểm khu vực thi, văn phòng ban , khu vực ký túc xá có sản lượng doanh thu cao):
Cước thuê cổng ADSL = 250.000đ/tháng
VAT 10% = 25.000đ.
Như vậy chúng ta thấy việc triển khai giải pháp kết nối nội tỉnh IPSec VPN và MPSL VPN đã giảm chi phí đáng kể so với triển khai kết nối nội tỉnh theo hình thức Megawan.
Tính tương lai của giải pháp:
Khả năng mở rộng các ứng dụng trên nền tảng truyền dẫn là rất lớn, có thể triển khai các dịch vụ ứng dụng Web, hệ thống điều hành nội bộ, Website của trường, VoIP (điện thoại internet)…
Tương lai có thể mở rộng, người dùng di động nhằm khai thác tài nguyên nội bộ, phục vụ việc chăm sóc Sinh viên được tốt nhất, tiếp cận khách hàng được thường xuyên nhất.
Tài liệu tham khảo:
[1]. Cisco Systems 2003,USA,Implementting Cisco (MPLS) v2.0.
[2]. Jim Guichard, Ivan Pepelnjak, Jeff Apcar (June 06,2003), MPLS and VPN Architectures, Volumer II, Cisco Press
[3] Rosel et al (March 2000), Multiprotocol Label Switching Architechture. [4] MPLS VPN, http://www.cisco.com Web Technology Document,
[5] Santiago Alvarez, QoS for IP/MPLS Networks, Cisco Press, USA, June, 02, 2006.
[6] Vivek Alwayn, Advanced MPLS Design and Implementation, Cisco Press, USA, 2002.
Thái Nguyên, tháng 9 năm 2013
Xác nhận của giáo viên hƣớng dẫn Học viên