2.2.4.1 Mô hình hệ thống
Hình 2.3: Mô hình hệ thống mạng VPN đề xuất cho công ty
2.2.4.2 Các thiết bị sử dụng
Để triển khai hệ thống mạng riêng ảo VPN cho công ty THHH KRAAL ENTERPRISE cần các trang thiết bị sau:
a) Các thiết bị có thể tận dụng của công ty đã có:
- 1 Router Cisco model 3640.
- Máy chủ IBM xSseries 235 Mail Server.
- Modem Leased line CT-212/213 chuẩn SHDSL . - Các máy tính trong công ty đều có thể sử dụng được hết - Switch 16port Linksys SD216.
b) Các thiết bị đề xuất mua mới và thay thế:
- 1 Firewall Cisco ASA 5510 Appliance with SW, 3FE, DES/3DES/AES. Hỗ trợ 50 VPN peer. Hỗ trợ 300 Mbps firewall throughput. Hỗ trợ 170 Mbps VPN throughput.
- 1 Multi Switch 3560 có chức năng chia Vlan để chia nhỏ miền quảng bá cho hệ thống mạng LAN nộ bộ.
- Thay mới các Hub LAN 16 port bằng Switch 24port Linksys SD216. ( Để đảm bảo mở rộng mạng LAN sau này).
- Nâng cấp đường leased line 256 kbps lên thành 2Mbps nhằm tăng tốc độ và ổn định tốc độ down/upload dữ liệu.
2.2.4.3 Giá thành của hệ thống
Từ các đề xuất về trang thiết bị cụ thể ở trên, giá thành cho xây dựng hệ thống VPN cho công ty ( Bao gồm cả một số trang thiết bị nhằm tăng cường an ninh cho hệ thống mạng nội bộ )sẽ là:
STT Tên thiết bị Số lượng Đơn giá Thành tiền Tổng
1 Firewall ASA 5510 của
Cisco 1 2.760$ 2.760$
2 Multi Switch 3560 của
Cisco 1 2.699$ 2.699$
3 Switch LAN 16 port
Linksys SD216 5 37$ 185$
Ngoài ra còn thêm một số chi phí như:
- Chi phí nâng cấp đường Leased line 2Mbps là 5.000.000 VNĐ
- Chí phí cài đặt VPN (bao gồm cả xây dựng lại hệ thống mạng nội bộ) là : 450$ .
Bên cạnh đó thiết bị ASA 5510 và Multi switch 3560 không chỉ phục vụ hoạt động cho hệ thống mạng VPN mà nó còn là một Firewall, một thiết bị chia nhỏ vùng quảng bá tốt nhất hiện nay. Từ đó có thể cấu hình để tăng cường đảm bảo được sự an ninh cao cho dữ liệu trong hệ thống mạng của công ty.
2.2.4.4 Cấu hình triển khai và test hệ thống
a) Cấu hình triển khai
Ta cần cấu hình VPN trên ASA 5510, Cấu hình Router 3640 với các địa chỉ được mô phỏng như hình sau:
Cấp phát địa chỉ IP cho các thiết bị:
- Cổng Ethernet 0/2 của ASA 5510 được gán địa chỉ IP là 192.168.1.1/24.
- Cổng Ethernet 0/1 của ASA ta gán cho địa chỉ 10.0.1.1/24. - Máy tính Client có địa chỉ IP là 192.168.3.2/24
- Máy Server nội bộ công ty được gán địa chỉ IP là 10.0.1.4/24. - Router 3640 được gán địa chỉ IP 192.168.1.2 /24 cho cổng FastEthernet0/0. Gán địa chỉ IP 192.168.2.1 cho cổng Serial 1/0. - Router mô phỏng của ISP có địa chỉ IP cổng serial nối với Router 3640 là 192.168.2.2. Địa chỉ IP của cổng FastEthernet 0/0 nối với máy Client là 192.168.3.1 .
Các bước triển khai cấu hình:
Bước 1: Nắp ráp các thiết bị theo mô hình trên:
- Kết nối cổng Ethernet 0/2 của ASA với cổng FastEthernet0/0 của Router 3640.
- Kết nối Switch LAN 16 port Linksys SD216với ASA 5510 qua cổng Ethernet 0/1, kết nối Server IBM xSseries 235 với Switch LAN 16 port Linksys SD216.
- Kết nối cổng COM1 của PC với cổng Console của thiết bị ASA 5510 và các Router để cấu hình.
Bước 2: Thực hiện cấu hình
- Cấu hình thiết bị ASA 5510 ( Xem phần phụ lục ). - Cấu hình thiết bị Router 3640 (Xem phần phụ lục ).
- Cầu hình mô phỏng Router ISP Gateway phía Client ( Phụ lục). - Bật các cổng của Switch LAN 16 port Linksys SD216.
Bước 3: Kiểm tra cấu hình
- Sử dụng các lệnh Show để kiểm tra lại các câu lệnh đã cấu hình. (Xem phụ lục III).
Bước 4: Cài đặt phần mềm VPN Client trên máy Client truy cập từ xa.
Chú ý: - Sau khi cấu hình xong các thiết bị thì cần ghi lại file cấu hình vào bộ nhớ. - Đối với máy tính thuộc vùng mạng nội bộ nên đặt địa chỉ IP theo các phòng ban, các chức năng của khu vực để dễ quản lý sau này.
- Nên có một phòng có đủ điều kiện tiêu chuẩn để đặt thiết bị để thiết bị có thể hoạt động ổn định nhất.
b) Test hệ thống
Các bước tiến hành test hệ thống:
Bước 1: Chạy phần mềm VPN Client trên máy Client và thực hiện kết nối.
Hình 2.5: Tạo kết nối VPN đến ASA
Trong đó: Connection Entry: Đặt tên kết nối ( đặt tùy ý mang tính gợi nhớ). Description : Giải thích về kết nối.
Host: địa chỉ cổng outside của ASA 5510 (IP: 192.168.1.1) Name: tên Group của User.
Password: password chứng thực group.
Sau khi điền đầy đủ thông tin ta save lại kết nối này. Nếu kết nối thành công đến ASA 5510 thì sẽ có yêu cầu xác thực người dùng hiện lên yêu cầu chứng thực. ( Name và password của Group do nhân viên quản trị mang cấp cho User)
Bước 2: Chứng thực người dùng.
Sau khi kết nối thành công đến ASA 5510, một hộp thoại hiện lên yêu cầu xác thực người dùng (hình 2.6). Vì khi kết nối vào hệ thống Server và mạng nội bộ thì mỗi User sẽ có những quyên cao thấp khác nhau, vì thế quá trình xác thực này giúp phân quyền sử dụng cũng như điều khiển tài nguyên hệ thống cho mỗi User.
Hình 2.6: Chứng thực người dùng
Sau khi kết nối thành công và xác thực người dùng thành công, giao diện của phần mềm VPN Client sẽ hiện thị như hình 2.7
Bước 3: Kiểm tra và truy xuất dữ liệu như một máy nội bộ.
Khi này máy Client đã có vai trò như một máy tính nội bộ và có thể thực hiện mọi thao tác mà nó được trao quyền.
Máy Client có địa chỉ IP thực là 192.168.3.2, sau khi VPN đến mạng nội bộ sẽ được cấp một địa chỉ IP trong dải là 30.0.2.10- 30.0.2.100 (Hình 2.8).
Hình 2.8: Kiểm tra IP của máy Client và ping đến Server tại công ty
Khi người dùng truy xuất đến dữ liệu trong mạng nội bô thì giao diện của phần mềm VPN Client sẽ thông báo cụ thể về quá trình đó (hình 2.10).
Hình 2.10: Trạng thái VPN Client sau khi truyền dữ liệu
Như vậy hệ thống mạng riêng ảo (VPN ) cho công ty THHH KRAAL ENTERPRISE đã được cấu hình triển khai thành công. Việc triển khai thành công hệ thống mạng này không chỉ đem lại cho công ty một cầu nối quan trọng giữa các nhân viên, chi nhánh công ty với nhau, mà hơn nữa nó còn tạo được kết nối với các khách hành của công ty. Đặc biệt nó đã đảm bảo được các yêu cầu ban đầu đề ra cho một hệ thống mạng là phù hợp cả về chi phí, chất lượng, cũng như khả năng mở rộng. Và nó cũng đã góp một phần nhỏ vào thành công của công ty.
KẾT LUẬN
Công nghệ mạng riêng ảo VPN cho phép tận dụng môi trường mạng công cộng Internet để xây dựng các mạng riêng đảm bảo an ninh. Với những ưu điểm về mặt giá thành, phạm vi hoạt động không hạn chế, linh hoạt trong triển khai và mở rộng, VPN là một công nghệ hứa hẹn triển vọng thị trường rất lớn trong tương lai.
Tài liệu báo cáo này đã đưa ra hai phần nội dung cơ bản:
Thứ nhất là đã đưa ra được các kiến thức cơ bản về cơ sở lý thuyết cần thiết để triển khai được một dự án mạng riêng ảo. Trong đó có nền tảng về Internet và bộ giao thức TCP/IP. Ngoài ra tài liệu báo cáo cũng chỉ ra được các khái niệm cơ bản về mạng riêng ảo và các giao thức đường hầm, trong đó lưu ý giao thức IPSec- là giao thức đang được sử dụng phổ biến hiện nay. Không chỉ thế, các khái niệm cơ bản về cơ chế mã hóa và xác thực dữ liệu cũng được đề cập một cách cơ bản nhất.
Thứ hai là đã đưa ra được các bước cơ bản để khảo sát, đánh giá và triển khai một hệ thống mạng riêng ảo cụ thể. Trong đó, việc khảo sát, đánh giá, và đề xuất giải pháp xuất phát từ nhu cầu thực tế của công ty TNHH Karaal EnterPrise
nên nó sẽ mang được tính ứng dụng thực tế cao của đề tài.
Trong giai đoạn hiện nay, với sự phát triển mạnh mẽ và mở rộng không ngừng của các công ty, các doanh nghiệp, đi kèm với nó là sự phát triển mạnh mẽ của công nghệ, sự mở rộng và ổn định cả về chất lượng lẫn dịch vụ của Internet đã là một điều kiện vô cùng thuận lợi để cho công nghệ VPN được áp dụng. Điều này càng khẳng định một điều rằng trong tương lai thì mạng riêng ảo VPN sẽ là công nghệ phát triển mạnh mẽ và ứng dụng được rất nhiều vào cuộc sống.
Hơn nữa khi xu hướng của mạng viễn thông hiện nay là IP hóa hay chuyển sang mạng thế hệ mới NGN (Next Generation Network - Mạng thế hệ kế tiếp). Một trong những ưu việt của NGN là tích hợp giữa cố định và di động. Vì vậy, trong tương lai IP-VPN sẽ được ứng dụng cho điện thoại di động. Khi đó, các dịch
vụ viễn thông sẽ rất linh hoạt, kết hợp giữa truyền hình ảnh, số liệu và thoại. Và đây cũng là hướng phát triển của đề tài.
Mặc dù đã cố gắng tìm hiểu và nghiên cứu, xong do công nghệ VPN có rất nhiều giải pháp để thực hiện và việc triển khai hệ thống mạng VPN liên quan đến rất nhiều mảng kiến thức nên báo cáo này khó tránh khỏi nhiều thiếu sót. Em rất mong nhận được sự đóng góp ý kiến của quý thầy cô, các bạn bè để đồ án có thể hoàn thiện hơn.
TÀI LIỆU THAM KHẢO
Tài liệu tiếng việt
[1]. Trần Công Hùng,Kỹ thuật mạng riêng ảo,Học Viện Bưu chính viễn thông,7/2002.
Tài liệu tiếng anh
[1]. Cisco Networking Academy Program, CCNA 1- 4, Cisco Systems,V3.1.1 [2]. Cisco Networking Academy Program, Network Security 2, Cisco Systems, 2.0 [3]. Cisco Networking Academy Program, CCNP, Cisco Systems, v 3.2
[5]. Cisco Networking Academy Program, CCSP, Cisco Systems, v 3.2
Các trang Web [1]. http://vnpro.org/ [2]. http://tailieukythuat.com/ [3]. http://www.saigonlab.com.vn/ [4]. http://www.itexpert.org/ [5]. http://www.cisco.com/ [6]. http://www.dynamips.com
PHỤ LỤC
Các thuật ngữ viết tắt :
Từ viết tắt Từ đầy đủ Ý nghĩa
3DES Triple Data Encryption Standard Thuật toán mật mã 3DES
ACK Acknowledgment Number Số xác nhận
AD Analog to Digital Chuyển đổi tương tự sang số
ADSL Asymmetric Digital Subscriber Line
Công nghệ truy nhập đường dây thuê bao số bất đối xứng
AES Advanced Encryption Standard Chuẩn mật mã cao cấp
AH Authentication Header Giao thức tiêu đề xác thực
API Application Programming Interface Giao diện chương trình ứng dụng
ARIN American Registry for Internet Number
Tiêu chuẩn Mỹ cho địa chỉ Internet
ARP Address Resolution Protocol Giao thức tìm địa chỉ MAC từ địa chỉ IP
ATM Asynchronous Tranfer Mode Công nghệ truyền tải không đồng bộ
BGP Border Gateway Protocol Giao thức định tuyến cổng miền
B-ISDN Broadband Integrated Service Digital Network
Mạng số đa dịch vụ băng rộng
CA Certificate Authority Nhà phân phối chứng thực số
CHAP Challenge Handshake Authentication Protocol.
Giao thức xác thực yêu cầu bắt tay
CSU Channel Service Unit Đơn vị dịch vụ kênh
DES Data Encryption Standard Thuật toán mật mã DES
DHCP Dynamic Host Configuration Protocol
Giao thức cấu hình host động
DNS Domain Name System Hệ thống tên miền
DSL Digital Subcriber Line Đường dây thuê bao số
DSP Digital Signal Processors Bộ xử lý tín hiệu số
DSU Data Service Unit Đơn vị dịch vụ dữ liệu
EAP Extensible Authentication Protocol Giao thức xác thực mở rộng
ESP Encapsulating Security Payload Giao thức tải an ninh đóng gói
FCS Frame Check Sequence Chuỗi kiểm tra khung
FR Frame Relay Chuyển tiếp khung dữ liệu
FTP File Transfer Protocol Giao thức truyền file
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
GVPNS Global VPN Service Dịch vụ VPN toàn cầu
HMAC Hash Message Authentication Code Thuật toán HMAC
ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet
IETF Internet Engineering Task Force Cơ quan chuẩn Internet
IGP Interior Gateway Protocol Giao thức định tuyến trong miền
IKE Internet Key Exchange Giao thức trao đổi khoá Internet
IN Intelligent Network Mạng thông minh
IP Internet Protocol Giao thức Internet
ISAKMP Internet Security Asociasion and Key Management Protocol
Giao thức quản lý khoá và kết hợp an ninh Internet
ISDN Integrated Service Digital Network Mạng số đa dịch vụ
ISO International Standard Organization Tổ chức chuẩn quốc tế
ISP Internet Service Provider Nhà cung cấp dịch vụ internet
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAN Local Area Network Mạng cục bộ
MAC Message Authentication Code Mã xác thực bản tin
MD5 Message Digest 5 Thuật toán MD5
MPPE Microsoft Point-to-Point Encryption
Mã hoá điểm-điểm của Microsoft
MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất
NAS Network Access Server Máy chủ truy nhập mạng
NCP Network Control Protocol Giao thức điều khiển mạng
NFS Network File System
Giao thức hoạt động ở tầng ứng dụng nhằm cung cấp các dịch vụ về file và các thao tác từ xa.
NGN Next Generation Network Mạng thế hệ sau
NSA National Security Agency Cơ quan an ninh quốc gia Mỹ
PAP Passwork Authentication Protocol Giao thức xác thực mật khẩu.
PKI Public Key Infrastructure Cơ sở hạ tầng khoá công khai
PPP Point to Point Protocol Giao thức điểm tới điểm
PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm
QoS Quality of Service Chất lượng dịch vụ
RADIUS Remote Authentication Dial-In User Service
Xác thực người dùng quay số từ xa
RARP Reverse Address Resolution
Protocol
Giao thức tìm địa chỉ IP từ địa chỉ MAC
RAS Remote Access Service Dịch vụ truy nhập từ xa
RSA Ron Shamir Adleman Thuật toán mã hóa công khai
RTP Real Time Protocol Giao thức thời gian thực
SA Securty Association Kết hợp an ninh
SDH Synchronous Digital Hierachy Phân cấp số đồng bộ
SG Signling Gateway Cổng kết nối báo hiệu
SHA - 1 Secure Hash Algorithm -1 Thuật toán SHA -1
SIG Session Initiation Protocol Giao thức khởi tạo phiên
SLIP Serial Line Internet Protocol Giao thức sử dụng đường kết nối của điện thoại
SMTP Simple Mail Transfer Protocol Giao thức truyền mail
SNMP Simple Network Management
Protoco Giao thức quản lý mạng
SONET Synchronous Optical Network Mạng quang đồng bộ
SVC Switched Virtual Circuit Mạch ảo chuyển mạch
TCP Transmission Control Protocol Giao thức điều khiển đường truyền
TE Terminal Equipment Thiết bị đầu cuối
Telnet Terminal emulation Giao thức truy cập điều khiển từ xa
TFTP Trivial File Transfer Protocol Giao thưc truyền file
UDP User Datagram Protocol Giao thức UDP
UNI User Network Interface Giao diện mạng người sử dụng
VC Virtual Circuit Kênh ảo
VCI Virtual Circuit Identifier Nhận dạng kênh ảo
VNS Virtual Network Service Dịch vụ mạng ảo
VPI Virtual Path Identifier Nhận dạng đường ảo
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng
SHDSL Symmetric High bit Digital
Câu lệnh cấu hình
Cấu hình ASA 5510
ASA# show startup-config : Saved
: Written by enable_15 at 19:26:27.446 UTC Fri May 29 2009!
ASA Version 7.0(7) !
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted names dns-guard ! interface Ethernet0/0 nameif outside security-level 0 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet0/2 shutdown no nameif no security-level no ip address
! interface Management0/0 shutdown no nameif no security-level no ip address !
passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive
access-list vpnra extended permit ip 10.0.1.0 255.255.255.0 30.0.2.0 255.255.255.0
access-list vpnra extended permit ip 10.0.1.0 255.255.255.0 40.0.2.0 255.255.255.0
access-list vpnra extended permit ip 10.0.1.0 255.255.255.0 50.0.2.0 255.255.255.0
pager lines 24 mtu outside 1500 mtu inside 1500
ip local pool testpool 30.0.2.10-30.0.2.100 ip local pool admin 40.0.2.20-40.0.2.21 ip local pool nhanvien 50.0.2.20-50.0.2.100 asdm image disk0:/asdm-507.bin
no asdm history enable arp timeout 14400
nat (inside) 0 access-list vpnra
route outside 0.0.0.0 0.0.0.0 192.168.1.2 1 timeout xlate 3:00:00