2.5.1 Các loại giao thức
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (Tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
• Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua.
• Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
• Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet.
2.5.2 Kỹ thuật Tunneling trong mạng VPN
2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Hình 34 Mô hình Tunneling truy cập từ xa
2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
2.6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN
Hiện nay có ba giao thức chính dùng để xây dựng VPN là:
2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) Point Tunneling Protocol)
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã.
Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ.
Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.
Hình 36 Giao thức PPTP
2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol ) Protocol )
Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.
Hình 37 Giao th c L2TPứ
2.6.3 Giao thức bảo mật IP – Ipsec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000.
Hình 38 Giao thức IPSec
Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở để xây dựng nên L2TP.
2.7 LỢI ÍCH CỦA VPN
2.7.1 Đối với khách hàng
• Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến.
+ Giảm thiểu thiết bị sử dụng.
+ Giảm thiểu chi phí kênh kết nối đường dài. + Giảm thiểu việc thiết kế và quản lý mạng.
+ Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng.
• Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002.
2.7.2 Đối với nhà cung cấp dịch vụ
• Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo.
• Tăng hiệu quả sử dụng mạng Internet hiện tại.
• Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.
• Ðầu tư không lớn hiệu quả đem lại cao.
• Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN.
2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM2.8.1 Ưu điểm 2.8.1 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.
• Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so
với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung
• Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định
tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp.
• Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất
cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới.
• Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ
tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP
2.8.2 Nhược điểm
Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN.
Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh…
QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn. Thường QoS trên Internet chỉ là best effort.
Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.
CHƯƠNG 3
THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE
3.1 TÌNH HUỐNG
Trung tâm Tin học VSIC có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy chủ như Web server, Mail server,… đều đặt tại đây. Các nhân viên làm việc trực tiếp tại trung tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ thống mạng một cách thuận lợi.
3.2 PHÂN TÍCH VÀ THIẾT KẾ3.2.1 Thiết bị sử dụng 3.2.1 Thiết bị sử dụng
• Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dial-up, ADSL…
• Trong công ty có các máy chủ như VPN server, Mail server, Web server…và kết nối Internet qua Router ADSL.
3.2.2 Hệ điều hành và giao thức
• Hệ điều hành chủ yếu là Window Server 2003 và Window XP. • Giao thức dùng trong hệ thống mạng là TCP/IP.
3.3 MÔ HÌNH TRIỂN KHAI
Hình 39 Mô hình Client to Site Mô hình gồm có:
• 1 máy tính VPN SERVER cài hệ điều hành Window Server 2003, có 2 card mạng tương ứng với địa chỉ IP là 10.3.9.1 (card mạng ngoài) và 192.168.1.20 (card mạng trong).
• 1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.21.
• 1 máy RADIUS cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.22.
• 1 máy VPN CLIENT cài hệ điều hành Window server 2003 hoặc Window XP.
• 1 SWITCH.
Yêu cầu đặt ra:
Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức Tunneling điểm nối điểm (PPTP), chứng thực bởi Radius Server.
CHƯƠNG 4
TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE
4.1 CÁC BƯỚC CÀI ĐẶT
4.1.1 Trên máy Domain Controller tạo Group VPN và User4.1.1.1 Tạo Group VPN 4.1.1.1 Tạo Group VPN
Vào Administrative Tools -> Active Directory Users and Computer
Đặt tên Group name là VPN, nhấn OK
4.1.1.2 Tạo User
Tạo User là tu1, nhấn Next
Quá trình tạo User thành công, nhấn Finish.
4.1.1.3 Thêm User tu1 vào Group VPN
Nhấn chuột phải vào Group VPN vừa tạo chọn Properties -> Members
Chọn User là tu1, nhấn OK
Quá trình thành công, nhấn Apply và OK.
4.1.2 Cài đặt và cấu hình Radius Server4.1.2.1 Các bước cài đặt 4.1.2.1 Các bước cài đặt
Chọn Star -> Settings -> Control Panel -> Add or Remove Programs -> Add/Remove Windows Components.
Click chọn Networking Services, nhấn Details
Nhấn Next
4.1.2.2 Cấu hình
Khởi động dịch vụ Internet Authentication Service
Nhấn chuột phải vào Remote Access Logging chọn New Remote Access Policy
Chọn VPN, nhấn Next
Chọn Group VPN, nhấn OK
Chọn Microsoft Encrypted Authentication version 2, nhấn Next
Nhấn Next
Nhấn Finish.
Nhấn chuột phải vào RADIUS Client chọn New RADIUS Client
Đánh địa chỉ IP của máy VPN Server là 192.168.1.20, nhấn Resolve
Tại “Client-Vendor” chọn RADIUS Standard, còn ở “Shared secret” ta gõ một mã bí mật chia sẻ cho VPN Server và gõ tiếp lần nữa ở “Confirm shared secret”.
1.4.3 Cài đặt và cấu hình VPN Server dùng Radius Server chứng thực bằng username, password thực bằng username, password
Khởi động dịch vụ Routing and Remote Access
Kích chuột phải vào DUYTU chọn Configure and Enable Routing Remote Access
Chọn Remote Access (dial-up or VPN), nhấn Next
Chọn 10.3.9.1 là địa chỉ IP mạng ngoài của VPN Server, nhấn Next
Nhấn New
Đánh địa chỉ IP cùng lớp với địa chỉ IP mạng trong của VPN Server, ở đây cấp 10 địa chỉ IP, nhấn OK
Nhấn Next
Đánh địa chỉ IP của máy RADIUS Server là 192.168.1.22 và mã bí mật chung trong ô Shared secret , nhấn Next