Các giao thức sử dụng trong VPN

Một phần của tài liệu đồ án tốt nghiệp tóm tắt thiết kế và triển khai vpn client to site cho mạng lan (Trang 31 - 40)

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol)

Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ sở cấu hình của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập các khoá mã.

Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE

(Generic Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn.

Hình 2.9 Giao thức PPTP

2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol )

Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.

2.6.3 Giao thức bảo mật IP – Ipsec

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000.

Hình 2.11 Giao thức IPSec 2.7 Lợi ích của VPN

2.7.1 Đối với khách hàng

• Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng.

• Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối

2.7.2 Đối với nhà cung cấp dịch vụ

• Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo.

• Tăng hiệu quả sử dụng mạng Internet hiện tại.

• Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.

• Ðầu tư không lớn hiệu quả đem lại cao.

• Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN.

2.8 Ưu điểm và nhược điểm 2.8.1 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.

• Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa.

• Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp.

• Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới

• Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP

2.8.2 Nhược điểm

Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN.

một mạng chung có độ bảo mật rất kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh…

Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.

CHƯƠNG 3

THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 3.1 Tình huống

Trung tâm Tin học VSIC có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy chủ như Web server, Mail server,… đều đặt tại đây. Các nhân viên làm việc trực tiếp tại trung tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ thống mạng một cách thuận lợi.

3.2 Phân tích và thiết kế 3.2.1 Thiết bị sử dụng

• Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dial-up, ADSL…

• Trong công ty có các máy chủ như VPN server, Mail server, Web server…và kết nối Internet qua Router ADSL.

3.2.2 Hệ điều hành và giao thức

• Hệ điều hành chủ yếu là Window Server 2003 và Window XP.

3.3 Mô hình triển khai

Hình 3.1 Mô hình Client to Site Mô hình gồm có:

• 1 máy tính VPN SERVER cài hệ điều hành Window Server 2003, có 2 card mạng tương ứng với địa chỉ IP là 10.3.9.1 (card mạng ngoài) và 192.168.1.20 (card mạng trong).

• 1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.21.

• 1 máy RADIUS cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.22.

• 1 máy VPN CLIENT cài hệ điều hành Window server 2003 hoặc Window XP.

Yêu cầu đặt ra:

Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức Tunneling điểm nối điểm (PPTP), chứng thực bởi Radius Server.

CHƯƠNG 4

Một phần của tài liệu đồ án tốt nghiệp tóm tắt thiết kế và triển khai vpn client to site cho mạng lan (Trang 31 - 40)

Tải bản đầy đủ (DOC)

(42 trang)
w