Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để truy nhập thư điện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.
Internet ISP ISP Computer Computer Computer Application Server VPN Concentrator Telecommuter with VPN 3000 Client PPP connectivity IPSec Tunnel
Hình 5.5: Các thành phần của kết nối Client-to-LAN
Có thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.
- Phần mềm IPSec (IPSec Client Software) không có sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính có yêu cầu truy nhập từ xa. Nó được sử dụng để mật mã, xác thực và đóng gói dữ liệu, đồng thời là một điểm cuối của đường ngầm.
- Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.
- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an toàn (secure tunnel), thông qua Internet để tới VPN 3000 Concentrantor.
- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối còn lại của đường ngầm. Nó thực hiện giải mã, xác thực, và mở gói dữ liệu.
Internet ISP Computer Computer Application Server VPN private IP 192 .168 .1.5 Telecommuter with VPN 3000 Client 192 .168 .1.10 VPN public IP 172 .26 .26 .1 172 .26 .26.1 203 .16 .5.19 ESP 192 .168 .1.10 192 .168 .1.20 Client IP address 192 .168 .1.20 DATA
Adapter (NIC ) IP Address 203 .162 .5.19
Hình 5.6: Đường ngầm IPSec Client-to-LAN
Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thông tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ nguồn thường là địa chỉ ảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉ ảo giúp cho client có thể hoạt động như đang ở ngay mạng trung tâm.
Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đó chúng được mật mã, xác thực và đóng gói bằng giao thức ESP. Sau khi đóng gói dữ liệu bằng ESP thì một IP header mới được thêm vào gói dữ liệu (gọi là header ngoài) để định tuyến gói tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện công cộng của VPN 3000 Concentrator.
Ngoài thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an toàn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý đường ngầm.
Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.
- Thỏa thuận các thông số đường ngầm: địa chỉ, thuật toán. - Thiết lập đường ngầm dựa trên các thông số đã thiết lập.
- Xác thực người sử dụng thông qua username, groupname, password, digital certificate.
- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…
- Quản trị các khóa an ninh để mật mã va giải mã. - Thiết lập phiên trao đổi IPSec.
- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.
Hình 5.7: Phần mềm IPSec Client