Đồ án: Tìm hiểu, thiết kế và triển khai dịch vụ VNP Client to site cho doanh nghiệp, công ty nhỏ

Chia sẻ: Phamvan Tung | Ngày: | Loại File: DOCX | Số trang:50

Thêm vào BST

Báo xấu

80
lượt xem 31
download

Đồ án: Tìm hiểu, thiết kế và triển khai dịch vụ VNP Client to site cho doanh nghiệp, công ty nhỏ

Mô tả tài liệu

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Với kết cấu nội dung gồm 4 chương, đồ án "Tìm hiểu, thiết kế và triển khai dịch vụ VNP Client to site cho doanh nghiệp, công ty nhỏ" cung cấp cho các bạn những kiến thức tổng quan về công nghệ VPN, triển khai cài đặt mô hình VPN Client to site,... Đây là tài liệu tham khảo hữu ích cho các bạn chuyên ngành Công nghệ thông tin.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Đồ án: Tìm hiểu, thiết kế và triển khai dịch vụ VNP Client to site cho doanh nghiệp, công ty nhỏ

HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC KỸ THUẬT LIÊN MẠNG Giáo viên hướng dẫn : Nguyễn Hoàng Sinh Đề tài : Tìm hiểu, Thiết kế và triển khai dịch vụ VPN Client to site cho Doanh nghiệp,công ty nhỏ Sinh viên thực hiện : Phạm Văn Tùng Hà nội 12/2015
HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN MÔN HỌC KỸ THUẬT LIÊN MẠNG Giáo viên hướng dẫn : Nguyễn Hoàng Sinh Đề tài : Tìm hiểu, Thiết kế và triển khai dịch vụ VPN Client to site cho Doanh nghiệp,công ty nhỏ Sinh viên thực hiện :
Phạm Văn Tùng Hà nội 12/2015 CHƯƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ VPN (VIRTUAL PRIVATE NETWORK) 1. ĐỊNH NGHĨ, CHỨC NĂNG VÀ ƯU ĐIỂM CỦA VPN 1.1 Khái niệm VPN Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm nhiều của doanh nghiệp, đặc biệt là các doanh nghiệp có các điểm phân tán về mặt địa lý. Nếu như trước đây giải pháp thông thường là thuê các đường truyền riêng (leased lines) đẻ duy trì mạng WAN (Wide Are Network). Các đường truyền này giới hạn từ ISDN (128Kbps) đến đường cáp quang OC3 (Optical carrier3, 155Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng như internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng, có thể trở lên quá đắt khi doanh nghiệp muốn mở rộng các chi nhánh. Khi tính phổ biến của internet gia tăng, các doanh nghiệp đầu tư vào nó như phương tiện quảng bá và mở rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bọ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng bởi các thành viên trong công ty. Hiện nay giải pháp VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian.
Hình 1: Mô hình mạng VPN cơ bản
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như văn phòng tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private Network) tuỳ thuộc vào hình thức tổ chức mạng và thiết bị của nhà cung cấp. Nếu xét theo góc độ đơn giản nhất thì dịch vụ VPN là mạng được cấu thành bởi các kênh ảo (không cố định) nhằm truyền tải lưu lượng thông tin cho một tổ chức riêng rẽ. Đối tượng dịch vụ chính của VPN là các doanh nghiệp, các tổ chức có nhu cầu thiết lập mạng dùng riêng. 1.2 Chức năng của VPN VPN cung cấp ba chức năng chính:
Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng. Bằng cách làm như vậy, không một ai có thể truy cập thông tin mà không được phép. Và nếu có lấy được thì cũng không đọc được. Tính toàn vẹn (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay đổi nào. Xác thực nguồn gốc (Origin Authentication) : Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin. 1.3 Đường hầm và mã hóa Chức năng chính của VPN đó là sự cung cấp bảo mật bằng cách mã hóa qua một đường hầm.
Đường hầm (Tunnel): Các đường hầm chính là đặc tính ảo của VPN, nó làm một đường kết nối như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã được áp dụng trong mạng nội bộ, đảm bảo cho vai trò kiểm soát dòng lưu chuyển dữ liệu. Đường hầm cũng làm cho VPN có tính riêng tư. Mã hóa được sử dụng để tạo kết nối đường hầm để dữ liệu chỉ có thể đọc được bởi người nhận và người gửi. Mã hóa (Encryption): Chắc chắn gói tin không bị đọc bởi bất kỳ ai nhưng có thể đọc được bỏi người nhận. Khi mà càng ngày càng có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trở lên quan trọng. Mã hóa sẽ biến đổi nội dung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong dạng mật mã đó. Chức năng giải mã để khôi phục văn bản mật mã thành nội dung thông tin có thể dùng được cho người nhận. Mã hóa là tính năng tùy chọn nó cũng đóng góp vào đặc điểm riêng tư của VPN. 2. PHÂN LOẠI VPN Có 2 cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên, các mạng VPN có thể kết nối hai mạng với nhau. Điều này được biết đến như một
mạng kết nối LAN to LAN VPN hay mạng kết nối site to site VPN. Thứ hai, một VPN truy cập từ xa có thể kết nối người dùng từ xa tới mạng. Ngày nay VPNs đã phát triển và phân chia thành ba kiểu VPN chính như sau Remote Access VPNs Intranet VPNs Ixtranet VPNs 2.1 VPN truy cập từ xa (Remote Access) Remote Access, hay còn gọi là virtual private dialup network (VPDN). Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối
từ xa đến mạng cục bộ công ty bằng dialup. Khi công ty muốn thiết lập Remote access trên qui mô rộng, có thể thuê một ESP (Enterprise Service Provider) và ESP này sẽ thiết lập một NAS (Network Access Server), người dùng từ xa sẽ quay số truy cập đến NAS và dùng một phần mềm VPN đầu cuối để kết nối với mạng cục bộ của công ty. Đường truyền trong Access VPN có thể là tương tự, quay số, ISDN, các đường thuê bao số (DSL). Hình 2 Mô hình VPN truy cập từ xa 2.2 VPN điểm nối điểm (Site to Site) Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet. Site to Site VPN gồm 2 loại: Các VPN nội bộ (Intranet VPN ) Đây là kiểu kết nối site to site VPN. Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet. Và các chi nhánh này sẽ kết nối
lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN. Các VPN mở rộng ( Extranet VPN ) Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối Lan to Lan và cho phép các công ty này cùng làm việc trao đổi trong một môi trường chia sẻ riêng biệt (tất nhiên vẫn trên nền Internet). Hình 30 Mô hình VPN điểm nối điểm SẢN PHẨM CÔNG NGHỆ DÀNH CHO VPN Tùy vào loại VPN (truy cập từ xa hay điểm nối điểm), bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là: Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa. Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX. Server VPN cao cấp dành cho dịch vụ Dialup. NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ
người sử dụng từ xa. Mạng VPN và trung tâm quản lý.
2.3 Bộ xử lý trung tâm VPN Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản phẩm của Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý VPN được thiết kế chuyên biệt cho loại mạng này. Chúng chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ dàng tăng dung lượng và số lượng gói tin truyền tải. Dòng sản phẩm có các model thích hợp cho các mô hình doanh nghiệp từ nhỏ đến lớn (từ100 cho đến 10.000 điểm kết nối từ xa truy cập cùng lúc). Hình 3 Bộ xử lý trung tâm VPN Cisco 3000 2.4 Router dùng cho VPN Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích hợp cho mọi trường hợp, từ truy cập nhà tới văn phòng cho đến nhu cầu của các doanh nghiệp quy mô lớn.
Hình 4 Router Cisco 2.5 Tường lửa PIX của Cisco Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các tính năng VPN và chặn truy cập bất hợp pháp. Hình 5 Bộ Cisco PIX Firewall Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập trung vào IP. 2.6 CÁC YÊU CẦU CƠ BẢN ĐỐI VỚI MỘT GIẢI PHÁP VPN Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo. 2.6.1 Tính tương thích Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP
VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ. 2.6.2 Tính bảo mật Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau: + Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hoá dữ liệu khi truyền. + Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống. 2.6.3 Tính khả dụng Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung
lượng truyền. Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên. 2.6.4 Khả năng hoạt động tương tác Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình. Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN. 2.7 THIẾT LẬP KẾT NỐI TUNNEL 2.7.1 Các loại giao thức Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề (header) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (Tunnel). Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy
trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (Tunnel Protocol). Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gói tin đi vào và đi ra trong mạng. Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau: + Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đang đi qua. + Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc. + Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP). Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet. 2.7.2 Kỹ thuật Tunneling trong mạng VPN 2.7.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là
một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn truyền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP. Hình 6 Mô hình Tunneling truy cập từ xa 2.7.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Hình 7 Mô hình Tunneling điểm nối điểm Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới Router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa. 2.8 CÁC GIAO THỨC SỬ DỤNG TRONG VPN Hiện nay có ba giao thức chính dùng để xây dựng VPN là: 2.8.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cách mã hoá sẵn có của Windows, xác thực người dùng và cơ
sở cấu hình của giao thức điểm điểm PPP (Point to Point Protocol) để thiết lập các khoá mã. Giao thức định đường hầm điểm điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP forum. Nhóm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. Ý tưởng cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng lợi ích của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa client và mạng riêng. Người dùng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ. Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm điểm PPP (Point to Point Protocol). PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải là IP như IPX, NETBEUI chẳng hạn. Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP có thể truyền trong đường hầm bằng các giao
thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm. Hình 8 Giao thức PPTP 2.8.2 Giao thức định đường hầm lớp 2 L2TP ( Layer 2 TunnelingProtocol ) Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.