Tải bản đầy đủ (.pdf) (79 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Đồ án triển khai mạng riêng ảo sử dụng SOFTETHER VPN trên Cenots

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.72 MB, 79 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƢỜNG ĐẠI HỌC MỎ ĐỊA CHẤT

ĐỒ ÁN TỐT NGHIỆP
ĐỀ TÀI:

NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO SỬ
DỤNG SOFTETHER TRÊN CENTOS

Hà Nội 2021


BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƢỜNG ĐẠI HỌC MỎ ĐỊA CHẤT

ĐỒ ÁN TỐT NGHIỆP
CHUYÊN NGÀNH MẠNG MÁY TÍNH

ĐỀ TÀI:

NGHIÊN CỨU VÀ TRIỂN KHAI MẠNG RIÊNG ẢO SỬ
DỤNG SOFTETHER TRÊN CENTOS

Sinh viên thực hiện

Cán bộ hƣớng dẫn

Hà Nội 2021



Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

MỤC LỤC
DANH MỤC CÁC HÌNH VẼ ....................................................................................... 6
THƠNG TIN KẾT QUẢ NGHIÊN CỨU ..................................................................... 8
LỜI CẢM ƠN ............................................................................................................... 9
LỜI NÓI ĐẦU............................................................................................................... 9
CHƢƠNG I: TỔNG QUAN VỀ VPN ........................................................................ 11
1.1 Khái niệm cơ bản về VPN................................................................................. 11
1.2 Ƣu Điểm ............................................................................................................ 12
1.3 Nhƣợc Điểm ...................................................................................................... 14
1.4 Các yêu cầu cơ bản đối với một giải pháp VPN ............................................... 15
1.5 Các VPN truy cập (Remote Access VPNs) ...................................................... 16
1.6 Các VPN nội bộ (Intranet VPNs) ...................................................................... 18
1.7 Các VPN mở rộng (Extranet VPNs): ................................................................ 19
CHƢƠNG II: GIAO THỨC ĐƢỜNG HẦM VPN .................................................... 22
2.1 Giới thiệu các giao thức đƣờng hầm ................................................................. 22
2.2 Giao thức đƣờng hầm điểm tới điểm (PPTP).................................................... 23
2.2.1 Nguyên tắc hoạt động của PPTP ................................................................ 23
2.2.2 Nguyên tắc kết nối điều khiển đƣờng hầm theo giao thức PPTP .............. 25
2.2.3 Nguyên lý đóng gói dữ liệu đƣờng hầm PPTP .......................................... 25
2.2.4 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đƣờng hầm PPTP ......... 27
2.2.5 Triển khai VPN dự trên PPTP .................................................................... 27
2.2.6 Một số ƣu nhƣợc điểm và khả năng ứng dụng của PPTP .......................... 29
2.3 Giao thức chuyển tiếp lớp 2 (L2F) .................................................................... 30
2.3.1 Nguyên tắc hoạt động của L2F .................................................................. 30
3
Nguyễn Văn Mẫn



2.3.2 Những ƣu điểm và nhƣợc điểm của L2F ................................................... 31
2.4. Giao thức đƣờng hầm lớp 2 L2TP ( Layer 2 Tunneling Protocol) ................. 32
2.4.1. Giới thiệu ................................................................................................... 32
2.4.2. Các thành phần của L2TP ......................................................................... 33
2.4.3. Qui trình xử lý L2TP ................................................................................. 34
2.4.4 Dữ liệu đƣờng hầm L2TP .......................................................................... 35
2.4.5. Chế độ đƣờng hầm L2TP .......................................................................... 38
2.4.6 Những thuận lợi và bất lợi của L2TP ......................................................... 41
2.5 GRE (Generic Routing Encapsulution)............................................................. 42
2.6 Giao thức bảo mật IP (IP Security Protocol) .................................................... 42
2.6.1. Giới thiệu ................................................................................................... 42
2.6.2 Liên kết an toàn .......................................................................................... 47
2.6.3 Giao thức trao đổi khóa.............................................................................. 49
2.6.4 Những hạn chế của IPSec........................................................................... 60
CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT VPN SOFTETHER ............................. 61
3.1 Đặt Vấn Đề ........................................................................................................ 61
3.1.1 Phần cứng, phần mềm ................................................................................ 61
3.1.2 Máy ảo và công cụ ..................................................................................... 61
3.2 Mơ Hình Mạng .................................................................................................. 62
3.2.1 u Cầu ...................................................................................................... 62
3.2.2 Cài Đặt ........................................................................................................ 62
3.2.3 Cấu Hình Tƣờng Lửa ................................................................................. 68
3.3 Cài Đặt Và Triển Khai SE-VPN Server Manager (Tools) ............................... 69
3.3.1 Yêu Cầu ...................................................................................................... 69
3.3.2 Cài Đặt ........................................................................................................ 69


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính


3.4 Cài Đặt softether VPN Cilent ........................................................................... 73
3.4.1 Yêu cầu ....................................................................................................... 73
3.4.2 Cài Đặt ........................................................................................................ 73
KẾT LUẬN ................................................................................................................. 78
TÀI LIỆU THAM KHẢO ........................................................................................... 79

5
Nguyễn Văn Mẫn


DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mơ hình VPN cơ bản ................................................................................... 11
Hình 1.2 Mơ hình mạng VPN ..................................................................................... 12
Hình 1.3 Ƣu điểm của VPN so với mạng truyền thống .............................................. 13
Hình 1.4 Các ƣu điểm của VPN .................................................................................. 14
Hình 1.5 Mơ hình mạng VPN truy cập ....................................................................... 16
Hình 1.6 Cài đặt Remote Access VPN........................................................................ 17
Hình 1.7 Mơ hình mạng VPN nội bộ .......................................................................... 18
Hình 1.8 Thiết lập Extranet truyền thống.................................................................... 20
Hình 1.9 Mơ hình mạng VPN mở rộng ....................................................................... 20
Hình 1.10 Thiết lập Extranet VPN .............................................................................. 21
Hình 2.22 Chính sách IPSec: xử lý gói tin đầu ra ...................................................... 49
Hình 2.23 IKE pha 1- Main Mode .............................................................................. 50
Hình 2.24 Internet Key Exchange ............................................................................... 51
Hình 2.25 Các bƣớc hoạt động của IPSec ................................................................... 52
Hình 2.26 Sơ đồ kết nối hai Router chạy IPSec .......................................................... 52
Hình 2.27 Xác định luồng traffic ............................................................................... 53
Hình 2.28 Bƣớc một IKE ........................................................................................... 53
Hình 2.29 Quá trình trao đổi đầu tiên ......................................................................... 54

Hình 2.30 Quá trình trao đổi thứ ba ........................................................................... 55
Hình 2.31 Bƣớc 2 IKE................................................................................................ 56
Hình 2.32 Thỏa thuận tập transform .......................................................................... 57
Hình 2.33 Các thơng số của SA .................................................................................. 58
Hình 2.34 Một phiên IPSec ........................................................................................ 59
Hình 2.35 Kết thúc một phiên IPSec .......................................................................... 59
Hình 3.1 Mơ hình triển khai ........................................................................................ 62
Hình 3.11 Chọn phiên bản server ................................................................................ 69
Hình 3.12 Kết nối với địa chỉ server ........................................................................... 70
Hình 3.13 Kết nối port và IP ....................................................................................... 70
Hình 3.14 Giao diện chính của VPN Softether ........................................................... 71


Đồ án tốt nghiệp chun ngành Mạng Máy Tính

Hình 3.15 Cài đặt IPsec/L2TP..................................................................................... 71
Hình 3.16 Trang quạn trị của VPN SoftEther ............................................................. 72
Hình 3.17 Tạo ngƣời dùng ......................................................................................... 72
Hình 3.18 Cấu Hình Nat ............................................................................................. 73

7
Nguyễn Văn Mẫn


THƠNG TIN KẾT QUẢ NGHIÊN CỨU
1. Thơng tin chung
Tên đề tài: Nghiên Cứu Và Triển Khai Mạng Riêng Ảo Sử Dụng Softether Trên Centos
Sinh viên thực hiện: Nguyễn Văn Mẫn
Lớp: Mạng máy tính
Hệ đào tạo: Chính quy

Điện Thoại: 0335025216
Email:
2. Mục tiêu
Nắm rõ kiến thức về mạng riêng ảo VPN
Hiểu sâu cách thức hoạt động của các đƣờng hầm VPN
Xây dựng hệ thống mạng VPN sử dụng Softether trên Centos, có thể ứng dụng vào thực tế
3. Nội dung chính
Đồ án gồm có 3 chƣơng
Chƣơng I: Tổng quan về lý thuyết mạng riêng ảo
Chƣơng II: Tìm hiểu sâu về các giao thức đƣờng hầm của VPN
Chƣơng III: Cách thức triển khai mạng riêng ảo sử dụng công nghệ Softether
4. Kết quả chính đạt đƣợc
Phát triển thêm các chức năng của VPN Softether
Triển khai hệ đƣợc hệ thống VPN trên máy chủ Centos bằng Softether giúp ngƣời dùng các
doanh nghiệp công ty đƣợc làm việc từ xa và các chi nhánh kết nối lại đƣợc với nhau trong
cùng một mạng LAN


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

LỜI CẢM ƠN
Đầu tiên em chân thành gửi lời cảm ơn đến các thầy cơ và các bạn đã nhiệt tình giúp
đỡ tạo điều kiện cho em có đủ thời gian và thơng tin bổ ích đề hồn thành tốt đồ án tốt
nghiệp này từ đó giúp em có hiểu biết sâu hơn về “Triển Khai VPN SoftEther Trên Máy
Chủ Centos”, phƣơng pháp học tập mới để phục vụ tốt hơn cho công việc sau này.
Thứ hai em xin cảm ơn chân thành đến cô Trần Thị Thu Thúy là giảng viên hƣớng
dẫn em hoàn thành đồ án tốt nghiệp. Suốt thời em làm đồ án tốt nghiệp cô đã giúp đỡ em rất
nhiều từ nội dung cách thức trình bày và các kĩ năng để vận dụng tốt lý thuyết vào thực
hành và cả thời gian để em có thể chuẩn bị tốt hơn.
Lời cuối cùng em xin cảm ơn trƣờng Đại học Mỏ - Địa chất đã tạo cơ hội cho em

trao dồi thêm kiến thức, phƣơng pháp làm việc, tiếp cận với môi trƣờng mới, phƣơng pháp
học mới để em có thể mạnh dạn hơn và trƣởng thành hơn.
Trong q trình hồn thành đồ án có sơ suất là không tránh khỏi, em mong quý thầy cô và
các bạn góp ý và giúp đỡ để em có thể hồn thành tốt hơn.
Em kính chúc tồn thể các thầy cơ giáo cùng các bạn luôn mạnh khỏe hạnh phúc và thành
công!

9
Nguyễn Văn Mẫn


LỜI NĨI ĐẦU
Với sự phát triển nhảy vọt của cơng nghệ thơng tin hiện nay, Internet ngày càng giữ
vai trị quan trọng trong các lĩnh vực khoa học kĩ thuật và đời sống. Dĩ nhiên các bạn đã
đƣợc nghe nói nhiều về Internet, nói một cách đơn giản, Internet là một tập hợp máy tính
nối kết với nhau, là một mạng máy tính tồn cầu mà bất kì ai cũng có thể kết nối bằng máy
PC của họ. Với mạng Internet, tin học thật sự tạo nên một cuộc cách mạng trao đổi thơng tin
trong mọi lĩnh vực văn hóa, xã hội, chính trị, kinh tế...
Với lí do đó, đƣợc sự hƣớng dẫn và giúp đỡ của cô giáo Trần Thị Thu Thúy, em đã chọn
đề tài: “Nghiên cứu và triển khai mạng riêng ảo VPN sử dụng SoftEther trên Centos”.
Tuy nhiên mặc dù đã nỗ lực hết sức mình nhƣng chắc rằng đồ án khó tránh khỏi thiếu
sót. Em rất mong nhận đƣợc sự thơng cảm, những lời góp ý và chỉ bảo tận tình của q
Thầy Cơ và các bạn.
Sinh Viên Thực Hiện
Mẫn
Nguyễn Văn Mẫn


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính


CHƢƠNG I: TỔNG QUAN VỀ VPN
1.1 Khái niệm cơ bản về VPN
Phƣơng án truyền thơng nhanh, an tồn và tin cậy đang trở thành mối quan tâm của
nhiều doanh nghiệp, đặc biệt là các doanh nghiệp có các địa điểm phân tán về mặt địa lý.
Nếu nhƣ trƣớc đây giải pháp thông thƣờng là thuê các đƣờng truyền riêng (leased lines) để
duy trì mạng WAN (Wide Are Network). Các đƣờng truyền này giới hạn từ ISDN (128
Kbps) đến đƣờng cáp quang OC3 (optical carrier-3, 155Mbps). Mỗi mạng WAN đều có các
điểm thuận lợi trên một mạng công cộng nhƣ Internet trong độ tin cậy, hiệu năng và tính an
tồn, bảo mật. Nhƣng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đƣờng truyền
riêng, có thể trở nên quá đắt khi doanh nghiệp muốn mở rộng các chi nhánh.
Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tƣ vào nó nhƣ một
phƣơng tiện quảng bá và mở rộng các mạng mà họ sở hữu. Ban đầu, là các mạng nội bộ
(Intranet) mà các site đƣợc bảo mật bằng mật khẩu đƣợc thiết kế cho việc sử dụng chỉ bởi
các thành viên trong cơng ty.

Hình 1.1 Mơ hình VPN cơ bản

Về căn bản, mỗi VPN(virtual private network) là một mạng riêng rẽ sử dụng một mạng
chung (thƣờng là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều ngƣời
sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nhƣ đƣờng Leased
Line, mỗi VPN sử dụng các kết nối ảo đƣợc dẫn qua đƣờng Internet từ mạng riêng của công
ty tới các site của các nhân viên từ xa.

11
Nguyễn Văn Mẫn


Hình 1.2 Mơ hình mạng VPN

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall.

Những thiết bị này có thể đƣợc quản trị bởi công ty hoặc các nhà cung cấp dịch vụ nhƣ ISP.
VPN đƣợc gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua một mạng
công cộng sử dụng các kết nối tạm thời. Những kết nối bảo mật đƣợc thiết lập giữa 2 host ,
giữa host và mạng hoặc giữa hai mạng với nhau

Chức Năng Của VPN
VPN cung cấp ba chức năng chính:


Sự tin cậy (Confidentiality): Ngƣời gửi có thể mã hố các gói dữ liệu trƣớc khi

truyền chúng ngang qua mạng. Bằng cách làm nhƣ vậy, khơng một ai có thể truy cập thơng
tin mà khơng đƣợc cho phép. Và nếu có lấy đƣợc thì cũng khơng đọc đƣợc.


Tính tồn vẹn dữ liệu ( Data Integrity): ngƣời nhận có thể kiểm tra rằng dữ liệu

đã đƣợc truyền qua mạng Internet mà khơng có sự thay đổi nào.


Xác thực nguồn gốc (Origin Authentication): Ngƣời nhận có thể xác thực nguồn

gốc của gói dữ liệu, đảm bảo và cơng nhận nguồn thơng tin.
1.2 Ƣu Điểm
VPN có nhiều ƣu điểm hơn so với các mạng leased-line truyền thống. Nó bao gồm:


VPN làm giảm chi phí hơn so với mạng cục bộ. Tổng giá thành của việc sở hữu

một mạng VPN sẽ đƣợc thu nhỏ, do chỉ phải trả ít hơn cho việc th băng thơng đƣờng

truyền, các thiết bị mạng đƣờng trục, và hoạt động của hệ thống. Giá thành cho việc kết nối


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

LAN-to-LAN giảm từ 20-30% so với việc sử dụng đƣờng Leased-line truyền thống. Cịn
đối với việc truy cập từ xa thì giảm tới từ 60-80%.


VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet. Các VPN đã kết thừa

phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các mạng
WAN truyền thống. Điều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế
cho việc mở rộng hay huỷ bỏ kết nối của các trụ sở ở xa, các ngƣời sử dụng di động…, và
mở rộng các đối tác kinh doanh khi có nhu cầu.


VPN làm đơn giản hố cho việc quản lý các công việc so với việc sở hữu và vận

hành một mạng cục bộ. Các doanh nghiệp có thể cho phép sử dụng một vài hay tất cả các
dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập chung vào các đối tƣợng kinh
doanh chính, thay vì quản lý một mạng WAN hay mạng quay số từ xa.


VPN cung cấp các kiểu mạng đường hầm và làm giả thiểu các công việc quản lý.

Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố định tƣơng ứng với các
giao thức kết nối nhƣ là Frame Relay và ATM. Điều này tạo ra một kiểu mạng lƣới hoàn
chỉnh trong khi giảm đƣợc độ phức tạp và giá thành.


Hình 1.3 Ƣu điểm của VPN so với mạng truyền thống

Một mạng VPN có đƣợc những ƣu điểm của mạng cục bộ trên cơ sở hạ tầng của mạng
IP cơng cộng. Các ƣu điểm này bao gồm tính bảo mật và sử dụng đa giao thức.

13
Nguyễn Văn Mẫn


Hình 1.4 Các ƣu điểm của VPN

Một mạng ảo đƣợc tạo ra nhờ các giao thức đƣờng hầm trên một kết nối IP chuẩn. GRE
(Generic Routing Protocol), L2TP (Layer 2 Tunneling Protocol) và IPSec là ba phƣơng thức
đƣờng hầm.
Một mạng cục bộ là một mạng mà đảm bảo độ tin cậy, tính tồn vẹn và xác thực, gọi
tắt là CIA. Mã hoá dữ liệu và sử dụng giao thức IPSec giúp giữ liệu có thể chung chuyển
trên Web với các tính chất CIA tƣơng tự nhƣ là một mạng cục bộ.
1.3 Nhƣợc Điểm
 VPN có thể có mức giá cao hoặc thấp tùy vào các tính năng, do đó bạn phải tìm hiểu
kỹ để chắc rằng bạn đƣợc hƣởng dịch vụ đúng với số tiền đã bỏ ra.
 Thời hạn đăng ký thuê bao cũng ảnh hƣởng đến mức giá.
 Các dịch vụ miễn phí khơng có độ bảo mật tốt và thực sự có thể là một nguy cơ đối
với an ninh hoặc sự riêng tƣ của bạn.
 Không nhiều ngƣời trong số chúng ta nghĩ đến thiết kế khi mua một VPN, nhƣng sự
trải nghiệm của ngƣời dùng có thể tạo ra sự khác biệt đáng kể (bên cạnh việc bớt
phức tạp hơn)
 Nếu VPN của bạn không có thiết kế đơn giản, bạn có thể dành thời gian để định cấu
hình VPN của mình.
 Đơi khi việc thiết lập thủ cơng có thể dẫn đến rị rỉ IP và DNS
 Các VPN hƣớng tới doanh nghiệp sẽ có các tính năng khác nhau.



Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

 Mặc dù hầu hết chúng đều tƣơng tự nhau (về tốc độ, băng thông, số thiết bị kết nối
đồng thời…), nhƣng VPN dành cho doanh nghiệp sẽ có các tính năng đƣợc cải tiến
hơn so với VPN dành cho cá nhân.
 Dù sao đi nữa, thì bạn vẫn muốn một cơng ty VPN luôn phát triển và cải tiến
1.4 Các yêu cầu cơ bản đối với một giải pháp VPN
Có 4 yêu cầu cần đạt đƣợc khi xây dựng mạng riêng ảo.
 Tính tương thích (compatibility)
Mỗi cơng ty, mỗi doanh nghiệp đều đƣợc xây dựng các hệ thống mạng nội bộ và diện
rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của
nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng khơng sử dụng các chuẩn TCP/IP vì
vậykhơng thể kết nối trực tiếp với Internet. Để có thể sử dụng đƣợc IP VPN tất cả các hệ
thống mạng riêng đều phải đƣợc chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng
trong internet cũng nhƣ bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối
internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số
lƣợng khách hàng đƣợc hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tƣơng
thích với các thiết bị hiện có của họ.
 Tính bảo mật (security)
Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải pháp VPN.
Ngƣời sử dụng cần đƣợc đảm bảo các dữ liệu thông qua mạng VPN đạt đƣợc mức độ an
toàn giống nhƣ trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý.
Việc cung cấp tính năng bảo đảm an tồn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an tồn thích hợp bao gồm: cung cấp mật khẩu cho ngƣời sử dụng
trong mạng và mã hoá dữ liệu khi truyền.
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho
ngƣời sử dụng cũng nhƣ nhà quản trị mạng trong việc cài đặt cũng nhƣ quản trị hệ thống.
 Tính khả dụng (Availability):

Một giải pháp VPN cần thiết phải cung cấp đƣợc tính bảo đảm về chất lƣợng, hiệu suất
sử dụng dịch vụ cũng nhƣ dung lƣợng truyền.
 Tiêu chuẩn về chất lượng dịch vụ (QoS):

15
Nguyễn Văn Mẫn


Tiêu chuẩn đánh giá của một mạng lƣới có khả năng đảm bảo chất lƣợng dịch vụ cung
cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một
phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên
1.5 Các VPN truy cập (Remote Access VPNs)
Giống nhƣ gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng
Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức. Ðặc biệt là những ngƣời dùng thƣờng xuyên di chuyển hoặc các
chi nhánh văn phòng nhỏ mà khơng có kết nối thƣờng xun đến mạng Intranet hợp tác.
Các truy cập VPN thƣờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của
ngƣời sử dụng. Kiểu VPN này thƣờng đƣợc gọi là VPN truy cập từ xa

Hình 1.5 Mơ hình mạng VPN truy cập

Một số thành phần chính :
Remote Access Server (RAS) : đƣợc đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận
các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so
với trung tâm.
Hỗ trợ cho những ngƣời có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ
xa bởi ngƣời dùng.
Bằng việc triển khai Remote Access VPNs, những ngƣời dùng từ xa hoặc các chi nhánh văn
phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và

kết nối đến tài nguyên thông qua Internet.


Đồ án tốt nghiệp chun ngành Mạng Máy Tính

Hình 1.6 Cài đặt Remote Access VPN

Thuận lợi chính của Remote Access VPNs :
 Sự cần thiết của RAS và việc kết hợp với modem đƣợc loại trừ.
 Sự cần thiết hỗ trợ cho ngƣời dung cá nhân đƣợc loại trừ bởi vì kết nối từ xa đã đƣợc
tạo điều kiện thuận lợi bời ISP
 Việc quay số từ những khoảng cách xa đƣợc loại trừ , thay vào đó, những kết nối với
khoảng cách xa sẽ đƣợc thay thế bởi các kết nối cục bộ.
 Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết
nối trực tiếp đến những khoảng cách xa.
 VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ
truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến
mạng.
Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :
 Remote Access VPNs cũng không bảo đảm đƣợc chất lƣợng phục vụ.
 Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi
ra ngồi và bị thất thốt.

17
Nguyễn Văn Mẫn


 Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây
khó khăn cho q trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô

cùng chậm chạp và tồi tệ.
 Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn nhƣ các
gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
1.6 Các VPN nội bộ (Intranet VPNs)
Intranet VPNs đƣợc sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến
Corporate Intranet (backbone router) sử dụng campus router. Theo mơ hình này sẽ rất tốn
chi phí do phải sử dụng 2 router để thiết lập đƣợc mạng, thêm vào đó, việc triển khai, bảo trì
và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lƣợng lƣu thơng trên
mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet.
Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone đƣợc thay thế bởi các kết nối
Internet với chi phí thấp, điều này có thể giảm một lƣợng chi phí đáng kể của việc triển khai
mạng Intranet.
Intranet VPNs là một VPN nội bộ đƣơc sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Điều này cho phép tất cả các địa điểm có thể truy cập các nguồn
dữ liệu đƣợc phép trong toàn bộ mạng của công ty. Các VPN nội bộ liên kết trụ sở chính,
các văn phịng, và các văn phịng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết
nối mà ln ln đƣợc mã hố. Kiểu VPN này thƣờng đƣợc cấu hình nhƣ là một VPN Siteto-Site.

Hình 1.7 Mơ hình mạng VPN nội bộ

Những thuận lợi chính của Intranet setup dựa trên VPN:


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

 Hiệu quả chi phí hơn do giảm số lƣợng router đƣợc sử dụng theo mơ hình WAN
backbone
 Giảm thiểu đáng kể số lƣợng hỗ trợ yêu cầu ngƣời dùng cá nhân qua toàn cầu, các
trạm ở một số remote site khác nhau.
 Bởi vì Internet hoạt động nhƣ một kết nối trung gian, nó dễ dàng cung cấp những kết

nối mới ngang hàng.
 Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại
bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện
Intranet.
Những bất lợi chính kết hợp với cách giải quyết :
 Bởi vì dữ liệu vẫn cịn tunnel trong suốt q trình chia sẽ trên mạng cơng cộngInternet-và những nguy cơ tấn công, nhƣ tấn công bằng từ chối dịch vụ (denial-of-service),
vẫn còn là một mối đe doạ an tồn thơng tin.
 Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
 Trong một số trƣờng hợp, nhất là khi dữ liệu là loại high-end, nhƣ các tập tin
mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đƣợc truyền thông qua Internet.
 Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thƣờng xuyên, và
QoS cũng không đƣợc đảm bảo.
1.7 Các VPN mở rộng (Extranet VPNs):
Không giống nhƣ Intranet và Remote Access-based, Extranet khơng hồn tồn cách li từ
bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết của
các đối tác kinh doanh, chẳng hạn nhƣ khách hàng, nhà cung cấp, đối tác những ngƣời giữ
vai trò quan trọng trong tổ chức.
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với
nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng,
đồng thời cũng khó khăn cho cá nhân làm cơng việc bảo trì và quản trị. Thêm nữa là mạng
Extranet sẽ khó mở rộng do điều này sẽ làm rối tung tồn bộ mạng Intranet và có thể ảnh
hƣởng đến các kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi

19
Nguyễn Văn Mẫn


kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có
thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng.


Hình 1.8 Thiết lập Extranet truyền thống

Các VPN mở rộng cung cấp một đƣờng hầm bảo mật giữa các khách hàng, các nhà cung
cấp, và các đối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối mà luôn luôn đƣợc
bảo mật. Kiểu VPN này thƣờng đƣợc cấu hình nhƣ là một VPN Site-to-Site. Sự khác nhau
giữa một VPN nội bộ và một VPN mở rộng đó là sự truy cập mạng mà đƣợc cơng nhận ở
một trong hai đầu cuối của VPN. Hình dƣới đây minh hoạ một VPN mở rộng

Hình 1.9 Mơ hình mạng VPN mở rộng

Một số thuận lợi của Extranet :
 Do hoạt động trên mơi trƣờng Internet, chúng ta có thể lựa chọn nhà phân phối
khi lựa chọn và đƣa ra phƣơng pháp giải quyết tuỳ theo nhu cầu của tổ chức.


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

 Bởi vì một phần Internet-connectivity đƣợc bảo trì bởi nhà cung cấp (ISP) nên
cũng giảm chi phí bảo trì khi th nhân viên bảo trì.
 Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Một số bất lợi của Extranet :
 Sự đe dọa về tính an tồn, nhƣ bị tấn cơng bằng từ chối dịch vụ vẫn cịn tồn tại.
 Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
 Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra
chậm chạp.
 Do dựa trên Internet, QoS cũng khơng đƣợc bảo đảm thƣờng xun

Hình 1.10 Thiết lập Extranet VPN

21

Nguyễn Văn Mẫn


CHƢƠNG II: GIAO THỨC ĐƢỜNG HẦM VPN
Giao thức đƣờng hầm là một nền tảng trong VPN. Giao thức đƣờng hầm đóng vai trị
quan trọng trong việc thực hiện đóng gói và vận chuyển gói tin để truyền trên đƣờng mạng
cơng cộng. Có ba giao thức đƣờng hầm cơ bản và đƣợc sử dụng nhiều trong thực tế và đang
đƣợc sử dụng hiện nay là giao thức tầng hầm chuyển tiếp lớp 2 L2F, Giao thức đƣờng hầm
điểm tới điểm (PPTP), giao thức tầng hầm lớp 2 Layer. Trong chƣơng này sẽ đi sâu hơn và
cụ thể hơn các giao thức đƣờng hầm nói trên. Nó liên quan đến việc thực hiện IP-VPN trên
mạng công cộng.
Nội dung chƣơng này bao gồm:
 Giới thiệu các giao thức đƣờng hầm
 Giao thức đƣờng hầm điểm tới điểm
 Giao thức chuyển tiếp lớp 2
 Giao thức đƣờng hầm lớp 2
 GRE
 IPSEC
2.1 Giới thiệu các giao thức đƣờng hầm
Có rất nhiều giao thức đƣờng hầm khác nhau trong công nghệ VPN, và việc sử dụng
các giao thức nào lên quan đến các phƣơng pháp xác thực và mật mã đi kèm. Một số giao
thức đƣờng hầm phổ biến hiện nay là:
 Giao thức tầng hầm chuyển tiếp lớp 2 (L2F).
 Giao thức đƣờng hầm điểm tới điểm (PPTP).
 Giao thức tầng hầm lớp 2 (L2TP).
 GRE
 IPSEC
Hai giao thức L2F và PPTP đều đƣợc kế thừa và phát triển dựa trên giao thức PPP (Point to
Point Protocol). Có thể nói PPP là một giao thức cơ bản và đƣợc sử dụng nối tiếp lớp 2, Có
thể sử dụng để chuyển gói tin dữ liệu qua các mạng IP và hỗ trợ đa giao thức lớp trên. Giao

thức L2F đƣợc hãng Cisco nghiên cứu và phát triển độc quyền, cịn PPTP đƣợc nhiều cơng
ty cùng nhau hợp tác nghiên cứu và phát triển. Dựa vào hai giao thức trên đƣợc tổ chức kĩ


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

thuật Internet (IETF) đã phát triển giao thức đƣờng hầm L2TP. Và hiện nay các giao thức
PPTP và L2TP đƣợc sử dụng phổ biến hơn L2F. Trong các giao thức đƣờng hầm nói trên,
giao thức IPSec là một trong nhƣng giải pháp tối ƣu về mặt an tồn dữ liệu của gói tin. Nó
đƣợc sử dụng các phƣơng pháp xác thực và mật mã tƣơng đối cao. IPSec đƣợc mang tính
linh động hơn, khơng bị ràng buộc bởi các thuật tốn xác thực hay mật mã nào cả.
2.2 Giao thức đƣờng hầm điểm tới điểm (PPTP).
Giao thức này đƣợc nghiên cứu và phát triển bởi công ty chuyên về thiết bị công nghệ
viễn thông. Trên cơ sở của giao thức này là tách các chức năng chung và riêng của việc truy
nhập từ xa, dự trên cơ sở hạ tầng Internet có sẵn để tạo kết nối đƣờng hầm giữa ngƣời dùng
và mạng riêng ảo. Ngƣời dùng ở xa có thể dùng phƣơng pháp quay số tới các nhà cung cấp
dịch vụ Internet để có thể tạo đƣờng hầm riêng để kết nối tới truy nhập tới mạng riêng ảo
của ngƣời dùng đó. Giao thức PPTP đƣợc xây dựng dựa trên nền tảng của PPP, nó có thể
cung cấp khả năng truy nhập tạo đƣờng hầm thông qua Internet đến các site đích. PPTP sử
dụng giao thức đóng gói tin định tuyến chung GRE đƣợc mơ tả để đóng lại và tách gói PPP.
Giao thức này cho phép PPTP linh hoạt trong xử lý các giao thức khác.
2.2.1 Nguyên tắc hoạt động của PPTP
PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm việc
ở lớp liên kết dữ liệu trong mơ hình OSI, PPP bao gồm các phƣơng thức đóng gói, tách gói
IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác.
PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để truyền
qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thức đƣờng hầm và dùng
một gói định tuyến chung GRE để đóng gói các khung PPP. Phần tải của khung PPP có thể
đƣợc mã hoá và nén lại.
PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thức kết nối vật lý, xác

định ngƣời dùng, và tạo các gói dữ liệu PPP.
PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP khách có
thể đƣợc đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối
IP. Khi kết nối đƣợc thực hiện có nghĩa là ngƣời dùng đã đƣợc xác nhận. Đó là giai đoạn
tuy chọn trong PPP, tuy nhiên nó ln ln đƣợc cung cấp bởi ISP. Việc xác thực trong quá

23
Nguyễn Văn Mẫn


trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ
chế xác thực đƣợc sử dụng là :
 Giao thức xác thực mở rộng EAP.
 Giao thức xác thực có thử thách bắt tay CHAP.
 Giao thức xác định mật khẩu PAP.
Giao thức PAP hoạt động trên nguyên tắc mật khẩu đƣợc gửi qua kết nối dƣới dạng văn
bản đơn giản và khơng có bảo mật. CHAP là giao thức các thức mạnh hơn, sử dụng phƣơng
pháp bắt tay ba chiều để hoạt động, và chống lại các tấn cơng quay lại bằng cách sử dụng
các giá trị bí mật duy nhất và khơng thể đốn và giải đƣợc. PPTP cũng đƣợc các nhà phát
triển công nghệ đua vào việc mật mã và nén phần tải tin của PPP. Để mật mã phần tải tin
PPP có thể sử dụng phƣơng thức mã hoá điểm tới điểm MPPE. MPPE chỉ cung cấp mật mã
trong lúc truyền dữ liệu trên đƣờng truyền không cung cấp mật mã tại các thiết bị đầu cuối
tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể dùng giao thức IPSec
để bảo mật lƣu lƣợng IP giữa các đầu cuối sau khi đƣờng hầm PPTP đƣợc thiết lập.
Khi PPP đƣợc thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói
các gói truyền trong đƣờng hầm. Để có thể dự trên những ƣu điểm của kết nối tạo bởi PPP,
PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào hai kênh riêng
là kênh điều khiển và kênh dữ liệu. PPTP tách các kênh điều khiển và kênh dữ liệu thành
những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với
giao thức IP. Kết nối TCP tạo ra giữa các máy khách và máy chủ đƣợc sử dụng để truyền

thông báo điều khiển.
Các gói dữ liệu là dữ liệu thơng thƣờng của ngƣời dùng. Các gói điều khiển đƣợc đua
vào theo một chu kì để lấy thơng tin và trạng thái kết nối và quản lý báo hiệu giữa ứng máy
khách PPTP và máy chủ PPTP. Các gói điều khiển cũng đƣợc dùng để gửi các thông tin
quản lý thiết bị, thơng tin cấu hình giữa hai đầu đƣờng hầm.
Kênh điều khiển đƣợc yêu cầu cho việc thiết lập một đƣờng hầm giữa các máy khách
và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP với một giao
diện đƣợc nối với Internet và một giao diện khác nối với Intranet, cịn phần mềm client có
thể nằm ở máy ngƣời dùng từ xa hoặc tại các máy chủ ISP.


Đồ án tốt nghiệp chuyên ngành Mạng Máy Tính

2.2.2 Nguyên tắc kết nối điều khiển đƣờng hầm theo giao thức PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ máy
chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý đƣợc sử dụng để
duy trì đƣờng hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại
phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP. Các gói
tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bản tin điều khiển PPTP
và tiêu đề, phần cuối của lớp liên kết dữ liệu
Tiêu đề liên
kết dữ liệu

Tiêu đề IP

Tiêu đề TCP

Bản tin điều
Khiển PPTP


Phần cuối của liên
kết dữ liệu

Hình 2.1 Gói dữ liệu kết nối điều khiển PPTP

2.2.3 Nguyên lý đóng gói dữ liệu đƣờng hầm PPTP
Đóng gói khung PPP và gói định tuyến chung GRE
Dữ liệu đƣờng hầm PPTP đƣợc đóng gói thơng qua các mức đƣợc mơ tả theo mơ hình.
Tiêu đề liên
kết dữ liệu

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được
mã hố

Phần đi liên
kết dữ liệu

Hình 2.2 Mơ hình đóng gói dữ liệu đƣờng hầm PPTP

Phần tải của khung PPP ban đầu đƣợc mã hố và đóng gói với tiêu đề PPP để tạo ra
khung PPP. Khung PPP sau đó đƣợc đóng gói với phần tiêu đề của phiên bản giao thức
GRE sửa đổi.
GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng
IP. Đối với PPTP, phần tiêu đề của GRE đƣợc sửa đổi một số điểm đó là. Một trƣờng xác

nhận dài 32 bits đƣợc thêm vào. Một bits xác nhận đƣợc sử dụng để chỉ định sự có mặt của
trƣờng xác nhận 32 bits. trƣờng Key đƣợc thay thế bằng trƣờng độ dài Payload 16 bits và
trƣờng chỉ số cuộc gọi 16 bits. Trƣờng chỉ số cuộc gọi đƣợc thiết lập bởi máy trạm PPTP
trong quá trình khởi tạo đƣờng hầm
Đóng gói IP
Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó đƣợc đóng gói với một
tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ
PPTP.

25
Nguyễn Văn Mẫn


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×