Thiết kế và triển khai VPN Client to Site cho mạng LAN LỜI NÓI ĐẦU Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin. Cùng với sự phát triển như vũ bão của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông máy tính đã và đang phát triển không ngừng. Mạng máy tính toàn cầu internet đã và đang trở thành nhu cầu bức thiết cho mọi người. Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi. Ngày nay có khoảng 50 – 60 triệu người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú. Từ các ứng dụng truy xuất từ xa như: NC (Network Computer), WWW,VPN… thì mạng máy tính đồng thời cung cấp môi trường truyền thông tốt cho các dịch vụ thư tín điện tử (Email), tin tức, các hệ quản trị dữ liệu phân bố…… Tuy nhiên khi internet làm giảm đi ranh giới giữa các nhà tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các bí mật, các tài nguyên thông tin cũng tăng lên. Theo thông kê, số vụ tấn công và xâm phạm tài nguyên thông tin trên internet mỗi năm tăng lên 100% so với năm trước. Làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng không bị sao chép, sửa đổi hay phá hủy, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời Đinh Duy Tú 1 Thiết kế và triển khai VPN Client to Site cho mạng LAN vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng…. Vấn đề này đã trở nên hết sức quan trọng. Tuy nhiên để cho người quản trị hệ thống mạng có thể đảm bảo yêu cầu trên, họ cần có những công cụ hữu hiệu. Với lý do trên, em chọn đề tài “Thiết kế và triển khai VPN Client to Side trong mạng Lan” là đề tài nguyên cứu của em. VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet. Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Đinh Duy Tú 2 Thiết kế và triển khai VPN Client to Site cho mạng LAN Nội dung của đề tài chia làm bốn chương: Chương 1. Tổng quan về mạng máy tính Giới thiệu kiến thức cơ bản về mạng, mô hình mạng, giao thức mạng, hệ điều hành mạng, mô hình OSI, các thiết bị cơ bản trong mạng LAN và WAN, các dịch vụ trên mạng, các hiểm họa và phương pháp tấn công trên mạng. Bên cạnh đó tìm hiểu về Firewall và mạng VPN. Chương 2. Tổng quan về công nghệ VPN Giới thiệu khái quát chung, phân loại, các sản phẩm công nghệ, các giao thức, các kỹ thuật Tunneling, lợi ích, ưu và nhược điểm của công nghệ VPN. Chương 3. Thiết kế mô hình VPN Client to Site Đưa ra tình huống, phân tích, thiết kế và mô hình triển khai thực tế. Chương 4. Triển khai cài đặt mô hình VPN Client to Site Các bước cài đặt chủ yếu và những chú ý cần thiết khi triển khai mô hình. Đinh Duy Tú 3 Thiết kế và triển khai VPN Client to Site cho mạng LAN CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH 1.1 Khái niệm cơ bản 1.1.1Định nghĩa Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theo một cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau. Hình 1.1 Mô hình mạng cơ bản 1.1.2Kiến trúc mạng • Mạng dạng sao (Star topology): ở dạng sao, tất cả các trạm được nối vào một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển tín hiệu đến trạm đích với phương thức kết nối là “điểm - điểm”. Hình 1.2 Cấu trúc mạng dạng sao Đinh Duy Tú 4 Thiết kế và triển khai VPN Client to Site cho mạng LAN • Mạng dạng tuyến (Bus topology): trong dạng tuyến, các máy tính đều được nối vào một đường dây truyền chính (bus). Đường truyền chính này được giới hạn hai đầu bởi một loại đầu nối đặc biệt gọi là terminator (dùng để nhận biết là đầu cuối để kết thúc đường truyền tại đây). Mỗi trạm được nối vào bus qua một đầu nối chữ T (T_connector) hoặc một bộ thu phát (transceiver). Hình 1.3 Cấu trúc mạng dạng tuyến • Mạng dạng vòng (Ring topology): các máy tính được liên kết với nhau thành một vòng tròn theo phương thức “điểm - điểm”, qua đó mỗi một trạm có thể nhận và truyền dữ liệu theo vòng một chiều và dữ liệu được truyền theo từng gói một. Hình 1.4 Cấu trúc mạng dạng vòng Đinh Duy Tú 5 Thiết kế và triển khai VPN Client to Site cho mạng LAN • Mạng dạng lưới (Mesh topology): một máy tính trong mạng có thể kết nối tới nhiều máy tính. Hinh 1.5 Cấu trúc mạng dạng lưới 1.1.3Mô hình mạng • LAN (Local Area Network) - Mạng cục bộ, kết nối các máy tính trong một khu vực bán kính hẹp thông thường khoảng vài trăm mét. Hình 1.6 Mô hình mạng LAN • MAN (Metropolitan Area Network) - Kết nối các máy tính trong phạm vi một thành phố. Đinh Duy Tú 6 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình 1.7 Mô hình mạng MAN • WAN (Wide Area Network) - Mạng diện rộng, kết nối máy tính trong nội bộ các quốc gia hay giữa các quốc gia trong cùng một châu lục. Hình 1.8 Mô hình mạng WAN • GAN (Global Area Network) - Kết nối các máy tính từ các châu lục khác nhau. 1.1.4Hệ điều hành mạng • Windows NT/2000: Windows NT là một hệ điều hành cấp cao của Windows cung cấp các thao tác hoàn toàn 32-bit trên các hệ thống đơn hay đa xử lý. Đinh Duy Tú 7 Thiết kế và triển khai VPN Client to Site cho mạng LAN • UNIX: Một hệ điều hành được dùng trong nhiều loại máy tính khác nhau, từ các máy tính lớn cho đến các máy tính cá nhân, nó có khả năng đa nhiệm phù hợp một cách lý tư}ng đối với các ứng dụng nhiều người dùng. • Linux: Linux là hệ điều hành “giống” Unix - 32 bit chạy được trên nhiều trạm bao gồm các bộ xử lý Intel, SPARC, PowerPC và DEC Alpha cũng như những hệ thống đa xử lý. 1.2 Mạng LAN và WAN 1.2.1Giao thức và mô hình truyền thông 1.2.1.1 Khái niệm giao thức Là một chuẩn của tổ chức mạng đưa ra cho phép các máy tính trên mạng giao tiếp vơi nhau một cách thống nhất. 1.2.1.2 Mô hình OSI Năm 1984, tổ chức Tiêu chuẩn hóa Quốc tế - ISO (International Standard Organization) chính thức đưa ra mô hình OSI (Open Systems Interconnection), là tập hợp các đặc điểm kỹ thuật mô tả kiến trúc mạng dành cho việc kết nối các thiết bị không cùng chủng loại. Mô hình OSI được chia thành 7 tầng, mỗi tầng bao gồm những hoạt động, thiết bị và giao thức mạng khác nhau. Đinh Duy Tú 8 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình 1.13 Mô hình OSI • Tầng vật lý (Physical): là tầng thấp nhất, có chức năng là truyền dòng bit không có cấu trúc qua đường truyền vật lý. • Tầng liên kết dữ liệu (Data Link): cung cấp phương tiện để truyền thông tin qua liên kết vật lý đảm bảo tin cậy. • Tầng mạng (Network): thực hiện việc chọn đường và chuyển tiếp thông tin với công nghệ chuyển mạch thích hợp. • Tầng giao vận/vận tải (Transport): thực hiện truyền dữ liệu giữa hai đầu mút, kiểm soát lỗi. • Tầng phiên (Session): cung cấp phương tiện quản lý truyền thông giữa các ứng dụng. • Tầng trình diễn (Presentation): chuyển đổi cú pháp dữ liệu để đáp ứng yêu cầu truyền dữ liệu của các ứng dụng qua môi trường OSI và nén, mã hóa dữ liệu. Đinh Duy Tú 9 Thiết kế và triển khai VPN Client to Site cho mạng LAN • Tầng ứng dụng (Applications): xác định giao diện giữa người sử dụng và môi trường OSI. 1.2.1.3 Các giao thức phổ biến • Giao thức TCP/IP: nằm ở tầng giao vận (Transport) của mô hình OSI. Ưu thế chính của bộ giao thức này là khả năng liên kết hoạt động của nhiều loại máy tính khác nhau. Giao thức này đã trở thành tiêu chuẩn thực tế cho kết nối liên mạng cũng như kết nối Internet toàn cầu. Hình 1.14 Giao thức TCP/IP • IPX/SPX: Đây là bộ giao thức sử dụng trong mạng Novell. Ưu thế chính là nh}, nhanh và hiệu quả trên các mạng cục bộ đồng thời hỗ trợ khả năng định tuyến. Hình 1.15 Giao thức IPX/SPX Đinh Duy Tú 10 [...]... các chi nhánh này sẽ kết nối lại với nhau thành một mạng riêng duy nhất (Intranet VPN) và kết nối LAN to LAN • Các VPN mở rộng ( Extranet VPN ) Khi một công ty có quan hệ mật thiết với công ty khác (ví dụ như một đối tác, nhà cung cấp hay khách hàng) họ có thể xây dựng một extranet VPN nhằm kết nối Lan to Lan và cho phép các Đinh Duy Tú 25 Thiết kế và triển khai VPN Client to Site cho mạng LAN công... thông tin điều khiển (header, trailer) cho biết nguồn gửi và đích nhận 1.2.3.1.2 Phương tiện truyền dẫn • Bộ điều giải (Modems) Đinh Duy Tú 14 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình 1.21 Modems • Cổng ra vào (Gateway) Hình 1.22 Gateway • Bộ định tuyến (Router) Hình 1.23 Router Đinh Duy Tú 15 Thiết kế và triển khai VPN Client to Site cho mạng LAN 1.2.3.2 Các chuẩn WAN • ISDN (Intergrated... Tú 23 Thiết kế và triển khai VPN Client to Site cho mạng LAN 2.1.2 Khái niệm VPN Hình 2.1 Mô hình mạng VPN cơ bản VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng. .. mua thiết bị và đường dây cho mạng WAN riêng • Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa Đinh Duy Tú 34 Thiết kế và triển khai VPN Client to Site cho mạng LAN • Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho. .. hình VPN truy cập từ xa 2.2.2 VPN điểm nối điểm (Site to Site) Đây là cách kết nối nhiều văn phòng trụ sở xa nhau thông qua các thiết bị chuyên dụng và một đường truyền được mã hoá ở qui mô lớn hoạt động trên nền Internet Site to Site VPN gồm 2 loại: • Các VPN nội bộ (Intranet VPN ) Đây là kiểu kết nối site to site VPN Các chi nhánh có riêng một Sever VPN và kết nối lại với nhau thông qua Internet Và. .. một mạng VPN , nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa Các chuẩn truyền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN Nói tóm lại, Đinh Duy Tú 29 Thiết kế và triển khai VPN Client to Site cho mạng LAN kỹ thuật Tunneling cho. .. chuẩn hoá một cách to n diện, các nhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình Vì vậy cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, Đinh Duy Tú 28 Thiết kế và triển khai VPN Client to Site cho mạng LAN cũng như đảm bảo tính đồng bộ của thiết bị sử dụng Trên thế giới hiện có tới 60 giải pháp khác nhau liên quan đến VPN 2.5 Thiết lập kết nối Tunnel 2.5.1... Phân loại VPN 2.2.1 VPN truy cập từ xa (Remote Access) Remote Access, hay còn gọi là virtual private dial-up network (VPDN) Cung cấp các truy cập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ tầng chia sẻ Access VPN, đây là kết nối user to LAN dành cho nhân viên muốn kết nối từ xa đến mạng cục bộ công ty bằng dial-up Đinh Duy Tú 24 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình... dịch vụ thông dụng nhất trong mọi hệ thống mạng dù lớn hay nhỏ 1.4 Cơ bản an to n mạng 1.4.1 Các hiểm họa trên mạng Các hiểm họa trên mạng do các lỗ hổng gây ra, các lỗ hổng này trên mạng là các yếu điểm quan trọng mà người dùng, hacker dựa đó để tấn công vào mạng Các hiện tượng sinh ra trên mạng Đinh Duy Tú 17 Thiết kế và triển khai VPN Client to Site cho mạng LAN do các lỗ hổng này mang lại thường là.. .Thiết kế và triển khai VPN Client to Site cho mạng LAN • ATP Hình 1.16 Giao thức ATP • NetBEUI: Bộ giao thức thu nhỏ, nhanh và hiệu quả được cung cấp theo các sản phẩm của hãng IBM, cũng như sự hỗ trợ của Microsoft Bất lợi chính của bộ giao thức này là không hỗ trợ định tuyến và sử dụng giới hạn ở mạng dựa vào Microsoft 1.2.2 Mạng LAN 1.2.2.1 Bốn tiêu chí mạng LAN • Phương tiện truyền . công nghệ VPN. Chương 3. Thiết kế mô hình VPN Client to Site Đưa ra tình huống, phân tích, thiết kế và mô hình triển khai thực tế. Chương 4. Triển khai cài đặt mô hình VPN Client to Site Các bước. và những chú ý cần thiết khi triển khai mô hình. Đinh Duy Tú 3 Thiết kế và triển khai VPN Client to Site cho mạng LAN CHƯƠNG 1 TỔNG QUAN MẠNG MÁY TÍNH 1.1 Khái niệm cơ bản 1.1.1Định nghĩa Mạng. 14 Thiết kế và triển khai VPN Client to Site cho mạng LAN Hình 1.21 Modems • Cổng ra vào (Gateway) Hình 1.22 Gateway • Bộ định tuyến (Router) Hình 1.23 Router Đinh Duy Tú 15 Thiết kế và triển khai