46 2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol ) Đây là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoá công cộng (public key technology) để thực hiện việc xác thực người dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một điểm đáng lưu ý là L2TP không thể sử dụng để thực hiện mã hoá. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000. Hình 37 Giao thức L2TP 2.6.3 Giao thức bảo mật IP – Ipsec Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hoá. Lợi điểm lớn nhất của IPSec là giao thức này có thể được sử dụng để thiết lập một VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là người dùng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000. 47 Hình 38 Giao thức IPSec Ngoài ra còn có giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở để xây dựng nên L2TP. 2.7 LỢI ÍCH CỦA VPN 2.7.1 Đối với khách hàng  Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng. Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so với chi phí của việc dùng kênh kết nối riêng. Ðiều này đặc biệt có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời gian và đáp ứng nhu cầu làm việc trực tuyến. + Giảm thiểu thiết bị sử dụng. + Giảm thiểu chi phí kênh kết nối đường dài. + Giảm thiểu việc thiết kế và quản lý mạng. + Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng. 48  Quản lý dễ dàng : Khách hàng có khả năng quản lý số lượng người sử dụng (khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng). Hiện nay nhu cầu sử dụng tư vấn từ bên ngoài, các nguổn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một xu hướng. Tổ chức IDC dự đoán nhu cầu sử dụng các dịch vụ quản lý mạng từ bên ngoài tăng từ 2,4 tỷ trong năm 1998 lên 4,7 tỷ trong năm 2002. 2.7.2 Đối với nhà cung cấp dịch vụ  Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo.  Tăng hiệu quả sử dụng mạng Internet hiện tại.  Kéo theo khả năng tư vấn thiết kết mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là các khách hàng lớn.  Ðầu tư không lớn hiệu quả đem lại cao.  Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN. 2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 2.8.1 Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc 49 trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.  Giảm chi phí thường xuyên : VPN cho phép tiết kiệm 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung  Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp.  Truy cập mọi lúc, mọi nơi: Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới.  Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP 50 2.8.2 Nhược điểm Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN. Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém ( thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh… QoS cho VPN cũng là một vấn đề đau đầu. Hai thông số về QoS cho mạng là độ trễ và thông lượng. Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn. Thường QoS trên Internet chỉ là best effort. Khả năng quản lý cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận về các thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%. 51 CHƯƠNG 3 THIẾT KẾ MÔ HÌNH VPN CLIENT TO SITE 3.1 TÌNH HUỐNG Trung tâm Tin học VSIC có chi nhánh ở Đà Nẵng, tất cả các dữ liệu, máy chủ như Web server, Mail server,… đều đặt tại đây. Các nhân viên làm việc trực tiếp tại trung tâm truy cập vào hệ thống mạng rất thuận lợi, còn nếu những nhân viên đi công tác xa hay những nhân viên ở nhà muốn truy cập vào hệ thống mạng của trung tâm lấy dữ liệu thì sao? Lúc này phải có một giải pháp nào đó để những nhân viên này truy cập vào hệ thống mạng một cách thuận lợi. 3.2 PHÂN TÍCH VÀ THIẾT KẾ 3.2.1 Thiết bị sử dụng  Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dial-up, ADSL… 52  Trong công ty có các máy chủ như VPN server, Mail server, Web server…và kết nối Internet qua Router ADSL. 3.2.2 Hệ điều hành và giao thức  Hệ điều hành chủ yếu là Window Server 2003 và Window XP.  Giao thức dùng trong hệ thống mạng là TCP/IP. 53 3.3 MÔ HÌNH TRIỂN KHAI Hình 39 Mô hình Client to Site Mô hình gồm có:  1 máy tính VPN SERVER cài hệ điều hành Window Server 2003, có 2 card mạng tương ứng với địa chỉ IP là 10.3.9.1 (card mạng ngoài) và 192.168.1.20 (card mạng trong).  1 máy DOMAIN CONTROLLER cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.21.  1 máy RADIUS cài hệ điều hành Window Server 2003, có địa chỉ IP là 192.168.1.22. 54  1 máy VPN CLIENT cài hệ điều hành Window server 2003 hoặc Window XP.  1 SWITCH. Yêu cầu đặt ra: Máy tính VPN CLIENT truy cập từ xa vào trong trung tâm theo giao thức Tunneling điểm nối điểm (PPTP), chứng thực bởi Radius Server. CHƯƠNG 4 TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 4.1 CÁC BƯỚC CÀI ĐẶT 4.1.1 Trên máy Domain Controller tạo Group VPN và User 4.1.1.1 Tạo Group VPN Vào Administrative Tools -> Active Directory Users and Computer . CHƯƠNG 4 TRIỂN KHAI CÀI ĐẶT MÔ HÌNH VPN CLIENT TO SITE 4.1 CÁC BƯỚC CÀI ĐẶT 4.1.1 Trên máy Domain Controller tạo Group VPN và User 4.1.1.1 Tạo Group VPN Vào Administrative Tools ->. vụ: Thiết bị sử dụng cho mạng VPN. 2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM 2.8.1 Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với. nhân viên này truy cập vào hệ thống mạng một cách thuận lợi. 3.2 PHÂN TÍCH VÀ THIẾT KẾ 3.2.1 Thiết bị sử dụng  Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông