Đang tải... (xem toàn văn)
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập vào quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế.Với đề tài: “Tìm hiểu, phân tích và triển khai DM VPN”, chúng em hy vọng có thể phần nào mở rộng cũng như phổ biến và phát triển rộng rãi công nghệ VPN.
Mục lục Danh mục hình ảnh Lời nói đầu Ngày nay, cơng nghệ viễn thơng phát triển nhanh, cơng nghệ mạng đóng vai trò quan trọng việc truyền thơng liệu Chỉ xét góc độ kinh doanh, nhu cầu truyền thông công ty, tổ chức lớn, vd: cơng ty có mạng riêng cho phép chia sẻ tài nguyên máy tính nội Nhưng muốn chi nhánh, văn phòng, nhân viên di động hay đối tác từ xa truy cập vào mạng cơng ty Có nhiều dịch vụ cung cấp Modem quay số, ISDN server hay đường WAN thuê riêng đắt tiền Nhưng với phát triển rộng rãi Internet, số cơng ty kết nối với nhân viên, đối tác từ xa đâu, chí tồn thể giới mà khơng cần phải sử dụng tới dịch vụ đắt tiền kể Nhưng có vấn đề mạng nội công ty chứa tài nguyên, liệu quan trọng mà cho phép người dùng có quyền hạn cấp phép truy cập vào mạng Internet mạng cơng cộng khơng bảo mật Do đó, Internet mối nguy hiểm cho hệ thống mạng, sở liệu quan trọng công ty Sự thông tin qua mơi trường Internet bị làm sai lệch bị đánh cắp Và chỗ để mạng ảo (VPN – Virtual Private Network) chứng tỏ khả VPN cung cấp giải pháp truyền thông liệu thông qua môi trường mạng Internet công cộng với chi phí thấp, hiệu mà bảo mật VPN xây dựng sở hạ tầng sẵn có mạng Internet lại mang tính chất mạng cục sử dụng đường Leasedline Vì vậy, nói VPN lựa chọn tối ưu cho doanh nghiệp thời buổi kinh tế giảm chi phí triển khai tận dụng sở hạ tầng Internet sẵn có Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập vào quốc tế nhu cầu sử dụng VPN vừa đáp ứng yêu cầu thông tin, vừa giải khó khăn kinh tế Với đề tài: “Tìm hiểu, phân tích triển khai DM VPN”, chúng em hy vọng phần mở rộng phổ biến phát triển rộng rãi công nghệ VPN Chương I: TỔNG QUAN VỀ VPN 1.1 Định nghĩa, chức ưu điểm VPN 1.1.1 Khái niệm VPN VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thơng qua mạng cơng cộng mà bảo đảm tính an tòan bảo mật VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi nhận nơi gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ lịêu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng đọc nội dung khơng có khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) Hình 1: Sơ đồ tổng quan VPN cung cấp nhiều đặc tính so với mạng truyền thống mạng mạng leased-line.Những lợi ích bao gồm: • Chi phí thấp mạng riêng: VPN giảm chi phí truyền tới 20- 40% so với mạng thuộc mạng leased-line giảm việc chi phí truy cập từ xa từ 60-80% • Tính linh hoạt cho khả kinh tế Internet: VPN vốn có tính linh hoạt leo thang kiến trúc mạng mạng cổ điển, cách hoạt động kinh doanh nhanh chóng chi phí cách hiệu cho việc kết nối mở rộng Theo cách VPN dễ dàng kết nối ngắt kết nối từ xa văn phòng, vị trí ngồi quốc tế,những người truyền thơng, người dùng điện thoại di động, người hoạt động kinh doanh bên ngồi u cầu kinh doanh đòi hỏi • Đơn giản hóa gánh nặng • Những cấu trúc mạng ống, giảm việc quản lý gánh nặng: Sử dụng giao thức Internet backbone loại trừ PVC tĩnh hợp với kết nối hướng giao thức Frame Rely ATM • Tăng tính bảo mật: liệu quan trọng che giấu người khơng có quyền truy cập cho phép truy cập người dùng có quyền truy cập • Hỗ trợ giao thức mạn thơng dụng TCP/IP • Bảo mật địa IP: thơng tin gửi VPN mã hóa điạ bên mạng riêng che giấu sử dụng địa bên Internet Ưu nhược điểm VPN Ưu điểm • • • • Lưu lượng cá nhân bạn mã hóa truyền an tồn qua Internet Điều giúp bạn tránh xa khỏi mối đe dọa Internet VPN khiến tin tặc gặp khó khăn xâm nhập hay gây trở ngại tới công việc cá nhân doanh nghiệp Bạn yên tâm sử dụng Wifi công cộng lo nghĩ tên tin tặc, đồng thời an tồn kết nối từ xa với máy chủ Với trình bảo mật cao vậy, bạn hồn tồn ẩn danh lướt web Không thế, đa số VPN có giao diện dễ cấu hình, người khơng rành cơng nghệ thao tác Nhược điểm Nhiều trang web trực tuyến trở nên cảnh giác với VPN tạo nhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bị hạn chế • Khơng may người dùng sử dụng VPN vào hoạt động bất hợp pháp, khiến công nghệ bị mang tiếng xấu • Các VPN miễn phí giúp bạn tiết kiệm nhiều tiền, bạn phải trả giá an toàn thân Vì thế, muốn sử dụng VPN có đầy đủ chức cấu hình mạnh bạn phải có ngân sách khá hàng tháng 1.1.3 Các thành phần để tạo kết nối VPN • User Authentication: cung cấp chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối truy cập hệ thống VPN • Address Management: cung cấp địa IP hợp lệ cho người dùng sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội • Data Encryption: cung cấp giải pháp mã hố liệu q trình truyền nhằm bảo đảm tính riêng tư tồn vẹn liệu • Key Management: cung cấp giải pháp quản lý khố dùng cho q trình mã hố giải mã liệu 1.1.4 Các thành phần tạp nên VPN Cisco a Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ trợ cho việc bảo mật VPN VPN tốI ưu hóa router đòn bẩy tồn tạI đầu tư Cisco Hiệu mạng WAN hỗn hợp b Cisco Secure PIX FIREWALL: đưa lựa chọn khác cổng kết nốI VPN bảo mật nhóm “riêng tư” VPN c Cisco VPN Concentrator series: Đưa tính mạnh việc điều khiển truy cập từ xa tương thích vớI dạng site-to-site VPN Có giao diện quản lý dễ sử dụng VPN client d Cisco Secure VPN Client : VPN client cho phép bảo mật việc truy cập từ xa tớI router Cisco Pix Firewalls chương trình chạy hệ điều hành Window e Cisco Secure VPN Client : VPN client cho phép bảo mật việc truy cập từ xa tớI router Cisco Pix Firewalls chương trình chạy hệ điều hành Window f Cisco Secure Policy Manager and Cisco Works 2000 cung cấp việc quản lý hệ thống VPN rộng lớn • 1.2 Các kiểu VPN 1.2.1 Remote Access VPNs Remote Access VPNs cho phép truy cập lúc Remote, mobile, thiết bị truyền thông nhân viên chi nhánh kết nối đến tài nguyên mạng tổ chức Remote Access VPN mô tả việc người dùng xa sử dụng phần mềm VPN để truy cập vào mạng Intranet công ty thông qua gateway VPN concentrator (bản chất server) Vì lý này, giải pháp thường gọi client/server Trong giải pháp này, người dùng thường thường sử dụng công nghệ WAN truyền thống để tạo lại tunnel mạng HO họ Một hướng phát triển remote access VPN dùng wireless VPN, nhân viên truy cập mạng họ thơng qua kết nối không dây Trong thiết kế này, kết nối không dây cần phải kết nối trạm wireless (wireless terminal) sau mạng cơng ty Trong hai trường hợp, phần mềm client máy PC cho phép khởi tạo kết nối bảo mật, gọi tunnel Một phần quan trọng thiết kế việc thiết kế trình xác thực ban đầu nhằm để đảm bảo yêu cầu xuất phát từ nguồn tin cậy Thường giai đoạn ban đầu dựa sách bảo mật cơng ty Chính sách bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…) Một số thành phần chính: • Remote Access Server (RAS) : đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới • Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu • xa so với trung tâm • Hổ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hổ trợ truy cập từ xa người dùng • Hình 2: : The non-VPN remote access set Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài nguyên thông qua Internet Thông tin Remote Access Setup mơ tả hình vẽ sau: Hình 3: The Remote Access VPN setup Như bạn suy từ hình 1.3, thuận lợi Remote Access VPNs: • Sự cần thiết RAS việc kết hợp với modem loại trừ • Sự cần thiết hổ trợ cho người dung cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi bời ISP • Việc quay số từ khoảng cách xa loại trừ , thay vào đó, kết nối với khoảng cách xa thay kết nối cục • Giảm giá thành chi phí cho kết nối với khoảng cách xa • Do kết nối mang tính cục bộ, tốc độ nối kết cao so với kết nối trực tiếp đến khoảng cách xa • VPNs cung cấp khả truy cập đến trung tâm tốt hổ trợ dịch vụ truy cập mức độ tối thiểu cho dù có tăng nhanh chóng kết nối đồng thời đến mạng Ngoài thuận lợi trên, VPNs tồn số bất lợi khác như: • Remote Access VPNs khơng bảo đảm chất lượng phục vụ • Khả liệu cao, thêm phân đoạn gói liệu có thễ ngồi bị thất • Do độ phức tạp thuật toán mã hoá, protocol overhead tăng đáng kể, điều gây khó khăn cho q trình xác nhận Thêm vào đó, việc nén liệu IP PPP-based diễn vơ chậm chạp tồi tệ • Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thông, phim ảnh, âm chậm 1.2.2 Site - To – Site Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ vị trí kết nốI tớI mạng vị trí khác thơng qua VPN Trong hồn cảnh việc chứng thực ban đầu thiết bị mạng giao cho người sử dụng Nơi mà có kết nốI VPN thiết lập chúng Khi thiết bị đóng vai trò gateway, đảm bảo việc lưu thơng dự tính trước cho site khác Các router Firewall tương thích vớI VPN, tập trung VPN chuyên dụng cung cấp chức - - - - Hình 4: Site – to – Site VPN Lan-to-Lan VPN xem intranet VPN extranet VPN(xem xét mặt sách quản lý) Nếu xem xét dướI góc độ chứng thực xem intranet VPN, ngược lạI chúng xem extranet VPN Tính chặt chẽ việc truy cập site điều khiển hai(intranet extranet VPN) theo site tương ứng chúng Giải pháp Site to site VPN khơng remote access VPN thêm vào tính chất hồn thiện Sự phân biệt remote access VPN Lan to Lan VPN đơn mang tính chất tượng trưng xa cung cấp cho mục đích thảo luận Ví dụ thiết bị VPN dựa phần cứng mớI(Router cisco 3002 chẳng hạn) để phân loạI được, phảI áp dụng hai cách, bởI harware-based client xuất thiết bị truy cập vào mạng Mặc dù mạng có nhiều thiết bị VPN vận hành Một ví dụ khác chế độ mở rộng giảI pháp Ez VPN cách dùng router 806 17xx Lan-to-Lan VPN kết nốI hai mạng riêng lẻ thông qua đường hầm bảo mật đường hầm bảo mật sử dụng giao thức PPTP, L2TP, IPSec, mục đích Lan-to-Lan VPN kết nốI hai mạng khơng có đường nốI lạI vớI nhau, khơng có việc thỏa hiệp tích hợp, chứng thực, cẩn mật liệu bạn thiết lập Lan-to-Lan VPN thông qua kết hợp thiết bị VPN Concentrators, Routers, and Firewalls Kết nốI Lan-to-Lan thiết kế để tạo kết nốI mạng trực tiếp, hiệu bất chấp khoảng cách vật lý chúng Có thể kết nốI luân chuyển thông qua internet mạng không tin cậy.Bạn phảI đảm bảo vấn đề bảo mật 10 3.2 Triển khai DM-VPN 3.3 Demo Mơ hình mạng doanh nghiệp Tạo interface tunnel đặt ip tunnel router: Trên router site tạo interface tunnel đặt địa tương ứng sử dụng mGRE câu lệnh tunnel mode gre multipoint 44 Kiểm tra kết nối Router qua tunnel Kiểm tra ping từ Hub đến Spoke hay từ Spoke1 đến Spoke2 nhận kết thất bại Điều xảy Router chưa cấu hình giao thức NHRP nên khơng biết địa IP public đối phương để trao đổi liệu.Vậy nên bước ta cấu hình giao thức NHRP router Cấu hình giao thức NHRP Cấu hình router HUB Cấu hình network-id router giống nhau, câu lệnh ip nhrp map multicast dynamic cho phép gửi tin multicast Cấu hình router Spoke1 45 Trên router khai báo network-id HUB Các câu lệnh: Ip nhrp nhs 192.168.1.1 -> Khai báo HUB NHRP server Ip nhrp map 192.168.1.1 11.11.11.1 -> Mapping địa tunnel với địa Public HUB (ip public HUB static để Spoke biết được) Ip nhrp registration no-unique -> Câu lệnh cho phép Spoke thay đổi IP public (nên Spoke dùng IP public động) Sau cấu hình Spoke gửi registration request để thơng báo địa IP public tới Hub (NHRP Server) Sau cấu hình NHRP, Spoke1 Spoke2 gửi tin NHRP registration request lên cho NHRP server để báo cho HUB biết ip public nó, sau HUB gửi tin reply để thông báo thành công.Sau HUB lưu thơng tin ip vào bảng nhrp cache Bản tin registration reques từ Spoke1 gửi lên server 46 [Type a quote from the document or Bản tin registration reques từ the summary of an interesting point Spoke2 gửi lên server You can position the text box anywhere in the document Use the Drawing Tools tab to change the formatting of the pull quote text box.] Trong tin registration request mà Spoke gửi lên server chứa thông tin IP NBMA (IP public) IP interface tunnel để NHRP server ánh xạ Show ip nhrp Show ip nhrp HUB thấy ánh xạ ip tunnel với ip public Spoke, router HUB ánh xạ cách tự động(mode dynamic) qua interface tunnel Show spoke thấy map ip tunnel ip public HUB(NHRP server) ta vừa cấu hình (mode static) qua interface tunnel Kiểm tra kết nối từ Spoke1 đến Spoke2 47 Các tin gửi từ Spoke1 Khi Spoke1 muốn gửi liệu đến Spoke2, gửi tin NHRP resolution request lên HUB để hỏi IP public Spoke2 Thơng tin gói tin ICMP gửi từ Spoke1 Địa đích địa HUB Khi chưa biết IP public Spoke2, gói tin icmp phải gửi qua HUB forward sang Spoke2, sau Spoke2 reply lại qua HUB trở Spoke1 Vì ta kiểm tra thơng tin ta thấy ip public destination tin địa HUB (NHRP server) 48 Ngo ài ta thấy cấu trúc gói tin thêm trường Generic Routing Encapsulation(IP) vào trường hiển thị thông tin ip private ip public, điều cho thấy gói tin bên đóng gói giao thức GRE Sau Spoke1 gửi tin Resolution Request lên HUB để hỏi IP public Spoke2, HUB nhận gửi lại tin reply Kiểm tra thông tin ta thấy thông tin quan trọng Spoke2: NBMA Address: 33.33.33.1 -> Là địa Public Spoke2 Protocol Address: 192.168.1.3 -> Là địa interface tunnel Spoke2 49 50 Kiểm tra thơng tin gói tin ICMP sau nhận tin Resolution Request từ HUB Ta thấy địa đích ip destination địa Spoke2: 33.33.33.1 Điều cho thấy gói tin ping gửi từ Spoke1 truyền đến thẳng Spoke2 mà không cần qua HUB trung gian, Spoke2 reply lại thẳng đến Spoke1 Show bảng nhrp cache Spoke1 Spoke2 Sau Spoke2 nhận gói tin icmp gửi từ Spoke1, lưu thơng tin Spoke1 lưu vào bảng nhrp cache 51 Sau Router thông qua tunnel, ta định tuyến để Lan site liên lạc với Kiểm tra ping: Ta thấy kết báo thất bại, việc kiểu mạng môi trường mGRE kiểu multi-access kết nối đa điểm,nhưng mặc định interface tunnel dùng giao thức định tuyến ospf kiểu point-to-point kết nối điểm với điểm, nên trường hợp router thiết lập neighbor với Ta phải đổi type network thành broadcast để router thiết lập neighbor với Cần phải thay đổi tất router Kiểm tra bảng định tuyến router Trên HUB 52 Trên Spoke1 Trên Spoke2 Lúc mạng Lan kết nối đến Kiểm tra kết nối mạng LAN Kiểm tra traffic liệu 53 Dữ liệu truyền trực tiếp đến Spoke mà không cần qua HUB trung gian Thơng tin gói tin ICMP gửi từ 2.2.2.1 đến 3.3.3.1 Cấu hình IPsec để đảm bảo an tồn gói tin 54 Gói tin sau mã hóa 55 Kết Luận Hiện VPN sử dụng rộng rãi ngày phát triển với công nghệ khác nhau.Mặc dù vậy,khi triển khai với mơ hình site-to-multisite VPN thơng thường có nhược điểm Đó điểm kết nối phải thuê địa tĩnh; đồng thời router đóng vai trò trung tâm phải thực việc cấu hình nhiều phức tạp Thêm vào đó, điểm muốn kết nối với phải thông qua router trung tâm mà kết nối trực tiếp Từ hạn chế nảy sinh công nghệ DMVPN Công nghệ bước phát triển VPN nhằm cải thiện hạn chế Với DMVPN, việc cấu hình trở nên đơn giản, kết nối thực cách tự động chi phí bỏ VPN thơng thường 56 Tài liệu tham khảo Tài liệu “Dynamic Multipoint IPsec VPNs ” download từ trang web http://www.cisco.com Tài liệu “DYNAMIC MULTIPOINT VPN HUB AND SPOKE INTRODUCTION” năm 2004 Cisco System Tài liệu “INTRODUCTION TO DYNAMIC MULTIPOINT VPN- SECURITY TECHNOLOGY GROUP” năm 2004 Cisco System .“VPN Technology,” www.Google.com.vn “Device”+ “VPN” www.Google.com.vn Appian Communications.“Virual Ethernet Rings: LANs Across the WAN,” While pager, www.appiancom.com, January 2004 Kawamoto, Wayne “New Generaion of 10 Gigabit Ethernet Products,” ISP Planet (May 24, 2005) Titch, Steven “GigE Evolution,” American’s Network Magazine,(January 15, 2006) Regis J.(BUD) Bates GPRS “ General Packet Radio Service”(May 27, 2005) 10 Hoàng Minh Sơn “Mạng truyền thông công nghiệp”(Nhà xuất Khoa Học Kỹ Thuật 2006) 11 Dương Thế Tùng – “Mạng truyền dẫn tốc độ cao – Công nghệ & Ứng dụng”(Nhà xuất Thanh Niên 2005 12 Bài nhóm Báo cáo, thông tin từ số trang web, diễn đàn mạng như: dientuvienthong.net, vnpro.org,… 57 NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… ………………………………………………………………………………………………………………………… Hà nội ngày ….tháng ….năm 2018 Giáo viên hướng dẫn 58 ... Vì vậy, nói VPN lựa chọn tối ưu cho doanh nghiệp thời buổi kinh tế giảm chi phí triển khai tận dụng sở hạ tầng Internet sẵn có Ở Việt Nam, kinh tế thời kỳ phát triển hội nhập vào quốc tế nhu cầu... thông tin, vừa giải khó khăn kinh tế Với đề tài: “Tìm hiểu, phân tích triển khai DM VPN”, chúng em hy vọng phần mở rộng phổ biến phát triển rộng rãi công nghệ VPN Chương I: TỔNG QUAN VỀ VPN 1.1... hợp công nghệ IPsec, mGRE NHRP Các công nghệ kết hợp lại cho phép triển khai IPsec mạng riêng ảo cách dễ dàng 2.1.3 Tính chất DM –VPN DMVPN không làm thay đổi chuẩn đường hầm IPsec VPN thay đổi