Phần I: Khái quát về VIRTUAL PRIVATE NETWORK ( VPN )
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật. VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng.
1.1. Các dạng của VPN :
Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:
- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ
thời gian nào.
- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa vào những yêu cầu cơ bản trên VPN được chia thành :
- Mạng VPN truy cập từ xa (Remote Access VPN).
- Mạng VPN cục bộ (Intranet VPN).
- Mạng VPN mở rộng (Extranet VPN).
1.1.1. Remote Access VPN :
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng đến LAN , thường là nhu cầu của một tổ chức có nhiều nhân viên cần kiên hệ đến mạng riêng của công ty từ nhiều địa điểm rất xa.
VD: công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ. sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
Các thành phần chính của Remote Access Network:
-Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
-Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
-Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.
-Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua internet.
Thông tin Remote Access Setup được mô tả bởi hình sau:
Ưu và khuyết điểm của Remote Access VPN :
Các ưu và khuyết điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống:
a) Ưu điểm :
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
b) Khuyết điểm :
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng
dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. Thêm vào đó việc nén dữ liệu IP xảy ra chậm.
- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn
thì sẽ rất chậm.
VPN Site to Site (LAN to LAN ):
LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu.
Gồm 2 loại : Intranet và Extranet :
Intranet VPN ( Mạng VPN cục bộ ) :
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site.
Những ưu điểm của mạng VPN cục bộ :
-Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ).
-Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
-Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,
nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
-Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Các nhược điểm đi cùng:
- Khả năng bị mất gói khi truyền dữ liệu vẫn rất cao.
- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
Extranet VPN (Mạng VPN mở rộng ):
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà
cung cấp…
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to– Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
Phần khái quát vẫn còn hơi sơ xài các bạn có thể tìm hiểu thêm. Mình sẽ đi vào nội dung chính của bài lab này.
Phần 2: THIẾT LẬP MÔ HÌNH VPN SERVER TRÊN WINDOWS 2003
1.Xây dựng một Remote Access VPN :
1.1. Yêu cầu phần cứng :
- Một modem ADSL
- Cần có một đường truyền ADSL tốc độ cao (Nếu là dịch vụ ADSL với địa chỉ IP tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.
- Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000 làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên
ngoài ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch
vụ Dynamic DNS như dynDNS.org hay no-ip.com) để kết nối với bên ngoài (Internet).
1.2. Yêu cầu phần mềm :
- Một máy tính VPN server sử dụng Windows server 2003.
- Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7.
Mô hình Remote Access VPN :
Gồm một máy tính làm server VPN và một máy client :
Máy VPN server :
IP Address : 192.168.1.200
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.1
Preferred DNS Server : 210.245.24.20
Máy VPN client :
IP Address : 192.168.1.X ( X nằm trong dãi từ 1 đến 255)
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.1
Preferred DNS Server : 210.245.24.20
2.Các bước thực hiện :
a) Đăng ký một DDNS (Dynamic Domain Name System – Hệ thống
tên miền động) :
Internet.
DDNS có nhiệm vụ có nhiệm vụ cập nhật địa chỉ IP WAN cho kết nối
Để thuận tiện cho quá trình truy cập người ta sử dụng tên miền thay thế cho IP WAN. Giả sử ta có tên miền là ttp07b.homeip.net tương ứng với địa chỉ IP WAN 118.112.10.156 , khi IPWAN thay đổi thành 1 địa chỉ khác như 118.68.9.169 thì dịch vụ DDNS sẽ tự động cập nhật địa chỉ IPWAN mới cho tên miền ttp07b.homeip.net.
=> Như vậy chúng ta không cần quan tâm IP WAN mà chỉ cần nhớ đến tên miền mà thôi.
Ta có thể đăng ký tài khoản ở các trang no-ip.com hoặc dyndns.com . Sau khi đăng ký xong thì mở mail kích hoạt tài khoản , vào lại trang no-ip.com hoặc dyndns.com đăng nhập bằng accoutn đã đăng ký rồi tạo một tên miền .
Sau đó click Next để hoàn thành .
b) Cấu hình một VPN server trên Windows 2003 :
Bước 1 : Cài đặt các dịch vụ trên Routing and Remote Access.
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection Sharing (ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định sau khi cài là Automatic).
Chạy Services Manager bằng cách click Start->Programs-> Administrative Tools->Services. Giao diện của Services Manager như hình :
Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS),
tiến hành cài đặt VPN Server.
Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách
click Start->Programs->Administrative Tools-> Manager Your Server.
Nhấp vào Add or remove a role để tạo thêm các dịc vụ.
Click Next để tiếp tục
Click Next để tiếp tục.
Click Next để tiếp tục.
Click Next để tiếp tục vào cấu hình VPN .
Cho phép cấu hình Routing and Remote Access Server.
chọn VPN server và LAN routing.
Cho phép lựa chọn các dịch vụ có trong Routing and Remote Access.
dịch vụ đã được cài đặt , nhấn Finish để hoàn thành.
Nhấn Next để Start các dịch vụ đó
Nhấn Finish để kết thúc. Sau bước này là cấu hình VPN server
Bước 2 : Cấu hình VPN server :
: Manage Server.
Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server (như hình). Hoặc có thể click Start-> Programs-> Administrative Tools -> Routing and Remote Access.
Chú ý : trên menu chuột phải có một số chức năng cần quan tâm:
- Disable Routing and Remote Access: Chức năng này được sự dụng khi ta muốn xoá cấu hình Routing and Remote Access cũ để tạo 1 cấu hình mới. Sau khi disable, trên menu chuột phải nói trên, chọn Configure and Enable Routing and Remote Access, để cấu hình một Routing and Remote Access mới.
- All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart được sử dụng đối với service Enable Routing and Remote Access. Việc này cũng tương tự như khi sử dụng Service Manager.
Cần chú ý đến 3 tab là General, Security và IP.
Trong Tab General, cần kiểm tra mục Router và Remote access server đã được check. Mục Router cho phép định tuyến các yêu cầu từ VPN Client đến các máy trong mạng nội bộ. Mục Remote access server cho phép các VPN client kết nối đến được. Nên chọn LAN and demand-dial routing.
Tab này cho phép lựa chọn Authentication provider và Accounting provider. Nếu trong mạng nội bộ có 1 máy tính cài RADIUS, có thể lựa chọn Authentication provider và Accounting provider là RADIUS. Trong phần này, lựa chọn Windows
Authentication và Windows Accounting.
Chọn Static address pool rồi chọn Add.
Trong hình nhập các giá trị vào các ô Start IP address và End IP address. Các IP trong dải này sẽ được cấp tự động cho mỗi kết nối VPN.
Bước 3 : Remote Access Policies :
Bước cuối cùng là cho phép truy cập qua Remote Access Policies.
Trong hình chọn Remote Access Policies. Remote Access Policies có 2 lựa chọn là Connections to Microsoft Routing and Remote Access Server và Connections to other access server. Chuột phải vào Connections to Microsoft Routing and Remote Access Server, trên menu chuột phải chọn Properties.
Trong hình lựa chọn Grant remote access permission, sau đó nhắp OK để xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to other access server.
Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối
VPN.
Bước 4 :Tạo một user trên Windows cho phép sử dụng VPN :
Như đã biết, việc tạo user trên Windows sử dụng Computer Manager. Để
chạy Computer Manager, click Start -> Programs->Administrative Tools-
>Computer Manager. Giao diện chính của Computer Manager như bên dưới.
Trên hình chọn System Tools->Local Users and Groups->Users. Sau đó chuột phải vào user muốn cho phép dùng VPN, ví dụ user client. Trên menu chuột phải, nhắp Properties.
Trên hình chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu muốn chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static IP Address. Sau đó gõ địa chỉ IP vào ô tương ứng. Địa chỉ này có thể nằm ngoài dải IP mà ta đã chọn ở trên. Tuy nhiên nó nên nằm cùng lớp với dải IP đó.
Sau bước này, user client có thể kết nối VPN đến VPN Server.
c) NAT port 1723 trên Modem ADSL :
Modem được cấu hình trong ví dụ này là ZyXEL P-660H-T1 v2. Mở trình duyệt gõ 192.168.1.1. Password là 1234.
Password là 1234.
Chọn Ignore để vào giao diện chính.
Sau khi vào được giao diện chính chọn Tab Advanced để khai báo tên miền động.
Chọn thanh Dynamic DNS trong Tab Advanced. Đánh dấu check vào ô Active Dynamic DNS và khai báo tên miền , account , password đã đăng ký ở trang dyndns.com -> sau đó Apply để thực thi.
Sau đó vào Tab Security chọn thanh Firewall. Bỏ chọn nút check ở ô Active Firewall.
Trong Tab Network chọn thanh NAT, màn hình bên phải chọn Tab Port Forwarding. Sau đó chọn giao thức PPTP trong ô Service Name rồi gõ địa chỉ IP của VPN server -> sau đó Add lại.
Như vậy là đã mở port 1723 trong modem ADSL. Bước tiếp theo là kiểm tra port đó đã mở thành công chưa . Vào trang web canyouseeme.org để kiểm tra.
Gõ port 1723 vào ô màu đỏ và nhấn nút check để kiểm tra.
c) Cài đặt VPN client trên Windows 7 :
Vào Control Panel chọn Network and Sharing Center .
Open mục đó :
Chọn thanh Set up a new connection or network.
Trong ô Set up a connection or Network chọn Connect to a workplace.
Trong ô Connection to a Workplace đánh dáu check vào ô màu đỏ.
Chọn mục Use my Internet connection (VPN).
Trong ô Connection to a Workplace gõ địa chỉ tên miền động đã đăng ký từ trước vào ô Internet address . Sau đó chọn Next. Trong ví dụ này gõ là
ttp07b.homeip.net.
Gõ user name và password mà VPN server đã cấp trước đó. Phần Domain bỏ trống.
Nếu được như hình trên là chúng ta đã kết nối thành công.
Để tiện cho việc sử dụng vào lần sau ta tạo shortcut ra ngoài màn hình desktop và lần truy nhập sau sẽ như hình dưới.
Ta nhập vào user và password để truy nhập đến máy chủ VPN.
Kết luận :
- Với công nghệ thông tin phát triển như hiện nay áp dụng các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý các văn phòng một cách có hiệu qủa.
- Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang ngày càng phát triển mạnh ở nước ta như hiện nay.
- Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó, nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh. Nó sẽ là nền tảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian địa lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong doanh nghiệp mình.
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật. VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng.
1.1. Các dạng của VPN :
Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:
- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ
thời gian nào.
- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa vào những yêu cầu cơ bản trên VPN được chia thành :
- Mạng VPN truy cập từ xa (Remote Access VPN).
- Mạng VPN cục bộ (Intranet VPN).
- Mạng VPN mở rộng (Extranet VPN).
1.1.1. Remote Access VPN :
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng đến LAN , thường là nhu cầu của một tổ chức có nhiều nhân viên cần kiên hệ đến mạng riêng của công ty từ nhiều địa điểm rất xa.
VD: công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ. sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
Các thành phần chính của Remote Access Network:
-Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
-Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
-Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.
-Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua internet.
Thông tin Remote Access Setup được mô tả bởi hình sau:
Ưu và khuyết điểm của Remote Access VPN :
Các ưu và khuyết điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống:
a) Ưu điểm :
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
tốc độ cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
b) Khuyết điểm :
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng
dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. Thêm vào đó việc nén dữ liệu IP xảy ra chậm.
- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn
thì sẽ rất chậm.
VPN Site to Site (LAN to LAN ):
LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng không có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu.
Gồm 2 loại : Intranet và Extranet :
Intranet VPN ( Mạng VPN cục bộ ) :
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site.
Những ưu điểm của mạng VPN cục bộ :
-Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ).
-Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
-Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet,
nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
-Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Các nhược điểm đi cùng:
- Khả năng bị mất gói khi truyền dữ liệu vẫn rất cao.
- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
Extranet VPN (Mạng VPN mở rộng ):
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà
cung cấp…
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to– Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công
cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
Phần khái quát vẫn còn hơi sơ xài các bạn có thể tìm hiểu thêm. Mình sẽ đi vào nội dung chính của bài lab này.
Phần 2: THIẾT LẬP MÔ HÌNH VPN SERVER TRÊN WINDOWS 2003
1.Xây dựng một Remote Access VPN :
1.1. Yêu cầu phần cứng :
- Một modem ADSL
- Cần có một đường truyền ADSL tốc độ cao (Nếu là dịch vụ ADSL với địa chỉ IP tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.
- Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000 làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên
ngoài ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch
vụ Dynamic DNS như dynDNS.org hay no-ip.com) để kết nối với bên ngoài (Internet).
1.2. Yêu cầu phần mềm :
- Một máy tính VPN server sử dụng Windows server 2003.
- Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7.
Mô hình Remote Access VPN :
Gồm một máy tính làm server VPN và một máy client :
Máy VPN server :
IP Address : 192.168.1.200
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.1
Preferred DNS Server : 210.245.24.20
Máy VPN client :
IP Address : 192.168.1.X ( X nằm trong dãi từ 1 đến 255)
Subnet Mask : 255.255.255.0
Default Gateway : 192.168.1.1
Preferred DNS Server : 210.245.24.20
2.Các bước thực hiện :
a) Đăng ký một DDNS (Dynamic Domain Name System – Hệ thống
tên miền động) :
Internet.
DDNS có nhiệm vụ có nhiệm vụ cập nhật địa chỉ IP WAN cho kết nối
Để thuận tiện cho quá trình truy cập người ta sử dụng tên miền thay thế cho IP WAN. Giả sử ta có tên miền là ttp07b.homeip.net tương ứng với địa chỉ IP WAN 118.112.10.156 , khi IPWAN thay đổi thành 1 địa chỉ khác như 118.68.9.169 thì dịch vụ DDNS sẽ tự động cập nhật địa chỉ IPWAN mới cho tên miền ttp07b.homeip.net.
=> Như vậy chúng ta không cần quan tâm IP WAN mà chỉ cần nhớ đến tên miền mà thôi.
Ta có thể đăng ký tài khoản ở các trang no-ip.com hoặc dyndns.com . Sau khi đăng ký xong thì mở mail kích hoạt tài khoản , vào lại trang no-ip.com hoặc dyndns.com đăng nhập bằng accoutn đã đăng ký rồi tạo một tên miền .
Sau đó click Next để hoàn thành .
b) Cấu hình một VPN server trên Windows 2003 :
Bước 1 : Cài đặt các dịch vụ trên Routing and Remote Access.
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection Sharing (ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định sau khi cài là Automatic).
Chạy Services Manager bằng cách click Start->Programs-> Administrative Tools->Services. Giao diện của Services Manager như hình :
Sau khi dừng dịch vụ Windows Firewall/Internet Connection Sharing (ICS),
tiến hành cài đặt VPN Server.
Để cài đặt VPN trên Windows 2003, chạy Manager Your Server bằng cách
click Start->Programs->Administrative Tools-> Manager Your Server.
Nhấp vào Add or remove a role để tạo thêm các dịc vụ.
Click Next để tiếp tục
Click Next để tiếp tục.
Click Next để tiếp tục.
Click Next để tiếp tục vào cấu hình VPN .
Cho phép cấu hình Routing and Remote Access Server.
chọn VPN server và LAN routing.
Cho phép lựa chọn các dịch vụ có trong Routing and Remote Access.
dịch vụ đã được cài đặt , nhấn Finish để hoàn thành.
Nhấn Next để Start các dịch vụ đó
Nhấn Finish để kết thúc. Sau bước này là cấu hình VPN server
Bước 2 : Cấu hình VPN server :
: Manage Server.
Sau khi cài đặt Routing and Remote Access, để cấu hình VPN Server, có thể chạy Manage Your Server, sau đó click vào Manage this remote access/VPN server (như hình). Hoặc có thể click Start-> Programs-> Administrative Tools -> Routing and Remote Access.
Chú ý : trên menu chuột phải có một số chức năng cần quan tâm:
- Disable Routing and Remote Access: Chức năng này được sự dụng khi ta muốn xoá cấu hình Routing and Remote Access cũ để tạo 1 cấu hình mới. Sau khi disable, trên menu chuột phải nói trên, chọn Configure and Enable Routing and Remote Access, để cấu hình một Routing and Remote Access mới.
- All Tasks với các chức năng con như Start, Stop, Pause, Resume, Restart được sử dụng đối với service Enable Routing and Remote Access. Việc này cũng tương tự như khi sử dụng Service Manager.
Cần chú ý đến 3 tab là General, Security và IP.
Trong Tab General, cần kiểm tra mục Router và Remote access server đã được check. Mục Router cho phép định tuyến các yêu cầu từ VPN Client đến các máy trong mạng nội bộ. Mục Remote access server cho phép các VPN client kết nối đến được. Nên chọn LAN and demand-dial routing.
Tab này cho phép lựa chọn Authentication provider và Accounting provider. Nếu trong mạng nội bộ có 1 máy tính cài RADIUS, có thể lựa chọn Authentication provider và Accounting provider là RADIUS. Trong phần này, lựa chọn Windows
Authentication và Windows Accounting.
Chọn Static address pool rồi chọn Add.
Trong hình nhập các giá trị vào các ô Start IP address và End IP address. Các IP trong dải này sẽ được cấp tự động cho mỗi kết nối VPN.
Bước 3 : Remote Access Policies :
Bước cuối cùng là cho phép truy cập qua Remote Access Policies.
Trong hình chọn Remote Access Policies. Remote Access Policies có 2 lựa chọn là Connections to Microsoft Routing and Remote Access Server và Connections to other access server. Chuột phải vào Connections to Microsoft Routing and Remote Access Server, trên menu chuột phải chọn Properties.
Trong hình lựa chọn Grant remote access permission, sau đó nhắp OK để xác nhận.Thực hiện công việc tương tự đối với lựa chọn Connections to other access server.
Sau bước này là việc tạo account trên Windows cho phép sử dụng kết nối
VPN.
Bước 4 :Tạo một user trên Windows cho phép sử dụng VPN :
Như đã biết, việc tạo user trên Windows sử dụng Computer Manager. Để
chạy Computer Manager, click Start -> Programs->Administrative Tools-
>Computer Manager. Giao diện chính của Computer Manager như bên dưới.
Trên hình chọn System Tools->Local Users and Groups->Users. Sau đó chuột phải vào user muốn cho phép dùng VPN, ví dụ user client. Trên menu chuột phải, nhắp Properties.
Trên hình chọn Tab Dial-in. Trong tab này, chọn Allow access. Nếu muốn chỉ chính xác địa chỉ IP cấp cho VPN Client đối với user trên, chọn Assign a Static IP Address. Sau đó gõ địa chỉ IP vào ô tương ứng. Địa chỉ này có thể nằm ngoài dải IP mà ta đã chọn ở trên. Tuy nhiên nó nên nằm cùng lớp với dải IP đó.
Sau bước này, user client có thể kết nối VPN đến VPN Server.
c) NAT port 1723 trên Modem ADSL :
Modem được cấu hình trong ví dụ này là ZyXEL P-660H-T1 v2. Mở trình duyệt gõ 192.168.1.1. Password là 1234.
Password là 1234.
Chọn Ignore để vào giao diện chính.
Sau khi vào được giao diện chính chọn Tab Advanced để khai báo tên miền động.
Chọn thanh Dynamic DNS trong Tab Advanced. Đánh dấu check vào ô Active Dynamic DNS và khai báo tên miền , account , password đã đăng ký ở trang dyndns.com -> sau đó Apply để thực thi.
Sau đó vào Tab Security chọn thanh Firewall. Bỏ chọn nút check ở ô Active Firewall.
Trong Tab Network chọn thanh NAT, màn hình bên phải chọn Tab Port Forwarding. Sau đó chọn giao thức PPTP trong ô Service Name rồi gõ địa chỉ IP của VPN server -> sau đó Add lại.
Như vậy là đã mở port 1723 trong modem ADSL. Bước tiếp theo là kiểm tra port đó đã mở thành công chưa . Vào trang web canyouseeme.org để kiểm tra.
Gõ port 1723 vào ô màu đỏ và nhấn nút check để kiểm tra.
c) Cài đặt VPN client trên Windows 7 :
Vào Control Panel chọn Network and Sharing Center .
Open mục đó :
Chọn thanh Set up a new connection or network.
Trong ô Set up a connection or Network chọn Connect to a workplace.
Trong ô Connection to a Workplace đánh dáu check vào ô màu đỏ.
Chọn mục Use my Internet connection (VPN).
Trong ô Connection to a Workplace gõ địa chỉ tên miền động đã đăng ký từ trước vào ô Internet address . Sau đó chọn Next. Trong ví dụ này gõ là
ttp07b.homeip.net.
Gõ user name và password mà VPN server đã cấp trước đó. Phần Domain bỏ trống.
Nếu được như hình trên là chúng ta đã kết nối thành công.
Để tiện cho việc sử dụng vào lần sau ta tạo shortcut ra ngoài màn hình desktop và lần truy nhập sau sẽ như hình dưới.
Ta nhập vào user và password để truy nhập đến máy chủ VPN.
Kết luận :
- Với công nghệ thông tin phát triển như hiện nay áp dụng các giảp pháp công nghệ VPN sẽ góp phần đáng kể vào sự phát triển của doanh nghiệp, giúp quản lý các văn phòng một cách có hiệu qủa.
- Công nghệ VPN giúp các nhà quản trị có một cái nhìn tổng quan hơn về mạng Intranet (Mở rộng mạng và phạm vi khai thác thông tin) như mạng Internet đang ngày càng phát triển mạnh ở nước ta như hiện nay.
- Với công nghệ mạng VPN sẽ làm tăng khả năng đáp ứng khai thác thông tin ở mọi lúc, mọi nơi và đảm bảo khả năng an toàn bảo mật trong quá trình khai thác đó, nó sẽ làm thay đổi cách suy nghĩ, làm việc và khai thác thông tin nhanh chóng trong thời đại CNTT bùng nổ và hạ tầng CNTT tại Việt nam ngày càng mạnh. Nó sẽ là nền tảng để cho các dịch vụ lớp trên khai thác triệt để không giới hạn về không gian địa lý, thời gian và tăng các công cụ cho nhà quản lý điều hành sản xuất kinh doanh trong doanh nghiệp mình.
Không có nhận xét nào:
Đăng nhận xét