Đề tài Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt

Mạng riêng ảo -VPN (Virtual Private Network) về cơ bản là một mạng cục bộ sử dụng hệ thống mạng công cộng sẵn có như Internet để kết nối các văn phòng cũng như nhân viên ở xa. Một VPN (mạng riêng ảo) sử dụng các kết nối ảo được thiết lập trong môi trường Internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lý. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận (Tunnel), giống như một kết nối point -to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng.Dữ liệu được mã hóa một cách cẩn thận, do đó nếu các packet bị bắt lại trên đường truy ền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã.

pdf78 trang | Chia sẻ: tuandn | Ngày: 23/05/2013 | Lượt xem: 2088 | Lượt tải: 12download
Bạn đang xem nội dung tài liệu Đề tài Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
- 1 - MỤC LỤC Trang MỤC LỤC ..........................................................................................................1 LỜI NÓI ĐẦU ....................................................................................................3 CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO...........................................4 1.1. Định nghĩa mạng riêng ảo...................................................................4 1.2. Chức năng và lợi ích của VPN............................................................5 1.2.1. Chức năng ........................................................................................5 1.2.2. Lợi ích ..............................................................................................5 1.3. Các dạng kết nối VPN .......................................................................6 1.3.2. Site-to-Site VPN...............................................................................7 1.4. Các thành phần cơ bản của một VPN ..............................................10 1.4.1. Máy chủ VPN...................................................................................10 1.4.2. Máy khách VPN ...............................................................................11 1.4.3. Bộ định tuyến VPN...........................................................................11 1.4.4. Bộ tập trung VPN (VPN Concentrators) ...........................................12 1.4.5. Cổng kết nối VPN ............................................................................12 CHƯƠNG 2: CÁC GIAO THỨC XÂY DỰNG VPN........................................14 2.1. Giao thức đường hầm điểm - điểm PPTP ............................................14 2.1.1. Kiến trúc của PPTP...........................................................................14 2.1.2. Sử dụng PPTP ..................................................................................18 2.1.3. Khả năng áp dụng trong thực tế của PPTP ........................................20 2.2. Giao thức đường hầm tầng 2_L2TP(Layer two Tunneling Protocol) 20 2.2.1. Dạng thức của L2TP .........................................................................21 2.2.2. Sử dụng L2TP ..................................................................................24 2.2.3. Khả năng áp dụng trong thực tế của L2TP ........................................26 2.3. Giao thức bảo mật IPSec ......................................................................27 2.3.1. Khung giao thức IPSec .....................................................................28 2.3.2. Hoạt động của IPSec.........................................................................32 2.3.3. Ví dụ về hoạt động của IPSec ...........................................................41 - 2 - 2.3.4. Các vấn đề còn tồn đọng trong IPSec................................................42 CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH CISCO ISO .......................43 3.1. Kiến trúc hệ thống.................................................................................43 3.2. Cisco IOS CLI .......................................................................................44 3.3. Các đặc điểm của phần mềm Cisco IOS ..............................................45 3.4. Hoạt động của phần mềm Cisco IOS ..................................................46 3.5. Quy trình cấu hình 4 bước IPSec/VPN trên Cisco IOS.......................47 3.5.1. Chuẩn bị cho IKE và IPSec..........................................................47 3.5.2. Cấu hình cho IKE Phase 1............................................................47 3.5.3. Cấu hình cho IKE Phase 2............................................................48 3.6. Kiểm tra lại việc thực hiện IPSec .....................................................55 CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN CHO CÔNG TY TNHH THÀNH ĐẠT.............................................................57 4.1. Giới thiệu ...............................................................................................57 4.2. Khảo sát hiện trạng hệ thống............................................................57 4.3. Sơ đồ hiện trạng hệ thống ...................................................................58 4.4 Giải pháp ..............................................................................................60 4.4.1 Sử dụng dịch vụ Internet Leased line ................................................60 4.4.2 Thiết lập mạng riêng ảo VPN ...........................................................62 4.5 Lựa chọn giải pháp................................................................................64 4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống :.............................65 4.5.1 Mô hình hệ thống...............................................................................65 4.5.2 Các bước cấu hình .............................................................................65 KẾT LUẬN......................................................................................................68 TÀI LIỆU THAM KHẢO .................................................................................70 PHỤ LỤC..........................................................................................................71 - 3 - LỜI NÓI ĐẦU Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng. Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là: thuê các đường Leased – line của các nhà cung cấp để kết nối tất cả các mạng con của công ty lại với nhau, sử dụng Internet để liên lạc với nhau. Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased- line. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với đề tài: ” Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-to-site VPN cho công ty TNHH Thành Đạt” trong đợt thực tập này, em hy vọng nó có thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN. Em xin chân thành cảm ơn các thầy cô trong khoa và đặc biệt là thầy giáo Dương Chính Cương đã giúp đỡ em trong đợt thực tập này. Thái Nguyên tháng 06/2009 Sinh Viên: Hoàng Đăng Huy - 4 - CHƯƠNG 1: KHÁI QUÁT VỀ MẠNG RIÊNG ẢO 1.1. Định nghĩa mạng riêng ảo Mạng riêng ảo - VPN (Virtual Private Network) về cơ bản là một mạng cục bộ sử dụng hệ thống mạng công cộng sẵn có như Internet để kết nối các văn phòng cũng như nhân viên ở xa. Một VPN (mạng riêng ảo) sử dụng các kết nối ảo được thiết lập trong môi trường Internet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lý. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận (Tunnel), giống như một kết nối point -to- point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được mã hóa một cách cẩn thận, do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Hình 1.1: Mạng VPN điển hình - 5 - 1.2. Chức năng và lợi ích của VPN 1.2.1. Chức năng VPN cung cấp 3 chức năng chính, đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality). a) Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác. b) Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn. c) Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được. 1.2.2. Lợi ích VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng leased-line. Một số lợi ích của VPN:  Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm chi phí truy cập từ xa từ 60-80%.  Tính linh hoạt cho khả năng kinh tế trên Internet: không chỉ linh hoạt trong quá trình vận hành và khai thác mà VPN còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng: 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 ,…  Có khả năng mở rộng cao: Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu. Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng. - 6 -  Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập. Bên cạnh đó, địa chỉ IP cũng được bảo mật vì thông tin được gửi đi trên VPN đã được mã hóa do đó các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.  Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP  Đáp ứng các nhu cầu thương mại: Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau. 1.3. Các dạng kết nối VPN Dựa trên kiến trúc của VPN, người ta chia VPN thành 2 kiểu chính, đó là : Remote Access VPN và Site-to-Site VPN. 1.3.1. Remote Access VPN Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty. Đây là kiểu VPN điển hình nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng. z Hình 1.2:Mô hình mạng Remote Access VPN Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống như: - 7 - - Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện. - Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet. - Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa. - Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa. - VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối. Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như: - Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS. - Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói. Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. 1.3.2. Site-to-Site VPN 1.3.2.1. Intranet VPN Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. - 8 - Hình 1.3: Mô hình mạng Intranet VPN Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm: - Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ). - Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa. - Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới. - Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường công cộng – mạng Internet. Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như: - Vì dữ liệu được truyền “ngầm” qua mạng Internet nên vẫn còn những mối đe dọa về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS). - Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao. - Khi truyền dẫn khối lượng lớn dữ liệu, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet. 1.3.2.2. Extranet VPN Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng - 9 - cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… Hình 1.4: Mô hình mạng Extranet VPN Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN. Những ưu điểm chính của mạng VPN mở rộng: - Chi phí thấp hơn nhiều so với mạng truyền thống. - Dễ thiết lập, bảo trì và dễ thay đổi đối với mạng đang hoạt động. - Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn. - Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng. Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như: - Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại. - 10 - - Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet. Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty. 1.4. Các thành phần cơ bản của một VPN Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator). 1.4.1. Máy chủ VPN Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các máy chủ luôn luôn sẵn sàng thực hiện những yêu cầu truy nhập từ các máy khách. Những chức năng chính của máy chủ VPN bao gồm:  Tiếp nhận những yêu cầu kết nối vào mạng VPN.  Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay các quá trình xác lập.  Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN.  Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy Khách.  Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN. Điểm cuối còn lại được xác lập bởi người dùng cuối cùng. - 11 - 1.4.2. Máy khách VPN Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN và máy chủ VPN mới có thể truyền thông được với nhau. Nhìn chung, một máy khách VPN có thể được dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết bị phần cứng dành riêng. Đặc trưng của máy khách VPN gồm:  Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà.  Những người dùng di động sử dụng máy tính xách tay,...để kết nối vào mạng cục bộ của công ty thông qua mạng Internet.  Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị. Hình 1.5: Đặc trưng của máy khách VPN 1.4.3. Bộ định tuyến VPN Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì cách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn. Trong trường hợp này, - 12 - sử dụng bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa” (Firewall). Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được đích trong mạng, và chọn ra đường đi ngắn nhất. Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường truyền. 1.4.4. Bộ tập trung VPN (VPN Concentrators) Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ. Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao. Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến. 1.4.5. Cổng kết nối VPN Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên gia