Tìm hiểu mạng vpn và ứng dụng của vpn layer 3

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TRUNG TÂM CÔNG NGHỆ THÔNG TIN BÁO CÁO THỰC TẬP TỐT NGHIỆP Nội dung:Tìm hiểu mạng VPN và ứng dụng của VPN Layer 3 Nơi thực tập : Trung tâm CNTT-CDIT Giáo Viên hướng dẫn : Lê Thị Hà Người báo cáo : Đào Minh Hùng Hà Nội : 11/2011 Lời nói đầu Cùng mới xu thế toàn cầu hóa, sự mở rộng qua hệ hợp tác quốt tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong một phạm vi huyện, tỉnh hay một nước mà nó còn mở rộng ra toàn thế giới. Một công tu có thể có chi nhánh, đối tác ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin. Để đảm bảo bí mật các thông tin được trao đổi theo cách truyền thống người ta dùng các kênh thuê riêng, nhưng chúng lại có nhược điểm là đắt tiền và gây lãng phí tài nguyên khi không cần trao đổi thông tin. Chính vì những lý do đó mà người ta đã nghĩ ra mạng riêng ảo ( VPN ). VPN ra đời đã đáp ứng được các nhu cầu của con người, giảm chi phí và có tính bảo mật cao. Do xã hội ngày càng phát triển cho nên các yêu cầu được đặt ra với hệ thống này cũng ngày càng được nghiên cứu và phát triển. Đó cũng chính là lý đo em chọn đề tài nghiên cứu về mạng VPN và những phát triền đang được nghiên cứu của hệ thống này. Được sự giúp đỡ nhiệt tình của các thầy cô trong Học Viện Công Nghệ Bưu Chính Viễn Thông, em tin là mình sẽ tiếp thu được những kiến thức tốt nhất. Mục lục PHẦN A. GIỚI THIỆU ĐƠN VỊ THỰC TẬP I. CHỨC NĂNG Trung tâm Công Nghệ Thông Tin CDIT có nhiệm vụ: Nghiên cứu, phát triển, triển khai sản phẩm, chuyển giao công nghệ và đào tạo trong lĩnh vực Công Nghệ Thông Tin phục vụ ngành Bưu Chính Viễn Thông và xã hội. II. TỔ CHỨC Phòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông Chức năng, nhiệm vụPhòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông là đơn vị nghiên cứu phát triển của Trung tâm có chức năng: Nghiên cứu đề xuất, phát triển và triển khai các giải pháp và ứng dụng trên mạng viễn thông, bưu chính. Thực hiện các dịch vụ kỹ thuật trên mạng truyền thông. Chủ trì việc quản trị phòng LAB và cơ sở hạ tầng truyền thông của Trung tâm. Hợp tác nghiên cứu khoa học, tiếp nhận và chuyển giao công nghệ trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin. Tổ chức, tham gia đào tạo, bồi dưỡng theo nhu cầu của Trung tâm, Học viện và Tập đoàn. Tham gia công tác bảo trì, hỗ trợ kỹ thuật và thực hiện các hoạt động khác trong lĩnh vực công nghệ thông tin và truyền thông theo định hướng của Trung tâm, Học viện và Tập đoàn. III. CÁC LĨNH VỰC HOẠT ĐỘNG. Trung tâm Công Nghệ Thông Tin hoạt động trên 5 lĩnh vực chính: Nghiên cứu khoa học công nghệ. Phát triển, triển khai công nghệ và sản phẩm. Sản xuất phần mềm và thiết bị. Tiếp nhận và chuyển giao công nghệ. Đào tạo và bồi dưỡng nhân lực. PHẦN B. NỘI DUNG THỰC TẬP I. GIỚI THIỆU CHUNG Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau... Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức. Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs). Chính điều này là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay. Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuật VPN. Chương 1: Giới thiệu VPNs 1. Giới thiệu VPNs: 1.1. Một số khái niệm VPNs Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý. Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng. Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point. Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau: v Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa: Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó. Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó. Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES). v Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption) v Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công. 1.2. Sự phát triển của VPNs VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện nay. Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng. Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn. Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN. Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM 1.3. Giao thức đường hầmVPN: Có 3 giao thức đường hầm chính được sử dụng trong VPNs: a. IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hình OSI (Open System Interconnect). Do đó nó có thể thực thi độc lập với ứng dụng mạng. b. Point-to-Point Tunneling Protocol (PPTP). Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nó được đề xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hảnh Windows. c. Layer 2 Tunneling Protocol (L2TP). Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM. Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biến nhất. 1.4. Ưu điểm và khuyết điểm của VPNs a. Ưu điểm: Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP). Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin. Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông. Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng. b. Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs. Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng. 1.5. Đánh giá VPNs: Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụng các tiêu chí sau: Bảo mật: Do truyền nhạy cảm và quan trọng của công ty được truyền qua mạng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng. Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải. Có cơ chế mã hóa dữ liệu đủ khả năng mã hóa dữ liệu an toàn. Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp của bạn là giải pháp chọn lựa phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống vius hay các hệ thống bảo mật khác. Một điểm nữa cần chú ý là toàn thể giải pháp cần được quản lý bởi chỉ một ứng dụng. Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp: Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (Quality of Service - QoS) rất khó đạt được. Do đó thiết bị cần được kiểm tra thích nghi trước khi lắp đặt chúng vào mạng VPN. Các nhà chuyên môn khuyến cáo để đạt chất lượng tốt truyền tin thì các thiết bị nên từ 1 nhà cung cấp. Điều này đảm bảo sự thích nghi các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất. Quản lý VPN tập trung: Điều này giúp dễ dàng cấu hình, quản lý và khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là phần mềm quản lý luôn ghi lai các hoạt động hệ thống (logs), điều này giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống. Dễ dàng bổ sung các thành phần khác: Giải pháp VPN có thể dễ dàng bổ sung và cấu hình. Nếu thành phần bổ sung có kích thước lớn thì bạn phải chắc chắn rằng phần mềm quản lý đủ khả năng ghi và theo dõi số lượng lớn tunnel bổ sung của hệ thống. Sử dụng dễ dàng: Phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng cuối có thể bổ sung nếu cần thiết. Thêm vào đó qusa trình xác nhận và giao diện phải dễ hiểu và sử dụng. Khả năng nâng cấp (Scalability) Mạng VPN đang tồn tại phải có khả năng nâng cấp, thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại. Performance: Mã hóa, mặt rất quan trọng của của VPNs, được thực hiện chủ yếu nhờ CPU. Do đó, điều cần thiết là lựa chọn thiết bị sao cho nó không chỉ đơn thuần là thích nghi với nhau mà nó còn có thể thi hành nhiệm vụ như mã hóa dữ liệu nhanh chóng và hiệu quả. Nếu không thì chất lương thấp một bộ phận có thể làm giảm chất lượng của toàn bộ hệ thống VPN Quản lý băng thông: Để đảm bảo truyền tin, luôn sẵn sàng và đảm bảo QoS thì việc quản lý băng thông hiệu quả là điều vô cùng quan trọng. Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty. Chọn nhà cung cấp dịch vụ internet (ISP): ISP được chọn phải đáng tin cậy và có khả năng cung cấp và hỗ trợ cho người sử dụng VPN và quản trị mạng bất cứ khi nào. Điều này thực sự quan trọng nếu ISP của bạn cho phép bạn quản lý dịch vụ. Bạn cũng phải chắc chắn rằng hướng phát triển tươn lai của ISP sẽ cho ra các dịch vụ mà bạn tìm kiếm và quan trọng hơn là nó có thể cung cấp các dịch vụ phi vật thể về phân vùng địa lý(services immaterial to geographic location.) Bảo vệ mạng khỏi các dữ liệu không mong muốn: Bằng cách kết nối trực tiếp Internet, VPNs có thể bị cản trở bởi các dữ liệu không mong muốn là cản trở truyền tin của mạng. Trong truơng hợp khẩn cấp, dữ liệu này có thể làm tràn ngập mạng intranet dẫn đến sự ngưng kết nối và dịch vụ. Do dó, tunnel VPN cần được cung cấp một cơ chế lọc các thành phần non-VPN. Cơ chế này có thể bao gồm dịch vụ hạn chế băng thông hay chính sách (These mechanisms might include bandwidth reservation services or a policy of not assigning global IP addresses to the nodes located within the network, thus blocking the unauthorized access to these nodes from the public network.) 2. Bảo mật trong mạng VPN Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN. Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được. Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì. Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, firewall với router, PC với router, PC với máy chủ. 3. Các giao thức sử dụng trong VPN - Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE và IPSec. 3.1 L2TP: - Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2 Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN. L2TP ra đời sau với những tính năng được tích hợp từ L2F.- L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản WindowNT và 2000- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network). L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty.- L2TP không cung cấp mã hóa. L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những ngườI sử dụng từ xa. 3.2 GRE: - Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đường ống IP (IP tunnel)- Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP. 3.3 IPSec: - IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu.- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec. 3.4 Point to Point Tunneling Protocol (PPTP): - Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows 95+ . Giao thức này đựơc sử dụng để mã hóa dữ liệu lưu thông trên Mạng LAN. Giống như giao thức NETBEUI và IPX trong một packet gửI lên Internet. PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit.  - Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nối tớI 1 server chỉ có một đường hầm VPN trên một kết nối. Nó không cung cấp sự mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảI pháp truy cập từ xa chỉ có thể làm được trên mạng MS. Giao thức này thì được dùng tốt trong Window 2000. Layer 2 Tunneling Protocol thuộc về IPSec. Chương 2: Cấu hình VPN Cấu hình trên Windown server 2003      Vào Control Panel > Aministrator tools > Routing and Remote Access, cửa sổ Routing and Remote Access hiện ra. Nhấp phải trên CONGDAT (local) chọn Configure And Enable Routing And Remote Access. Sau khi màn hình Welcome to the routing and remote access server setup winzard hiện ra, ta nhấnNext. Chọn mục Remote access (dial-up or vpn). Tiếp tục Nhấn Next Tại đây ta config server VPN nên ta chọn mục VPN như hình trên, tiếp tục nhấn Next  Tại cửa sổ tiếp theo này, wizard đưa ra các lựa chọn cho ta chọn card mạng nào là card mạng external (card mạng đó đi được internet). Và cũng tại cửa sổ này, ta có thể enable hoặc disable security trên interface external (Enable security on the select interface by setting up static packet filters), nếu ta check mục này, thì tất cả client không the kết nối được vào vpn server vì mặc định, firewall sẽ chặn tấ cả các kết nối của client vào vpn sever. Vì thế tại mục tùy chọn này ta có thể uncheck (ta có thể cấu hình mục này sau khi đã cấu hình VPN hoàn tất ), để dể dàng debug lỗi. Tiếp tục nhấn nút Next.  Tại đây, ta có thể cấu hình để server VPN cấp ip mạng Internal cho client khi client kết nối vpn vào thành công, có 2 tùy chọn ở đây       Automatically : Nếu mạng internal có sẳn một DHCP, thì ta chọn tùy chọn này để DHCP đó cấp luôn ip cho các client khi client kết nối VPN vào. Nếu chọn tùy chọn này, bạn phải khai báo DHCP server trong mục DHCP relay agent sau khi đã cấu hình vpn hoàn tất.       From a specified range of addresses : chọn tùy chọn này giúp ta chỉ định một dãy ip sẽ được cấp cho client khi client kết nối vào vpn server. Trong cả 2 trường hợp, các ip cấp cho client khi client kết nối vpn vào là dãy ip internal của vpn server. Tại đây ta chọn From a specified range of addresses. Nhấp Next để đến cửa sổ kế tiếp.  Ở cửa sổ kế tiếp, ta khai báo dãy ip internal sẽ cấp cho client khi client kết nối vào vpn. Nhấn next để đến cửa sổ kế tiếp. Nếu trong mạng hiện thời có sẳn một RADIUS server dùng để xác thực remote client, ta có thể chọn Yes, ngược lại chọn NO, vì Routing And Remote Access có thể tự xác thực các remote client khi client kế nối vào VPN server. ở đây ta chọn No, use Routing and Remote Access to authenticate connection requests Nhấn next để đến cửa sổ kế tiếp.  Nhấn Finish để hoàn tất. Chương 3: VPN Layer 3 Với L3 VPNs nhà cung cấp dịch vụ sử dụng Layer 3 Routing. Thiết bị C Router của khách hàng tại mỗi site hỗ trợ giao thức định tuyến BGP hay OSPF để làm việc với PE router của nhà cung cấp dịch vụ. địa chỉ IP được quảng bá tại mỗi site của hệ thống mạng. Layer3 VPN được người dùng sử dụng khi muốn dựa vào thế mạnh từ nhà cung cấp dịch vụ, nhiều ý kiến cho rằng đây là một cách hiệu quả của Site-to-Site Routing Trong phần này chúng ta sẽ nghiên cứu các thành phần sau: Layer 3 Tunneling Các công nghệ VPN ở lớp 3 được thiết kế để hoạt động ở lớp network của mô hình OSI. Một cách tiêu biểu, các công nghệ VPN này dùng các giao thức IP như là giao thức ở lớp networl và nó có thể bao gồm các L2 VPN như Multiprotocol Label Switching (MPLS) hoặc IPSec. Một IP tunnel hoạt động như một kênh đi xuyên suốt một mạng trục IP và traffic được gửi trên tunnel sẽ không thể nhận biết được bởi hạ tầng mạng IP bên dưới. Kết quả là, mạng trục IP có thể được dùng như một công nghệ ở lớp datalink. Có rất nhiều cơ chế tunneling tồn tại bởi vì Layer 3 tunnel không phải là một công nghệ mới.Thật ra, một vài giao thức không phải là tunneling protocol chẳng hạn như IP/IP, GRE và L2TP. Ban đầu, IPSEc được xem như là một mở rộng của Ipv4 với các đặc điểm bảo mật được thêm vào. Ở hiện tại, IPSec là một khung chuẩn cho các chuẩn mở để đảm bảo vấn đề giao tiếp an toàn trên mạng IP. IPSec dựa trên một kiến trúc được mô tả trong RFC 2401.IPSec VPN dùng các dịch vụ được định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng. Security Associations and Security Policy for IKE and IPSec IPSec hoạt động dựa trên mô hình ngang hàng (peer-to-peer) hơn là mô hình client/server. Security Association (SA) là một qui ước giữa hai bên trong đó thúc đẩy các trao đổi giữa hai bên giao tiếp. Mỗi bên giao tiếp (có thể là thiết bị, phần mềm) phải thống nhất với nhau về các chính sách hoặc các qui tắc bằng cách sẽ dò tìm các chính sách này với đối tác tìm năng của nó. Có hai kiểu SA: ISAKMP SA (còn được biết đến với tên gọi là IKE Sas) và IPSec SA. IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa hai bên. Thuật ngữ ‘hai chiều’ có ý nghĩa là khi đã được thiết lập, mỗi bên có thể khởi tạo chế độ QuickMode, Informational và NewGroupMode. IKE SA được nhận ra bởi các cookies của bên khởi tạo, được theo sau bởi các cookies của trả lời của phía đối tác. Thứ tự các cookies được thiết lập bởi phase 1 sẽ tiếp tục chỉ ra IKE SA, bất chấp chiều của nó. Chức năng chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP SA: • Encryption algorithm • Hash algorithm • Authentication method • Information about the group required to perform the Dif.e-Hellman (DH) keyagreement protocol IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi khóa. IKE sẽ dò tìm ra được một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ theo dõi tất cả các thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA. ISAKMP liên quan rất chặt chẽ đến quản lý chính sách, trong đó cho phép các mức khác nhau của sự điều chỉnh. Khả năng thúc đẩy hoặc thay đổi chính sách trên thiết bị đầu cuối của người dùng là một trong những điểm chính của thiết kế VPN cho doanh nghiệp. VPN 3000 Concentrator có chế độ cấu hình, trong đó cho phép những người dùng ở xa có thể kiểm soát các chính sách, bao gồm DNS, WINS, IP address và domain name.  IPSEC SA là một chiều và được dùng cho quá trình trao đổi thật sự giữa hai thiết bị. Vì vậy, quá trình giao tiếp hai chiều giữa hai thiết bị yêu cầu ít nhất 2 IPSec Sas, mỗi SA cho một chiều, bởi vì IPSec Sa là các kết nối dữ liệu đơn chiều. Ví dụ, khi một phiên TCP hai chiều tồn tại giữa hai hệ thống, A và B, sẽ có một SA từ A về B và sẽ có 1 SA từ B về A. Nếu cả hai giao thức bảo mật, AH và ESP được áp dụng vào các dòng traffic một chiều, hai SA sẽ được tạo ra cho dòng dữ liệu. Một SA được nhận ra bởi địa chỉ IP, một giao thức bảo mật (AH hay ESP) và một chỉ số SPU. Chỉ số SPI là một giá trị 32-bit được gán vào quá trình tạo SA bởi phía đầu kết nối IPSec. Giá trị SPI cho AH và ESP là không giống nhau cho cùng một dòng dữ liệu. Giá trị SPI là một field trong cả hai header của AH và ESP và nó được chỉ ra bởi SA cho tất cả các giao tiếp giữa hai node. Ba thành phần của SA cho phép đầu nhận kết hợp các gói nhận một cách phù hợp. Quá trình bắt tay của ISAKMP, các pha và các chế độ của IPSec  SA cho cả IKE và IPSec được dò tìm bởi IKE trong các giai đoạn và các chế độ khác nhau. Các thuật ngữ pha (phase) và chế độ (mode) mô tả các bước liên quan trong quá trình thiết lập một kết nối IPSec. Quá trình trao đổi khóa và quản lý khóa là một phần quan trọng của IPSec bởi vì một số khóa phải được trao đổi để các bên có thể giao tiếp với nhau an toàn. Hai phương thức cho việc trao đổi và quản lý khóa được dùng bởi IPSec bao gồm: khóa bằng tay (manual keying) và IKE, trong đó IKE dựa trên ISAKMP/Oakley. IKE có ba chế độ cho việc trao đổi khóa và thiết lập SAs: main, aggressive và quickmode. Hai chế độ đầu tiên là của giai đoạn 1 (main và aggressive) trong đó thiết lập các kênh an toàn ban đầu – IKE SA. Một chế độ khác gọi là pha 2 (quick), trong chế độ này IPSEC SA sẽ được bắt tay. Mặc dù quá trình bảo vệ danh xưng không cần, chỉ có aggressive mode có thể được dùng để giảm thời gian cho quá trình bắt tay này. Trong ISAKMP, pha 1 diển ra khi hai đối tác ISAKMP thiết lập một kết giao tiếp an toàn, đã xác thực. Các chế độ main và aggressive sẽ hoàn thành pha 1 và chỉ liên quan đến pha 1. Pha 2 diễn ra khi SA sẽ bắt đầu tiếp tục bắt tay trên các dịch vụ khác như IPSEc hoặc các dịch vụ yêu cầu các thông số khác. Chế độ quickmode sẽ hoàn tất quá trình trao đổi của pha 2 và chỉ được dùng trong pha 2. Trong IPSEc, pha 1 IKE sẽ dòm tìm IPSec Sa. Hai chế độ sẽ được dùng trong giai đoạn này: main mode được dùng trong phần lớn các tình huống và aggressive mode được dùng trong một số tình huống khác. Aggressive mode thường là tiêu biểu cho các tình huống khi quá trình xác thực là không cần thiết hoặc đã được thực hiện trước đó). Người dùng sẽ không có cách kiểm sóat chế đô nào sẽ được dùng. Chế độ này là tự động và phụ thuộc vào cấu hình các thông số được cấu hình bởi hai đầu. Trong pha 2, IKE sẽ bắt tay IPSec Sa và chỉ dùng quickmode. Các thông số và chức năng của IKE và IPSec PPVPN Xây dựng khối Tùy thuộc vào việc PPVPN chạy trong lớp 2 hoặc lớp 3, các khối xây dựng mô tả dưới đây có thể được L2 chỉ, L3 chỉ, hoặc kết hợp cả hai. Chuyển mạch nhãn đa (MPLS) chức năng làm mờ bản sắc L2-L3. RFC 4026 tổng quát các điều kiện sau đây để trang trải L2 và L3 VPN, nhưng họ đã được giới thiệu trong RFC 2547. Khách hàng cạnh thiết bị. (EC) một thiết bị tại các cơ sở khách hàng, cung cấp truy cập để PPVPN. Đôi khi nó chỉ là một điểm phân giới cắm mốc giữa nhà cung cấp và trách nhiệm của khách hàng. Các nhà cung cấp khác cho phép khách hàng để cấu hình nó. Nhà cung cấp cạnh thiết bị (PE) PE là một thiết bị, hoặc thiết lập các thiết bị, ở rìa của mạng của nhà cung cấp, trình bày quan điểm của nhà cung cấp các trang web của khách hàng. PES là nhận thức của mạng riêng ảo kết nối thông qua họ, và duy trì VPN nhà nước. Nhà cung cấp thiết bị (P) AP thiết bị hoạt động bên trong mạng lõi của nhà cung cấp, và không trực tiếp giao diện cho bất kỳ thiết bị đầu cuối khách hàng. Nó có thể, for example, cung cấp định tuyến cho nhiều nhà cung cấp dịch vụ-vận hành đường hầm thuộc về khách hàng khác nhau. PPVPNs. Trong khi các thiết bị P là một phần quan trọng thực hiện PPVPNs, nó không phải là bản thân nhận thức VPN và không duy trì VPN. Vai trò chính của nó là cho phép các nhà cung cấp dịch vụ quy mô dịch vụ PPVPN, như, for example, bằng cách hành động như một điểm tập hợp cho nhiều PES. Kết nối P-to-P, trong vai trò một, thường cao năng lực liên kết quang học giữa các địa điểm chính của nhà cung cấp. Ứng dụng của L3VPN trên Cisco Cisco cung cấp các giải pháp mạng IP và MPLS dựa trên công nghệ ảo hóa cho khách hàng doanh nghiệp và nhà cung cấp dịch vụ. Các mạng riêng ảo MPLS lớp 3 sử dụng một mô hình peer-to-peer sử dụng Border Gateway Protocol (BGP) để phân phối thông tin liên quan đến VPN-. Này, mô hình peer-to-peer cao khả năng mở rộng cho phép các thuê bao doanh nghiệp thuê ngoài thông tin định tuyến cho các nhà cung cấp dịch vụ, kết quả tiết kiệm chi phí đáng kể và giảm độ phức tạp hoạt động cho các doanh nghiệp. Các nhà cung cấp dịch vụ có thể cung cấp các dịch vụ giá trị gia tăng như chất lượng dịch vụ (QoS) và Kỹ thuật giao thông, cho phép hội tụ mạng bao gồm thoại, video, và dữ liệu. IP-VPN dựa trên sử dụng định tuyến thế hệ tiếp theo ảo / ví dụ Chuyển tiếp (VRF)-Lite, được gọi là Easy Virtual Network (EVN). Điều này giúp đơn giản hoá ảo hóa mạng lớp 3 và cho phép khách hàng dễ dàng cung cấp cho tách giao thông và cô lập đường dẫn trên một cơ sở hạ tầng mạng chia sẻ, loại bỏ sự cần thiết phải triển khai MPLS trong mạng doanh nghiệp. Ví dụ: Cấu hình CE – PE cho sự trao đổi thông tin BGP Bước Câu lệnh Mô tả 1 Router(config)# router bgp autonomous-system Cầu hình EBGP với CE. 2 Router(config-router)# address-family ipv4 [unicast] vrf vrf-name Xác định BGP PE-CE cho các phiên của vrf 3 Router(config-router-af)# ighbor {ip-address | peer-group-name}remote-as number Chỉ ra các địa chỉ IP của CE và xác định nới với AS 4 Router(config-router-af)# neighbor ip-address activate Thiết lập và thông báo địa chỉ IP tới hệ thống Cấu hình CE – PE với sự triển khai RIP Bước Câu lệnh Mô tả 1 Router(config)# router rip Cho phép Rip hoạt động 2 Router(config-router)# address-family ipv4 [unicast] vrf vrf-name Định nghĩa RIP cho các phiên từ Router PE đến CE 3 Router(config-router-af)# network prefix Cho phép RIP hoạt động giữa PE và CE Cấu hình định tuyến trao đổi thông tin CE - PE, định tuyến tĩnh Bước Câu lệnh Mô tả 1 Router(config)# ip route vrf vrf-name Xác lập các tuyến đường PE-CE để thiết lập các trạng thái tĩnh cho VRF 2 Router(config-router)# address-family ipv4 [nicast] vrf vrf-name Vào địa chỉ tổng để cấu hình giao thức định tuyến PE-PE MP-iBGP 3 Router(config-router-af)# redistribute static Phân phối các tuyến VRF vào bảng VRF BGP 4 Router(config-router-af)# redistribute static connected Phân phối trực tiếp mạng và các bảng VRF BGP Cấu hình định tuyến PE-PE để trao đổi thông tin BƯỚC Câu lệnh Mô tả 1 Router(config)# router bgp autonomous-system Vào bảng định tuyến iBGP, ở đó có các AS của nhà cung cấp dịch vụ 2 Router(config-router)# neighbor ip-address | peer- group-name} remote-as number Chỉ định địa chỉ IP của PE khác để tạo phiên iBGP 3 Router(config-router)# neighbor ip-address ctivate Kích hoạt và thông báo các địa chỉ IPv4 4 Router(config-router)# address-family vpnv4 [unicast | multicast] Xác định các thông số MP-iBGP VPN IPv4 5 Router(config-router-af)# neighbor ip-address remote-as Định nghĩa các phiên iBGP để trao đổi 6 Router(config-router-af)# neighbor ip-address activate Kích hoạt và quảng bá địa chỉ IPv4 LỜI CẢM ƠN Em xin chân thành cảm ơn phòng dịch vụ công nghệ thông tin, Học Viện Công Nghệ Bưu Chính Viễn Thông đã tạo điều kiện cho tốt cho e thực hiện và hoàn thành đợt thực tập tốt nghiệp này. Em xin chân thành cảm ơn cô giáo Lê Thị Hà đã tận tình hướng dẫn, chỉ bảo cho em trong suốt thời gian thực hiện đề tài. Mặc dù em đã cố gắng hoàn thành báo cáo trong phạm vi và khả năng cho phép nhưng chắc chắn sẽ không tránh khỏi những sai sót rất mong quý thầy cô và các bạn thông cảm. Em kính mong nhận được những ý kiến đóng góp quý báu của quý thầy cô và các bạn!