LỜI NÓI ĐẦU Lý do chính thúc đẩy phát triển VPN là để tiết kiệm chi phí . Các tập đoàn, các công ty, các tổ chức có các văn phòng làm việc ở khắp nơi trên thế giới nhưng mạng máy tính của các văn phòng cùng một tập đoàn hay tổ chức lại muốn kết nối với nhau để trao đổi công việc hàng ngày. Để có được kết nối mạng máy tính này, họ phải thuê một đường truyền riêng để kết nối giữa các văn phòng hoặc kết nối vào mạng internet. Như vậy internet và hình thài mạng VPN được hình thành từ đây.
Mỗi văn phòng có mạng máy tính cục bộ (site) muốn kết nối điểm-tới-điểm (point-to-point) cần thuê một đường truyền riêng (leased line) để kết nối với một văn phòng khác. Nếu một site lại cần kết nối đến nhiều site khác (hay nhiều site kết nối nhiều site any-to-any, full-mesh là mỗi site lại kết nối các site còn lại), có n site và 1 site cần kết nối với các site còn lại thì cần n-1 leased line. Giá mỗi leased line phụ thuộc vào khoảng cách và tốc độ của leased line. Đường truyền qua các nước hay xuyên các châu lục là rất đắt. Để làm xây dựng một mạng kiểu full-mesh và dùng các leased thì chi phí quá đắt.
Thay vì sử dụng leased line cho các kết nối đó bằng cách thiết kế các nối đó sử dụng qua đường kết nối internet công cộng. Mỗi một site kết nối vào mạng công cộng, có thể cũng là kết nối bằng leased line, nhưng giữa các site lại là kết nối ảo (virtual connection), trái ngược với kết nối vật lý giữa các site ở mô hình kết nối bằng leased line
30 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 4634 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Dynamic multipoint vpn, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA CÔNG NGHỆ THÔNG TIN
----------------------------------------
BÁO CÁO BÀI TẬP LỚN
DYNAMIC MULTIPOINT VPN
Thực hiện: Nhóm 8 - lớp HCD06CNTT
Bùi Thu Huyền
Phạm Thanh Dung
Quách Văn Phong
Vũ Như Trình
Hà Nội, Tháng 6 năm 2007
LỜI NÓI ĐẦU
Lý do chính thúc đẩy phát triển VPN là để tiết kiệm chi phí . Các tập đoàn, các công ty, các tổ chức có các văn phòng làm việc ở khắp nơi trên thế giới nhưng mạng máy tính của các văn phòng cùng một tập đoàn hay tổ chức lại muốn kết nối với nhau để trao đổi công việc hàng ngày. Để có được kết nối mạng máy tính này, họ phải thuê một đường truyền riêng để kết nối giữa các văn phòng hoặc kết nối vào mạng internet. Như vậy internet và hình thài mạng VPN được hình thành từ đây.
Mỗi văn phòng có mạng máy tính cục bộ (site) muốn kết nối điểm-tới-điểm (point-to-point) cần thuê một đường truyền riêng (leased line) để kết nối với một văn phòng khác. Nếu một site lại cần kết nối đến nhiều site khác (hay nhiều site kết nối nhiều site any-to-any, full-mesh là mỗi site lại kết nối các site còn lại), có n site và 1 site cần kết nối với các site còn lại thì cần n-1 leased line. Giá mỗi leased line phụ thuộc vào khoảng cách và tốc độ của leased line. Đường truyền qua các nước hay xuyên các châu lục là rất đắt. Để làm xây dựng một mạng kiểu full-mesh và dùng các leased thì chi phí quá đắt.
Thay vì sử dụng leased line cho các kết nối đó bằng cách thiết kế các nối đó sử dụng qua đường kết nối internet công cộng. Mỗi một site kết nối vào mạng công cộng, có thể cũng là kết nối bằng leased line, nhưng giữa các site lại là kết nối ảo (virtual connection), trái ngược với kết nối vật lý giữa các site ở mô hình kết nối bằng leased line.
MỤC LỤC
Lời nói đầu 2
Mục lục 3
Danh mục hình vẽ 4
Ký hiệu viết tắt 5
Nguyên lý hoạt động VPN đa điểm động 6
Mô hình GRE (Quách Văn Phong) 6
Giao thức Next Hop Resolution Protocol – NHRP (Phạm Thanh Dung) 9
IPSec động (Bùi Thu Huyền) 10
Quy trình thiết lập VNP đa điểm động (Vũ Như Trình) 18
Ứng dụng của VNP đa điểm động (Phạm Thanh Dung) 25
Bài toán thực tế 25
Các giải pháp thực hiện 26
Tài liệu tham khảo 30
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình VPN sử dụng giao thức mã hoá GRE
Hình 1.2: Giao diện mGRE
Hình 2.1 Minh hoạ hoạt động của giao thức NHRP
Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub
Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau
Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau
Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau
Hình 3.4: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE
Hình 3.5 Danh sách bí mật ACL
Hình 3.6: IKE pha thứ nhất sử dụng chế độ chính (Main Mode)
Hình 3.7 Các tập chuyển đổi IPSec
Hình 4.1: Đặc trưng của máy khách VPN
Hình 4.2: Bước 1
Hình 4.3: Bước 2
Hình 4.4: Bước 3
Hình 4.5: Bước 4
Hình 4.6: VPN có thể cung cấp nhiều kết nối
TỪ VIẾT TẮT
Từ viết tắt
Nghĩa Tiếng Anh
Nghĩa tiếng Việt
AH
authentication header
Giao thức tiêu đề xác thực
DH
Diffie – Hellman
Giao thức trao đổi khoá Diffie – Hellman
DMVPN
Dynamic Multipoint Virtual Private Network
Mạng riêng ảo kết nối đa điểm động
ESP
Encapsulating security payload
Giao thức đóng gói an toàn tải tin
GRE
Generic Routing Encapsulation
Giao thức mã hoá định tuyến
IETF
Internet Engineering Task Force
Cơ quan tiêu chuẩn kỹ thuật cho Internet
IKE
Internet Key Exchange
Giao thức trao đổi khoá trên internet
IKE SAs
Internet Key Exchanges Security Associaion
Kết hợp an ninh và trao đổi khoá qua internet
ISAKMP
Internet Security Association and Key Management Protocol
Giao thức kết hợp an ninh và quản lý khoá qua internet
L2TP
Layer 2 tunneling Protocol
Giao thức đường ngầm lớp 2
NBMA
Non-Broadcast Multiple Access
PKI
Public Key Infrastructure
Cơ sở hạ tầng khoá công khai
PPTP
Point – to – Point tunneling Protocol
Giao thức đường ngầm điểm - điểm
RFC
Request For Comment
Các tài liệu về tiêu chuẩn IP do IETF đưa ra
VPN
Virtual Private Network
Mạng riêng ảo
Nguyên lý hoạt động VNP đa điểm động
Mô hình GRE
GRE là gì ?
Là giao thức mã hóa định tuyến cung cấp cơ cấu đóng gói giao thức gói tin để truyền đi trong quá trình truyền tải.
Nó bao gồm :
+ Thông tin về loại gói tin mà bạn đang mã hóa
+ Thông tin về kết nối giữa máy gửi và máy nhận
2.2. GRE trong mô hình Site to Site
Hình 1.1: Mô hình VPN sử dụng giao thức mã hoá GRE
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
+ Trong quá trình di chuyển, các gói tin (packet) được định hướng đi theo các tuyến đường khác nhau để đến đích. Khi đi qua các router, chúng được mã hóa và từ đó Router chuyển đi trên các Interface khác nhau. Quá trình đó gọi là quá trình mã hóa định tuyến .
+ Để có các thông tin quyết định cho việc di chuyển gói dữ liệu đi theo đường nào các Router sử dụng các giao thức định tuyến(Routing Protocol) cho việc thu thập thông tin để xây dựng nên bảng định tuyến(Routing Table)
Thiết lập GRE Tunnel
GRE sử dụng khái niệm mật mã truy nhập để truyền DL an toàn trên mạng .
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
Quá trình đóng gói, mã hóa và định tuyến DL :
* Sử dụng giao thức PPTP _ Point to Point Tunnelling Protocol :
Cấu trúc gói tin :
Data – link Header
IP Header
GRE Header
PPP Header
Encrypted PPP data(IP, IPX, NetBEUI)
Data-link trailer
+ PPTP là giao thức lớp 2, dựa trên giao thức PPP (Point to Point) của Microsoft
+ Việc mã hóa trong PPTP sử dụng giao thức MPPE (Microsoft Point-To-Point Encryption Protocol). Có thể sử dụng 40bit, 56bit, 128 bit.
+ Đầu tiên các khung PPP được tạo bằng cách đóng gói các dữ liệu mã hóa PPP và PPP header. Sau đó khung PPP được đóng gói với GRE header (Generic Routing Encapsulation). Sau đó tải được đóng gói với IP header (Bao gồm các thông tin về địa chỉ nguồn, đích). Cuối cùng dữ liệu được đóng gói với data-link layer header and trailer. Tùy thuộc vào công nghệ sử dụng mà data-link layer header and trailer có thể khác nhau.
* Sử dụng giao thức L2TP _ Layer 2 Tunneling Protocol :
+ L2TP được phát triển từ 2 giao thức L2F và PPTP. L2TP sử dụng giao thức UDP trên nền IP cho cả 2 loại gói tin điều khiển và dữ liệu. Trong Window L2TP sử dụng UDP cổng 1701
+ Để mã hóa dữ liệu truyền L2TP không sử dụng MPPE mà sử dụng IPSec ESP (Encapsulating Security Payload)
+ Cấu trúc gói tin điều khiển của L2TP
Data-link Header
IP Header
IPSec ESP Header
UDP Header
L2TP Message
IPSec ESP Trailer
IPSec ESP Auth Trailer
Data-link Trailer
+ Sử dụng Next-Received Field (similar to the TCP Acknowledgment field) và Next-Sent Field (similar to the TCP Sequence Number field) để duy trì và đặt thứ tự cho các thông báo điều khiển
+ Cấu trúc gói tin DL của L2TP
Data link Header
IP Header
IPSec ESP Header
UDP Header
L2TP Header
PPP Header
PPP Payload
IPSec ESP Trailer
IPSec ESP Auth Trailer
Data Link Trailer
+ Đầu tiên dữ liệu PPP được đóng gói với PPP header và L2TP header.
+ Sau đó được đóng gói tiếp với UDP header với cổng nguồn và đích là 1701
+ Dựa trên cơ chế bảo mật của IPSec, các bản tin UDP sẽ được mã hóa và đóng gói với IPSec Encapsulating Security Payload (ESP) header và trailer cùng với một IPSec Authentication (Auth) trailer.
+ Các gói tin IPSec sẽ được đóng gói tiếp tục với IP header bao gồm địa chỉ IP nguồn và đích
+ Cuối cùng gói tin IP sẽ được đóng gói với header và trailer của lớp data-link
mGRE
mGRE Tunnel Interface : Cho phép 1 giao diện GRE đơn lẻ được hỗ trợ multiple IPSec Tunnel và làm đơn giản hóa kích thước và sự phức tạp của cấu hình.
Hình 1.2: Giao diện mGRE
+ Mỗi một Spoke đều có một IPSec Tunnel tới Hub không phải tới một Spoke khác trên mạng. Mỗi một Spoke này đăng kí như một clients của NHRP server.
+ Khi một Spoke cần gửi một gói tin tới một mạng khác qua một Spoke khác ( bảo vệ ), NHRP sẽ đọc địa chỉ đích nơi gói tin sẽ được chuyển đến.
+ Kênh kết nối Spoke to Spoke được xây dựng bởi rất nhiều mGRE Interface.
+ Sự kết nối Spoke to Spoke được thiết lập dựa trên nhu cầu của các Spoke trên mạng . Gói tin sẽ đi qua Hub và sử dụng Spoke to Spoke Tunnel để truyền đi trên mạng.
Giao thức Next Hop Resolution Protocol – NHRP
Một số khái niệm
Tunnel address là địa chỉ IP định nghĩa cho một giao diện đường hầm (đường dẫn ảo)
NBMA(Non-Broadcast Multiple Access) address là địa chỉ IP sử dụng là điểm nguồn hoặc điểm đích của đường hầm, đây là địa chỉ vật lý của Hub hoặc Spoke
NHRP là giao thức mạng lớp 2, là chuẩn RFC2332. NHRP trong DMVPN thiết lập bản đồ một địa chỉ IP của đường hầm của Hub hoặc Spoke tương ứng với một địa chỉ NBMA gọi là cơ sở dữ liệu liền kề NHRP. Mỗi Spoke phải thiết lập trước tới Hub trong thời gian khởi động kết nối, nó phải kết nối, đăng kí và khai báo với Hub một khoảng địa chỉ qua NHRP
Nguyên lý hoạt động của giao thức NHRP
Khi dữ liệu được gửi đi tới một Spoke khác cùng mạng, nó được đóng gói bởi mGRE cùng với địa chỉ đường hầm của bước truyền tiếp theo.Spoke gửi yêu cầu tới Hub địa chỉ chỉ cuối NBMA của bước truyền tiếp theo khi truyền đi địa chỉ đường hầm. Hub sẽ tra trong cơ sở dữ liệu liền kề để trả lời địa chỉ NBMA của điểm đến của dữ liệu. Bây giờ Spoke nguồn có thể thiết lập một đường hầm tới Spoke đích
Như vậy :Đường hầm IPSec giữa Spoke –to- Hub là tĩnh và đường hầm giữa Spoke-to-Spoke là động, có tính chất tạm thời. Như vậy một giao diện mGRE có thể có nhiều đường hầm kết nối hoạt động đồng thời
Hai mô hình định tuyến tiêu biểu là thuật toán định tuyến trạng thái liên kết(OSPF và ISIS) và thuật toán định tuyến khoảng cách vecto( RIP và EIGRP)
Hình 2.1 Minh hoạ hoạt động của giao thức NHRP
Giả sử Spoke A cần chuyển một gói tin sang Spoke B, ban đầu Spoke A biết địa chỉ router Spoke B là 192.168.1.0 và địa chỉ mGRE hay Tunnel address là 10.0.0.12 và Spoke A không biết địa chỉ vật lý NBMA của SpokeB. Giao thức NHRP sẽ thiết lập một đường hầm Spoke- Hub có địa chỉ đường hầm là 10.0.0.1 và địa chỉ NBMA là 172.16.0.1 để trả về địa chỉ vật lý NBMA của Spoke B là 172.16.2.1 dựa trên cơ sở dữ liệu liền kề. Sau đó Spoke A sẽ thiết lập một đường hầm động giữa Spoke A và Spoke B
Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub
IPSec động
Tổng quan
IPSec bảo vệ của GRE tunnel bao gồm 2 thuộc tính cơ bản:
+ Chính sách IPSec được thiết lập tại mỗi GRE tunnel.
+ Một khoá nhận dạng IKE được thiết lập cho chính sách IPSec của từng tunnel.
Trong DMVPN việc gán địa chỉ cho mỗi spoke là động nên không thể cấu hình trước Ipsec hoặc khoá nhận dạng IKE cho kết nối spoke-to-spoke.
DMVNP thực hiện việc so khớp địa chỉ IP header GRE tunnel của nguồn và đích. Cisco đã phát triển tiến trình thiết lập Ipsec proxy tự động cho GRE tunnel. Với việc bảo vệ GRE tunnel có nghĩa là Ipsec phải bảo vệ gói tin địa chỉ GRE header (IP addresses encapsulating the GRE header). NHRP thực hiện quy trình khởi động spoke với địa IP tunnel có liên quan. Ipsec proxy được thiết lập động để bảo vệ gói tin gốc RGE từ khi được gắn địa chỉ nguồn và địa chỉ đích. Một lưu lượng truyền thông nào đó được định tuyến vào GRE tunnel từ lúc so khớp Ipsec proxy; do đó Ipsec được khởi động việc thiết lập điểm - điểm tunnel giữa các spoke.
Việc thiết lập 1 khoá nhận dạng trong mối quan hệ kết nối VPN này có mấy cách có thể lựa chọn sau:
+ Cài đặt sẵn cho các IKE tunnel, mỗi cái một khoá riêng.
+ Cài đặt một khoá chung cho tất cả các IKE tunnel.
+ Thực thi một cơ sở hạ tầng khoá công cộng - PKI.
Trong 2 phương pháp trên thì lựa chọn thứ 3 tối ưu hơn cả áp dụng cho mô hình DMVNP. Phương pháp PKI thiết lập giao thức IKE (Internet Key Exchange protocol). IKE thiết kế để cung cấp hệ thống xác thực lẫn nhau, cũng như là chứng minh một khoá bí mật ch tạo ra sự kết hợp bảo vệ Ipsec.
Chức năng chính của giao thức IKE là thiết lập và duy trì ISAKMP/IKE SAs và Ipsec SAs.
Hoạt động của IKE gồm 2 pha thiết lập IKE và IPSec SAs:
Pha 1: xác thực lẫn nhau giữa các điểm ngang hàng và thiết lập 1 khoá cho phiên làm việc. Mục đích của pha 1 là tạo ra 1 kênh làm việc an toàn để pha 2 trao đổi xuất hiện.
Pha 2: trao đổi và thiết lập IPSec SAs dùng ESP hoặc AH để bảo vệ IP data traffic.
Kết hợp an ninh SA và giao thức trao đổi khóa IKE
Kết hợp các SA
Các gói IP truyền qua một SA riêng biệt được cung cấp sự bảo vệ một cách chính xác bởi giao thức an ninh có thể là AH hoặc ESP nhưng không phải là cả hai. Đôi khi một chính sách an toàn có thể được gọi cho một sự kết hợp của các dịch vụ cho một luồng giao thông đặc biệt mà không thể thực hiện được với một SA đơn lẻ. Trong trường hợp đó cần thiết để giao cho nhiều SA thực hiện chính sách an toàn được yêu cầu. Thuật ngữ cụm SA được sử dụng để một chuỗi các SA xuyên qua lưu lượng cần được xử lý để thỏa mãn một tập chính sách an toàn.
Đối với kiểu Tunnel, có 3 trường hợp cơ bản của kết hợp an ninh như sau:
Cả hai điểm cuối SA đều trùng nhau: mỗi đường ngầm bên trong hay bên ngoài là AH hay ESP, mặc dù host 1 có thể định rõ cả hai đường ngầm là như nhau, tức là AH bên trong AH và ESP bên trong ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
Security Association 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau
Một điểm cuối SA trùng nhau: đường hầm bên trong hay bên ngoài có thể là AH hay ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
Security Association 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau
Không có điểm cuối nào trùng nhau: Mỗi đường hầm bên trong và bên ngoài là AH hay ESP.
Host 1
Security
Gwy 1
Security
Gwy 2
Host 2
Internet
SA 1 (Tunnel)
Security Association 2 (Tunnel)
Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau
Giao thức trao đổi khóa IKE
Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP (Simple Key Internet Protocol), và Photuis, IETF đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec.
Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau:
Bước 1: Quan tâm đến lưu lượng được nhận hoặc sinh ra từ các bên IPSec IP-VPN tại một giao diện nào đó yêu cầu thiết lập phiên thông tin IPSec cho lưu lượng đó.
Bước 2: Thương lượng chế độ chính (Main Mode) hoặc chế độ tấn công (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec.
Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec.
Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hóa sử dụng kỹ thuật đóng gói ESP hoặc AH (hoặc cả hai).
Bước 5: Kết thúc đường ngầm IPSec VPN. Nguyên nhân có thể là do IPSec SA kết thúc hoặc hết hạn hoặc bị xóa.
Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ nhất sử dụng chế độ chính hoặc chế độ tấn công để trao đổi giữa các bên, và pha thứ hai được hoàn thành nhờ sử dụng trao đổi chế độ nhanh.
Hình 3.4: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE
Sau đây chúng ta sẽ đi xem xét cụ thể các bước và mục đích của các pha IKE.
Bước thứ nhất
Việc quyết định lưu lượng nào cần bảo vệ là một phần trong chính sách an ninh của mạng VPN. Chính sách được sử dụng để quyết định cần bảo vệ lưu lượng nào (những lưu lượng khác không cần bảo vệ sẽ được gửi dưới dạng văn bản rõ).
Chính sách an ninh sẽ được phản chiếu trong một danh sách truy nhập. Các bên phải chứa danh sách giống nhau, và có thể có đa danh sách truy nhập cho những mục đích khác nhau giữa các bên. Những danh sách này được gọi là các danh sách điều khiển truy nhập (ACLs- Acess Control List). Nó đơn giản là danh sách truy nhập IP mở rộng của các routers được sử dụng để biết lưu lượng nào cần mật mã. ACLs làm việc khác nhau dựa vào mục đích các câu lệnh permit (cho phép) và denny (phủ nhận) là khác nhau. Hình 3.17 trình bày kết quả của các trạng thái khi thực hiện lệnh permit và deny của nguồn và đích:
Clear-Text Packet
IPSec
Crypto ACL
AH or ESP Packet
AH or ESP or Clear-Text Packet
Clear-Text Packet
IPSec
Crypto ACL
AH or ESP Packet
Source Peer
Destination Peer
Permit
Permit
Deny
Deny
Hình 3.5 Danh sách bí mật ACL
Từ khóa permit và deny có ý nghĩa khác nhau giữa thiết bị nguồn và đích:
Permit tại bên nguồn: cho qua lưu lượng tới IPSec để nhận thực, mật mã hóa hoặc cả hai. IPSec thay đổi gói tin bằng cách chèn tiêu đề AH hoặc ESP và có thể mật mã một phần hoặc tất cả gói tin nguồn và truyền chúng tới bên đích.
Deny tại bên nguồn: cho đi vòng lưu lượng và đưa các gói tin bản rõ tới bên nhận.
Permit tại bên đích: cho qua lưu lượng tới IPSec để nhận thực, giải mã, hoặc cả hai. ACL sử dụng thông tin trong header để quyết định. Trong logic của ACL, nếu như header chứa nguồn, đích, giao thức đúng thì gói tin đã được xử lý bởi IPSec tại phía gửi và bây giờ phải được xử lý ở phía thu.
Deny tại bên đích: cho đi vòng qua IPSec và giả sử rằng lưu lượng đã được gửi ở dạng văn bản rõ.
Khi những từ khóa permit và deny được kết hợp sử dụng một cách chính xác, dữ liệu được bảo vệ thành công và được truyền. Khi chúng không kết hợp chính xác, dữ liệu bị loại bỏ. Bảng 3.2 trình bày kết hợp các lệnh permit và deny và kết quả thực hiện cho các kết hợp:
Kết quả khi kết hợp lệnh permit và deny
Nguồn
Đích
Kết quả
Permit
Permit
Đúng
Permit
Deny
Sai
Deny
Permit
Sai
Deny
Deny
Đúng
Bước thứ hai
Bước thư hai này chính là IKE pha thứ nhất. Mục đích của IKE pha thứ nhất:
Đồng ý một tập các tham số được sử dụng để nhận thực hai bên và mật mã một phần chế độ chính và toàn bộ trao đổi thực hiện trong chế độ nhanh. Không có bản tin nào ở chế độ tấn công được mật mã nếu chế độ tấn công được sử dụng để thương lượng.
Hai bên tham gia IP-VPN nhận thực với nhau.
Tạo khóa để sử dụng làm tác nhân sinh ra khóa mã hóa mã hóa dữ liệu ngay sau khi thương lượng kết thúc.
Tất cả thông tin thương lượng trong chế độ chính hay chế độ tấn công, bao gồm khóa sau đó sử dụng để tạo khóa cho quá trình mật mã dữ liệu, được lưu với tên gọi là IKE SA hay ISAKMP SA (liên kết an ninh IKE hay ISAKMP). Bất kỳ bên nào trong hai bên cũng chỉ có một ISAKMP liên kết an ninh giữa chúng.
Hình 3.6: IKE pha thứ nhất sử dụng chế độ chính (Main Mode)
Chế độ chính có trao đổi 6 bản tin (tức là có 3 trao đổi 2 chiều) giữa hai bên khởi tạo và biên nhận:
Trao đổi thứ nhất: Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi IKE) sẽ được thỏa thuận giữa các đối tác.
Trao đổi thứ hai: Sử dụng trao đổi Diffie-Hellman để tạo khóa bí mật chia sẻ (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khóa bí mật chia sẻ được sử dụng để tạo ra tất cả các khóa bí mật và xác thực khác.
Trao đổi thứ ba: xác minh nhận dạng các bên (xác thực đối tác). Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác.
Chế độ nhanh thực hiện trao đổi 3 bản tin. Hầu hết các trao đổi đều được thực hiện trong trao đổi thứ nhất: thỏa thuận các tập chính sách IKE, tạo khóa công cộng Diffie-Hellman, và một gói nhận dạng có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba. Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành việc trao đổi. Cuối cùng bên khởi tạo khẳng định việc trao đổi.
a) Các tập chính sách IKE
Khi thiết lập một kết nối IP-VPN an toàn giữa hai host A và host B thông qua Internet, một đường ngầm an toàn được thiết lập giưa router A và router B. Thông qua đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thỏa thuận. Thay vì phải thỏa thuận từng giao thức một, các giao thức được nhóm thành các tập và được gọi là tập chính sách IKE (IKE policy set). Các tập chính sách IKE được trao đổi trong IKE pha thứ nhất, trao đổi thứ nhất. Nếu một chính sách thống nhất được tìm thấy ở hai phía thì trao đổi được tiếp tục. Nếu không tìm thấy chính sách thống nhất nào, đường ngầm sẽ bị loại bỏ. Ví dụ Router A gửi các tập chính sách IKE policy 10 và IKE plicy 20 tới router B. Router B so sánh với tập chính sách của nó, IKE policy 15, với các tập chính sách nhận được từ router A . Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE policy 10 của router A và IKE policy 15 của router B là tương đương. Trong ứng dụng điểm - tới - điểm, mỗi bên chỉ cần định nghĩa một tập chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE để đáp ứng nhu cầu của tất cả các đối tác từ xa.
b) Trao đổi khóa Diffie-Hellman
Trao đổi khóa Diffie-Hellman là một phương pháp mật mã khóa công khai cho phép hai bên thiết lập một khóa bí mật chung qua một môi trường truyền thông không an toàn (xem chi tiết trong chương 4). Có 7 thuật toán hay nhóm Diffie-Hellman được định nghĩa: DH 1¸7. Trong IKE pha thứ nhất, các bên phải thỏa thuận nhóm Diffie-Hellman được sử dụng. Khi đã hoàn tất việc thỏa thuận nhóm, khóa bí mật chung sẽ được tính.
c) Xác thực đối tác
Xác thực đối tác là kiểm tra xem ai đang ở phía bên kia của đường ngâm VPN. Các thiết bị ở hai đầu đường ngầm IP-VPN phải được xác thực trước khi đường truyền thông được coi là an toàn. Trao đổi cuối cùng của IKE pha thứ nhất có mục đích như xác thực đối tác.
Có hai phương thức xác thực nguồn gốc dữ liệu chủ yếu là đối tác: Khóa chia sẻ trước (Pre-shared keys) và chữ ký số (RSA signatures). Chi tiết về các thuật toán xác thực được đề cập trong chương 4.
Bước thứ ba
Bước thứ 3 này chính là IKE pha 2. Mục đích của IKE pha 2 là để thỏa thuận các thông số an ninh IPSec sử dụng để bảo vệ đường ngầm IPSec. Chỉ có một chế độ nhanh được sử dụng cho IKE pha 2. IKE pha 2 thực hiện các chức năng sau:
Thỏa thuận các thông số anh ninh IPSec (IPSec Security parameters), các tập chuyển đổi IPSec (IPSec transform sets).
Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
Định kỳ thỏa thuận lại IPSec SA để đảm bảo tính an toàn của đường ngầm
Thực hiện một trao đổi Diffie-Hellman bổ sung (khi đó các SA và các khóa mới được tạo ra, làm tăng tính an toàn cho đường ngầm).
Chế độ nhanh cũng được sử dụng để thỏa thuận lại một kết hợp an ninh mới khi kết hợp an ninh cũ đã hết hạn. Khi đó các bên có thể không cần quay trở lại bước thứ 2 nữa mà vẫn đảm bảo thiết lập một SA cho phiên truyền thông mới.
a) Các tập chuyển đổi IPSec
Hình 3.7 Các tập chuyển đổi IPSec
Mục đích cuối cùng của IKE pha 2 là thiết lập một phiên IPSec an toàn giữa hai điểm cuối VPN. Trước khi thực hiện được điều đó, mỗi cặp điểm cuối lần lượt thỏa thuận mức độ an toàn cần thiết (ví dụ các thuật toán xác thực và mật mã dùng trong phiên đó). Thay vì phải thỏa thuận riêng từng giao thức đơn lẻ, các giao thức được nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao đổi giữa hai phía trong chế độ nhanh. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục, ngược lại thì phiên đó sẽ bị loại bỏ. Ví dụ router A gửi tập chuyển đổi 30 và 40 tới router B, router B kiểm tra thấy tập chuyển đổi 50 phù hợp với tập chuyển đổi 30 của router A, các thuật toán xác thực va mật mã trong các tập chuyển đổi này hình thành một kết hợp an ninh.
b) Thiết lập kết hợp an ninh
Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị IP-VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này được biết đên như là một kết hơp an ninh. Thiết bị IP-VPN sau đó sẽ đanh số mỗi SA bằng một chỉ số SPI. Khi có yêu cầu gửi gói tin giữa hai đầu VPN, các thiết bị sẽ dựa vào địa chỉ đối tác, các chỉ số SPI, thuật toán IPSec được dùng để xử lý gói tin trước khi truyền trong đường ngầm. Chi tiết về SA được trình bày trong phần 3.3.1.
c) Thời gian sống của một kết hợp an ninh
Thời gian sống của một kết hợp an ninh càng lớn thì càng có nhiều khả năng mất an toàn. Để đảm an toàn cho phiên truyền thông thì các khóa và các SA phải được thay đổi thường xuyên. Có hai cách tính thời gian sống của SA: tính theo số lượng dữ liệu được truyền đi và tính theo giây. Các khóa và SA có hiệu lực cho đến khi hết thời gian tồn tại của SA hoặc đến khi đường ngầm bị ngắt, khi đó SA bị xóa bỏ.
Bước thứ tư
Sau khi đã hoàn thành IKE pha 2 và chế độ nhanh đã được thiết lập các kết hợp an ninh IPSec SA, lưu lượng có thể được trao đổi giữa các bên IP-VPN thông qua một đường ngầm an toàn. Quá trình xử lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào các thông số được thiết lập của SA.
Kết thúc đường ngầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xóa bỏ hoặc hết thời gian tồn tại. Khi đó các bên IP-VPN không sử dụng các SA này nữa và bắt đầu giải phóng cơ sở dữ liệu của SA. Các khóa cũng bị loại bỏ. Nếu ở thời điểm này các bên IP-VPN vẫn còn muốn thông tin với nhau thì một IKE pha 2 mới sẽ thực hiện. Trong trường hợp cần thiết thì cũng có thể thực hiện lại từ IKE pha 1. Thông thường, để đảm bảo tính liên tục của thông tin thì các SA mới được thiết lập trước khi các SA cũ hết hạn.
Quy trình thực hiện cấu hình
Thành phần cơ bản của một VPN
Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator).
3.1.1 Máy chủ VPN
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách.
Những chức năng chính của máy chủ VPN bao gồm:
Tiếp nhận những yêu cầu kết nối vào mạng VPN
Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay các quá trình xác lập
Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN
Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách
Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN. Điểm cuối còn lại được xác lập bởi người dùng cuối cùng.
Máy chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng. Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối chúng tới mạng mở rộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạng Internet.
Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway) hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số người dùng trong mạng nhỏ (Nhỏ hơn 20). Trong trường hợp máy chủ VPN phải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ trong máy chủ.
Máy khách VPN
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN và máy chủ VPN mới có thể truyền thông được với nhau. Nhìn chung, một máy khách VPN có thể được dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết bị phần cứng dành riêng.
Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di động trong một công ty thì những người dùng này (những máy khách VPN) bắt buộc phải có hồ sơ cập nhật vị trí. Những người dùng này có thể sử dụng VPN để kết nối đến mạng cục bộ của công ty.
Đặc trưng của máy khách VPN gồm:
Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà.
Những người dùng di động sử dụng máy tính xách tay...để kết nối vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng.
Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị.
Hình 4.1: Đặc trưng của máy khách VPN
Bộ định tuyến VPN
Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì cách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng lớn các yêu cầu. Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa” (Firewall). Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng, và chọn ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống.
Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường truyền. Ví dụ như bộ định tuyến truy nhập modun 1750 của Cisco được sử dụng rất phổ biến.
Bộ tập trung VPN (VPN Concentrators)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ. Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao. Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến.
Cổng kết nối VPN
Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị này có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của công ty. Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ như phần mềm Novell’s Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng.
Các vấn đề cần chú ý khi thiết kế VPN
Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của mạng và những yêu cầu đối với VPN sắp được thiết kế, chẳng hạn:
- Số lượng site? số lượng người dùng ở mỗi site?
- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày.
- Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?
- Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêucầu? Nếu là kết nói thường trực thì bao lâu kết nối được lưu dự phòng một lần.
Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy
cần thiết phải có?
Quá trình xây dựng
Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN.
Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy nhập vào trang web của công ty bao gồm 4 bước:
Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụ Internet của họ như bình thường.
Hình 4.2: bước 1
Bước 2: Khi kết nối tới mạng công ty được yêu cầu, người sử dụng khởi đầu một tunnel tới máy chủ bảo mật đích của mạng công ty. Máy chủ bảo mật xác thực người sử dụng và tạo kết cuối khác của đường hầm tunnel.
Hình 4.3: Bước 2
Bước 3: Sau dó, người sử dụng gửi dữ liệu đã được mã hoá bởi phần mềm VPN xuyên qua đường hầm tunnel được gửi thông qua kết nối của nhà cung cấp dịch vụ Internet ISP.
Hình 4.4: Bước 3
Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hoá và thực hiện giải mã. Sau đó, máy chủ bảo mật hướng những gói dữ liệu được giải mã tới mạng công ty. Bất cứ thông tin nào được gửi trở lại tới người sử dụng ở xa cũng được mã hoá trước khi được gửi thông qua Internet.
Hình 4.5: Bước 4
Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bất kỳ vị trí nào có mạng Internet.
Hình 4.6: VPN có thể cung cấp nhiều kết nối
Như vậy, một VPN bao gồm hai thành phần chính: tuyến kết nối từ người dùng, các mạng riêng đến Internet do nhà cung cấp dịch vụ Internet ISP cung cấp và phần cứng cũng như phần mềm để bảo mật dữ liệu băng cách mã hoá trước khi truyền qua Internet.
Do vậy, trong phần này ta sẽ đề cập đến những vấn đề liệu quan đến việc xây dựng một VPN như việc kết nối đến ISP, việc sử dụng bộ định tuyến và tường lửa, các thiết bị phần cứng, và các sản phẩm phần mềm.
Phần mềm cho VPN
Trong phần này chúng ta sẽ giới thiệu những đặc điểm, yêu cầu chung mà các phần mềm dùng cho VNP cung cấp. Các phần mềm này được dùng để định dạng và quản lý các kênh bảo mật, ngoài ra có thể sử dụng cho các kênh giữa các host mà không cần đến cổng nối bảo mật.
Ta biết rằng, sử dụng phần cứng thay cho phần mềm sẽ đạt được hiệu suất cao hơn vì việc mã hoá bằng phần cứng có tốc độ nhanh hơn nhiều so với mã hoá bằng phần mềm. Tuy nhiên, hiện nay người ta vẫn sử dụng phần mềm và xu hướng sử dụng phần mềm ngày càng tăng, bởi vì:
- Việc sử dụng phần mềm thay vì dùng phần cứng sẽ có giá thấp hơn nhiều, do một số phần mềm có giá tương đối rẻ thậm chí có phần mềm còn miễn phí.
- Các sản phẩm phần mềm VPN được cài trên một hệ điều hành hay hệ điều hành mạng nào đó nên việc quản lý VPN sẽ dễ dàng và thuận lợi hơn.
- Dễ dàng nâng cấp các chức năng của mạng VPN vì khi đó ta chỉ cần nâng cấp phần mềm, điều này rất đơn giản.
- Nếu ta muốn xây dựng một VPN có quy mô nhỏ, lưu lượng thấp thì không cần đến hiệu suất tối ưu mà phần cứng VPN cung cấp. Khi lựa chọn sử dụng phần mềm VPN ta có thể bỏ chi phí xây dựng, thiết kế vừa với nhu cầu sử dụng.
a) Các sản phẩm phần mềm VPN khác nhau
Trong mạng VPN, có hai lớp phần mềm: Các phần mềm lớp 1 được dùng để cung cấp các dịch vụ cho mạng LAN; các phần mềm lớp 2 bao gồm những phần mềm dùng cho việc định đường hầm giữa các host mà không cần dùng đến các cổng nối bảo mật.
Các sản phẩm phần mềm cung cấp dịch vụ VPN cho mạng LAN thực hiện toàn bộ việc định đường hầm và các kế hoạch của VPN, một số sản phẩm này hỗ trợ cả giao thức PPTP, L2TP. Một số khác sử dụng kế hoạch thích hợp để định đường hầm và quản lý khoá.
- Phần mềm định hướng đường hầm: Về thực chất thì việc định đường hầm không có gì khác biệt với việc bọc gói. Với phần mềm VPN, việc đóng gói để định dạng kênh có thể được thực hiện theo những phương pháp khác nhau, nhưng mỗi phương pháp đều không tương thích với các phương pháp còn lại. Do thị trường phần mềm có sự cạnh tranh mạnh, người dùng có quyền được tự do chọn lựa nên các nhà sản xuất phải thường xuyên thay đổi, nâng cấp các sản phẩm của mình để đưa ra những sản phẩm có khả năng cạnh tranh mạnh, do đó người dùng mua những sản phẩm tốt nhất, phù hợp nhất từ các nhà cung cấp để xây dưng mạng VPN của mình.
- Phần mềm dựa trên hệ điều hành mạng: Nói chung, có hai cách để xây dựng một hệ điều hành mạng đó là:
Cách 1: Xây dựng một hệ điều hành mạng như tập hợp các tiện ích chạy trên một hệ điều hành sẵn có, ví dụ như Netware của hãng Novell.
Cách 2: Xây dựng một hệ điều hành mạng độc lập, tự thực hiện tất cả các công việc của một hệ điều hành thông thường kèm theo những chức năng hỗ trợ mạng, ví dụ như Windows, Unix Linux.
Ngày nay, các chức năng xác thực và mã hoá đã được gộp vào như một thành phần của hệ điều hành mạng, nhưng chúng ta vẫn phải tập trung vào viêc sử dụng các cổng nối bảo mật hoặc các phần mềm client đầu xa khi muốn tạo ra các VPN. Các công ty Microsoft hay Novell cung cấp những hệ điều hành mạng có hỗ trợ VPN và cung cấp những tính năng cổng nối bảo mật trong các phần mềm hệ điều hành mạng của họ.
Microsoft là hãng đầu tiên cung cấp máy chủ định đường hầm cho PPTP trong máy chủ truy cập từ xa, phần mềm định tuyến RRAS (Routing and Remote Access Server). Sản phẩm borderguard của hãng Novell là một tập các modun phần mềm có thể sử dụng một cách độc lập hay dùng chung như một đơn vị.
ứng dụng
Các bài toán thực tế
Bài toán 1:
Một Công ty có nhiều nhân viên phải làm việc với đặc điểm di động liên tục. Công ty có một mạng LAN kết nối các máy tính ở Trụ sở, có SERVER với các dịch vụ : WEB, MAIL, DATABASE ORACLE , ...
Để các nhân viên di động dùng máy tính xách tay có thể sử dụng được các dịch vụ trên SERVER ở Trụ sở cần có một đường kết nối đến mạng LAN tại Trụ sở.
Bài toán 2:
Một Công ty có Trụ sở tại Hà Nội và chi nhánh tại T.P Hồ Chí Minh. Ở Trụ sở và Chi nhánh đều có mạng LAN riêng, có các Server cung cấp các dịch vụ cho các máy trong mạng LAN.
Vấn đề đặt ra làm sao để giữa Trụ sở và Chi nhánh có thể sử dụng chung tài nguyên của nhau và có thể trao đổi dữ liệu cho nhau. Như vậy cần có đường kết nối giữa 2 nơi.
Giải pháp thực hiện
Để có thể giải quyết 2 bài toán thực tế trên cần tạo 1 đường kết nối vật lý (kênh thuê riêng) hoặc một đường kết nối ảo (VPN) giữa nhân viên và mạng máy tính ở cơ quan hoặc giữa 2 lớp mạng với nhau.
Nếu sử dụng kênh thuê riêng thì chi phí đầu tư thuê kênh, chi phí mua Modem truyền số liệu, chi phí mua Router, ... là rất lớn.
Hiện nay các kết nối internet tốc độ cao (đường ADSL) rất phổ biến. Tận dụng kết nối ADSL để thiết lập một kênh kết nối ảo (VPN) giữa 2 lớp mạng máy tính.
Tuy nhiên các đường ADSL hiện nay đều sử dụng địa chỉ IP động, do đó khi mất kết nối Internet và kết nối lại thì địa chỉ IP Public thay đổi. Do vậy cần có cơ chế để thông báo cho lớp mạng bên kia biết địa chỉ IP đã thay đổi của lớp mạng bên này.
Để có thể thông báo được địa chỉ IP Public thay đổi, xây dựng 2 phần mềm : AutoVPNServer và AutoVPNClient. Phần mềm AutoVPNServer sẽ cài phía trụ sở còn phần mềm AutoVPNClient sẽ cài phía chi nhánh. Hai phần mềm này có trách nhiệm trao đổi địa chỉ IP Public của đường ADSL và duy trì kết nối VPN giữa trụ sở và chi nhánh.
Máy tính giữa trụ sở và chi nhánh cần kích hoạt dịch vụ Routing and Remote Access để làm tính năng chuyển đổi gói tin giữa 2 lớp mạng trụ sở và chi nhánh.
Phần mềm AutoVPNServer và AutoVPNClient trao đổi địa chỉ IP Public cho nhau thông qua một trang web trung gian. Nếu sử dụng ngôn ngữ kịch bản PHP thì các trang web cần thiết là :
Trang web để phát hiện IP Public : ip_detect.php
<?php
$ipadd = $_SERVER[‘REMOTE_ADDR'];
echo $ipadd;
?>
Trang web để cập nhật địa chỉ IP Public vào dữ liệu (Bảng dữ liệu có 2 trường là ten_ketnoi và ip) : insert_ip.php
<?php
$ip = $_REQUEST['ip'];
$ten = $_REQUEST['ten'];
$link = mysql_connect("localhost", "root", "vpnserver");
mysql_select_db("data_ip");
if ($ten '' and $ip ''){
$query="select * from tbl_ip where ten_ketnoi='".$ten."'";
$result = mysql_query($query);
$result_int = mysql_affected_rows();
if ($result_int >=1) {
$query = "update tbl_ip set ip='".$ip."' where ten_ketnoi='".$ten."'";
$result = mysql_query($query);
}
else {
$query = "insert into tbl_ip(ten_ketnoi, ip) values('".$ten."','".$ip."')";
$result = mysql_query($query);
}
}
?>
Trang web để lấy IP Public từ cơ sở dữ liệu ra : select_ip.php
<?php
$ten = $_REQUEST['ten'];
$link = mysql_connect("localhost", "root", "vpnserver");
mysql_select_db("data_ip");
if ($ten '') {
$query="select * from tbl_ip where ten_ketnoi='".$ten."'";
$result = mysql_query($query);
$result_int = mysql_affected_rows();
if ($result_int >=1){
$line = mysql_fetch_array($result);
echo $line['ip'];
}
else{
echo "khongco";
}
}
?>
Máy chủ VPN Server phía trụ sở cài đặt phần mềm AutoVPNServer và kích hoạt dịch vụ Routing and Remote Access. Phần mềm AutoVPNServer có trách nhiệm thông báo địa chỉ IP Public của mình cho phía Client. Dịch vụ Routing và Remote Access sẽ chuyển gói tin giữa 2 lớp mạng.
Máy chủ VPN Client phía chi nhánh cài đặt phần mềm AutoVPNClient và kích hoạt dịch vụ Routing and Remote Access. Phần mềm AutoVPNClient có trách nhiệm lấy địa chỉ IP Public phía trụ sở để thực hiện một kết nối VPN để trụ ở. Dịch vụ Routing and Remote Access sẽ chuyển gói tin giữa 2 lớp mạng.
Như vậy giữa trụ sở và chi nhánh sẽ có một kết nối trực tiếp (kết nối ảo) dựa trên môi trường Internet thông qua công nghệ VPN. Do đó đảm bảo tiết kiệm được chi phí thuê kênh riêng khi triển khai mạng WAN kết nối giữa trụ sở và chi nhánh.
KẾT LUẬN
Qua quá trình thực hiện làm bài tập lớn của môn Kỹ thuật Viễn thông nhóm 8 chúng em đã hiểu được nguyên lý hoạt động của mô hình mạng riêng ảo VPN nói chung và VPN đa điểm động nói riêng. Hiểu được hiệu quả của việc ứng dụng các mô hình này trong thực tế. Do thời gian và khả năng có hạn chúng em cũng chưa thể hiểu được một cách cặn kẽ và chi tiết, rất mong thầy chỉ bảo và góp ý thêm để kiến thức chúng em được hoàn thiện hơn. Và mong các bạn đọc trong lớp góp ý để bài tập này được đầy đủ hơn.
Cũng qua quá trình học môn kỹ thuật viễn thông do thầy giảng dạy lớp HCD06CNTT nói chung và nhóm 8 chúng em nói riêng cần thầy mình phải thay đổi thói quen học hành, nghiên cứu và cả cách tư duy.
Chúng em xin chân thành cảm ơn thầy Nguyễn Việt Hùng!
Đại diện nhóm 8
Bùi Thu Huyền
TÀI LIỆU THAM KHẢO
[1]. Ipsec VPN design By Vijay Bollapragada, Mohamed Khalid, Scott Wainner, Cisco, April.2005.
[2]. Advanced IPSec Deployments and concepts, Cisco, 2004
[3]. Dynamic Multipoint VPN Hub and Spoke introduction, Cisco, November.2004
[4].Tìm hiểu mạng riêng ảo VPN phần 1, 2 _ VnExpress.net
[5]. Đặc điểm của giao thức định tuyến _ VietNamLab.com
[6]. Báo cáo chuyên đề VPN _ Trần Mạnh Cường
[7]. Cộng nghệ IP_VPN – Báo cáo đồ án tốt nghiệp đại học của Nguyễn Đức Cường, lớp VT2001
Các file đính kèm theo tài liệu này:
- Nhom8_DMVPN.doc
- nhom8_DMVPN.ppt