Luận văn Mô hình hệ thống VPN
Sau khi nghiên cứu và hoàn thành đồ án “ứng dụng công nghệ VPN và có sử dụng phần mềm bảo mật ISA” nhóm em thấy mình tự tin về thiết kế, lắp đặt hệ thống mạng doanh nghiệp nhờ việc tích lũy kiến thức – kỹ năng về sử dụng ISA, công nghệ VPN và cũng rút ra được nhiều kinh nghiệm riêng cho mình:
1. Tìm hiểu những kiến thức cơ bản về mạng máy tính như mô hình mạng, giao thức mạng, các dịch vụ trên mạng, các thiết bị dùng trong mạng LAN và WAN.
2. Tìm hiểu về công nghệ VPN như lịch sử hình thành, khái niệm, phân loại, các giao thức, những lợi ích, ưu và nhược điểm.
3. Thiết kế và cài đặt mô hình VPN Client to Site, VPN Site to Site.
61 trang |
Chia sẻ: lylyngoc | Lượt xem: 3217 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn Mô hình hệ thống VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Luận văn
Đề tài: Mô hình hệ thống VPN
LỜI CẢM ƠN
-=ºb&aº=--
Chúng em xin chân thành cảm ơn quí thầy cô đã giúp đỡ chúng em thực hiện đề tài này. Đặc biệt thầy Trần Đồng Dũng đã tận tình giúp đỡ, chỉ bảo chúng em. Trong quá trình làm đề tài có gặp nhiều khó khăn cũng nhờ thầy động viên, giúp đỡ . Chúng em xin trân trọng cảm ơn những tình cảm quí báu mà các thầy cô Trường cao đẳng nghề ISPACE đã truyền đạt cho chúng em, những kinh nghiệm, kỹ thuật trong quá trình học tập cũng như cách thức xây dựng đề tài này.
Nhân đây cũng xin gửi lời cảm ơn đến cộng đồng IT trên các diễn đàn cũng như các website liên quan đã tận tình giúp đỡ.
Tuy nhiên, do thời gian có hạn nên chúng em không thể phát huy hết những ý tưởng. Trong quá trình làm đề tài, không thể tránh khỏi những sai xót, mong nhận được sự đóng góp và cảm thông của quí thầy cô và các bạn.
Cao Đẳng Nghề ISPACE
Nhóm Thực hiện đề tài:
Nguyễn Quang Ninh
Hứa Minh Thành
Nguyễn Đăng Trung
TPHCM, ngày…tháng…năm…
NHẬN XÉT CỦA GIÁO VIÊN
MỤC LỤC
CHƯƠNG I: GIỚI THIỆU 4
I.1 Lịch sử hình thành và phát triển Internet 4
I.2 Yêu cầu thực tế 4
I.3 VPN là gì? 5
CHƯƠNGII:NỘI DUNG 9
1.Các loại mạng VPN 9
2. Yêu cầu của một mạng VPN 10
3. Phương pháp bảo mật 12
CHƯƠNG III:ƯU ĐIỂM, NHƯỢC ĐIỂM 14
1.Ưu điểm 14
2.Nhược điểm 15
CHƯƠNG IV: HÌNH ẢNH THỰC HÀNH 16
1.VPN Client to site 17
2.VPN site to site 34
Kết luận 59
Tài liệu tham khảo 60
CHƯƠNG I
GIỚI THIỆU
Lịch sử hình thành và phát triển Internet
Năm 1969, Bộ Quốc phòng Mĩ đã xây dựng dự án ARPANET để nghiên cứu lĩnh vực mạng, theo đó các máy tính được liên kết với nhau và có khả năng tự định đường truyền .
Vào khoảng năm 1974, thế giới lần đầu biết đến thuật ngữ “Internet”. Lúc đó, mạng vẫn được gọi là ARPANET.
Thời kỳ bùng nổ thứ nhất của Internet được xác lập vào giữa thập niên 1980 khi tổ chức khoa học quốc gia Mỹ NSF thành lập mạng liên kết các trung tâm máy tính lớn với nhau gọi là NSFNET. Nhiều doanh nghiệp đã chuyển từ ARPANET sang NSFNET.
Thời kỳ bùng nổ thứ hai với sự xuất hiện của WWW (World Wide Web)
Yêu cầu thực tế
Bắt nguồn từ một nhu thực tế khi mà một khách hang hay một tổ chứcmong muốn có thể kết nối một cách có hiệu quả tới trụ sở văn phòng chính thông qua mạng diện rộng WAN.
Việc xây dựng một mạng riêng trên một khu vực nội bộ của một tòa nhà văn phòng thì có thể tương đối đơn giả, bởi vì các công ty thường có kiến trúc vật lý riêng do đó ta có thể sử dụng cách kết nối mạng LAN để thực hiện.
Nhưng việc xây dựng một mạng chung bao gồm những văn phòng khác nhau hay các kiến trúc cách rất xa nhau tại Thành phố hay tại các Nước. Việc đó một lựa chọn sử dụng một kênh thuê riêng(internet leased line) thuê từ một nhà cung cấp dịch vụ mạng nhu FTP chẳng hạn hay dung những phương tiện khoảng cách xa để kết nối những máy tính lại với nhau.
Hình 1:Mô hình hệ thống VPN
Những cách kết nối đó có các nhược điểm như: cứng nhắc về bản chất, ít mềm dẻo và chi phí cao.
Vậy một vấn đề được đặt ra ở đây là làm thế nào để kết nối các tòa nhà ở xa lại với nhau mà vẫn đảm bảo được tính an toàn dữ liệu mà chi phí lại thấp, dể quản lý, dễ bảo chì?
Xin giới thiệu mạng riêng ảo(VPN)
VPN là gì?
VPN không phải là công nghệ mới. Khái niệm đầu tiên về VPN được AT&T (tên 1 công ty viễn thông ở Mỹ) đưa ra vào khoảng cuối thập niên 80. VPN được biết đến như là “mạng được định nghĩa bởi phần mềm” (Software Defined Network – SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ 2 của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ 90. Trong một thời gian, giao thức X25 qua mạng ISDN được thiết lập như là 1 giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. Sau thế hệ thứ 2, thị trường VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM ra đời - thế hệ thứ 3 của VPN dựa trên 2 công nghệ này. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo. Trong thời gian gần đây, thương mại điện tử đã trở thành 1 phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người dùng mong muốn 1 giải pháp mà có thể dễ dàng được thực hiện, thay dổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ 4) của VPN là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm.
Hình 2:Mô hình VPN truy cập từ xa
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Một mạng riêng ảo dựa trên Internet dùng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site. Về bản chất những công ty sử dụng Internet VPN thiết lập các kết nối đến các điểm kết nối cục bộ của nhà cung cấp dịch vụ Internet ISP(internet Service Provider), gọi là POP(Poit of Presence) và để cho ISP bảo đảm rằng dữ liệu được truyền đến đích thông qua Internet.
Hình 3: VPN thông qua dịch vụ Internet ISP
Vì Internet là một mạng công cộng với việc truyền hầu hết dữ liệu mở. VPN bao gồm cung cấp cơ chế mã hóa dữ liệu truyền giữa các site VPN, nhằm bảo mật dữ liệu chống lại các cuộc tấn công ăn cấp dữ liệu từ những người truy cập bất hợp pháp.
CHƯƠNG II
NỘI DUNG
Các loại mạng VPN:
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site)
VPN truy cập từ xa(Access VPN):
VPN truy cập từ xa(Access VPN):còn được gọi là mạng Dial-up riêng ảo (VPDN), là một kết nối người dùng-đến-LAN. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ Internet(ISP). ISP này tạo ra một máy chủ truy cập mạng và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với máy chủ truy cập mạng và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
VPN điểm-nối-điểm(site to site):
Là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng lại với nhau,thông qua việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. có hai loại kết nối
-Intranet VPN:Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN
-Extranet VPN: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Hình 3: Mô hình VPN site to site
Yêu cầu của một mạng VPN
Tính tương thích
Tính khả dụng
An toàn và bảo mật dữ liệu
Hình 4: VPN Client to site và VPN site to site
Tính tương thích
Tính tương thích (Compatibility): Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP. 77% số lượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ.
Tính khả dụng
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên.
An toàn dữ liệu
Mạng VPN cần cung cấp 4 chức năng giới hạn để đảm bảo độ bảo mật cho giữ liệu:
+ Xác thực(Authentication): đảm bảo giữ liệu đến từ 1 nguồn yêu cầu
+ Điều khiển truy cập(Access control): han chế việc đạt được quyền cho phép vào mạng của những người dùng bất hợp pháp
+ Tin cậy(Confidentiality): ngăn không cho một a đó đọc hay sao chép dữ liệu khi dữ liệu được truyền đi qua mạng Internet
+ Tính toàn vẹn của dữ liệu(Data integrity): đảm bảo không cho ai làm thay đổi dữ liệu khi nó truyền đi trên mạng Internet
Các phương pháp bảo mật
Tường lửa (firewall):
là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua.
Hệ thống xác thực:
-Mật mã truy cập: là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
+ Mật mã riêng (Symmetric-Key Encryption):Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được.
+Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
- Dựa vào các phương pháp xác thực mật khẩu như: mật khẩu truyền thống, mật khẩu một lần(S/Key) hay các hệ thống mật khẩu khác(PAP, CHAP, TACACS, RADIUS).
- Một khóa hay một card token:Các card giống như thẻ ATM hay thẻ tín dụng
- Đặc tính nhận dạng:Giọng nói, quét võng mạc, dấu vân tay …
Tất cả các phương pháp bảo mật đó đều được thông qua các giao thức đường hầm bảo mật của mạng VPN:
- Giao thức chuyển tiếp lớp 2 L2F(Layer 2 Forwarding)
-Giao thức định đường hầm điểm-điểm PPTP(Point-to-Point Tunneling Protocol)
-Giao thức định đường hầm lớp 2 L2TP(Layer 2 Tunneling Protocol)
- Giao thức mạng VPN bảo mật IPSec
Đường hầm trong mạng VPN:
-IP,HA,ESP: là các phương pháp mã hóa dữ liệu
-Tiêu đề: gắn địa chỉ IP của máy gửi và máy nhận
IP
AH
ESP
Tiêu đề
Dữ liệu
Hình 5: Gói tin trong đường hầm VPN
CHƯƠNG III
ƯU ĐIỂM, NHƯỢC ĐIỂM
Ưu điểm
- Giảm thiểu các yêu cầu về thiết bị.VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối VPN với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng.
Giảm chi phí thường xuyên : VPN cho phép tiết kiệm chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung.
Giảm chi phí đầu tư: Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp.
Truy cập mọi lúc, mọi nơi:Các Client của VPN cũng có thể truy cập tất cả các dịch vụ như www, e-mail, FTP … cũng như các ứng dụng thiết yếu khác mà không cần quan tâm đến những phần phức tạp bên dưới.
Khả năng mở rộng : Do VPN sử dụng môi trường và các công nghệ tương tự Internet cho nên với một Internet VPN, các văn phòng, nhóm và các đối tượng di động có thể trở nên một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP.
- Đáp ứng các nhu cầu thương mại. cho phép tích hợp nhiều công nghệ mới vào mạng
Nhược điểm
-Với những ưu điểm như trên thì VPN đang là lựa chọn số 1 cho các doanh nghiệp. Tuy nhiên VPN không phải không có nhược điểm, mặc dù không ngừng được cải tiến, nâng cấp và hỗ trợ nhiều công cụ mới tăng tính bảo mật nhưng dường như đó vẫn là một vấn để khá lớn của VPN.
+Vì sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung có độ bảo mật rất kém (thường là Internet). Lý do bị tấn công của VPN thì có vài lý do sau : sự tranh đua giữa các công ty, sự tham lam muốn chiếm nguồn thông tin, sự trả thù, cảm giác mạnh…
+ Hai thông số mạng là độ trễ và thông lượng: Ta biết rằng VPN chạy trên một mạng chung Internet. Mà đặc thù của mạng Internet là mạng có cấu trúc đơn giản, lưu lượng tin lớn, khó dự đoán cũng chính vì thế mà việc quản lý chất lượng cho từng dịch vụ là rất khó khăn.
+Khả năng quản lý : cũng là vấn đề khó khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nên khả năng quản lý kết nối end to end từ phía một nhà cung cấp đơn lẻ là điều không thể thực hiện được. Vì thế nhà cung cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết mà chỉ có thể cố hết sức. Cũng có một lối thoát là các nhà cung cấp ký kết với nhau các bản thoả thuận vềcác thông số mạng, đảm bảo chất lượng dịch vụ cho khách hàng. Tuy nhiên các cam kết này cũng không đảm bảo 100%.
CHƯƠNG IV
HÌNH ẢNH THỰC HÀNH VPN CLIENT-TO-SITE VÀ SITE-TO-SITE
Thiết bị sử dụng
Yêu cầu phần cứng :
Một Modem ADSL
Cần có một đường truyền ADSL tốc độ cao (Nếu là dịch vụ ADSL với địa chỉ IP tĩnh càng tốt) phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa (VPN Client) sẽ kết nối đến máy chủ cung cấp dịch vụ VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty.
Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000 làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL
Các máy chủ Server làm máy Mail server hay Web server… và các máy client kết nối với card mạng nội bộ thông qua máy VPN server
Đối với user bên ngoài có thể dùng máy PC hay laptop và kết nối Internet thông qua các đường truyền như Dial-up, ADSL…
Yêu cầu phần mềm:
Một máy tính VPN server sử dụng Windows server 2003.
Một máy chủ DC sử dụng Windows server 2003
Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7.
Client to site
IP của Site chính
Máy
Đặc tính
PC01
PC02
PC03
Name
Isa_HCM.iamvpn0.com
DC.iamvpn0.com
Client
Card Externel
IP Address
192.168.1.10
192.168.1.35
Subnet Mask
255.255.255.0
255.255.255.0
Default gateway
192.168.1.1
192.168.1.1
Preferred DNS
192.168.1.1
192.168.1.1
Card Internel
IP Address
172.168.10.1
172.168.10.2
Subnet Mask
255.255.255.0
255.255.255.0
Default gateway
172.168.10.1
Preferred DNS
172.168.10.2
172.168.10.2
CARD External của PC01 nối với Modem và cấp địa chỉ IP tĩnh
CARD Internal của PC01 nối với PC02
Trên máy ISA 2006 cấp phát IP cho máy remote tới mạng nội bộ
Click hoạt VPN client access
Trên DC tạo user truy cập VPN
Cho phép uservpn1 try cập VPN
Tạo Rule VPN client to site
Mở tất cả các traffic
Chọn nơi truy cập
Chọn đích cần đến
Chọn nhóm người truy cập VPN
Tạo new user set nhập tên user được phép truy cập VPN
Add user được phép truy cập
Chọn user này
Tạo được Rule truy cập VPN
Click chuột vào Virtual Private Networks(VPN) chọn bước thứ 2 Specify Windows Usersor select a RADIUS Server add group VPN tạo trên máy DC được phép truy cập VPN
Tạo kết nối VPN từ máy client tới site nội bộ
Đặt tên client to site network
Nhập địa chỉ IP publish của site chính
Nhập usernam và password của user truy cập VPN
Kết nối thành công tới site chính
VPN Site To Site
Tạo một Site HN khác Site chính với các thông số sau:
IP của Sitenội bộ
Máy
Đặc tính
PC04
PC05
Name
Isa_HN
Client
Card Externel
IP Address
192.168.1.20
Subnet Mask
255.255.255.0
Default gateway
192.168.1.1
Preferred DNS
192.168.1.1
Card Internel
IP Address
172.169.20.1
172.169.20.2
Subnet Mask
255.255.255.0
255.255.255.0
Default gateway
172.169.20.1
Preferred DNS
CARD External của PC01 nối với Modem và cấp địa chỉ IP tĩnh
CARD Internal của PC01 nối với PC02
Cấu hình trên Site chính(HCM)
Bước 1a: Tại máy ISA_HCM (PC01) mở Computer Management tạo một User/Pass là hcm/123
Click phải chuột vào User chọn Properties, Check tùy chọn Allow Access trong Remote Access Permission
Bước 2a: Tại máy ISA_HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Click vào Configure Address Assignment Method
Bước 3a: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho nhánh mạng VPN Site ở Hà Nội truy cập vào. Trong Static address pool chọn Add ví dụ này là dãy số 10.10.10.1 >> 10.10.10.254
Bước 4a: Tại máy PC01 trong ISA_HCM chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites. Tiếp tục nhấp vào Create VPN Site-to-Site Connection
Tên remote site phải giống tên user mới tạo ở Computer Managemant của máy ISA_HCM
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)
Trong Remote Site Gateway bạn nhập IP mặt ngoài của mạng HN trong ví dụ này này chính là 192.168.1.20
Nhập chính xác VPN User name của Hà Nội vào cửa sổ Remote Authentication
Nhập dãy địa chỉ IP của mạng Internal bên site HN
Giữ nguyên giá trị mặc định trong cửa sổ Site-to-Site Network Rule
Tùy theo bạn muốn các Gateway truy cập với thông qua các Protocol nào mà tại cửa sổ Site-to-Site Network Access Rule bạn Add chúng vào, trong này tôi Enable tất cả mọi Port nên chọn là All outbound traffic
Thành công
Hệ thống Hà Nội thì ta cấu hình tương tự nhưng cài đặt các thông số ngược lại.
Bước 1b : Trên máy ISA_HN tạo user/pass : hn/123; được phép VPN
Bước 2b: Tại máy ISA_HN chọn Virtual Private Networks (VPN) chọn tiếp Tab VPN Clients
Click vào Configure Address Assignment Method
Bước 3b: Tại Tab Address Assignment bạn nhập một dãy IP để gán cho nhánh mạng VPN Site ở Hồ Chí Minh truy cập vào. Trong Static address pool chọn Add ví dụ này là dãy số 11.11.11.1 >> 11.11.11.254
Bước 4b: Tại máy PC03 trong ISA_HN chọn Virtual Private Networks (VPN) chọn tiếp Tab Remote Sites. Tiếp tục nhấp vào Create VPN Site-to-Site Connection
Tên remote site phải giống tên user mới tạo ở Computer Managemant của máy ISA_HN
Chọn giao thức Point-to-Point Tunneling Protocol (PPTP)
Nhập IP của mạng publish bên HCM lúc này là: 192.168.1.10
Nhập chính xác VPN User name củaHồ Chí Minh vào cửa sổ Remote Authentication
Nhập dãy địa chỉ IP của mạng Internal bên site HCM
Bước tiếp theo giữ nguyên mặc định
Bước tiếp theo mở tất cả các traffic
Thành công
Cuối cùng ở máy ISA HCM: chọn Routing and Remote Acces => click phải chuột vào user VPN_HCM =>connect
Ở máy ISA Hà Nội thì ta làm tương tự.
Một công việc rất rất quan trọng là:
Ở mạng nội bộ login vào Modem mở port PPTP và IPSec
Modem dùng là : ZyXELP-660H-T1 v2; user admin bass 1234
Tắt Active Firewal trên modem
IP publish mạng chính (HCM)
Khi thưc hiện Remote Access
Khi thực hiên trên site-to-site:
Ở Site HCM tại Remote site Gateway
Nhập IP publish của site HN
Ở Site HN tại Remote site Gateway
Nhập IP publish của site HCM
Kết luận
Sau khi nghiên cứu và hoàn thành đồ án “ứng dụng công nghệ VPN và có sử dụng phần mềm bảo mật ISA” nhóm em thấy mình tự tin về thiết kế, lắp đặt hệ thống mạng doanh nghiệp nhờ việc tích lũy kiến thức – kỹ năng về sử dụng ISA, công nghệ VPN và cũng rút ra được nhiều kinh nghiệm riêng cho mình:
1. Tìm hiểu những kiến thức cơ bản về mạng máy tính như mô hình mạng, giao thức mạng, các dịch vụ trên mạng, các thiết bị dùng trong mạng LAN và WAN.
2. Tìm hiểu về công nghệ VPN như lịch sử hình thành, khái niệm, phân loại, các giao thức, những lợi ích, ưu và nhược điểm.
3. Thiết kế và cài đặt mô hình VPN Client to Site, VPN Site to Site.
Tài liệu tham khảo
Giáo trình
Giáo trình: Bảo mật & Xử lý sự cố mạng. Trường Cao Đẳng Nghề Ispace – Trung tâm đào tạo máy tính thực hành.
Web Site
[1]
[2]
[3]
[4]
Các file đính kèm theo tài liệu này:
- bao_cao_de_tai_vpn_3203.docx