1
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN QUỐC CƯỜNG
NGHIÊN CỨU VPN
VÀ GIẢI PHÁP TRIỂN KHAI IPSEC VPN
KẾT NỐI MẠNG NỘI TỈNH
CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ:260.48.15

Người hướng dẫn khoa học: TS Trần Việt Hưng

TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

HÀ NỘI – 2011

có tiền năng (ePost,Paypost…) tới các điểm Bưu cục, đồng
thời giảm chi phí kết nối so với triển khai kết nối theo hình
thức Megawan.
2. Mục đích nghiên cứu
Nghiên cứu hoàn thiện mạng tin học Bưu Điện Tỉnh
Hòa Bình.
3. Đối tượng và phạm vi nghiên cứu
Mạng Bưu chính Bưu Điện Tỉnh Hòa Bình
4. Phương pháp nghiên cứu
Phương pháp thu thập tài liệu, phương pháp tổng hợp -
phân tích số liệu, phương pháp thực nghiệm.
5. Kết cấu của luận văn:
Chương 1 : Tổng quan Ipsec VPN.
Chương 2 : Ipsec VPN
Chương 3 : Mô tả giải pháp VPN triển khai thực tế trên
mạng lưới.

4
Chương 1
TỔNG QUAN IPSEC VPN

1.1. Khái niệm VPN
VPN (Virtual Private Network ): hay còn gọi là: Mạng
riêng Ảo, cho phép mở rộng phạm vi mạng nội bộ bằng cách sử
dụng lợi thế của internet để tạo một đường hầm ảo kết nối từ xa.
Kỹ thuật VPN cho phép ta kết nối với một host (máy tính) nằm
xa hàng ngàn km với mạng LAN của mình và làm cho nó trở
thành một node (nút mạng ) hay một PC nữa trong mạng LAN.
Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng
ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một

1.2.3.3 Mức độ an toàn của thiết bị truy cập hay kết nối
mạng từ xa:
Với IPSec VPN (Virtual Private Network), người dùng từ
xa (mobile user) hay mạng LAN từ xa (remote network) kết nối
6
đến công ty có thể dễ dàng truy cập đến toàn bộ tài nguyên
mạng (FTP, Email, Web, CRM, ERP v.v. ) như thể họ đang
ngồi làm việc tại công ty.
SSL VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất
cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm
soát đến từng chi tiết
1.2.3.4 Quản lý và kiểm soát truy cập từ xa bằng IPSec
VPN(Access Control):
IPSec VPN được thiết kế để mở rộng phạm vi của mạng
LAN.
Mọi việc sẽ khác đi nếu chúng ta cho phép các nhân viên
thường xuyên di chuyển (mobile user, telecom user.v.v), các đại
lý, các nhà cung cấp, nhà thầu, các đối tác thương mại .v.v. kết
nối vào mạng chúng ta từ xa (remote access).Giải pháp SSL
VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất cả các
nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm soát đến
từng chi tiết
1.2.3.5. Mức độ bảo mật (security) :
Khi so sánh SSL VPN và IPSec VPN thường mọi người có
câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL VPN thì
cái nào an toàn hơn?”. Thật ra, cả hai giao thức bảo mật này đều
bảo mật tốt cho hệ thống. Chúng đều cung cấp một phương
7
pháp trao đổi khóa an toàn (secure key exchange) và phương
pháp mã hóa mạnh (encrytion).

Thuật Toán 3DES: Dùng khóa có chiều dài 168 bit.
IKE: làm nhiệm vụ trao đổi key giữa các vpn gateway.
2.3 Kết hợp bảo mật IPSec
Kết hợp bảo mật (SAs) là khái niệm cơ bản của giao thức
IPSec. Theo người phát triển IPSec, SA là một kết nối logic
không định hướng giữa hai máy dùng dịch vụ IPSec.
Một IPSec SA sử dụng hai cơ sở dữ liệu. Security
Association Database (SAD) (Cơ sở dữ liệu kết hợp bảo mật)
chứa thông tin liên quan về các SA. Thông tin bao gồm các
khóa giải thuật, chu kì sống của SA, và chuỗi số. Cơ sở dữ liệu
IPSec thứ hai, Security Policy Database (SPD) (Cơ sở dữ liệu
9
cách thức bảo mật) , chứa thông tin về dịch vụ bảo mật gồm
một danh sách các thực thể truyền đi và nhận về.
2.4 Ipsec security protocols
IPSec gồm ba chức năng chính sau
- Xác thực và tòan vẹn dữ liệu
- Tin cẩn
- Quản lý khóa
2.4.1. Authentication Header Protocol
Giao thức header xác thực (AH) đính thêm vào header của
IP datagram. Header này cung cấp IP datagram gốc tại nơi nhận.
Để tạo ra HA, Hashed Authentication Message Code
(HMAC) được tạo ra tai nơi gửi. Mã hash code được tạo ra trên
một SA xác định, xác định thứ tự biến đổi datagram. Mã sẽ
được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC
được giải mã để xác định người gửi cũng như tính tòan vẹn của
dữ liệu.
2.4.2. Giao thức Encapsulating Security Payload (ESP)
ESP giúp tăng độ tin cậy trong quá trình xác định người

IKE làm việc ở hai pha, pha I và pha II
2.6.1. Pha IKE
Trong IKE, mặc định rằng một đường truyền đảm bảo đã
được thiết lập. Đường truyền đảm bảo này phải được thiết lập
trước khi dàn xếp bất kì thông số nào
2.6.1.2. Pha I IKE
Trước tiên, pha I IKE sẽ xác thực đầu cuối của quá trình
thông tin và thiết lập các kênh truềyn bảo đảm cho SA.
Pha này sẽ thiết lập một sự liên kết bảo mật để khung
ISAKMP sử dụng.
Nếu hai bên chọn ra được một khóa xác thực công cộng,
hai bên cần phải trao đổi ID của chúng. Sau khi trao đổi thông
tin cần thiết, sau đó cả hai bên sẽ tạo ra khóa bí mật của riêng
chúng dựa trên thông tin trao đổi. Thông qua cơ chế này, khóa
mật mã được tạo ra mà không cần phải trao đổi bất kì khóa náo
khác qua mạng
12
2.6.1.2. IKE Pha II
Trong pha này, SA sẽ sử dụng những dịch vụ đã được dàn
xếp trước đó.Cơ chế các thực, hàm hash code, giải thuật mật mã
sẽ bảo vệ các gói (sử dụng AH and ESP).
Thỏa thuận pha II xảy ra thường xuyên hơn thỏa thuận pha
I. Thỏa thuận pha II sẽ được lặp lại sau 4-5 phút.
Thông thường nhiều phiên làm việc pha II được hỗ trợ bởi
một phiên làm c việc pha I duy nhất. Điều này giúp nghiệp vụ
IKE trở nên nhanh hơn.
Oakley là một giao thức của IKE. Oakley gồm bốn mode
IKE.
2.6.2. Mode IKE
 Bốn mode chính IKE

- Sử dụng Wizards cho cài đặt hệ thống VPN
14
- Cấu hình chặt chẽ các chính sách quản lý truy cập
- Tận dụng chức năng NAT của firewall để che giấu địa
chỉ IP nội mạng
- Tường lửa SifoWorks U
- Công nghệ lọc URL (Filtering URL)
- Sử dụng chức năng quản lý thời gian thực mạnh mẽ của
firewall
- SifoWorks U-series cho phép công ty quản lý các ứng
dụng nhắn tin nhanh (Instant Messaging) và download P2P gây
nên những lỗ hổng bảo mật và chiếm dụng dung lượng đường
truyền bằng cách khóa các tên tập tin gửi kèm cụ thể hay lọc
qua ActiveX, Java hay thông tin Cookie gửi kèm trong các trang
web.
15
Chương 3
MÔ TẢ GIẢI PHÁP VPNTRIỂN KHAI THỰC TẾ
TRÊN MẠNG LƯỚI

3.1 Điều kiện triển khai Ipsec VPN và SSL VPN:
- Tại trung tâm tỉnh phải đăng ký 01 đường MegaVNN
hoặc FTTH
- Phải có Firewall hoặc router layer3 làm VPN Server
- Tại các điểm triển khai kết nối phải có 01 đường
MegaVNN
- Có phần mềm Forticlient đối với các điểm triển khai
IPSec VPN và Internet Explorer đối với các điểm triển khai SSL
VPN
3.2 Sơ đồ mạng bưu chính Hòa Bình sau khi triển khai

Hình 3-28: Giao diện cấu hình SSL VPN
3.4.2 Cấu hình SSL VPN Client tại các điểm triển
khai kết nối

Hình 3-35: Giao diện login để thực hiện kết nối SSL
VPN bằng Internet Explorer
20

3.5 Kết quả thực nghiệm :
Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối
dùng hình thức Megawan nội tỉnh
T
T

Đơn vị Băng
thông
(DOW
N/UP)Hình
thức
kết nối

Chi phí
thanh toán
thường
xuyên
VNĐ
(VAT 10%)

VNĐ/thán
g
Bảng 3-2 : Danh sách dự kiến triển khai mở rộng kết nối
dùng hình thức VPN
21
T
T

Đơn vị Băng
thông
(DOW
N/UP)Hình
thức
kết nối

Chi phí
thanh toán
thường
xuyên
VNĐ
(VAT 10%)

Ghi chú

1 Các điểm đang
triển khai thực tế
Trung tâm dữ liệu

VNĐ/năm (VAT 10%) so với megawan.
22
KẾT LUẬN

Khả năng đáp ứng mạng lưới:
1 Giải pháp kết nối nội tỉnh IPSec VPN và SSL VPN đã
đáp ứng được yêu cầu về bảo mật, về kết nối, về truyền
nhận giữa trung tâm tỉnh với các điểm Bưu điện trực
thuộc. Tương thích tốt với các dịch vụ chạy trên nền IP,
đảm bảo hoạt động thông suốt của hoạt động sản xuất
kinh doanh.
2. Giải pháp vẫn đảm bảo việc kết nối từ các điểm Bưu điện
huyện/thị, Bưu cục 3, điểm BĐVHX v.v… tới mạng liên
tỉnh đi Post*net, phục vụ việc triển khai các dịch vụ CFM;
Paypost; Epost v.v… giúp tăng cường khả năng phục vụ
khách hàng trên phạm vi toàn tỉnh.
3. Giải pháp triển khai không phát sinh thêm việc đầu tư về
thiết bị phần cứng, vẫn đảm bảo triển khai tốt trên hệ
thống phần cứng sẵn có (Firewall Fortigate 300A, modem
Linksys AG241 tại Bưu điện huyện/thị, Bưu cục 3, và các
điểm BĐVHX có thể tận dụng modem khuyến mại của
nhà cung cấp dịch vụ để thực hiện kết nối Internet…).
4. Việc triển khai cũng như việc xử lý sự cố về đường truyền
đơn giản hơn so với hình thức kết nối Megawan nội tỉnh
(chỉ cần Viễn thông huyện xử lý được đường truyền
ADSL tại điểm Bưu điện kết nối là thông được mạng bình
23
thường chứ không cần phối hợp với VTN như hình thức
Megawan), giảm thiểu thời gian trễ cho việc khai thác
dịch vụ trên mạng lưới.


VAT 10%
= 110.000đ.

Tổng tiền phả
i thanh toán
= 1.210.000đ.

Chi phí thanh toán thường xuyên :
Cước thuê cổng ADSL = 181.818đ/tháng

Cước thuê kênh nội tỉnh = 670.000đ/tháng

Tổng cước thuê cổ
ng+kênh
= 851.818đ/tháng.VAT 10%
= 85.181đ

Tổng tiền phả
i thanh toán
= 936.999đ/tháng.

Chi phí đấu nối hoà mạng ADSL, gồm có:
Chi phí thanh toán 1 lần sau khi lắp đặt:
Cước đấu nối hoà mạ
ng ADSL
= 80.000đ/cổng.

IPSec VPN và SSL VPN đã giảm chi phí đáng kể so với triển
khai kết nối nội tỉnh theo hình thức Megawan.
Tính tương lai của giải pháp:
Khả năng mở rộng các ứng dụng trên nền tảng truyền dẫn
là rất lớn, có thể triển khai các dịch vụ ứng dụng Web, hệ thống
điều hành nội bộ, Website Bưu điện tỉnh, VoIP (điện thoại
internet)…
Tương lai có thể mở rộng cho các điểm bán hàng đại lý,
người dùng di động nhằm khai thác tài nguyên nội bộ, phục vụ
việc chăm sóc khách hàng được tốt nhất, tiếp cận khách hàng
được thường xuyên nhất.