Trƣờng Cao Đẳng Nguyễn Tất Thành
Khoa Công Nghệ Thông Tin
***
Khóa Luận Tốt Nghiệp
Đề tài:
Tìm hiểu công nghệ VPN ứng dụng VPN triển
khai hệ thống mạng cho công ty trên thiết bị
của CISCO
Giáo viên hƣớng dẫn: Trần Trung Kiên
Sinh viên thực hiện: Phan Hoàng Tùng Lâm – 210805680
Nguyễn Tƣờng Huy – 210803427
TP.HCM, Năm 2011
Báo cáo khóa luận tốt nghiệp
Báo cáo khóa luận tốt nghiệp
ii
TÓM TẮT KHÓA LUẬN Tên đề tài: Tìm hiểu công nghệ VPN ứng dụng VPN triển khai hệ thống mạng
cho công ty trên thiết bị của CISCO Giáo viên hƣớng dẫn: Trần Trung Kiên Thời gian thực hiện: từ 20/12/2010 đến 16/4/2011 Sinh viên thực hiện: Phan Hoàng Tùng Lâm MSSV: 210805680
Nguyễn Tƣờng Huy 210803427 Loại đề tài: Nghiên cứu và triển khai Nội dung đề tài
Báo cáo khóa luận tốt nghiệp
iv
MỤC LỤC
Lời cảm ơn i
Tóm tắt khóa luận ii
Mục lục iv
Thuật ngữ viết tắt vi
Danh mục hình vẽ ix
Mở đầu xiii
Chƣơng I: Tổng quan VPN
1. Lịch sử và phát triển 1
2. Giới thiệu tổng quát về VPN 2
3. Khái niệm VPN 3
4. Sơ lƣợc về các giao thức dùng cho VPN 8
4.1 Giao thức định đường hầm điểm – điểm PPTP 8
2.1.2 Ăn cấp phiên 51
2.1.3 Nghe trộm 52
2.1.4 Tấn công ngay chính giữa 53
2.2 Hệ thống xác thực 54
2.2.1 Mật khẩu truyền thông 54
2.2.2 Mật khẩu một lần 54
2.2.3 Các hệ thống mật khẩu khác 54
Chƣơng III: Triển Khai Mô Hình VPN Over IPSec
1. Giới thiệu phần mềm mô phỏng GNS3 58
2. Remote Access VPN 62
3. Mô hình Site-To-Site 76
Tổng kết 83
Tài liệu tham khảo 84 Báo cáo khóa luận tốt nghiệp
vi
THUẬT NGỮ VIẾT TẮT AAA Authenticationg Authorizaion Accounting
AES Advance Encryption Standard
AH Authenticaiton Header
ARP Address Resolution Protocol
CA Certification Authority
CBC Cipher Block Chaining
PKI Public Key Infastructure
PPTP Point-to-Point Tunneling Protocol
RA Registration Authority
RADIUS Remote Authentication Dial-In User Service
RAS Remote Access Server
RSA Ron Rivest, Adi Shamir, Len Adleman
SA Security Association
SAD Security Association Database
SDM Security Device Manager
SHA-1 Secure Hash Algorithm – 1
SPD Security Policy Database
Báo cáo khóa luận tốt nghiệp
viii
SPD Security Policy Database
SPI Security Parameter inddex
SSH Secure Shell
SSL Secure Socket Layer
TACACS+ Terminal Access Controller Access Control
System Plus
TCP Transmission Control Protocol
TED Tunnel Endpoint Discovery
TLS Transport Layer Security
UDP User Datagram Protocol
VPN Virtual Private Network
X-auth Extended Authentication
Hình 1.6.9 Bước 7 trong thiết lập đường hầm 18
Hình 1.6.10 Mô hình Site-to-Site VPN 19
Báo cáo khóa luận tốt nghiệp
x
Hình 1.6.11 Các bước tạo Tunnel cho VPN Site-to-Site 20
Hình 1.6.12 Hình thành tuyến lưu thông lý tưởng 20
Hình 1.6.13 IKE Phase 1 giữa hai Peer 21
Hình 1.6.14 Thiết lập chính sách cho IKE 21
Hình 1.6.15 Quá trình trao đổi khóa Diffle-Hellman 22
Hình 1.6.16 Xác thực Peer 22
Hình 1.6.17 Khởi tạo các thành phần bảo mật IPSec 23
Hình 1.6.18 Thiết Thiết lập transform set 23
Hình 1.6.19 Hình thành Tunnel IPSec 24
Hình 1.6.20 Intranet VPN dùng trong mạng nội bộ 26
Hình 1.6.21 Extranet VPN 27
Hình 2.1.1 Giao thức IPSec 28
Hình 2.1.2 IPSec SA 29
Hình 2.1.3 Cấu trúc gói tin AH 30
Hình 2.1.4 Cấu trúc gói tin ESP 31
Hình 2.1.5 Chế độ Main Mode 34
Hình 2.1.6 Chế độ Aggressive mode 35
Hình 2.1.7 Chế độ Quick mode 35
Hình 2.1.8 Security gateway 37
Hình 2.1.9 Cấu trúc SA 37
Hình 2.1.10 Giao thức PPTP 39
Hình 2.1.11 Mã hóa gói trong PPTP 41
Hình 2.1.12 Giao thức L2TP 43
Hình 2.1.13 Đường hầm L2TP 45
Báo cáo khóa luận tốt nghiệp
Hình 3.2.13 Tạo dải địa chỉ cấp cho user khi kết nối tới VPN Server. 72
Hình 3.2.14 Tạo ACL trong Split Tunneling 73
Hình 3.2.15 Tổng thể cầu hình được tạo 74
Hình 3.2.16 Giao diện chính của Cisco VPN Client 74
Hình 3.2.17 Xác thực người dùng 75
Hình 3.2.18 Client được cấp IP qua NIC Cisco VPN Adapter 75
Hình 3.3.1 Mô hình VPN Site-to-Site 76
Báo cáo khóa luận tốt nghiệp
xiii
MỞ ĐẦU
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế
giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự
phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống
Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào
các hoạt động thương mại với quy mô lớn nhỏ khác nhau
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan
được gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các hộ
khách thương mại loại lớn. Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3 của
Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớn đến thiết
bị tập trung này, đặt tại Paris. Colisee có thể cung cấp phương án gọi số chuyên dụng
cho hộ khách. Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiều tính năng quản lý
khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kê lượng nghiệp vụ…).
Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính là hình thức đầu tiên của
VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển mạch
âm thoại và quản lý mạng lưới cho hộ khách. Nhưng phạm vi bao phủ của VPN lấy
tổng đài làm cơ sở để thực hiện này rất hẹp, chủng loại tính năng nghiệp vụ cung cấp
không nhiều, có thể tiếp nhập PBX mà không thể tiếp nhập hộ dùng chỉ có một đôi dây,
nên không thực sự linh hoạt.
Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ là
AT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tên riêng là
SDN (Software Defined Network – mạng được định nghĩa bằng phần mềm), Vnet và
VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng để thay thế cho dây
chuyên dùng. Do chi phí VPN rẻ hơn dây thuê dùng đối với các hộ khách có lượng
nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cước phí với mức độ khác nhau,
nên nhiều hộ khách có mạng chuyên dùng lớn đều bắt đầu chuyển sang áp dụng nghiệp
vụ VPN. Khoảng năm 1988, trên mặt nghiệp vụ VPN, ba công ty nói trên đã triển khai
một cuộc chiến quyết liệt về giá cả, làm cho một số xí nghiệp vừa và nhỏ cũng chịu nổi
cước phí sử dụng VPN và có thể tiết kiệm được gần 30% chi phí thông tin, đã kích thích
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
2
sự phát triển nhanh chóng của dịch vụ này tại Mỹ. Hiện nay VPN không chỉ dùng cho
nghiệp vụ âm thoại mà còn có thể dùng cho nghiệp vụ dữ liệu.
Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanh chóng
của VPN trên toàn cầu. Sự hình thành của một số tổ chức thương mại tầm cỡ thế giới và
liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn, làm cho tỷ trọng
3. Khái niệm VPN:
Vpn là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở đầu này
đến hệ thống ở đầu kia qua mạng chung (như mạng internet ) mà không để giao thông
nhận biết có những hộp trung gian giữa 2 đầu, hoặc không để cho những hộp trung gian
nhận biết chúng đang chuyển những gói tin qua mạng đã được mã hóa đi qua đường hầm.
Định đường hầm (tunneling ) là một cơ chế dùng cho việc đóng gói(encapsulate ) một
giao thức vào trong một giao thức khác. Trong ngữ cảnh internet, định đường hầm cho
phép những giao thức như: IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong IP.
Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng nguyên
thủy bằng cách mã hóa gói dữ liệu và chứ gói mã hóa vào trong một vỏ bọc IP(IP
envelope). Vỏ bọc IP này thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo
mật qua mạng internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiếng hành gỡ bỏ vỏ
bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến thiết bị truy
cập thích hợp, chẳng hạn như 1 bộ định tuyến.
Một ứng dụng điển hình của VPN là cung cấp 1 kênh an toàn từ đầu mạng giúp cho
những văn phòng chi nhánh hoặc văn phòng ở xa hoặc những người làm việc từ xa có thể
dùng internet truy cập vào tài nguyên công ty một cách bảo mật và thoải mái như đang sử
dụng máy tính cục bộ trong mạng công ty.
Hình 1.3.1 Mô hình mạng VPN cơ bản
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
4
Những thiết bị ở đầu mạng hổ trợ cho mạng riêng ảo là switch, router và firewall.
Những thiết bị này có thể được quản trị bỡi công ty hoặc các nhà cung cấp dịch vụ (ISP).
Phần “ảo” (virtual) bắt nguồn từ yếu tố ta đang tạo một liên kết riêng qua mạng
chung. VPN cho phép ta giả vờ như đang dùng đường dây thuê bao hoặc quay số điện
thoại trực tiếp để truyền thông tin giữa 2 đầu. VPN là “riêng” (private) vì sự mã hóa được
dùng để đạt sự bảo mật một trao đổi trên mạng riêng mặc dù trao đổi này xảy ra trên
Đƣờng hầm:
Các đường hầm (tunnel) chính là đặc tính ảo của VPN, nó làm cho một kết nối
dường như một dòng lưu lượng duy nhất trên đường dây. Đồng thời còn tạo cho VPN khả
năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã áp dụng trong mạng nội
bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu. Đường hầm củng làm cho
VPN có tính riêng tư.
Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm có
giao thức định đường hầm điểm - điểm PPTP (Point to Point Tunneling Protocol), chuyển
tiếp lớp 2 – L2F (Layer 2 Forwarding) hoặc giao thức định đường hầm lớp 2 – L2TP
(Layer 2 Tunneling Protocol). Các mạng VPN nội bộ và mở rộng dành riêng có thể sử
dụng những công nghệ như bảo mật IP – Ipsec (IP security) hoặc bọc gói định tuyến
chung GRE (Generic Route Encapsulation) để tạo nên các đường hầm ảo thường trực.
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
6 Hình 1.3.4 Đường hầm trong VPN
Mã hóa:
Mã hóa (encryption) là tính năng tùy chọn nó cũng đóng góp vào đặc điểm “riêng
tư” của VPN. Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng đặc biệt, còn
bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến tốc độ, tăng gánh
nặng cho bộ sử lý.
Hình 1.3.5 Mã hóa trong VPN
Tƣờng lửa:
Chúng ta sử dụng tường lửa (firewall) để bảo mật mạng nội bộ của mình chống lại
những cuộc tấn công vào lưu lượng trên mạng và nhựng kẻ phá hoại, giải pháp bức tường
lửa tốt là công cụ có khả năng phân biệt các lưu lượng dựa trên cơ sở người dùng, trình
ứng dụng hay nguôn gốc.
Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
Hình 1.4.1 Giao thức PPTP
Đây là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point-to-Point
Tunneling Protocol) được cung cấp như một phần của các dịc vụ truy cập từ xa RAS
(Remote Access Servicess) sử dụng cách mã hóa sẵn có, xác thực người dùng và cở sở
cấu hình của giao thức điểm – điểm PPP (Point-to-Point Protocol) để thiết lập các khóa
mã. Báo cáo khóa luận tốt nghiệp Chương 1: Tổng quan VPN
9
4.2 Giao thức định đƣờng hầm lớp 2 – L2TP: Hình 1.4.2 Giao thức L2TP
Đây là giao thức chuẩn của IETF (Internet Enginneerring Task Force) sử dụng kĩ
thuật khóa công cộng (public key technology) để thực hiện việc xác thực người dùng và
có thể hoạt động thông qua một môi trường truyền thông đa dạng hơn so với PPTP. Một
điểm đáng lưu ý là L2TP (Layer 2 Tunneling Protocol) không thể sử dụng để thực hiện
việc mã hóa.
4.3 Giao thức bảo mật IPsec: Hình 1.4.3 Giao thức IPSec
Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hóa. Lợi điểm lớn
nhất của Ipsec (IP security) là giao thức này có thể được sử dụng để thiết lập một VPN
một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể sử dụng và có
thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là các
và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự.
- Số lượng kết nối đồng thời lớn.
- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyền internet mà
bạn sử dụng.
Copyright: Tài liệu đại học ©