CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
Lời mở đầu.
Hiện nay nền kinh tế nước ta đang trên con đường phát triển mạnh, các
doanh nghiệp, công ty có xu hướng mở chi nhánh phân bố các nơi khác nhau.
Điều đó đã thu của các doanh nghiệp một khoản chi phí không nhỏ. Vì thế một
vấn đề cấp thiết đặt ra là phải thiết kế một mạng máy tính có khả năng tăng
cường thông tin từ xa trên địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu).
ngoài ra tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn để tiết kiệm
được chi phí và thời gian. VPN ra đời đáp ứng tất cả các yêu cầu trên
Cụm từ Virtual Private Network gọi là mạng riêng ảo- VPN được khởi sự
năm 1997.
Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính
phổ cập của nó. Tuy nhiên, do Internet là nguồn thông tin công cộng nên có thể
được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thông tin
có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi
trao đổi dữ liệu.
Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy
trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây
dựng mạng.
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là
Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở
trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao
số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một
tổ chức với địa điểm hoặc người sử dụng ở xa.
. Do đó VPN có một vị trí quan trọng trong nền kinh tế hiện nay và trong
tương lai. Tuy nhiên nó lại chưa được bi ết đến đầy đủ và chi tiết, vì vậy nhóm
em quyết định chon đề tài về VPN.
Vpn được chúng tôi nghiên cứu trong một thời gian không dài. Tuy nhiên
ưu việt của nó cũng được thể hiện phần nào. Có được điều đó chúng tôi xin trân

bình của gói trong mạng.
 Vpn= định đường hầm + bảo mật + các thoả thuận QoS.
I.2. Sự thuận lợi và bất lợi của VPNs.
 Thuận lợi.
 Giảm chi phí đường truyền: Vpn cho phép tiết kiệm đến 60% chi
phí so với thuê bao đường truyền và giảm đáng kể tiền cước.
 Giảm chi phí đầu tư: Vpn không tốn chi phí đầu tư cho máy chủ, bộ
định tuyến, các bộ chuyển mạch như khi đầu tư cho một mạng WAN của công
ty (có thể thuê của các nhà cung cấp dịch vụ).
2
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
 Giảm chi phí quản lý và hỗ trợ: với quy mô kinh tế của mình các
nhà cung cấp dịch vụ có thể mang lại cho công ty những tiết kiệm có giá trị so
với việc tự quản lý mạng.
 Truy cập mọi lúc mọi nơi. Vpn không làm ảnh hưởng đến bất kì
một dịch vụ truyền thống nào của internet.
 Cải thiện kết nối.
 An toàn trong giao dịch.
 Hiệu quả về băng thông.
 Enhanced scalability.
 Bất lợi :
 Phụ thuộc trong môi trường Internet.
 Thiếu sự hổ trợ cho một số giao thức kế thừa.
I.3. Phân loại mạng riêng ảo.
.
yêu cầu của VPN.
 VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :
♣ Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại

: 6.280.688
 VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là
một kết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều
nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ
như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ
doanh nghiệp (ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung
cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của
họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và
dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại
VPN này cho phép các kết nối an toàn, có mật mã.
Một số thành phần chính :
 Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
 Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
 Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS
và hổ trợ truy cập từ xa bởi người dùng.
 Bằng việc triển khai Remote Access VPNs, những người dùng từ xa
hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung
cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
 Mô hình Intranet VPNs.
Ba lo¹i liªn kÕt trong m¹ng VPN
I.5.Các thành phần của VPN
 HA ( Home Agent ). Bề mặt chung của chương trình là thường cư trú tại
các nút mạng (router) trong mạng đích. Ngoài ra, một nút đích, như Dial-up
Server có thể làm máy chủ HA. HA nhận và xác nhận những yêu cầu gửi đến để
xác thực chúng từ những host đã được ủy quyền. Khi xác nhận thành công bộ
máy khởi tạo, HA cho phép thiết lập tunnel.
4
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

 Giai đoạn 2: dữ liệu được thực sự chuyển qua mạng thông qua tunnel.
Trong giai đoạn I, một kết nối yêu cầu được khởi tạo và những tham số
phiên được đàm phán. (Giai đoạn này cũng có thể được xem như là giai đoạn
thiết lập tunnel). Nếu yêu cầu được chấp nhận và tham số phiên được đàm phán
thành công, một tunnel được thiết lập giữa hai nút thông tin đầu cuối.
Điều này xảy ra qua những việc chính sau :
1. Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
2. FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu
được cung cấp bởi người dùng.
3. Nếu tên truy cập và mật khẩu cung cấp bởi người dùng không hợp lệ,
yêu cầu phiên làm việc VPN bị từ chối. Ngược lại, nếu quá trình xác nhận sự
thống nhất của FA thành công, nó sẽ chuyễn yêu cầu đến mạng đích HA.
. Trong quá trình nhận thông tin mã hóa, HA cởi bỏ tunnel header và
header của giao thức định tuyến, đưa gói dữ liệu trở về dạng nguyên bản của nó.
5
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
. Dữ liệu nguyên gốc sau đó được chuyển hướng đến nút mong muốn cần
đến trong mạng.
Figure 4-3: The process of transferring data across a tunnel.

Ghi chú :
 Nếu 2 điểm đầu cuối không sử dụng cùng giao thức tunneling, một
số tham biến cấu hình tunnel như mã hóa, tham số nén, và cơ chế duy trì tunnel
cũng được đàm phán.
Với việc thiết lập tunnel, giai đoạn I được xem như đã xong và giai đoạn
II, hay giai đoạn chuyển giao dữ liệu, bắt đầu. Quá trình giao dịch trong giai
đoạn II này thực hiện qua các bước sau:
1. Nút khởi tạo bắt đầu chuyển hướng các gói dữ liệu đến FA.

- Kiểm tra tổng (Checksum). Phần này chứa thông tin kiểm tra tổng
quát liệu gói dữ liệu có bị mất mát trong suốt qua trình giao dịch. Thông tin này
tùy chọn.
- Khóa (Key). Thông tin này được dùng để nhận dạng hoặc xác nhận
nguồn thực của dữ liệu (bộ khởi tạo).
- Số tuần tự (Sequence number): Trường này chứa đựng 1 con số chỉ
ra số tuần tự của gói dữ liệu trong một loạt các gói dữ liệu đã và đang trao đổi.
- Source routing: Trường này chứa đựng thêm thông tin định tuyến,
phần này tuỳ chọn.
 Payload. Gói dữ liệu nguyên gốc được gửi đến FA bởi bộ khởi tạo.
Nó cũng chứa đựng phần đầu nguyên gốc.
II. VPN VÀ BẢO MẬT INTERNET VPN.
II.1.1. Kiến trúc mạng VPN.
Đường hầm:phần ảo trong VPN.
 Các kết nối được thiết lập trên nhu cầu tổ chức.
 Một nối chỉ được tạo ra giữa 2 site khi cần thiết.
 Việc tạo đường hầm tạo ra kết nối đặc biệt giữa 2 điểm cuối.
 Việc tạo đường hầm tạo ra một kết nối đặc biệt giữa dòng dữ liệu và
thông tin người dùng.
Các dịch vụ bảo mật- phần riêng trong VPN.
Các dịch vụ bảo mật trong VPN bao gồm:
Xác thực.
 Điều khiển truy cập.
 Tin cậy.
 Tính toàn vẹn dữ liệu.
 Việc xác thực người dùng và tính tòan vẹn dữ liệu phụ thuộc vào các
tiến trình mã hóa.
7
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn


 Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng
an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền
đăng nhập toàn diện hơn.
 IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu
đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước.
Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này.
Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa
trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa
dữ liệu giữa nhiều thiết bị khác nhau như router với router…..
Máy chủ AAA.
 AAA : là viết tắt của ba chữ Authentication (thẩm định quyền truy cập),
Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng
để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới
từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những
8
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an
toàn.
II.2. Một số giao thức cho VPN.
 - Bảo mật IP: là 1 chuẩn mở đảm bảo cho quá trình trao đổi dữ liệu được
an toàn.
- Giao thức đường hầm điểm-điểm: là sự lựa chọn thay thế cho giao thức
bảo mật IP.
- Giao thức đường hầm lớp 2: là giao thức đảm bảo cho vận chuyển dữ
liệu trên Internet được an tòan.
IP Security (IPSec).
 IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở
đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn và phương thức xác

CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
 Để xác thực người dùng đầu tiên Client sẽ thiết lập kết nối mạng cung
cấp dịch vụ thông qua một POP, sau đó kết nối thiết lập thứ hai với mạng khách
hàng.
 Các điểm cuôí trong truy cập đường hầm của VPN xác thực với nhau.
Kế tiếp người dùng kết nối với các thiết bị đầu cuối khách hàng (CPE). Các
cổng nối người dùng sử dụng giao thức phân tích chất lượng thành viên và giao
thức Internet nối tiếp SLIP (Serial Line Internet Protocol) và được xác thực
thông qua các một giao thức xác định tên mật khẩu như: PAP (Password
Authentication Protocol), giao thức xác định yêu cầu bắt tay CHAP (Chanllenge
Handshak Protocol) hay một hệ thống điều khiển truy nhập cứng.
Đây là kiến trúc điển hình của VPN.
VPN Logical.
10
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
Khách hàng tiềm năng cuả VPN.
Mô hình mạng cơ bản lớp 3 của VPN.
11
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
Tunelling.
II.4. Mô hình xác thực
a.Xác thực đơn phương
b. Mô hình xác thực song phương.
Đầu tiên, người dùng sẽ quay số đến điểm truy cập POP của ISP, sau đó

- Java bloking-bo mt chng li Java applet nguy him ch cho phộp
cỏc apple t cỏc ngun ỏng tin cy.
- Phỏt hin v ngn nga t chi cỏc dch v (Denial-of-service
detection and prevention) bo mt cỏc ti nguyờn b nh tuyn chng li cỏc
tn cụng thụng thng.
- Cnh bỏo thi gian thc (real-time alert) cnh bỏo trong trng hp
ca cỏc tn cụng t chi cỏc dch v v cỏc tỡnh trng c bit khỏc.
- Theo dừi v kim tra (audit trail): do tỡm ngi truy cp bng thi gian,
a ch, ngun v ớch, cng tng s byte c chuyn i.
Mụ hỡnh bc tng la (1).
13
Internet VPN
Mobile
Customer
Telecommuser
POP
Nhà cung cấp dịch vụ
Internet
Cổng nối công ty
Xác thực C
Xác thực I
Central Site của công ty
Xác thực C
CH sè 11 - B1 - §H KTQD Chuyªn Photocopy - §¸nh m¸y - In LuËn v¨n, TiÓu luËn

: 6.280.688
VPN nằm phía trước firewall.
Mô hình bức tường lửa (2).
VPN server năm phía sau Firewall.
III. Thiết kế phần cứng VPN.