TRờng đại học vinh
Khoa công nghệ thông tin
=== ===
tìm hiểu về công nghệ
mạng riêng ảo vpn
khóa luận TốT NGHIệP đại học
Giáo viên hớng dẫn:
Sinh viên thực hiện:
ThS. nguyễn công nhật
lê thị hồng mỹ
Lớp:
48B - CNTT
Vinh - 2011
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
MỤC LỤC
Trang
................................................................................................................................................1
RAS
Remote Access Server
CE
Customer Edge
PE
Provider Edge
PPTP
Point-to-Point Tunneling Protocol
L2TP
Layer 2 Tunneling Protocol
IPSec
Internet Protocol Security
QoS
Quality of Service
CHA
Enterprise Service Provider
PVC
Permanent Virtual Circuit
VCS
Virtual Circuit Switch
FEP
Front End Processor
OSI
Open System Interconnection
TCP
Transmission Control Protocol
EAP
Extensible Authentication Protocol
CHA
Challenge Hanhdshake Authentication
Internet Connection Sharing
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
DANH MỤC HÌNH ẢNH
................................................................................................................................................1
GVHD: ThS. Nguyễn Công Nhật
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
LỜI CẢM ƠN
Trong quá trình làm khóa luận, nhờ sự chỉ bảo của các thầy cô giáo trong
trường cũng như các thầy cô giáo trong khoa công nghệ thông tin, trên cơ sở
những kiến thức đã học tại trường cũng như qua sự tìm hiểu trên các tài liệu
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ
viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối
đó là:
- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để
kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn
kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo
dưỡng hay mở rộng sau này.
- Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên
phương pháp này lại không đáp ứng được tính bảo mật cao
Vì vậy, sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại
hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng
Internet nhưng lại có được các tính chất của một mạng cục bộ như khi sử
dụng các đường Leased-line. Vì vậy, có thể nói VPN chính là sự lựa chọn tối
ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh
nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp
mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng
được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo
trong xây dựng.
GVHD: ThS. Nguyễn Công Nhật
1
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
2
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
- Nội dung khóa luận gồm có 3 phần: Phần mở đầu, Phần nội dung và
Phần kết luận
PHẦN B: PHẦN NỘI DUNG
CHƯƠNG 1: GIỚI THIỆU CHUNG VỀ VPN
1.1 VPN là gì?
VPN (Virtua Private Network) là công nghệ cho phép kết nối các thành
phần của một mạng riêng (private network) thông qua hạ tầng mạng công
cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi
được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trong một gói tin
có thể chuyển đi được trên mạng công cộng. Gói tin được truyền đi đến đầu
bên kia của kết nối VPN. Tại điểm đến bên kia của kết nối VPN, gói tin đã bị
mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã.
Các giai đoạn phát triển của VPN:
- Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDN.
- Thế hệ thứ 2 là ISND và X25.
- Thế hệ thứ 3 là Frame relay và ATM.
- Và thế hệ hiện nay, thế hệ thứ 4 là VPN trên nền mạng IP.
- Thế hệ tiếp theo sẽ là VPN
thỏa thuận này thường được định ra trong một giới hạn trên cho phép độ trễ
trung bình của gói trên mạng
VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
1.3 Phân loại VPN
Phân loại VPN bao gồm:
- VPN cho các nhà doanh nghiệp
- VPN đối với các nhà cung cấp dịch vụ
1.3.1 VPN cho các nhà doanh nghiệp
1.3.1.1 Remote access VPN
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối
người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên
cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như
công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh
nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và
cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy
tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với
NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của
công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
GVHD: ThS. Nguyễn Công Nhật
4
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
- Việc quay số nhanh từ những khoảng cách xa được loại trừ, thay vào đó
sẽ là các kết nối cục bộ
- Giảm giá thành chi phí cho các kết nối với khoảng cách xa
- Do đây là một kết nối mang tính cục bộ, do đó tốc độ kết nối sẽ cao hơn
so với kết nối trực tiếp đến những khoảng cách xa
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ
dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các
kết nối đồng thời đến mạng
Một số bất lợi của VPNs:
- Remote Access VPNs cũng không đảm bảo đươc chất lượng phục vụ
- Khả năng mất dữ liệu là rất cao, hơn nữa các phân đoạn của gói dữ liệu
có thể đi ra ngoài và bị thất thoát
GVHD: ThS. Nguyễn Công Nhật
6
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
- Do độ phức tạp của thuật toán mã hóa, protocol overhead tăng đáng kể
điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu
IP xảy ra chậm
- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu
lớn thì sẽ rất chậm
thực, sự cẩn mật của dữ liệu
- Kết nối LAN-to-LAN được thiết kế để tao một kết nối mạng trực tiếp,
hiệu quả bất chấp khoảng cách giữa chúng
1.3.1.3 Extranet:
- Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối
tác kinh doanh: Chẳng hạn như khách hàng, nhà cung cấp, đối tác của những
người giữ vai trò quan trọng trong tổ chức…
GVHD: ThS. Nguyễn Công Nhật
8
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
Hình 4: The traditional Extranet setup
Từ mô hình trên ta thấy: mạng Extranet rất tốn kém do có nhiều đoạn
mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet khó
triển khai do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công
việc bảo trì và quản trị
GVHD: ThS. Nguyễn Công Nhật
9
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
1.3.2.1 Mô hình overlay VPN
Hình 6: Mô hình overlay VPN
Khi Frame relay và ATM cung cấp cho khách hàng các mạng riêng, nhà
cung cấp không thể tham gia vào việc định tuyến khách hàng. Các nhà cung
cấp dịch vụ chỉ vận chuyển dữ liệu qua các kết nối ảo. Như vậy, nhà cung cấp
chỉ cung cấp cho khách hàng kết nối ảo tại lớp 2. Đó là mô hình Overlay. Nếu
mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là
mạch ảo cố định PVC. Nếu mạch ảo được thiết lập theo yêu cầu (on-demand)
thì được gọi là mạch ảo chuyển đổi SVC.
Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách
hàng kết nối dạng full mesh. Nếu có N site khách hàng thì tổng số lượng
mạch ảo cần thiết N(N-1)/2.
Overlay VPN được thực thi bởi SP để cung cấp các kết nối layer 1
(physical) hay mạch chuyển vận lớp 2 (Data link – dạng dữ liệu frame hoặc
cell) giữa các site khách hàng bằng cách sử dụng các thiết bị Frame relay hay
ATM Switch. Do đó, SP không thể nhận biết được việc định tuyến ở khách
hàng. Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo
đường hầm như GRE, IPSec… Tuy nhiên, dù trong trường hợp nào thì mạng
GVHD: ThS. Nguyễn Công Nhật
11
chặn VPN của khách hàng này thực hiện các tấn công từ chối dịch vụ DoS
GVHD: ThS. Nguyễn Công Nhật
12
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
vào VPN của khách hàng khác. Nhà cung cấp dịch vụ chia mỗi phần trong
không gian địa chỉ của nó cho khách hàng và quản lý việc lọc gói tin trên
Router PE.
- Dedicated-router:
Là phương pháp mà khách hàng VPN có router PE dành riêng. Trong
phương pháp này, mỗi khách hàng VPN phải có router PE dành riêng và do
đó chỉ truy cập đến các định tuyến trong bảng định tuyến của router PE đó.
Mô hình Dedicated-router sử dụng các giao thức định tuyến để tạo ra bảng
định tuyến trên một VPN trên Router PE. Bảng định tuyến chỉ có các định
tuyến được quảng bá bởi khách hàng VPN kết nối đến chúng, kết quả là tạo ra
sự cách ly giữa các VPN.
Hình 8: Mô hình shared-router và dedicated-router
Nhược điểm của mô hình peer-to-peer:
- Không gian địa chỉ các khách hàng không được trùng nhau.
- Địa chỉ khách hàng do nhà cung cấp kiểm soát
- Chạy Services Manager bằng cách click Start ->Program ->Administrtive
Tool->Services. Giao diện của Services Manager như sau:
GVHD: ThS. Nguyễn Công Nhật
14
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
Hình 10: Services Manager
Trong Hình 10, tìm service Windows Firewall/Internet Connection
Sharing (ICS). Chuột phải vào tên service đó, trên menu chuột phải, chọn
Properties. Xuất hiện hộp thoại Windows Firewall/Internet Connection
Sharing (ICS) Properties. (Hình 11)
GVHD: ThS. Nguyễn Công Nhật
15
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
GVHD: ThS. Nguyễn Công Nhật
17
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Tìm hiểu công nghệ mạng riêng ảo
Hình 14: Configure Your Server Wizard – Server Role
Ở hình 14, cho phép ta lựa chọn các dịch vụ Server trên Windows 2003.
Bước này ta lựa chọn Remote access / VPN server, sau đó chọn Next để tiếp tục.
Hình 15: Configure Your Server Wizard – Summary of Selections
Hình 15, đưa ra danh sách các dịch vụ của Windows 2003 Server đã được
lựa chọn. Nhấn Next để tiếp tục.
GVHD: ThS. Nguyễn Công Nhật
18
SVTH: Lê Thị Hồng Mỹ - Lớp 48B Tin
Khóa luận tốt nghiệp
VPN
Copyright: Tài liệu đại học ©