Đề tài Dynamic Multipoint VPN

MỤC LỤC

 

Lời nói đầu 2

Mục lục 3

Danh mục hình vẽ 4

Ký hiệu viết tắt 5

I. Nguyên lý hoạt động VPN đa điểm động 6

I.1. Mô hình GRE (Quách Văn Phong) 6

I.2. Giao thức Next Hop Resolution Protocol – NHRP (Phạm Thanh Dung) 9

I.3. IPSec động (Bùi Thu Huyền) 10

I.4. Quy trình thiết lập VNP đa điểm động (Vũ Như Trình) 18

II. Ứng dụng của VNP đa điểm động (Phạm Thanh Dung) 25

II.1. Bài toán thực tế 25

II.2. Các giải pháp thực hiện 26

Tài liệu tham khảo 30

 

doc30 trang | Chia sẻ: lethao | Lượt xem: 3528 | Lượt tải: 2download
Bạn đang xem trước 20 trang tài liệu Đề tài Dynamic Multipoint VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
e Tunnel để truyền đi trên mạng. Giao thức Next Hop Resolution Protocol – NHRP Một số khái niệm Tunnel address là địa chỉ IP định nghĩa cho một giao diện đường hầm (đường dẫn ảo) NBMA(Non-Broadcast Multiple Access) address là địa chỉ IP sử dụng là điểm nguồn hoặc điểm đích của đường hầm, đây là địa chỉ vật lý của Hub hoặc Spoke NHRP là giao thức mạng lớp 2, là chuẩn RFC2332. NHRP trong DMVPN thiết lập bản đồ một địa chỉ IP của đường hầm của Hub hoặc Spoke tương ứng với một địa chỉ NBMA gọi là cơ sở dữ liệu liền kề NHRP. Mỗi Spoke phải thiết lập trước tới Hub trong thời gian khởi động kết nối, nó phải kết nối, đăng kí và khai báo với Hub một khoảng địa chỉ qua NHRP Nguyên lý hoạt động của giao thức NHRP Khi dữ liệu được gửi đi tới một Spoke khác cùng mạng, nó được đóng gói bởi mGRE cùng với địa chỉ đường hầm của bước truyền tiếp theo.Spoke gửi yêu cầu tới Hub địa chỉ chỉ cuối NBMA của bước truyền tiếp theo khi truyền đi địa chỉ đường hầm. Hub sẽ tra trong cơ sở dữ liệu liền kề để trả lời địa chỉ NBMA của điểm đến của dữ liệu. Bây giờ Spoke nguồn có thể thiết lập một đường hầm tới Spoke đích Như vậy :Đường hầm IPSec giữa Spoke –to- Hub là tĩnh và đường hầm giữa Spoke-to-Spoke là động, có tính chất tạm thời. Như vậy một giao diện mGRE có thể có nhiều đường hầm kết nối hoạt động đồng thời Hai mô hình định tuyến tiêu biểu là thuật toán định tuyến trạng thái liên kết(OSPF và ISIS) và thuật toán định tuyến khoảng cách vecto( RIP và EIGRP) Hình 2.1 Minh hoạ hoạt động của giao thức NHRP Giả sử Spoke A cần chuyển một gói tin sang Spoke B, ban đầu Spoke A biết địa chỉ router Spoke B là 192.168.1.0 và địa chỉ mGRE hay Tunnel address là 10.0.0.12 và Spoke A không biết địa chỉ vật lý NBMA của SpokeB. Giao thức NHRP sẽ thiết lập một đường hầm Spoke- Hub có địa chỉ đường hầm là 10.0.0.1 và địa chỉ NBMA là 172.16.0.1 để trả về địa chỉ vật lý NBMA của Spoke B là 172.16.2.1 dựa trên cơ sở dữ liệu liền kề. Sau đó Spoke A sẽ thiết lập một đường hầm động giữa Spoke A và Spoke B Hình 2.2 thể hiện chuỗi sự kiện cần thiết lập kết nối giữa Spoke và Hub IPSec động Tổng quan IPSec bảo vệ của GRE tunnel bao gồm 2 thuộc tính cơ bản: + Chính sách IPSec được thiết lập tại mỗi GRE tunnel. + Một khoá nhận dạng IKE được thiết lập cho chính sách IPSec của từng tunnel. Trong DMVPN việc gán địa chỉ cho mỗi spoke là động nên không thể cấu hình trước Ipsec hoặc khoá nhận dạng IKE cho kết nối spoke-to-spoke. DMVNP thực hiện việc so khớp địa chỉ IP header GRE tunnel của nguồn và đích. Cisco đã phát triển tiến trình thiết lập Ipsec proxy tự động cho GRE tunnel. Với việc bảo vệ GRE tunnel có nghĩa là Ipsec phải bảo vệ gói tin địa chỉ GRE header (IP addresses encapsulating the GRE header). NHRP thực hiện quy trình khởi động spoke với địa IP tunnel có liên quan. Ipsec proxy được thiết lập động để bảo vệ gói tin gốc RGE từ khi được gắn địa chỉ nguồn và địa chỉ đích. Một lưu lượng truyền thông nào đó được định tuyến vào GRE tunnel từ lúc so khớp Ipsec proxy; do đó Ipsec được khởi động việc thiết lập điểm - điểm tunnel giữa các spoke. Việc thiết lập 1 khoá nhận dạng trong mối quan hệ kết nối VPN này có mấy cách có thể lựa chọn sau: + Cài đặt sẵn cho các IKE tunnel, mỗi cái một khoá riêng. + Cài đặt một khoá chung cho tất cả các IKE tunnel. + Thực thi một cơ sở hạ tầng khoá công cộng - PKI. Trong 2 phương pháp trên thì lựa chọn thứ 3 tối ưu hơn cả áp dụng cho mô hình DMVNP. Phương pháp PKI thiết lập giao thức IKE (Internet Key Exchange protocol). IKE thiết kế để cung cấp hệ thống xác thực lẫn nhau, cũng như là chứng minh một khoá bí mật ch tạo ra sự kết hợp bảo vệ Ipsec. Chức năng chính của giao thức IKE là thiết lập và duy trì ISAKMP/IKE SAs và Ipsec SAs. Hoạt động của IKE gồm 2 pha thiết lập IKE và IPSec SAs: Pha 1: xác thực lẫn nhau giữa các điểm ngang hàng và thiết lập 1 khoá cho phiên làm việc. Mục đích của pha 1 là tạo ra 1 kênh làm việc an toàn để pha 2 trao đổi xuất hiện. Pha 2: trao đổi và thiết lập IPSec SAs dùng ESP hoặc AH để bảo vệ IP data traffic. Kết hợp an ninh SA và giao thức trao đổi khóa IKE Kết hợp các SA Các gói IP truyền qua một SA riêng biệt được cung cấp sự bảo vệ một cách chính xác bởi giao thức an ninh có thể là AH hoặc ESP nhưng không phải là cả hai. Đôi khi một chính sách an toàn có thể được gọi cho một sự kết hợp của các dịch vụ cho một luồng giao thông đặc biệt mà không thể thực hiện được với một SA đơn lẻ. Trong trường hợp đó cần thiết để giao cho nhiều SA thực hiện chính sách an toàn được yêu cầu. Thuật ngữ cụm SA được sử dụng để một chuỗi các SA xuyên qua lưu lượng cần được xử lý để thỏa mãn một tập chính sách an toàn. Đối với kiểu Tunnel, có 3 trường hợp cơ bản của kết hợp an ninh như sau: Cả hai điểm cuối SA đều trùng nhau: mỗi đường ngầm bên trong hay bên ngoài là AH hay ESP, mặc dù host 1 có thể định rõ cả hai đường ngầm là như nhau, tức là AH bên trong AH và ESP bên trong ESP. Host 1 Security Gwy 1 Security Gwy 2 Host 2 Internet Security Association 1 (Tunnel) Security Association 2 (Tunnel) Hình 3.1 Kết hợp SA kiểu Tunnel khi 2 điểm cuối trùng nhau Một điểm cuối SA trùng nhau: đường hầm bên trong hay bên ngoài có thể là AH hay ESP. Host 1 Security Gwy 1 Security Gwy 2 Host 2 Internet Security Association 1 (Tunnel) Security Association 2 (Tunnel) Hình 3.2 Kết hợp SA kiểu Tunnel khi một điểm cuối trùng nhau Không có điểm cuối nào trùng nhau: Mỗi đường hầm bên trong và bên ngoài là AH hay ESP. Host 1 Security Gwy 1 Security Gwy 2 Host 2 Internet SA 1 (Tunnel) Security Association 2 (Tunnel) Hình 3.3 Kết hợp SA kiểu Tunnel khi không có điểm cuối trùng nhau Giao thức trao đổi khóa IKE Kết nối IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPSec không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn phương án chia quá trình ra làm hai phần: IPSec cung cấp việc xử lý ở mức gói, còm IKMP (Internet Key Management Protocol) chịu trách nhiệm thỏa thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP (Simple Key Internet Protocol), và Photuis, IETF đã quyết định chọn IKE (Internet Key Exchange) là chuẩn để cấu hình SA cho IPSec. Một đường ngầm IPSec IP-VPN được thiết lập giữa hai bên qua các bước như sau: Bước 1: Quan tâm đến lưu lượng được nhận hoặc sinh ra từ các bên IPSec IP-VPN tại một giao diện nào đó yêu cầu thiết lập phiên thông tin IPSec cho lưu lượng đó. Bước 2: Thương lượng chế độ chính (Main Mode) hoặc chế độ tấn công (Aggressive Mode) sử dụng IKE cho kết quả là tạo ra liên kết an ninh IKE (IKE SA) giữa các bên IPSec. Bước 3: Thương lượng chế độ nhanh (Quick Mode)sử dụng IKE cho kết quả là tạo ra 2 IPSec SA giữa hai bên IPSec. Bước 4: Dữ liệu bắt đầu truyền qua đường ngầm mã hóa sử dụng kỹ thuật đóng gói ESP hoặc AH (hoặc cả hai). Bước 5: Kết thúc đường ngầm IPSec VPN. Nguyên nhân có thể là do IPSec SA kết thúc hoặc hết hạn hoặc bị xóa. Tuy là chia thành 4 bước, nhưng cơ bản là bước thứ 2 và bước thứ 3, hai bước này định ra một cách rõ ràng rằng IKE có tất cả 2 pha. Pha thứ nhất sử dụng chế độ chính hoặc chế độ tấn công để trao đổi giữa các bên, và pha thứ hai được hoàn thành nhờ sử dụng trao đổi chế độ nhanh. Hình 3.4: Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE Sau đây chúng ta sẽ đi xem xét cụ thể các bước và mục đích của các pha IKE. Bước thứ nhất Việc quyết định lưu lượng nào cần bảo vệ là một phần trong chính sách an ninh của mạng VPN. Chính sách được sử dụng để quyết định cần bảo vệ lưu lượng nào (những lưu lượng khác không cần bảo vệ sẽ được gửi dưới dạng văn bản rõ). Chính sách an ninh sẽ được phản chiếu trong một danh sách truy nhập. Các bên phải chứa danh sách giống nhau, và có thể có đa danh sách truy nhập cho những mục đích khác nhau giữa các bên. Những danh sách này được gọi là các danh sách điều khiển truy nhập (ACLs- Acess Control List). Nó đơn giản là danh sách truy nhập IP mở rộng của các routers được sử dụng để biết lưu lượng nào cần mật mã. ACLs làm việc khác nhau dựa vào mục đích các câu lệnh permit (cho phép) và denny (phủ nhận) là khác nhau. Hình 3.17 trình bày kết quả của các trạng thái khi thực hiện lệnh permit và deny của nguồn và đích: Clear-Text Packet IPSec Crypto ACL AH or ESP Packet AH or ESP or Clear-Text Packet Clear-Text Packet IPSec Crypto ACL AH or ESP Packet Source Peer Destination Peer Permit Permit Deny Deny Hình 3.5 Danh sách bí mật ACL Từ khóa permit và deny có ý nghĩa khác nhau giữa thiết bị nguồn và đích: Permit tại bên nguồn: cho qua lưu lượng tới IPSec để nhận thực, mật mã hóa hoặc cả hai. IPSec thay đổi gói tin bằng cách chèn tiêu đề AH hoặc ESP và có thể mật mã một phần hoặc tất cả gói tin nguồn và truyền chúng tới bên đích. Deny tại bên nguồn: cho đi vòng lưu lượng và đưa các gói tin bản rõ tới bên nhận. Permit tại bên đích: cho qua lưu lượng tới IPSec để nhận thực, giải mã, hoặc cả hai. ACL sử dụng thông tin trong header để quyết định. Trong logic của ACL, nếu như header chứa nguồn, đích, giao thức đúng thì gói tin đã được xử lý bởi IPSec tại phía gửi và bây giờ phải được xử lý ở phía thu. Deny tại bên đích: cho đi vòng qua IPSec và giả sử rằng lưu lượng đã được gửi ở dạng văn bản rõ. Khi những từ khóa permit và deny được kết hợp sử dụng một cách chính xác, dữ liệu được bảo vệ thành công và được truyền. Khi chúng không kết hợp chính xác, dữ liệu bị loại bỏ. Bảng 3.2 trình bày kết hợp các lệnh permit và deny và kết quả thực hiện cho các kết hợp: Kết quả khi kết hợp lệnh permit và deny Nguồn Đích Kết quả Permit Permit Đúng Permit Deny Sai Deny Permit Sai Deny Deny Đúng Bước thứ hai Bước thư hai này chính là IKE pha thứ nhất. Mục đích của IKE pha thứ nhất: Đồng ý một tập các tham số được sử dụng để nhận thực hai bên và mật mã một phần chế độ chính và toàn bộ trao đổi thực hiện trong chế độ nhanh. Không có bản tin nào ở chế độ tấn công được mật mã nếu chế độ tấn công được sử dụng để thương lượng. Hai bên tham gia IP-VPN nhận thực với nhau. Tạo khóa để sử dụng làm tác nhân sinh ra khóa mã hóa mã hóa dữ liệu ngay sau khi thương lượng kết thúc. Tất cả thông tin thương lượng trong chế độ chính hay chế độ tấn công, bao gồm khóa sau đó sử dụng để tạo khóa cho quá trình mật mã dữ liệu, được lưu với tên gọi là IKE SA hay ISAKMP SA (liên kết an ninh IKE hay ISAKMP). Bất kỳ bên nào trong hai bên cũng chỉ có một ISAKMP liên kết an ninh giữa chúng. Hình 3.6: IKE pha thứ nhất sử dụng chế độ chính (Main Mode) Chế độ chính có trao đổi 6 bản tin (tức là có 3 trao đổi 2 chiều) giữa hai bên khởi tạo và biên nhận: Trao đổi thứ nhất: Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi IKE) sẽ được thỏa thuận giữa các đối tác. Trao đổi thứ hai: Sử dụng trao đổi Diffie-Hellman để tạo khóa bí mật chia sẻ (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khóa bí mật chia sẻ được sử dụng để tạo ra tất cả các khóa bí mật và xác thực khác. Trao đổi thứ ba: xác minh nhận dạng các bên (xác thực đối tác). Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác. Chế độ nhanh thực hiện trao đổi 3 bản tin. Hầu hết các trao đổi đều được thực hiện trong trao đổi thứ nhất: thỏa thuận các tập chính sách IKE, tạo khóa công cộng Diffie-Hellman, và một gói nhận dạng có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba. Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành việc trao đổi. Cuối cùng bên khởi tạo khẳng định việc trao đổi. a) Các tập chính sách IKE Khi thiết lập một kết nối IP-VPN an toàn giữa hai host A và host B thông qua Internet, một đường ngầm an toàn được thiết lập giưa router A và router B. Thông qua đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thỏa thuận. Thay vì phải thỏa thuận từng giao thức một, các giao thức được nhóm thành các tập và được gọi là tập chính sách IKE (IKE policy set). Các tập chính sách IKE được trao đổi trong IKE pha thứ nhất, trao đổi thứ nhất. Nếu một chính sách thống nhất được tìm thấy ở hai phía thì trao đổi được tiếp tục. Nếu không tìm thấy chính sách thống nhất nào, đường ngầm sẽ bị loại bỏ. Ví dụ Router A gửi các tập chính sách IKE policy 10 và IKE plicy 20 tới router B. Router B so sánh với tập chính sách của nó, IKE policy 15, với các tập chính sách nhận được từ router A . Trong trường hợp này, một chính sách thống nhất được tìm thấy: IKE policy 10 của router A và IKE policy 15 của router B là tương đương. Trong ứng dụng điểm - tới - điểm, mỗi bên chỉ cần định nghĩa một tập chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE để đáp ứng nhu cầu của tất cả các đối tác từ xa. b) Trao đổi khóa Diffie-Hellman Trao đổi khóa Diffie-Hellman là một phương pháp mật mã khóa công khai cho phép hai bên thiết lập một khóa bí mật chung qua một môi trường truyền thông không an toàn (xem chi tiết trong chương 4). Có 7 thuật toán hay nhóm Diffie-Hellman được định nghĩa: DH 1¸7. Trong IKE pha thứ nhất, các bên phải thỏa thuận nhóm Diffie-Hellman được sử dụng. Khi đã hoàn tất việc thỏa thuận nhóm, khóa bí mật chung sẽ được tính. c) Xác thực đối tác Xác thực đối tác là kiểm tra xem ai đang ở phía bên kia của đường ngâm VPN. Các thiết bị ở hai đầu đường ngầm IP-VPN phải được xác thực trước khi đường truyền thông được coi là an toàn. Trao đổi cuối cùng của IKE pha thứ nhất có mục đích như xác thực đối tác. Có hai phương thức xác thực nguồn gốc dữ liệu chủ yếu là đối tác: Khóa chia sẻ trước (Pre-shared keys) và chữ ký số (RSA signatures). Chi tiết về các thuật toán xác thực được đề cập trong chương 4. Bước thứ ba Bước thứ 3 này chính là IKE pha 2. Mục đích của IKE pha 2 là để thỏa thuận các thông số an ninh IPSec sử dụng để bảo vệ đường ngầm IPSec. Chỉ có một chế độ nhanh được sử dụng cho IKE pha 2. IKE pha 2 thực hiện các chức năng sau: Thỏa thuận các thông số anh ninh IPSec (IPSec Security parameters), các tập chuyển đổi IPSec (IPSec transform sets). Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations). Định kỳ thỏa thuận lại IPSec SA để đảm bảo tính an toàn của đường ngầm Thực hiện một trao đổi Diffie-Hellman bổ sung (khi đó các SA và các khóa mới được tạo ra, làm tăng tính an toàn cho đường ngầm). Chế độ nhanh cũng được sử dụng để thỏa thuận lại một kết hợp an ninh mới khi kết hợp an ninh cũ đã hết hạn. Khi đó các bên có thể không cần quay trở lại bước thứ 2 nữa mà vẫn đảm bảo thiết lập một SA cho phiên truyền thông mới. a) Các tập chuyển đổi IPSec Hình 3.7 Các tập chuyển đổi IPSec Mục đích cuối cùng của IKE pha 2 là thiết lập một phiên IPSec an toàn giữa hai điểm cuối VPN. Trước khi thực hiện được điều đó, mỗi cặp điểm cuối lần lượt thỏa thuận mức độ an toàn cần thiết (ví dụ các thuật toán xác thực và mật mã dùng trong phiên đó). Thay vì phải thỏa thuận riêng từng giao thức đơn lẻ, các giao thức được nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao đổi giữa hai phía trong chế độ nhanh. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục, ngược lại thì phiên đó sẽ bị loại bỏ. Ví dụ router A gửi tập chuyển đổi 30 và 40 tới router B, router B kiểm tra thấy tập chuyển đổi 50 phù hợp với tập chuyển đổi 30 của router A, các thuật toán xác thực va mật mã trong các tập chuyển đổi này hình thành một kết hợp an ninh. b) Thiết lập kết hợp an ninh Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị IP-VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này được biết đên như là một kết hơp an ninh. Thiết bị IP-VPN sau đó sẽ đanh số mỗi SA bằng một chỉ số SPI. Khi có yêu cầu gửi gói tin giữa hai đầu VPN, các thiết bị sẽ dựa vào địa chỉ đối tác, các chỉ số SPI, thuật toán IPSec được dùng để xử lý gói tin trước khi truyền trong đường ngầm. Chi tiết về SA được trình bày trong phần 3.3.1. c) Thời gian sống của một kết hợp an ninh Thời gian sống của một kết hợp an ninh càng lớn thì càng có nhiều khả năng mất an toàn. Để đảm an toàn cho phiên truyền thông thì các khóa và các SA phải được thay đổi thường xuyên. Có hai cách tính thời gian sống của SA: tính theo số lượng dữ liệu được truyền đi và tính theo giây. Các khóa và SA có hiệu lực cho đến khi hết thời gian tồn tại của SA hoặc đến khi đường ngầm bị ngắt, khi đó SA bị xóa bỏ. Bước thứ tư Sau khi đã hoàn thành IKE pha 2 và chế độ nhanh đã được thiết lập các kết hợp an ninh IPSec SA, lưu lượng có thể được trao đổi giữa các bên IP-VPN thông qua một đường ngầm an toàn. Quá trình xử lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào các thông số được thiết lập của SA. Kết thúc đường ngầm Các kết hợp an ninh IPSec SA kết thúc khi bị xóa bỏ hoặc hết thời gian tồn tại. Khi đó các bên IP-VPN không sử dụng các SA này nữa và bắt đầu giải phóng cơ sở dữ liệu của SA. Các khóa cũng bị loại bỏ. Nếu ở thời điểm này các bên IP-VPN vẫn còn muốn thông tin với nhau thì một IKE pha 2 mới sẽ thực hiện. Trong trường hợp cần thiết thì cũng có thể thực hiện lại từ IKE pha 1. Thông thường, để đảm bảo tính liên tục của thông tin thì các SA mới được thiết lập trước khi các SA cũ hết hạn. Quy trình thực hiện cấu hình Thành phần cơ bản của một VPN Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers), máy khách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator). 3.1.1 Máy chủ VPN Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng VPN có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máy khách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách. Những chức năng chính của máy chủ VPN bao gồm: Tiếp nhận những yêu cầu kết nối vào mạng VPN Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế của các quá trình bảo mật hay các quá trình xác lập Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nối trong VPN. Điểm cuối còn lại được xác lập bởi người dùng cuối cùng. Máy chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng. Một hoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối chúng tới mạng mở rộng (Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạng Internet. Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway) hay như một bộ định tuyến (Router) trong trưòng hợp số yêu cầu hoặc số người dùng trong mạng nhỏ (Nhỏ hơn 20). Trong trường hợp máy chủ VPN phải hỗ trợ nhiều người sử dụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ định tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng như bảo mật dữ liệu lưu trữ trong máy chủ. Máy khách VPN Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng được phép xác lập tới điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN và máy chủ VPN mới có thể truyền thông được với nhau. Nhìn chung, một máy khách VPN có thể được dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết bị phần cứng dành riêng. Với nhu cầu ngày càng tăng về số lượng nhân viên làm việc di động trong một công ty thì những người dùng này (những máy khách VPN) bắt buộc phải có hồ sơ cập nhật vị trí. Những người dùng này có thể sử dụng VPN để kết nối đến mạng cục bộ của công ty. Đặc trưng của máy khách VPN gồm: Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng để kết nối đến tài nguyên của công ty từ nhà. Những người dùng di động sử dụng máy tính xách tay...để kết nối vào mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập vào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng. Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian, như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát, sửa chữa hoặc cài đặt dịch vụ hay các thiết bị. Hình 4.1: Đặc trưng của máy khách VPN Bộ định tuyến VPN Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảm nhiệm luôn vai trò của bộ định tuyến. Tuy nhiên, trong thực tế thì cách thiết lập đó không hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng lớn các yêu cầu. Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết. Nhìn chung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau “bức tường lửa” (Firewall). Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạt được trong mạng cục bộ. Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trong việc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng, và chọn ra đường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống. Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong mạng VPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khả quan hơn. Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảo mật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường truyền. Ví dụ như bộ định tuyến truy nhập modun 1750 của Cisco được sử dụng rất phổ biến. Bộ tập trung VPN (VPN Concentrators) Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trung VPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước nhỏ. Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còn cung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao. Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung được sử dụng khá phổ biến. Cổng kết nối VPN Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Như vậy, những cổng kết nối này cho phép một mạng riêng hỗ trợ chuyển tiếp dựa trên giao thức IP. Những thiết bị này có thể là những thiết bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm. Với thiết bị phần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của công ty. Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặt trên mỗi máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ như phần mềm Novell’s Border Manager. Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng. Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hoá dữ liệu riêng trước khi được chuyển đến mạng công cộng. Các vấn đề cần chú ý khi thiết kế VPN Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của mạng và những yêu cầu đối với VPN sắp được thiết kế, chẳng hạn: - Số lượng site? số lượng người dùng ở mỗi site? - Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày. - Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu? - Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêucầu? Nếu là kết nói thường trực thì bao lâu kết nối được lưu dự phòng một lần. Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy cần thiết phải có? Quá trình xây dựng Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN. Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy nhập vào trang web của công ty bao gồm 4 bước: Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụ Internet của họ như bình thường. Hình 4.2: bước 1 Bước 2: Khi kết nối tới mạng công ty được yêu cầu, người sử dụng khởi đầu một tunnel tới máy chủ bảo mật đích của mạng công ty. Máy chủ bảo mật xác thực người sử dụng và tạo kết cuối khác của đường hầm tunnel. Hình 4.3: Bước 2 Bước 3: Sau dó, người sử dụng gửi dữ liệu đã được mã hoá bởi phần mềm VPN xuyên qua đường hầm tunnel được gửi thông qua kết nối của nhà cung cấp dịch vụ Internet ISP. Hình 4.4: Bước 3 Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hoá và thực hiện giải mã. Sau đó, máy chủ bảo mật hướng những gói dữ liệu được giải mã tới mạng công ty. Bất cứ thông tin nào được gửi trở lại tới người sử dụng ở xa cũng được mã hoá trước khi được gửi thông qua Internet. Hình 4.5: Bước 4 Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bất kỳ vị trí nào có mạng Internet. Hình 4.6: VPN có thể cung cấp nhiều kết nối Như vậy, một VPN bao gồm hai thành phần chính: tuyến kết nối từ người dùng, các mạng riêng đến Internet do nhà cung cấp dịch vụ Internet ISP cung cấp và phần cứng cũng như phần mềm để bảo mật dữ liệu băng cách mã hoá trước khi truyền qua Internet. Do vậy, trong phần này ta sẽ đề cập đến những vấn đề liệu quan đến việc xây dựng một VPN như việc kết nối đế

Các file đính kèm theo tài liệu này:

  • docNhom8_DMVPN.doc
  • pptnhom8_DMVPN.ppt
Tài liệu liên quan