Embed Size (px)
Citation preview
ĐỀ TÀI: Nghiên cứu và triển khai hệ thống chia sẻ dữ liệu giữa hai chi nhánh của Trung tâm Athena bằng dịch vụ VPN Site - Site
G.V. HƯỚNG DẪN: VÕ ĐỖ THẮNG
ĐỀ TÀI: Nghiên cứu và triển khai hệ thống chia sẻ dữ liệu giữa hai chi nhánh của Trung tâm Athena bằng dịch vụ VPN Site - Site
G.V. HƯỚNG DẪN: VÕ ĐỖ THẮNG
TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN NINH MẠNG
QUỐC TẾ ATHENA
TÌM HIỂU TỔNG QUAN
VỀ VPN
Mục lục
VPNVPN
1
2
3
4
5
Khái niệm VPNKhái niệm VPN
Ưu & nhược điểmƯu & nhược điểm
Các loại VPNCác loại VPN
Phương thức hoạt động của VPNPhương thức hoạt động của VPN
Bảo mật trong VPNBảo mật trong VPN
6 Sản phẩm công nghệ giành cho VPN
1.Khái niệm VPN
VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa; các điểm kết nối (như 'Văn phòng' tại gia ) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài.
2.Ưu điểm của VPN
VPN
Giảm chi phí vận hành quản lýGiảm chi phí thiết lập
Nâng cao kết nối
Bảo mật
Nâng cấp dễ dàng
Hiệu suất băng thông
2.Nhược điểm của VPN
Phụ thuộc nhiều vào chất lượng mạng Internet : sự quá tải hay nghẽn mạng có thể làm ảnh hưởng xấu chất lượng truyền tin của các máy trong mạng.
Thiếu các giao thức kế thừa hỗ trợ
3.Các loại VPN - VPN truy cập từ xa
Còn gọi là mạngDial-up riêng ảo(VPDN).
Dùng giao thức điểm-nối-điểm PPP (Point-to-PointProtocol)
Làm một kết nối người dùng-đến-LAN,xuất phát từ nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của công ty mình từ rất nhiều địa điểm ở xa.
Loại VPN này cho phép các kết nối an toàn, có mật mã
Remote-Access
Công ty muốn thiết lập một VPN lớn phả icần đến một nhà cung cấp dịch vụ doanh nghiệp(ESP).
ESP này tạo ra một máy chủ truy cập mạng(NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ.
Sau đó,người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của côngty. Loại VPN này cho phép các kết nối an toàn, có mật mã.
Ví dụ:
3.Các loại VPN – VPN điểm nối điểm
VPN điểm-nối-điểm (site-to-site) là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet
Extranet
Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác) họ có thể xây dựng một VPN extranet kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.
Intranet
Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ) để nối LAN với LAN
KN
4.Bảo mật trong VPN
Máy chủ AAA
Giao thức bảo mật giao thức Internet
Mật mã chung
Tường lửa
AAAAAA
IPSecIPSec
PUBLIC-KEY ENCRYTIONPUBLIC-KEY ENCRYTION
SYMMETRIC-KEY ENCRYTIONSYMMETRIC-KEY ENCRYTION
FIRE WALLFIRE WALL
Mật mã riêng
4.Bảo mật trong VPNTường lửa : là rào chắn vững chắc giữa mạng riêng và
Internet.
Mật mã riêng : Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng.
Mật mã chung : kết hợp mã riêng và một mã công cộng. Giao thức bảo mật giao thức Internet : cung cấp những
tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.
Máy chủ AAA: các server này được dùng để đảm bảo truy cập an toàn hơn.
5.PHƯƠNG THỨC HOẠT ĐỘNG CỦA VPN Hầu hết các VPN đều dựa vào kỹ thuật là Tunneling để tạo ra một
mạng riêng trên nền Internet.
Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng.
là giao thức
được sử dụng
bởi mạng
có thông tin
đang đi qua.
Giao thức truyền tải Giao thức truyền tải
Carrier ProtocolCarrier Protocol
là giao thức
của dữ liệu gốc
được truyền đi
(như IPX,
NetBeui, IP).
Giao thức gói tin Giao thức gói tin
Passenger ProtocolPassenger Protocol
là giao thức
(như GRE, IPSec,
L2F, PPTP, L2TP)
được bọc quanh
gói dữ liệu gốc.
Giao thức mã hóa Giao thức mã hóa
dữ liệu dữ liệu
Encapsulating ProtocolEncapsulating Protocol
5.PHƯƠNG THỨC HOẠT ĐỘNG CỦA VPN
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
5.PHƯƠNG THỨC HOẠT ĐỘNG CỦA VPN Kỹ thuật Tunneling trong mạng VPN điểm-nối-điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách.
5.PHƯƠNG THỨC HOẠT ĐỘNG CỦA VPN Kỹ thuật Tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
6. Sản phẩm công nghệ giành cho VPN
• Tùy vào loại VPN(truy cập từ xa hayđiểm-nối-điểm),bạn sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo. Đó có thể là:
–Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa.
–Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc Firewall bảo mật PIX.
–Server VPN cao cấp dành cho dịch vụ Dial-up.
–NAS(máy chủtruy cậpmạng)do nhà cung cấp sử dụng để phục vụ người sử dụng từ xa.
–Mạng VPN và trung tâm quản lý.
