Luận Văn Các giải pháp cho công nghệ VPN trên Windows 2000

Đề tài: Các giải pháp cho công nghệ VPN trên Windows 2000

NỘI DUNG
1. Khái quát về mạng riêng ảo 7
1.1. Thành phần của kết nối VPN 8
1.1.1. Máy phục vụ VPN . 8
1.1.2. Máy khách VPN 8
1.1.3. Đường hầm . 9
1.1.4. Kết nối VPN . 9
1.1.5. Các giao thức tuyến truyền 9
1.1.6. Tunneled data . 9
1.1.7. Truyền liên mạng 9
1.2. Các kết nối VPN 10
1.2.1. Kết nối VPN truy cập từ xa . 10
1.2.2. Kết nối VPN theo kiểu Router-to-Router . 10
1.3. Các tính chất của mạng riêng ảo . 10
1.3.1. Đóng gói 11
1.3.2. Xác thực . 11
1.3.3. Mă hoá dữ liệu 11
1.3.4. Phân phối địa chỉ và tên máy phục vụ . 11
1.4. Các kết nối dựa trên Internet và Intranet . 12
1.4.1. Các kƠt nối VPN trên vào Internet . 13
1.4.2. Truy cập từ xa dựa trên Internet 13
1.4.3. Kết nối đến các mạng thông qua Internet . 13
1.4.4. Connecting Networks Using Dedicated WAN Links 14
1.4.5. Kết nối đến các mạng sử dụng các liên kết Dial-Up 14
1.4.6. Các kết nối VPN dựa vào intranet 15
1.4.7. Truy cập từ xa qua mạng nội bộ 15
1.4.8. Kết nối các mạng qua Intranet 16
1.5. Quản lư mạng riêng ảo . 16
1.5.1. Quản lư người sử dụng 17
1.5.2. Quản lư địa chỉ và tên của VPN server 17
1.5.3. Quản lư truy cập . 17
1.5.4. Quản lư xác thực . 18
1.5.5. Xác thực của RADIUS 18
1.5.6. Quản lư tài account . 19
1.5.7. Quản lư mạng 19
2. Giao thức Point-to-Point Tunneling Protocol - PPTP 20
2.1. Duy tŕ các tuyến truyền với kết nối điều khiển PPTP 21
2.2. PPTP Data Tunneling . 23
2.2.1. Đóng gói PPP frame 23
2.2.2. Đóng gói các gói tin GRE . 24
2.2.3. Đóng gói ở tầng Data-Link 24
2.2.4. Xử lư dữ liệu của PPTP được truyền theo các tuyến . 24
Các găi tin PPTP và kiến trúc mạng Windows 2000 . 24
3. Bảo mật VPN . 27
3.1. Sự xác nhận người sử dụng với PPP . 27
3.2. Mă hoá với MPPE . 27
3.3. Lọc gói tin PPTP 28
4. Địa chỉ và định tuyến cho các kết nối VPN 29
4.1. Các kết nối VPN truy cập từ xa 29
4.1.1. Các địa chỉ IP và quay số máy khách VPN . 29
4.1.2. Các tuyến truyền mặc định và các Dial-up Client . 30
4.1.3. Các tuyến truyền ngầm định và các VPNs thông qua Internet . 32
4.1.4. Địa chỉ chung 33
4.1.5. Địa chỉ riêng . 33
4.1.6. Địa chỉ nạp chồng và không hợp lệ 33
4.2. Các kết nối VPN từ Router đến Router VPN 35
4.2.1. Mạng riêng ảo dựa vào Router-to-Router tạm thời và lâu dài . 35
4.2.2. Các kết nối VPNs sử dụng Dial-Up ISP . 36
4.2.3. Cấu h́nh kết nối VPN yêu cầu tại bộ định tuyến của chi nhánh văn pḥng . 36
4.2.4. Cấu h́nh corporate office router 37
4.2.5. Định tuyến tĩnh và động . 39
5. Khái quát về truyền theo tuyến . 40
5.1. Giao thức Tunneling . 40
5.1.1. Cách làm việc của Tunneling 40
5.1.2. Giao thức Tunneling và yêu cầu cơ bản 40
5.2. Giao thức Point-to-Point (PPP) 42
5.2.1. Tạo liên kết PPP 42
5.2.2. Xác nhận người sử dụng . 42
5.2.3. Điều khiển PPP Callback . 43
5.2.4. Triệu gọi giao thức tầng Mạng (Network Layer Protocols) 43
5.2.5. Pha truyền dữ liệu 43
5.3. Giao thức Point-to-Point Tunneling (PPTP) 44
5.4. Giao thức Tunneling lớp thứ 2 44
5.5. Mô h́nh đường ống sử dụng giao thức bảo mật IP (IPSec) 45
5.6. Kiểu tuyến truyền (Tunnel) . 45
5.6.1. Tuyến truyền tự nguyện . 45
5.6.2. Tuyến truyền bắt buộc . 46
6. Mạng riêng ảo và Firewalls 47
6.1. Cấu h́nh VPN Server and Firewall 47
6.1.1. VPN Server ở phía trước Firewall 47
6.1.2. Lọc gói tin trong PPTP . 48
6.1.3. VPN Server nằm sau Firewall 49
6.1.4. Cáo bộ lọc PPTP 50
7. Giải đáp những thắc mắc về VPNs 52
7.1. Những vấn đề thông thường của mạng riêng ảo . 52
7.1.1. Một yêu cầu kết nối bị từ chối mà đáng ra nó phải được chấp nhận 52
7.1.2. Không thể truy cập đến các vùng ngoài tầm của VPN server . 54
7.1.3. Không thể thiết lập một tuyến truyền . 54
7.2. Các công cụ sửa lỗi . 55
7.2.1. Những lư do không biết rơ 55
7.2.2. Giám sát mạng 56
7.2.3. Ghi lại thông tin và ḍ t́m trong PPP . 56
Phần 2 hệ thống Mạng VPN truy cập từ xa 57
8. Giới thiệu 57
9. Các thành phần của mạng VPN truy cập từ xa . 60
9.1. VPN client . 60
9.1.1. Tŕnh quản lư kết nối . 61
9.1.2. Đăng nhập một lần 63
9.1.3. Những điều cần lưu ư khi cấu h́nh một VPN client 64
9.2. Cơ sở hạ tầng mạng Internet 64
9.2.1. Tên của VPN server 65
9.2.2. Khả năng kết nối đến VPN server . 65
9.2.3. Các VPN server và cấu h́nh firewall . 66
9.3. Các giao thức xác thực 66
9.3.1. Lựa chọn phương thức xác thực 67
9.4. Các giao thức VPN 67
9.4.1. Point-to-Point Tunneling Protocol 68
9.4.2. Layer Two Tunneling Protocol with IPSec . 68
9.4.3. Lựa chọn giữa PPTP và L2TP 68
9.5. VPN Server . 70
9.5.1. Cấu h́nh cho VPN Server . 70
9.6. Hạ tầng mạng Intranet 72
9.6.1. Chuyển đổi tên 72
9.6.2. Chuyển đổi tên để truy cập đến các tài nguyên . 73
9.7. Routing 74
9.7.1. Đinh tuyến và các VPN server đa năng . 76
9.7.2. Hạ tầng dịch vụ định tuyến 77
9.8. Hạ tầng dịch vụ AAA . 78
9.8.1. Các chính sách truy cập từ xa . 80
9.8.2. Ngăn chặn truyền thông phát đi từ VPN client 80
9.8.3. Một số điều cần lưu ư đối với hạ tầng dịch vụ AAA 82
10. Triển khai hệ thống truy cập từ xa PPTP . 83
10.1. Triển khai hạ tầng dịch vụ thẻ chứng nhận . 83
10.1.1. Triển khai các thẻ chứng nhận máy . 83
10.1.2. Triển khai hệ thống smart card . 84
10.1.3. Triển khai các thẻ chứng nhận người sử dụng . 84
10.2. Triển khai hạ tầng dịch vụ Internet . 85
10.2.1. Đặt các VPN server vào hệ thống mạng bao quát của Internet 85
10.2.2. Cài đặt Windows 2000 Server trên các VPN server và cấu h́nh kết nối Internet . 85
10.2.3. Bổ sung các bản ghi vào Internet DNS 86
10.3. Triển khai hạ tầng dịch vụ AAA 86
10.3.1. Cấu h́nh dịch vụ Active Directory cho các account người sử dụng hay các nhóm làm việc 86
10.3.2. Cấu h́nh IAS server chính trên một tŕnh điều khiển domain . 87
10.3.3. Cấu h́nh một IAS server thữ cấp trên một tŕnh điều khiển domain khác 87
10.4. Triển khai các VPN Server 88
10.4.1. Cấu h́nh kết nối của VPN server với mạng nội bộ . 88
10.4.2. Chạy tŕnh Routing and Remote Access Server Setup Wizard 88
10.5. Hạ tầng mạng Intranet 89
10.5.1. Cấu h́nh cho việc định tuyến của VPN server . 89
10.5.2. Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 90
10.5.3. Cấu h́nh việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet 90
10.6. Triển khai các VPN Client 90
10.6.1. Trực tiếp cấu h́nh các VPN client 90
10.6.2. Cấu h́nh các gói tin CM với tŕnh CMAK 90
11. Triển khai hệ thống truy cập từ xa L2TP . 91
11.1. Triển khai hạ tầng dịch vụ thẻ chứng nhận . 91
11.1.1. Triển khai các thẻ chứng nhận máy . 91
11.1.2. Triển khai hệ thống smart card . 92
11.1.3. Triển khai các thẻ chứng nhận người sử dụng . 92
11.2. Triển khai hạ tầng dịch vụ Internet . 93
11.2.1. Đặt các VPN server vào hệ thống mạng bao quát của Internet 93
11.2.2. Cài đặt Windows 2000 Server trên VPN server và cấu h́nh các kết nối Internet . 93
11.2.3. Bổ sung các bản ghi vào Internet DNS 94
11.3. Triển khai hạ tầng dịch vụ AAA 94
11.3.1. Cấu h́nh dịch vụ Active Directory cho các account người sử dụng hay các nhóm làm việc 94
11.3.2. Cấu h́nh IAS server chính trên một tŕnh điều khiển domain . 95
11.3.3. Cấu h́nh một IAS server thữ cấp trên một tŕnh điều khiển domain khác 95
11.4. Triển khai các VPN Server 96
11.4.1. Cấu h́nh kết nối của VPN server với mạng nội bộ . 96
11.4.2. Chạy tŕnh Routing and Remote Access Server Setup Wizard 96
11.5. Hạ tầng hệ thống mạng Intranet . 97
11.5.1. Cấu h́nh cho việc định tuyến của VPN server . 98
11.5.2. Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 98
11.5.3. Cấu h́nh việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet 98
11.6. Triển khai các VPN Client 98
11.6.1. Trực tiếp cấu h́nh các VPN client 98
11.6.2. Cấu h́nh các gói tin CM với tŕnh CMAK 99
Tài liệu tham khảo . 100
Các giải pháp cho công nghệ VPN trên Windows 2000


Phần 1 Các vấn đề tổng quan của VPN
1. Khái quát về mạng riêng ảoMột mạng riêng ảo (VPN) là một sự mở rộng của mạng riêng mà bao gồm các liên kết qua việc chia sẻ hoặc mạng công cộng như Internet. Với một VPN bạn có thể gửi dữ liệu giữa hai máy tính qua chia sẻ tài nguyên hoặc Internet công cộng theo một kiểu cạnh tranh với các tính năng của liên kết riêng điểm nối điểm. Việc cấu h́nh và tạo ra mạng riêng ảo được xem như là mạng riêng ảo.
Để cạnh tranh với liên kết điểm nối điểm, dữ liệu được đóng gói, với một phần header cung cấp thông tin về tuyến đoạn cho phép nó đi qua các chia sẻ tài nguyên hoặc mạng internet công cộng để tới đích. Để cạnh tranh với liên kết riêng, dữ liệu gửi đi được mă hoá cẩn mật. Các gói mà bị chặn chia sẻ hoặc mạng chung không thể đọc được không có các khoá đă mă hoá. Liên kết ở đó dữ liệu riêng được đóg gói và mă hoá được xem như là một kết nối mạng riêng ảo.

[TABLE]
[TR]
[TD][/TD]
[/TR]
[TR]
[TD][/TD]
[TD][/TD]
[/TR]
[/TABLE]

Các kết nối VPN cho phép người sử dụng có thể làm việc tại nhà hoặc trên đường nếu nhận được một kết nối từ xa tới một máy phục vụ sử dụng cơ sở hạ tầng được cung cấp bởi mạng công cộng như là Internet. Từ viễn cảnh của người sử dụng, VPN là một kết ố điểm với điểm giữa máy tính, Máy khách VPN, máy phục vụ tổ chức, và máy phục vụ VPN. Cơ sở hạ tầng đúng đắn của việc chia sẻ hoặc mạng công cộng là không thích hợp bởi v́ nó xuất hiện hợp lư như là dữ liệu được gửi qua một liên kết riêng chuyên dụng.
Các kết nối VPN c̣ng cho phép các tổ chức định tuyến kết nối với các văn pḥng xa nhau hoặc với các tổ chức khác qua mạng công cộng như là intenet hoạt động như một liên kết WAN chuyên dụng.
Với cả hai kết nối từ xa và kết nối đă được xác định, các kết nối VPN cho phép một tổ chức hoạt động thương mại trong một khoảng cách xa hoặc các đường leased line tới các nhà cung cấp dịch vụ Internet.
1.1. Thành phần của kết nối VPNMột kết nối VPN Windows NT 4.0 bao gồm các thành phần được minh hoạ trong h́nh 2.
1.1.1. Máy phục vụ VPNMột máy tính mà chấp nhận các kết nối VPN từ các máy khách VPN. Một máy phục vụ VPN có thể cung cấp một kết nối VPN truy cập từ xa hoặc kết nối VPN từ tuyến đoạn này tới tuyến đoạn khác. Để có nhiều thồng tin hơn xem phần Các kết nối VPN.
1.1.2. Máy khách VPNMột máy tính khời đầu một kết nối VPN từ một máy phục vụ. Một máy khách VPN có thể nhận được một kết nối VPN từ xa hoặc một tuyến đoạn mà nhận từ kết nối VPN router-to-router. Các máy tính cài đặt Microsoftđ Windows NT version 4.0, Microsoftđ Windows 95, và Microsoftđ Windowsđ 98 đều có thể tạo các kết nối VPN từ xa tới một máy phục vụ VPN NT. Windows NT Server 4.0-based computers running the Routing and Remote Access Service (RRAS) có thể tạo các kết nối VPN router-to-router tới một máy Windows NT 4.0 vơí một máy phục vụ VPN dựa vào dịch vụ RAS. Các máy khách VPN cũng có thể là bất kỳ máy khách nào dựa vào giao thức đường hầm điểm tới điểm.
1.1.3. Đường hầmPhần của kết nối mà ở đó dữ liệu được đóng gói.
1.1.4. Kết nối VPNPhần của kết nối mà dữ liệu của bạn được mă hoá. Với các kết nối VPN bảo mật, dữ liệu được mă hoá và đóng gói cùng với các phần của kết nối.
Chó ư Nó có thể tạo ra một đường hầm và gửi dữ liệu qua đường hầm mà không cần mă hoá. Đây không phải là kết nối VPN bởi v́ dữ liệu riêng được gửi qua mạng chia sẻ hoặc mạng công cộng trong một dạng không thể mă hoá và đọc dễ dàng.
1.1.5. Các giao thức tuyến truyềnSử dụng để quản lư các tuyến truyền và dữ liệu riêng được đóng gói. (Dữ liệu mà được tuyến truyền hoá cũng phải được mă hoá thành kết nối VPN).
1.1.6. Tunneled dataDữ liệu thường xuyên được gửi qua liên kết điểm tới điểm riêng.
1.1.7. Truyền liên mạng
[TABLE]
[TR]
[TD][/TD]
[/TR]
[TR]
[TD][/TD]
[TD][/TD]
[/TR]
[/TABLE]

Mạng chia sẻ hoặc công cộng được đi qua bởi các dữ liệu được đóng gói. Với Windows 2000, lưu thông liên mạng luôn dựa vào IP. Lưu thông liên mạng có thể là internet hoặc mạng nội bộ dựa vào IP riêng.
1.2. Các kết nối VPNTạo kết nối VPN gần tương tự với việc thiết lập kết nối điểm tới điểm sử dụng mạng quay số và các thủ tục định tuyến yêu cầu xử lư. Có hai dạng kết nối VPN: kết nối VPN truy cập từ xa và kết nối VPN dựa vào router-to-router.
1.2.1. Kết nối VPN truy cập từ xaKết nối VPN truy cập từ xa được thực hiện bởi một máy khách truy cập từ xa, một máy tính đơn, và kết nối tới mạng riêng. Máy phục vụ VPN cung cấp truy cập tới các tài nguyên của máy phục vụ VPN hoặc tới toàn bộ mạng mà máy phục vụ ở đó. Các gói được gửi từ máy khách từ xa qua kết nối VPN nguyên thuỷ tại các máy khách từ xa.
Máy khách truy cập từ xa ( máy khách VPN ) xác nhận chính nó máy phục vụ truy cập từ xa ( máy phục vụ VPN ) và sự xác nhận qua lại , máy phục vô tù xác nhận tới máy khách.
1.2.2. Kết nối VPN theo kiểu Router-to-RouterMột kết nối VPN dựa vào router-to-router được thực hiện bởi một bộ định tuyến và kết nối hai phần của mạng riêng. Máy phục vụ VPN cung cấp kết nối định tuyến tới mạng mà máy phục vụ VPN ở đó. Trên kết nối VPN dựa vào router-to-router, các gói gửi từ bộ định tuyến qua kết nối VPN đặc biệt không bắt đầu từ các bộ định tuyến.
Bộ định tuyến gọi (máy khách VPN) tự xác nhận tới các bộ định tuyến trả lời (máy phục vụ VPN), và xác nhận qua lại lẫn nhau, bộ định tuyến trả lời xác nhận chính nó tới bộ định tuyến gọi.
1.3. Các tính chất của mạng riêng ảoKết nối VPN sử dụng PPTP có các tƯnh chất sau :

Đóng găi.
Xác thực
Mă hoá dữ liệu
Đánh địa chỉ và phân bổ tên server.
1.3.1. Đóng găiCông nghệ VPN cung cấp một cách đóng gói dữ liệu riêng với một header mà cho phép nó truyền qua liên mạng.
1.3.2. Xác thựcVới kết nối VPN được thiết lập, máy phục vụ VPN xác nhận dự định kết nối của máy khách VPN và kiểm tra xem máy khách VPN có được sự cho phép thích hợp không. Nếu sự xác nhận qua lại được sử dụng, máy khách VPN cũng xác nhận máy phục vụ VPN, cung cấp các biện pháp bảo vệ chống lại các máy phục vụ VPN giả mạo.
1.3.3. Mă hoá dữ liệuĐể đảm bảo sự an toàn của dữ liệu khi nó truyền qua liên mạng chia sẻ hoặc công cộng, nó được mă hoá bởi các bộ gửi và giải mă bởi các bộ nhận. Quá tŕnh mă hoá và giải mă phụ thuộc vào cả hai bộ gửi và bộ nhận và đều biết khoá mă chung.