Kiến thức cơ bản về VPN (Virtual Private Network)

-VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên đường truyền internet.-VPN Server: cung cấp dịch vụ VPN cho các client kết nối vào.-VPN Client: máy thực hiện kết nối VPN tới Server.-VPN sử dụng 1 trong 2 giao thức:oPPTP (Point-to-Point Tunnelling Protocol): Chứng thực bằng giao thức MS-CHAP v2.Dữ liệu truyền trên đường VPN chỉ được mã hóa sau khi kết nối VPN thành công.oL2TP/IPSec (Layer 2 Tulnneling Protocol / IP Security) Mã hóa dữ liệu bằng IPSec (dùng Preshared Key) hoặc SSL (dùng CA).Mã hóa ngay tại giai đoạn chứng thực và...
Nội dung trích xuất từ tài liệu:
Kiến thức cơ bản về VPN (Virtual Private Network) VPN (Virtual Private Network – mạng riêng ảo)- VPN là hệ thống mạng riêng ảo kết nối giữa các máy tính dựa trên đ ường truy ền internet.- VPN Server: cung cấp dịch vụ VPN cho các client kết nối vào.- VPN Client: máy thực hiện kết nối VPN tới Server.- VPN sử dụng 1 trong 2 giao thức: o PPTP (Point-to-Point Tunnelling Protocol):  Chứng thực bằng giao thức MS-CHAP v2.  Dữ liệu truyền trên đường VPN chỉ được mã hóa sau khi kết n ối VPN thành công. o L2TP/IPSec (Layer 2 Tulnneling Protocol / IP Security)  Mã hóa dữ liệu bằng IPSec (dùng Preshared Key) hoặc SSL (dùng CA).  Mã hóa ngay tại giai đoạn chứng thực và cả giai đoạn truy ền d ữ liệu.- Có 2 kiểu VPN: o VPN Client-to-site o VPN Site-to-Site• VPN Client-to-Site:- Dựa trên đường truyền internet, máy Client bên ngoài s ẽ kết n ối v ới m ạng n ội b ộ (bên trong VPN Server) như là “mạng riêng”.- Khi thực hiện kết nối VPN thành công, một “đường hầm” ( tunnel) sẽ được thiết lập để truyền dữ liệu giữa VPN Client và VPN Server.- Máy Client bên ngoài sẽ kết nối với hệ thống mạng nội bộ theo kiểu LAN Routing. Trong đó, VPN Server đóng vai trò là 1 Router.- Việc tạo ra một tunnel để kết nối mạng riêng ảo làm phát sinh trên máy Server (và c ả Client) một giao tiếp mạng (card mạng) ảo mới.- Địa chỉ IP gán cho các NIC ảo trên tunnel bắt buộc phải khác Network ID với các mạng đang có trong hệ thống. (xem hình)- IP của NIC ảo trên các Client là do Server cấp tự đ ộng.  IP address 192.168.1.2 /24 là IP “mặt ngoài” của VPN Server.  IP address 192.168.1.222 /24 là IP của VPN Client.  IP address 192.168.10.0 /24 là IP của các máy trong mạng nội bộ (bên trong VPN Server.  IP address 192.168.11.1 /24 là IP của NIC ảo (tạo tunnel) của VPN Server.  IP address 192.168.11.2 /24 là IP của NIC ảo (tạo tunnel) của VPN Client.• VPN Site-to-Site:- Dựa trên đường truyền internet, máy 02 mạng n ội b ộ ở 2 Chi nhánh s ẽ k ết n ối v ới nhau như là “mạng riêng”.- Máy ISA sẽ đóng vai trò của Router. Nó định tuyến các traffic qua l ại gi ữa 2 m ạng.- Kết nối VPN site-to-site, mỗi Server sẽ mang 2 chức năng: o Là VPN Server: tiếp nhận phiên kết nối từ Server bên kia vào. o Là VPN Client: thức hiện kết nối tới VPN Server bên kia.- Như vậy, trên mỗi Server sẽ phát sinh 2 tunnel: o Tunnel 1: “đường hầm” cho phép server ở xa kết nối vào. o Tunnel 2: “đường hầm” kết nối tới server ở xa.- Mỗi tunnel sẽ phát sinh một NIC ảo. IP address xác định theo quy luật: o Tunnel 1 (vai trò VPN Server): dùng IP address đầu tiên của dãy IP address cấp phát cho các VPN Client ở xa. o Tunnel 2 (vai trò VPN Client): IP address do các VPN Server ở xa cấp phát động o Các dãy IP address phải khác Network ID với nhau.- Mỗi Server phải tạo ít nhất 1 Tài khoản có quyền Remote access Dial-In (đăng nhập từ xa theo kiểu quay số) vào Server. Tài khoản này sẽ cấp cho ng ười qu ản tr ị Server ở xa.- Do ISA Firewall chỉ nhận dạng các Network đã được định nghĩa tr ước, ng ười qu ản tr ị phải định nghĩa Network của Site bên kia (ở xa) cho ISA. Dãy IP address c ủa m ạng là dảy IP nội bộ của site bên kia.- Để nhận dạng Site ở xa kết nối vào: o Một VPN có thể kết nối site-to-site với nhiều VPN Server khác nhau. o Khi VPN Server nhận đươc một yêu cầu kết nối site-to-site t ừ bên ngoài g ởi vào, nó sẽ căn cứ vào Tên tài khoản mà yêu cầu kết nối đó khai báo để nhận dạng yêu cầu kết nối đó xuất phát từ Site nào. Từ đó, VPN Server sẽ dùng k ết n ối mạng tương ứng để kết nối phản hồi về Site kia. o Tên Tài khoản (site ở xa khai báo) phải trùng với tên Network (đã được định nghĩa tại Site nhận yêu cầu kết nối). Hay nói cách khác: Khi t ạo m ột k ết n ối VPN thì cũng phải tạo 1 Tài khoản cùng tên với tên của k ết n ối VPN đó.