Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
mỗi đường hầm L2TP riêng biệt. Nhưng lợi ích này cũng là một bất lợi cho người
dùng từ xa và do đó, mạng chủ có thể bị tổn hại bởi các cuộc tấn công.
Việc thiết lập một đường hầm tự nguyện L2TP thì đơn giản hơn việc thiết lập một
đường hầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối PPP
đến điểm ISP cuối. Các bước thiết lập đường hầm tự nguyện L2TP gồm. LAC phát ra
một yêu cầu cho một đường hầm tự nguyện L2TP đến LNS. Nếu yêu cầu đường hầm
được LNS chấp nhận, LAC tạo hầm các khung PPP cho mỗi sự chỉ rõ L2TP và chuyển
hướng những khung này thông qua đường hầm. LNS chấp nhận những khung đường
hầm, lưu chuyển thông tin tạo hầm, và xử lý các khung. Cuối cùng, LNS xác nhận
người dùng và nếu người dùng được xác nhận thành công, chuyển hướng các khung
đến nút cuối trong mạng nội bộ.
Hình 2.23: Thiết lập L2TP đường hầm tự nguyện
Những ưu điểm và nhược điểm của L2TP
Ưu điểm:
L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó
cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao dịch qua
kết nối WAN không cần một IP.
Đường hầm L2TP trong suốt đối với ISP giống như người dùng từ xa. Do đó, không
đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP.
GVHD: TS.Trần Văn Dũng
59
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải
làm điều này.
L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống
tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch bằng L2TP nhanh
hơn so với quá trình giao dịch bằng L2F.
L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập vào mạng từ xa
thông qua một mạng công cộng.
L2TP nâng cao tính bảo mật do sử dụng IPSec dựa trên trường trọng tải trong suốt
qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu.
Nhược điểm
L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ
liệu nhận được.
Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một định tuyến
và một máy chủ truy nhập từ xa (RRAS) cần có những cấu hình mở rộng.
2.8 Kết thúc chương
Trong chương này đã nghiên cứu tương đối kỹ về vấn đề kỹ thuật của giải pháp
mạng riêng ảo sử dụng các đường hầm. Trong đó kỹ thuật đường hầm là vô cùng quan
trọng trong việc triển khai công nghệ VPN trên nền mạng công cộng. Các giao thức
đường hầm được nêu ở trong chương này là PPTP, L2F và L2TP. Mỗi một giao thức
đều có những ưu và nhược điểm khác nhau, và chúng đều được ứng dụng trong khi
triển khai mạng VPN trong thực tế. Qua chương này ta có thể lựa chọn được cho mình
giao thức phù hợp, tốt nhất để thực hiện, triển khai phát triển công nghệ mạng VPN.
GVHD: TS.Trần Văn Dũng
60
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Chương 3
Triển khai, cài đặt VPN
3.1. Khái quát nhiệm vụ:
3.2. Triển khai VPN dựa trên giao thức lớp 2 (L2TP)
Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản được mô tả
như sau: bộ tập trung truy nhập mạng, máy chủ L2TP và các máy trạm L2TP.
Hình 3.20: Thành phần hệ thống cung cấp VPN dựa trên L2TP
Máy chủ L2TP
Máy chủ L2TP có hai chức năng chính đó là đóng vai trò là điểm kết thức đường
hầm L2TP và chuyển các gói đến từng hầm đến mạng LAN riêng hay ngược lại. Máy
chủ chuyển các gói tin đến máy tính đích bằng cách xử lý gói tin L2TP để có được địa
chỉ mạng của máy tính đích.
Không giống như máy PPTP, máy chủ L2TP không có khả năng lọc các gói tin.
Chức năng lọc gói tin trong L2TP được thực hiện bởi bức tường lửa. Tuy nhiên trong
thực tế người ta thường thích hợp máy chủ mạng và bức tường lửa. Việc thích hợp này
mang lại một số ưu điểm hơn so với PPTP.
L2TP chỉ cần có một cổng duy nhất gán cho bức tường lửa như trong PPTP.
Chương trình quản lý này có thể tuy chọn cổng để gán cho bức tường lửa, điều này
GVHD: TS.Trần Văn Dũng
61
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
khó khăn cho những kẻ tấn công khi cố gắng tấn công vào cổng trong khi cổng đó có
thể đã thay đổi
Phần mềm Client L2TP
Nếu các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần mềm bổ
sung nào cho máy trạm, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập
như vậy thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các phần
mềm client tương thích L2TP cho kết nối L2TP VPN.
Một số đặc điểm của phần mềm cleint L2TP là có thể tương thích với các thành
phần khác của IPSec như máy chủ mã hoá, giao thức chuyển khoá và cách thức mã
hoá khoá. Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. Có thể dùng hàm băm
xử lý được các địa chỉ IP động.
Bộ tập trung truy nhập mạng
ISP cung cấp dịch vụ L2TP cần phải cài đặt một NAS cho phép L2TP để hỗ trợ các
máy trạm L2TP chạy trên nền các hệ điều hành khác nhau. Các ISP cũng có thể cung
cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP vào máy chủ
truy cập của khách hàng, điều này đòi hỏi tất cả người dùng phải có phần mềm client
L2TP tại máy khách. Khi đó người dùng có thể sử dụng dịch vụ của nhiều ISP trong
trường hợp mô hình mạng của họ rộng lớn về mọi mặt.
3.3. Cài đặt VPN
3.3.1. Cách cài đặt VPN Server
Trước khi client có thể gọi vào hoặc có thể truy cập được vào mạng của
Trường, cần phải cài đặt VPN server. Cách cài đặt một VPN Server, cũng như
hệ thống hạ tầng của giải pháp mạng ảo VPN được thực hiện như sau:
Bước đầu tiên là enable Routing and Remote Access Service (RRAS). Bước
này không cần phải cài đặt vì nó đã được cài đặt sẵn khi cài đặt hệ điều hành
Windows. Tuy nhiên mặc dù đã được cài đặt theo windows nhưng nó chưa được
enable, cho nên để có thể enable RRAS thì ta thực hiện theo các bước sau đây:
1. Chọn start, chọn Programs, chọn Administrative Tools, chọn Routing and Remote
Access (RRAS).
2. Trong Routing and Remote Access console, right click tên server, và chọn Enable
Routing and Remote Access. Sau khi chọn như ở trên thì đợi vài giây để activate.
3. Sau đó RRAS Wizard sẽ khơi động. Trong phần này chọn mục Manually configured
server và click Next theo hình dưới.
GVHD: TS.Trần Văn Dũng
62
SVTH: Bùi Quang Huy