Mạng cục bộ giữa các văn phòng ở xa. Lớp doanh nghiệp VPN. Con đường lựa chọn giải pháp VPN lý tưởng
VPN (Mạng riêng ảo) là mạng riêng ảo hoặc mạng logic được tạo trên các mạng không được bảo vệ (mạng của nhà khai thác viễn thông hoặc nhà cung cấp dịch vụ Internet). VPN là công nghệ bảo vệ dữ liệu khi truyền qua mạng không bảo mật. Mạng riêng ảo cho phép bạn tạo một đường hầm trong các mạng không bảo mật (giữa hai điểm mạng), chẳng hạn như mạng ATM, FR hoặc IP.
VỚI sử dụng VPN các kết nối có thể được thực hiện: mạng với mạng, nút với mạng hoặc nút với nút. Những đặc tính như vậy của công nghệ VPN giúp kết hợp các mạng cục bộ xa xôi về mặt địa lý của các văn phòng công ty thành một mạng thông tin công ty duy nhất. Cần lưu ý rằng doanh nghiệp mạng máy tính(KVS) cũng có thể được tổ chức trên cơ sở các kênh liên lạc chuyên dụng (riêng tư hoặc thuê). Những công cụ tổ chức như vậy được sử dụng cho các doanh nghiệp nhỏ (doanh nghiệp có văn phòng nằm gọn gàng) với lưu lượng truy cập không thay đổi theo thời gian.
Các loại VPN chính và sự kết hợp của chúng đã được biết:
- VPN mạng nội bộ (VPN nội bộ công ty);
- Extranet VPN (VPN liên công ty);
- VPN truy cập từ xa (VPN có quyền truy cập từ xa);
- VPN Máy khách/Máy chủ (VPN giữa hai nút Mạng lưới công ty).
Hiện nay, để xây dựng lãnh thổ doanh nghiệp mạng phân tán Các công nghệ sau được sử dụng trong cơ sở hạ tầng dùng chung của các nhà cung cấp dịch vụ và nhà khai thác viễn thông:
- Đường hầm IP sử dụng công nghệ GRE hoặc IPSec VPN;
- SSL, bao gồm OpenVPN và SSL VPN (SSL/TLS VPN) để tổ chức các kênh liên lạc an toàn;
- MPLS trong mạng của nhà điều hành (L3 VPN) hoặc VPN trong mạng BGP/MPLS;
- Metro Ethernet VPN trong mạng của nhà điều hành (L2 VPN). Công nghệ hứa hẹn nhất được sử dụng trong Metro Ethernet VPN là VPN dựa trên MPLS (MPLS L2 VPN) hoặc VPLS.
Đối với việc sử dụng kênh thuê riêng và Frame Relay, công nghệ ATM để tổ chức các mạng phân tán theo địa lý của doanh nghiệp, chúng thực tế không còn được sử dụng cho các mục đích này nữa. Ngày nay, theo quy định, CBC được xây dựng trên cơ sở các mạng lớp phủ (mạng máy khách-máy chủ và mạng ngang hàng), hoạt động trong cơ sở hạ tầng dùng chung của các nhà khai thác và là “cấu trúc thượng tầng” trên các giao thức mạng cổ điển.
Để tổ chức các mạng doanh nghiệp phân bố theo địa lý, các nhà cung cấp cung cấp cho khách hàng các mô hình VPN cơ bản sau trên Internet:
- Mô hình IP VPN (GRE, IPSec VPN, OpenVPN) qua mạng WAN, trong đó cấu hình VPN do khách hàng cung cấp;
- mô hình L 3 VPN hoặc MPLS L3 VPN qua mạng WAN, trong đó cấu hình VPN được cung cấp bởi nhà cung cấp dịch vụ hoặc nhà khai thác viễn thông;
- Mô hình L2 VPN qua mạng MAN, trong đó cấu hình VPN được cung cấp bởi nhà cung cấp hoặc nhà mạng viễn thông:
- điểm-điểm (AToM, 802.1Q, L2TPv3);
- đa điểm (VPLS và H-VPLS).
Các công nghệ VPN có thể được phân loại theo phương pháp triển khai chúng bằng các giao thức: xác thực, tạo đường hầm và mã hóa các gói IP. Ví dụ: VPN (IPSec, OpenVPN, PPTP) dựa trên việc mã hóa dữ liệu khách hàng, VPN (L2TP và MPLS) dựa trên việc phân tách luồng dữ liệu giữa các khách hàng VPN và SSL VPN dựa trên mật mã và xác thực lưu lượng. Tuy nhiên, theo quy định, VPN sử dụng các tùy chọn hỗn hợp khi các công nghệ được sử dụng cùng nhau: xác thực, tạo đường hầm và mã hóa. Về cơ bản, việc tổ chức mạng VPN được thực hiện trên cơ sở các giao thức liên kết dữ liệu và các lớp mạng của mô hình OSI.
Cần lưu ý rằng đối với người dùng di động từ xa, công nghệ SSL VPN (Lớp cổng bảo mật) đã được phát triển, dựa trên một nguyên tắc khác để truyền dữ liệu riêng tư (dữ liệu người dùng) qua Internet. Giao thức SSL VPN được sử dụng để tổ chức cấp độ ứng dụng HTTPS. Đối với HTTPS, cổng 443 được sử dụng, qua đó kết nối được thiết lập bằng TLS (Bảo mật lớp vận chuyển).
TLS và SSL (giao thức TLS và SSL của lớp 6 của mô hình OSI) là các giao thức mật mã cung cấp khả năng bảo vệ đáng tin cậy cho dữ liệu cấp ứng dụng, vì chúng sử dụng mật mã bất đối xứng, mã hóa đối xứng và mã xác thực tin nhắn. Nhưng vì có 4 lớp được xác định trong ngăn xếp TCP/IP, tức là. Vì không có lớp phiên và lớp trình bày nên các giao thức này hoạt động phía trên lớp truyền tải trong ngăn xếp TCP/IP, đảm bảo tính bảo mật khi truyền dữ liệu giữa các nút Internet.
Mô hình IP VPN, trong đó cấu hình VPN được cung cấp bởi khách hàng
Mô hình IP VPN có thể được triển khai dựa trên tiêu chuẩn IPSec hoặc các giao thức VPN khác (PPTP, L2TP, OpenVPN). Trong mô hình này, sự tương tác giữa các bộ định tuyến của khách hàng được thiết lập thông qua mạng WAN của nhà cung cấp dịch vụ. Trong trường hợp này, nhà cung cấp không liên quan đến việc thiết lập VPN mà chỉ cung cấp các mạng không được bảo vệ để truyền lưu lượng truy cập của khách hàng. Mạng của nhà cung cấp chỉ dành cho các kết nối VPN được đóng gói hoặc lớp phủ (trong suốt) giữa các văn phòng khách hàng.
Cấu hình VPN được thực hiện bằng phương tiện viễn thông của khách hàng, tức là. khách hàng tự mình kiểm soát việc định tuyến lưu lượng. Kết nối VPN là kết nối qua mạng điểm-điểm không bảo mật: “Cổng VPN - Cổng VPN” để kết nối các mạng văn phòng địa phương từ xa, “ Người dùng VPN- Cổng VPN" để kết nối nhân viên từ xa với văn phòng trung tâm.
Để tổ chức mạng VPN, bộ định tuyến được cài đặt trong mỗi văn phòng công ty, đảm bảo sự tương tác giữa mạng văn phòng và mạng VPN. Phần mềm xây dựng VPN an toàn được cài đặt trên các bộ định tuyến, ví dụ như gói OpenVPN phổ biến miễn phí (trong trường hợp này, gói OpenVPN phải được cấu hình để hoạt động ở chế độ định tuyến). Công nghệ OpenVPN dựa trên tiêu chuẩn SSL để liên lạc an toàn qua Internet.
OpenVPN cung cấp các kết nối an toàn dựa trên OSI Lớp 2 và Lớp 3. Nếu OpenVPN được cấu hình để hoạt động ở chế độ cầu nối, nó sẽ cung cấp các kết nối an toàn dựa trên 2 cấp độ OSI, nếu ở chế độ định tuyến - dựa trên cấp độ thứ 3. OpenVPN, không giống như SSL VPN, không hỗ trợ truy cập vào mạng VPN thông qua trình duyệt web. OpenVPN yêu cầu một ứng dụng bổ sung (máy khách VPN).
Bộ định tuyến văn phòng chính của công ty được định cấu hình làm máy chủ VPN và các bộ định tuyến văn phòng từ xa được định cấu hình làm máy khách VPN. Máy chủ VPN và bộ định tuyến máy khách VPN kết nối với Internet thông qua mạng của nhà cung cấp. Ngoài ra, bạn có thể kết nối PC của người dùng từ xa với văn phòng chính bằng cách thiết lập chương trình máy khách VPN trên PC. Kết quả là chúng ta có được một mô hình IP VPN (ảnh chụp màn hình được hiển thị trong Hình 1).
Cơm. 1. Mô hình mạng IP VPN (Intranet VPN + Remote Access VPN)
Mô hình MPLS L3 VPN hoặc L3 VPN, trong đó cấu hình VPN được cung cấp bởi nhà cung cấp dịch vụ hoặc nhà khai thác viễn thông (nhà cung cấp dịch vụ)
Hãy xem xét quá trình tổ chức mạng VPN cho ba mạng cục bộ từ xa của các văn phòng của một khách hàng dịch vụ (ví dụ: tập đoàn SC-3), đặt tại các thành phố khác nhau, sử dụng mạng đường trục Nhà cung cấp dịch vụ MPLS VPN được xây dựng trên công nghệ MPLS L3 VPN. Ngoài ra, một máy tính làm việc từ xa và máy tính xách tay của người dùng di động được kết nối với mạng của tập đoàn SC-3. Trong mô hình MPLS L3 Thiết bị VPN Nhà cung cấp có liên quan đến việc định tuyến lưu lượng truy cập của khách hàng thông qua mạng WAN.
Trong trường hợp này, việc phân phối lưu lượng máy khách từ mạng cục bộ của văn phòng khách hàng dịch vụ đến mạng đường trục MPLS VPN của nhà cung cấp dịch vụ được thực hiện bằng công nghệ IP. Để tổ chức mạng VPN, bộ định tuyến CE ngoại vi hoặc biên (bộ định tuyến Customer Edge) được cài đặt trong mỗi văn phòng của công ty, được kết nối bằng kênh vật lý với một trong các bộ định tuyến biên PE (bộ định tuyến Provider Edge) của mạng MPLS của nhà cung cấp (nhà điều hành). Trong trường hợp này, một trong các giao thức có thể hoạt động trên kênh vật lý kết nối bộ định tuyến CE và PE Lớp liên kết(PPP, Ethernet, FDDI, FR, ATM, v.v.).
Mạng của nhà cung cấp dịch vụ (nhà cung cấp dịch vụ hoặc nhà khai thác viễn thông) bao gồm các bộ định tuyến PE ngoại vi và mạng lõi (lõi mạng) với các bộ định tuyến đường trục chuyển mạch nhãn P (Provider router). Như vậy, MPLS L3 VPN bao gồm văn phòng mạng IP cục bộ mạng đường trục MPLS của khách hàng và nhà cung cấp (miền MPLS), hợp nhất các mạng cục bộ phân tán của các văn phòng khách hàng ở mạng đơn.
Mạng cục bộ từ xa của văn phòng khách hàng trao đổi gói IP thông qua mạng của nhà cung cấp MPLS, trong đó các đường hầm MPLS được hình thành để truyền lưu lượng khách qua mạng lõi của nhà cung cấp. Ảnh chụp màn hình của mô hình mạng MPLS L3 VPN (Intranet VPN + Remote Access VPN) được hiển thị trong Hình 2. 2. Để đơn giản hóa sơ đồ mạng, chấp nhận các điều kiện ban đầu sau: tất cả các mạng LAN văn phòng thuộc về một VPN, và mạng đường trục (backbone) là miền MPLS, dưới sự điều khiển thống nhất của nhà cung cấp dịch vụ quốc gia (nhà điều hành truyền thông) .
Cần lưu ý rằng MPLS L3 VPN có thể được tổ chức bằng cách sử dụng một số miền MPLS từ các nhà cung cấp dịch vụ khác nhau. Hình 2 cho thấy cấu trúc liên kết VPN dạng lưới đầy đủ.
Cơm. 2. Mô hình mạng MPLS L3 VPN (Intranet VPN + Remote Access VPN)
Các bộ định tuyến ngoại vi CE và PE (khách hàng và nhà cung cấp) trao đổi thông tin định tuyến với nhau bằng một trong các giao thức nội bộ Định tuyến IGP(RIP, OSPF hoặc IS-IS). Kết quả của việc trao đổi thông tin định tuyến là mỗi bộ định tuyến PE tạo bảng định tuyến VRF (VPN định tuyến và chuyển tiếp) riêng cho mạng cục bộ của văn phòng khách hàng được kết nối với nó thông qua bộ định tuyến CE. Do đó, thông tin định tuyến nhận được từ CE sẽ được ghi vào bảng VRF của PE.
Bảng VRF được gọi là bảng định tuyến và chuyển tiếp ảo. Chỉ các bộ định tuyến PE mới biết rằng mạng MPLS có VPN cho khách hàng. Từ mô hình mạng MPLS L3 VPN, thông tin định tuyến không được trao đổi giữa các bộ định tuyến CE của khách hàng, do đó khách hàng không tham gia định tuyến lưu lượng qua đường trục MPLS VPN (bộ định tuyến PE và bộ định tuyến P) được thực hiện bởi nhà cung cấp (nhà điều hành).
Một số mạng VPN từ các khách hàng khác nhau có thể được kết nối với bộ định tuyến PE (Hình 3). Trong trường hợp này, một giao thức định tuyến riêng biệt sẽ được cài đặt cho từng giao diện (int1, int2, v.v.) của bộ định tuyến PE mà mạng cục bộ văn phòng của khách hàng được kết nối. Đối với mỗi giao diện bộ định tuyến PE, một trong các IGP tạo bảng định tuyến VRF và mỗi bảng định tuyến VRF tương ứng với các tuyến VPN cho từng khách hàng.
Ví dụ: đối với khách hàng SC-3 và mạng LAN0 (trụ sở chính), được kết nối qua CE0 đến PE0, bảng VRF1 SC-3 sẽ được tạo trên PE0, đối với LAN1 của khách hàng SC-3 trên PE1 VRF2 SC-3 sẽ được tạo , đối với LAN2 trên PE2 - VRF3 SC-3, v.v. nhưng chúng thuộc cùng một VPN SC3. Bảng VRF1 SC-3 dùng chung để định tuyến thông tin của CE0 và CE4. Cần lưu ý rằng các bảng VRF được bổ sung thông tin về địa chỉ mạng cục bộ của tất cả các văn phòng khác của một khách hàng nhất định bằng giao thức MP-BGP (BGP đa giao thức). Giao thức MP-BGP được sử dụng để trao đổi tuyến đường trực tiếp giữa các bộ định tuyến PE và có thể mang địa chỉ VPN-IPv4 trong thông tin định tuyến.
Địa chỉ VPN-IPv4 bao gồm các địa chỉ IPv4 nguồn và tiền tố RD (Bộ phân biệt tuyến đường) hoặc bộ phân biệt tuyến đường xác định VPN cụ thể. Kết quả là các bảng VRF với các tuyến giống hệt nhau cho một mạng VPN sẽ được tạo trên các bộ định tuyến PE. Chỉ những bộ định tuyến PE tham gia tổ chức cùng một mạng VPN khách hàng mới trao đổi thông tin định tuyến với nhau bằng giao thức MP-BGP. Tiền tố RD được cấu hình cho mỗi bảng VRF.
Thông tin định tuyến được trao đổi giữa các bộ định tuyến PE bằng giao thức MP-BGP thông qua mạng toàn cầu hoặc giao diện nội bộ:
- Địa chỉ mạng đích (VPN-IPv4);
- Địa chỉ của bộ định tuyến tiếp theo cho giao thức (bước nhảy tiếp theo);
- Nhãn Lvpn – được xác định bởi số giao diện (int) của bộ định tuyến PE mà một trong các mạng LAN văn phòng của khách hàng được kết nối;
- Thuộc tính thông báo RT (route-target) là thuộc tính VPN xác định tất cả các mạng LAN văn phòng thuộc cùng một mạng công ty của khách hàng hoặc một VPN.
Cơm. 3. Bộ định tuyến PE
Ngoài ra, mỗi bộ định tuyến PE trao đổi thông tin định tuyến với các bộ định tuyến P đường trục bằng cách sử dụng một trong các giao thức định tuyến nội bộ (OSPF hoặc IS-IS) và cũng tạo một bảng định tuyến toàn cầu (nội bộ) riêng biệt (GRT) cho mạng đường trục MPLS. Bảng định tuyến bên ngoài (VRF) và bảng định tuyến toàn cầu bên trong (GTM) trong bộ định tuyến PE được cách ly với nhau. Các bộ định tuyến P trao đổi thông tin định tuyến giữa chúng và các bộ định tuyến PE bằng cách sử dụng các giao thức định tuyến nội bộ IP truyền thống (IGP), chẳng hạn như OSPF hoặc IS-IS và tạo các bảng định tuyến của chúng.
Dựa trên các bảng định tuyến sử dụng giao thức phân phối nhãn LDP hoặc giao thức RSVP dựa trên công nghệ Traffic Engineering, các bảng chuyển mạch nhãn được xây dựng trên tất cả các bộ định tuyến P (FTN được tạo trên PE) tạo thành một tuyến LSP (Label Switched Paths) cụ thể. Kết quả là các tuyến LSP chuyển mạch nhãn, trong đó các gói IP được chuyển tiếp dựa trên giá trị của nhãn tiêu đề MPLS và bảng chuyển mạch cục bộ, thay vì địa chỉ IP và bảng định tuyến.
Một tiêu đề MPLS được thêm vào mỗi gói IP đi vào bộ định tuyến PE đầu vào và bị bộ định tuyến PE đầu ra loại bỏ khi các gói rời khỏi mạng MPLS. Tiêu đề MPLS không sử dụng nhãn mà sử dụng một chồng hai nhãn, tức là. PE lối vào gán hai nhãn cho gói. Một trong số đó là Lvpn bên ngoài, cái còn lại là Lvpn bên trong. Nhãn ngoài hoặc nhãn cấp cao nhất của ngăn xếp được sử dụng trực tiếp để chuyển gói dọc theo LSP từ PE vào đến PE ra.
Cần lưu ý rằng các tuyến PE đưa lưu lượng truy cập vào một LSP cụ thể dựa trên FEC (Lớp tương đương chuyển tiếp). FEC là một nhóm các gói có điều kiện, việc vận chuyển có cùng yêu cầu. Các gói thuộc cùng một FEC được truyền trên cùng một LSP. Phân loại FEC có thể được thực hiện những cách khác, ví dụ: theo địa chỉ IP của mạng đích (tiền tố mạng), loại lưu lượng, yêu cầu kỹ thuật, v.v.
Nếu bạn sử dụng phân loại theo địa chỉ IP của mạng đích thì một lớp riêng biệt sẽ được tạo cho mỗi tiền tố của mạng đích. Trong trường hợp này, giao thức LDP tự động hóa hoàn toàn quá trình tạo các lớp và gán giá trị nhãn cho chúng (Bảng 1). Với mỗi người gói tin đến, được bộ định tuyến PE chuyển tiếp đến một địa chỉ IP cụ thể của mạng văn phòng, được gán một nhãn cụ thể dựa trên bảng FTN.
Bảng 1. FTN (FEC To Next hop) trên router PE1
Từ Bảng 1, giá trị của nhãn bên ngoài được gán bởi bộ định tuyến đầu vào PE1 dựa trên địa chỉ IP của mạng cục bộ văn phòng. Nhãn bên trong hoặc nhãn ở mức thấp hơn của ngăn xếp không tham gia vào quá trình chuyển gói qua LSP từ đầu vào sang PE đầu ra, nhưng nó xác định VRF hoặc giao diện trên PE đầu ra mà mạng LAN văn phòng của khách hàng kết nối tới. đã kết nối.
Trao đổi thông tin tuyến VPN qua giao thức MP-BGP
Thông tin định tuyến (thông tin tuyến VPN) mà router PE1 truyền đến router PE2 thông qua BGP (đường màu đỏ):
- Địa chỉ VPN-IPv4: 46.115.25.1:106:192.168.1.0;
- Bước nhảy tiếp theo = 46.115.25.1;
- Lvpn=3;
- RT=SC-3.
Bộ phân biệt tuyến đường RD=46.115.25.1:106 được thêm vào địa chỉ IPv4 của LAN1 của Văn phòng Khu vực 1. Trong đó 46.115.25.1 là địa chỉ IP của giao diện toàn cầu của PE1 mà qua đó PE1 giao tiếp với các bộ định tuyến P. Đối với tuyến VPN SC-3 này, quản trị viên mạng của nhà cung cấp trong bộ định tuyến PE1 hoặc PE1 gán nhãn (số), ví dụ 106.
Khi PE2 nhận được địa chỉ mạng đích VPN-IPv4 từ PE1, nó sẽ loại bỏ dấu phân cách tuyến RD, đặt địa chỉ 192.168.1.0 vào bảng SC-3 VRF3 và lưu ý rằng mục nhập được thực hiện bởi BGP. Ngoài ra, nó còn quảng cáo tuyến đường này tới bộ định tuyến khách hàng CE2 được kết nối với nó cho VPN SC-3 này.
Bảng VRF3 SC-3 cũng được cập nhật giao thức MP-BGP - về địa chỉ mạng của các văn phòng LAN khác của VPN SC-3 này. Router PE1 cũng gửi thông tin định tuyến đến các router khác thông qua giao thức MP-BGP: PE0 và PE3. Do đó, tất cả các tuyến trong bảng VRF của bộ định tuyến (PE0, PE1, PE2 và PE3) đều chứa địa chỉ của tất cả các mạng LAN của văn phòng của một khách hàng nhất định ở định dạng IPv4.
Cơm. 4. Bảng VRF của các router (PE0, PE1, PE2 và PE3)
Thông tin định tuyến mà bộ định tuyến PE2 truyền đến bộ định tuyến PE1 thông qua giao thức MP-BGP (đường màu đỏ):
- Địa chỉ VPN-IPv4: 46.115.25.2:116:192.168.2.0;
- Bước nhảy tiếp theo = 46.115.25.2;
- Lvpn=5;
- RT=SC-3.
Hãy xem xét cách trao đổi dữ liệu diễn ra giữa PC 2 (IP: 192.168.1.2) của mạng LAN1 và PC 1 (IP: 192.168.3.1) của mạng LAN. Để truy cập các tập tin nằm trong thư mục hoặc ổ đĩa logic của PC 1 (LAN) bằng quyền truy cập được chia sẻ, bạn cần nhập \\192.168.3.1 trên PC 2 (LAN1) vào dòng “Tìm kiếm chương trình và tệp” (đối với hệ điều hành Win 7) và nhấp vào Nhập phím. Kết quả là màn hình của PC 2 sẽ hiển thị các thư mục có quyền truy cập chung (thư mục hoặc thư mục "được chia sẻ") nằm trên PC 1. Điều này xảy ra như thế nào?
Khi bạn nhấn phím Enter trên PC 2 (LAN1), một gói có địa chỉ IP đích 192.168.3.1 sẽ được tạo ở cấp độ mạng. Trước hết, gói tin đến bộ định tuyến CE1 (Hình 5), bộ định tuyến này sẽ chuyển tiếp gói tin theo bảng định tuyến đến giao diện int3 của bộ định tuyến PE1, vì đây là bộ định tuyến tiếp theo truy cập vào mạng 192.168.3.0/24, trong PC 1 nào được đặt ( LAN GO) có địa chỉ IP 192.168.3.1. Bảng định tuyến VRF2 SC-3 được liên kết với giao diện int3, do đó việc chuyển tiếp gói tin tiếp theo dựa trên các tham số của nó.
Như có thể thấy từ bảng VRF2 SC-3, bộ định tuyến tiếp theo chuyển tiếp gói đến mạng 192.168.3/24 là PE0 và mục nhập này được thực hiện bởi giao thức BGP. Ngoài ra, bảng hiển thị giá trị của nhãn Lvpn=2, xác định giao diện của bộ định tuyến đầu ra PE0. Theo đó, việc di chuyển tiếp theo của gói đến mạng 192.168.3/24 được xác định bởi các tham số của bảng định tuyến toàn cầu GTM PE1.
Cơm. 5. Truyền dữ liệu giữa mạng PC2 (192.168.1.2) và PC1 (192.168.3.1) LAN1 và LAN của văn phòng chính KS SC-3
Trong bảng toàn cục (GTM PE1), địa chỉ của bộ định tuyến tiếp theo (NH - Next Hop) PE0 tương ứng với giá trị ban đầu của nhãn bên ngoài L=105, xác định đường dẫn LSP đến PE0. Gói được chuyển tiếp dọc theo LSP dựa trên nhãn L ở mức cao nhất của ngăn xếp (L=105). Khi gói đi qua bộ định tuyến P3 và sau đó qua bộ định tuyến P1, nhãn L được phân tích cú pháp và thay thế bằng các giá trị mới. Khi gói đến điểm cuối LSP, bộ định tuyến PE0 sẽ xóa nhãn ngoài L khỏi ngăn xếp MPLS.
Sau đó, bộ định tuyến PE0 bật nhãn đáy ngăn xếp Lvpn=2 từ ngăn xếp, nhãn này xác định giao diện int2 mà bộ định tuyến CE0 của mạng cục bộ văn phòng chính của khách hàng (HO LAN) được kết nối. Tiếp theo, từ bảng (VRF1 SC-3) chứa tất cả các tuyến VPN SC3, bộ định tuyến PE0 truy xuất mục nhập cho giá trị nhãn Lvpn=2 và tuyến liên quan đến mạng 192.168.3/24, trỏ tới CE0 là bộ định tuyến tiếp theo. Theo bảng, mục nhập tuyến được đặt trong bảng VRF1 SC-3 bằng giao thức IGP, do đó đường dẫn của gói từ PE0 đến CE0 được thực hiện thông qua giao thức IP.
Việc chuyển gói tiếp theo từ CE0 đến PC 1 với địa chỉ IP 192.168.3.1 được thực hiện bằng địa chỉ MAC, vì CE0 và PC 1 (192.168.3.1) nằm trên cùng một mạng LAN. Sau khi nhận được gói yêu cầu từ PC 2, hệ điều hành của PC 1 sẽ gửi bản sao các thư mục dùng chung của nó đến PC 2. Hệ điều hành của PC 2 sau khi nhận được bản sao các thư mục dùng chung từ PC 1 sẽ hiển thị chúng trên màn hình điều khiển . Như vậy, thông qua mạng công cộng Nhà cung cấp MPLS sử dụng các kênh LSP ảo để trao đổi dữ liệu giữa hai PC thuộc các mạng LAN khác nhau của các văn phòng của cùng một khách hàng.
Đối với việc kết nối người dùng di động từ xa với tài nguyên của mạng công ty được phân bổ theo địa lý, nó có thể được triển khai bằng cách sử dụng một trong các công nghệ VPN truy cập từ xa (Remote Access IPSec VPN và SSL VPN). Cần lưu ý rằng công nghệ SSL VPN hỗ trợ hai loại truy cập: truy cập mạng đầy đủ và không có ứng dụng khách. Công nghệ Clientless SSL VPN cung cấp quyền truy cập từ xa vào mạng thông qua trình duyệt web tiêu chuẩn, nhưng trong trường hợp này chỉ có các ứng dụng mạng có giao diện web mới khả dụng. Công nghệ SSL VPN có đầy đủ truy cập mạng, sau khi cài đặt một ứng dụng bổ sung (máy khách VPN) trên PC, nó sẽ cung cấp quyền truy cập vào tất cả các tài nguyên của mạng công ty được phân bổ theo địa lý.
Theo quy định, người dùng từ xa kết nối với MPLS L3 VPN thông qua máy chủ truy cập từ xa (RAS), kết nối với một trong các bộ định tuyến PE của mạng MPLS. Trong trường hợp của chúng tôi, người dùng di động được kết nối qua mạng truy cập (Internet) với sử dụng điều khiển từ xa Truy cập IPSec VPN vào RAS được kết nối với bộ định tuyến PE0. Do đó, người dùng di động kết nối qua IPSec VPN với mạng công ty của mình (tập đoàn SC-3), được tổ chức trên cơ sở MPLS L3 VPN.
Mô hình VPN MPLS L2, trong đó thiết lập VPN được cung cấp bởi ISP hoặc nhà khai thác viễn thông (nhà cung cấp dịch vụ)
Tổ chức đơn không gian thông tin trong ba văn phòng (ví dụ: tập đoàn SC-3) nằm trong cùng một thành phố, có thể sử dụng mạng Metro Ethernet băng thông rộng (L2 VPN) của nhà cung cấp dịch vụ. Một trong những dịch vụ của mạng Metro Ethernet là tổ chức mạng doanh nghiệp thông qua mạng đường trục MAN (mạng khai thác viễn thông toàn thành phố). Để tổ chức Metro Ethernet VPN (L2 VPN), nhiều công nghệ khác nhau được sử dụng, ví dụ AToM (chủ yếu là EoMPLS), 802.1Q, L2TPv3, v.v., nhưng công nghệ hứa hẹn nhất là MPLS L2 VPN hoặc VPLS. Trong trường hợp này, việc phân phối lưu lượng máy khách từ mạng cục bộ của văn phòng khách hàng dịch vụ đến mạng lõi MPLS VPN của nhà cung cấp dịch vụ được thực hiện bằng công nghệ lớp thứ hai (Ethernet, Frame Relay hoặc ATM).
Các nhà khai thác viễn thông cung cấp hai loại dịch vụ mạng Ethernet để tổ chức mạng riêng ảo ở cấp độ thứ hai của mô hình OSI, được hình thành dựa trên công nghệ MPLS - đó là VPWS (Dịch vụ dây riêng ảo) và VPLS (Dịch vụ mạng LAN riêng ảo). Các VPN này được xây dựng trên cơ sở các kênh giả (pseudowire), kết nối các bộ định tuyến PE biên của mạng của nhà cung cấp (miền MPLS). Các đường hầm LSP hoặc các kênh logic được tạo bằng cách sử dụng nhãn, trong đó các kênh giả (VC mô phỏng) được đặt và các gói MPLS được truyền qua các kênh giả này. VPWS dựa trên Ethernet qua MPLS (EoMPLS). Nhưng trong VPLS, không giống như mạng VPWS điểm-điểm (P2P), các kênh giả được tổ chức bằng kết nối điểm-đa điểm (P2M).
Trong VPLS, có hai cách để thiết lập các kênh giả giữa hai PE bất kỳ là một phần của VPLS nhất định (sử dụng giao thức BGP và giao thức phân phối nhãn LDP). Giao thức BGP mở rộng (MP-BGP) cung cấp khả năng tự động phát hiện các PE tương tác khi xây dựng mạng LAN phân tán về mặt địa lý dựa trên dịch vụ VPLS và báo hiệu nhãn mạch ảo (nhãn vc). Giao thức LDP mở rộng cũng có thể được sử dụng để báo hiệu nhãn vc. Trong trường hợp này, việc nhận dạng tất cả các bộ định tuyến PE là một phần của VPLS này được thực hiện ở chế độ cấu hình thủ công.
Bạn cũng có thể sử dụng hệ thống quản lý tự động hóa việc tìm kiếm và cấu hình thiết bị PE để tổ chức các dịch vụ VPLS. Nó sử dụng một chồng nhãn để truyền các khung, nhãn trên cùng dành cho các đường hầm LSP, được sử dụng để đến PE đầu ra. Nhãn dưới cùng là Nhãn VC, được sử dụng để phân kênh kênh ảo (dây giả) được truyền trong cùng một đường hầm. Một đường hầm có thể có nhiều kênh giả cho các phiên bản VPLS khác nhau.
Các công tắc ảo VSI riêng biệt được tạo cho từng phiên bản VPLS trên PE. Bộ chuyển mạch VSI tìm hiểu địa chỉ MAC và xây dựng bảng chuyển tiếp gói MPLS. Dựa trên dữ liệu bảng chuyển tiếp, các bộ chuyển mạch VSI, sau khi nhận được các khung được gói gọn trong các gói MPLS, chuyển tiếp chúng đến các kênh giả dẫn đến các PE biên, nơi các bộ chuyển mạch biên CE của các phân đoạn LAN của văn phòng khách hàng được kết nối.
Dựa trên VPWS (điểm-điểm), có thể kết hợp hai mạng con của các văn phòng công ty thành một mạng, với một địa chỉ IP đầu cuối duy nhất. VPLS là công nghệ cung cấp kết nối đa điểm trên cơ sở hạ tầng mạng IP/MPLS dựa trên gói. VPLS cho phép bạn kết hợp một số mạng cục bộ được phân bổ theo địa lý của các văn phòng công ty thành một mạng cục bộ duy nhất. Trong trường hợp này, mạng đường trục MPLS của nhà cung cấp dịch vụ là một bộ chuyển mạch Ethernet ảo (bộ chuyển mạch L2) chuyển tiếp các khung Ethernet giữa các phân đoạn mạng LAN của từng văn phòng khách hàng. Sơ đồ mạng lưới địa phương phân bố theo địa lý (trong thành phố) của tập đoàn được thể hiện trong Hình 2. 6.
Cơm. 6. Sơ đồ mạng lưới địa phương phân bố theo địa lý (trong thành phố) của tập đoàn
Bản chất của khái niệm VPLS là việc truyền tải trong suốt các khung PC Ethernet của mạng văn phòng địa phương (các phân đoạn của mạng văn phòng khách hàng) của khách hàng qua mạng đường trục MPLS của nhà cung cấp. Các thiết bị biên phía khách hàng của VPLS 1 là các switch CE0, CE1, CE2 được kết nối với các thiết bị PE0, PE1, PE2. Các bộ định tuyến PE giao tiếp với nhau để xác định tất cả các PE được kết nối với VPLS 1. Các thiết bị PE và P xây dựng các bảng định tuyến từ đó tạo ra các LSP và liên kết giả.
Cả BGP và LDP đều có thể được sử dụng làm giao thức báo hiệu. Các switch ảo VSI 1 của các thiết bị PE0, PE1, PE2 xây dựng bảng chuyển tiếp các gói MPLS. Ví dụ: VSI 1 của thiết bị PE0 tạo bảng chuyển mạch như trong Hình 2. 6. Khi khung Ethernet đến từ một trong các PC LAN văn phòng chính ở đầu vào của thiết bị PE0, nó sẽ đóng gói khung Ethernet trong gói MPLS và sử dụng bảng chuyển mạch để chuyển tiếp khung đó đến đường hầm mà qua đó gói đến thiết bị đầu ra PE1.
Để chuyển tiếp gói qua mạng MPLS (thông qua các kênh giả trong đường hầm LSP), một ngăn xếp nhãn được sử dụng, bao gồm nhãn đường hầm LSP và Nhãn VC kênh giả, ví dụ: 15. Tại thiết bị đầu ra PE1, Các gói MPLS được chuyển đổi thành các khung Ethernet và được chuyển tiếp tới bộ chuyển mạch C1, nơi PC đích được kết nối với địa chỉ MAC 90:5C:E7:C8:56:93. Các tài liệu RFC 4761 và RFC 4762 nêu chi tiết các phương pháp báo hiệu dựa trên giao thức BGP và LDP cho các mạng cục bộ được tổ chức sử dụng dịch vụ VPLS.
Danh sách các nguồn thông tin:
1. Mạng máy tính. Nguyên tắc, công nghệ, giao thức: Sách giáo khoa cho các trường đại học. tái bản lần thứ 4. / V.G. Olifer, N.A. Olifer – St. Petersburg. Peter, 2010. – 944 tr.
2. Olwein, Vivec. Cấu trúc và triển khai công nghệ MPLS hiện đại.: Per. từ tiếng Anh – M.: Nhà xuất bản Williams, 2004. – 480 tr.
Gần đây, trong thế giới viễn thông đã có sự quan tâm ngày càng tăng về mạng riêng ảo (Mạng riêng ảo - VPN). Điều này là do nhu cầu giảm chi phí duy trì mạng công ty bằng cách kết nối rẻ hơn giữa các văn phòng ở xa và người dùng từ xa qua Internet. Thật vậy, khi so sánh chi phí của các dịch vụ để kết nối một số mạng qua Internet, chẳng hạn như với mạng Frame Relay, bạn có thể nhận thấy sự khác biệt đáng kể về chi phí. Tuy nhiên, cần lưu ý rằng khi kết nối mạng qua Internet, ngay lập tức nảy sinh câu hỏi về bảo mật truyền dữ liệu nên việc tạo ra các cơ chế để đảm bảo tính bảo mật và toàn vẹn của thông tin được truyền đi là cần thiết. Các mạng được xây dựng trên cơ sở cơ chế như vậy được gọi là VPN.
Hơn nữa, rất thường xuyên đến con người hiện đại, trong khi phát triển công việc kinh doanh của mình, bạn phải đi lại rất nhiều. Đó có thể là những chuyến đi đến những vùng xa xôi của đất nước hoặc ra nước ngoài. Thông thường mọi người cần truy cập vào thông tin được lưu trữ trên máy tính ở nhà hoặc công ty của họ. Vấn đề này có thể được giải quyết bằng cách tổ chức truy cập từ xa bằng modem và đường dây điện thoại. Sử dụng đường dây điện thoại có những đặc điểm riêng. Nhược điểm của giải pháp này là gọi từ nước khác tốn rất nhiều tiền. Có một giải pháp khác gọi là VPN. Ưu điểm của công nghệ VPN là việc tổ chức truy cập từ xa không được thực hiện thông qua đường dây điện thoại, nhưng thông qua Internet, rẻ hơn và tốt hơn nhiều. Theo tôi, công nghệ
VPN có tiềm năng trở nên phổ biến trên toàn thế giới.
1. Khái niệm và phân loại Mạng VPN, cấu trúc của chúng
1.1 VPN là gì
VPN(Tiếng Anh) Ảo Riêng tư Mạng– mạng riêng ảo) là một mạng logic được tạo trên một mạng khác, chẳng hạn như Internet. Mặc dù thực tế là việc liên lạc được thực hiện qua mạng công cộng bằng các giao thức không an toàn, nhưng mã hóa vẫn tạo ra các kênh trao đổi thông tin bị đóng đối với người ngoài. Ví dụ: VPN cho phép bạn kết hợp một số văn phòng của một tổ chức vào một mạng duy nhất bằng cách sử dụng các kênh không được kiểm soát để liên lạc giữa chúng.
Theo cách riêng của nó bản chất của VPN có nhiều đặc tính giống như đường dây thuê riêng, nhưng được triển khai trên mạng công cộng như Internet. Sử dụng kỹ thuật đường hầm, các gói dữ liệu được truyền qua mạng công cộng giống như kết nối điểm-điểm thông thường. Một loại đường hầm được thiết lập giữa mỗi cặp người gửi-người nhận dữ liệu - một kết nối logic an toàn cho phép dữ liệu từ một giao thức được gói gọn trong các gói của giao thức khác. Các thành phần chính của đường hầm là:
· người khởi xướng
· mạng định tuyến;
· Công tắc đường hầm;
· một hoặc nhiều đầu cuối đường hầm.
Bản thân nguyên tắc VPN hoạt động không mâu thuẫn với chính công nghệ mạng và các giao thức. Ví dụ: khi thiết lập kết nối truy cập từ xa, máy khách sẽ gửi một luồng gói giao thức PPP tiêu chuẩn đến máy chủ. Trong trường hợp tổ chức các đường thuê riêng ảo giữa các mạng cục bộ, các bộ định tuyến của họ cũng trao đổi các gói PPP. Tuy nhiên, một khía cạnh mới về cơ bản là việc chuyển tiếp các gói thông qua một đường hầm an toàn được tổ chức trong mạng công cộng.
Đường hầm cho phép bạn tổ chức việc truyền các gói có cùng
giao thức trong môi trường logic bằng cách sử dụng một giao thức khác. Kết quả là có thể giải quyết các vấn đề tương tác giữa một số loại mạng khác nhau, bắt đầu từ nhu cầu đảm bảo tính toàn vẹn và bảo mật của dữ liệu được truyền và kết thúc bằng việc khắc phục sự không nhất quán trong các giao thức bên ngoài hoặc sơ đồ địa chỉ.
hiện có cơ sở hạ tầng mạng các công ty có thể sẵn sàng sử dụng VPN bằng cả phần mềm và phần cứng. Việc thiết lập một mạng riêng ảo có thể được so sánh với việc đặt một sợi cáp ngang qua mạng lưới toàn cầu. Thông thường, một kết nối trực tiếp giữa bởi người dùng từ xa và thiết bị cuối của đường hầm được thiết lập bằng giao thức PPP.
Phương pháp phổ biến nhất để tạo đường hầm VPN là đóng gói các giao thức mạng (IP, IPX, AppleTalk, v.v.) trong PPP, sau đó đóng gói các gói kết quả vào giao thức đường hầm. Thông thường cái sau là IP hoặc (ít thường xuyên hơn) ATM và Frame Relay. Cách tiếp cận này được gọi là đường hầm cấp hai, vì “hành khách” ở đây là giao thức cấp hai.
Một cách tiếp cận khác là đóng gói gói. giao thức mạng trực tiếp vào giao thức đường hầm (chẳng hạn như VTP) được gọi là đường hầm lớp 3.
Bất kể giao thức nào được sử dụng hoặc mục đích gì
được theo đuổi khi tổ chức một đường hầm, kỹ thuật cơ bản vẫn
thực tế không thay đổi. Thông thường, một giao thức được sử dụng để thiết lập kết nối với một nút từ xa và một giao thức khác được sử dụng để đóng gói dữ liệu và thông tin dịch vụ để truyền qua đường hầm.
1.2 Phân loại mạng VPN
Phân loại Giải pháp VPN có thể theo một số thông số cơ bản:
1. Theo loại môi trường sử dụng:
· Được bảo vệ VPN mạng. Phiên bản phổ biến nhất của mạng riêng tư. Với sự trợ giúp của nó, có thể tạo một mạng con đáng tin cậy và an toàn dựa trên mạng không đáng tin cậy, thường là Internet. Ví dụ về VPN an toàn là: IPSec, OpenVPN và PPTP.
· Đáng tin cậy VPN mạng. Chúng được sử dụng trong trường hợp phương tiện truyền dẫn có thể được coi là đáng tin cậy và chỉ cần giải quyết vấn đề tạo mạng con ảo bên trong mạng lưới lớn hơn. Các vấn đề bảo mật đang trở nên không còn phù hợp. Ví dụ về các giải pháp VPN như vậy là: MPLS và L2TP. Sẽ đúng hơn khi nói rằng các giao thức này chuyển nhiệm vụ cung cấp bảo mật cho người khác, ví dụ như L2TP, theo quy định, được sử dụng cùng với IPSec.
2. Bằng phương pháp thực hiện :
· VPN mạng dưới dạng phần mềm và phần cứng đặc biệt. Việc triển khai mạng VPN được thực hiện bằng cách sử dụng một bộ phần mềm và phần cứng đặc biệt. Việc triển khai này cung cấp hiệu suất cao và, như một quy luật, mức độ bảo mật cao.
· VPN mạng dưới dạng một giải pháp phần mềm. Sử dụng Máy tính cá nhân với phần mềm đặc biệt cung cấp chức năng VPN.
· VPN mạng với một giải pháp tích hợp. Chức năng VPN được cung cấp bởi một tổ hợp cũng giải quyết các vấn đề lọc lưu lượng mạng, tổ chức tường lửa và đảm bảo chất lượng dịch vụ.
3. Theo mục đích:
· VPN mạng nội bộ. Được sử dụng để hợp nhất một số chi nhánh phân tán của một tổ chức thành một mạng an toàn duy nhất, trao đổi dữ liệu qua kênh mở thông tin liên lạc.
· VPN truy cập từ xa.Được sử dụng để tạo kênh an toàn giữa phân khúc mạng công ty (văn phòng trung tâm hoặc chi nhánh) và một người dùng, làm việc tại nhà, kết nối với nguồn lực doanh nghiệp từ máy tính ở nhà hoặc khi đi công tác, kết nối với tài nguyên của công ty bằng máy tính xách tay.
· VPN ngoại mạng. Được sử dụng cho các mạng mà người dùng “bên ngoài” (ví dụ: khách hàng hoặc khách hàng) kết nối. Mức độ tin cậy đối với họ thấp hơn nhiều so với nhân viên công ty, do đó cần phải cung cấp các “đường dây” bảo vệ đặc biệt để ngăn chặn hoặc hạn chế quyền truy cập của họ vào thông tin bí mật, có giá trị đặc biệt.
4. Theo loại giao thức:
Có sự triển khai các mạng riêng ảo dưới TCP/IP, IPX Và AppleTalk. Nhưng ngày nay có xu hướng chuyển đổi phổ quát sang giao thức TCP/IP và phần lớn các giải pháp VPN đều hỗ trợ nó.
5. Theo cấp độ giao thức mạng:
Theo lớp giao thức mạng dựa trên sự so sánh với các lớp của mô hình mạng tham chiếu ISO/OSI.
1.3. Xây dựng VPN
Có nhiều tùy chọn khác nhau để xây dựng VPN. Khi chọn giải pháp, bạn cần xem xét các yếu tố hiệu suất của các nhà xây dựng VPN. Ví dụ: nếu bộ định tuyến đã chạy ở giới hạn công suất bộ xử lý, thì việc thêm đường hầm VPN và áp dụng mã hóa/giải mã thông tin có thể dừng toàn bộ mạng do bộ định tuyến sẽ không thể đối phó với lưu lượng truy cập đơn giản, chứ đừng nói đến VPN. Kinh nghiệm cho thấy để xây dựng VPN tốt hơn Hơn hết, hãy sử dụng thiết bị chuyên dụng, nhưng nếu có hạn chế về kinh phí thì bạn có thể chú ý đến giải pháp phần mềm thuần túy. Hãy xem xét một số tùy chọn để xây dựng VPN.
· VPN dựa trên tường lửa
Hầu hết các nhà cung cấp tường lửa đều hỗ trợ tạo đường hầm và mã hóa dữ liệu. Tất cả các sản phẩm như vậy đều dựa trên thực tế là lưu lượng truy cập đi qua tường lửa đều được mã hóa. Một mô-đun mã hóa được thêm vào chính phần mềm tường lửa. Nhược điểm của phương pháp này là hiệu suất phụ thuộc vào phần cứng mà tường lửa chạy trên đó. Khi sử dụng tường lửa dựa trên PC, bạn phải nhớ rằng giải pháp như vậy chỉ có thể được sử dụng cho các mạng nhỏ với một lượng nhỏ thông tin được truyền đi.
Một ví dụ về VPN dựa trên tường lửa là FireWall-1 của Check Point Software Technologies. FairWall-1 sử dụng cách tiếp cận dựa trên IPSec tiêu chuẩn để xây dựng VPN. Lưu lượng truy cập vào tường lửa được giải mã và áp dụng các quy tắc kiểm soát truy cập tiêu chuẩn. FireWall-1 chạy trên hệ điều hành Solaris và Windows NT 4.0.
· VPN dựa trên bộ định tuyến
Một cách khác để xây dựng VPN là sử dụng bộ định tuyến để tạo các kênh bảo mật. Vì tất cả thông tin đến từ mạng cục bộ đều đi qua bộ định tuyến nên bạn nên chỉ định tác vụ mã hóa cho bộ định tuyến này.
Việc tổ chức các kênh VPN giữa các chi nhánh công ty có tầm quan trọng lớn trong công việc của bất kỳ chuyên gia CNTT nào. Bài viết này thảo luận về một trong những cách thực hiện tác vụ này dựa trên sản phẩm phần mềm OpenVPN.
Dưới đây, chúng tôi sẽ xem xét cấu trúc liên kết mạng trong đó chúng tôi sẽ tổ chức đường hầm VPN, phân tích các tính năng định cấu hình chương trình OpenVPN và định cấu hình từng bước định tuyến cho các văn phòng của chúng tôi. Bài viết được viết dựa trên giả định rằng OpenVPN sẽ được cài đặt trên Windows 7 và máy chủ Windows 2008.
Cấu trúc mạng.
Cấu trúc liên kết mạng chúng tôi sử dụng là tiêu chuẩn. Có Mạng văn phòng trung tâm (hãy gọi là SCO) và Mạng chi nhánh (hãy gọi là SF). Nhiệm vụ là kết nối các văn phòng theo cách sao cho cuối cùng máy tính người dùng(sau đây gọi là PC1) của văn phòng trung tâm dịch vụ đã có quyền truy cập vào tài nguyên dùng chung của máy tính người dùng (sau đây gọi là PC2) của SF.
SSC bao gồm:
- Cổng Internet (hãy gọi nó là ISH1) với hai giao diện mạng:
- 111.111.111.111 - do nhà cung cấp cấp, tìm trên Internet.
- 192.168.0.1 - do chúng tôi chỉ định, hãy xem trung tâm dịch vụ.
- Máy chủ OpenVPN (sau đây gọi là HĐH) mà chúng tôi sẽ cài đặt OpenVPN với một giao diện ảo và một giao diện vật lý:
- 10.8.0.1 - địa chỉ của giao diện ảo (giao diện được cài đặt trong quá trình cài đặt chương trình OpenVPN). Địa chỉ của giao diện này được chương trình gán. Bạn và tôi không nên tự mình thay đổi địa chỉ quản lý bộ điều hợp mạng.
- 192.168.0.2 - giao diện vật lý, thông số do chúng tôi cài đặt, các bạn xem tại trung tâm bảo hành.
- PC1 - máy tính người dùng 1, có giao diện mạng 192.168.0.3, trông giống nhau ở trung tâm dịch vụ.
Hội đồng Liên đoàn bao gồm:
- Cổng Internet (sau đây gọi tắt là ISH2) với hai giao diện mạng:
- 222.222.222.222 - do nhà cung cấp cấp, tìm trên Internet.
- 192.168.1.2 - do chúng tôi chỉ định, trông cậy vào Hội đồng Liên đoàn.
- Máy khách OpenVPN (sau đây gọi là OK) mà chúng tôi sẽ cài đặt OpenVPN với một giao diện ảo và một giao diện vật lý:
- 10.8.0.2 - địa chỉ của giao diện mạng ảo (giao diện được cài đặt trong quá trình cài đặt chương trình OpenVPN). Địa chỉ của giao diện này cũng được chương trình OpenVPN gán.
- 192.168.1.2 - giao diện vật lý, các thông số do chúng tôi đặt, nhìn vào SF.
- PC2 - máy tính người dùng 2, có giao diện mạng 192.168.1.3, nhìn vào SF.
Thiết lập máy chủ OpenVPN.
Bây giờ chúng ta hãy chuyển sang chính chương trình, những điều cơ bản và tính năng cấu hình của nó. OpenVPN có sẵn trong phiên bản Linux và Windows. Bạn có thể tải xuống gói cài đặt từ .
Bản thân quá trình cài đặt sẽ không gây ra bất kỳ vấn đề gì. Điều duy nhất là tắt phần mềm chống vi-rút trong quá trình cài đặt để tránh các sự cố khác. Ví dụ, tại thời điểm viết bài, các sản phẩm của Kaspersky Lab không chặn cài đặt mà chỉ gây nghi ngờ về một số thành phần đã được cài đặt.
Trong quá trình cài đặt, bộ điều hợp mạng ảo sẽ được cài đặt trên hệ thống. Bộ chuyển đổi TAP-Win32 V9 và theo đó, trình điều khiển cho nó. Chương trình OpenVPN sẽ gán địa chỉ IP và mặt nạ mạng ảo OpenVPN cho giao diện này. Trong trường hợp của chúng tôi, nó được gán địa chỉ 10.8.0.1 với mặt nạ 255.255.255.0 trên máy chủ OS và 10.8.0.2 với mặt nạ tương tự trên máy khách OK.
Theo tiêu chuẩn, chương trình được cài đặt trong C:\ProgramFiles\OpenVPN. Trong thư mục này bạn nên tạo ngay một thư mục bổ sung phím(đây là nơi chúng tôi sẽ lưu trữ các khóa xác thực) ccd(ở đây sẽ là cấu hình cài đặt máy chủ cho máy khách).
Trong thư mục C:\ProgramFiles\OpenVPN\sample-config cấu hình tiêu chuẩn được trình bày. Các config mà chúng ta sẽ tạo phải được đặt trong thư mục C:\Tệp chương trình\OpenVPN\config.
Thiết lập OpenVPN bắt đầu bằng việc tạo khóa. Các khóa được tạo được chia thành:
- Chứng chỉ và khóa Chứng chỉ Chính quyền (CA) chính được sử dụng để ký từng chứng chỉ máy chủ và ứng dụng khách.
- khóa chung và khóa riêng cho máy chủ và từng máy khách (điều này quan trọng) riêng biệt.
Trình tự tạo khóa như sau (tên của chứng chỉ và tệp khóa được chỉ định trong ngoặc đơn):
- Chúng tôi tạo chứng chỉ CA (ca.crt) chính và khóa CA (ca.key).
- Tạo khóa tls-auth (ta.key) để xác thực gói.
Chúng ta hãy xem xét từng điểm chi tiết hơn.
Tạo chứng chỉ CA chính và khóa CA:
Chúng ta hãy đi đến Bắt đầu chạy quay số cmd, bấm OK, đi đến dòng lệnh. Chúng tôi viết:
Cd C:/Tệp chương trình/OpenVPN/easy-rsa
Vậy là chúng ta đang ở trong thư mục dễ dàng:
Trong tất cả các bước tạo khóa, bạn phải tham gia vào đó. Chúng tôi thực hiện lệnh:
Cấu hình ban đầu
Không đóng dòng lệnh, hãy đi đến C:\ProgramFiles\OpenVpn\easy-rsa và chỉnh sửa tập tin vars.bat, điền vào các tham số sau (tất nhiên là cho biết dữ liệu của bạn):
KEY_COUNTRY=RF
KEY_PROVINCE=MO
KEY_CITY=Malinino
KEY_ORG =Tổ chức
[email được bảo vệ]
Bây giờ hãy tạo chứng chỉ CA và khóa CA. Chúng tôi mở dòng lệnh đã được treo ở đâu đó trên màn hình suốt thời gian qua và tiếp tục nhập các lệnh:
Vars
làm sạch tất cả
xây dựng-ca
Lệnh cuối cùng là lệnh tạo chứng chỉ CA và khóa CA. Trong quá trình tạo khóa, bạn sẽ được hỏi các câu hỏi mà bạn có thể trả lời chỉ bằng cách nhấn Enter"a (sau đó các giá trị sẽ được lấy từ tệp vars.bat mà chúng tôi đã chỉnh sửa ở trên) hoặc nhập của riêng bạn. Nó đáng chú ý đến câu hỏi:
Tên chung (ví dụ: tên của bạn hoặc tên máy chủ của máy chủ của bạn): OpenVPNS
Ở đây bạn phải chỉ định tên cho máy chủ - trong ví dụ chúng tôi đã nhập OpenVPNS.
Chúng tôi tạo chứng chỉ (server.crt) và khóa (server.key) cho máy chủ.
Không cần rời khỏi thư mục, trong dòng lệnh Hãy tiếp tục nhập lệnh. Hãy tạo chứng chỉ máy chủ và khóa bằng lệnh:
Máy chủ khóa xây dựng
Chúng tôi trả lời các câu hỏi theo cách tương tự như trong đoạn đầu tiên. Cho câu hỏi:
Tên thường gọi *: máy chủ
Hãy nhập: máy chủ. Cho hỏi:
Ký giấy chứng nhận?
1 trong 1 yêu cầu chứng chỉ được chứng nhận, cam kết?
bạn phải đưa ra một câu trả lời tích cực: Y.
Chúng tôi tạo chứng chỉ (office1.crt) và khóa (office1.key) cho khách hàng.
Rõ ràng, có thể có nhiều khách hàng, trong ví dụ của chúng tôi chỉ có một - văn phòng1. Tùy thuộc vào số lượng máy khách, lệnh sau trên dòng lệnh được thực thi nhiều lần, đồng thời thay đổi tên của các khóa được tạo:
Văn phòng chìa khóa xây dựng1
nếu cần thêm chứng chỉ và khóa, hãy nói đối với ứng dụng khách thứ hai, sau đó nhập:
Build-key office2
Trong quá trình giải đáp thắc mắc, đừng quên rằng mỗi khách hàng Tên gọi chung nên có một tên duy nhất, ví dụ: office1, office2, v.v.
Tạo tham số DiffieHellman (dh1024.pem).
Chúng ta nhập dòng lệnh, tìm nó trong cùng thư mục easy-rsa:
Xây dựng-dh
Tạo khóa tls-auth (ta.key) để xác thực gói
Cuối cùng, chúng tôi tạo khóa để xác thực tls bằng lệnh:
Openvpn --genkey --secret ta.key
Bây giờ hãy tìm hiểu xem tệp nào sẽ để lại trên máy chủ và tệp nào sẽ được chuyển đến máy khách. Trên máy chủ (OC), chỉ các tệp sau sẽ nằm trong thư mục khóa mà chúng tôi đã tạo:
- ca.crt
- ca.key
- dh1024.pem
- máy chủ.crt
- máy chủ.key
- ta.key
Trên máy khách OK, tương tự như máy chủ OS, chúng ta cũng sẽ tạo một thư mục khóa, cần có:
- ca.crt
- văn phòng1.crt
- office1.key
- ta.key
Tất cả các tệp có phần mở rộng .key đều là bí mật. Chúng chỉ nên được truyền qua các kênh an toàn, tốt nhất là trên phương tiện vật lý.
Tiếp theo, hãy bắt đầu tạo cấu hình cho máy chủ OS và máy khách OK của chúng ta. Trong thư mục config, tạo một file có tên và phần mở rộng sau: máy chủ.ovpn Mở nó bằng notepad và bắt đầu viết cấu hình:
Chọn giao thức truyền dữ liệu - trong trường hợp này là cập nhật:
Proto udp
Cổng tiêu chuẩn cho OpenVPN:
Cảng 1194
Chế độ hoạt động của chương trình là đường hầm L3. Ở chế độ này, bộ định tuyến OpenVPN:
Chế độ máy khách-máy chủ:
Máy chủ Tls
Cấu trúc liên kết này có sẵn từ phiên bản 2.1 và bao gồm thực tế là mỗi máy khách được cấp 1 địa chỉ, không có cổng bộ định tuyến ảo:
Mạng con cấu trúc liên kết
Các tuyến đường được thêm qua .exe - điều này quan trọng:
exe phương thức định tuyến
Độ trễ khi thêm tuyến đường có thể giảm xuống còn 5:
Tuyến đường trễ 10
Tùy chọn này chỉ định tổ chức mạng. Bây giờ chúng ta có mạng ảo 10.8.0.0 /24. Địa chỉ đầu tiên từ mạng này, tức là 10.8.0.1, được cấp cho máy chủ, các địa chỉ tiếp theo (10.8.0.2, 10.8.0.3, v.v.) cho khách hàng. Máy chủ DHPC nhận địa chỉ 10.8.0.254:
Máy chủ 10.8.0.0 255.255.255.0
Đặt cổng trong mạng openvpn:
Cổng định tuyến 10.8.0.1
Thư mục mà chúng ta phải đặt tệp có tên máy khách, nghĩa là office1 không có phần mở rộng và trong đó ghi các lệnh sẽ được thực thi trên máy khách:
Client-config-dir "C:\\Program Files\\OpenVPN\\ccd"
cert "C:\\Program Files\\OpenVPN\\keys\\server.crt"
khóa "C:\\Program Files\\OpenVPN\\keys\\server.key"
dh "C:\\Program Files\\OpenVPN\\keys\\dh1024.pem"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 0
Chúng tôi đặt máy chủ hệ điều hành một tuyến đường tới toàn bộ mạng:
Tuyến 10.8.0.0 255.255.255.0
Chọn phương pháp nén:
Mật mã BF-CBC
Đặt nén lưu lượng:
Comp-lzo
OpenVPN báo cáo các lỗi mạng không nghiêm trọng tới hệ thống ghi nhật ký sự kiện của chương trình. Trong thực tế, điều này sẽ làm giảm nội dung của cửa sổ trạng thái xuất hiện khi khởi động máy chủ OpenVPN:
Máy chủ ping phía đối diện với khoảng thời gian 10 giây và nếu bên này không phản hồi trong vòng 60 giây, máy chủ sẽ bắt đầu kết nối lại:
Duy trì 5 60
Tiếp theo, đi tới thư mục ccd và tạo một tệp chứa các lệnh được gửi đến máy khách từ máy chủ. Ví dụ, nó nên được gọi giống như cách chúng ta gọi chính khách hàng văn phòng1. Tập tin sẽ không có phần mở rộng.
Chúng tôi chỉnh sửa nó bằng notepad. Tất cả các tham số được chỉ định bên dưới sẽ được tự động chuyển đến máy khách:
Chúng tôi đặt ip và mặt nạ cho văn phòng khách hàng của mình1:
Ifconfig-push 10.8.0.2 255.255.255.0
Chúng tôi chuyển nó theo lộ trình cho toàn bộ mạng:
Đẩy "tuyến 10.8.0.0 255.255.255.0"
Chúng tôi đặt một cổng cho nó:
Đẩy "route-gateway 10.8.0.1"
Lệnh này cho máy chủ hệ điều hành biết rằng phía sau máy khách này, cụ thể là OK (office1), có mạng 192.168.1.0:
Tuyến 192.168.1.0 255.255.255.0
Như vậy chúng ta đã cấu hình xong server bên OS.
Thiết lập máy khách.
Tiếp theo, hãy bắt đầu thay đổi các tham số của máy khách. Chúng ta vào thư mục OK trên máy cấu hình. Hãy tạo một tập tin trong đó văn phòng1.ovpn Hãy bắt đầu chỉnh sửa nó; một số tùy chọn tương tự như trên máy chủ, vì vậy chúng tôi sẽ không giải thích chúng:
Giai điệu nhà phát triển
proto udp
cổng 1194
Chúng tôi chỉ ra địa chỉ bên ngoài của ISH1:
Từ xa 111.111.111.111
Máy khách sẽ hoạt động ở chế độ TLS-client:
Tls-khách hàng
Tùy chọn này bảo vệ chống lại việc giả mạo máy chủ của bên thứ ba:
Máy chủ chứng chỉ từ xa-tls
Các tùy chọn này tương tự như máy chủ:
exe phương thức định tuyến
độ trễ tuyến đường 10
Đặt đường dẫn tới mạng 192.168.0.0:
Với lệnh này, chúng tôi cho phép nhận cấu hình máy khách từ máy chủ:
Đường dẫn đến các phím:
Ca "C:\\Program Files\\OpenVPN\\keys\\ca.crt"
cert "C:\\Program Files\\OpenVPN\\keys\\office1.crt"
khóa "C:\\Program Files\\OpenVPN\\keys\\office1.key"
tls-auth "C:\\Program Files\\OpenVPN\\keys\\ta.key" 1
Các tùy chọn còn lại cũng tương tự như server:
Mật mã BF-CBC
comp-lzo
động từ 1
duy trì 5 60
Điều này hoàn tất việc thiết lập chương trình ở phía máy khách.
Cấu hình và định tuyến tường lửa.
Như vậy là chúng ta đã cấu hình xong config cho OK và OS. Bây giờ chúng ta hãy xem xét một số điểm rất quan trọng. Hãy đặt chỗ trước: nếu bạn sử dụng KIS 2011 hoặc các chương trình chống vi-rút tương tự, thì trong cài đặt tường lửa, bạn nên cho phép các gói ICMP đi qua. Điều này sẽ cho phép chúng tôi liên tục ping các máy chủ trên mạng của mình.
Nó cũng có giá trị thêm của chúng tôi giao diện ảo Các chương trình OpenVPN vào danh sách các mạng đáng tin cậy.
Trên ISH1, các hành động sau phải được thực hiện:
- Cấu hình chuyển tiếp cổng 1194 Giao thức UDP từ giao diện 111.111.111.111 đến giao diện máy chủ OS 192.168.0.2
- Tường lửa phải cho phép truyền trên cổng 1194 của giao thức UDP, nếu không ping sẽ không truyền được ngay cả giữa HĐH và OK.
Tại IS2, các hành động tương tự phải được thực hiện:
- Định cấu hình chuyển hướng cổng giao thức UDP 1194 từ giao diện 222.222.222.222 sang giao diện máy khách OK 192.168.1.2
- Kiểm tra xem cổng UDP 1194 có mở trong tường lửa không.
Ví dụ: trong Usergate 5.2, thiết lập chuyển tiếp gói trên cổng 1194 của giao thức UDP trông như thế này:
Ở giai đoạn này, chúng tôi đã ping OK và OS tới các địa chỉ OpenVPN của họ, tức là 10.8.0.1 và 10.8.0.2. Tiếp theo, chúng ta cần đảm bảo định tuyến chính xác các gói tin từ máy khách OK đến mạng từ xa 192.168.0.0. Chúng tôi thực hiện việc này theo một trong nhiều cách:
Hoặc chúng tôi đặt tuyến cố định tới mạng này trên chính máy khách OK:
Tuyến -p thêm mặt nạ 192.168.0.0 255.255.255.0 10.8.0.1
Hoặc chúng ta đặt tuyến đường này trong cấu hình ccd của máy khách đến máy chủ, cụ thể là trong tệp office1 chúng ta thêm:
Đẩy "tuyến 192.168.0.0 255.255.255.0"
Điều này cũng có thể được thực hiện bằng cách thêm một dòng trực tiếp vào cấu hình máy khách OK:
Tuyến 192.168.0.0 255.255.255.0
Sau đó, bạn cần cung cấp tuyến đường cho các gói từ máy chủ hệ điều hành đến mạng từ xa 192.168.1.0. Điều này được thực hiện tương tự như tùy chọn ở trên với một vài ngoại lệ.
Thêm lệnh vào cấu hình máy chủ OS:
Tuyến 192.168.1.0 255.255.255.0 10.8.0.2
hoặc thêm lệnh trực tiếp trên dòng lệnh:
Tuyến -p thêm mặt nạ 192.168.1.0 255.255.255.0 10.8.0.2
Cũng cần phải kích hoạt dịch vụ trong các dịch vụ trên máy chủ OS và máy khách OK Định tuyến và truy cập từ xa, do đó đảm bảo việc định tuyến tới mạng nội bộ (chuyển tiếp). Nếu không có điều này, các địa chỉ nội bộ trong mạng SCO và SF của máy khách OK và máy chủ OS sẽ không ping.
Ở giai đoạn này, chúng tôi đã có thể tự do ping các địa chỉ nội bộ của hệ điều hành của mình và OK, tức là. gõ ping 192.168.1.2 trên máy chủ OS và OK ping 192.168.0.2 trên máy khách, chúng ta nhận được kết quả khả quan dưới dạng:
Do đó, OK và OS ping lẫn nhau bằng OpenVPN cũng như các địa chỉ SCO và SF nội bộ của chúng. Tiếp theo, chúng ta cần đăng ký tuyến đường trên dòng lệnh tới mạng 10.8.0.0 trên PC1 và PC2. Điều này được thực hiện bằng các lệnh sau:
Tuyến -p thêm mặt nạ 192.168.1.0 255.255.255.0 192.168.0.2
Tuyến -p thêm mặt nạ 192.168.0.0 255.255.255.0 192.168.1.2
Do đó, các tài nguyên được chia sẻ trong PC1 và PC2 sẽ có sẵn tại địa chỉ mạng nội bộ của chúng:
Thẻ:
Trong bài viết này chúng ta sẽ xem xét kỹ hơn quá trình thiết lập Máy chủ VPN và trong hệ điều hành Windows Server, đồng thời giải đáp các câu hỏi: VPN là gì và thiết lập kết nối VPN như thế nào?
Kết nối VPN là gì?
VPN (Mạng riêng ảo) là mạng riêng ảo được sử dụng để cung cấp kết nối an toàn cho mạng. Công nghệ cho phép bạn kết nối bất kỳ số lượng thiết bị nào vào mạng riêng. Theo quy định, thông qua Internet.
Mặc dù công nghệ này không mới nhưng gần đây nó đã trở nên phù hợp do mong muốn của người dùng duy trì tính toàn vẹn hoặc quyền riêng tư của dữ liệu trong thời gian thực.
Phương thức kết nối này được gọi là đường hầm VPN. Bạn có thể kết nối với VPN từ bất kỳ máy tính nào, với bất kỳ hệ điều hành nào hỗ trợ kết nối VPN. Hoặc VPN-Client được cài đặt, có khả năng chuyển tiếp các cổng sử dụng TCP/IP sang mạng ảo.
VPN làm gì?
VPN cung cấp kết nối từ xa tới các mạng riêng
Bạn cũng có thể kết hợp một số mạng và máy chủ một cách an toàn
Các máy tính có địa chỉ IP từ 192.168.0.10 đến 192.168.0.125 được kết nối thông qua một cổng mạng, hoạt động như một máy chủ VPN. Các quy tắc kết nối qua kênh VPN trước tiên phải được ghi trên máy chủ và bộ định tuyến.
VPN cho phép bạn sử dụng Internet một cách an toàn khi kết nối ngay cả khi mở mạng wi-fiở khu vực công cộng (trong trung tâm mua sắm, khách sạn hoặc sân bay)
Và cũng bỏ qua các hạn chế về hiển thị nội dung ở một số quốc gia
VPN ngăn chặn các mối đe dọa trên mạng chặn thông tin một cách nhanh chóng bởi kẻ tấn công mà người nhận không chú ý.
Cách VPN hoạt động
Hãy xem xét nguyên tắc hoạt động của kết nối VPN.
Hãy tưởng tượng rằng việc truyền tải là sự chuyển động của một gói dọc theo đường cao tốc từ điểm A đến điểm B; dọc theo đường đi của gói có các điểm kiểm tra để truyền gói dữ liệu. Khi sử dụng VPN, tuyến đường này còn được bảo vệ bổ sung bởi hệ thống mã hóa và xác thực người dùng để bảo mật lưu lượng chứa gói dữ liệu. Phương pháp này gọi là “tunneling” (đường hầm - sử dụng đường hầm)
Trong kênh này, tất cả thông tin liên lạc đều được bảo vệ một cách đáng tin cậy và tất cả các nút truyền dữ liệu trung gian đều xử lý gói được mã hóa và chỉ khi dữ liệu được truyền đến người nhận, dữ liệu trong gói mới được giải mã và có sẵn cho người nhận được ủy quyền.
VPN sẽ đảm bảo quyền riêng tư cho thông tin của bạn cùng với tính năng chống vi-rút toàn diện.
VPN hỗ trợ các chứng chỉ như OpenVPN, L2TP, IPSec, PPTP, PPOE và kết quả là hoàn toàn an toàn và cách thức an toàn truyền dữ liệu.
Đường hầm VPN được sử dụng:
- Bên trong mạng công ty.
- Hợp nhất các văn phòng ở xa, cũng như các chi nhánh nhỏ.
- Truy cập vào các tài nguyên CNTT bên ngoài.
- Để xây dựng hội nghị truyền hình.
Tạo VPN, lựa chọn và cấu hình thiết bị.
Vì truyền thông doanh nghiệp trong các tổ chức hoặc hiệp hội lớn người bạn ở xađược sử dụng từ các văn phòng khác thiết bị phần cứng có khả năng duy trì hoạt động liên tục và bảo mật trên mạng.
Để sử dụng dịch vụ VPN, vai trò của cổng mạng có thể là: máy chủ Linux/Windows, bộ định tuyến và cổng mạng nơi VPN được cài đặt trên đó.
Bộ định tuyến phải cung cấp Hoạt động đáng tin cậy mạng không bị đóng băng. Chức năng VPN tích hợp cho phép bạn thay đổi cấu hình để làm việc tại nhà, trong tổ chức hoặc văn phòng chi nhánh.
Thiết lập máy chủ VPN.
Nếu bạn muốn cài đặt và sử dụng máy chủ VPN dựa trên dòng Windows thì bạn cần hiểu rằng các máy khách Windows XP/7/8/10 không hỗ trợ chức năng này; bạn cần một hệ thống ảo hóa hoặc một máy chủ vật lý trên máy chủ; Windows 2000/2003/2008/ nền tảng 2012/2016, nhưng chúng ta sẽ xem xét tính năng này trên Windows Server 2008 R2.
1. Trước tiên, bạn cần cài đặt vai trò máy chủ “Chính sách mạng và Dịch vụ truy cập”. Để thực hiện việc này, hãy mở trình quản lý máy chủ và nhấp vào liên kết “Thêm vai trò”:
Chọn vai trò Dịch vụ chính sách truy cập và mạng và nhấp vào tiếp theo:
Chọn "Dịch vụ định tuyến và truy cập từ xa" và nhấp vào Tiếp theo và cài đặt.
2. Sau khi cài đặt vai trò, bạn cần cấu hình nó. Đi tới Trình quản lý máy chủ, mở rộng nhánh “Vai trò”, chọn vai trò “Chính sách mạng và Dịch vụ truy cập”, mở rộng nó, nhấp vào click chuột phải trong "Định tuyến và truy cập từ xa" và chọn "Định cấu hình và bật định tuyến và truy cập từ xa"
Sau khi bắt đầu dịch vụ, chúng tôi coi như cấu hình của vai trò đã hoàn tất. Bây giờ bạn cần cho phép người dùng truy cập vào máy chủ và định cấu hình cấp địa chỉ IP cho máy khách.
Các cổng mà VPN hỗ trợ. Sau khi dịch vụ được nâng lên, chúng sẽ mở trong tường lửa.
Đối với PPTP: 1723 (TCP);
Đối với L2TP: 1701 (TCP)
Đối với SSTP: 443 (TCP).
Giao thức L2TP/IpSec thích hợp hơn để xây dựng mạng VPN, chủ yếu vì mục đích bảo mật và tính sẵn sàng cao hơn do thực tế là một phiên UDP duy nhất được sử dụng cho các kênh dữ liệu và điều khiển. Hôm nay chúng ta sẽ xem xét việc thiết lập máy chủ L2TP/IpSec VPN trên nền tảng Windows Server 2008 r2.
Bạn có thể thử triển khai trên các giao thức sau: PPTP, PPOE, SSTP, L2TP/L2TP/IpSec
Chúng ta hãy đi đến Trình quản lý máy chủ: Vai trò - Định tuyến và truy cập từ xa, nhấp chuột phải vào vai trò này và chọn “ Của cải", trên tab “Chung”, chọn hộp bộ định tuyến IPv4, chọn “mạng cục bộ và cuộc gọi theo yêu cầu” và máy chủ truy cập từ xa IPv4:
Bây giờ chúng ta cần nhập khóa chia sẻ trước. Chuyển đến tab Sự an toàn và trong lĩnh vực này Cho phép các chính sách IPSec đặc biệt cho kết nối L2TP, chọn hộp và nhập chìa khóa của bạn. (Về phím. Bạn có thể nhập tổ hợp chữ và số tùy ý vào đó nguyên tắc chính, tổ hợp càng phức tạp thì càng an toàn và hãy ghi nhớ hoặc ghi lại tổ hợp này sau này chúng ta sẽ cần đến). Trong tab Nhà cung cấp xác thực, chọn Xác thực Windows.
Bây giờ chúng ta cần cấu hình Bảo mật kết nối. Để thực hiện việc này, hãy chuyển đến tab Sự an toàn và lựa chọn Phương thức xác thực, kiểm tra các hộp EAP và Xác thực được mã hóa (Microsoft phiên bản 2, MS-CHAP v2):
Tiếp theo chúng ta hãy chuyển đến tab IPv4, ở đó chúng tôi sẽ chỉ ra giao diện nào sẽ chấp nhận kết nối VPN, đồng thời định cấu hình nhóm địa chỉ được cấp cho máy khách L2TP VPN trên tab IPv4 (Đặt Giao diện thành “Cho phép RAS để chọn bộ điều hợp”):
Bây giờ chúng ta hãy chuyển đến tab xuất hiện Cổng, nhấp chuột phải và Của cải, chọn kết nối L2TP và hãy nhấn Điều chỉnh, chúng tôi sẽ hiển thị nó trong một cửa sổ mới Kết nối truy cập từ xa (chỉ đến) Và Kết nối theo yêu cầu (đến và đi) và đặt nó lên số tiền tối đa cổng, số lượng cổng phải phù hợp hoặc vượt quá số lượng khách hàng dự kiến. Tốt hơn hết bạn nên tắt các giao thức không sử dụng bằng cách bỏ chọn cả hai hộp kiểm trong thuộc tính của chúng.
Danh sách các cổng mà chúng tôi còn lại với số lượng quy định.
Điều này hoàn tất việc thiết lập máy chủ. Tất cả những gì còn lại là cho phép người dùng kết nối với máy chủ. Đi đến Quản lý máy chủ Thư mục hoạt động – người dùng – chúng tôi tìm thấy người dùng mà chúng tôi muốn cho phép truy cập nhấn của cải, đi tới dấu trang cuộc gọi đến
Trong điều kiện công nghệ thông tin phát triển hiện nay, lợi ích của việc tạo mạng riêng ảo là không thể phủ nhận. Nhưng trước khi liệt kê những điều rõ ràng nhất và những cách hữu ích tổ chức mạng riêng ảo, bạn cần xác định rõ khái niệm này. Mạng riêng ảo hay đơn giản là VPN (Mạng riêng ảo) là công nghệ trong đó thông tin được trao đổi với mạng cục bộ từ xa thông qua kênh ảo thông qua mạng công cộng mô phỏng kết nối điểm-điểm riêng tư. Mạng công cộng có thể đề cập đến cả Internet và mạng nội bộ khác.Lý lịch
Lịch sử nguồn gốc của VPN bắt nguồn từ những năm 60 của thế kỷ trước, khi các chuyên gia từ bộ phận kỹ thuật của New York công ty điện thoại phát triển hệ thống thiết lập kết nối tự động cho thuê bao PBX - Centrex (Central Exchange). Nói cách khác, nó không gì khác hơn là một nơi riêng tư ảo mạng điện thoại, bởi vì các kênh liên lạc đã được tạo đã được thuê, tức là. các kênh ảo để truyền thông tin giọng nói đã được tạo ra. Hiện tại, dịch vụ này đang được thay thế bằng dịch vụ tương tự tiên tiến hơn – IP-Centrex. Tính bảo mật được duy trì khía cạnh quan trọng khi truyền tải thông tin trong một thời gian khá dài, khoảng năm 1900 trước Công nguyên. Những nỗ lực đầu tiên về mật mã được thực hiện bởi người Ai Cập, làm sai lệch các ký hiệu của tin nhắn. Và vào thế kỷ 15 sau Công nguyên, nhà toán học Leon Baptiste Alberti đã tạo ra mô hình mật mã đầu tiên. Ngày nay, nó là một mạng riêng ảo có thể cung cấp đủ độ tin cậy của thông tin được truyền đi cùng với tính linh hoạt và khả năng mở rộng tuyệt vời của hệ thống.VPN so với PN
Khi tổ chức các kênh an toàn để truyền thông tin trong các tổ chức, sẽ không công bằng nếu không xem xét phương án tổ chức một mạng riêng chính thức. Hình dưới đây cho thấy một tùy chọn tổ chức mạng riêng của một công ty nhỏ có 2 chi nhánh.Quyền truy cập vào mạng bên ngoài có thể được cung cấp thông qua văn phòng trung tâm hoặc phi tập trung. Tổ chức mạng lưới này có những ưu điểm không thể phủ nhận sau:
- tốc độ truyền thông tin cao, trên thực tế, tốc độ kết nối như vậy sẽ bằng tốc độ mạng cục bộ của doanh nghiệp;
- bảo mật, dữ liệu truyền đi không rơi vào mạng công cộng;
- Không ai cần trả tiền cho việc sử dụng mạng lưới có tổ chức; trên thực tế, đầu tư vốn sẽ chỉ được thực hiện ở giai đoạn sản xuất mạng lưới.
Trong trường hợp này, những ưu điểm dành cho mạng riêng hóa ra lại là nhược điểm đối với VPN, nhưng những nhược điểm này có thực sự đáng kể đến vậy không? Hãy tìm ra nó:
- Tốc độ truyền dữ liệu. Các nhà cung cấp có thể cung cấp truy cập Internet tốc độ khá cao, nhưng nó vẫn không thể so sánh với mạng 100 Mbit cục bộ đã được thử nghiệm theo thời gian. Nhưng việc bơm hàng trăm megabyte thông tin qua mạng có tổ chức mỗi ngày có thực sự quan trọng không? Để truy cập trang web địa phương của doanh nghiệp, chuyển tiếp e-mail với tài liệu, tốc độ mà các nhà cung cấp Internet có thể cung cấp là khá đầy đủ;
- bảo mật của dữ liệu được truyền đi. Khi tổ chức VPN, thông tin được truyền đi sẽ kết thúc ở mạng bên ngoài, vì vậy bạn sẽ phải quan tâm đến việc tổ chức bảo mật trước. Nhưng ngày nay có những thuật toán mã hóa thông tin có khả năng chống lại các cuộc tấn công khá tốt, cho phép chủ sở hữu dữ liệu được truyền đi không phải lo lắng về bảo mật. Đọc thêm về các phương pháp bảo mật và thuật toán mã hóa bên dưới;
- Không ai cần phải trả tiền cho một mạng lưới có tổ chức. Một lợi thế khá gây tranh cãi, vì trái ngược với chi phí sử dụng mạng thấp, chi phí vốn cho việc tạo ra nó lớn, mà một tổ chức nhỏ có thể không đủ khả năng chi trả. Đồng thời, bản thân phí sử dụng Internet ngày nay khá phải chăng và mức giá linh hoạt cho phép mọi người lựa chọn gói tối ưu.
- khả năng mở rộng hệ thống. Khi mở chi nhánh mới hoặc thêm nhân viên được phép sử dụng quyền truy cập từ xa, không cần thêm chi phí liên lạc.
- tính linh hoạt của hệ thống. VPN không quan tâm bạn truy cập từ đâu. Một nhân viên cá nhân có thể làm việc tại nhà hoặc trong khi đọc thư từ hộp thư công ty của công ty, anh ta có thể đi công tác ở một quốc gia hoàn toàn khác. Cũng có thể sử dụng cái gọi là văn phòng di động, nơi không có kết nối với một khu vực cụ thể.
- Theo trước đó, một người không bị giới hạn về mặt địa lý trong việc tổ chức nơi làm việc của mình, điều này thực tế là không thể khi sử dụng mạng riêng.
- các giao thức đóng gói dữ liệu và tạo thành kết nối VPN;
- các giao thức mã hóa dữ liệu bên trong đường hầm đã tạo.
- PPTP (Giao thức đường hầm điểm-điểm) là giao thức đường hầm điểm-điểm, sản phẩm trí tuệ của Microsoft và là phần mở rộng của PPP (Giao thức điểm-điểm), do đó, sử dụng các cơ chế xác thực, nén và mã hóa của nó . Giao thức PPTP được tích hợp vào Máy khách truy cập từ xa Windows XP. Với lựa chọn tiêu chuẩn của giao thức này, Microsoft đề xuất sử dụng phương pháp mã hóa MPPE (Mã hóa điểm-điểm của Microsoft). Bạn có thể truyền dữ liệu mà không cần mã hóa ở dạng văn bản rõ ràng. Việc đóng gói dữ liệu bằng giao thức PPTP xảy ra bằng cách thêm tiêu đề GRE (Đóng gói định tuyến chung) và tiêu đề IP vào dữ liệu đã xử lý. giao thức PPP.
- L2TP (Giao thức đường hầm lớp hai) là giao thức tiên tiến hơn, được sinh ra từ sự kết hợp giữa giao thức PPTP (của Microsoft) và L2F (của Cisco), kết hợp tất cả những ưu điểm tốt nhất của hai giao thức này. Cung cấp kết nối an toàn hơn tùy chọn đầu tiên; mã hóa xảy ra bằng giao thức IPSec (bảo mật IP). L2TP cũng được tích hợp vào máy khách truy cập từ xa Windows XP, hơn nữa, khi Tự động phát hiện loại kết nối, trước tiên máy khách sẽ cố gắng kết nối với máy chủ bằng giao thức này vì nó thích hợp hơn về mặt bảo mật.
Triển khai thực tế
Bây giờ chúng ta hãy chuyển từ lý thuyết sang thực hành, bởi vì, như bạn đã biết: “thực hành là tiêu chí của sự thật”. Hãy thử tổ chức một phiên bản đơn giản của mạng riêng ảo, được hiển thị trong hình bên dưới.Một nhân viên hoặc nhân viên ở xa đang ở bên ngoài văn phòng và có quyền truy cập vào mạng công cộng, ngay cả khi đó là Internet. Địa chỉ của mạng mà bạn cần truy cập mặt nạ mạng con 11.7.0.0 tương ứng là 255.255.0.0. Mạng công ty này được mạng miền, chạy Windows 2003 Server Corporate Edition. Máy chủ có hai giao diện mạng với địa chỉ IP nội bộ của mạng công ty 11.7.3.1 và bên ngoài 191.168.0.2. Cần lưu ý rằng khi thiết kế mạng VPN, máy chủ VPN được đặt ở vị trí cuối cùng, do đó bạn có thể dễ dàng tổ chức quyền truy cập VPN vào mạng tổ chức đã được gỡ lỗi và hình thành, nhưng đồng thời, nếu có thay đổi đáng kể xảy ra trong mạng được quản lý thì có lẽ Bạn sẽ cần phải cấu hình lại máy chủ VPN. Trong trường hợp của chúng tôi, chúng tôi có một mạng đã được hình thành, với các địa chỉ được mô tả ở trên, chúng tôi cần định cấu hình máy chủ VPN và cũng cho phép người dùng nhất định truy cập từ mạng bên ngoài. Có một trang web nội bộ trên mạng công ty mà chúng tôi sẽ cố gắng truy cập thông qua mạng riêng ảo. Trong Windows 2003 Cài đặt máy chủ Vai trò của máy chủ VPN khá đơn giản.
Làm theo lời nhắc của trình hướng dẫn, đặt các tham số cần thiết: ở bước thứ hai, chọn truy cập từ xa (VPN hoặc modem); sau đó truy cập từ xa qua Internet; ở bước thứ 4, chúng tôi chỉ ra giao diện máy chủ được kết nối với Internet, trong trường hợp của chúng tôi là 191.168.0.2; Tiếp theo, chúng ta xác định phương pháp gán địa chỉ khách hàng từ xa, trong trường hợp của chúng tôi, đây sẽ là địa chỉ được gán tự động; nếu mạng của bạn có máy chủ RADIUS để xác thực kết nối tập trung, hãy chọn nó, nếu không, hãy giao nhiệm vụ này cho máy chủ VPN. Vì vậy, máy chủ VPN đã được tạo, sau khi cài đặt hoàn tất, chúng tôi chuyển sang quản lý người dùng trong miền của mình và đối với những nhân viên cần truy cập từ xa vào mạng nội bộ của tổ chức, chúng tôi cho phép quyền truy cập này bằng cách đặt công tắc thích hợp trên Tab “Cuộc gọi đến”.
Khi định cấu hình mạng riêng ảo, hãy nhớ rằng để hoạt động chính xác, điều cần thiết là tường lửa được cài đặt cho phép các giao thức được VPN sử dụng. Chúng ta đã hoàn thành phần máy chủ, hãy chuyển sang tạo máy khách mạng riêng ảo trên máy tính điều khiển từ xa. Để thực hiện việc này, bạn cần chạy Trình hướng dẫn kết nối mạng. Ở bước thứ hai, làm theo lời nhắc, chọn “Kết nối với mạng tại nơi làm việc của bạn”. Bước thứ ba là “Kết nối với mạng riêng ảo”. Bước tiếp theo là nhập tên của kết nối. Bước thứ năm - chọn có kết nối Internet trước hay không (nếu bạn đang kết nối từ một vị trí có quyền truy cập vĩnh viễn, chọn “không”; nếu bạn sử dụng điện thoại di động làm modem chẳng hạn thì bạn nên chọn quay số trước để kết nối Internet). Ở bước áp chót, nhập địa chỉ IP của máy chủ cần truy cập.
Đối với kết nối đã được tạo, bạn có thể điều chỉnh các thuộc tính bất kỳ lúc nào cũng như định cấu hình một số điểm liên quan đến bảo mật và loại kết nối được tạo.
Bài kiểm tra
Cấu hình truy cập từ xa đã hoàn tất, đã đến lúc kiểm tra chức năng của nó. Hãy bắt đầu theo cách truyền thống, với lệnh “ping” yêu thích của mọi người, hãy thử “ping” một số máy trạm từ mạng công ty của chúng ta.Tuyệt vời, máy tính có thể nhìn thấy được, nhưng nhân viên từ xa khó có thể cần điều này; hãy thử truy cập trang web địa phương của tổ chức.
Mọi thứ đều hoạt động tốt, tất cả những gì còn lại là đo hiệu suất của mạng riêng ảo đã tạo. Để thực hiện việc này, hãy sao chép tệp thông qua kết nối VPN và cũng không sử dụng tệp đó vào máy chủ VPN. Phương tiện vật lý để truyền thông tin sẽ là mạng 100 Mbit; trong trường hợp này, thông lượng mạng không phải là yếu tố hạn chế. Vì vậy, việc sao chép một tệp có kích thước 342.921.216 byte mất 121 giây. VỚI Kết nối VPN– 153 giây. Nhìn chung, thời gian sao chép bị mất là 26%, điều này là tự nhiên vì khi truyền thông tin qua VPN, chi phí bổ sung sẽ phát sinh dưới dạng mã hóa/giải mã dữ liệu. Trong trường hợp của chúng tôi, giao thức PPTP đã được sử dụng; khi sử dụng các loại giao thức khác, thời gian mất cũng sẽ khác nhau. Hiện nay thời gian của Microsoft khuyến nghị sử dụng L2TP IPSec với thẻ thông minh để bảo mật tối đa trong quá trình xác thực và truyền thông tin.
