Đề tài Tìm hiểu kết nối VPN trên Router Draydek

pdf 51 trang yendo 15161
Bạn đang xem 20 trang mẫu của tài liệu "Đề tài Tìm hiểu kết nối VPN trên Router Draydek", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfde_tai_tim_hieu_ket_noi_vpn_tren_router_draydek.pdf

Nội dung text: Đề tài Tìm hiểu kết nối VPN trên Router Draydek

  1. Khoa Công Nghệ Thông Tin Vũ Thế Hiển LỜI CÁM ƠN Để thực hiện được đồ án tốt nghiệp này, em xin chân thành cảm ơn sự tận tình của quý thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng Nguyễn Tất Thành đã truyền đạt cho em những kiến thức và kinh nghiệm quý báu trong suốt gần 2 năm học tại trường. Em cũng xin chân thành cảm ơn ông Nguyễn Tuấn Nhật Anh đã tận tình giúp đỡ và chỉ bảo cho em trong suốt thời gian làm đồ án tốt nghiệp. Cuối cùng, mong quý thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng Nguyễn Tất Thành, ông Nguyễn Tuấn Nhật Anh nhận nơi em lời cảm ơn chân thành, lòng biết ơn sâu sắc và xin kính chúc quý vị dồi dào sức khỏe để luôn hoàn thành tốt công việc cũng như những mục tiêu của mình. - 1 -
  2. Khoa Công Nghệ Thông Tin Vũ Thế Hiển ĐỀ CƯƠNG CHI TIẾT Tên Đề Tài: TÌM HIỂU KẾT NỐI VPN TRÊN ROUTER DRAYTEK. Giáo viên hướng dẫn: Nguyễn Tuấn Nhật Anh Thời gian thực hiện: Từ 09/03/2009 đến 15/08/2009 Sinh viên thực hiện: Vũ Thế Hiển MSSV: 31070382 Loại đề tài: Nghiên cứu triển khai. Nội Dung Đề Tài Nội dung: - Tìm hiểu và cấu hình được VPN trên Router Draytek. - Tạo kết nối VPN USER-to-LAN, LAN-to-LAN. - Tạo kết nối VPN SSL. - Tạo kết nối VPN Load Balancing. Kết quả đạt được: - Tạo được một mạng riêng ảo VPN . - Không cần thuê bao leased line với IP cố định , chỉ cần sử dụng Router Draytek , sử dụng gói thuê bao ADSL thông thường nhưng vẫn thực hiện được các kết nối LAN-to- LAN, USER-to-LAN, SSL VPN và VPN Load Balancing. Xác nhận của GVHD Ngày tháng năm SV Thực hiện Nguyễn Tuấn Nhật Anh Vũ Thế Hiển - 2 -
  3. Khoa Công Nghệ Thông Tin Vũ Thế Hiển MỤC LỤC Trang LỜI CÁM ƠN 1. ĐỀ CƯƠNG CHI TIẾT 2. MỤC LỤC 3. BẢNG CÁC HÌNH VẼ 5. TÓM TẮT KHÓA LUẬN 8. CHƯƠNG 1 : TÌM HIỂU VỀ CÔNG NGHỆ VPN 9. 1.1 Giới thiệu về VPN 9. 1.2 Chức năng của VPN 9. 1.3 Ưu khuyết điểm của VPN 10. 1.3.1 Ưu điểm 10. 1.3.2 Khuyết điểm 11. 1.4 Các giao thức dùng trong VPN 11. 1.4.1 PTPP 11. 1.4.2 L2TP 12. 1.4.3 IPSec 13. CHƯƠNG 2: : CẤU HÌNH VPN TRÊN ROUTER DRAYTEK TẠO KẾT NỐI USER-TO-LAN VÀ LAN-TO-LAN. 14. 2.1 Hoạch định và lựa chọn thiết bị 14. 2.2 Đăng ký tên miền động (Dynamic DNS) 14. 2.3 Cấu hình IP VPN 17. 2.3.1 Tạo kết nối Host-to-LAN(User-to-LAN) 17. 2.3.2 Tạo kết nối LAN-to-LAN 23. 2.4 Kiểm tra và giám sát kết nối VPN 26. - 3 -
  4. Khoa Công Nghệ Thông Tin Vũ Thế Hiển CHƯƠNG 3 : CẤU HÌNH SSL VPN 29. 3.1 Khái niệm 29. 3.1.1 SSL (Secure Socket Layer) là gì 29. 3.1.2 SSL VPN là gì 30 3.2 Các dạng SSL VPN 31. 3.2.1 SSL Web Proxy 31. 3.2.2 SSL Tunnel 32. 3.3 Các bước khởi tạo 32. 3.3.1 SSL Web Proxy 32. 3.3.2 SSL Tunnel 37. CHƯƠNG 4 : TẠO KẾT NỐI VPN LOAD BALANCING 41. 4.1 Khái niệm và chức năng 41. 4.2 Các bước khởi tạo kết nối 41. DANH MỤC TÀI LIỆU THAM KHẢO 50. LỜI KẾT 51. - 4 -
  5. Khoa Công Nghệ Thông Tin Vũ Thế Hiển BẢNG CÁC HÌNH VẼ STT Tên hình Mô tả 1 Hình 1 Kích hoạt tính năng Dynamic DNS - Tên miền động. 2 Hình 2 Thiết lập cài đặt Tên miền động. 3 Hình 3 Chọn Profile. 4 Hình 4 Thiết lập tài khoản kết nối PPTP. 5 Hình 5 Bảng điều khiển khởi tạo kết nối. 6 Hình 6 Bảng Network connection type. 7 Hình 7 Bảng Network connection. 8 Hình 8 Bảng Connection name. 9 Hình 9 Bảng VPN Server selection. 10 Hình 10 Bảng thống kê. 11 Hình 11 Bảng biểu tượng kết nối. 12 Hình 12 Thiết lập Lan-to-Lan tới Server. 13 Hình 13 Cấu hình Lan-to-Lan PPTP tới Server. 14 Hình 14 Thiết lập Lan-to-Lan tại Client. 15 Hình 15 Cấu hình TCP/IP tại Client . - 5 -
  6. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 16 Hình 16 Xem trực tuyến kết nối VPN. 17 Hình 17 Cấu hình Syslog trên Router Vigor 2600. 18 Hình 18 Giám sát kết nối thông qua công cụ Syslog Tool. 19 Hình 19 Bảng thiết lập truy cập từ xa. 20 Hình 20 Bảng tạo Account truy cập từ xa. 21 Hình 21 Bảng Set SSL Web Proxy. 22 Hình 22 Bảng cấu hình thông tin cho Web Proxy. 23 Hình 23 Bảng cấu hình profile cho các user truy cập. 24 Hình 24 Bảng chọn các Web Proxy Server. 25 Hình 25 Bảng đăng nhập SSL Web Proxy. 26 Hình 26 Bảng danh sách truy cập. 27 Hình 27 Bảng thiết lập truy cập từ xa. 28 Hình 28 Bảng tạo Account truy cập từ xa. 29 Hình 29 Bảng đăng nhập SSL Tunnel. 30 Hình 30 Bảng connect SSL Tunnel. 31 Hình 31 Bảng yêu cầu download ActiveX. 32 Hình 32 Bảng Install ActiveX Control. 33 Hình 33 Bảng Install phần mềm Client. - 6 -
  7. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 34 Hình 34 Bảng Install Draytek Virtual PPP Adapter. 35 Hình 35 Bảng báo thiết lập thành công SSL Tunnel. 36 Hình 36 Bảng giao diện cấu hình Vigor3300. 37 Hình 37 Bảng chọn các Profile. 38 Hình 38 Bảng cấu hình Policy WAN1 TP.HCM. 39 Hình 39 Bảng cấu hình Policy WAN2 TP.HCM. 40 Hình 40 Bảng cấu hình Policy WAN1 HN. 41 Hình 41 Bảng cấu hình Policy WAN2 HN. 42 Hình 42 Bảng giao diện cấu hình Vigor3300. 43 Hình 43 Bảng cấu hình Group TP.HCM. 44 Hình 44 Bảng cấu hình Group HN. - 7 -
  8. Khoa Công Nghệ Thông Tin Vũ Thế Hiển TÓM TẮT KHÓA LUẬN Vấn đề nghiên cứu : Tìm hiểu công nghệ VPN bằng Router Draytek. - Tìm hiểu và cấu hình được VPN trên Router Draytek. - Tạo kết nối VPN USER-to-LAN, LAN-toLAN. - Tạo kết nối VPN SSL. - Tạo kết nối VPN Load Balancing. Yêu cầu và Phương pháp triển khai : - Phải cấu hình được VPN. - Phải thực hiện thành công các kết nối : + USER-to-LAN. + LAN-to-LAN. - Cấu hình được SSL VPN, VPN Load Balancing. Kết quả đạt được : - Tạo được một mạng riêng ảo VPN . - Không cần thuê bao leased line với IP cố định , chỉ cần sử dụng Router Draytek , sử dụng gói thuê bao ADSL thông thường nhưng vẫn thực hiện được các kết nối USER-to-LAN, LAN-to-LAN, SSL VPN và VPN Load Balancing. - 8 -
  9. Khoa Công Nghệ Thông Tin Vũ Thế Hiển CHƯƠNG 1 TÌM HIỂU VỀ CÔNG NGHỆ VPN 1.1 Giới thiệu về VPN. 1.2 Chức năng của VPN. 1.3 Ưu và khuyết điểm của VPN. 1.3.1 Ưu điểm. 1.3.2 Khuyết điểm. 1.4 Các giao thức dùng trong VPN. 1.4.1 PPTP. 1.4.2 L2TP. 1.4.3 IPSec. 1.1 Giới thiệu về VPN. VPN –Virtual Private Network tạm dịch là mạng riêng ảo, đây là 1 giải pháp kết nối mạng đến mạng nội bộ từ xa, được hiểu đơn giản là mở rộng mạng nội bộ, người dùng có thể thông qua đường truyền ADSL thông thường, truy cập vào mạng nội bộ bên trong để lấy dữ liệu, check mail, remote desktop, giám sát camera bất kể người dùng đang ở đâu trên thế giới. Ngoài ra, khi sử dụng tính năng VPN người dùng còn có thể kết nối 2 (hay nhiều) mạng nội bộ lại với nhau thông qua đường truyền ADSL thông thường mà không cần phải thuê đường truyền Lease Line hoặc Frame Relay như trước kia. 1.2 Chức năng của VPN. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi - 9 -
  10. Khoa Công Nghệ Thông Tin Vũ Thế Hiển cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel). 1.3 Ưu và khuyết điểm của VPN. 1.3.1 Ưu điểm. Giảm chi phí thiết lập: khi sử dụng công nghệ VPN ta có thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. Nâng cao kết nối : VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của internet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng. Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPN được đánh giá cao bảo mật trong truyền tin. Hiệu suất băng thông: sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông. - 10 -
  11. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 1.3.2 Khuyết điểm. Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN. Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên nền IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. 1.4 Các giao thức dùng trong VPN. Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là PPTP, L2TP và IPSec. 1.4.1 PPTP. Phương thức đóng gói PPTP (Point-to-Point Tunneling Protocol) đóng gói những frame PPP (Point-to-Point Protocol) vào trong một IP datagrams để truyền thông xuyên qua mạng internet trên nền IP. Kết nối TCP (cổng 1723) được sử dụng để duy trì kênh thông tin và GRE (Protocol 47) thì dùng cho việc đóng gói những frame PPP cho dữ liệu trong kênh. User name và password sử dụng để xác thực. Ưu điểm PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft( các sản phẩm được sử dụng rất rộng rãi). PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's Macintosh. Các nền không hỗ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP. - 11 -
  12. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Khuyết điểm Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa mã phát sinh từ password của user. Điều này càng nguy hiểm hơn khi password được gửi trong môi trường không an toàn để chứng thực. Giao thức đưòng hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật. 1.4.2 L2TP. L2TP (Layer Two Tunneling Protocol) là kết hợp của PPTP và giao thức Layer 2 Forwarding (L2F). L2TP sử dụng thông điệp UDP (port 1701) trên mạng internet IP cho cả hai việc duy trì và dữ liệu trong kênh. User name và password sử dụng để chứng thực kênh kết nối. Ưu điểm L2TP là một giải pháp chung, hỗ trợ nhiều kỹ thuật mạng. Đường hầm L2TP chỉ đơn thuần là người dùng từ xa hoặc ISP. Do đó nó không yêu cầu bổ sung cấu hình của user từ xa và ISP. L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải. L2TP cho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thông qua mạng công cộng. L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chứng thực gói của IPSec. Khuyết điểm L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận được. - 12 -
  13. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 1.4.3 IPSec. IPSec cung cấp cơ chế bảo mật dữ liệu truyền thông bên trên mạng IP, đảm bảo sự cẩn mật, tính toàn vẹn và xác thực dữ liệu truyền thông để xuyên qua những lưới không được bảo vệ như là Internet. Giao thức Internet Key Exchange (IKE) (UDP cổng 500) dùng để khóa lại và trao đổi thông tin an toàn. ESP (Encapsulated Security Payload, giao thức số 50) hay AH (Authentication Header, giao thức số 51) để đóng gói gói tin IP cho kênh dữ liệu. Giao thức Authentication Header (AH) cung cấp sự chứng thực và tùy chọn dịch vụ "phát hiện nghe trộm" cũng như bổ sung dịch vụ mã hóa và giải mã dữ liệu. Giao thức Encapsulating Security Payload (ESP) cung cấp sự an ninh dữ liệu và sự bảo vệ với tùy chọn sự chứng thực và dịch vụ "phát hiện nghe trộm". - 13 -
  14. Khoa Công Nghệ Thông Tin Vũ Thế Hiển CHƯƠNG 2 CẤU HÌNH VPN TRÊN ROUTER DRAYTEK TẠO KẾT NỐI USER-TO-LAN VÀ LAN-TO-LAN. 2.1 Hoạch định và lựa chọn thiết bị. 2.2 Đăng ký tên miền động (Dynamic DNS). 2.3 Cấu hình IP VPN. 2.3.1 Tạo kết nối Host-to-LAN(User-to-LAN). 2.3.2 Tạo kết nối LAN-to-LAN. 2.4 Kiểm tra và giám sát kết nối VPN. 2.1 Hoạch định và lựa chọn thiết bị: IP VPN gồm VPN Server và VPN Client: ADSL Router Vigor 2700 hỗ trợ 2 kênh VPN, Vigor 2800 series làm VPN Server lẫn Client (32 kênh đồng thời) Tương thích với tất cả các thiết bị khác hỗ trợ IP VPN như CISCO, Fortigate, Check Point, Nokia và các hệ điều hành. Tại phía Server sử dụng đường truyền ADSL hay một kết nối Internet liên tục nào đó như Dial-up,ISDN .Tại phía Client Bạn có thể sử dụng bất cứ một kết nối mạng nào như Dial-up, ISDN, ADSL miễn sao bạn truy cập Internet được. 2.2 Đăng ký tên miền động (Dynamic DNS): Do khi sử dụng ADSL thông thường,bạn được nhà cung cấp dịch vụ cung cấp 1 IP động thay đổi khi kết nối internet. Vì vậy để làm VPN Server, bạn cần phải sử dụng dịch vụ Dynamic DNS để cập nhật IP động, sau đó tiến hành cài đặt IP VPN. Tại Client thì không cần thiết lắm. Có rất - 14 -
  15. Khoa Công Nghệ Thông Tin Vũ Thế Hiển nhiều nhà cung cấp dịch vụ Dynamic DNS miễn phí và có uy tín trên thế giới. Thiết bị DrayTek hỗ trợ các nhà cung cấp sau: www.dyndns.org, www.no-ip.com, Khi đăng kí dịch vụ với một trong những nhà cung cấp trên, bạn sẽ được cung cấp một tài khoản để sử dụng dịch vụ (gồm username và password). Lúc đó bạn có thể sử dụng tài khoản này để tạo cho mình 1 tên miền động. Sau khi đăng ký và tạo được tên miền động chúng ta bắt đầu cài đặt Router. Trong trang cấu hình chính của router DrayTek, bạn vào mục Dynamic DNS Setup, check vào Enable Dynamic DNS Setup. Sau đó, bạn chọn Index 1 trong mục Accounts (router Draytek cung cấp đồng thời 3 tài khoản DDNS) (Hình 1). Hình 1: Kích hoạt tính năng Dynamic DNS - Tên miền động. Sau đó bạn Check vào mục Enable Dynamic DNS Account. Trong mục Service Provider, chọn nhà cung cấp mà bạn đã đăng ký(Hình 2). - 15 -
  16. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Domain name: tên miền động mà bạn đã tạo, bạn có thể tạo 1 tên gợi nhớ với phần mở rộng theo quy định của nhà cung cấp. Ví dụ: anphat.dyndns.org (anphat: tên gợi nhớ tự đặt, dyndns.org là phần mở rộng do nhà cung cấp dịch vụ tên miền động quy định sẵn, có thể lựa chọn khác đi như dyndns.biz, dyndns.info v.v ) Login Name và Password: nhập vào tài khoản mà bạn đã đăng ký với nhà cung cấp. Hình 2: Thiết lập cài đặt Tên miền động Như vậy là bạn vừa cấu hình xong dịch vụ Dynamic DNS. Nhấn OK để hoàn tất . - 16 -
  17. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 2.3 Cấu hình IP VPN 2.3.1 Tạo kết nối Host-to-LAN (User-to-LAN). Chúng ta có bài toán nhỏ như sau: Công ty chúng tôi sử dụng đường truyền ADSL MegaVNN thiết bị sử dụng là Vigor2600plus. Vấn đề đặt ra là tôi muốn ngồi ở nhà hoặc khi đi công tác xa ở bất kỳ nơi nào vẫn có thể làm việc, lấy dữ liệu từ công ty, in ra máy in mạng ở công ty. Máy tính ở nhà tôi sử dụng Windows XP, quay số VNN 1269. Tôi cần làm thế nào đề giải quyết vấn đề trên 1 cách đơn giản và bảo mật (tài liệu công ty rất quan trọng). Câu trả lời : Đầu tiên bạn cần cấu hình VPN Server cho router tại văn phòng công ty. Cấu hình VPN Server trên thiết bị Vigor 2600/Vigor2600plus. Trên giao diện cấu hình Vigor 2600, vào mục VPN and Remote Access Setup >> Remote User Profile Setup (Teleworker). Trong trang này chúng ta chọn một số đại diện cho tài khoản cần cấu hình, chọn Index 1 để bắt đầu cài tài khoản.(Hình 3) Hình 3: Chọn Profile. - 17 -
  18. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Tiếp theo Click chọn Enable this account (Hình 4)để kích hoạt tài khoản này. Trong mục Allowed Dial-in Type cho phép bạn lựa chọn phương pháp kết nối, để đơn giản chúng ta chọn PPTP và bỏ chọn hai mục bên dưới. Hình 4 : Thiết lập tài khoản kết nối PPTP Phần Username và password là phần do bạn tự đặt và thông báo cho client biết. Ví dụ ta đặt: username: support và password: 1234 cho việc thử nghiệm này. Các mục còn lại không cần hiệu chỉnh, nhấp OK để hoàn tất. Vậy là chúng ta vừa hoàn thành quá trình cài đặt VPN Server. Để trở về màn hình chính bằng cách nhấp chọn Main Menu. Cấu hình VPN Client trên máy tính sử dụng HĐH Windows XP. Chọn Start >> Control panel >>Network Connections, bạn khởi tạo một kết nối VPN như sau: Nhấp chọn Create a new connection sẽ xuất hiện bảng điều khiển khởi tạo kết nối, bạn bấm Next để bỏ qua màn hình giới thiệu. (Hình 5) - 18 -
  19. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 5 : Bảng điều khiển khởi tạo kết nối. Trong bảng Network connection type bạn chọn Connect to the network at my workplace sau đó nhấn Next. (Hình 6) Hình 6 : Bảng Network connection type. Bảng Network connection xuất hiện, chọn Virtual Private Network connection, nhấn Next để tiếp tục.(Hình 7) - 19 -
  20. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 7 : Bảng Network connection. Trong bảng Connection Name bạn gõ vào tên đại diện bất kỳ (ví dụ: connect to anphat), sau đó nhấn Next để tiếp tục. (Hình 8) Hình 8 : Bảng Connection Name. - 20 -
  21. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Trong bảng VPN Server selection, bạn nhập vào tên miền động của VPN Server (vi dụ: anphat.dyndns.org) sau đó nhấp Next để tiếp tục. (Hình 9) Hình 9 : Bảng VPN Server selection. Bảng thống kê xuất hiện thông báo các thông số bạn đã thiết lặp, bạn có thể chọn Add a shortcut to this connection to my desktop để kết nối VPN này xuất hiện trên màn hình desktop máy tính của mình. Nhấp Finish hoàn tất quá trình cài đặt VPN client trên máy.(Hình 10) Hình 10 : Bảng thống kê. - 21 -
  22. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Bạn vừa hoàn thành quá trình thiết lặp một kết nối VPN từ máy tính với HĐH windows XP. Trên màn hình máy tính sẽ xuất hiện biểu tượng kết nối VPN. Bạn nhấp đúp vào biểu tượng này, sẽ xuất hiện bảng yêu cầu nhập username và password, bạn nhập vào thông tin như đã khai báo trên VPN Server (username: support và password: 1234), sau đó nhấn Connect. (Hình 11) Hình 11 : Bảng biểu tượng kết nối. Như vậy bạn đã hoàn thành kết nối VPN Host-to-LAN và có thể truy xuất dữ liệu của mạng nội bộ mà bạn đã kết nối đến. - 22 -
  23. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 2.3.2 Tạo kết nối LAN-to-LAN. Chúng ta có bài toán nhỏ như sau: Giả sử công ty chúng tôi ở TP. HCM và có chi nhánh ở Hà Nội, cả 2 nơi đều sử dụng ADSL. Chúng tôi muốn thực hiện kết nối 2 văn phòng (LAN-to-LAN) để đồng bộ hoá dữ liệu mà không cần phải thuê một đường truyền riêng thì chúng tôi phải làm sao?. Câu trả lời : Trước tiên chúng ta phải đăng ký 1 tên miền động DDNS (tại nơi làm Server – xem cấu hình như phần 2.2 ) và thiết lập VPN Server tại TP.HCM dựa trên sản phẩm Vigor2600/2600plus. Cấu hình VPN Server trên thiết bị Vigor 2600. Trên giao diện cấu hình Vigor 2600, vào mục VPN and Remote Access Setup >> LAN-to-LAN Profile Setup >> Index 1 (Hình 12). Hình 12: Thiết lập Lan-to-Lan tới Server. - 23 -
  24. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Sau đó Click chọn Enable this profile để kích hoạt tài khoản này, bạn đặt tên đại diện cho profile này. Vì đây là Server nên chọn Dial-In trong mục Call Direction(Hình 12). Ta sẽ thiết lặp trong mục 3. Dial-In Setting. (Hình 13) Trong mục Allowed Dial-in Type cho phép bạn lựa chọn phương pháp kết nối, để đơn giản chúng ta chọn PPTP và bỏ chọn hai mục bên dưới. Phần Username và password là phần do bạn tự đặt và thông báo cho client biết, ví dụ ta đặt: username: lantolan và password: 1234 cho việc thử nghiệm này. Hình 13 : Cấu hình Lan-to-Lan PPTP tới Server. Tiếp theo phần 4. TCP/IP Network Setting, bạn nhập vào địa chỉ mạng nội bộ (Private IP) của hệ thống ở xa (địa chỉ mạng của văn phòng ở Hà Nội). Việc này là quan trọng và cần thiết cho VPN hoạt động. Hai lớp mạng nội bộ giữa Server và Client phải khác nhau thì VPN LAN-to-LAN mới hoạt động. - 24 -
  25. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Vậy trong mục Remote network IP nhập vào là : 192.168.x.0, xem(Hình 13) bên trên (X: là số ngẫu nhiên tùy chọn của bạn, từ 0- 254). Vd: 192.168.6.0 Bạn vừa hoàn thành quá trình cài đặt tại Server, nhấn OK để hoàn tất . Cấu hình VPN Client trên thiết bị Vigor 2600. Tương tự như việc cấu hình VPN Server như trên, chúng ta vào mục VPN and Remote Access Setup >> LAN-to-LAN Profile Setup >> Index 1. (Hình 14) Hình 14 : Thiết lập Lan-to-Lan tại Client. Click chọn Enable this profile để kích hoạt tài khoản, bạn đặt tên đại diện cho profile này, vì đây là Client nên trong mục Call Direction bên cạnh chọn Dial-Out. (Hình 14) Trong phần 2. Dial-Out Settings, (Hình 14) mục Type of Server I am calling cho phép bạn lựa chọn phương pháp kết nối, để đồng bộ với phía server được cấu hình ở trên chúng ta chọn PPTP. - 25 -
  26. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Trong mục Server IP/Host Name for VPN (Hình 14) bạn nhập vào tên miền động của phía Server, trong ví dụ này nhập vào : anphat.dyndns.org Phần Username và password Bạn nhập vào: user name: lantolan và password: 1234. (Hình 14) Bạn bỏ qua mục số 3. Dial-In Setting . Tiếp theo phần 4. TCP/IP Network Setting Bạn nhập vào địa chỉ mạng nội bộ (Private IP) của phía Server trong mục Remote network IP: 192.168.8.0 .(Hinh 15) Hình 15: Cấu hình TCP/IP tại Client . Bạn vừa hoàn thành quá trình cài đặt tại đầu Client, nhấp OK để hoàn tất. 2.4 Kiểm tra và giám sát kết nối VPN. Sau khi hoàn tất quá trình cài đặt VPN, để xem và quản lý kết nối VPN bạn trở về trang cấu hình chính, sau đó vào mục VPN Connection Management. Trong mục này Bạn có thể xem quá trình kết nối, cũng như chủ động thực hiện ngắt hay kích hoạt kết nối VPN. (Hình 16) - 26 -
  27. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 16 : Xem trực tuyến kết nối VPN. Cách khác để theo dõi quá trình kết nối VPN là sử dụng công cụ Syslog Tool (phần mềm RTOOL trên đĩa CDROM đi kèm sản phẩm). Bạn cài đặt phần mềm trên một máy PC trong mạng, sau đó trên trang giao diện cấu hình chính của Vigor2600x Bạn vào mục Syslog Setup, nhấp chọn Enable để kích hoạt, nhập IP của máy tính bạn đã cài đặt chương trình Syslog Tool.(Hình 17) Hình 17 : Cấu hình Syslog trên Router Vigor2600 . - 27 -
  28. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Phần mềm này còn cho phép bạn, xem tình trạng kết nối của các máy trong mạng nội bộ lưu thông qua router.(Hình 18) Hình 18: Giám sát kết nối thông qua công cụ Syslog Tool. Chú ý: Khi kết nối thành công, trong “My Network Places” Bạn sẽ không thấy máy tính của mạng phía đầu xa, ta phải nhập vào địa chỉ IP máy tính ta cần truy xuất. - 28 -
  29. Khoa Công Nghệ Thông Tin Vũ Thế Hiển CHƯƠNG 3 TẠO KẾT NỐI SSL VPN. 3.1 Khái niệm. 3.1.1 SSL (Secure Socket Layer) là gì. 3.1.2 SSL VPN là gì . 3.2 Các dạng SSL VPN. 3.2.1 SSL Web Proxy. 3.2.2 SSL Tunnel. 3.3 Các bước khởi tạo. 3.3.1 SSL Web Proxy. 3.3.2 SSL Tunnel. 3.1 Khái niệm. 3.1.1 SSL (Secure Socket Layer) là gì. Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp những yếu tố sau để thiết lập được một giao dịch an toàn: Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực của người sử dụng. Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để loại trừ việc nghe trộm những thông tin “ nhạy cảm” khi nó được truyền qua - 29 -
  30. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người nhận. Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện chính xác thông tin gốc gửi đến. Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thông tin, xác thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các browser và Web server, cho phép người sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser và dòng “http” trong hộp nhập địa chỉ URL sẽ đổi thành “https”. Một phiên giao dịch HTTPS sử dụng cổng 443 thay vì sử dụng cổng 80 như dùng cho HTTP. 3.1.2 SSL VPN là gì. SSL VPN là 1 ứng dụng dựa trên nền web và không cần cài đặt trước trên máy trạm. Người sử dụng không cần cài đặt bất kỳ phần mềm VPN client nào (như SmartVPN hoặc tạo kết nối VPN từ Window ). Vì vậy sẽ không bị hạn chế bởi môi trường mạng, dễ cấu hình và quản lý đơn giản thông qua giao diện web. Một điều quan trọng, công nghệ này tốn rất ít chi phí. Vì sao sử dụng SSL VPN. Giả sử, 1 nhân viên đang đi công tác xa và cần dữ liệu từ công ty để giải quyết công việc. Nếu sử dụng kết nối VPN truyền thống, anh ấy phải mang theo và sử dụng máy tính cá nhân đã cài đặt sẳn chương trình VPN client nào đó (chẳng hạn DrayTek SmartVPN hoặc tạo kết nối từ Window ). Đối với người không thuộc ngành IT, việc cấu hình VPN rất phức tạp, nếu có vấn đề xảy ra với kênh truyền VPN (bị khóa port bởi firewall, không quay ra ngoài được, ) thì sẽ rất khó có khả năng giải quyết. Tuy nhiên, với sự trợ giúp của công nghệ SSL VPN, nhân viên kinh doanh có thể sử dụng bất kỳ 1 máy vi tính nào (như trong 1 tiệm cafe Internet ) có khả năng truy cập Internet. Anh ta chỉ cần nhập tài khoản và password (do người quản trị cung cấp) để kết nối về mạng nội bộ ở văn phòng chính. - 30 -
  31. Khoa Công Nghệ Thông Tin Vũ Thế Hiển VPN truyền thống SSL VPN PPTP: TCP 1723, GRE (IP Protocol 47) TCP: 443, sử dụng giao thức HTTPS để L2TP: UDP 1701 thiết lập kênh kết nối an toàn. IPSec: UDP 500, ESP (IP Protocol 50), AH (IP Protocol 51) Vấn đề firewall: thường bị khóa các port Giảm thiểu được việc chặn port do các của giao thức GRE và ESP/AH firewall thông dụng ít khi khóa port 443. Vấn đề NAT: gặp rất nhiều rắc rối trong Không gặp vấn đề trong tính tương thích việc tương thích với IPSec NAT (RFC NAT. 3715). Cần phải có phần mềm VPN client: phải Không cần IP tĩnh và trong phần lớn cài đặt và cấu hình lại phần mềm client trường hợp không cần các phần mềm khi sử dụng trên 1 máy tính mới. client. 3.2 Các dạng SSL VPN. 3.2.1 SSL Web Proxy SSL Web Proxy cho phép các user ở xa truy cập vào các hệ thống thông qua giao thức HTTPS. Về phía server, người quản trị cần tạo các tài khoản và mật mã cho người dùng từ xa truy cập vào cũng như tạo các đường dẫn URL tương ứng với các server. Về phía người dùng từ xa: chỉ cần biết địa chỉ IP của server (hoặc thay thế bằng tên miền động miễn phí), tài khoản và mật mã cung cấp bởi người quản trị. - 31 -
  32. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 3.2.2 SSL Tunnel. Cho phép người dùng từ xa tạo 1 kênh kết nối SSL VPN trên đường truyền Internet (không bị chặn bởi các tường lửa hay chuyển tiếp bằng NAT), thích hợp cho các ứng dụng thông qua truy xuất mạng (như e-mail server hay FTP server). 3.3 Các bước khởi tạo. 3.3.1 SSL Web Proxy. Bước 1: mở 1 trình duyệt, nhập vào địa chỉ để đăng nhập vào giao diện cấu hình cùa router. Bước 2: Vào mục VPN and Remote Access >> Remote Dial-in user để thiết lập tài khoản/password cho người dùng truy cập từ xa. - 32 -
  33. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 19 : Bảng thiết lập truy cập từ xa. Bước 3: Nhấn vào Index 1. Trong trang này bạn nhập vào username và password sử dụng cho việc đăng nhập SSL VPN từ xa. Hình 20 : Bảng tạo Account truy cập từ xa. - 33 -
  34. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Bước 4: Click vào mục Set SSL Web Proxy. Hình 21 : Bảng Set SSL Web Proxy. Bước 5: Vào Index 1 để cấu hình các thông tin chi tiết cho Web Proxy Server. Hình 22 : Bảng cấu hình thông tin cho Web Proxy. Bước 6: Cấu hình nhiều profile cho nhiều người dùng khác nhau truy cập. Xem hình 23. - 34 -
  35. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 23 : Bảng cấu hình profile cho các user truy cập. Bước 7: Sau khi cấu hình thành công bạn trở về trang VPN and Remote Access >> Remote Dial-in user. Tên các profile sẽ hiển thị cùng với 1 check box bên cạnh. Bạn chọn các Web Proxy Server cần thiết cho user đang cấu hình truy cập. Hình 24 : Bảng chọn các Web Proxy Server. Bước 8: Sử dụng trình duyệt Internet Explorer mở giao diện SSL VPN (Ví Dụ : Nhập vào username/password được cung cấp bởi người quản trị. - 35 -
  36. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 25 : Bảng đăng nhập SSL Web Proxy. Bước 9: Nhấn vào SSL Web Proxy, danh sách các hệ thống mà bạn có thể truy cập sẽ xuất hiện. Click vào để truy cập. Hình 26 : Bảng danh sách truy cập. Như vậy chúng ta đã hoàn thành kết nồi SSL Web Proxy. - 36 -
  37. Khoa Công Nghệ Thông Tin Vũ Thế Hiển 3.3.2 SSL Tunnel. Bước 1: Mở 1 trình duyệt, nhập vào địa chỉ để đăng nhập vào giao diện cấu hình cùa router. Bước 2: Vào mục VPN and Remote Access >> Remote Dial-in user để thiết lập tài khoản/password cho người dùng truy cập từ xa. Hình 27 : Bảng thiết lập truy cập từ xa. Bước 3: Nhấn vào Index 1. Trong trang này bạn cần nhập vào username và password sử dụng cho việc đăng nhập SSL VPN từ xa. Hình 28 : Bảng tạo Account truy cập từ xa. - 37 -
  38. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Bước 4: Check vào mục SSL Tunnel. Chức năng SSL Tunnel cho user này sẽ được kích hoạt. Bước 5: Sử dụng trình duyệt Internet Explorer mở giao diện SSL VPN (chẳng hạn Nhập vào username/password được cung cấp bởi người quản trị. Hình 29 : Bảng đăng nhập SSL Tunnel. Bước 6: Click vào SSL Tunnel. Hình 30 : Bảng connect SSL Tunnel. - 38 -
  39. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Bước 7: Nhấn nút Connect. Nếu là lần đầu tiên kết nối, hệ thống sẽ yêu cầu bạn download ActiveX. Hình 31 : Bảng yêu cầu download ActiveX. Bước 8: Nhấn OK để đóng cửa sổ thông báo. Di chuyển chuột vào thanh Infomation và chọn Install ActiveX Control Hình 32 : Bảng Install ActiveX Control. Bước 9: Sau đó nhấn nút Connect 1 lần nữa. Trình duyệt sẽ hiển thị 1 hộp thoại để download phần mềm client. Nhấn nút Install. Hình 33 : Bảng Install phần mềm Client. - 39 -
  40. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Bước 10: Sau khi cài đặt xong phần mềm client, hệ thống sẽ yêu cầu bạn cài đặt DrayTek Virtual PPP Adapter. Nhấn vào nút Continue Anyway. Hình 34 : Bảng Install Draytek Virtual PPP Adapter. Bước 11: Sau khi hoàn thành cài đặt các phần mềm và driver cần thiết bạn sẽ thấy trang thông báo SSL Tunnel đã thiết lập thành công. Hình 35 : Bảng báo thiết lập thành công SSL Tunnel. Nếu cần thiết bạn có thể check chọn mục Change default route to remote gateway để chuyển hướng lưu thông mạng thông qua SSL VPN Server. Bước 12: Nếu bạn muốn kết thúc kết nối VPN Tunnel, nhấn vào logout để thoát khỏi giao diện SSL VPN. Như vậy là chúng ta đã hoàn thành cấu hình SSL Tunnel. - 40 -
  41. Khoa Công Nghệ Thông Tin Vũ Thế Hiển CHƯƠNG 4 TẠO KẾT NỐI VPN LOAD BALANCING. 4.1 Khái niệm và chức năng. 4.2 Các bước khởi tạo kết nối. 4.1 Khái niệm và chức năng. Đầu tiên chúng ta tìm hiểu khái niệm về Load Balancing.Load Balancing là 1 công nghệ mạng chuyên nghiệp, dùng để cân bằng tải trên 2 hay nhiều line ADSL, nhằm mục đích để tăng băng thông mạng và tăng tốc độ truy cập mạng đồng thời đảm bảo việc truy cập mạng được xuyên suốt không lo ngại việc disconnect. VPN Load Balancing là 1 tính năng chuyên nghiệp, giúp cho bạn tiết kiệm rất nhiều chi phí trong việc kéo 1 đường Lease line riêng cho cty với các chi nhánh, đồng thời với sự bảo mật cao, tốc độ truyền nhanh VPN sẽ mang đến cho bạn sự tin tưởng và yên tâm khi sử dụng. 4.2 Các bước khởi tạo kết nối. Để hiểu thêm về cơ chế hoạt động của VPN Load Balancing chúng ta có 1 ví dụ sau: Công ty có 2 chi nhánh, 1 ở Hà Nội, 1 ở TP.HCM, ở mỗi nơi đều có 2 đường truyền ADSL, chúng ta sẽ cấu hình cho 2 chi nhánh này kết nối VPN Load Balancing với nhau. TP. HCM LAN: 192.168.1.1/255.255.255.0 WAN1: 222.254.159.237 WAN2: 117.5.132.247 - 41 -
  42. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hà Nội LAN: 192.168.201.1/255.255.255.0 WAN1: 203.210.209.247 WAN2: 222.254.175.1 Bước 1: Khởi tạo kênh kết nối VPN trên WAN1 và WAN2 của Vigor3300 ở phía TP. HCM * Tạo kênh kết nối trên WAN1 TP.HCM : Bạn vào VPN -> VPN Trunk -> Policy Table Hình 36 : Bảng giao diện cấu hình Vigor3300. - 42 -
  43. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Chọn "profile 1" và nhấn Edit Hình 37 : Bảng chọn các Profile. Nhập các thông số sau: Basic: Profile status: Enable Name: là tên của profile (ví dụ "vpn_trunk1") Preshared Key: là các ký tự mã khóa (ví dụ "123") Chú ý: Preshared Key ở TP. HCM phải trùng với Preshared Key ở HN Local Gateway: WAN Interface: WAN1 Local GRE IP: 192.168.100.11(địa chỉ Virtual IP Private của đầu TPHCM, tùy gán) Remote Gateway: Security Gateway: 203.210.209.247 (IP WAN1 ở HN) Remote GRE IP: 192.168.100.12 (địa chỉ Virtual IP Private ở đầu HN, tùy gán). - 43 -
  44. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 38 : Bảng cấu hình Policy WAN1 TP.HCM. * Tạo kênh kết nối VPN trên WAN2 TP.HCM: Tương tự như WAN1, chọn "profile 2" và nhấn Edit Basic: Profile status: Enable Name: là tên của profile (ví dụ "vpn_trunk2") Preshared Key: là các ký tự mã khóa (ví dụ "456") Chú ý: Preshared Key trên WAN2 ở TP. HCM phải trùng với Preshared Key trên WAN2 ở HN Local Gateway: WAN Interface: WAN2 Local GRE IP: 192.168.101.11 (chính là địa chỉ Virtual IP Private của đầu TPHCM, bạn có thể chọn 1 địa chỉ khác mà bạn thích) Remote Gateway: Security Gateway: 222.254.175.1 (IP WAN2 ở HN) Remote GRE IP: 192.168.101.12 (là địa chỉ Virtual IP Private ở đầu HN). - 44 -
  45. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 39 : Bảng cấu hình Policy WAN2 TP.HCM. Bước 2: Khởi tạo kênh kết nối VPN trên WAN1 và WAN2 của Vigor3300 ở phía HN * Tạo kênh kết nối trên WAN1 HN : Basic: Profile status: Enable Name: là tên của profile ("vpn_trunk1") Preshared Key: 123 Local Gateway: WAN Interface: WAN1 Local GRE IP: 192.168.100.12 Remote Gateway: Security Gateway: 222.254.159.237 (IP WAN1 ở TP. HCM) Remote GRE IP: 192.168.100.11 - 45 -
  46. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 40 : Bảng cấu hình Policy WAN1 HN. * Tạo kênh kết nối VPN trên WAN2 HN : Basic: Profile status: Enable Name: "vpn_trunk2" Preshared Key: 456 Local Gateway: WAN Interface: WAN2 Local GRE IP: 192.168.101.12 Remote Gateway: Security Gateway: 222.254.175.1 (IP WAN2 ở TP. HCM) Remote GRE IP: 192.168.101.11 - 46 -
  47. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Hình 41 : Bảng cấu hình Policy WAN2 HN. Bước 3: nhóm các VPN Trunk vào trong một Group trên Vigor3300 ở TPHCM. Vào VPN-> IPSec-> VPN Trunk-> Group Table. Hình 42 : Bảng giao diện cấu hình Vigor3300. - 47 -
  48. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Profile status: Enable Name: Group1. Local Subnet: 192.168.1.1/24. Remote Subnet: 192.168.201.1/24. Tunnel1: vpn_trunk1 weight: 1 Tunnel2: vpn_trunk2 weight: 1 -> nhấn Apply Hình 43 : Bảng cấu hình Group TP.HCM. Bước 4: nhóm các VPN Trunk vào trong một Group trên Vigor3300 ở HN. Vào VPN-> IPSec-> VPN Trunk-> Group Table Profile status: Enable Name: Group1. Local Subnet: 192.168.201.1/24. Remote Subnet: 192.168.1.1/24. - 48 -
  49. Khoa Công Nghệ Thông Tin Vũ Thế Hiển Tunnel1: vpn_trunk1 weight: 1 Tunnel2: vpn_trunk2 weight: 1 -> nhấn Apply Hình 44 : Bảng cấu hình Group HN. Như vậy là chúng ta đã cấu hình xong VPN Load Balancing giữa 2 chi nhánh : Hà Nội và TP. HCM. Mô hình trên đảm bảo cho kênh VPN của bạn được kết nối liên tục không bị ngắt kết nối. Giả sử khi gói tin đang chạy trên đường VPN 1, mà đường VPN 1 bị ngắt thì gói tin đó sẽ được đẩy qua đường VPN 2, và khi đường VPN 1 được phục hồi thì các gói tin trong mạng sẽ đi trên cả 2 đường VPN. * Lưu ý : + Để thực hiện chức năng VPN Load Balancing, đòi hỏi ở 2 chi nhánh phải có 2 đường truyền Internet. + Hiện nay chỉ có 1 số sản phẩm của DrayTek mới hỗ trợ tính năng này. - 49 -
  50. Khoa Công Nghệ Thông Tin Vũ Thế Hiển DANH MỤC TÀI LIỆU THAM KHẢO [1] Báo cáo tốt nghiệp của anh chi đi trước. [2] Website tham khảo: - 50 -
  51. Khoa Công Nghệ Thông Tin Vũ Thế Hiển LỜI KẾT Trong quá trình làm khóa luận, em đã vận dụng những kiến thức cũng như những kinh nghiệm đã học, và tìm hiểu thêm được nhiều kiến thức mới. Em mong rằng bài luận này, sẽ đóng góp được một phần nhỏ cho công việc giảng dạy của các thầy công trong Khoa Công Nghệ Thông Tin . Do thời gian và kiến thức còn có hạn, kinh nghiệm thực tế chưa có nhiều nên khóa luận còn nhiều sai sót. Em rất mong được sự đóng góp của các thầy cô, để khóa luận được hoàn thiện hơn. Một lần nữa, xin cho em gởi lời cảm ơn chân thành, đến toàn thể quý thầy cô Khoa Công Nghệ Thông Tin Trường Cao Đẳng Nguyễn Tất Thành, ông Nguyễn Tuấn Nhật Anh, đã hỗ trợ giúp đỡ em hoàn thành khóa luận này. - 51 -