Giới thiệu về VPN
Khi tổ chức của bạn có nhiều chi nhánh và chúng quá cách xa nhau về địa lý hoặc tổ chức của bạn có nhiều nhân viên phải đi công tác ở xa thường xuyên và họ muốn truy cập vào tài nguyên mạng nội bộ thì câu hỏi đặt ra là làm thế nào để kết nối họ vào tài nguyên mạng của bạn mà vẫn đảm bảo tính an toàn cho dữ liệu, câu trả lơì là hãy kết nối VPN (mạng riêng ảo).
Về căn bản, mỗi VPN (virtual private network) là một mạng riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng tới các site của các nhân viên từ xa.
Các router của PLANET hỗ trợ VPN gồm VRT-401, VRT-311….Các router PLANET hõ trợ VPN thường theo chuẩn IP Sec với MD5-HMAC/SHA1-HMAC và xác thực quyền truy nhập, mã hoá theo DES-CBC và 3DES-CBC, Internet Key Exchange và Manual Key Negotiation.
Hướng dẫn cấu hình VPN trên VRT-311
(Xem thêm tham khảo bài viết về cài đặt tính năng VPN của modem)
Hiện trạng hệ thống và mong muốn
Hệ thống mạng gồm có văn phòng trụ sở và chi nhánh ở khoảng cách rất xa (Hà nội – Sài Gòn), hai địa điểm này đều kết nối internet theo đường truyền ADSL . Mong muốn kết nối 2 mạng Lan này với nhau để chia sẻ dữ liệu
Giải pháp
Kết nối VPN (mạng riêng ảo). Khi kết nối thành công thì 2 mạng Lan này coi như 1 mạng Lan để chia sẻ tài nguyên và ta có thể dùng chung hệ thống máy chủ của văn phòng trụ sở
Hướng dẫn cấu hình
|
Bước 1:
Truy cập cấu hình router này như các bài hướng dẫn cài đặt cơ bản cho Router. Chọn VPN tại menu bên trái, sau đó nhấp vào VPN Policies. Một cửa sổ mở ra như sau:
|
|
Vì chưa có VPN nào được thiết lập nên màn hình sẽ trống, khi đã có các VPN được cấu hình thì ta có thể EDIT, DELETE, ENABLE/DISABLE…
|
|
Bước 2:
Tiếp tục nhấp vào Add New Policy. Cửa sổ mới mở ra như sau:
|
|
|
Bước 3:
Tiếp tục nhấp vào Setup Screen:
Mục Name: Ta có thể điền tên bất kỳ chẳng hạn như VPN, và phải chú ý đánh dấu vào ô Enable Policy.
Mục Remote VPN endpoint , ta có thể chọn:
 Dynamic: Chọn mục này khi địa chỉ IP Wan của bạn là điạ chỉ động
Fixed IP: Đánh dấu chọn mục này khi điạ chỉ IP Wan của bạn là điạ chỉ cố định, như đường truyền Leased Line chẳng hạn…
Domain Name: Đánh dấu chọn mục này khi bạn có một tên miền chẳng hạn như : netcomhn.dyndns.org (domain này đăng ký miễn phí tại trang www.dyndns.org – xem thêm các bài viết về cấu hình Router). Thông thường khi dùng đường truyền ADSL chúng ta có thể đăng ký 1 tên miền sau đó ánh xạ địa chỉ IP WAN vào tên miền này.
Chú ý: Remote VPN endpoint có các thông số mà ta cần cấu hình là các thông số của mạng ở xa (ở phía bên kia).
|
|
Bước 4:
Mục Local IP Address có các lựa chọn sau:
Any: Tất cả các địa chỉ IP Lan tại Single address: gồm chỉ một địa chỉ IP Lan, chẳng hạn 192.168.16.100
Range address: gồm một dải địa chỉ IP Lan chẳng hạn 192.168.16.100 đến 192.168.16.200 là các máy muốn kết nối VPN
Subnet address: VPN cho một mạng con nào đó
Chẳng hạn 192.168.16.0 có nghĩa là dải điạ chỉ chạy từ 192.168.16.1 đến 192.168.16.254
Mục Remote IP address: Các thông số giống như mục Local IP address nhưng phải cấu hình các thông số của mạng ở phía bên kia (Remote).
|
|
Bước 5:
Cấu hình bảo mật:
Mục Authentication & Encrytion : Mục này ta phải chọn các phương thức mã hoá và bảo mật cho dữ liệu. Nói chung tại 2 đầu ta cần phải cấu hình giống hệt nhau
Mục IKE, có các tuỳ chọn:
Direction: Chọn Both Direction
Preshared key: đây như một password để nhận thực giữa 2 VPN, ta phải đặt giống nhau tại 2 phía.
Các tuỳ chọn khác để mặc định hoặc cấu hình theo hình hướng dẫn minh hoạ dưới đây.
Ghi lại các tham số = Save dưới đáy màn hình để chấp nhận ghi cấu hình.
|
|
Chú ý: Cấu hình VPN it nhất là giữa 2 điểm vì vậy khi cấu hình ta phải chú ý các thông số tại 2 phía. Thông thường thì tại 2 phía có nhiều thông số giống nhau như: nhận thực và mã hoá, các thông số khác nhau như: địa chỉ IP Lan, địa chỉ IP Wan (hoặc Domain Name)
Để kiểm tra xem VPN đã hoạt động chưa thì trong menu bên phải nhấp vào VPN -> VPN Status
|
|
|
Nếu ta thấy cả 2 phía có điạ chỉ IP Wan, và các thông số về Data Tranfer phải khác 0
|
|
|
|
Bảng tham khảo cấu hình VPN của công ty NETCOM : Công ty NETCOM kết nối VPN với chi nhánh Sài gòn. Tại 2 phía đểu dùng VRT 311. Giả sử VRT tại Hà nội gọi là VRT 311- HN, và tại Sài Gòn là VRT 311 – SG.
|
Thiết lập
|
VRT 311 - HN
|
VRT 311 - SG
|
Ghi chú
|
|
Name
|
VPN HN
|
VPN SG
|
Không ảnh hưởng cấu hình, ghi gì cũng được, chú ý đánh dấu vào Enable Policy
|
|
Local Ip address
chọn Subnet address
|
192.168.16.0
255.255.255.0
|
192.168.17.0
255.255.255.0
|
|
|
Remote End Point
chọn Domain Name
|
Netcomsg.dyndns.org
|
Netcomhn.dyndns.org
|
Đăng ký miễn phí tại www.dyndns.org
|
|
Remote IP address
|
192.168.17.0
|
192.168.16.0
|
|
|
Authentication & Encryption
- ESP Encrytion
- ESPAuthentication
|
3 DES
3 DES
|
MD 5
MD 5
|
Phải trùng nhau
Phải trùng nhau
|
|
IKE
- Direction
- Preshared Key
- Encryption
- Exchange Mode
- DH Group
|
Both Direcction
********
3DES
Main Mode
Group 1
|
Both Direcction
**********
3DES
Main Mode
Group 1
|
Phải trùng nhau
Phải trùng nhau
Phải trùng nhau
Phải trùng nhau
Phải trùng nhau
|
Tài liệu tham khảo
Các tài liệu User manual của các router, có thể download trực tiếp từ trang www.planet.com.tw – Download- Internet Router.
