Nâng cao tính sẵn sàng cho hệ thống VPN Gateway của EVNCPC

Thứ ba, 22/11/2016 | 10:22 GMT+7
Trong những năm gần đây, hoạt động công nghệ thông tin ngày càng phát triển nhanh chóng và mạnh mẽ trong các Tổ chức, doanh nghiệp. Với xu hướng làm việc online-người dùng dù ở đâu và lúc nào cũng có thể truy cập vào tài nguyên, ứng dụng nội bộ của công ty đã đặt ra một yêu cầu xây dựng hệ thống kết nối mạng riêng ảo (Virtual Private Network - VPN). Với hệ thống này, người dùng có thể truy cập vào mạng nội bộ của công ty mọi lúc, mọi nơi.
 
Mô hình kỹ thuật của giải pháp.
 
Hệ thống VPN gateway dạng Appliance hay còn gọi là VPN gateway “cứng” của Tổng công ty Điện lực miền Trung được đầu tư từ năm 2008. Tuy nhiên với sự phát triển về số lượng người dùng như hiện nay, hê thống này về cơ bản chưa đáp ứng đủ nhu cầu sử dụng và chưa có dự phòng HA cho hệ thống VPN Gateway. 
 
Mục tiêu của giải pháp là xây dựng một VPN dựa vào phần mềm hay còn gọi là VPN gateway “mềm” tại Tổng công ty để thực hiện chia sẻ tải với VPN Gateway “cứng”, đồng thời, xây dựng cơ chế dự phòng cho hệ thống VPN gateway cho Tổng công ty, đảm bảo người dùng kết nối VPN có thể làm việc bình thường và truy cập được các tài nguyên nội bộ mọi lúc mọi nơi. Bên cạnh đó, người dùng trong toàn Tổng công ty nếu được phân quyền sẽ dùng chính user Domain hàng ngày để đăng nhập vào hệ thống VPN. Đây là một trong những chính sách của Tổng công ty - “nhiều chương trình, một user” để tạo sự tiện lợi cho người dùng trong việc quản lý tài khoản cũng như góp phần tăng tính bảo mật cho hệ thống mạng Tổng công ty (tránh dùng những tài khoản dùng chung sẽ khó kiểm soát). Cuối cùng, hệ thống giúp thiết lập Server dự phòng hỗ trợ các dịch vụ cần thiết cho các kết nối VPN: VPN gateway “cứng” và VPN gateway “mềm”. Sau khi triển khai giải pháp này sẽ đạt được các mục tiêu: 

Hỗ trợ nhiều hơn số kết nối đồng thời đến hệ thống VPN.
Chất lượng kết nối VPN được đảm bảo.
Đảm bảo cơ chế dự phòng cho hệ thống VPN của Tổng công ty.
 
Nội dung giải pháp:
 
Cài đặt VPN gateway “mềm” thực hiện chức năng tạo các kết nối VPN cho người dùng, người dùng có thể sử dụng các PC, laptop, smartphone, tablet để kết nối VPN.
 
Thiết lập Server dự phòng để thực hiện chứng thực tài khoản VPN của người dùng.
 
Thiết lập tính dự phòng của hệ thống VPN Gateway Tổng công ty (khả năng chứng thực, cấp DHCP, phân giải DNS).
 
Kiểm tra tính năng VPN hoạt động ổn định trên các hệ điều hành windows khác nhau, các smart phone và tablet…
 
Các thành phần cơ bản trong giải pháp:
 
Các thành phần cơ bản trong hệ thống mạng LAN của Tổng công ty có liên quan đến phương án:
 
- Server giữ chức năng cấp phát IP, chứng thực tài khoản người dùng VPN, phân giải tên miền. Gồm 2 server: Server chính và Server dự phòng
 
- VPN gateway “cứng”, “mềm” cung cấp kết nối VPN cho người dùng
 
- PC, Laptop, Smartphone, tablet của CBCNV ở ngoài mạng nội bộ Tổng công ty
 
Nguyên lý hoạt động:
 
- Đầu tiên, các PC và Laptop thực hiện kết nối VPN để có thể tham gia vào hệ thống mạng LAN của Tổng công ty
 
- VPN gateway “mềm” sẽ tiếp nhận yêu cầu VPN của người dùng và đóng vai trò là Radius Client, chuyển yêu cầu đó đến Radius Server để chứng thực:
 
        + Nếu user/password đúng đồng thời user nằm trong nhóm có quyền VPN thì kết nối VPN sẽ được thiết lập
 
        + Nếu user/password hoặc user không nằm trong nhóm có quyền VPN thì kết nối VPN sẽ không được thiết lập
 
- Trên VPN gateway “mềm” cài đặt các dịch vụ để tạo, quản lý kết nối VPN và thực hiện chức năng Radius Client
 
- Trên Server chính và dự phòng cài đặt dịch vụ DHCP để cấp địa chỉ IP cho user, DNS để phân giải tên miền và dịch vụ NPS thực hiện chức năng Radius Server. Khi server chính gặp sự cố, server dự phòng sẽ tiếp nhận và xử lý các yêu cầu kết nối VPN
 
- Sau khi thực hiện kết nối VPN, người dùng có thể truy cập các tài nguyên mạng LAN Tổng công ty bình thường.
 
Các bước triển khai:
 
- Cài đặt và cấu hình dịch vụ VPN gateway “mềm”
- Cấu hình dịch vụ DHCP, DNS, NPS trên server dự phòng
- Thiết lập tính dự phòng cho hệ thống VPN Gateway
- Thiết lập kết nối VPN và kiểm tra
- Phân quyền quản lý tài khoản VPN cho các đơn vị
 
Khả năng áp dụng giải pháp:
 
Yêu cầu cấu hình Server để cài đặt chức năng VPN gateway “mềm” khá thấp nên có thể cài đặt trên những Server cũ hoặc những Server đã public ra ngoài internet để tiết kiệm tài nguyên của hệ thống, nâng cao khả năng dự phòng cho hệ thống VPN của Tổng công ty. Với số lượng user có nhu cầu truy cập VPN ngày càng cao, VPN gateway mới có khả năng chia sẽ tải với hệ thống hiện có, giúp hệ thống VPN hoạt động ổn định hơn, chất lượng kết nối được đảm bảo hơn.
 
Mọi chi tiết về việc truy cập vào VPN Gateway mới, xin liên hệ SĐT hotline của CPCIT: 0975909779 để được hỗ trợ.