Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG I
ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
MỤC LỤC
DANH MỤC HÌNH VẼ iii
THUẬT NGỮ VIẾT TẮT v
MỞ ĐẦU
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN .1
1.1 Định nghĩa .1
1.2 Lịch sử phát triển của VPN .2
1.3 Chức năng và ưu điểm của VPN .4
1.3.1 Chức năng .4
1.3.2 Ưu điểm .4
1.4 Phân loại mạng VPN .7
1.4.1 Mạng VPN truy cập từ xa .7
1.4.2 Mạng VPN cục bộ .9
1.4.3 Mạng VPN mở rộng 10
CHƯƠNG 2: CÁC GIAO THỨC ĐƯỜNG HẦM 12
2.1 Giao thức định hướng lớp 2-L2F 12
2.1.1 Cấu trúc gói của L2F 12
2.1.2 Ưu nhược điểm của L2F 13
2.1.3 Thực hiện L2F 13
2.1.4 Hoạt động của L2F 14
2.1.5 Quản lý L2F 15
2.2 Giao thức đường hầm điểm-điểm PPTP 15
2.2.1 Kiến trúc của PPTP 16
2.2.2 Sử dụng PPTP 25
2.2.3 Khả năng áp dụng thực tế của PPTP 27
2.3 Giao thức đường hầm lớp 2- L2TP 27
2.3.1 Kiến trúc của L2TP 28
2.3.2 Sử dụng L2TP 36
2.3.3 Khả năng áp dụng thực tế của L2TP 37
2.4 Giao thức bảo mật IP- IPSec 38
2.4.1 Khung giao thức IPSec 39
2.4.2 Hoạt động của IPSec 47
2.4.3 Ví dụ về hoạt động của IPSec 56
2.4.4 Các vấn đề còn tồn đọng trong IPSec 57
CHƯƠNG 3: XÂY DỰNG MẠNG VPN 58
3.1 Thành phần cơ bản của một VPN 58
3.1.1 Máy chủ VPN 58
3.1.2 Máy khách VPN 59
3.1.3 Bộ định tuyến VPN 60
3.1.4 Bộ tập trung VPN 61
3.1.5 Cổng kết nối VPN 61
3.2 Các vấn đề cần chú ý khi thiết kế VPN 61
3.2.1 Các vấn đề về mạng và ISP 62
3.2.2 Các vấn đề về bảo mật 62
3.3 Quá trình xây dựng 63
3.3.1 Kết nối với ISP 66
3.3.2 Tường lửa và bộ định tuyến 69
3.3.3 Phần mềm cho VPN 73
CHƯƠNG 4: BẢO MẬT TRONG VPN 77
4.1 Xác thực 77
4.1.1 Xác thực nguồn gốc dữ liệu 77
4.1.2 Xác thực tính toàn vẹn dữ liệu 82
4.2 Mã hoá 87
4.2.1 Thuật toán mã hoá khoá bí mật 88
4.2.2 Thuật toán mã hoá khoá công cộng 91
CHƯƠNG 5: QUẢN LÝ MẠNG VPN 95
5.1 Quản lý bảo mật 95
5.1.2 Các chính sách bảo mật thống nhất 95
5.1.2 Các phương thức mã hoá 96
5.1.3 Quản lý khoá cho các cổng nối 97
5.1.4 Quản lý khoá cho người dùng 99
5.1.5 Các dịch vụ xác thực 98
5.1.6 Quản lý CA nội bộ 100
5.1.7 Điều khiển quyền truy cập 100
5.2 Quản lý địa chỉ 101
5.2.1 Địa chỉ IPv4 101
5.2.2 Cấp phát địa chỉ 101
5.2.3 NAT và các địa chỉ riêng 104
5.3 Quản lý chất lượng 105
5.3.1 Hiệu suất mạng 105
5.3.2 Giám sát hiệu suất ISP và SLA 109
5.3.3 Hiệu năng của VPN 109
KẾT LUẬN 111
TÀI LIỆU THAM KHẢO
MỞ ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.
Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp này lại không đáp ứng được tính bảo mật cao.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế.
Với đề tài: ” Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật ” trong Đồ án Tốt nghiệp của mình, tôi hy vọng nó có thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.
Nội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bày các vấn đề cơ bản nhất của mạng VPN.
Chương 1: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ đó làm cơ sở để phân loại các mạng VPN, đưa ra các thuận lợi và khó khăn khi sử dụng các loại hình VPN đó.
Chương 2: Đây là chương trọng tâm giới thiệu về các giao thức, các đặc điểm và hoạt động của các giao thức đường hầm L2F, PPTP, L2TP, và IPSec được sử dụng trong VPN.
Chương 3: Trình bày các thành phần mạng cơ bản của VPN, các vấn đề cần chú ý khi xây dựng VPN. Phần này cũng trình bày ví dụ về thiết lập một phiên trao đổi thông tin trong VPN để từ đó tìm hiểu về các thiết bị, thành tố để xây dựng mạng VPN.
Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần quan trọng trong VPN. Bảo mật trong VPN bao gồm: quá trình mật mã và xác thực. Trong chương này sẽ giới thiệu các giải pháp, thuật toán mã hoá và xác thực trong VPN.
Chương 5: Trình bày một số vấn đề liên quan tới việc quản lý một mạng VPN. Đó là các vấn đề: quản lý bảo mật, quản lý địa chỉ và quản lý hiệu năng.
Do nhiều mặt còn hạn chế nên nội dung của đề tài không tránh khỏi những sai sót. Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.
Em xin chân thành cảm ơn Ths Nguyễn Thị Thu Hằng đã tận tình hướng dẫn em hoàn thành đề tài.
11 trang |
Chia sẻ: banmai | Lượt xem: 2509 | Lượt tải: 2
Bạn đang xem nội dung tài liệu Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
CHƯƠNG 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet. Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Khách hàng của mạng riêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật của dữ liệu truyền trên mạng. Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật mã.
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các công ty. Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet. Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet.
Định nghĩa
Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ.
Hình 1.1: Mô hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết nối khi lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với nhiều môi trường khác nhau và có khả năng chịu đựng những khuyết điểm của mạng Internet. Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở hạ tầng mạng giữa những điểm đầu cuối.
Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy cập bởi những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì giao thức Internet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật. Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN.
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những trạm hay những node để mang dữ liệu. Sử dụng tính riêng tư, công cộng, dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà công nghệ VPN chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ. VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng.
Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN). Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:
Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây chuyên dùng cho các khách hang lớn. Colisee có thể cung cấp phương thức gọi số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác.
Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phần mềm SDN.
Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái Bình Dương.
Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.
Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.
Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu (GVPNS).
Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One.
Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
Chức năng và ưu điểm của VPN
Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được.
Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưu điểm khác.
Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.
Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng đường thuê riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN.
Bảng 1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng đơn so với
Internet VPN. (2002)
Thành phố
Khoảng cách
(dặm)
Chi phí cho T1
Cho phí cho Internet VPN
Boston-New York
194
$4.570
$1.900
New York-Washington
235
$4.775
$1.900
Tổng
$9.345
$3.800
Bảng 2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với
Internet VPN.(2002)
Thành phố
Khoảng cách
(dặm)
Chi phí cho T1
Chi phí cho Internet VPN
San FranCisco- Denver
1.267
$13.535
$1.900
Denver-chicago
1.023
$12.315
$1.900
Chicago-New York
807
$11.235
$1.900
Denver-Salt Lake
537
$6.285
$1.900
Denver-Dallas
794
$7.570
$1.900
New York-Washington
235
$4.775
$1.900
New York- Boston
194
$4.570
$1.900
Tổng
$60.285
$13.300
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN. Mà mạng công cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động. Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.
Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng.
Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng giảm.
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và các máy chủ truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thực hiện bởi ISP. Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet cùng một lúc.
Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm là chuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm.
Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:
Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc
di động vào mạng nội bộ của công ty.
Nối liền các chi nhánh, văn phòng di động.
Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.
Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống như:
Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện.
Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa.
VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như:
Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói.
Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể.
Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site.
Hình 1.3: Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ).
Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:
Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.
Mạng VPN mở rộng
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… .
Hình 1.4: Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn.
Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như:
Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại.
Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.