Tài liệu 000000254197

TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài : Nghiên cứu và ứng dụng mạng riêng ảo Tác giả luận văn : Phạm Minh Phúc Khóa : 2009 Người hướng dẫn : PGS.TS. Phạm Minh Việt Nội dung tóm tắt : Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và kĩ thuật. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức. Và một giải pháp được đưa ra để giải quyết các vấn đề này là mạng riêng ảo VPN. VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai để tạo ra một kết nối bảo mật giữa hai hoặc nhiều mạng riêng trên hạ tầng mạng công cộng. Hiện nay có nhiều phương án triển khai VPN trên nền IP, trong đó IPSec là phương án hiệu quả và phổ biến nhất. Phương pháp này cho phép giảm được chi phí vận hành, duy trì quản lý đơn giản, và có khả năng mở rộng mạng trong các trường hợp khác nhau một cách linh hoạt, không hạn chế về mặt khoảng cách. Bởi tính hữu dụng của nó mà VPN nói chung và IPSec VPN nói riêng là một trong những đề tài được nghiên cứu nhiều nhất. Từ đó, đồ án được thực hiện với mục đích giới thiệu các kiến thức cơ bản về kỹ thuật mạng riêng ảo VPN và đi sâu nghiên cứu các giao thức bảo mật được sử dụng trong VPN là các giao thức định đường hầm lớp 2 và đặc biệt là IPSec. Đồng thời đồ án cũng tiến hành mô phỏng một kết nối VPN site-to-site trên hạ tầng mạng sử dụng các Router của Cisco. Đồ án gồm 4 chương: Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN Giới thiệu tổng quan về VPN, các thành phần của VPN, cơ chế an toàn và kỹ thuật đường hầm được sử dụng trong mạng riêng ảo. Chương 2: Các giao thức định đường hầm lớp 2 Tìm hiểu các giao thức định đường hầm lớp 2 là các giao thức PPTP, L2F, L2TP, nghiên cứu đặc điểm và cơ chế hoạt động của chúng. Chương 3: Giao thức bảo mật IPSec Nghiên cứu giao thức bảo mật lớp 3 cho VPN là IPSec, bao gồm các đặc tính bảo mật, thành phần của IPSec, và các chế độ hoạt động của IPSec. Chương 4: Triển khai IPSec VPN trên thiết bị Router Cisco Hướng dẫn cách thiết lập một mô hình VPN đơn giản nhưng hết sức phổ biến, sử dụng giao thức IPSec. Qua đó ta sẽ có được cái nhìn về cách thức hoạt động của IPSec trong thực tế. Từ kết quả mô phỏng và cơ sở lý thuyết đã nghiên cứu có thể thấy VPN là giải pháp truyền thông tương đối hiệu quả đối với các doanh nghiệp đang có nhu cầu mở rộng trên phạm vi toàn cầu. Với các giao thức bảo mật – giao thức định đường hầm lớp 2 và giao thức IPSec, VPN đảm bảo tính an toàn, bảo mật và toàn vẹn dữ liệu trong quá trình truyền thông. Về mặt kinh tế, VPN là phương pháp tối ưu, giảm thiểu chi phí về đường truyền cũng như các thiết bị đầu cuối cho doanh nghiệp. Chính vì thế, cùng với sự phát triển mạnh mẽ của Internet, VPN ngày càng được sử dụng rộng rãi và dần trở thành giải pháp hàng đầu khi các doanh nghiệp có nhu cầu mở rộng. LỜI NÓI ĐẦU Sự phát triển của ngành công nghệ thông tin đã có tác động tới các ngành khác của nền kinh tế xã hội. Có thể nói sự ra đời của mạng Internet là một bước phát triển mang tính chất bước ngoặt. Internet đã tác động mạnh mẽ tới các doanh nghiệp làm kinh tế. Các doanh nghiệp có thể tìm kiếm cơ hội giao thương với các đối tác nước ngoài, mở rộng các chi nhánh của mình trên phạm vi toàn cầu thông qua việc trao đổi thông tin qua mạng Internet. Tuy nhiên, cùng với sự phát triển mạnh mẽ của mạng Internet thì tội phạm trên mạng xuất hiện ngày càng nhiều. Các thông tin mang tính chất nhạy cảm của các doanh nghiệp, thậm chí những thông tin mang tính chất bí mật quốc gia cũng có thể bị lấy cắp. Vì vậy bảo mật thông tin truyền trên mạng Internet là một bài toán cấp thiết cần thiết phải giải quyết. Sự ra đời mạng riêng ảo VPN chính là câu trả lời phù hợp nhất cho bài toán này. Mạng riêng ảo giúp việc trao đổi thông tin giữa trụ sở chính với các chi nhánh hoặc giữa các chi nhánh với nhau của các doanh nghiệp, tổ chức trở nên cực kì an toàn. Cơ chế hoạt động của mạng riêng ảo là tạo một “đường hầm” trên nền mạng internet công cộng cho phép các máy tính ở các nơi xa nhau làm việc với nhau như chúng đang nằm trên cùng một mạng cục bộ. Các chuyên gia đã khẳng định rằng VPN một trong số các công nghệ mang tính chất xuyên phá. VPN ngày nay đã hoàn thiện và ngày càng phát triển, được ứng dụng khá rộng rãi. Trước xu thế đó em đã chọn đề tài nghiên cứu “ Nghiên cứu và ứng dụng mạng riêng ảo” nhằm chuẩn bị những kiến thức cần thiết, làm chủ công nghệ phục vụ cho công việc hiện nay. Do thời gian có hạn nên đồ án không thể tránh khỏi thiếu sót. Rất mong nhận được nhiều ý kiến đóng góp quí báu từ các thầy, các cô và các bạn để đồ án hoàn thiện hơn. Cuối cùng em xin chân thành cảm ơn thầy giáo PGS.TS. Phạm Minh Việt đã tận tình hướng dẫn em hoàn thành đồ án này. Nghiên cứu và ứng dụng mạng riêng ảo MỤC LỤC LỜI CAM ĐOAN .......................................................................................................5 DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU..........................................................6 DANH SÁCH CÁC TỪ VIẾT TẮT...........................................................................8 PHẦN MỞ ĐẦU.......................................................................................................10 CHƯƠNG 1. GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN ....................12 1.1. Tổng quan về VPN ..................................................................................... 12 1.1.1. Lịch sử phát triển ................................................................................. 12 1.1.2. Khái niệm VPN.................................................................................... 13 1.1.3. Ưu điểm của VPN................................................................................ 14 1.1.4. Khuyết điểm của VPN ......................................................................... 15 1.1.5. Các mô hình VPN cơ bản .................................................................... 15 1.2. Các thành phần cơ bản của VPN ................................................................ 19 1.3. Các cơ chế an toàn trong VPN ................................................................... 25 1.4. Cơ sở kỹ thuật đường hầm.......................................................................... 26 1.4.1. Các thành phần của kỹ thuật đường hầm............................................. 26 1.4.2. Phương thức hoạt động của kỹ thuật đường hầm ................................ 27 1.4.3. Định dạng bản tin đường hầm ............................................................. 29 1.4.4. Phân loại đường hầm ........................................................................... 30 1.4.5. Giao thức đường hầm .......................................................................... 31 CHƯƠNG 2. CÁC GIAO THỨC ĐỊNH ĐƯỜNG HẦM LỚP 2 ............................33 2.1. Giao thức PPP (Point-to-Point Protocol).................................................... 33 2.1.1. Quá trình hoạt động PPP...................................................................... 34 2.1.2. Định dạng bản tin PPP ......................................................................... 35 2.1.3. Bảo mật trong PPP............................................................................... 36 2.2. Giao thức PPTP (Point-to-Point Tunneling Protocol)................................ 38 2 Nghiên cứu và ứng dụng mạng riêng ảo 2.2.1. Vai trò của PPP trong giao dịch PPTP................................................. 38 2.2.2. Các thành phần của PPTP.................................................................... 39 2.2.3. Quá trình hoạt động PPTP ................................................................... 40 2.2.4. Bảo mật trong PPTP ............................................................................ 44 2.2.5. Ưu điểm và nhược điểm của PPTP...................................................... 46 2.3. Giao thức L2F (Layer 2 Forwarding Protocol) .......................................... 47 2.3.1. Quá trình hoạt động L2F...................................................................... 48 2.3.2. Đường hầm L2F................................................................................... 49 2.3.3. Bảo mật trong L2F............................................................................... 50 2.3.4. Ưu điểm và nhược điểm của L2F ........................................................ 52 2.4. Giao thức L2TP (Layer 2 Tunneling Protocol) .......................................... 52 2.4.1. Các thành phần của L2TP.................................................................... 53 2.4.2. Quá trình hoạt động của L2TP............................................................. 54 2.4.3. Phân loại đường hầm L2TP ................................................................. 59 2.4.4. Bảo mật trong L2TP ............................................................................ 63 2.4.5. Ưu điểm và nhược điểm của L2TP...................................................... 64 CHƯƠNG 3. GIAO THỨC BẢO MẬT IPSEC .......................................................66 3.1. Tổng quan IPSec......................................................................................... 66 3.2. Kết hợp bảo mật IPSec ............................................................................... 67 3.3. Các giải thuật mật mã trong IPSec ............................................................. 68 3.3.1. Giải thuật mã hóa................................................................................. 69 3.3.2. Giải thuật chứng thực gói tin ............................................................... 70 3.3.3. Giải thuật thiết lập khóa....................................................................... 70 3.4. Các giao thức bảo mật trong IPSec ............................................................ 70 3.4.1. Giao thức xác thực tiêu đề AH ............................................................ 71 3 Nghiên cứu và ứng dụng mạng riêng ảo 3.4.2. 3.5. Giao thức đóng gói dữ liệu bảo mật ESP ............................................ 72 Các chế độ IPSec ........................................................................................ 74 3.5.1. Chế độ truyền tải.................................................................................. 74 3.5.2. Chế độ đường hầm............................................................................... 75 3.6. Trao đổi khóa IKE ...................................................................................... 76 3.6.1. Các giai đoạn IKE................................................................................ 77 3.6.2. Các chế độ IKE .................................................................................... 81 CHƯƠNG 4. TRIỂN KHAI IPSEC VPN TRÊN THIẾT BỊ ROUTER CISCO......85 4.1. Môi trường mô phỏng................................................................................. 85 4.1.1. Công cụ mô phỏng............................................................................... 85 4.1.2. Mô hình mạng...................................................................................... 88 4.2. Cấu hình IPSec VPN site-to-site ................................................................ 89 4.2.1. Cấu hình định tuyến cơ bản cho các Router ........................................ 89 4.2.2. Cấu hình IPSec VPN cho các Router .................................................. 92 4.3. Kiểm tra kết nối VPN ................................................................................. 94 KẾT LUẬN.............................................................................................................101 TÀI LIỆU THAM KHẢO.......................................................................................102 4 Nghiên cứu và ứng dụng mạng riêng ảo LỜI CAM ĐOAN Tôi là Phạm Minh Phúc, tôi xin cam đoan luận văn thạc sỹ đề tài “Nghiên cứu và ứng dụng mạng riêng ảo” do chính tôi nghiên cứu và thực hiện. Các thông tin, số liệu được sử dụng trong luận văn là trung thực và chính xác Hà Nội, ngày 12 tháng 09 năm 2011 Phạm Minh Phúc 5 Nghiên cứu và ứng dụng mạng riêng ảo DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU Hình 1.1. Mô hình mạng VPN............................................................................................14 Hình 1.2. Mạng VPN truy cập từ xa ...................................................................................15 Hình 1.3. Mạng VPN cục bộ ..............................................................................................16 Hình 1.4. Mạng VPN mở rộng ...........................................................................................18 Hình 1.5. Các thành phần cơ bản của VPN ........................................................................19 Hình 1.6. Quá trình thiết lập đường hầm ............................................................................27 Hình 1.7. Quá trình trao đổi thông tin.................................................................................28 Hình 1.8. Định dạng một gói tin đường hầm......................................................................29 Hình 1.9. Đường hầm tùy ý ................................................................................................30 Hình 1.10. Đường hầm cưỡng bức .....................................................................................31 Hình 2.1. Vị trí các giao thức đường hầm ở lớp hai trong mô hình OSI. ...........................33 Hình 2.2. Quá trình hoạt động của PPP ..............................................................................34 Hình 2.3. Cấu trúc frame PPP.............................................................................................35 Hình 2.4. R1 gửi ID- mật khẩu cho R3...............................................................................36 Hình 2.5. R3 gửi trả lời cho R1 ..........................................................................................36 Hình 2.6. R3 gửi bản tin yêu cầu tới R1 .............................................................................37 Hình 2.7. R1 gửi trả lời ID và mật khẩu của nó tới R3.......................................................37 Hình 2.8. R3 so sánh thông tin nhận được với dữ liệu sẵn có ............................................37 Hình 2.9. Đường hầm PPTP ...............................................................................................39 Hình 2.10. Trao đổi các bản tin kiểm soát PPTP trên kết nối PPP .....................................41 Hình 2.11. Bản tin điều khiển PPTP...................................................................................42 Hình 2.12. Quy trình đóng gói dữ liệu tại bên phát ............................................................43 Hình 2.13. Quy trình tách dữ liệu tại bên nhận...................................................................44 Hình 2.14. Đường hầm L2F................................................................................................48 Hình 2.15. Quá trình thiết lập đường hầm L2F giữa máy chủ và máy khách từ xa. ..........49 Hình 2.16. Quá trình xử lý gói tin trên đường hầm L2F.....................................................49 Hình 2.17. Định dạng bản tin L2F ......................................................................................50 Hình 2.18. Các thành phần của L2TP.................................................................................53 6 Nghiên cứu và ứng dụng mạng riêng ảo Hình 2.19. Định dạng bản tin điều khiển L2TP..................................................................54 Hình 2.20. Quy trình đóng gói dữ liệu L2TP tại bên phát..................................................56 Hình 2.21. Quy trình tách dữ liệu tại bên thu. ....................................................................57 Hình 2.22. Quy trình thiết lập đường hầm L2TP................................................................58 Hình 2.23. Đường hầm cưỡng bức L2TP ...........................................................................60 Hình 2.24. Thiết lập đường hầm cưỡng bức L2TP.............................................................60 Hình 2.25. Đường hầm tùy ý L2TP ....................................................................................61 Hình 2.26. Thiết lập đường hầm chủ động L2TP ...............................................................62 Hình 2.27. Đường hầm cưỡng bức sử dụng IPSec .............................................................63 Hình 2.28. Đường hầm tùy ý sử dụng IPSec ......................................................................64 Hình 3.1. Vị trí của IPSec trong mô hình OSI....................................................................67 Hình 3.2. Định dạng một IPSec SA ....................................................................................68 Hình 3.3. Gói IP sau khi thêm AH Header ........................................................................71 Hình 3.4. Định dạng của IPSec AH ....................................................................................72 Hình 3.5. Gói IP sau khi thêm ESP header và trailer..........................................................73 Hình 3.6. Định dạng của ESP Header.................................................................................74 Hình 3.7. Hai chế độ làm việc của IPSec............................................................................74 Hình 3.8. Chèn mã xác thực AH hoặc ESP trong chế độ truyền tải ...................................75 Hình 3.9. Chèn mã xức thực AH hoặc ESP trong chế độ đường hầm................................76 Hình 3.10. Hai pha IKE ......................................................................................................77 Hình 3.11. Quá trình trao đổi các bản tin trong chế độ chính.............................................82 Hình 3.12. Quá trình trao đổi các bản tin trong chế độ linh hoạt .......................................83 Hình 3.13. Quá trình trao đổi bản tin trong chế độ nhanh ..................................................84 Hình 3.14. Quá trình trao đổi bản tin trong chế độ nhóm mới ...........................................84 Hình 4.1. Mô hình thử nghiệm IPSec VPN ........................................................................89 Hình 4.2. Địa chỉ IP của các cổng sau khi cấu hình ...........................................................91 Bảng 1.1. Bảng so sánh hai loại đường hầm....................................................................... 31 Bảng 2.1. Một số bản tin phổ biến trong việc kiểm soát kết nối PPTP .............................. 41 Bảng 2.2. Danh sách một số bản tin điều khiển và duy trì L2TP ....................................... 55 7 Nghiên cứu và ứng dụng mạng riêng ảo DANH SÁCH CÁC TỪ VIẾT TẮT Thuật ngữ viết tắt Tên đầy đủ Nghĩa tiếng Việt 3DES Triple DES Thuật toán mã hoá 3DES ACL Access Control List Danh sách điều khiển truy nhập Asymetric Digital Subcrible Đường dây thuê bao số không đối xứng AES Advanced Encrytion Standard Chuẩn mã hoá cao cấp AH Authentication Header Giao thức xác thực tiêu đề ATM Asynchronous Transfer Mode Công nghệ truyền tải không đồng bộ CHAP Challenge-Handshake Authentication Protocol Giao thức xác thực kiểu hỏi đáp DCE Data Communicaton Equipment Thiết bị truyền thông dũ liệu DES Data Encrytion Standard Chuẩn mã hoá dữ liệu DTE Data Terminal Equipment Thiết bị đầu cuối dữ liệu EAP Extensible Authentication Protocol Giao thức xác thực mở rộng ESP Encapsulating Security Payload Giao thức đóng gói tải an toàn GRE Generic Routing Protocol Giao thức đóng gói định tuyến chung ADSL HDLC High-Level Data Link Control IETF Internet Engineering Task Force Cơ quan chuẩn hoá Internet IKE Internet Key Exchange Giao thức trao đổi khoá Internet Internet Protocol Giao thức Internet Internet Protocol Security Giao thức an ninh Internet IP IPSec 8 Nghiên cứu và ứng dụng mạng riêng ảo ISDN Integrated Service Digital NetWork Mạng số tích hợp đa dịch vụ ISP Internet Service Provider Nhà cung cấp dịch vụ Internet L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2 LAN Local Area Network Mạng cục bộ LCP Link Control Protocol Giao thức điều khiển liên kết MD5 Message Digest 5 Tổng kết thông điệp MS-CHAP Microsoft Challenge Handshake Authentication NAS Network Access Server Máy chủ truy nhập NCP Network Control Protocol Giao thức điều khiển mạng PAP Password Authentication Protocol PPP Point-to-Point Protocol Giao thức điểm tới điểm Point to Point Tunneling Protocol Giao thức đường hầm điểm tới điểm Security Assocciation Kết hợp an ninh SHA-1 Secure Hash Algorithm -1 Thuật toán băm SHA-1 SPI Security Parameter Index Chỉ số thông số an ninh VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng PPTP PSTN SA 9 Nghiên cứu và ứng dụng mạng riêng ảo PHẦN MỞ ĐẦU VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai để tạo ra một kết nối bảo mật giữa hai hoặc nhiều mạng riêng trên hạ tầng mạng công cộng. Hiện nay có nhiều phương án triển khai VPN trên nền IP, trong đó IPSec là phương án hiệu quả và phổ biến nhất. Phương pháp này cho phép giảm được chi phí vận hành, duy trì quản lý đơn giản, và có khả năng mở rộng mạng trong các trường hợp khác nhau một cách linh hoạt, không hạn chế về mặt khoảng cách. Bởi tính hữu dụng của nó mà VPN nói chung và IPSec VPN nói riêng là một trong những đề tài được nghiên cứ nhiều nhất. Từ đó, đồ án được thực hiện với mục đích giới thiệu các kiến thức cơ bản về kỹ thuật mạng riêng ảo VPN như các mô hình VPN, các thành phần cơ bản, cơ chế an toàn trong VPN và đi sâu nghiên cứu các giao thức bảo mật được sử dụng trong VPN là các giao thức định đường hầm lớp 2 và đặc biệt là IPSec. Đồ án gồm 4 chương: Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN Giới thiệu tổng quan về VPN, các ứng dụng của VPN, các thành phần và kiến trúc của mạng riêng ảo. Chương 2: Các giao thức định đường hầm lớp 2 Tìm hiểu các giao thức định đường hầm lớp 2, nghiên cứu đặc điểm và cơ chế hoạt động của chúng. Chương 3: Giao thức bảo mật IPSec Nghiên cứu giao thức bảo mật lớp 3 cho VPN là IPSec, bao gồm các đặc tính bảo mật, thành phần của IPSec, và các chế độ hoạt động của IPSec. 10 Nghiên cứu và ứng dụng mạng riêng ảo Chương 4: Triển khai IPSec VPN trên thiết bị Router Cisco Hướng dẫn cách thiết lập một mô hình VPN đơn giản nhưng hết sức phổ biến, sử dụng giao thức IPSec. Qua đó ta sẽ có được cái nhìn về cách thức hoạt động của IPSec trong thực tế. 11 Nghiên cứu và ứng dụng mạng riêng ảo CHƯƠNG 1. GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Cho đến hiện nay, hầu hết các doanh nghiệp đã và đang thiết lập dịch vụ mạng riêng ảo VPN nhằm thỏa mãn nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý. VPN được xem là phương thức truyền thông hữu hiệu và được sử dụng khá phổ biến hiện nay. Chương này sẽ nghiên cứu các vấn đề cơ bản về VPN: các mô hình VPN, các thành phần cơ bản, các cơ chế an toàn và cơ sở kỹ thuật đường hầm sử dụng trong VPN. 1.1. Tổng quan về VPN 1.1.1. Lịch sử phát triển VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế hệ mạng cho đến ngày nay. Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối thập niên tám mươi. VPN được biết đến như là “mạng được định nghĩa bởi phần mềm” (Software Defined Network - SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại mỗi cố gắng truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng. Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN vào đầu thập kỷ chín mươi. Trong một thời gian, giao thức X25 qua mạng ISDN được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị lãng quên trong một thời gian ngắn. 12 Nghiên cứu và ứng dụng mạng riêng ảo Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công nghệ Frame Relay và công nghệ ATM ra đời và thế hệ thứ ba của VPN dựa trên 2 công nghệ này. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo. Trong thời gian gần đây, thương mại điện tử đã trở thành một phương thức thương mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người dùng mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN là IPVPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công nghệ đường hầm. 1.1.2. Khái niệm VPN VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm bảo mật giữa nơi nhận và nơi gửi giống như một kết nối điểm-tới-điểm trên mạng riêng. Theo định nghĩa chuẩn mà tổ chức IETF đưa ra thì VPN là “một sự mô phỏng mạng WAN riêng sử dụng các tài nguyên của mạng IP công cộng chia sẻ chung như mạng Internet hoặc mạng xương sống IP”. 13 Nghiên cứu và ứng dụng mạng riêng ảo Hình 1.1. Mô hình mạng VPN 1.1.3. - Ưu điểm của VPN Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP. - Giảm chi phí vận hành: VPN giúp giảm chi phí truyền thông ở khoảng cách xa, cũng như chi phí cho thiết bị đầu cuối được sử dụng trong mạng WAN. Ngoài ra VPN còn giúp các doanh nghiệp giảm chi phí trong việc đào tạo và quản lý nhân sự. - Nâng cao kết nối: Do VPN sử dụng mạng Internet cho kết nối nội bộ giữa chi nhánh, nên dù ở bất cứ chi nhánh nào người sử dụng cũng có thể kết nối dễ dàng với mạng nội bộ của doanh nghiệp - Bảo mật: Bởi vì VPN sử dụng kỹ thuật đường hầm để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, chứng thực và ủy quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin. - Hiệu suất băng thông: Trong kỹ thuật VPN thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông. 14 Nghiên cứu và ứng dụng mạng riêng ảo - Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên nó cho phép các mạng nội bộ của doanh nghiệp có thể được mở rộng khi mà hoạt động kinh doanh phát triển hơn, mà không yêu cầu nâng cấp, hoặc đầu tư lại nhiều cho cơ sở hạ tầng mạng 1.1.4. - Khuyết điểm của VPN Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs. - Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết ở một chừng mực bởi các cơ chế đường hầm. 1.1.5. a. Các mô hình VPN cơ bản Mạng VPN truy cập từ xa (Remote Access VPN) Mạng VPN truy cập từ xa cho phép người dùng truy cập bất cứ lúc nào và bất cứ ở đâu từ các thiết bị truyền thông đến tài nguyên mạng của doanh nghiệp. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng nội bộ của doanh nghiệp. Hình 1.2. Mạng VPN truy cập từ xa 15 Nghiên cứu và ứng dụng mạng riêng ảo Ưu điểm của mô hình VPN truy cập từ xa - Giảm chi phí cho các máy chủ, thiết bị đầu cuối không cần thiết. - Có khả năng mở rộng, dễ dàng thực hiện khi thêm người dùng mới. - Giảm chi phí truyền thông cho những kết nối ở khoảng cách xa. Tuy nhiên, mô hình này cũng còn có những nhược điểm - Không đảm bảo chất lượng dịch vụ, đặc biệt khi trao đổi các gói dữ liệu lớn như các gói dữ liệu âm thanh, hình cảnh. - Khả năng mất dữ liệu cao, overhead tăng đáng kể do thuật toán mã hóa phức tạp. b. Mạng VPN cục bộ (Intranet VPN) Mạng VPN cục bộ cung cấp một kênh ảo giữa các chi nhánh, văn phòng của một công ty dựa trên việc sử dụng mạng công cộng Internet. Hạ tầng mạng WAN sẽ sử dụng các phương pháp bảo mật như IPSec hoặc GRE để tạo một đường hầm giữa 2 chi nhánh. Mô hình này còn được biết đến như một mô hình VPN điểm-nối-điểm Hình 1.3. Mạng VPN cục bộ Những ưu điểm của mạng VPN cục bộ: - Giảm thiểu chi phí cho các thiết bị đầu cuối sử dụng trong mạng WAN. 16 Nghiên cứu và ứng dụng mạng riêng ảo - Mạng Internet sử dụng như một kết nối trung gian nên dễ dàng trong việc mở rộng các site hay chi nhánh mới của doanh nghiệp. - Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp doanh nghiệp giảm thiểu chi phí cho việc thực hiện kết nối các mạng nội bộ. Nhược điểm: - Khả năng mất gói khi truyền dữ liệu cao - Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. - Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet nên vẫn còn nhiều mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ. c. Mạng VPN mở rộng (Extranet VPN) Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng cho những đối tượng kinh doanh như các đối tác, khách hàng và các nhà cung cấp… Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và cũng được cấu hình như một VPN điểm-nối-điểm. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN. 17 Nghiên cứu và ứng dụng mạng riêng ảo Hình 1.4. Mạng VPN mở rộng Những ưu điểm chính của mạng VPN mở rộng: - Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống. - Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động. - Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi doanh nghiệp. - Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm chi phí vận hành của toàn mạng. Tuy nhiên, mạng VPN mở rộng cũng còn những nhược điểm: - Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại. - Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet. - Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty. 18