TÓM TẮT LUẬN VĂN THẠC SĨ
Đề tài : Nghiên cứu và ứng dụng mạng riêng ảo
Tác giả luận văn : Phạm Minh Phúc
Khóa : 2009
Người hướng dẫn : PGS.TS. Phạm Minh Việt
Nội dung tóm tắt :
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn
thế giới cả về số lượng và kĩ thuật. Cùng với sự phát triển đó thì các vấn đề về bảo
mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng
hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin
liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy
rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng
lợi nhuận của tổ chức. Và một giải pháp được đưa ra để giải quyết các vấn đề này
là mạng riêng ảo VPN.
VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng
dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng
hay kết hợp cả hai để tạo ra một kết nối bảo mật giữa hai hoặc nhiều mạng riêng
trên hạ tầng mạng công cộng. Hiện nay có nhiều phương án triển khai VPN trên
nền IP, trong đó IPSec là phương án hiệu quả và phổ biến nhất. Phương pháp này
cho phép giảm được chi phí vận hành, duy trì quản lý đơn giản, và có khả năng mở
rộng mạng trong các trường hợp khác nhau một cách linh hoạt, không hạn chế về
mặt khoảng cách. Bởi tính hữu dụng của nó mà VPN nói chung và IPSec VPN nói
riêng là một trong những đề tài được nghiên cứu nhiều nhất.
Từ đó, đồ án được thực hiện với mục đích giới thiệu các kiến thức cơ bản về kỹ
thuật mạng riêng ảo VPN và đi sâu nghiên cứu các giao thức bảo mật được sử
dụng trong VPN là các giao thức định đường hầm lớp 2 và đặc biệt là IPSec. Đồng
thời đồ án cũng tiến hành mô phỏng một kết nối VPN site-to-site trên hạ tầng
mạng sử dụng các Router của Cisco.
Đồ án gồm 4 chương:
Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN
Giới thiệu tổng quan về VPN, các thành phần của VPN, cơ chế an toàn và kỹ
thuật đường hầm được sử dụng trong mạng riêng ảo.
Chương 2: Các giao thức định đường hầm lớp 2
Tìm hiểu các giao thức định đường hầm lớp 2 là các giao thức PPTP, L2F, L2TP,
nghiên cứu đặc điểm và cơ chế hoạt động của chúng.
Chương 3: Giao thức bảo mật IPSec
Nghiên cứu giao thức bảo mật lớp 3 cho VPN là IPSec, bao gồm các đặc tính bảo
mật, thành phần của IPSec, và các chế độ hoạt động của IPSec.
Chương 4: Triển khai IPSec VPN trên thiết bị Router Cisco
Hướng dẫn cách thiết lập một mô hình VPN đơn giản nhưng hết sức phổ biến, sử
dụng giao thức IPSec. Qua đó ta sẽ có được cái nhìn về cách thức hoạt động của
IPSec trong thực tế.
Từ kết quả mô phỏng và cơ sở lý thuyết đã nghiên cứu có thể thấy VPN là giải
pháp truyền thông tương đối hiệu quả đối với các doanh nghiệp đang có nhu cầu
mở rộng trên phạm vi toàn cầu. Với các giao thức bảo mật – giao thức định đường
hầm lớp 2 và giao thức IPSec, VPN đảm bảo tính an toàn, bảo mật và toàn vẹn dữ
liệu trong quá trình truyền thông. Về mặt kinh tế, VPN là phương pháp tối ưu,
giảm thiểu chi phí về đường truyền cũng như các thiết bị đầu cuối cho doanh
nghiệp. Chính vì thế, cùng với sự phát triển mạnh mẽ của Internet, VPN ngày càng
được sử dụng rộng rãi và dần trở thành giải pháp hàng đầu khi các doanh nghiệp
có nhu cầu mở rộng.
LỜI NÓI ĐẦU
Sự phát triển của ngành công nghệ thông tin đã có tác động tới các ngành khác
của nền kinh tế xã hội. Có thể nói sự ra đời của mạng Internet là một bước phát
triển mang tính chất bước ngoặt. Internet đã tác động mạnh mẽ tới các doanh nghiệp
làm kinh tế. Các doanh nghiệp có thể tìm kiếm cơ hội giao thương với các đối tác
nước ngoài, mở rộng các chi nhánh của mình trên phạm vi toàn cầu thông qua việc
trao đổi thông tin qua mạng Internet.
Tuy nhiên, cùng với sự phát triển mạnh mẽ của mạng Internet thì tội phạm trên
mạng xuất hiện ngày càng nhiều. Các thông tin mang tính chất nhạy cảm của các
doanh nghiệp, thậm chí những thông tin mang tính chất bí mật quốc gia cũng có thể
bị lấy cắp. Vì vậy bảo mật thông tin truyền trên mạng Internet là một bài toán cấp
thiết cần thiết phải giải quyết.
Sự ra đời mạng riêng ảo VPN chính là câu trả lời phù hợp nhất cho bài toán này.
Mạng riêng ảo giúp việc trao đổi thông tin giữa trụ sở chính với các chi nhánh hoặc
giữa các chi nhánh với nhau của các doanh nghiệp, tổ chức trở nên cực kì an toàn.
Cơ chế hoạt động của mạng riêng ảo là tạo một “đường hầm” trên nền mạng
internet công cộng cho phép các máy tính ở các nơi xa nhau làm việc với nhau như
chúng đang nằm trên cùng một mạng cục bộ.
Các chuyên gia đã khẳng định rằng VPN một trong số các công nghệ mang tính
chất xuyên phá. VPN ngày nay đã hoàn thiện và ngày càng phát triển, được ứng
dụng khá rộng rãi. Trước xu thế đó em đã chọn đề tài nghiên cứu “ Nghiên cứu và
ứng dụng mạng riêng ảo” nhằm chuẩn bị những kiến thức cần thiết, làm chủ công
nghệ phục vụ cho công việc hiện nay.
Do thời gian có hạn nên đồ án không thể tránh khỏi thiếu sót. Rất mong nhận
được nhiều ý kiến đóng góp quí báu từ các thầy, các cô và các bạn để đồ án hoàn
thiện hơn. Cuối cùng em xin chân thành cảm ơn thầy giáo PGS.TS. Phạm Minh
Việt đã tận tình hướng dẫn em hoàn thành đồ án này.
Nghiên cứu và ứng dụng mạng riêng ảo
MỤC LỤC
LỜI CAM ĐOAN .......................................................................................................5
DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU..........................................................6
DANH SÁCH CÁC TỪ VIẾT TẮT...........................................................................8
PHẦN MỞ ĐẦU.......................................................................................................10
CHƯƠNG 1. GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN ....................12
1.1.
Tổng quan về VPN ..................................................................................... 12
1.1.1.
Lịch sử phát triển ................................................................................. 12
1.1.2.
Khái niệm VPN.................................................................................... 13
1.1.3.
Ưu điểm của VPN................................................................................ 14
1.1.4.
Khuyết điểm của VPN ......................................................................... 15
1.1.5.
Các mô hình VPN cơ bản .................................................................... 15
1.2.
Các thành phần cơ bản của VPN ................................................................ 19
1.3.
Các cơ chế an toàn trong VPN ................................................................... 25
1.4.
Cơ sở kỹ thuật đường hầm.......................................................................... 26
1.4.1.
Các thành phần của kỹ thuật đường hầm............................................. 26
1.4.2.
Phương thức hoạt động của kỹ thuật đường hầm ................................ 27
1.4.3.
Định dạng bản tin đường hầm ............................................................. 29
1.4.4.
Phân loại đường hầm ........................................................................... 30
1.4.5.
Giao thức đường hầm .......................................................................... 31
CHƯƠNG 2. CÁC GIAO THỨC ĐỊNH ĐƯỜNG HẦM LỚP 2 ............................33
2.1.
Giao thức PPP (Point-to-Point Protocol).................................................... 33
2.1.1.
Quá trình hoạt động PPP...................................................................... 34
2.1.2.
Định dạng bản tin PPP ......................................................................... 35
2.1.3.
Bảo mật trong PPP............................................................................... 36
2.2.
Giao thức PPTP (Point-to-Point Tunneling Protocol)................................ 38
2
Nghiên cứu và ứng dụng mạng riêng ảo
2.2.1.
Vai trò của PPP trong giao dịch PPTP................................................. 38
2.2.2.
Các thành phần của PPTP.................................................................... 39
2.2.3.
Quá trình hoạt động PPTP ................................................................... 40
2.2.4.
Bảo mật trong PPTP ............................................................................ 44
2.2.5.
Ưu điểm và nhược điểm của PPTP...................................................... 46
2.3.
Giao thức L2F (Layer 2 Forwarding Protocol) .......................................... 47
2.3.1.
Quá trình hoạt động L2F...................................................................... 48
2.3.2.
Đường hầm L2F................................................................................... 49
2.3.3.
Bảo mật trong L2F............................................................................... 50
2.3.4.
Ưu điểm và nhược điểm của L2F ........................................................ 52
2.4.
Giao thức L2TP (Layer 2 Tunneling Protocol) .......................................... 52
2.4.1.
Các thành phần của L2TP.................................................................... 53
2.4.2.
Quá trình hoạt động của L2TP............................................................. 54
2.4.3.
Phân loại đường hầm L2TP ................................................................. 59
2.4.4.
Bảo mật trong L2TP ............................................................................ 63
2.4.5.
Ưu điểm và nhược điểm của L2TP...................................................... 64
CHƯƠNG 3. GIAO THỨC BẢO MẬT IPSEC .......................................................66
3.1.
Tổng quan IPSec......................................................................................... 66
3.2.
Kết hợp bảo mật IPSec ............................................................................... 67
3.3.
Các giải thuật mật mã trong IPSec ............................................................. 68
3.3.1.
Giải thuật mã hóa................................................................................. 69
3.3.2.
Giải thuật chứng thực gói tin ............................................................... 70
3.3.3.
Giải thuật thiết lập khóa....................................................................... 70
3.4.
Các giao thức bảo mật trong IPSec ............................................................ 70
3.4.1.
Giao thức xác thực tiêu đề AH ............................................................ 71
3
Nghiên cứu và ứng dụng mạng riêng ảo
3.4.2.
3.5.
Giao thức đóng gói dữ liệu bảo mật ESP ............................................ 72
Các chế độ IPSec ........................................................................................ 74
3.5.1.
Chế độ truyền tải.................................................................................. 74
3.5.2.
Chế độ đường hầm............................................................................... 75
3.6.
Trao đổi khóa IKE ...................................................................................... 76
3.6.1.
Các giai đoạn IKE................................................................................ 77
3.6.2.
Các chế độ IKE .................................................................................... 81
CHƯƠNG 4. TRIỂN KHAI IPSEC VPN TRÊN THIẾT BỊ ROUTER CISCO......85
4.1.
Môi trường mô phỏng................................................................................. 85
4.1.1.
Công cụ mô phỏng............................................................................... 85
4.1.2.
Mô hình mạng...................................................................................... 88
4.2.
Cấu hình IPSec VPN site-to-site ................................................................ 89
4.2.1.
Cấu hình định tuyến cơ bản cho các Router ........................................ 89
4.2.2.
Cấu hình IPSec VPN cho các Router .................................................. 92
4.3.
Kiểm tra kết nối VPN ................................................................................. 94
KẾT LUẬN.............................................................................................................101
TÀI LIỆU THAM KHẢO.......................................................................................102
4
Nghiên cứu và ứng dụng mạng riêng ảo
LỜI CAM ĐOAN
Tôi là Phạm Minh Phúc, tôi xin cam đoan luận văn thạc sỹ đề tài “Nghiên cứu và
ứng dụng mạng riêng ảo” do chính tôi nghiên cứu và thực hiện. Các thông tin, số
liệu được sử dụng trong luận văn là trung thực và chính xác
Hà Nội, ngày 12 tháng 09 năm 2011
Phạm Minh Phúc
5
Nghiên cứu và ứng dụng mạng riêng ảo
DANH SÁCH CÁC HÌNH VẼ - BẢNG BIỂU
Hình 1.1. Mô hình mạng VPN............................................................................................14
Hình 1.2. Mạng VPN truy cập từ xa ...................................................................................15
Hình 1.3. Mạng VPN cục bộ ..............................................................................................16
Hình 1.4. Mạng VPN mở rộng ...........................................................................................18
Hình 1.5. Các thành phần cơ bản của VPN ........................................................................19
Hình 1.6. Quá trình thiết lập đường hầm ............................................................................27
Hình 1.7. Quá trình trao đổi thông tin.................................................................................28
Hình 1.8. Định dạng một gói tin đường hầm......................................................................29
Hình 1.9. Đường hầm tùy ý ................................................................................................30
Hình 1.10. Đường hầm cưỡng bức .....................................................................................31
Hình 2.1. Vị trí các giao thức đường hầm ở lớp hai trong mô hình OSI. ...........................33
Hình 2.2. Quá trình hoạt động của PPP ..............................................................................34
Hình 2.3. Cấu trúc frame PPP.............................................................................................35
Hình 2.4. R1 gửi ID- mật khẩu cho R3...............................................................................36
Hình 2.5. R3 gửi trả lời cho R1 ..........................................................................................36
Hình 2.6. R3 gửi bản tin yêu cầu tới R1 .............................................................................37
Hình 2.7. R1 gửi trả lời ID và mật khẩu của nó tới R3.......................................................37
Hình 2.8. R3 so sánh thông tin nhận được với dữ liệu sẵn có ............................................37
Hình 2.9. Đường hầm PPTP ...............................................................................................39
Hình 2.10. Trao đổi các bản tin kiểm soát PPTP trên kết nối PPP .....................................41
Hình 2.11. Bản tin điều khiển PPTP...................................................................................42
Hình 2.12. Quy trình đóng gói dữ liệu tại bên phát ............................................................43
Hình 2.13. Quy trình tách dữ liệu tại bên nhận...................................................................44
Hình 2.14. Đường hầm L2F................................................................................................48
Hình 2.15. Quá trình thiết lập đường hầm L2F giữa máy chủ và máy khách từ xa. ..........49
Hình 2.16. Quá trình xử lý gói tin trên đường hầm L2F.....................................................49
Hình 2.17. Định dạng bản tin L2F ......................................................................................50
Hình 2.18. Các thành phần của L2TP.................................................................................53
6
Nghiên cứu và ứng dụng mạng riêng ảo
Hình 2.19. Định dạng bản tin điều khiển L2TP..................................................................54
Hình 2.20. Quy trình đóng gói dữ liệu L2TP tại bên phát..................................................56
Hình 2.21. Quy trình tách dữ liệu tại bên thu. ....................................................................57
Hình 2.22. Quy trình thiết lập đường hầm L2TP................................................................58
Hình 2.23. Đường hầm cưỡng bức L2TP ...........................................................................60
Hình 2.24. Thiết lập đường hầm cưỡng bức L2TP.............................................................60
Hình 2.25. Đường hầm tùy ý L2TP ....................................................................................61
Hình 2.26. Thiết lập đường hầm chủ động L2TP ...............................................................62
Hình 2.27. Đường hầm cưỡng bức sử dụng IPSec .............................................................63
Hình 2.28. Đường hầm tùy ý sử dụng IPSec ......................................................................64
Hình 3.1. Vị trí của IPSec trong mô hình OSI....................................................................67
Hình 3.2. Định dạng một IPSec SA ....................................................................................68
Hình 3.3. Gói IP sau khi thêm AH Header ........................................................................71
Hình 3.4. Định dạng của IPSec AH ....................................................................................72
Hình 3.5. Gói IP sau khi thêm ESP header và trailer..........................................................73
Hình 3.6. Định dạng của ESP Header.................................................................................74
Hình 3.7. Hai chế độ làm việc của IPSec............................................................................74
Hình 3.8. Chèn mã xác thực AH hoặc ESP trong chế độ truyền tải ...................................75
Hình 3.9. Chèn mã xức thực AH hoặc ESP trong chế độ đường hầm................................76
Hình 3.10. Hai pha IKE ......................................................................................................77
Hình 3.11. Quá trình trao đổi các bản tin trong chế độ chính.............................................82
Hình 3.12. Quá trình trao đổi các bản tin trong chế độ linh hoạt .......................................83
Hình 3.13. Quá trình trao đổi bản tin trong chế độ nhanh ..................................................84
Hình 3.14. Quá trình trao đổi bản tin trong chế độ nhóm mới ...........................................84
Hình 4.1. Mô hình thử nghiệm IPSec VPN ........................................................................89
Hình 4.2. Địa chỉ IP của các cổng sau khi cấu hình ...........................................................91
Bảng 1.1. Bảng so sánh hai loại đường hầm....................................................................... 31
Bảng 2.1. Một số bản tin phổ biến trong việc kiểm soát kết nối PPTP .............................. 41
Bảng 2.2. Danh sách một số bản tin điều khiển và duy trì L2TP ....................................... 55
7
Nghiên cứu và ứng dụng mạng riêng ảo
DANH SÁCH CÁC TỪ VIẾT TẮT
Thuật ngữ
viết tắt
Tên đầy đủ
Nghĩa tiếng Việt
3DES
Triple DES
Thuật toán mã hoá 3DES
ACL
Access Control List
Danh sách điều khiển truy nhập
Asymetric Digital Subcrible
Đường dây thuê bao số không đối
xứng
AES
Advanced Encrytion Standard
Chuẩn mã hoá cao cấp
AH
Authentication Header
Giao thức xác thực tiêu đề
ATM
Asynchronous Transfer Mode
Công nghệ truyền tải không đồng
bộ
CHAP
Challenge-Handshake
Authentication Protocol
Giao thức xác thực kiểu hỏi đáp
DCE
Data Communicaton Equipment
Thiết bị truyền thông dũ liệu
DES
Data Encrytion Standard
Chuẩn mã hoá dữ liệu
DTE
Data Terminal Equipment
Thiết bị đầu cuối dữ liệu
EAP
Extensible Authentication
Protocol
Giao thức xác thực mở rộng
ESP
Encapsulating Security Payload
Giao thức đóng gói tải an toàn
GRE
Generic Routing Protocol
Giao thức đóng gói định tuyến
chung
ADSL
HDLC
High-Level Data Link Control
IETF
Internet Engineering Task Force
Cơ quan chuẩn hoá Internet
IKE
Internet Key Exchange
Giao thức trao đổi khoá Internet
Internet Protocol
Giao thức Internet
Internet Protocol Security
Giao thức an ninh Internet
IP
IPSec
8
Nghiên cứu và ứng dụng mạng riêng ảo
ISDN
Integrated Service Digital
NetWork
Mạng số tích hợp đa dịch vụ
ISP
Internet Service Provider
Nhà cung cấp dịch vụ Internet
L2F
Layer 2 Forwarding
Giao thức chuyển tiếp lớp 2
L2TP
Layer 2 Tunneling Protocol
Giao thức đường hầm lớp 2
LAN
Local Area Network
Mạng cục bộ
LCP
Link Control Protocol
Giao thức điều khiển liên kết
MD5
Message Digest 5
Tổng kết thông điệp
MS-CHAP
Microsoft Challenge Handshake
Authentication
NAS
Network Access Server
Máy chủ truy nhập
NCP
Network Control Protocol
Giao thức điều khiển mạng
PAP
Password Authentication Protocol
PPP
Point-to-Point Protocol
Giao thức điểm tới điểm
Point to Point Tunneling Protocol
Giao thức đường hầm điểm tới
điểm
Security Assocciation
Kết hợp an ninh
SHA-1
Secure Hash Algorithm -1
Thuật toán băm SHA-1
SPI
Security Parameter Index
Chỉ số thông số an ninh
VPN
Virtual Private Network
Mạng riêng ảo
WAN
Wide Area Network
Mạng diện rộng
PPTP
PSTN
SA
9
Nghiên cứu và ứng dụng mạng riêng ảo
PHẦN MỞ ĐẦU
VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng
dùng chung. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng
hay kết hợp cả hai để tạo ra một kết nối bảo mật giữa hai hoặc nhiều mạng riêng
trên hạ tầng mạng công cộng. Hiện nay có nhiều phương án triển khai VPN trên nền
IP, trong đó IPSec là phương án hiệu quả và phổ biến nhất. Phương pháp này cho
phép giảm được chi phí vận hành, duy trì quản lý đơn giản, và có khả năng mở rộng
mạng trong các trường hợp khác nhau một cách linh hoạt, không hạn chế về mặt
khoảng cách. Bởi tính hữu dụng của nó mà VPN nói chung và IPSec VPN nói riêng
là một trong những đề tài được nghiên cứ nhiều nhất.
Từ đó, đồ án được thực hiện với mục đích giới thiệu các kiến thức cơ bản về kỹ
thuật mạng riêng ảo VPN như các mô hình VPN, các thành phần cơ bản, cơ chế an
toàn trong VPN và đi sâu nghiên cứu các giao thức bảo mật được sử dụng trong
VPN là các giao thức định đường hầm lớp 2 và đặc biệt là IPSec.
Đồ án gồm 4 chương:
Chương 1: Giới thiệu công nghệ mạng riêng ảo VPN
Giới thiệu tổng quan về VPN, các ứng dụng của VPN, các thành phần và kiến trúc
của mạng riêng ảo.
Chương 2: Các giao thức định đường hầm lớp 2
Tìm hiểu các giao thức định đường hầm lớp 2, nghiên cứu đặc điểm và cơ chế
hoạt động của chúng.
Chương 3: Giao thức bảo mật IPSec
Nghiên cứu giao thức bảo mật lớp 3 cho VPN là IPSec, bao gồm các đặc tính bảo
mật, thành phần của IPSec, và các chế độ hoạt động của IPSec.
10
Nghiên cứu và ứng dụng mạng riêng ảo
Chương 4: Triển khai IPSec VPN trên thiết bị Router Cisco
Hướng dẫn cách thiết lập một mô hình VPN đơn giản nhưng hết sức phổ biến, sử
dụng giao thức IPSec. Qua đó ta sẽ có được cái nhìn về cách thức hoạt động của
IPSec trong thực tế.
11
Nghiên cứu và ứng dụng mạng riêng ảo
CHƯƠNG 1. GIỚI THIỆU CÔNG NGHỆ MẠNG RIÊNG ẢO VPN
Cùng với sự phổ cập ngày càng cao của Internet, doanh nghiệp dần chuyển sang
sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Cho
đến hiện nay, hầu hết các doanh nghiệp đã và đang thiết lập dịch vụ mạng riêng ảo
VPN nhằm thỏa mãn nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như
giữa các văn phòng cách xa về địa lý. VPN được xem là phương thức truyền thông
hữu hiệu và được sử dụng khá phổ biến hiện nay. Chương này sẽ nghiên cứu các
vấn đề cơ bản về VPN: các mô hình VPN, các thành phần cơ bản, các cơ chế an
toàn và cơ sở kỹ thuật đường hầm sử dụng trong VPN.
1.1. Tổng quan về VPN
1.1.1.
Lịch sử phát triển
VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN đã
được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một vài thế
hệ mạng cho đến ngày nay.
Khái niệm đầu tiên về VPN được AT&T đưa ra vào khoảng cuối thập niên tám
mươi. VPN được biết đến như là “mạng được định nghĩa bởi phần mềm” (Software
Defined Network - SDN). SDN là mạng WAN với khoảng cách xa, nó được thiết
lập dành riêng cho người dùng. SDN dựa vào cơ sở dữ liệu truy nhập để phân loại
mỗi cố gắng truy nhập vào mạng ở gần hoặc từ xa. Dựa vào thông tin, gói dữ liệu sẽ
được định tuyến đến đích thông qua cơ sở hạ tầng chuyển mạch công cộng.
Thế hệ thứ hai của VPN xuất hiện cùng với sự ra đời của công nghệ X25 và ISDN
vào đầu thập kỷ chín mươi. Trong một thời gian, giao thức X25 qua mạng ISDN
được thiết lập như là một giao thức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quá trình
truyền dẫn vượt quá sự cho phép. Do đó thế hệ thứ hai của VPN nhanh chóng bị
lãng quên trong một thời gian ngắn.
12
Nghiên cứu và ứng dụng mạng riêng ảo
Sau thế hệ thứ hai, thị trường VPN bị chậm lại cho đến khi công nghệ Frame
Relay và công nghệ ATM ra đời và thế hệ thứ ba của VPN dựa trên 2 công nghệ
này. Những công nghệ này dựa trên khái niệm chuyển mạch kênh ảo.
Trong thời gian gần đây, thương mại điện tử đã trở thành một phương thức thương
mại hữu hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn.
Người dùng mong muốn một giải pháp mà có thể dễ dàng được thực hiện, thay đổi,
quản trị, có khả năng truy nhập trên toàn cầu và có khả năng cung cấp bảo mật ở
mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế hệ thứ tư) của VPN là IPVPN. IP-VPN đã đáp ứng được tất cả những yêu cầu này bằng cách ứng dụng công
nghệ đường hầm.
1.1.2.
Khái niệm VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng thông qua các
mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng
chung (thường là internet) để kết nối các site (các mạng riêng lẻ) hay nhiều người
sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường
leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng
riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ
liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung
cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường hầm bảo mật
giữa nơi nhận và nơi gửi giống như một kết nối điểm-tới-điểm trên mạng riêng.
Theo định nghĩa chuẩn mà tổ chức IETF đưa ra thì VPN là “một sự mô phỏng
mạng WAN riêng sử dụng các tài nguyên của mạng IP công cộng chia sẻ chung như
mạng Internet hoặc mạng xương sống IP”.
13
Nghiên cứu và ứng dụng mạng riêng ảo
Hình 1.1. Mô hình mạng VPN
1.1.3.
-
Ưu điểm của VPN
Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM hay ISDN. Lý do là VPNs đã
loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ
và mạng truyền tải như ISP.
-
Giảm chi phí vận hành: VPN giúp giảm chi phí truyền thông ở khoảng cách
xa, cũng như chi phí cho thiết bị đầu cuối được sử dụng trong mạng WAN. Ngoài ra
VPN còn giúp các doanh nghiệp giảm chi phí trong việc đào tạo và quản lý nhân sự.
-
Nâng cao kết nối: Do VPN sử dụng mạng Internet cho kết nối nội bộ giữa chi
nhánh, nên dù ở bất cứ chi nhánh nào người sử dụng cũng có thể kết nối dễ dàng
với mạng nội bộ của doanh nghiệp
-
Bảo mật: Bởi vì VPN sử dụng kỹ thuật đường hầm để truyền dữ liệu thông qua
mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử
dụng thêm các phương pháp tăng cường bảo mật như mã hóa, chứng thực và ủy
quyền. Do đó VPNs được đánh giá cao bảo mật trong truyền tin.
-
Hiệu suất băng thông: Trong kỹ thuật VPN thì các “đường hầm” chỉ được hình
thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có
kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
14
Nghiên cứu và ứng dụng mạng riêng ảo
-
Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên nó cho phép
các mạng nội bộ của doanh nghiệp có thể được mở rộng khi mà hoạt động kinh
doanh phát triển hơn, mà không yêu cầu nâng cấp, hoặc đầu tư lại nhiều cho cơ sở
hạ tầng mạng
1.1.4.
-
Khuyết điểm của VPN
Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng
VPNs.
-
Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ
thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn và các thiết bị và
giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs không phù hợp
được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết ở một
chừng mực bởi các cơ chế đường hầm.
1.1.5.
a.
Các mô hình VPN cơ bản
Mạng VPN truy cập từ xa (Remote Access VPN)
Mạng VPN truy cập từ xa cho phép người dùng truy cập bất cứ lúc nào và bất cứ
ở đâu từ các thiết bị truyền thông đến tài nguyên mạng của doanh nghiệp. Ðặc biệt
là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ
mà không có kết nối thường xuyên đến mạng nội bộ của doanh nghiệp.
Hình 1.2. Mạng VPN truy cập từ xa
15
Nghiên cứu và ứng dụng mạng riêng ảo
Ưu điểm của mô hình VPN truy cập từ xa
-
Giảm chi phí cho các máy chủ, thiết bị đầu cuối không cần thiết.
-
Có khả năng mở rộng, dễ dàng thực hiện khi thêm người dùng mới.
-
Giảm chi phí truyền thông cho những kết nối ở khoảng cách xa.
Tuy nhiên, mô hình này cũng còn có những nhược điểm
-
Không đảm bảo chất lượng dịch vụ, đặc biệt khi trao đổi các gói dữ liệu lớn như
các gói dữ liệu âm thanh, hình cảnh.
-
Khả năng mất dữ liệu cao, overhead tăng đáng kể do thuật toán mã hóa phức
tạp.
b.
Mạng VPN cục bộ (Intranet VPN)
Mạng VPN cục bộ cung cấp một kênh ảo giữa các chi nhánh, văn phòng của một
công ty dựa trên việc sử dụng mạng công cộng Internet. Hạ tầng mạng WAN sẽ sử
dụng các phương pháp bảo mật như IPSec hoặc GRE để tạo một đường hầm giữa 2
chi nhánh. Mô hình này còn được biết đến như một mô hình VPN điểm-nối-điểm
Hình 1.3. Mạng VPN cục bộ
Những ưu điểm của mạng VPN cục bộ:
-
Giảm thiểu chi phí cho các thiết bị đầu cuối sử dụng trong mạng WAN.
16
Nghiên cứu và ứng dụng mạng riêng ảo
-
Mạng Internet sử dụng như một kết nối trung gian nên dễ dàng trong việc mở
rộng các site hay chi nhánh mới của doanh nghiệp.
-
Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ,
loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp doanh nghiệp giảm thiểu chi phí
cho việc thực hiện kết nối các mạng nội bộ.
Nhược điểm:
-
Khả năng mất gói khi truyền dữ liệu cao
-
Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
-
Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet nên
vẫn còn nhiều mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ.
c.
Mạng VPN mở rộng (Extranet VPN)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN
mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng
cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết
để mở rộng cho những đối tượng kinh doanh như các đối tác, khách hàng và các
nhà cung cấp…
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử
dụng các kết nối luôn luôn được bảo mật và cũng được cấu hình như một VPN
điểm-nối-điểm. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự
truy cập mạng được công nhận ở một trong hai đầu cuối của VPN.
17
Nghiên cứu và ứng dụng mạng riêng ảo
Hình 1.4. Mạng VPN mở rộng
Những ưu điểm chính của mạng VPN mở rộng:
-
Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
-
Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
-
Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ
hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của
mỗi doanh nghiệp.
-
Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm
được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm chi phí vận hành của
toàn mạng.
Tuy nhiên, mạng VPN mở rộng cũng còn những nhược điểm:
-
Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng
vẫn tồn tại.
-
Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền
dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường
Internet.
-
Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
18
- Xem thêm -