HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN
NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh
Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp
: D2004VT1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG 1
-------***-------
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN
NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh
Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp
: D2004VT 1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG 1
--------o0o---------
CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
--------o0o---------
ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Họ và tên :
Lớp
:
Khoá
:
Ngành :
Nguyễn Mạnh Hùng
D2004-VT1
2004 – 2009
Điện tử – Viễn thông
TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS"
NỘI DUNG ĐỒ ÁN :
Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Ngày giao đề tài: …………………
Ngày nộp đồ án: ………………….
Hà Nội, ngày
tháng
năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm:
(Bằng chữ:
)
Hà Nội, Ngày
tháng
năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm:
(Bằng chữ:
)
Ngày
tháng
năm 2008
Giáo viên phản biện
Đồ án tốt nghiệp Đại Học
Lời nói đầu
LỜI NÓI ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công
nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển
kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ.
Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng
thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng
như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn
thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
-
Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp
dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp
này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành,
bảo dưỡng hay mở rộng sau này.
-
Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có
nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ. Ví dụ
như chất lượng, độ tin cậy an toàn thông tin.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ
trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của
một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính
là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể
giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp
mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ
sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.
Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng
viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công
Nguyễn Mạnh Hùng, Lớp D04VT1
i
Đồ án tốt nghiệp Đại Học
Lời nói đầu
nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp
hướng tới, làm chủ công nghệ.
Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn:
Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Nội dung của mỗi chương cụ thể như sau:
Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các
khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai
hiện nay.
Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới
thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao
thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những
quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như
ATM/MPLS.
Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai
công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và
các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự
phát triển của công nghệ VPN/MPLS.
Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót.
Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.
Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em
hoàn thành đề tài.
Hà nội, ngày tháng năm 2008
Sinh viên: Nguyễn Mạnh Hùng
Nguyễn Mạnh Hùng, Lớp D04VT1
ii
Đồ án tốt nghiệp Đại Học
Mục lục
MỤC LỤC
PHẦN I............................................................................................................................. 1
CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN.............................................................1
1.1 Khái niệm mạng riêng ảo............................................................................................1
1.2 Những lợi ích do VPN đem lại....................................................................................3
1.3 Nhược điểm và một số vấn đề cần phải khắc phục......................................................4
1.4 Phân loại VPN và ứng dụng........................................................................................5
1.4.1 VPN truy nhập từ xa.............................................................................................5
1.4.2 VPN điểm tới điểm...............................................................................................7
1.4.2.1 VPN cục bộ....................................................................................................8
1.4.2.2. VPN mở rộng................................................................................................9
1.5 Các loại mạng VPN..................................................................................................10
1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)..........................10
1.5.2 Nối các mạng trên Internet (Intranet VPN)........................................................11
1.5.3 Nối các máy tính trên một Intranet (Extranet VPN)...........................................12
1.6 Kết luận..................................................................................................................... 13
2.1 Dạng thức hoạt động.................................................................................................14
2.1.1 Kết hợp bảo mật SA............................................................................................14
2.1.2 Xác thực tiêu đề AH............................................................................................15
2.1.3 Bọc gói bảo mật tải ESP.....................................................................................17
2.1.4 Chế độ làm việc..................................................................................................19
2.2 Quản lý khóa.............................................................................................................21
2.2.1 Các chế độ của Oakley và các pha của ISAKMP...............................................22
2.2.2 Đàm phán SA......................................................................................................26
2.3 Sử dụng IPSec...........................................................................................................26
2.3.1 Các cổng nối bảo mật.........................................................................................27
2.3.2 Các SA đại diện..................................................................................................27
2.3.3 Host từ xa...........................................................................................................28
2.3.4 Một ví dụ minh họa.............................................................................................29
2.4 Các vấn đề còn tồn đọng trong IPSec.......................................................................30
2.5 Các giao thức đường hầm.........................................................................................31
2.5.1 Giới thiệu về các giao thức đường hầm..............................................................31
2.5.2 Giao thức chuyển tiếp lớp 2 – L2F.....................................................................32
2.5.2.1. Cấu trúc gói L2F........................................................................................32
2.5.2.2 Hoạt động của L2F......................................................................................33
2.5.2.3 Ưu nhược điểm của L2F..............................................................................35
2.5.3 Giao thức đường hầm điểm tới điểm – PPTP.....................................................35
2.5.3.1 Khái quát về hoạt động của PPTP...............................................................35
2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP.......................................37
2.5.3.3 Đóng gói dữ liệu đường hầm PPTP.............................................................37
2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP...............................................40
2.5.3.5 Triển khai VPN dựa trên PPTP...................................................................40
2.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP.......................................42
Nguyễn Mạnh Hùng, Lớp D04VT1
iii
Đồ án tốt nghiệp Đại Học
Mục lục
2.5.4 Giao thức L2TP..................................................................................................43
2.5.4.1 Dạng thức của L2TP....................................................................................44
2.5.4.2 Sử dụng L2TP..............................................................................................53
2.5.4.3 Khả năng áp dụng của L2TP.......................................................................56
PHẦN II.........................................................................................................................58
CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS........................................................58
3.1 Các thành phần của MPLS – VPN............................................................................58
3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN...........................................................58
3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ....................................................59
3.1.3 Bảng định tuyến và chuyển tiếp ảo.....................................................................60
3.2 Các mô hình MPLS – VPN........................................................................................62
3.2.1 Mô hình V3VPN.................................................................................................62
3.2.2 Mô hình L2VPN..................................................................................................63
3.3 Hoạt động của MPLS – VPN....................................................................................64
3.3.1 Truyền thông tin định tuyến................................................................................64
3.3.2 Địa chỉ VPN – IP................................................................................................66
3.3.3 Chuyển tiếp gói tin VPN.....................................................................................69
3.4 Bảo mật trong MPLS - VPN......................................................................................73
3.5 Chất lượng dịch vụ trong MPLS – VPN....................................................................74
3.5.1 Mô hình ống.......................................................................................................75
3.5.2 Mô hình vòi........................................................................................................77
3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS.........................................78
3.6.1 Các tiêu chí đánh giá..........................................................................................79
3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN...................................80
3.8 Kết chương................................................................................................................ 83
BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN............................................84
1. ĐẶT VẤN ĐỀ..............................................................................................................84
2. XÂY DỰNG BÀI TOÁN...............................................................................................84
3. SỬ DỤNG CÔNG CỤ MÔ PHỎNG.........................................................................100
3.1 Phần mềm GNS3.................................................................................................100
3.2 Phầm mềm NS2...................................................................................................100
3.3 Lựa chọn phần mềm mô phỏng............................................................................102
4. KẾT QUẢ VÀ ĐÁNH GIÁ.........................................................................................102
KẾT LUẬN.......................................................................................................................109
TÀI LIỆU THAM KHẢO...................................................................................................111
LỜI CẢM ƠN.................................................................................................................... 112
Nguyễn Mạnh Hùng, Lớp D04VT1
iv
Đồ án tốt nghiệp Đại Học
Danh mục hình vẽ
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình VPN truy cập từ xa.................................................................................6
Hình 1.2: Mô hình VPN cục bộ............................................................................................8
Hình 1.3: Mô hình VPN mở rộng.........................................................................................9
Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng.....................................11
Hình 1.5: Tổ chức truy nhập Ipass.....................................................................................11
Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa......................................................................12
Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN...........................13
Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH...........................................16
Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH...........................................16
Hình 2.3: Bọc gói bảo mật tải............................................................................................17
Hình 2.4: So sánh xác thực bởi AH và ESP........................................................................18
Hình 2.5: Chế độ đường hầm AH.......................................................................................19
Hình 2.6: Chế độ đường hầm ESP......................................................................................20
Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm..........................................20
Hình 2.8: Chế độ chính ISAKMP........................................................................................23
Hình 2.9: Chế độ năng động ISAKMP................................................................................24
Hình 2.10: Chế độ nhanh ISAKMP....................................................................................25
Hình 2.11: Các thành phần của một Internet VPN.............................................................26
Hình 2.12: IPSec và các chính sách bảo mật.....................................................................29
Hình 2.13: Ví dụ về IPSec VPN..........................................................................................30
Hình 2.14: Khuôn dạng của gói L2F..................................................................................32
Hình 2.15: Mô hình hệ thống sử dụng L2F.........................................................................33
Hình 2.18: Sơ đồ đóng gói PPTP.......................................................................................39
Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP...........................41
Hình 2.20: Kiến trúc của L2TP..........................................................................................44
Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP................................................45
Hình 2.22: Bọc gói L2TP....................................................................................................45
Hình 2.23: Các đường hầm tự nguyện và bắt buộc............................................................46
Hình 2.24: Mã hóa gói cho đường hầm bắt buộc...............................................................50
Hình 2.26: Mã hóa gói cho đường hầm tự nguyện.............................................................51
Hình 2.27: Đường hầm L2TP kết nối LAN – LAN..............................................................52
Hình 2.28: Các thành phần cơ bản của L2TP....................................................................54
Hình 2.29: Quay số L2TP trong VPN.................................................................................56
Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần............................59
Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng......................................60
Hình 3.3: Mô hình MPLS L3VPN.......................................................................................62
Hình 3.4: Mô hình MPLS L2VPN.......................................................................................64
Hình 3.5: Địa chỉ VPN – Ipv4............................................................................................66
Hình 3.6: Khuôn dạng trường phân biệt tuyến...................................................................67
Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN..........................................................70
Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN...........................................70
Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS........................................72
Nguyễn Mạnh Hùng, Lớp D04VT1
v
Đồ án tốt nghiệp Đại Học
Danh mục hình vẽ
Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN.......................................76
Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN........................................78
Nguyễn Mạnh Hùng, Lớp D04VT1
vi
Đồ án tốt nghiệp Đại Học
Thuật ngữ viết tắt
THUẬT NGỮ VIẾT TẮT
VIẾT TẮT
TIẾNG ANH
TIẾNG VIỆT
A
AC
ATM
Access Concentrator
Asynchronous Transfer Mode
ASN
AN
FTP
Autonomous System Number
Assigned Number
B
Border Gateway Protocol
Border Gateway Protocol version 4
C
Challenge Handshake Authentication
Protocol
E
Egress Committed Rate
Extensible Authentication Protocol
Encapsulating Security Payload
F
File Transfer Protocol
FCS
FR
Frame Check Sequence
Frame Relay
BGP
BGPv4
CHAP
ECR
EAP
ESP
IKE
ICMP
G
Generic Routing Encapsulation
H
Hashed-keyed Message
Authenticaiton Code
I
Internet Protocol
Ingress Committed Rate
Intermediate System to Intermediate
System
Internet Protocol Security
Internet Security Association and
Key Management Protocol
Internet Key Exchange
Internet Control Message Protocol
IP – AH
ISDN
IP – Authentication Header
Intergrated Service Digital Network
GRE
HMAC
IP
ICR
IS – IS
IPSec
ISAKMP
Nguyễn Mạnh Hùng, Lớp D04VT1
Bộ tập kết truy nhập
Phương thức truyền tải không
đồng bộ
Số hệ tự trị
Số gán
Giao thức cổng biên
Giao thức cổng biên phiên bản 4
Giao thức xác thực đòi hỏi bắt tay
Tốc độ cam kết đầu ra
Giao thức xác thực mở rộng
Đóng gói bảo mật tải
Giao thức truyền file
Chuỗi kiểm tra khung
Chuyển tiếp khung
Đóng gói định tuyến chung
Mã nhận thực bản tin băm
Giao thức Internet
Tốc độ cam kết đầu vào
Bảo mật giao thức Internet
Giao thức kết hợp an ninh và
quản lí khóa qua Internet
Giao thức trao đổi khóa
Giao thức bản tin điều khiển
Internet
Xác thực tiêu đề IP
Mạng số tích hợp đa dịch vụ
vii
Đồ án tốt nghiệp Đại Học
ISP
IMAP
Thuật ngữ viết tắt
Internet Service Provider
Internet Message Access Protocol
Nhà cung cấp dịch vụ Internet
Giao thức truy cập nhập thông tin
Internet
L
L2VPN
L3VPN
LCP
L2TP
L2F
LAN
MP - BGP
MPLS
MD5
NAT
NAS
OSPF
POP
PPTP
PKI
PPP
PAP
RAS
RADIUS
SLA
SA
SPI
SHA-1
SPE
Layer Two VPN
Layer Three VPN
Link Control Protocol
Layer Two Tunneling Protocol
Layer Two Forwarding
Local Area Network
M
Multiprotocol BGP
Multi Protocol Laber Switching
Message Digest 5
N
Network Address Translation
Network Access Server
O
Open Shortest Path First (ATM)
P
Point of Presence
Point to Point Tunneling Protocol
Public Key Infrastructure
Point-to-Point Protocol
Password Authentication Protocol
R
Remote Access Server
Remote Authentication Dial-in User
Service
S
Service Level Agreements
Security Association
Security Parameter Index
Secure Hash Algorithm-1
(Sonet) Synchronous Payload
Envelop
Mạng riêng ảo lớp 2
Mạng riêng ảo lớp 3
Giao thức điều khiển đường
truyền
Giao thức đường hầm lớp 2
Giao thức chuyển tiếp lớp 2
Mạng cục bộ
Đa giao thức BGP
Bộ định tuyến chuyển mạch nhãn
Thuật toán tóm tắt bản tin MD5
Biên dịch địa chỉ mạng
Máy chủ truy nhập mạng
Giao thức định tuyến OSPF
Điểm hiển diện
Giao thức đường hầm điểm tới
điểm
Cơ sở hạ tầng khóa công cộng
Giao thức điểm tới điểm
Máy chủ truy nhập từ xa
Dịch vụ nhận thực người dùng
quay số từ xa
Các thỏa thuận mức dịch vụ
Liên kết an ninh
Chỉ số thông số an ninh
Thuật toán băm SHA-1
Đường bao tải hiệu dụng đồng bộ
T
Nguyễn Mạnh Hùng, Lớp D04VT1
viii
Đồ án tốt nghiệp Đại Học
TACACS+
TCP
Thuật ngữ viết tắt
Terminal Access Controller Access
Control System Plus
Transmission Control Protocol
Hệ thống điều khiển bộ điều
khiển truy nhập đầu cuối
Giao thức điều khiển truyền tải
U
UDP
User Datagram Protocol
Giao thức Datagram của khách
hàng
V
VPN
VRF
WAN
WWW
xDSL
Virtual Private Network
Virtual Routing and Forwording
W
Wide Area Network
World Wide Web
X
X-Type Digital Subscriber Line
Nguyễn Mạnh Hùng, Lớp D04VT1
Mạng riêng ảo
Bảng định tuyến chuyển tiếp ảo
Mạng diện rộng
Trang tin toàn cầu
Đường dây thuê bao số loại
ix
Đồ án tốt nghiệp đại học
Chương I: Giới thiệu tổng quan về VPN
PHẦN I
CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN
VPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật
như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công công
nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường
kênh thuê riêng. Trong phần giới thiệu này chúng ta sẽ xem xét đến những vấn đề cơ
bản về VPN, các loại hình VPN, những lợi ích mà nó đem lại, cùng với một số vấn đề
liên quan.
1.1 Khái niệm mạng riêng ảo
Mạng riêng ảo là phương pháp làm cho một mạng công cộng (ví dụ như mạng
Internet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật và
tính ưu tiên mà người dùng từng ưa thích. VPN cho phép thành lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty
đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN (Wide Area Network)
truyền thống yêu cầu công ty phải chi phí và duy trì nhiều loại đường dây riêng, song
song với việc đầu tư các thiết bị và đội ngũ cán bộ. Nhưng những vấn đề về chi phí làm
cho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mạng đem lại nhưng
đôi khi họ không thực hiện nổi. Trong khi đó, VPN không bị những rào cản về chi phí
như các mạng WAN trên do được thực hiện qua một mạng công cộng.
Thực ra, khái niệm VPN không phải là một công nghệ mới, chúng đã từng được
sử dụng trong các mạng điện thoại (Telephone Networks) cách đây nhiều năm và trở
nên phổ biến do sự phát triển của mạng thông minh. Các mạng VPN chỉ trở nên thực sự
mới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức Internet) chẳng
hạn như mạng Internet. VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùng
không được phép truy cập đến dữ liệu và bảo đảm dữ liệu không bị sửa đổi.
Định đường hầm (tunneling) là một cơ chế dùng cho việc đóng gói (encapsulate)
một giao thức vào trong một giao thức khác. Trong ngữ cảnh Internet, định đường hầm
cho phép các giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong
Nguyễn Mạnh Hùng, Lớp D04VT1
1
Đồ án tốt nghiệp đại học
Chương I: Giới thiệu tổng quan về VPN
IP. Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng
nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc
IP (IP envelope). Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi một
cách bảo mật qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành
gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến
thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận
này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tin
trong mạng. Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạn
dưới của băng thông hiệu dụng cho mỗi người dùng. Các thỏa thuận này được phát triển
thông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cung
cấp dịch vụ.
Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắn
gọn qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet
và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của
họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thị
trường rộng lớn hơn. Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị,
đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đề
quan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh để
tái sản xuất. Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảm
thiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyên
biệt truyền thống như trước đây.
Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê bao
đường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ở
mức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu.
VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối với
các nhân viên lưu động (mobile worker) – vì các công ty có nhiều chi nhánh trên thế
giới thì đội ngũ nhân viên của họ đông, nhiều người phải làm việc ở những quốc gia xa
trung tâm – mở rộng Intranet đến văn phòng chi nhánh, liên lạc với đối tác và khách
hàng chủ yếu thông qua mạng Extranet. Sau đây chúng ta sẽ đề cập đến một số lợi ích,
Nguyễn Mạnh Hùng, Lớp D04VT1
2
Đồ án tốt nghiệp đại học
Chương I: Giới thiệu tổng quan về VPN
giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát các
phương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọn
phương thức thích hợp, hiệu quả nhất để xây dựng một VPN.
1.2 Những lợi ích do VPN đem lại
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn
giản hóa việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng
Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng
và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp
hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. VPN do một
nhà cung cấp dịch vụ làm chủ và quản lý, bằng quy mô kinh tế và các công nghệ tiên
tiến, họ có thể phục vụ nhiều tổ chức trên cùng một mạng, dùng các phần mềm hiện đại
để phân biệt lưu lượng dữ liệu của công ty này được tách riêng với các công ty khác. Có
thể dẫn chứng những ưu điểm của VPN như sau:
Giảm chi phí thường xuyên
VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền và giảm đáng
kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài
khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào
việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa
phương, hạn chế gọi đường dài đến các modem tập trung.
Giảm chi phí đầu tư
Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và
các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung
cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc
quản lý các nhóm modem phức tạp. Ngoài ra họ cũng có thể thuê với giá rẻ các thiết bị
phục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công ty
dịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kém
hơn.
Giảm chi phí quản lý và hỗ trợ
Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công
ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳn
yêu cầu nhân viên “tại nhà”. Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do những
nhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố.
Nguyễn Mạnh Hùng, Lớp D04VT1
3
Đồ án tốt nghiệp đại học
Chương I: Giới thiệu tổng quan về VPN
Truy cập mọi lúc, mọi nơi
Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năng
như nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như các
ứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhau
như qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dây
thuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới.
Khả năng mở rộng
Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có
mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có
mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Khả năng mở rộng còn
thể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó
có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhu
cầu.
1.3 Nhược điểm và một số vấn đề cần phải khắc phục
Sự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênh
riêng. Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước. Mặc dù hầu hết
các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an
toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho VPN khó phá hoại hơn bằng
cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá
thành của dịch vụ.
Độ tin cậy và sự thực thi
VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các hàm mật mã phức
tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng. Nhiệm vụ của người
quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết
máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết nối tới VPN đột
nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này
cũng không thể kết nối được vì tất cả các cổng của VPN đều bận. Điều đó chính là động
cơ thúc đẩy người quản trị tạo ra các khóa ứng dụng làm việc mà không đòi hỏi VPN.
Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để
cho phép nhân viên truy nhập e-mail từ nhà hay trên đường.
Vấn đề lựa chọn giao thức
Nguyễn Mạnh Hùng, Lớp D04VT1
4
- Xem thêm -