Tài liệu Nghiên cứu các giải pháp vpn trên nền công nghệ mpls

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng Lớp : D2004VT1 Hà Nội 11 - 2008 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG 1 -------***------- ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Đề tài: NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN NỀN CÔNG NGHỆ MPLS Giáo viên hướng dẫn : Ths Hoàng Trọng Minh Sinh viên thực hiện : Nguyễn Mạnh Hùng Lớp : D2004VT 1 Hà Nội 11 - 2008 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA VIỄN THÔNG 1 --------o0o--------- CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự do - Hạnh phúc --------o0o--------- ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC Họ và tên : Lớp : Khoá : Ngành : Nguyễn Mạnh Hùng D2004-VT1 2004 – 2009 Điện tử – Viễn thông TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS" NỘI DUNG ĐỒ ÁN : Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec. Phần II: Giới thiệu về công nghệ VPN trên nền MPLS. Ngày giao đề tài: ………………… Ngày nộp đồ án: …………………. Hà Nội, ngày tháng năm 2008 Giáo viên hướng dẫn Hoàng Trọng Minh NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Điểm: (Bằng chữ: ) Hà Nội, Ngày tháng năm 2008 Giáo viên hướng dẫn Hoàng Trọng Minh NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN: ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… ……………………………………………………………………………………… Điểm: (Bằng chữ: ) Ngày tháng năm 2008 Giáo viên phản biện Đồ án tốt nghiệp Đại Học Lời nói đầu LỜI NÓI ĐẦU Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển kinh tế thế giới. Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ. Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng. Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là: - Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này. - Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ. Ví dụ như chất lượng, độ tin cậy an toàn thông tin. Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng. Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công Nguyễn Mạnh Hùng, Lớp D04VT1 i Đồ án tốt nghiệp Đại Học Lời nói đầu nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp hướng tới, làm chủ công nghệ. Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn: Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec. Phần II: Giới thiệu về công nghệ VPN trên nền MPLS. Nội dung của mỗi chương cụ thể như sau: Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai hiện nay. Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như ATM/MPLS. Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự phát triển của công nghệ VPN/MPLS. Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót. Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc. Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em hoàn thành đề tài. Hà nội, ngày tháng năm 2008 Sinh viên: Nguyễn Mạnh Hùng Nguyễn Mạnh Hùng, Lớp D04VT1 ii Đồ án tốt nghiệp Đại Học Mục lục MỤC LỤC PHẦN I............................................................................................................................. 1 CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN.............................................................1 1.1 Khái niệm mạng riêng ảo............................................................................................1 1.2 Những lợi ích do VPN đem lại....................................................................................3 1.3 Nhược điểm và một số vấn đề cần phải khắc phục......................................................4 1.4 Phân loại VPN và ứng dụng........................................................................................5 1.4.1 VPN truy nhập từ xa.............................................................................................5 1.4.2 VPN điểm tới điểm...............................................................................................7 1.4.2.1 VPN cục bộ....................................................................................................8 1.4.2.2. VPN mở rộng................................................................................................9 1.5 Các loại mạng VPN..................................................................................................10 1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)..........................10 1.5.2 Nối các mạng trên Internet (Intranet VPN)........................................................11 1.5.3 Nối các máy tính trên một Intranet (Extranet VPN)...........................................12 1.6 Kết luận..................................................................................................................... 13 2.1 Dạng thức hoạt động.................................................................................................14 2.1.1 Kết hợp bảo mật SA............................................................................................14 2.1.2 Xác thực tiêu đề AH............................................................................................15 2.1.3 Bọc gói bảo mật tải ESP.....................................................................................17 2.1.4 Chế độ làm việc..................................................................................................19 2.2 Quản lý khóa.............................................................................................................21 2.2.1 Các chế độ của Oakley và các pha của ISAKMP...............................................22 2.2.2 Đàm phán SA......................................................................................................26 2.3 Sử dụng IPSec...........................................................................................................26 2.3.1 Các cổng nối bảo mật.........................................................................................27 2.3.2 Các SA đại diện..................................................................................................27 2.3.3 Host từ xa...........................................................................................................28 2.3.4 Một ví dụ minh họa.............................................................................................29 2.4 Các vấn đề còn tồn đọng trong IPSec.......................................................................30 2.5 Các giao thức đường hầm.........................................................................................31 2.5.1 Giới thiệu về các giao thức đường hầm..............................................................31 2.5.2 Giao thức chuyển tiếp lớp 2 – L2F.....................................................................32 2.5.2.1. Cấu trúc gói L2F........................................................................................32 2.5.2.2 Hoạt động của L2F......................................................................................33 2.5.2.3 Ưu nhược điểm của L2F..............................................................................35 2.5.3 Giao thức đường hầm điểm tới điểm – PPTP.....................................................35 2.5.3.1 Khái quát về hoạt động của PPTP...............................................................35 2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP.......................................37 2.5.3.3 Đóng gói dữ liệu đường hầm PPTP.............................................................37 2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP...............................................40 2.5.3.5 Triển khai VPN dựa trên PPTP...................................................................40 2.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP.......................................42 Nguyễn Mạnh Hùng, Lớp D04VT1 iii Đồ án tốt nghiệp Đại Học Mục lục 2.5.4 Giao thức L2TP..................................................................................................43 2.5.4.1 Dạng thức của L2TP....................................................................................44 2.5.4.2 Sử dụng L2TP..............................................................................................53 2.5.4.3 Khả năng áp dụng của L2TP.......................................................................56 PHẦN II.........................................................................................................................58 CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS........................................................58 3.1 Các thành phần của MPLS – VPN............................................................................58 3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN...........................................................58 3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ....................................................59 3.1.3 Bảng định tuyến và chuyển tiếp ảo.....................................................................60 3.2 Các mô hình MPLS – VPN........................................................................................62 3.2.1 Mô hình V3VPN.................................................................................................62 3.2.2 Mô hình L2VPN..................................................................................................63 3.3 Hoạt động của MPLS – VPN....................................................................................64 3.3.1 Truyền thông tin định tuyến................................................................................64 3.3.2 Địa chỉ VPN – IP................................................................................................66 3.3.3 Chuyển tiếp gói tin VPN.....................................................................................69 3.4 Bảo mật trong MPLS - VPN......................................................................................73 3.5 Chất lượng dịch vụ trong MPLS – VPN....................................................................74 3.5.1 Mô hình ống.......................................................................................................75 3.5.2 Mô hình vòi........................................................................................................77 3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS.........................................78 3.6.1 Các tiêu chí đánh giá..........................................................................................79 3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN...................................80 3.8 Kết chương................................................................................................................ 83 BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN............................................84 1. ĐẶT VẤN ĐỀ..............................................................................................................84 2. XÂY DỰNG BÀI TOÁN...............................................................................................84 3. SỬ DỤNG CÔNG CỤ MÔ PHỎNG.........................................................................100 3.1 Phần mềm GNS3.................................................................................................100 3.2 Phầm mềm NS2...................................................................................................100 3.3 Lựa chọn phần mềm mô phỏng............................................................................102 4. KẾT QUẢ VÀ ĐÁNH GIÁ.........................................................................................102 KẾT LUẬN.......................................................................................................................109 TÀI LIỆU THAM KHẢO...................................................................................................111 LỜI CẢM ƠN.................................................................................................................... 112 Nguyễn Mạnh Hùng, Lớp D04VT1 iv Đồ án tốt nghiệp Đại Học Danh mục hình vẽ DANH MỤC HÌNH VẼ Hình 1.1: Mô hình VPN truy cập từ xa.................................................................................6 Hình 1.2: Mô hình VPN cục bộ............................................................................................8 Hình 1.3: Mô hình VPN mở rộng.........................................................................................9 Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng.....................................11 Hình 1.5: Tổ chức truy nhập Ipass.....................................................................................11 Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa......................................................................12 Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN...........................13 Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH...........................................16 Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH...........................................16 Hình 2.3: Bọc gói bảo mật tải............................................................................................17 Hình 2.4: So sánh xác thực bởi AH và ESP........................................................................18 Hình 2.5: Chế độ đường hầm AH.......................................................................................19 Hình 2.6: Chế độ đường hầm ESP......................................................................................20 Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm..........................................20 Hình 2.8: Chế độ chính ISAKMP........................................................................................23 Hình 2.9: Chế độ năng động ISAKMP................................................................................24 Hình 2.10: Chế độ nhanh ISAKMP....................................................................................25 Hình 2.11: Các thành phần của một Internet VPN.............................................................26 Hình 2.12: IPSec và các chính sách bảo mật.....................................................................29 Hình 2.13: Ví dụ về IPSec VPN..........................................................................................30 Hình 2.14: Khuôn dạng của gói L2F..................................................................................32 Hình 2.15: Mô hình hệ thống sử dụng L2F.........................................................................33 Hình 2.18: Sơ đồ đóng gói PPTP.......................................................................................39 Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP...........................41 Hình 2.20: Kiến trúc của L2TP..........................................................................................44 Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP................................................45 Hình 2.22: Bọc gói L2TP....................................................................................................45 Hình 2.23: Các đường hầm tự nguyện và bắt buộc............................................................46 Hình 2.24: Mã hóa gói cho đường hầm bắt buộc...............................................................50 Hình 2.26: Mã hóa gói cho đường hầm tự nguyện.............................................................51 Hình 2.27: Đường hầm L2TP kết nối LAN – LAN..............................................................52 Hình 2.28: Các thành phần cơ bản của L2TP....................................................................54 Hình 2.29: Quay số L2TP trong VPN.................................................................................56 Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần............................59 Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng......................................60 Hình 3.3: Mô hình MPLS L3VPN.......................................................................................62 Hình 3.4: Mô hình MPLS L2VPN.......................................................................................64 Hình 3.5: Địa chỉ VPN – Ipv4............................................................................................66 Hình 3.6: Khuôn dạng trường phân biệt tuyến...................................................................67 Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN..........................................................70 Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN...........................................70 Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS........................................72 Nguyễn Mạnh Hùng, Lớp D04VT1 v Đồ án tốt nghiệp Đại Học Danh mục hình vẽ Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN.......................................76 Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN........................................78 Nguyễn Mạnh Hùng, Lớp D04VT1 vi Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt THUẬT NGỮ VIẾT TẮT VIẾT TẮT TIẾNG ANH TIẾNG VIỆT A AC ATM Access Concentrator Asynchronous Transfer Mode ASN AN FTP Autonomous System Number Assigned Number B Border Gateway Protocol Border Gateway Protocol version 4 C Challenge Handshake Authentication Protocol E Egress Committed Rate Extensible Authentication Protocol Encapsulating Security Payload F File Transfer Protocol FCS FR Frame Check Sequence Frame Relay BGP BGPv4 CHAP ECR EAP ESP IKE ICMP G Generic Routing Encapsulation H Hashed-keyed Message Authenticaiton Code I Internet Protocol Ingress Committed Rate Intermediate System to Intermediate System Internet Protocol Security Internet Security Association and Key Management Protocol Internet Key Exchange Internet Control Message Protocol IP – AH ISDN IP – Authentication Header Intergrated Service Digital Network GRE HMAC IP ICR IS – IS IPSec ISAKMP Nguyễn Mạnh Hùng, Lớp D04VT1 Bộ tập kết truy nhập Phương thức truyền tải không đồng bộ Số hệ tự trị Số gán Giao thức cổng biên Giao thức cổng biên phiên bản 4 Giao thức xác thực đòi hỏi bắt tay Tốc độ cam kết đầu ra Giao thức xác thực mở rộng Đóng gói bảo mật tải Giao thức truyền file Chuỗi kiểm tra khung Chuyển tiếp khung Đóng gói định tuyến chung Mã nhận thực bản tin băm Giao thức Internet Tốc độ cam kết đầu vào Bảo mật giao thức Internet Giao thức kết hợp an ninh và quản lí khóa qua Internet Giao thức trao đổi khóa Giao thức bản tin điều khiển Internet Xác thực tiêu đề IP Mạng số tích hợp đa dịch vụ vii Đồ án tốt nghiệp Đại Học ISP IMAP Thuật ngữ viết tắt Internet Service Provider Internet Message Access Protocol Nhà cung cấp dịch vụ Internet Giao thức truy cập nhập thông tin Internet L L2VPN L3VPN LCP L2TP L2F LAN MP - BGP MPLS MD5 NAT NAS OSPF POP PPTP PKI PPP PAP RAS RADIUS SLA SA SPI SHA-1 SPE Layer Two VPN Layer Three VPN Link Control Protocol Layer Two Tunneling Protocol Layer Two Forwarding Local Area Network M Multiprotocol BGP Multi Protocol Laber Switching Message Digest 5 N Network Address Translation Network Access Server O Open Shortest Path First (ATM) P Point of Presence Point to Point Tunneling Protocol Public Key Infrastructure Point-to-Point Protocol Password Authentication Protocol R Remote Access Server Remote Authentication Dial-in User Service S Service Level Agreements Security Association Security Parameter Index Secure Hash Algorithm-1 (Sonet) Synchronous Payload Envelop Mạng riêng ảo lớp 2 Mạng riêng ảo lớp 3 Giao thức điều khiển đường truyền Giao thức đường hầm lớp 2 Giao thức chuyển tiếp lớp 2 Mạng cục bộ Đa giao thức BGP Bộ định tuyến chuyển mạch nhãn Thuật toán tóm tắt bản tin MD5 Biên dịch địa chỉ mạng Máy chủ truy nhập mạng Giao thức định tuyến OSPF Điểm hiển diện Giao thức đường hầm điểm tới điểm Cơ sở hạ tầng khóa công cộng Giao thức điểm tới điểm Máy chủ truy nhập từ xa Dịch vụ nhận thực người dùng quay số từ xa Các thỏa thuận mức dịch vụ Liên kết an ninh Chỉ số thông số an ninh Thuật toán băm SHA-1 Đường bao tải hiệu dụng đồng bộ T Nguyễn Mạnh Hùng, Lớp D04VT1 viii Đồ án tốt nghiệp Đại Học TACACS+ TCP Thuật ngữ viết tắt Terminal Access Controller Access Control System Plus Transmission Control Protocol Hệ thống điều khiển bộ điều khiển truy nhập đầu cuối Giao thức điều khiển truyền tải U UDP User Datagram Protocol Giao thức Datagram của khách hàng V VPN VRF WAN WWW xDSL Virtual Private Network Virtual Routing and Forwording W Wide Area Network World Wide Web X X-Type Digital Subscriber Line Nguyễn Mạnh Hùng, Lớp D04VT1 Mạng riêng ảo Bảng định tuyến chuyển tiếp ảo Mạng diện rộng Trang tin toàn cầu Đường dây thuê bao số loại ix Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN PHẦN I CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN VPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công công nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường kênh thuê riêng. Trong phần giới thiệu này chúng ta sẽ xem xét đến những vấn đề cơ bản về VPN, các loại hình VPN, những lợi ích mà nó đem lại, cùng với một số vấn đề liên quan. 1.1 Khái niệm mạng riêng ảo Mạng riêng ảo là phương pháp làm cho một mạng công cộng (ví dụ như mạng Internet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưa thích. VPN cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN (Wide Area Network) truyền thống yêu cầu công ty phải chi phí và duy trì nhiều loại đường dây riêng, song song với việc đầu tư các thiết bị và đội ngũ cán bộ. Nhưng những vấn đề về chi phí làm cho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mạng đem lại nhưng đôi khi họ không thực hiện nổi. Trong khi đó, VPN không bị những rào cản về chi phí như các mạng WAN trên do được thực hiện qua một mạng công cộng. Thực ra, khái niệm VPN không phải là một công nghệ mới, chúng đã từng được sử dụng trong các mạng điện thoại (Telephone Networks) cách đây nhiều năm và trở nên phổ biến do sự phát triển của mạng thông minh. Các mạng VPN chỉ trở nên thực sự mới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức Internet) chẳng hạn như mạng Internet. VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùng không được phép truy cập đến dữ liệu và bảo đảm dữ liệu không bị sửa đổi. Định đường hầm (tunneling) là một cơ chế dùng cho việc đóng gói (encapsulate) một giao thức vào trong một giao thức khác. Trong ngữ cảnh Internet, định đường hầm cho phép các giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong Nguyễn Mạnh Hùng, Lớp D04VT1 1 Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN IP. Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc IP (IP envelope). Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi một cách bảo mật qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến. VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tin trong mạng. Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạn dưới của băng thông hiệu dụng cho mỗi người dùng. Các thỏa thuận này được phát triển thông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cung cấp dịch vụ. Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắn gọn qua công thức sau: VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thị trường rộng lớn hơn. Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị, đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đề quan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh để tái sản xuất. Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảm thiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyên biệt truyền thống như trước đây. Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê bao đường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ở mức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu. VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối với các nhân viên lưu động (mobile worker) – vì các công ty có nhiều chi nhánh trên thế giới thì đội ngũ nhân viên của họ đông, nhiều người phải làm việc ở những quốc gia xa trung tâm – mở rộng Intranet đến văn phòng chi nhánh, liên lạc với đối tác và khách hàng chủ yếu thông qua mạng Extranet. Sau đây chúng ta sẽ đề cập đến một số lợi ích, Nguyễn Mạnh Hùng, Lớp D04VT1 2 Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát các phương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọn phương thức thích hợp, hiệu quả nhất để xây dựng một VPN. 1.2 Những lợi ích do VPN đem lại VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn giản hóa việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. VPN do một nhà cung cấp dịch vụ làm chủ và quản lý, bằng quy mô kinh tế và các công nghệ tiên tiến, họ có thể phục vụ nhiều tổ chức trên cùng một mạng, dùng các phần mềm hiện đại để phân biệt lưu lượng dữ liệu của công ty này được tách riêng với các công ty khác. Có thể dẫn chứng những ưu điểm của VPN như sau: Giảm chi phí thường xuyên VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền và giảm đáng kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến các modem tập trung. Giảm chi phí đầu tư Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc quản lý các nhóm modem phức tạp. Ngoài ra họ cũng có thể thuê với giá rẻ các thiết bị phục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công ty dịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kém hơn. Giảm chi phí quản lý và hỗ trợ Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳn yêu cầu nhân viên “tại nhà”. Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do những nhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố. Nguyễn Mạnh Hùng, Lớp D04VT1 3 Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN Truy cập mọi lúc, mọi nơi Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như các ứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dây thuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới. Khả năng mở rộng Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Khả năng mở rộng còn thể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhu cầu. 1.3 Nhược điểm và một số vấn đề cần phải khắc phục Sự rủi ro an ninh Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênh riêng. Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước. Mặc dù hầu hết các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho VPN khó phá hoại hơn bằng cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá thành của dịch vụ. Độ tin cậy và sự thực thi VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng. Nhiệm vụ của người quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này cũng không thể kết nối được vì tất cả các cổng của VPN đều bận. Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khóa ứng dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy nhập e-mail từ nhà hay trên đường. Vấn đề lựa chọn giao thức Nguyễn Mạnh Hùng, Lớp D04VT1 4