Tài liệu Xây dựng mạng riêng ảo vpn

Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Chương 1 Giới thiệu chung về VPN Internet ngày một phổ biến và gia tăng một cách mạnh mẽ, các công ty kinh doanh đầu tư vào nó như một phương tiện quảng bá công ty của họ và đồng thời cũng mở rộng các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ, mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty. Có rất nhiều công ty đang tạo ra các mạng riêng ảo VPN để điều tiết và quản lý các nhân viên hay các văn phòng đại diện từ xa. VPN là từ thường dùng trong suốt khoảng mấy năm qua. Từ đó, chúng ta hiểu về nó và ứng dụng VPN vào những mục đích phục vụ cuộc sống như trong kinh doanh và văn hoá hiện đại. Có thể nói rằng VPN là một sự kết hợp của đường hầm, sự mật mã, sự xác thực, công nghệ điều khiển truy cập và sự phục vụ đã từng lưu thông trên Internet, mạng IP được quản trị hoặc mạng Backbone của nhà cung cấp dịch vụ. Phạm vi đi lại của đường trục của mạng này dùng sự kết hợp của công nghệ truy cập bao gồm frame relay, ISDN, ATM hoặc Aimple-Dial Access. VPN có thể được hiểu như là mạng kết nối các site người dùng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật một mạng riêng biệt. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường thuê riêng. Chương này trình bày nhưng khái niệm cơ bản về VPN, các chức năng và đặc điểm của VPN, từ đó làm cơ sở để phân loại VPN và đưa ra các thuận lợi cũng như khó khăn khi sử dụng các loại hình VPN khác nhau. Trong chương này chúng ta giới thiệu về một số nội dung sau: • Khái niệm về VPN • Chức năng và lợi ích của VPN • Mô hình VPN • Phân loại VPN 1.1 Khái niệm về VPN Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung, thường là Internet để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Trong thời gian gần đây cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính GVHD: TS.Trần Văn Dũng 1 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số mới mẻ và tốt hơn. Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, tốt hơn hiệu quả và linh động hơn cho người sử dụng. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường mạng riêng (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Ngày nay với sự phát triển của cộng nghệ và bùng nổ của mạng Internet, khả năng của VPN ngày càng được hoàn thiện hơn về dịch vụ cũng như khai thác được hết các ưu điểm của nó. Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các quản lý và bảo mật giống như mạng cục bộ. Mạng riêng ảo như là sự mở rộng của mạng LAN mà không hạn chế về mặt khoảng cách, mà không thay đổi về sự bảo mật của nó trong công việc. Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí. Ta có thể quay số ở bất cứ đâu chỉ cần tại đó có nhà cung cấp dịch vụ (ISP) có thể truy nhập đến điểm kết nối. Nếu ISP có các điểm POP mang tính quốc gia thì đối với mạng LAN sẽ chỉ là các cuộc gọi nội hạt. Một vài ISP có thể có mở rộng quốc tế hoặc có sự thỏa thuận với các ISP khác. Việc lựa chọn ISP sẽ rẻ hơn cho việc truy cập từ xa đối với những người sử dụng roarming. VPN được thiết lập giữa các Router tại hai chi nhánh của công ty thông qua Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một Router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sở viễn thông. Tính cá nhân của VPN tin cậy thể hiện ở chổ nhà cung cấp dịch vụ sễ đảm bảo không cho ai sử dụng cùng mạch thuê riêng đó. Người dùng của mạng riêng ảo loại này tin cậy hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật dữ liệu cá nhân nội bộ của người dùng khi truyền trên mạng. Các mạng riêng xây dựng trên các đường dây thuê thuộc loại tin cậy . Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã về thông tin của dữ liệu. Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích và sau đó được giải mã tại phía thu một cách bình thường. Dữ liệu được mật mã và đi trong mạng như là đi một đường riêng được gọi là đường hầm, dữ liệu được bảo vệ từ nguồn tới đích. Có thể có sự tấn công bên ngoài nhưng dữ liệu được mã hoá nên không thể đọc được. GVHD: TS.Trần Văn Dũng 2 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec. Đó là một tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng. IPSec hỗ trợ một tập hợp các giao thức mã hoá với hai mục đích: An ninh gói mạng và thay đổi các khoá mã hoá. Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu các site của mạng Tóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ và các khai thác sử dụng. Như đúng tên gọi của nó, VPN là một mạng riêng của người dùng dựa trên cơ sở hạ tầng mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai mạng riêng đi qua mạng công cộng. 1.2 Chức năng và lợi ích của VPN 1.2.1 Chức năng của mạng riêng ảo Tính xác thực Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau để khẳng định một điều là thông tin mình muốn trao đổi đúng với đối tượng mình mong muốn không phải là một người khác mà mình không mong muốn. Tính Toàn vẹn Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một việc làm vô cùng quan trọng. Vì vậy VPN đã làm được điều đó một cách hoàn hảo. Tính bảo mật Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu là vô cùng khó khăn đối với người khác. 1.2.2 Tiện ích chính của mạng riêng ảo VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệp trong công việc kinh doanh của mình. Có thể dùng VPN để đơn giản hoá việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộ đến từng văn phòng chi nhánh, thậm chí triển khai mạng mở rộng đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích của VPN có thể được dẫn dưới đây. Mặt kinh tế GVHD: TS.Trần Văn Dũng 3 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới một cách tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công ty chỉ việc thuê các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ viễn thông không cần phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn. Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư khi sử dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí đường dài truy cập VPN cho các nhân viên di động và các nhân viên đi công tác xa công ty nhờ vào việc họ truy nhập vào mạng thông qua các điểm kết nối ở nơi mình cư trú, hạn chế gọi đường dài tới các modem tập trung. Tính linh hoạt Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng. Người sử dụng có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc thù công việc. Khách hàng của VPN qua mạng mở rộng này, cũng có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm. Cũng như các ứng dụng thiết yếu khác, khi truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN, modem, modem cáp, đường dây thuê bao số v..v, mà không cần quan tâm đến những phần phức tạp bên dưới. Mở rộng và phát triển Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa trên mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao cho việc xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối giữa các chi nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện thoại hoặc qua đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng thông đường truyền lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần thiết. 1.2.3 Nhược điểm và nhưng giải pháp khắc phục Sự tin cậy và thực thi Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử dụng một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy chủ là khá nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ liệu được truyền tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông tin dữ liệu là chuyện thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số dịch vụ khác để có thể hạn chế và điều chỉnh được lưu lượng truyền tải trong mạng một các hợp lý nhất. GVHD: TS.Trần Văn Dũng 4 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Sự rủi ro về an ninh Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của mạng công cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như là nhưng điều được cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng giải pháp an toàn cho việc dùng mạng riêng ảo, nhưng vấn đề an toàn không bao giờ là tuyệt đối. Vấn đề càng đưa các giải pháp bảo mật vào bao nhiều thì nó cũng ảnh hưởng đến giá thành của dịch vụ, và điều đó là một điều không mong muốn từ nhà cung cấp dịch vụ cũng như người sử dụng dịch vụ. Nên việc sử nhưng giải pháp trong VPN cũng phải được cân nhắc làm sao tối ưu nhất. 1.3 Mô hình VPN Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa trên mạng. - Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của người dùng như là các đường kết nối riêng. - Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định tuyến lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng vào đường đi tối ưu nhất mà không cần phải có sự tham gia của người dùng. 1.3.1 Mô hình VPN chồng lấn Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường thuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau. Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các đường thuê riêng này được thiết lập giữa các site của người dùng cần kết nối. Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng. Frame Relay được xem như là một công nghệ VPN được đua ra trong những năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê kênh riêng (leased line), ở đây người dùng không được cung cấp các đường dành riêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi người dùng là riêng biệt. GVHD: TS.Trần Văn Dũng 5 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn. Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router người dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của người dùng trao đổi. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo truyền dữ liệu điểm - điểm giữa các site của người dùng. VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng mạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lý nhất vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứng cho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền. Hai công nghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE). Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là tốc độ thông tin ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớn nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng người dùng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay. Để làm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyển mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có các mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của mình thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất. GVHD: TS.Trần Văn Dũng 6 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Hình 1.1: Mô hình VPN chồng lấn Một số ưu điểm của VPN chồng lấn • Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà cung cấp dịch vụ. • Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn. Hạn chế của mô hình VPN chồng lấn • VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác nhau. • Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp. • Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải có sự đầu tư lớn trong việc này. 1.3.2 Mô hình VPN ngang cấp Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN ngang cấp để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu qua mạng đường trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến GVHD: TS.Trần Văn Dũng 7 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số của người dùng. Tức là Router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với Router CE của người dùng. Hình 1.2: Mô hình VPN ngang cấp Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện hai mạng VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một hay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE 1B1 và CE2B1 còn site 3 trong VPN B chỉ có 1 CE đó là CE B3. Hình vẽ còn thể hiện các đích có thể truy nhập đến trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến một bộ định tuyến biên nhà cung cấp dịch vụ (PE). Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2 được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng. Một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN B được kết nối tới PE1 và PE2. Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung cấp dịch vụ (P). Các bộ định tuyến loại này không kết nối các site của người dùng. Việc cung cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải quan tâm đến băng GVHD: TS.Trần Văn Dũng 8 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số thông đầu vào và ra ở mỗi site mà không cần quan tâm đến toàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình VPN chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của site của VPN người dùng. Nhà cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng VPN ngang hàng là chia sẽ bộ định tuyến dành riêng cho mỗi kênh thuê bao. Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng lấn: Việc định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin định tuyến với một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn VPN, số lượng Router láng giềng có thể phát triển với số lượng lớn. Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối ưu cho các Route của họ. Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp: Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN chia sẽ cùng Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng Router PE. Hình 1.3: Mô hình VPN ngang cấp dùng Router chung Phương pháp chia sẻ bộ định tuyến Trong mạng VPN các người dùng sử dụng và cùng chia sẻ một bộ định tuyến biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng GVHD: TS.Trần Văn Dũng 9 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu hình một dang sách truy cập mạng (Access List) cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly giữa các người dùng VPN. Đồng thời ngăn chặn VPN của người dùng này thực hiện các tấn công từ chối dịch vụ DoS (Denial of Serverce) vào VPN của người dùng khác. Nhà cung cấp dịch vụ chia các phần trong không gian địa chỉ của nó cho người dùng và quản lý việc chọn lọc gói tin trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch vụ phải quan tâm và đầu tư vào vấn để bảo mất dữ liệu của mỗi người dùng. Phương pháp sử dụng bộ định tuyến dành riêng Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt dành riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ định tuyến trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng định tuyến cho mỗi VPN. Các bảng định tuyến này được tạo ra riêng biệt khác nhau để có sự phân biệt giữa các VPN. Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có dải truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong phương pháp này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình và dễ duy trì, nhưng nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt hệ thống của mình và phục vụ tốt nhu cầu của người dùng. Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng người dùng khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch vụ phải mang tất cả các tuyến của người dùng. 1.4 Phân loại VPN VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số nhu cầu cơ bản sau đây: • Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi người dùng yêu cầu. • Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia thành ba loại VPN cơ bản. GVHD: TS.Trần Văn Dũng 10 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số • VPN truy nhập từ xa • VPN cục bộ • VPN mở rộng 1.4.1 VPN truy nhập từ xa Những thành phần chính trong mô hình VPN truy nhập từ xa : • Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Nó chịu trách nhiệm điều hành toàn bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này. • Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cách nhanh chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung tâm máy chủ • Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống và quản lý bộ xử lý trung tâm. Và hỗ trợ truy cập từ xa bởi người dùng. Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xa hoặc các văn phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua mạng Internet. Hệ thống VPN truy nhập từ xa có mô hình dưới đây. Hình 1.4: Cấu hình VPN truy nhập từ xa Một hướng phát triển mới trong VPN truy nhập từ xa là dùng VPN sử dụng sóng vô tuyến, trong đó một người dùng có thể truy nhập về mạng của mình thông qua kết nối không dây. Việc thiết kế kết nối không dây phải cần một bộ thu phát không dây về GVHD: TS.Trần Văn Dũng 11 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số mạng của mình. Trong cả hai trường hợp có dây và không dây, phần mềm máy khách PC đều cho phép khởi tạo các kết nối bảo mật, còn gọi là đường hầm. Trong việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu cầu thông tin được xuất phát từ một nguồn tin đáng tin cậy. Hình 1.5: Mô hình VPN truy nhập từ xa Một số ưu điểm của VPN truy nhập từ xa so với một số phương pháp truy nhâp truyền thống. • VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng bởi vì quá trình kết nối từ xa được các nhà cung cấp dịch vụ thực hiện. • Các khoản chi phí cho các kết nối từ xa bởi các kết nối khoảng cách được thay thế bởi các kết nối cục bộ thông qua mạng Internet. • Cung cấp các dịch vụ giá rẻ cho người dùng ở xa, tạo sự thuận lợi cho việc phát triển mạng. • VPN cung cấp khả năng truy nhập tốt hơn đến các site của các công ty vì chúng hỗ trợ mức thấp nhất chi phí dịch kết nối. • Một số nhược điểm của mang VPN truy nhập từ xa: • VPN truy nhập từ xa không hỗ trợ các dịch vụ bảo đảm chất lượng dịch vụ điều đó rất bất lợi cho người dùng mỗi khi có nhưng thông tin quan trọng muốn gửi đi, không được đảm bảo an toàn. Nên việc mất cắp dữ liệu và các gói dữ liệu không đến đích là có thể xẩy ra. GVHD: TS.Trần Văn Dũng 12 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số • Khi sử dụng các loại thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể. Điều đó bất lợi cho việc giải mã và truyền đi trên mạng. • Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, video, âm thanh sẽ rất chậm. 1.4.2 VPN cục bộ VPN cục bộ (Intranet VPN) là một dạng cấu hình của VPN điểm tới điểm, được sử dụng để bảo mật các kết nối giữa các điểm khác nhau của một công ty. VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối truy nhập luôn được mã hoá bảo mật. Cách này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng công ty. Hình 1.6: Kiến trúc VPN cục bộ VPN cục bộ được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến nhóm mạng sử dụng Router biên. Theo mô hình này sẽ rất tốn kém do phải sử dụng 2 Router để thiết lập được mạng, hơn thế nữa việc triển khai, bảo trì và quản lý mạng đường trục sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng cục bộ. Ðể giải quyết vấn đề trên, mạng WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng cục bộ, xem hình bên dưới: GVHD: TS.Trần Văn Dũng 13 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Hình 1.7: Cấu hình cục bộ trên cơ sở VPN Nhưng ưu điểm của mạng VPN cục bộ • Mạng VPN cục bộ có thể được thiết lập thông qua một hay nhiều nhà cung cấp dịch vụ, trong kết nối này đều có tiêu chuẩn kết nối chung. • Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số Remote site khác nhau. • Việc thiết lập mạng ngang hàng mới ở đây rất dễ dàng vì VPN được sử dụng trên cơ sở hạ tầng của mạng cục bộ. • Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện mạng cục bộ. • Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với các công nghệ chuyển mạch tốc độ cao. Nhưng nhược điểm của mạng VPN cục bộ • Khi dữ liệu vẫn còn trên đường hầm trong suốt quá trình chia sẽ trên mạng công cộng và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ vẫn còn là một mối đe doạ an toàn thông tin. • Khả năng mất dữ liệu khi truyền trên đường truyền là tương đối lớn. • Khi cần truyền dữ liệu lớn, tốc độ cao và việc bảo đảm tính thời gian thực là một vấn lớn trong môi trường truyền Internet. GVHD: TS.Trần Văn Dũng 14 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số 1.4.3 VPN mở rộng VPN mở rộng (Extranet VPN) được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm bảo mật giữa các người dùng, nhà cung cấp và đối tác thông qua hạ tầng mạng công cộng. Kiểu VPN này sử dụng các kết nối luôn được bảo mật và không bị cô lập với mạng bên ngoài như các trường hợp VPN cục bộ hay truy nhập từ xa. Hình 1.8: Mô hình VPN mở rộng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng người dùng. Có sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầu cuối của VPN Cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức. GVHD: TS.Trần Văn Dũng 15 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Hình 1.9: Một ví dụ về VPN mở rộng truyền thống Mạng mở rộng truyền thống rất tốn kém do có nhiều đoạn mạng riêng biệt trên mạng nội bộ kết hợp lại với nhau để tạo ra một mạng mở rộng. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân trong công việc bảo trì và quản trị. Thêm nữa là mạng mở rộng sẽ dễ mở rộng do điều này sẽ làm rối toàn bộ mạng cục bộ và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những khó khăn có xẩy ra khi kết nối một mạng nội bộ vào một mạng mở rộng. Triển khai và thiết kế một mạng mở rộng có thể là một điều khó của các nhà thiết kế và quản trị mạng Hình 1.10: Thiết lập VPN mở rộng Một số ưu điểm của VPN mở rộng: • Khi triển khai VPN mở rộng thì giá thành sẽ thấp hơn so với triển khai một mô hình khác có cùng chức năng và mục đích với VPN mở rộng • Trong công việc bảo dưỡng có thể thực hiện được khi mạng đang hoạt động không gây ảnh hưởng nhiều đến tốc độ cũng như tính bảo mật của nó • VPN được xây dựng dựa trên mạng công cộng nên nên nhà cung cấp dịch vụ có thể đa dạng nhiều loại gói cước khác nhau phù hợp với mỗi đối tượng người dùng. GVHD: TS.Trần Văn Dũng 16 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số • Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm được số lượng nhân viên kĩ thuật, giảm được chi phí vận hành của hệ thống mạng. Bên cạnh nhưng ưu điểm nổi bật trên thì VPN mở rộng còn có một số nhược điểm cần được khắc phục: • Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn có thể xẩy ra trong quá trình hoạt động của mạng. • Do dựa trên Internet nên khi dữ liệu lớn khi đua lên đường truyền thì việc trao đổi diễn ra chậm. • Chất lượng dịch vụ cũng không đảm bảo được một cách hoàn hảo va tuyệt đối vì nó dựa trên mạng Internet. 1.5 Kết thúc chương Mạng Internet hiện nay là một cở sở hạ tầng tốt cho phép người dùng thay đổi mạng của họ theo ý muốn của mình. Đối với các công ty lớn có thể dễ dàng nhận thấy rằng các kết nối mạng WAN qua kênh thuê riêng là rất tốn kém và được thay thế bởi kết nối VPN. Đối với dịch vụ truy nhập từ xa, thay vì các đường kết nối tốc độ chậm hoặc các dịch vụ thuê kênh riêng đắt tiền, người sử dụng bây giờ có thể được cung cấp các dịch vụ truy nhập tốc độ cao với giá thành rẻ. Những người dùng có tính chất công việc phải di động thường phải di chuyển trong công việc có thể sử dụng kết nối tốc độ cao của Enthernet trong nhưng nơi mình đến để phục vụ công việc của mình một cách có hiệu quả hơn. Việc tiết kiệm chi phí trong công việc là một yếu tố vô cùng quan trọng mang VPN mang lại. Trong nhiều trường hợp này một vài yếu tố cũng cần được xem xét một cách cẩn thận, trong việc bảo mật của thông tin vì VPN sử dụng đường truyền là Internet. VPN được định nghĩa như là mạng kết nối các site người dùng đảm bảo tính bảo mật trên cở sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. Với sự linh hoạt trong việc kết nối trong mạng thì kết nối nhiều chi nhánh của công ty cũng như là các đối tác, cung cấp điều khiển quyền truy nhập của người dùng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác. Trong chương này đã trình bày về mô hình VPN và sơ lược một số phương pháp cơ bản để thiết lập VPN. Với những lợi ích cũng như một số nhược điểm của VPN trong GVHD: TS.Trần Văn Dũng 17 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số quá trình triển khai trong thực tế, chương sau sẽ đi sâu hơn vào việc triển khai cũng như nhưng tính năng tiêu biểu của VPN trên một số mô hình mạng cụ thể. Chương 2 Mạng riêng ảo VPN trong MPLS và các giao thức VPN MPLS-VPN như là sự kết hợp các ưu điểm của hai mô hình công nghệ mạng riêng ảo đó là chồng lấn và ngang hàng. Khi thiết lập các mạng riêng ảo trên nền MPLS cho phép đảm bảo định tuyến một cách tối ưu giữa các site người dùng, phân biệt địa chỉ người dùng thông qua nhận dạng tuyến và hỗ trợ xây dựng các mô hình VPN phức tạp trên cơ sở đích định tuyến. Trong chương này những vấn đề cơ bản về mạng riêng ảo trên nền MPLS, nguyên lý hoạt động cũng như khả năng mà MPLS-VPN mang lại. Các đặc điểm chính của loại hình mạng riêng ảo trên nền IPSec và MPLS cũng được so sánh qua đó làm nổi bật những ưu nhược điểm của giải pháp công nghệ MPLS-VPN. Nội dung trong chương này gồm có: • Công nghệ chuyển mạch nhãn MPLS • Các thành phần của mạng MPLS-VPN • Các mô hình MPLS-VPN • Hoạt động của MPLS-VPN • Bảo mật trong MPLS-VPN • Giao thức đường hầm trong VPN 2.1. Công nghệ chuyển mạch nhãn MPLS: 2.1.1. Tổng quan: MPLS (Multi-Protocol Label Switching) kết hợp đặc tính tốc độ và hiệu suất của các mạng chuyển gói với đặc tính linh hoạt các mạng chuyển mạch nhằm cung cấp giải pháp tốt nhất cho việc tích hợp voice, video và dữ liệu. Giống như các mạng chuyển mạch, MPLS thiết lập con đường kết nối cuối đến cuối trước khi truyền tải thông tin, và các con đường này được chọn dựa vào yêu cầu của ứng dụng. Mặt khác, giống như các mạng gói, các ứng dụng và người dùng có thể chia sẻ chung một kết GVHD: TS.Trần Văn Dũng 18 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số nối. Các ứng dụng MPLS có thể thay đổi rất rộng, từ mạng phân phát dữ liệu đơn giản tới các mạng nâng cao với khả năng đảm bảo phân phát dữ liệu có kèm thông tin dành cho con đường phụ. Một công nghệ mới MPLS đã xuất hiện và hứa hẹn những năng lực hỗ trợ rất lớn của WAN cho các doanh nghiệp. Các doanh nghiệp, tổ chức được đề cập ở đây có thể là bất kỳ một tổ chức nào, tập đoàn kinh tế, cơ quan chính phủ, hay hệ thống giáo dục. Một phương thức tiếp cận đáp ứng được các yêu cầu trên được biết đến hiện nay là công nghệ chuyển mạch nhãn MPLS. Các nhà cung cấp dịch vụ đang triển khai MPLS trên khắp mạng đường trục với sự quan tâm đặc biệt bởi khả năng vượt trội trong cung cấp dịch vụ chất lượng cao qua mạng IP, bởi tính đơn giản, hiệu quả và quan trọng nhất là khả năng triển khai VPN. Công nghệ chuyển mạch nhãn đa giao thức là một trong nhưng công nghệ tiến được một số hãng nổi tiếng chuyên về viễn thông đầu tư, nghiên cứu và đưa ra được nhưng tiêu chuẩn quốc tế. Với những ưu điểm nổi bật của MPLS mà nó đưa lại cho ngành viễn thông. Chuyển mạch nhãn đa giao thức là cơ chế ánh xạ địa chỉ lớp 3 vào nhãn ở lớp 2 và chuyển tiếp gói dữ liệu, thích hợp với cơ chế định tuyến ở tầng mạng. Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch ATM thành các bộ định tuyến chuyển mạch nhãn LSR. LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Trên đường truyền dữ liệu, LSR đầu được gọi là quyền lối vào (Ingress) LSR; LSR cuối cùng được gọi là quyền được ra (Egress) LSR, còn lại các LSR trung gian gọi là các Core LSR. Trong một mạng MPLS mỗi gói dữ liệu sẽ chứa một nhãn dài 20 bits nằm trong tiêu đề MPLS dài 32 bits. Đầu tiên, một nhãn sẽ được gán tại lối vào LSR để sau đó sẽ được chuyển tiếp qua mạng theo thông tin của bảng định tuyến. Khối chức năng điều khiển của mạng sẽ tạo ra và duy trì các bảng định tuyến này và đồng thời cũng có sự trao đổi về thông tin định tuyến với các nút mạng khác. GVHD: TS.Trần Văn Dũng 19 SVTH: Bùi Quang Huy Đồ án tốt nghiệp 8 Xây dựng mạng riêng ảo VPN Trường T/C nghề Số Hình 2.1: Mô hình mạng MPLS Việc chia tách riêng hai khối chức năng độc lập nhau là: chuyển tiếp và điều khiển là một trong các thuộc tính quan trọng của MPLS. Khối chức năng điều khiển sử dụng một giao thức định tuyến truyền thống (OSPF) để tạo ra và duy trì một bảng chuyến tiếp. Khi gói dữ liệu đến một LSR, chức năng chuyển tiếp sẽ sử dụng thông tin ghi trong tiêu đề để tìm kiếm bảng chuyển tiếp phù hợp và LSR đó sẽ gán một nhãn vào gói tin và chuyển nó đi theo tuyến chuyển mạch nhãn LSP (Label-Switched Path). Tất cả các gói có nhãn giống nhau sẽ đi theo cùng tuyến LSP từ điểm đầu đến điểm cuối. Đây là điểm khác với các giao thức định tuyến truyền thống, có thể có nhiều tuyến đường nối giữa hai điểm. Các Core LSR sẽ bỏ qua phần tiêu đề lớp mạng của gói, khối chức năng chuyển tiếp của những LSR này sử dụng số cổng vào và nhãn để thực hiện việc tìm kiếm bảng chuyển tiếp phù hợp rồi sau đó thay thế nhãn mới và chuyển ra ngoài vào tuyến LSP. MPLS được xây dựng dựa trên các công nghệ của hai tầng nên nó không phụ thuộc vào công nghệ của tầng nào, hướng tiếp cận khác cho rằng công nghệ MPLS là công nghệ lớp 2.5, nên MPLS được gọi là đa giao thức. Ngoài ra không yêu cầu một giao thức phân bố nhãn cụ thể nào. MPLS có một số ứng dụng quan trọng như kỹ thuật điều khiển lưu lượng, hỗ trợ QoS và mạng riêng ảo. Công nghệ MPLS là một dạng phiên bản của công nghệ IPOA (IP over ATM) truyền thống, nên MPLS có cả ưu điểm của ATM, tốc độ cao, QoS và điều khiển luồng và của IP độ mềm dẻo và khả năng mở rộng. Giải quyết được nhiều vấn đề của GVHD: TS.Trần Văn Dũng 20 SVTH: Bùi Quang Huy