Đề tài Đánh giá hiệu quả của các loại mạng riêng ảo

g. Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extranet VPN được mô tả như hình 2.6 Mô hình Extranet xây dựng trên VPN Ưu điểm : Giảm chi phí rất nhiều so với phương pháp truyền thống. Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. Do sử dụng đường truyền internet, bạn có nhiều lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức. Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống. Khuyết điểm : Nguy cơ bảo mật như tấn công từ chối dịch vụ vẫn còn tồn tại. Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng internet. Do truyền dữ liệu dựa trên kết nối trên internet nên chất lượng có thể không ổn định và chất lượng dịch vụ không đảm bảo. Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPN đã thỏa mãn rất tốt nhu cầu của các doanh nghiệp. 2.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi. Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, và quan tâm đến các yêu cầu an toàn. VPN có thể được phân loại theo ba loại sau : VPN phụ thuộc, VPN độc lập, VPN hỗn hợp. 2.2.1 VPN phụ thuộc. Trong trường hợp VPN phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về việc cung cấp giải pháp VPN hoàn chỉnh. Vì thế nó là trách nhiệm của nhà cung cấp dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an toàn và hiệu suất trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký có vai trò nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức không cần phải thay đổi cơ sở hạ tầng hiện có của nó. Hình 2.7 miêu tả cấu trúc của VPN phụ thuộc. Hình 2.7 : Cấu trúc VPN phụ thuộc. Xây dựng và quản lý VPN được thực hiện bởi nhà cung cấp dịch vụ. Khi một người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP `s POP xác nhận người dùng. Nếu NAS lưu trữ thông tin liên quan đến thông tin thành viên, đặc quyền và các thông số đường hầm, nó có thể tự xác nhận các người sử dụng. Tuy nhiên NAS có thể truy vấn một server RADIUS, AAA hoặc TACACS về các thông tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng (người đã khởi tạo một phiên VPN) gửi và nhận các gói dữ liệu không đường hầm. Các gói này được tạo đường hầm hoặc lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp. Cấu trúc phụ thuộc này cần có các phương pháp xác nhận người dùng sử dụng RADIUS, AAA hay TACACS và tốt nhất là thực hiện nó tại các mạng nổi bộ. Ta cũng cần sử dụng tường lửa để ngăn chặn truy cập trái phép từ các mạng nội bộ của tổ chức. 2.2.2 VPN độc lập. VPN độc lập thì ngược lại với VPN phụ thuộc. Ở đây toàn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng kí. Vai trò của nhà cung cấp dịch vụ trong trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thông trên internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức. Hình 2.8 miêu tả cấu trúc của VPN độc lập. Hình 2.8 : Cấu trúc VPN độc lập. VPN độc lập như trên hình, cung cấp một mức độ an toàn cao và cho phép tổ chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựa trên VPN. Hầu hết các nhà quản trị đánh giá VPN này có độ an toàn cao bởi vì tổ chức không phải giao sự chịu trách nhiệm của cấu trúc VPN cho một thực thể bên ngoài. Thêm vào đó, giá thành tổng cộng của VPN trong nhà không lớn hơn nhiều so với VPN phụ thuộc. Tuy nhiên, cách tiếp cận này thêm vào một nhiệm vụ và ở ngoài tầm kiểm soát của nhà quản lý mạng. 2.2.3 VPN hỗn hợp. Cấu trúc VPN hỗn hợp cung cấp một sự kết hợn các cách tiếp cận VPN độc lập và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức không giao giải pháp VPN hoàn chỉnh cho nhà cung cấp dịch vụ. Thay vào đó, một vài phần của giải pháp VPN được thực hiện và điều khiển bởi tổ chức trong khi phần còn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như hình 2.9. Hình 2.9 : VPN hỗn hợp có sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ. Một cách tiếp cận khác với VPN hỗn hợp như trên hình 2.10. Tổ chức giao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm soát toàn bộ thiết lập như trong cấu trúc phụ thuộc. Như vây, không có nhà cung cấp dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoàn chỉnh và theo cách này, tổ chức có thể thực hiện một VPN phụ thuộc mà không cần thêm nhiệm vụ quản lý VPN. Mặc dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nó cho phép tổ chức loại bỏ được sự độc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của cách tiếp cận này là nó tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, ta vẫn còn những kết nối khác. Hình 2.10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp. 2.3 Đánh giá các loại VPN dựa trên độ an toàn. Mặc dù VPN là các giải pháp an toàn dựa trên mức độ an toàn, ta có thể phân ra thành các loại VPN sau : VPN router tới router, VPN tường lửa tới tường lửa, VPN được tạo bởi khách hàng và VPN trực tiếp. 2.3.1 VPN router tới router. VPN router tới router cho phép tạo một kết nối an toàn giữa các văn phòng của một tổ chức lại với nhau thông qua mạng internet. VPN router tới router có thể thực hiện những việc sau. a. Đường hầm đơn giao thức theo yêu cầu Trong cách thực hiện này, một đường hầm an toàn được thiết lập giữa các router được ở bên phía khách hàng và bên kia trung tâm như hình 2.11. Các loại đường hầm này có thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để kết nối thành công đường hầm theo yêu cầu router tới router, các router tại cả hai đầu phải hỗ trợ các tính năng VPN như thuật toán mã hóa và cách thức trao đổi khóa. Một bất lợi lớn của phương pháp này là các đường hầm router tới router này phụ thuộc vào mạng nội bộ của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm. Hình 2.11 : Đường hầm đơn giao thức theo yêu cầu router tới router. b. Đường hầm đa giao thức theo yêu cầu. Cách tạo đường hầm này là sự mở rộng logic của các đường hầm đơn giao thức theo yêu cầu vì nó hỗ trợ nhiều giao thức đường hầm giữa hai vùng thông qua internet. Khi một khách hàng không có IP yêu cầu thiết lập một phiên VPN, một đường hầm “trong suốt”. Đường hầm này được thiết lập giữa các router tại hai đầu cuối như hình 2.12. Sau đó các dữ liệu không IP được đóng gói trong đường hầm và truyền qua internet hoặc bất kỳ mạng công cộng nào để đến được router đích. Hình 2.12 : Đường hầm đa giao thức theo yêu cầu router tới router. c. Các phiên mã hóa theo yêu cầu. Với cách thực hiện này, một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router tại hai đầu, mặc dù nhiều yêu cầu kết nối được phát ra ở cùng một nơi. Hình 3.13 mô tả các phiên được mã hóa dựa trên yêu cầu giữa hai router. Kết quả là nhiều đường hầm riêng rẽ tồn tại đồng thời kết nối hai vùng lại với nhau. Mỗi phiên mã hóa khác nhau. Bất lợi của cấu trúc VPN này là nó cần chi phí khá lớn. Hình 2.13 : Các phiên VPN mã hóa theo yêu cầu. 2.3.2 VPN tường lửa tới tường lửa. VPN tường lửa tới tường lửa được chia theo hai cách sau: a. Đường hầm đơn giao thức theo yêu cầu. Như hình 2.14, cách thực hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router, ngoại trừ rằng việc các bức tường lửa được sử dụng ở hai đầu. Với cách làm này thì dữ liệu sẽ có một độ an toàn cao hơn. Khi cần, các nhà quản trị mạng có thể thêm vào các điều kiện bảo mật chặt chẽ hơn. Với sự hỗ trợ của tường lửa, lưu lượng có thể kiểm soát chặt chẽ hơn. Hình 2.14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa. b. Đường hầm đa giao thức theo yêu cầu. Cách thực hiện tường lửa tới tường lửa chỉ ra các vấn đề liên quan đến sự khác nhau giữa các bức tường lửa sử dụng ở hai đầu giao tiếp; các bức tường lửa khác nhau không thể truyền thông thành công trong môi trường VPN. Các bức tường lửa ở cả hai đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thông thuộc về các giao thức khác nhau. Giao thức IPSec được sử dụng cho mục đích này vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa. Tuy nhiên yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên IPSec. Hình 2.15 mô tả các đường hầm tường lửa tới tường lửa đa giao thức dựa trên yêu cầu. Hình 2.15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa. 2.3.3 VPN được khởi tạo bởi khách hàng. Đối với loại VPN được khởi tạo bởi khách hàng thì kĩ thuật mã hóa và quản lý đường hầm được thiết lập từ phía khách hàng VPN. Như vậy các khách hàng VPN đóng vai trò quan trọng trong việc khởi tạo các đường hầm. Loại VPN này có thể được phân nhỏ ra thành hai loại sau : a. VPN được khởi tạo từ khách hàng tới tường lửa hoặc router. Theo cách thực hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên hình 2.16. Tường lửa phải hỗ trợ việc xử lý các yêu cầu khởi tạo bởi khách hàng cho một phiên VPN. Cách làm này tạo ra một quá trình xử lý khổng lồ lên khách hàng vì sự quản lý, phân phối khóa và độ an toàn đưa đến việc xử lý có độ phức tạp cao. Thêm vào đó, khách hàng phải đối mặt với các vấn đề khác để có thích ứng với các hệ điều hành và các nền cấu trúc khác nhau của hệ thống. Hình 3.16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router. b. VPN được khởi tạo từ khách hàng tới máy chủ. Với cách thực hiện tường lửa tới tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt ra yêu cầu và bộ xử lý yêu cầu như trên hình 2.17. Phương thức này tạo ra một nhiệm vụ xử lý khổng lồ ở phía khách hàng nhưng nó có độ an toàn hơn nhiều so với VPN khởi tạo từ khách hàng tới tường lửa vì nhà cung cấp dịch vụ trung gian hoàn toàn không hề biết sự tồn tại của đường hầm. Điều này giảm nguy cơ của sự tấn công đường hầm. 2.3.4 VPN trực tiếp. VPN trực tiếp không tạo ra các đường hầm truyền hai hướng. Thay vào đó một đường hầm một hướng truyền duy nhất được thiết lập giữa hai đầu cuối truyền thông như hình 2.18. Dữ liệu được mã hóa trong VPN trực tiếp tại lớp thứ 5 của mô hình OSI. Hình 3.18 : Kiến trúc VPN trực tiếp. Khi so sánh với đường hầm hai chiều, cấu trúc VPN trực tiếp cung cấp độ an toàn cao hơn theo các cách sau : Trong mối quan hệ tin cậy hai chiều, khi một hacker thành công trong việc truy cập vào một mạng, tất cả các mạng kết nối đều bị ảnh hưởng bởi hacker có thể truy cập vào các mạng kết nối này với các lỗ hổng bảo mật trong đường hầm hai chiều. Nếu hacker đã lấy được thông tin của một chiều thì nó có thể mạo danh để lấy thông tin của chiều còn lại. Nhưng điều này không thể thực hiện được trong trường hợp VPN trực tiếp . Do dòng lưu thông chỉ có một hướng trong VPN trực tiếp nên khi một hacker đã có thể truy cập vào một bên của truyền thông, xác suất của sự đe dọa sự an toàn chỉ còn một nửa do việc sử dụng các đường hầm một chiều. Điều khiển truy nhập trong cách tiếp cận bằng đường hầm hai chiều được dựa trên địa chỉ nguồn và địa chỉ đích. Trái lại, sự điều khiển truy cập trong VPN trực tiếp còn có thể dựa vào địa chỉ nguồn và đích, dựa vào các thông số cơ bản khác như ID người sử dụng, thời gian và ứng dụng. VPN trực tiếp có thể dựa trên nội dung của các gói dữ liệu để điều khiển truy nhập. Sự chứng thực người sử dụng thì chặt chẽ hơn trong trường hợp VPN trực tiếp bởi có sự thêm vào của các máy chủ RADIUS, các router, gateway và các tường lửa để chứng thực người dùng ở xa, máy chủ VPN cũng như khách hàng VPN cũng có khả năng chứng thực cho đầu kia. Điều này không có trong trường hợp các cấu trúc VPN khác. Trong các trường hợp khác, các yêu cầu VPN được cho qua đường hầm qua một chuỗi các thiết bị trung gian như NAS, chuỗi các router, tường lửa…. Các thiết bị này sẽ chứng thực cho đầu cuối VPN dựa trên địa chỉ IP nguồn và đích. Với phương pháp đường hầm hai chiều được sử dụng thì các hacker dễ dàng nhái một địa chỉ IP và chúng sẽ dùng địa chỉ này để xâm nhập vào hệ thống. Mã hóa VPN trực tiếp dựa trên lớp phiên. Lớp này được tổ chức các kỹ thuật mã hóa đa dạng khác nhau. Do đó, mã hóa trong VPN trực tiếp thì phức tạp hơn so với cấu trúc VPN khác. 2.4 Đánh giá VPN dựa theo lớp. Dựa trên mô hình OSI các loại VPN có thể được xếp vào một trong hai loại lớn sau : VPN lớp liên kết và VPN lớp mạng. 2.4.1 VPN lớp liên kết. VPN lớp liên kết sử dụng kết nối ở lớp liên kết. Các giao dịch ở VPN lớp liên kết bị giới hạn ở mạng cục bộ vì chúng sử dụng địa chỉ MAC. Vì vậy, lớp liên kết có chức năng tương tự như một mạng cá nhân. Dựa trên kỹ thuật lớp liên kết, VPN lớp liên kết có bốn loại sau : a. Các kết nối Frame Relay ảo Các kết nối ảo dựa trên Frame Relay sử dụng cơ sở hạ tầng chuyển mạch của các mạng cá nhân mà chúng kết nối. Sự khác biệt chính giữa các kết nối ảo và các kết nối chuyên dụng là trong các kết nối ảo, hai đầu cuối sử dụng định thời thích nghi dữ liệu trong suốt quá trình giao dịch. Như vậy tốc độ giao dịch được chỉnh phù hợp với ứng dụng và các yêu cầu tín hiệu. b. Các kết nối ảo VPN Các kết nối ảo VPN tương tự như các kết nối ảo dựa trên Frame Relay. Tuy nhiên các kết nối này sử dụng cơ sở hạ tầng ATM của mạng cá nhân. Các kết nối ảo này cũng thiếu sự đồng bộ thời gian dữ liệu. Các kết nối ảo ATM tương đối nhanh hơn và cho hiệu suất tốt hơn. Vì thế các kết nối ATM ảo thì giá thành cao hơn các kết nối ảo Frame Relay. c. Đa giao thức trên ATM (MPOA). Các kết nối VPN dựa trên MPOA hoàn toàn dựa trên cơ sở hạ tầng của ATM. Tuy nhiên chúng có thể hỗ trợ đa giao thức bởi vì chúng phụ thuộc vào các router đặt tại cạnh của mạng cá nhân để xác định đường truyền thuận lợi trong mạng ATM. Cách tiếp cận này không phổ biến vì dựa trên cơ sở hạ tầng ATM là hạ tâng không chấp nhận một mạng nội bộ hỗn hợp sử dụng nhiều kĩ thuật mạng khác nhau. Chuyển mạch đa giao thức (MPLS). MPLS cung cấp một phương pháp hiệu quả để triển khai VPNs dựa trên IP qua ATM dựa trên backbone WAN. Trong MPLS, router MPLS VPN tạo nên các bảng định tuyến chuyên biệt VPN sử dụng các giao thức định tuyến VPN bao gồm BGP, EIGRP…. Mỗi router được cấp một nhãn. Thông tin định tuyến nhãn được chuyển tới router gắn vào. Trong suốt quá trình truyền, thiết bị MPLS đều nhận các gói IP này bao đóng các gói IP sử dụng nhãn MPLS. Sau đó, nhãn MPLS chứ không phải là header IP sử dụng để định tuyến các gói qua cơ sở hạ tầng ATM. Trên khía cạnh của mạng nội bộ, khi các gói sắp truy cập vào cơ sở hạ tầng dựa trên IP (như Internet) thì nhãn MPLS được bỏ đi. Hình 2.19 mô tả hoạt động của các MPLS. Hình 2.19 : Kiến trúc MPLS VPN lớp liên kết. 2.4.2 VPN lớp mạng. VPN lớp mạng còn được gọi là VPN lớp 3, sử dụng chức năng của lớp mạng và có thể tổ chức theo hai loại sau : a. Mô hình peer VPN. Trong mô hình peer VPN, đường truyền thuận của lớp mạng được tính trên cơ sở các bước nhảy. Một cách đơn giản hơn, đường truyền được xem xét tại mỗi router trên đường tới mạng đích. Vì thế tất cả các routers trong đường truyền dữ liệu được xem ngang hàng như trong hình 2.20. VPN trong mạng định tuyến truyền thông là một ví dụ của mô hình VPN peer. Vì mỗi router trong đường truyền thì ngang hàng với tất cả các router được gắn trực tiếp với nó. Hình 2.20 : Kiến trúc VPN ngang hàng. b. Mô hình VPN che phủ. Không giống mô hình VPN ngang hàng, các mô hình VPN che phủ không tính đường truyền mạng tới mạng đích dựa trên bước nhảy. Thay vào đó cơ sở hạ tầng mạng trung gian được sử dụng như từ router tới đường truyền dữ liệu. VPN dựa trên ATM, VPN Frame Relay và kỹ thuật VPN sử dụng đường hầm là các ví dụ của mô hình VPN che phủ. Mạng VPN lớp ba rất phổ biến và xem như là mạng quay số riêng ảo (VPDNs). VPNs lớp 3 thường sử dụng 2 kĩ thuật lớp 2 – PPTP và L2TP cho đường hầm. VPDNs cũng sử dụng IPSec là tiêu chuẩn VPN trong thực tế vì nó cung cấp khả năng mã hóa và xác nhận toàn diện. 2.5 Đánh giá các loại VPN dựa trên quy mô lớp mạng. Dựa vào phạm vi, kích cỡ, mức độ phức tạp của thiết lập VPN, có thể chia thành năm mức : VPN của tổ chức có quy mô nhỏ, quy mô nhỏ tới trung bình, quy mô trung bình, quy mô trung bình tới lớn và quy mô lớn. 2.5.1 VPN có quy mô nhỏ. Đối với VPN này, số thành viên của mạng khoảng dưới năm mươi người và nằm gần nhau trong cùng một khu vực. Do phải phục vụ lượng truy cập nhỏ, địa bàn hẹp nên VPN loại này là dễ thiết lập nhất với chi phí không lớn. VPN loại này chỉ hỗ trợ người dùng trong phạm vi nhỏ, không hỗ trợ cho người dùng ở khoảng cách xa. Với cơ chế bảo mật đơn giản nên nó dễ bị tấn công. 2.5.2 VPN có quy mô nhỏ tới trung bình. Là VPN có quy mô mạng nội bộ từ 2 đến 20 mạng chi nhánh ở xa và khoảng 250 người dùng ở xa có thể truy cập vào mạng của tổ chức. Mạng có thể hỗ trợ 250 người truy cập cùng một lúc vào mạng. Với quy mô này, để đảm bảo tính an toàn, VPN cần thực hiện chứng thực người dùng và tạo đường hầm bảo mật IPSec khi truyền dữ liệu. Yêu cầu tối thiểu đối với loại VPN này là : Mã hóa dữ liệu sử dụng DES. Quản lý khóa sử dùng IKE. Cơ chế xác nhận người sử dụng. Ít nhất một gateway VPN. Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa. Một tùy chọn truy cập nhanh như T1 hay T3. Ưu điểm : VPN này rất dễ dàng thiết lập và có giá vừa phải. Chúng cũng cung cấp một sự an toàn nhất định cho dữ liệu trong quá trình truyền. Thêm vào đó nó cũng hỗ trợ người dùng truy cập từ xa ở bất kì nơi nào. Tuy nhiên loại VPN này chỉ sử dụng IPSec mà mạng nội bộ mở rộng không hỗ trợ IPSec. 2.5.3 VPN có quy mô trung bình. VPN có quy mô trung bình có từ 10 đến 100 mạng chi nhánh ở xa, có thể hỗ trợ 500 người dùng ở xa. VPN quy mô này cung cấp mức độ bảo mật cao hơn và là giải pháp hiệu quả về chi phí. Nó hỗ trợ kết nối từ xa của người dùng và kết nối điểm – điểm. Các yêu cầu chính của VPN này gồm : Mã hóa dữ liệu dùng IPSec và 3DES. Quản lý khóa dựa vào IKE. Một cơ chế xác nhận người dùng địa phương như các tokens mềm. Ít nhất là từ 2 tới 5 gateway VPN hoặc một gateway có thể hỗ trợ tới 500 kết nối đồng thời. Các cơ chế an toàn thêm vào AAA, RADIUS, TACACS, NAT hoặc tường lửa. Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa. Các tùy chọn truy cập tốc độ cao như T1 hay T3. VPN loại này hỗ trợ nhiều kết nối hơn và cung cấp độ an toàn cao hơn nhưng phải sử dụng IPSec mà mạng nội bộ lại không hỗ trợ IPSec. Thêm vào đó, cơ sở hạ tâng không hộ trợ các ứng dụng thời gian thực. Mặt khác, khi sử dụng cơ chế bảo mật như AAA, RADIUS, NAT làm tăng tính an toàn cho mạng nội bộ nhưng tăng sự phức tạp khi quản trị hệ thống. 2.5.4 VPN có quy mô trung bình đến lớn. VPN có quy mô đến vài trăm mạng chi nhánh trải dài trên phạm vi rộng, có khả năng hỗ trợ vài trăm ngàn người dùng truy cập từ xa. Nó có khả năng hỗ trợ kết nối điểm – điểm và kết nối từ mạng nội bộ đến người dùng từ xa. Nó có khả năng truyền dữ liệu thời gian thực, tốc độ cao nên VPN loại này có thể truyền hội nghị dùng video. Và do đó, chi phí thiết lập và duy trì hoạt động của mạng sẽ cao hơn VPN quy mô trung bình. Các yêu cầu tối thiểu của VPN này bao gồm : Một kết nối ISP với một SLA định nghĩa rõ ràng. Dịch vụ thư mục tập trung như X500 hay LDAP. Mã hóa dữ liệu dựa vào IPSec và 3DES. Quản lý khóa dựa vào IKE. Một cơ chế xác nhận người sử dụng địa phương như các tokens mềm và cards thông mình. Các chơ chế bảo mật thêm vào như là : AAA, RADIUS, TACACS, NAT và các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn. Các dịch vụ trong nhà. Một chính sách truy cập từ xa được định nghĩa rõ ràng. Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa. Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3. VPN quy mô này rất phức tạp trong việc quản lý, kiểm tra cấu hình và thực thi bởi nguồn tài nguyên của tổ chức được phân bố rộng và chi phí thiết lập, duy trì sự hoạt động của mạng là rất cao. 2.5.5 VPN có quy mô rất lớn. Quy mô của mạng có thể lên tới hàng ngàn chi nhánh ở xa, trải rộng trên nhiều nước, có thể hỗ trợ vài chục ngàn người dùng ở xa. Cơ chế bảo mật dùng trong mạng này là cao nhất và phức tạp nhất so với VPN có quy mô nhỏ hơn. Nó có khả năng đáp ứng nhiều loại dịch vụ phức tạp, tốc độ cao, yêu cầu thời gian thực, có thể hỗ trợ giao dịch thương mại điện tử, giao dịch audio, video… Khi xây dựng mạng cần dự phòng việc mở rộng trong tương lai. Do đó, chi phí xây dựng mạng này cũng cao. Các yêu cầu tối thiểu của mạng này bao gồm : Kết nối ISP với một SLA được định nghĩa rõ ràng. Dịch vụ thư mục tập trung như LDAP. Mã hóa dữ liệu dựa trên IPSec và 3DES. Quản lý khóa dựa trên IKE. Một cơ chế xác nhận người dùng gốc như các tokens mềm, các cards thông mình. Ít nhất từ 10 đến 20 VPN gateways hoặc một gateway có thể hỗ trợ 5000 giao dịch đồng thời. Khả năng quản lý dư thừa cao và băng thông rộng. Một chính sách truy cập từ xa được định nghĩa rõ ràng. Các cơ chế bảo mật thêm vào như AAA, RADIUS, TACACS, NAT và các bức tường lửa tại trụ sở chính và các chi nhánh lớn. Các dịch vụ trong nhà. Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa. Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3. 2.6 Đánh giá hiệu quả của VPN – MPLS. 2.6.1 Tổng quan về VPN – MPLS. MPLS là thuật ngữ viết tắt của Multi-Protocol label Switch (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp hai trong mạng như các thiết bị chuyển mạch thành các bộ định tuyến chuyển mạch nhãn LSR. LSR có thể được xem như một sự kết hợp giữa hai hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Công nghệ MPLS là một dạng phiên bản của công nghệ IpoA (IP over ATM) truyền thống nên MPLS có cả ưu điểm của ATM (tốc độ cao, QoS và điểu khiển luồng) của IP (độ mềm dẻo và khả năng mở rộng). Giải quyết được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ mạng trục IP lý tưởng. Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng theo mọi hướng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như leased line, X25, ATM không thể đáp ứng yêu cầu của các khách hàng. Sự xuất hiện của MPLS sẽ giúp xây dựng được một mạng mềm dẻo đa dịch vụ, có khả năng tích hợp các dịch vụ của intranet, extranet, internet và hỗ trợ VPN đa dịch vụ. Với mạng sử dụng MPLS, rất nhiều dịch vụ chất lượng cao được cung cấp như : Tải tin cho các mạng số liệu, internet và thoại. Lưu lượng thoại được chuyển dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục truyền thống đang hoạt động. Cung cấp dịch vụ truy nhập internet tốc độ cao tại một số địa phượng trọng điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ gói. Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp, tổ chức như ngân hàng, các hãng thông tấn báo chí. Cung cấp dịch vụ VPN cho các công ty xuyên quốc gia và các doanh nghiệp, tổ chức lớn. Đây được coi là một dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh doanh và tăng khả năng cạnh tranh của các nhà khai thác. Cung cấp dịch vụ video. Hình 2.21 : Mô hình mạng MPLS VPN đơn giản. 2.6.2 Nhược điểm của VPN truyền thống. Giao thức phổ biến trong hầu hết các mạng VPN truyền thống hiện nay là giao thức IPSec. Chúng sử dụng các giao thức đường hầm, mã hóa dữ liệu, nhận thức để đạt khả năng bảo mật dữ liệu khi truyền giữa hai điểm đầu cuối. Sau đây là ví dụ truyền dữ liệu trong mạng VPN sử dụng đường hầm IPSec thông qua một nhà cung cấp dịch vụ hay mạng internet công cộng sử dụng mã hóa 3DES. Hình 2.22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN. Dễ nhận thấy nhất ở mạng IPSec là mạng có hiệu năng thấp. Việc các thiết bị đầu cuối thuê bao (Customer Premise Equipment - CPE) ở hai đầu thiết bị cuối tiến hành kiểm tra gói tin, sau đó mã hóa và đóng gói các gói tin IP gây tốn thời gian và gây trễ cho gói tin. Nếu gói tin được truyền đi trong mạng có kích thước lớn hơn kích thước tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE thì các gói tin đó phải phân thành các gói tin nhỏ hơn. Điều này chỉ xảy ra trường hợp bit DF (don`t fragment) không được thiết lập. Còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát. Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện IPSec bằng phần cứng có tốc độ xử lý gói tin cao hơn những chi phí cho ác thiết bị này rất đắt. Điều này dẫn đến chi phí triển khai một IPSec VPN là rất tốn kém. Từ ví dụ này, ta thấy IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. Điều này sẽ được làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo ra cấu hình mạng không tối ưu. Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa khá