MỤCLỤC
MỤCLỤC .i
LỜIMỞ ĐẦU .1
Chương 1 Khái quátvề VPN .2
1.1Sự phát triểncủa các loại VPN .2
1.2 Khái niệmmạng riêng ảo. .3
1.3 Các thành phầncơbảncủa VPN .4
1.3.1 Máy chủ VPN. .4
1.3.2 Máy khách VPN. .5
1.3.3Bộ định tuyến VPN. .5
1.3.4Bộtập trung VPN. .7
1.3.5Cổngnối VPN. .7
1.3.6Tờnglửa .7
1.4 Các giao thức xâydựng IP-VPN . 10
1.4.1 IP Security . 10
1.4.2 Giao thức đờnghầm điểm-điểm PPTP . 13
1.4.3 Giao thức đờnghầmlớp 2 L2TP . 16
Chương 2.Đánh giá chungvề hiệu quảsửdụngcủamạng riêng ảo . 23
2.1 Các tiêu chí để đánh giá hiệu quảmạngsửdụng giải pháp VPN . 23
2.2 Ưu điểm và khuyết điểmcủa VPN . 24
2.2.1 Ưu điểm: . 24
2.2.2 Khuyết điểm: . 25
Chương 3. Đánh giá hiệu quảsửdụng các loại VPN . 26
3.1 Đánh giá các loại VPN phân theo chứcnăngkếtnối . 26
3.1.1 VPN truycậptừ xa:. 26
3.1.2 Intranet VPN: . 28
3.1.3 Extraner VPN:. 30
3.2 Đánh giá các loại VPN phụ thuộc vàosự thực thi . 32
3.2.1 VPN phụ thuộc. 32
3.2.2 VPN độclập . 33
3.2.3 VPNhỗnhợp . 33
3.3 Đánh giá các loại VPNdựa trên độ an toàn . 35
3.3.1 VPN routertới router . 35
3.3.2 VPNtờnglửatớitờnglửa . 37
3.3.3 VPN đợc khởitạobởi khách hàng : . 39
3.3.4 VPN trực tiếp . 40
3.4 Đánh giá VPNdựa theolớp . 41
3.4.1 VPNlớp liênkết . 41
3.4.2 VPNlớpmạng . 43
3.5 Đánh giá các loại VPNdựa trên qui mômạng . 44
3.5.1 VPN có quy mô nhỏ . 44
3.5.2 VPN có quy mô nhỏtới trung bình . 44
3.5.3 VPN có quy mô trung bình . 45
3.5.4 VPN có quy mô trung bình đếnlớn. . 46
3.5.5 VPN có quy môrấtlớn. 46
3.6 Đánh giá hiệu quảcủa VPN - MPLS . 47
3.6.1Tổng quanvề VPN - MPLS . 47
3.6.2 Nhợc điểmcủa VPN truyền thống. . 48
3.6.3 Ưu điểmcủa MPLS VPN. . 51
3.6.4 Đánh giá hiệu quảcủa VPN MPLS . 53
3.7 Đánh giá chi phí cungcấpdịchvụ truyềndữ liệucủamộtsố nhà cungcấpdịch
vụtại Việt Nam . 55
3.7.1 Leased lines . 55
3.7.2 Frame Relay . 56
3.7.3 VPN . 56
3.7.4Dịchvụ MegaWAN . 58
3.7.5 Đánh giá chung . 61
KẾT LUẬN . 62
THUẬT NGỮ VIẾTTẮT. 63
TÀI LIỆU THAM KHẢO . 65
70 trang |
Chia sẻ: netpro | Lượt xem: 1724 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ợc thêm vào gói dữ liệu
đường hầm L2TP.
Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP
Ở phía thu quá trình xử lý dữ liệu sẽ diễn ra ngược lại.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 21
Hình 1-13 : Quá trình mở gói dữ liệu trong đường hầm L2TP
d) Ưu điểm và khuyết điểm của L2TP
Ø Ưu điểm:
- L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật
mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN
mà không cần IP.
- Đường hầm L2TP chỉ đơn thuần là người dùng từ xa hoặc ISP. Do đó nó
không yêu cầu bổ sung cấu hình của user từ xa và ISP.
- L2TP cho phép tổ chức kiểm soát chứng thực users.
- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá
tải. do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.
- L2TP cho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập
mạng từ xa thông qua mạng công cộng.
- L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên
suốt đường hầm và khả năng chứng thực gói của IPSec.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 22
Ø Khuyết điểm:
- L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói
nhận được.
- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình
thêm bộ định tuyến và máy phục vụ truy cập từ xa.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 23
Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng
riêng ảo
2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN
Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng VPN là bảo mật. Do dữ liệu
quan trọng của công ty được truyền qua một mạng công cộng thiếu an toàn như mạng
Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng.
Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng
mất mát khi truyền tải cần phải có cơ chế mã hóa dữ liệu phù hợp, có đủ khả năng đảm
bảo an toàn dữ liệu.
Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh
nghiệp là giải pháp được lựa chọn phải phù hợp với cơ sở hạ tầng mạng hiện có và giải
pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ
thống bảo mật khác.
Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp. Nếu
không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ
(QoS) rất khó đạt được. Do đó, khi xây dựng một mạng VPN cần phải lựa chọn các
thiết bị của các hãng có khả năng thích nghi với nhau trước khi lắp đặt chúng vào
mạng VPN. Và theo các nhà chuyên môn khuyến cáo thì để đạt chất lượng tốt thì các
thiết bị nên từ mua từ một nhà cung cấp. Điều này đảm bảo sự thích nghi hoàn toàn
giữa các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất.
Và một vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN.
Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố
các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là
cần phải có một phần mềm quản lý luôn ghi lại các hoạt động hệ thống (logs), điều này
sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến
chất lượng toàn bộ hệ thống.
Tiêu chí tiếp theo là giải pháp VPN có dễ dàng bổ sung, cấu hình các thành
phần khác hay không. Nếu thành phần bổ sung có kích thước lớn thì hệ thống quản lý
có đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay
không.
Tính tiện dụng cũng là một tiêu chí không kém phần quan trọng. Các phần mềm
VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp
đối để người dùng có thể sử dụng một cách dễ dàng. Thêm vào đó quá trình xác nhận
và giao diện phải dễ hiểu và dễ sử dụng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 24
Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luôn được đặt ra,
việc thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại luôn
là một vấn đề đau đầu của nhiều nhà quản trị mạng.
Vấn đề về việc quản lý băng thông luôn có một sự quan tâm đặc biệt để đảm
bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo. Việc
quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử
dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm
hay ứng dụng tùy theo hợp đồng của các công ty.
2.2 Ưu điểm và khuyết điểm của VPN
2.2.1 Ưu điểm:
- Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Khi sử dụng công
nghệ VPN ta có thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc
gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho
phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng
băng thông đạt hiệu quả cao nhất.
- Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thông khoảng
cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các
tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng
trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận
hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người
quản lý mạng.
- Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho
kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập
toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối
dễ dàng với mạng intranet chính
- Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua
mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử
dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền.
Do đó VPN được đánh giá cao bảo mật trong truyền tin.
- Hiệu suất băng thông: sự lãng phí băng thông khi không có kết nối Internet
nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi
có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt
kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 25
- Có thể nâng cấp dễ dàng: bởi vì VPN dựa trên cơ sở Internet nên các nó cho
phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh
phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều
này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai
mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
2.2.2 Khuyết điểm:
Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng
có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN.
Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ
thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các
thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù
hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một
cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu
lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả
mạng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 26
Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN
3.1 Đánh giá các loại VPN phân theo chức năng kết nối
3.1.1 VPN truy cập từ xa:
VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động
có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ
đâu có mạng Internet.
VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng
thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn
duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di
động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty.
Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử
dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu
một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.
Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hay xem xét sơ
lược về hệ thống truy nhập từ xa truyền thống. Hệ thống này bao gồm các thành phần
chính: Máy chủ truy nhập từ xa (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận
và chứng nhận các yêu cầu truy cập từ xa, máy chủ dữ liệu và trung tâm dữ liệu. Khi
người dùng muốn truy cập từ xa thì họ sẽ quay số kết nối đến trung tâm. Với cách làm
này thì độ bảo mật không cao, tốc độ chậm và nếu người dùng ở rất xa trung tâm thì họ
buộc phải trả cước phí gọi đường dài.
Hình 3-1: Phương thức truy cập từ xa truyền thống
Bằng việc triển khai VPN truy nhập từ xa, những người dùng từ xa hoặc các chi
nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 27
ISP’s POP và kết nối đến tài nguyên thông qua Internet, điều này sẽ giảm cước phí gọi
đường dài một các đáng kể.
Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn
phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP
và kết nối với mạng trung tâm thông qua Internet.
Hình 3-2: VPN truy nhập từ xa
v Ưu khuyết điểm của VPN truy cập từ xa so với truy cập từ xa truyền thống:
- Không có thành phần RAS và các thành phần modem liên quan
- Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP
- Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa
phương. Do đó chi phí vận hành giảm rất nhiều.
- Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao
hơn so với phải truyền dữ liệu đi xa.
-VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ
mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng
cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có
giảm nhưng khả năng truy cập không hoàn toàn mất.
Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm còn tồn
tại của Remote Access truyền thống:
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 28
- VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ QoS.
- Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và
mất trật tự
- Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá
nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu
nén IP- and PPP-based là rất chậm và chất lượng không tốt.
- Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa
phương tiện bằng “đường hầm” VPN truy nhập từ xa có thể gây chậm đường truyền.
3.1.2 Intranet VPN:
Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ
chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật
VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô
hình được mô tả như Hình 3-3.
Hình 3-3 : Mô hình Intranet sử dụng mạng trục WAN
Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết
nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi
phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của
mạng intranet.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 29
Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được
thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet
sẽ giảm xuống. Giải pháp VPN được mô tả như Hình 3-4.
Văn phòng
chi nhánh
Văn phòng
chi nhánh
Văn phòng
Trung tâm
Văn phòng
chi nhánh
Internet
Đường hầm
Đư
ờn
g h
ầmĐ
ườ
ng
h
ầm
Đ
ư
ờn
g
hầ
m
VPN
Gateway
VPN
Gateway
VPN
Gateway
VPN
Gateway
Hình 3-4 : Mô hình Intranet xây dựng dựa trên VPN
v Ưu điểm:
- Giảm chi phí cho router được sử dụng ở WAN backbone.
- Giảm số nhân sự hỗ trợ ở các nơi, các trạm
- Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-
to-peer mới.
- Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp
với kĩ thuật chuyển mạch nhanh như FR
- Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn.
Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet
rất nhiều.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 30
v Khuyết điểm:
- Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên một mạng công
cộng -Internet- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ
chối dịch vụ (denial-of-service).
- Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao.
- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm
hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
- Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn
đinh và QoS không thể đảm bảo.
3.1.3 Extraner VPN:
Extranet VPN là một loại mạng riêng ảo, nhưng không giống như VPN truy
nhập từ xa và Intranet VPN, Extranet VPN không bị cô lập với “thế giới bên ngoài”.
Nó không chỉ cho phép kết nối các người dùng trong cùng một công ty mà còn cho
phép người dùng bên ngoài (như các đối tác kinh doanh, khách hàng, nhà cung cấp...)
truy nhập vào một số tài nguyên nhất định của công ty.
Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở Hình 3-5.
Hình 3-5 : Mô hình mạng Extranet truyền thống
Như ta thấy mô hình mạng Extranet truyền thống có rất nhiều đoạn kết nối với
nhau, do đó chi phí xây dựng mạng rất tốn kém, ngoài ra việc vận hành và quản lý
mạng rất phức tạp và tốn kém, đòi hỏi nhà quản trị phải có trình độ cao. Mặt khác việc
mở rộng mạng rất khó khăn vì khi thêm hay bớt một nút mạng đòi hỏi phải cài đặt lại
toàn bộ mạng Intranet.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 31
Mô hình Extranet VPN ra đòi đã giúp khắc phục những nhược điểm đó của mô
hình Extranet truyền thống. Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các
mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extraner VPN được mô tả
như Hình 3-6.
Đ
ư
ờng hầm
Đường hầm
Đường hầm
Hình 3-6 : Mô hình Extranet xây dựng dựa trên VPN
v Ưu điểm:
- Giảm chi phí rất nhiều so với phương pháp truyền thống
- Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn.
- Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải
pháp tailoring phù hợp với nhu cầu tổ chức
- Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí
nhân sự do đó giảm chi phí vận hành của toàn hệ thống.
v Khuyết điểm:
- Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại
- Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức.
- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm
hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
- Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn
đinh và QoS không thể đảm bảo.
- Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs
đã thõa mãn rất tốt nhu cầu của các doanh nghiệp.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 32
3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi
Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, và quan
tâm đến các yêu cầu an toàn, VPN có thể được phân loại theo 3 loại sau: VPN phụ
thuộc, VPN độc lập, VPN hỗn hợp.
3.2.1 VPN phụ thuộc
Trong trường hợp VPN phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về
việc cung cấp giải pháp VPN hoàn chỉnh. Vì thế nó là trách nhiệm của nhà cung cấp
dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an toàn và hiệu suất
trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký có vai
trò nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức không cần phải thay
đổi cơ sở hạ tầng hiện có của nó. Hình 3-7 miêu tả cấu trúc của VPN phụ thuộc
Hình 3-7 : Cấu trúc VPN phụ thuộc
Bởi vì sự hiện thực và quản lý VPN hoàn chỉnh được thực hiện bởi nhà cung
cấp dịch vụ, phương pháp đường hầm là rõ ràng với người sử dụng. Khi một người
dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP’s POP
xác nhận người dùng. Nếu NAS lưu trữ thông tin liên quan đến thông tin thành viên,
đặc quyền, và các thông số đường hầm. Nó có thể tự xác nhận các người sử dụng. Tuy
nhiên NAS có thể truy vấn một server RADIUS, AAA, hoặc TACACS về các thông
tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng (người đã khởi tạo một
phiên VPN) gởi và nhận các gói dữ liệu không đường hầm. Các gói này được tạo
đường hầm hoặc được lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp dịch vụ
Rõ ràng như trong miêu tả, một cấu trúc phụ thuộc thì không an toàn từ góc
nhìn của tổ chức. Vì thế các phương pháp phức tạp phải được thực hiện bởi tổ chức để
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 33
bảo đảm độ an toàn của nguồn tại nguyên nội bộ. Như thế thì RADIUS, AAA, và
TACACS không phải là tuỳ chọn trong ngữ cảnh này. Rất cần thiết để thực hiện các
phương pháp an toàn này và tốt nhất là thực hiện nó tại mạng nội bộ của tổ chức, cho
dù độ tin cậy của nhà cung cấp dịch vụ đến đâu đi nữa. Việc thực thi các bức tường lửa
ở đây cũng rất quan trọng, vì chúng có chức năng ngăn chặn các truy cập không được
phép từ mạng nội bộ của tổ chức
3.2.2 VPN độc lập
VPN độc lập thì ngược với VPN phụ thuộc. Ở đây, toàn bộ chức năng của việc
thành lập VPN được xử lý bởi tổ chức đăng ký. Vai trò của nhà cung cấp dịch vụ trong
trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thông trên
internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu
xảy ra ở mạng nội bộ của tổ chức. Hình 3-8 miêu tả cấu trúc của VPN độc lập
Hình 3-8 : Cấu trúc VPN độc lập
VPN độc lập, như trên hình, cung cấp một mức độ an toàn cao và cho phép tổ
chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựa trên VPN. Hầu
hết các nhà quản trị xem cách tiếp cận này như là một cách tiếp cận lý tưởng về vấn đề
độ an toàn bởi vì tồ chức không phải giao sự chịu trách nhiệm của cấu trúc VPN cho
một thực thể bên ngoài. Thêm vào đó, giá thành tổng cộng của VPN trong nhà không
lớn hơn nhiều so với VPN phụ thuộc. Tuy nhiên các tiếp cận này thêm vào một nhiệm
vụ và ở ngoài tầm kiểm soát của nhà quản lý mạng
3.2.3 VPN hỗn hợp
Cấu trúc VPN hỗn hợp cung cấp một sự kết hợp các cách tiếp cận VPN độc lập
và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức không giao giải pháp VPN
hoàn chỉnh cho nhà cung cấp dịch vụ. Thay vào đó, một vài phần của giải pháp VPN
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 34
được thực hiện và điều khiển bởi tổ chức trong khi phần còn lại được thực hiện và
quản lý bởi nhà cung cấp dịch vụ, như Hình 3-9.
Hình 3-9 : VPN hỗn hợp, có sự tham gia điều khiển của người dùng và nhà cung cấp
dịch vụ
Một cách tiếp cận khác tới VPNs hỗn hợp như trên Hình 3-10, tổ chức giao giải
pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm soát
toàn bộ thiết lập như trong cấu trúc phụ thuộc. Như vậy thì, không có nhà cung cấp
dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoàn chỉnh và theo cách này, tổ chức
có thể thực hiện một VPN phụ thuộc mà không cần thêm nhiệm vụ quản lý VPN. Mặc
dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nó cho phép tổ chức loại bỏ được
sự độc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của tách tiếp cận này là
nó tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, bạn vẫn còn những kết nối
khác.
Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 35
3.3 Đánh giá các loại VPN dựa trên độ an toàn
Mặc dù VPN là các giải pháp an toàn, dựa trên mức độ an toàn ta có thể phân ra
thành các loại VPN sau: VPN router tới router, VPN tường lửa tới tường lửa, VPN
được khởi tạo bởi khách hàng, VPN trực tiếp.
3.3.1 VPN router tới router
VPN router tới router cho phép tạo một kết nối an toàn giữa các văn phòng của
một tổ chức lại với nhau thông qua mạng Internet. VPN router tới router cho phép các
sự hiện thực sau :
Đường hầm đơn giao thức theo yêu cầu: trong cách thực hiện này, một đường
hầm an toàn được thiết lập giữa các router được ở bên phía khách hàng và bên phía
trung tâm như Hình 3-11. Các loại đường hầm này có thể hỗ trợ nhiều loại kết nối
đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để kết nối thành công
đường hầm theo yêu cầu router tới router, các router tại cả hai đầu phải hỗ trợ các các
tính năng VPN, như thuật toán mã hóa và cách thức trao đổi khóa. Một bất lợi lớn của
phương pháp này là các đường hầm router tới router này phụ thuộc vào mạng nội bộ
của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm .
Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router
Đường hầm đa giao thức theo yêu cầu. Cách tạo đường hầm này là sự mở rộng
logic của các đường hầm đơn giao thức theo yêu cầu vì nó hỗ trợ nhiều giao thức
đường hầm giữa hai vùng thông qua internet. Khi một khách hàng không có IP yêu cầu
thiết lập một phiên VPN, một đường hầm “trong suốt”, đường hầm này không rõ ràng
cho bất cứ giao thức đường hầm nào. Đường hầm này được thiết lập giữa các router tại
hai đầu cuối như Hình 3-12. Sau đó các dữ liệu không IP được đóng gói trong đường
hầm và truyền qua Internet hoặc bất kỳ mạng công cộng nào để đến được router đích.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 36
Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router
Các phiên mã hóa theo yêu cầu. Với cách thực hiện này, một đường hầm riêng
biệt cho mỗi yêu cầu được thiết lập giữa các router tại hai đầu, mặc dù nhiều yêu cầu
kết nối được được phát ra ở cùng một nơi. Hình 3-13 mô tả các phiên được mã hóa
dựa trên yêu cầu giữa hai router. Kết quả là nhiều đường hầm riêng rẽ tồn tại đồng thời
đồng thời kết nối hai vùng lại với nhau. Mỗi phiên được mã hóa khác nhau. Bất lợi
chính của cấu trúc VPN này là nó tạo ra chi phí khá lớn.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 37
Hình 3-13 : Các phiên VPN mã hóa theo yêu cầu
3.3.2 VPN tường lửa tới tường lửa
Không giống cấu trúc VPN router tới router, VPN tường lửa tới tường lửa được
thiết lập giữa 2 tường lửa. VPN tường lửa tới tường lửa có thể được thực hiện theo 2
cách sau :
Đường hầm đơn giao thức theo yêu cầu. Như Hình 3-14, cách thực hiện tường
lửa tới tường lửa rất g
Các file đính kèm theo tài liệu này:
- Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo.pdf