Đề tài Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

ợc thêm vào gói dữ liệu đường hầm L2TP. Hình 1-12 : Quá trình đóng gói dữ liệu trong đường hầm L2TP Ở phía thu quá trình xử lý dữ liệu sẽ diễn ra ngược lại. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 21 Hình 1-13 : Quá trình mở gói dữ liệu trong đường hầm L2TP d) Ưu điểm và khuyết điểm của L2TP Ø Ưu điểm: - L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN mà không cần IP. - Đường hầm L2TP chỉ đơn thuần là người dùng từ xa hoặc ISP. Do đó nó không yêu cầu bổ sung cấu hình của user từ xa và ISP. - L2TP cho phép tổ chức kiểm soát chứng thực users. - L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải. do đó giao tác trên L2TP nhanh hơn giao tác trên L2F. - L2TP cho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thông qua mạng công cộng. - L2TP tăng cường bảo mật bằng cách cách mã hóa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chứng thực gói của IPSec. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 22 Ø Khuyết điểm: - L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEc để chứng thực từng gói nhận được. - Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy phục vụ truy cập từ xa. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 23 Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng VPN là bảo mật. Do dữ liệu quan trọng của công ty được truyền qua một mạng công cộng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng. Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải cần phải có cơ chế mã hóa dữ liệu phù hợp, có đủ khả năng đảm bảo an toàn dữ liệu. Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh nghiệp là giải pháp được lựa chọn phải phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ thống bảo mật khác. Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp. Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (QoS) rất khó đạt được. Do đó, khi xây dựng một mạng VPN cần phải lựa chọn các thiết bị của các hãng có khả năng thích nghi với nhau trước khi lắp đặt chúng vào mạng VPN. Và theo các nhà chuyên môn khuyến cáo thì để đạt chất lượng tốt thì các thiết bị nên từ mua từ một nhà cung cấp. Điều này đảm bảo sự thích nghi hoàn toàn giữa các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất. Và một vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN. Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là cần phải có một phần mềm quản lý luôn ghi lại các hoạt động hệ thống (logs), điều này sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống. Tiêu chí tiếp theo là giải pháp VPN có dễ dàng bổ sung, cấu hình các thành phần khác hay không. Nếu thành phần bổ sung có kích thước lớn thì hệ thống quản lý có đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay không. Tính tiện dụng cũng là một tiêu chí không kém phần quan trọng. Các phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng có thể sử dụng một cách dễ dàng. Thêm vào đó quá trình xác nhận và giao diện phải dễ hiểu và dễ sử dụng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 24 Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luôn được đặt ra, việc thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại luôn là một vấn đề đau đầu của nhiều nhà quản trị mạng. Vấn đề về việc quản lý băng thông luôn có một sự quan tâm đặc biệt để đảm bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo. Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty. 2.2 Ưu điểm và khuyết điểm của VPN 2.2.1 Ưu điểm: - Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Khi sử dụng công nghệ VPN ta có thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. - Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. - Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính - Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền. Do đó VPN được đánh giá cao bảo mật trong truyền tin. - Hiệu suất băng thông: sự lãng phí băng thông khi không có kết nối Internet nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 25 - Có thể nâng cấp dễ dàng: bởi vì VPN dựa trên cơ sở Internet nên các nó cho phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng. 2.2.2 Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN. Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 26 Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN 3.1 Đánh giá các loại VPN phân theo chức năng kết nối 3.1.1 VPN truy cập từ xa: VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet. VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng. Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hay xem xét sơ lược về hệ thống truy nhập từ xa truyền thống. Hệ thống này bao gồm các thành phần chính: Máy chủ truy nhập từ xa (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu truy cập từ xa, máy chủ dữ liệu và trung tâm dữ liệu. Khi người dùng muốn truy cập từ xa thì họ sẽ quay số kết nối đến trung tâm. Với cách làm này thì độ bảo mật không cao, tốc độ chậm và nếu người dùng ở rất xa trung tâm thì họ buộc phải trả cước phí gọi đường dài. Hình 3-1: Phương thức truy cập từ xa truyền thống Bằng việc triển khai VPN truy nhập từ xa, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 27 ISP’s POP và kết nối đến tài nguyên thông qua Internet, điều này sẽ giảm cước phí gọi đường dài một các đáng kể. Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm thông qua Internet. Hình 3-2: VPN truy nhập từ xa v Ưu khuyết điểm của VPN truy cập từ xa so với truy cập từ xa truyền thống: - Không có thành phần RAS và các thành phần modem liên quan - Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP - Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương. Do đó chi phí vận hành giảm rất nhiều. - Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. -VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất. Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống: DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 28 - VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ QoS. - Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự - Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng không tốt. - Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” VPN truy nhập từ xa có thể gây chậm đường truyền. 3.1.2 Intranet VPN: Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình được mô tả như Hình 3-3. Hình 3-3 : Mô hình Intranet sử dụng mạng trục WAN Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 29 Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp VPN được mô tả như Hình 3-4. Văn phòng chi nhánh Văn phòng chi nhánh Văn phòng Trung tâm Văn phòng chi nhánh Internet Đường hầm Đư ờn g h ầmĐ ườ ng h ầm Đ ư ờn g hầ m VPN Gateway VPN Gateway VPN Gateway VPN Gateway Hình 3-4 : Mô hình Intranet xây dựng dựa trên VPN v Ưu điểm: - Giảm chi phí cho router được sử dụng ở WAN backbone. - Giảm số nhân sự hỗ trợ ở các nơi, các trạm - Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer- to-peer mới. - Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như FR - Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn. Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 30 v Khuyết điểm: - Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên một mạng công cộng -Internet- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ (denial-of-service). - Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao. - Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. - Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo. 3.1.3 Extraner VPN: Extranet VPN là một loại mạng riêng ảo, nhưng không giống như VPN truy nhập từ xa và Intranet VPN, Extranet VPN không bị cô lập với “thế giới bên ngoài”. Nó không chỉ cho phép kết nối các người dùng trong cùng một công ty mà còn cho phép người dùng bên ngoài (như các đối tác kinh doanh, khách hàng, nhà cung cấp...) truy nhập vào một số tài nguyên nhất định của công ty. Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở Hình 3-5. Hình 3-5 : Mô hình mạng Extranet truyền thống Như ta thấy mô hình mạng Extranet truyền thống có rất nhiều đoạn kết nối với nhau, do đó chi phí xây dựng mạng rất tốn kém, ngoài ra việc vận hành và quản lý mạng rất phức tạp và tốn kém, đòi hỏi nhà quản trị phải có trình độ cao. Mặt khác việc mở rộng mạng rất khó khăn vì khi thêm hay bớt một nút mạng đòi hỏi phải cài đặt lại toàn bộ mạng Intranet. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 31 Mô hình Extranet VPN ra đòi đã giúp khắc phục những nhược điểm đó của mô hình Extranet truyền thống. Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extraner VPN được mô tả như Hình 3-6. Đ ư ờng hầm Đường hầm Đường hầm Hình 3-6 : Mô hình Extranet xây dựng dựa trên VPN v Ưu điểm: - Giảm chi phí rất nhiều so với phương pháp truyền thống - Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. - Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức - Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống. v Khuyết điểm: - Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại - Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức. - Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. - Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo. - Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 32 3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, và quan tâm đến các yêu cầu an toàn, VPN có thể được phân loại theo 3 loại sau: VPN phụ thuộc, VPN độc lập, VPN hỗn hợp. 3.2.1 VPN phụ thuộc Trong trường hợp VPN phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về việc cung cấp giải pháp VPN hoàn chỉnh. Vì thế nó là trách nhiệm của nhà cung cấp dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an toàn và hiệu suất trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký có vai trò nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức không cần phải thay đổi cơ sở hạ tầng hiện có của nó. Hình 3-7 miêu tả cấu trúc của VPN phụ thuộc Hình 3-7 : Cấu trúc VPN phụ thuộc Bởi vì sự hiện thực và quản lý VPN hoàn chỉnh được thực hiện bởi nhà cung cấp dịch vụ, phương pháp đường hầm là rõ ràng với người sử dụng. Khi một người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP’s POP xác nhận người dùng. Nếu NAS lưu trữ thông tin liên quan đến thông tin thành viên, đặc quyền, và các thông số đường hầm. Nó có thể tự xác nhận các người sử dụng. Tuy nhiên NAS có thể truy vấn một server RADIUS, AAA, hoặc TACACS về các thông tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng (người đã khởi tạo một phiên VPN) gởi và nhận các gói dữ liệu không đường hầm. Các gói này được tạo đường hầm hoặc được lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp dịch vụ Rõ ràng như trong miêu tả, một cấu trúc phụ thuộc thì không an toàn từ góc nhìn của tổ chức. Vì thế các phương pháp phức tạp phải được thực hiện bởi tổ chức để DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 33 bảo đảm độ an toàn của nguồn tại nguyên nội bộ. Như thế thì RADIUS, AAA, và TACACS không phải là tuỳ chọn trong ngữ cảnh này. Rất cần thiết để thực hiện các phương pháp an toàn này và tốt nhất là thực hiện nó tại mạng nội bộ của tổ chức, cho dù độ tin cậy của nhà cung cấp dịch vụ đến đâu đi nữa. Việc thực thi các bức tường lửa ở đây cũng rất quan trọng, vì chúng có chức năng ngăn chặn các truy cập không được phép từ mạng nội bộ của tổ chức 3.2.2 VPN độc lập VPN độc lập thì ngược với VPN phụ thuộc. Ở đây, toàn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng ký. Vai trò của nhà cung cấp dịch vụ trong trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thông trên internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức. Hình 3-8 miêu tả cấu trúc của VPN độc lập Hình 3-8 : Cấu trúc VPN độc lập VPN độc lập, như trên hình, cung cấp một mức độ an toàn cao và cho phép tổ chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựa trên VPN. Hầu hết các nhà quản trị xem cách tiếp cận này như là một cách tiếp cận lý tưởng về vấn đề độ an toàn bởi vì tồ chức không phải giao sự chịu trách nhiệm của cấu trúc VPN cho một thực thể bên ngoài. Thêm vào đó, giá thành tổng cộng của VPN trong nhà không lớn hơn nhiều so với VPN phụ thuộc. Tuy nhiên các tiếp cận này thêm vào một nhiệm vụ và ở ngoài tầm kiểm soát của nhà quản lý mạng 3.2.3 VPN hỗn hợp Cấu trúc VPN hỗn hợp cung cấp một sự kết hợp các cách tiếp cận VPN độc lập và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức không giao giải pháp VPN hoàn chỉnh cho nhà cung cấp dịch vụ. Thay vào đó, một vài phần của giải pháp VPN DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 34 được thực hiện và điều khiển bởi tổ chức trong khi phần còn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như Hình 3-9. Hình 3-9 : VPN hỗn hợp, có sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ Một cách tiếp cận khác tới VPNs hỗn hợp như trên Hình 3-10, tổ chức giao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm soát toàn bộ thiết lập như trong cấu trúc phụ thuộc. Như vậy thì, không có nhà cung cấp dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoàn chỉnh và theo cách này, tổ chức có thể thực hiện một VPN phụ thuộc mà không cần thêm nhiệm vụ quản lý VPN. Mặc dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nó cho phép tổ chức loại bỏ được sự độc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của tách tiếp cận này là nó tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, bạn vẫn còn những kết nối khác. Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 35 3.3 Đánh giá các loại VPN dựa trên độ an toàn Mặc dù VPN là các giải pháp an toàn, dựa trên mức độ an toàn ta có thể phân ra thành các loại VPN sau: VPN router tới router, VPN tường lửa tới tường lửa, VPN được khởi tạo bởi khách hàng, VPN trực tiếp. 3.3.1 VPN router tới router VPN router tới router cho phép tạo một kết nối an toàn giữa các văn phòng của một tổ chức lại với nhau thông qua mạng Internet. VPN router tới router cho phép các sự hiện thực sau : Đường hầm đơn giao thức theo yêu cầu: trong cách thực hiện này, một đường hầm an toàn được thiết lập giữa các router được ở bên phía khách hàng và bên phía trung tâm như Hình 3-11. Các loại đường hầm này có thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để kết nối thành công đường hầm theo yêu cầu router tới router, các router tại cả hai đầu phải hỗ trợ các các tính năng VPN, như thuật toán mã hóa và cách thức trao đổi khóa. Một bất lợi lớn của phương pháp này là các đường hầm router tới router này phụ thuộc vào mạng nội bộ của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm . Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router Đường hầm đa giao thức theo yêu cầu. Cách tạo đường hầm này là sự mở rộng logic của các đường hầm đơn giao thức theo yêu cầu vì nó hỗ trợ nhiều giao thức đường hầm giữa hai vùng thông qua internet. Khi một khách hàng không có IP yêu cầu thiết lập một phiên VPN, một đường hầm “trong suốt”, đường hầm này không rõ ràng cho bất cứ giao thức đường hầm nào. Đường hầm này được thiết lập giữa các router tại hai đầu cuối như Hình 3-12. Sau đó các dữ liệu không IP được đóng gói trong đường hầm và truyền qua Internet hoặc bất kỳ mạng công cộng nào để đến được router đích. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 36 Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router Các phiên mã hóa theo yêu cầu. Với cách thực hiện này, một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router tại hai đầu, mặc dù nhiều yêu cầu kết nối được được phát ra ở cùng một nơi. Hình 3-13 mô tả các phiên được mã hóa dựa trên yêu cầu giữa hai router. Kết quả là nhiều đường hầm riêng rẽ tồn tại đồng thời đồng thời kết nối hai vùng lại với nhau. Mỗi phiên được mã hóa khác nhau. Bất lợi chính của cấu trúc VPN này là nó tạo ra chi phí khá lớn. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 37 Hình 3-13 : Các phiên VPN mã hóa theo yêu cầu 3.3.2 VPN tường lửa tới tường lửa Không giống cấu trúc VPN router tới router, VPN tường lửa tới tường lửa được thiết lập giữa 2 tường lửa. VPN tường lửa tới tường lửa có thể được thực hiện theo 2 cách sau : Đường hầm đơn giao thức theo yêu cầu. Như Hình 3-14, cách thực hiện tường lửa tới tường lửa rất g