Đồ án Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6

Sau này người ta đề xuất một số phương pháp cải tiến như 6over, 6to4… 6 over 4 Cơ chế cho phép các trạm IPv6 cô lập trên các liên kết vật lý không có các router IPv6 hoạt động dựa trên các gói tin multicast IPv4 như một liên kết cục bộ ảo. Cơ chế này còn gọi là mạng Ethernet ảo. Để hỗ trợ các cơ chế Phát hiện láng giềng và tự cấu hình địa chỉ stateless, một số các địa chỉ có phạm vi quản trị được sử dụng. Các nhóm multicas để giả lập một tầng liên kết Ethernet. Do đó, cơ chế phat hiện láng giềng (ND) giữa các trạm IPv6 với các trạm 6over4 giống như trong tầng Ethernet thông thường. Cách tiếp cận này tạo ra liên kết IPv6 thật trên một mạng LAN ảo. Điểm khác biệt là các trạm 6over4 vào cùng một miền IPv4 multicast thay vì một mạng chia sẻ đường truyền. IPv6 IPv6 over IPv4 IPv4 Hình 36. 6over4 - Việc ánh xạ địa chỉ IPv6 sang địa chỉ tầng liên kết được thực hiện giống giao thức ND. Trong trường hợp này, tùy chọn Địa chỉ tầng liên kết nguồn/đích sử dụng IPv4 làm tầng liên kết. Do đó, toàn bộ mạng IPv4 được coi như một tầng liên kết chia sẻ đường truyền thông qua việc sử dụng các địa chỉ multicast sau đây: +Địa chỉ multicast tất cả các nút mạng (239.X.0.1): Địa chỉ quản trị này được dùng để đến mọi nút mạng trong miền IPv4 hỗ trợ cơ chế này. + Địa chỉ multicast tất cả các rouuter (239.X.0.2): Địa chỉ quản trị này được dùng để đến mọi router trong miền IPv4 hỗ trợ cơ chế này. + Địa chỉ multicast solicited-node (239.X.C.D): Địa chỉ quản trị này được dùng để xác định địa chỉ nút láng giềng (C và D là hai byte thấp trong địa chỉ IPv4). - Trong tấ cả các địa chỉ này, X chỉ định danh cục bộ liên kết (thường bằng 192). - Sử dụng tầng IPv4 làm tầng liên kết loại bỏ cá hạn chế của tầng vật lý đối với kế hoạch chuyển đổi. Các trạm có thể trải trên nhiều miền và thậm chí cách nhiều bước so với router IPv6. - Các trạm 6over4 nhận cấu hình (địa chỉ liên kết cục bộ và tiền tố, địa chỉ IPv4 của router hỗ trợ IPv6) sử dụng giao thức ND trên các địa chỉ multicast IPv4. - Sau đó các gói dữ liệu IPv6 được giử trong các gói dữ liệu IPv4 với kiểu giao thức 41. Chính các trạm sẽ thực hiện đường hầm. - Ưu điểm: + Các trạm IPv6 không đòi hỏi có địa chỉ tương thích hay đường hầm cấu hình. Chính các trạm sẽ thực hiện đường hầm. Kiến trúc cơ sở bao gồm một router với kết nối IPv6 và hỗ trợ 6over4, một mạng có khả năng multicast kết nối các trạm và router. Trong môi trường đó, các trạm 6over4 có thể kết nối với các trạm IPv6 khác. + Có tính mở rộng như IPv6 trên hầu hết các phương tiện truyền. - Nhược điểm: + Suy giảm MTU của gói tin dẫn đến giảm thông lượng. + Trong quá trình chuyển đổi, các router phải quảng bá ít nhất hai tiền tố IPv6, một cho liên kết LAN thực sự và một cho miền 6over4. Ngoài ra, độ dài tiền tố phải là 128 để phân biệt hai loại tìên tố cùng có kiẻu FE80::/64. 6 to 4 Ipv4 Ipv6 network Ipv6 network 6 to 4 router 6 to 4 router 192.168.99.1 192.168.30.1 Network Preix: Network Preix: 2002: c0a8:6301::/48 2002: c0a8:6301::/48 Hình 37 : 6 to 4 Khuôn dạng của một địa chỉ 6to4 như sau: FP TLA IPv4ADDR SLAID Interface ID Hình 38:Khuôn dạng địa chỉ 6to4 Cơ chế hoạt động: Ipv6 IPv6 Ipv4 IPv6 IPv6 network Ipv4 IPv6 network Type: native IPv6 Type: IPv6 in IPv4 2002:c0a8:1e01::1 Dst:2002:c0a8:1e01::1 Dst:192.168.30.1 192.168.30.1 Hình 39 : Cơ chế hoạt động 6 to 4 Khi có một gói tin IPv6 với địa chỉ đích có dạng 2002::/16 được giử đến một router 6to4, router 6to4 tách địa chỉ IPv4 (địa chỉ Ipv4 vừa tách được chính là địa chỉ IPv4 của 6to4 router đích), bọc gói tin IPv6 trong gói tin IPv4 với địa chỉ đích là địa chỉ IPv4 vừa tách được. Sau đó, các gói tin sẽ được chuyển tiếp trên hạ tầng IPv4. Khi router 6to4 đích nhận được gói tin, gói tin IPv6 sẽ được tách ra và chuyển đến nút mạng IPv6 đích. - Ưu điểm: + Các nút mạng không bắt buộc phải dùng địa chỉ IPv6 kiểu tương thích IPv4 như đường hầm tự động. + Không cần nhiều cấu hình đặc biệt như đường hầm có cấu hình. + Không bị ảnh hưởng bởi các hệ thống tường lửa của mạng, chỉ cần routercủa mạng có địa chỉ IPv4 toàn cục có thể định tuyến. - Nhược điểm: + Chỉ thực hiện với một lớp địa chỉ mạng đặc biệt. + Có nguy cơ bị tấn công theo kiểu của đường hầm tự động nếu phần địa chỉ IPv4ADDR trong địa chỉ đích của gói tin 6to4 là địa chỉ broadcast hay multicast. - Triển khai: + 6to4 được hỗ trợ trên nhiều hệ điều hành như Linux, Windows 2000. + Linux: radvd có thể cấu hình để quảng bá tiền tố địa chỉ 6to4. + Windows 2000: chương trình 6to4cfg dùng để cấu hình mạng 6to4. Mô giới đường hầm Hiện nay, mạng IPv6 sử dụng rất nhiều đường hầm trên hạ tầng IPv4. Tunnel Broker được đưa ra để giảm nhẹ chi phí cấu hình và duy trì các đường hầm này. - Cơ chế này sử dụng một tập các server chuyên dụng gọi là Tunnel Broker để cấu hinh và duy trì các đường hầm. Chúng có thể xem như các ISP IPv6 ảo cho các người dùng đã kết nối vào Internet IPv4. Cơ chế này phù hợp cho các trạm (hoặc site) IPv6 nhỏ cô lập muốn kết nối dễ dàng vào mạng IPv6. - Cấu trúc của TUnnel broker bao gồm: + Một server tunnel broker. + Một DNS server. + Một số các server đường hầm. IPv6 IPv4 host IPv4 network IPv4 network IPv6 network Hình 40: Môi trường đường hầm - Cách thức thực hiện: + Các khách hàng của dịch vụ Tunnel broker là các nút mạng IPv6 stack kép (host hoặc router) đã kết nối vào Internet IPv4. Trước khi thiết lập đường hầm, cần có sự trao đổi thông tin giữa Tunnel broker với khách hàng như xác thực, quản lý và thông tin tài khoản. + Khách hàng kết nối tới tunnel broker để đăng kí và kích hoạt các đương hầm. Tunnel broker có thể chia sẻ tại các điểm cuối đường hầm trên các server đường hầm. Nó cũng có thể đăng kí tên và địa chỉ IPv4 của đầu đường hầm phía họ, tên đăng kí trong DNS và đó là một trạm hay một router. + Tunnel broker chọn một server đường hầm làm điểm cuối đường hầm thực sự. Nó chọn tiền tố cấp phát cho khách hàng (từ 0 đến 128) và cố định thời gian tồn tại của đường hầm. + Tunnel broker đăng kí địa chỉ IPv6 cấp cho các điểm cuối đường hầm trong DNS. + Tunnel broker cấu hình đường hầm phía server và thông báo các thông tin liên quan cho khách hàng. - Sau đó, khách hàng có thể kết nối vào mạng IPv6 thông qua cơ chế đường hầm như bình thường. - Ưu điểm: + Quản lý tập trung các đường hầm phía server, giảm bớt chi phí. + Có thể sử dụng các ISP ảo trên IPv6. - Các Tunnel Broker trên mạng Internet: + Freenet6 www.freenet6.net + Hurriane Electric www.ipv6tb.he.net Dịch địa chỉ dịch giao thức Dịch địa chỉ và dịch giao thức được phát triển trên cơ sở cơ chế NAT trong IPv4 nhằm cho phép các nút mạng IPv4 và IPv6 kết nối với nhau. Cơ chế này hoạt động trên cơ sở chuyển đổi các khác biệt giữa các gói tin IPv4 và IPv6. - Khác biệt về địa chỉ: Dịch địa chỉ IPv4- IPv6. - Khác biệt về phần mở đầu header: Dịch giao thức thay đổi header gói tin. Thiết bị NAT- PT được cài đặt tại biên giới giữa mạng IPv4 với Ipv6. Cơ chế này không đòi hỏi các cấu hình dặc biệt tai các máy trạm và các sự chuyển đổi gói tin tại thiết bị NAT- PT hoàn toàn trong suốt với người dùng. - Mỗi thiết bị NAT- PT duy trì một tập các địa chỉ IPv4 dùng đẻ ánh xạ các yêu cầu với địa chỉ IPv6. - NAT- PT có thê mở rộng thành NAPT- PT cho phép sử dụng một địa chỉ - - IPv4 cho nhiều phiên làm việc khác nhau. NAT- PT cũng như NAT cũng như IPv4 không có khả năng hoạt động với các gói tin có chứa địa chỉ trong phần tải tin. Do đó, NAT- PT thường đi kèm với cơ chế Cửa khẩu tầng ứng dụng ALG. Cơ chế này cho phép xử xý các gói tin ứng với từng dịch vụ nhất định như DNS hay FTP, ... - Ưu điểm: + Quản trị tập trung tại thiết bị NAT- PT. + Có thể triển khai nhiều thiế bị NAT- PT để tăng hiệu năng hoạt động. - Nhược điểm: + Tạo lên một điểm gây lỗi loạn single poin of failure tại thiết bị NAT- PT. - Các triển khai của NAT- PT: NAT- PT đã được thử nghiệm trên các hệ điều hành mạng như: + Linux, Free BSD, Microsoft Windows 2000. + Ngoài ra, nó cũng là một phần của hệ điều hành Cisco IOS IPv6 bản beta với hai phiên bản dựa trên IOS v11.3 và IOS v12.0. Các triển khai này có cho nhiều loại router khác nhau. IPv4 IPv4 Internet Hình 41: NAI- PT - SIIT (Stateless IP/ICMP Translation Algorithm) là một chuẩn của IETF (RFC2765) mô tả bộ dịch IPv6/IPv4 không lưu trạng thái (Stateless). - Tương tự cơ chế NAT- PT ngoại trừ nó không cấp phát động địa chỉ IPv4 cho các trạm IPv6. Chức năng chuyển đổi thực hiện giữa header IPv6 và IPv4. SIIT không bao gồm các tùy chọn IPv4 và header mở rộng trong IPv6. SIIT cũng thực hiện chuyển đổi các thông điệp điều khiển ICMP giữa hai giao thức. - Đối với quá trình chuyển đổi IPv4 sang IPv6, một địa chỉ IPv4 tạm thời được gán cho nút mạng IPv6. - Các gói tin đến thiết bi SIIT sẽ được chuyển đổi header và địa chỉ từ IPv4 sang các địa chỉ IPv4-dịch (IPv4- translated) và IPv4- ánh xạ (IPv4- mapped). Một địac hỉ IPv4-dịch tương ứng với một nuts mạng IPv6 còn địa chỉ IPv4- ánh xạ tương ứng một nút mạng IPv4. Đối với chiều ngược lại, các địa chỉ này sẽ được chuyển đổi ngược lại thành địa chỉ IPv4. - Do quá trình chuyển đổi không lưu trạng thái, có thể tồn tại nhiều bộ chuyển đổi giữa hai mạng IPv4 và IPv6. Không có sự ràng buộc mỗi phiên truyền phải đi qua một thiết bị duy nhất như trong NAT- PT. Một số cơ chế khác. BIS (Bump Into the Stack) BIS là sự kết hợp của hai cơ chế NAT- PT và DNS- ALG nhưng được cài đặt ngay tại các nút mạng IPv6. Qua đó, các ứng dụng trên các trạm IPv4 có thể kết nối với các trạm IPv6. Ưu điểm: + Hỗ trợ nhanh chóng và đơn giản các ứng dụng IPv4 có thể kết nối với các nút mạng IPv6 khác. + Cài đặt ngay trên từng trạm nên không phụ thuộc vào một thiết bị trung gian như NAT- PT. Nhược điểm: + Không hỗ trợ khả năng tự cấu hình. + Cần cài đặt và cấu hình riêng rẽ trên từng nút mạng: card mạng, cấu hình IP, NAT. Các thông số cấu hình này cần được thực hiện lại mỗi khi có sự thay đổi về topo và địa chỉ mạng. + Về lâu dài và với các mạng có kích thước lớn, hoạt động không hiệu quả và chi phí quản trị cao. - Triển khai: +Phần mềm Tôlnet6 hỗ trợ BIS hạn chế với một số card mang họ 3Com, NE2000 dưới dạng driver cho card mạng do công ty Hitachi cung cấp. Chương trình hoạt động với Win9x và NT cho phép kết nối với các trạm IPv6. +Sau7 khi cài đặt phần driver của card mạng, cần cấu hình các ánh xạ địa chỉ IPv6- IPv4 trước khi có thể thực hiện kết nối thông qua chương trình NAT MAnager. BIA (Bump Into the API Phương pháp này áp dụng cho các dual- stack host (các host hỗ trợ cả IPv4 và IPv6), cho phép các host IPv6 khác với các ứng dụng IPv4 hiện có. Mục đích của phương pháp cũng giống như cơ chế Bump-in-the-stack (BIS) nhưng nó đưa ra cơ chế dịch giữa các API IPv4 và IPv6. DO vậy, quá trình đơn giản không cần dịch header gói tin IP và không phụ thuộc vào các giao thức tầng dưới và trình điều khiển của giao diện mạng. Host Translatorr( BIA) IPv6 hative host (API) IP v6 network IPv4 Applications IPv6 hative host Hình 42: BIA Phương pháp BIA không sủ dụng được trong các host chỉ hỗ trợ IPv4 như phương pháp BIS. Nó chỉ được sử dụng trên các host IPv6/Ipv4 nhưng có một số trình ứng dụng IPv4 không thẻ hoặc khó chuyển đổi sang hỗ trợ IPv6. Do BIA hoạt động tại mức API socket nên ta có thể sử dụng các giao thức an ninh tại tầng mạng (IPsec). BIA hiện nay chỉ áp dụng được cho các trao đổi kiểu Unicast, chưa áp dụng được cho kiểu Multicast. Các tính năng mới của socket IPv6 không thể sử dụng. Phương thức hoạt động: + Phương pháp BIA chèn thêm một bộ dịch API vào giữa module socket API và module TCP/IP trên dual-stack host và dịch các hàm API socket IPv4 thành các hàm API socket IPv6 và ngược lại. Để áp dụng phương pháp này, host hỗ trợ cả TCP(UDP)/IPv4 và TCP(UDP)/IPv6. + Khi một ứng dụng IPv4 giao tiếp với một host IPv6 khác, bộ dịch API phát hiện các hàm APG socket mà ứng dụng sử dụng và gọi tương ứng các hàm API socket IPv6 để giao tiếp với host IPv6 và ngược lại. + Quá trình chuyển đổi IPv6 sang một tập các địa chỉ IPv4 được thực hiện trong module ánh xạ tên (name resolver). - Kiến trúc của dual-stack host sử dụng BIA. - Module BIA gồm 3 phần: + Module tra cứu tên (Name resolver): Đáp ứng các yêu càu tra cứu tên miền của các ứng dụng IPv4. Khi một ứng dụng giửi một truy vấn các bản ghi kiểu A tới name server, module này sẽ nhận truy vấn này, phân tích và tạo ra truy vấn tương ứng với tên máy đó cho cả các bản ghi kiểu A và AAAA rồi giửi cho name server. IPv4 Applications Socket API (IPv4 , IPv6) API Translator Address Mapper Name Resolver Function Mapper TCP(UDP)/IPv4 TCP(UDP)/IPv6 Hình 43. Kiến trúc của dual- stack host sử dụng BIA Nếu trả lời từ name server chỉ có bản ghi kiểu AAAA, module này sẽ yêu cầu module ánh xạ địa chỉ gán một địa chỉ IPv4 tương ứng với địa chỉ IPv6 này rồi tạo ra một trả lời kiểu A chứa địa chỉ IPv4 trả về cho ứng dụng + Module ánh xạ địa chỉ (Address mapper). Duy trì một bảng các cặp địa chỉ IPv4 và IPv6. Các địa chỉ IPv4 được gán từ một tập các địa chỉ này và cập nhật thêm một mục trong bảng. Quá trình cập nhật xảy ra trong hai trường hợp: Khi module ánh xạ tên chỉ nhận được trả lời về bản ghi kiểu AAAA và không có mục nào trong bảng chứa địa chỉ IPv6 tương ứng. Khi module ánh xạ hàm nhận được một lời gọi hàm API socket từ dữ liệu thu nhận mà không có mục nào trong bảng tương ứng với địa chỉ IPv6 nguồn. + Module ánh xạ hàm (Function mapper): Chuyển đổi các hàm API socket IPv4 thành các hàm API socket IPv6 và ngược lại. - Các vấn đề liên quan + Chuyển đổi API socket. Các hàm API socket IPv4 được chuyển đổi tương ứng sang các hàm API socket IPv6. Quá trình này chuyển đổi cả các địa chỉ IP nhúng trong các giao thức tầng ứng dụng (FTP, DNS,...). Sự tương thích giữa các hàm API socket là không hoàn toàn do các hàm API socket IPv6 có nhiều tính năng hơn. Các hàm API socket được chuyển đổi: bind() connect() sendmsg() sendto() accept() rrecvfrom() recvmsg() getpeername() gétockname() gétocketopt() sétocketopt() recv() send() Bảng 3- 1. Các hàm API socket được chuyển đổi Các cấu trúc và hàm API cơ bản AF_ INET AF- INET6 sockaddr_in sockaddr_in6 gethostbyname() getaddrinfo() gethosbyaddr() getnameinfo() inet_ntoa()/inet_addr() inet_pton()/inet_ntop() INADDR_ANY in6addr_any Bảng 3- 2. Các cấu trúc và hàm API cơ bản - Các thông điệp ICMPv4 được chuyển thành ICMPv6 và ngược lại giống trong phưong pháp SIIT. + Tập các địa chỉ IPv4 và bảng ánh xạ địa chỉ. Để tránh hiện tượng dùng hết tập địa chỉ IPv4 dẫn đến không thể tiếp tục đáp ứng các yêu cầu trao đổi với bên ngoài, BIA đưa ra các cơ chế để loại bỏ các mục tồn tại lâu nhất trong bảng để sử dụng trong các yêu càu mới. + Các địa chỉ IPv4 nội bô. Để tránh đụng độ về địa chỉ, BIA sử dụng các địa chỉ không được cấp phát (0.0.0.0 đến 0.0.0.255). + Vấn đề không phù hợp giữa kết quả DNS (AAAA) với phiên bản ứng dụng (v4). - Nếu server ứng dụng chưa hỗ trợ IPv6 nhưng chạy trên một máy có hỗ trợ IPv6 và có tên dưới kiểu bản ghi AAAA trong DNS, ứng dụng client có thể không kết nối được với server do có sự không phù hợp giữa bản ghi kết quả DNS (AAAA) với phiên bản ứng dụng server (IPv4). - Một trong các giải pháp là thử tất cả các địa chỉ trong DNS và không kết thúc ngay sau lần thử đầu tiên. Điều này có thể ứng dụng bởi sự mở rộng module tra cứu tên và bộ dich API trong BIA. BIA thực hiện lặp công việc tìm kiếm các địa chỉ hoạt động sử dụng bởi các ứng dụng khác bên ngoài các địa chỉ trả về từ name server. Cơ chế chuyển đổi hai giao thức (DSTM) Cơ chế này cho phép kết nối các nút mạng stack kếp (IPv6/IPv4) trên một mạng IPv6 với các nút mạng IPv4 ở xa. DSTM không áp dụng được cho các nút mạng chỉ hỗ trợ IPv6. - DSTM cấp một địa chỉ IPv4 toàn cục tạm thời cho nút mạng IPv6 và sử dụng đường hầm IPv4-in-IPv6 để truyền gói tin IPv4 trên mạng IPv6. - Đây là cơ chế hai chiều, quá trình truyền thông có thể bắt đầu từ nút mạng IPv6 hoặc nút mạng IPv4. - Cách thức hoạt động: + DSTM được cài đặt trên tất cả các nút mạng trong mạng IPv6 và router biên giới giữa hai miền IPv6 và IPv4. Nó cũng sử dụng DHCPv6. Do vậy, DSTM cần một server DHCPv6 và các client tại mỗi nút mạng. DHCP Border router(Y) IPv4 IPv6 IPv4 only node (Z) Dual stack node (X) DNS Bảng 3- 3. Cơ chế chuyển đổi hai giao thức (DSTM) - Chức năng các bộ phận như sau: + DHCPv6 Server: Cấp địa chỉ IPv4 tạm thời cho các nút mạng muốn giao tiếp với nút mạng IPv4 ở xa. Nó cũng duy trì sự ánh xạ giữa địa chỉ IPv4 và IPv6. Để hỗ trợ DSTM, DHCPv6 phải hỗ trợ một tùy chọn mới cho phép nút mạng IPv6 nhận địa chỉ IPv4 tạm thời và thông báo cho phía client biết địa chỉ IPv6 của cuối đường hầm. + DSTM daemon: Sử dụng DHCPv6 client trên nút mạng để yêu cầu địa chỉ IPv4 toàn cục mỗi khi khởi tạo truyền thông. + Giao diện đường hầm động (DTI): Đây là một giao diện IPv4 ảo trongnut stack kép để cho phép truyền các gói tin IPv4 một cách trong suốt trên mạng IPv6. Các gói tin chuyển đến giao diện này được bọc trong gói tin IPv6 và được giửi thông qua giao diện IPv6 đến router biên mạng. + Router biên mạng: Đây là một router stack kép kết nối miền IPv4 với IPv6. Đây là nơi kết thúc đường hầm 4 trong 6. Router cũng lưu các ánh xạ giữa địa chỉ IPv6 với địa chỉ IPv4 tạm thời. - Ưu điểm: + Trong suốt đối với mạng, chỉ cần duy trì định tuyến IPv6 trên mạng, giảm chi phí quản trị mạng. + Trong suốt đối với ứng dụng, cho phép các ứng dụng chỉ cho IPv4 hoạt động bình thường trên nút mạng IPv4/IPv6. + Khắc phuc sự thiếu hụt địa chỉ IPv4 bằng cách sử dụng DHCPv6. - Nhược điểm: + Đòi hỏi nhiều cơ chế đặc biệt. + Sử dụng các địa chỉ IPv4 toàn cục. - Triển khai: +Hiên mới chỉ có trên hệ điều hành Free BSD. Chương 2: Tổng quan về VPN Giới Thiệu về VPN Giới thiệu Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau... Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet. Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tin quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánh trên khắp nơi tăng cao. Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuận của tổ chức. Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu quan mạng trung gian công công không an toàn như Internet. Để giải quyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs). Chính điều này là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay. Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuật VPN Một Số Khái Niệm Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs. Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép. Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý. Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng. Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thông tin point-to-point. Hình 1: VPN setup Kĩ thuật đường hầm là lõi cơ bản của VPNs. Bên cạnh đó do vấn đề bảo mật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau: v Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi. Để đọc thông tin được gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key). Trong phương pháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho mã hóa và giải mã. Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa: Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình mã hóa và giải mã. Mã chung này là riêng biệt cho những thực thể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp một cách an toàn với thực thể đó. Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng phần bảo mật cho thông tin. Với khóa mã chung của một thực thể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhận được này. Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó. Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) and Data Encryption Standard (DES). v Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ. Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên. Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption) v Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên trên mạng sau khi người sử dụng đã xác nhận thành công. Sự Phát Triển VPNs không thực sự là kĩ thuật mới. Trái với suy nghĩ của nhiều người, mô hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiện nay. Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài. Dựa trên thông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng. Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh. Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thức VPNs. Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn. Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này. Hai kĩ thuật này dựa trên mô hình chuyển mạch ảo (virtual circuit switching). Trong đó các gói tin không chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN. Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn. Thế hệ VPNs hiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology). Kĩ thuật này dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thông tin IP. Vì dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM Ưu Điểm/Khuyết Điểm a. Ưu điểm: Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence (POP). Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP. Một nguyên nhân