VPN – giải pháp kết nối tiết kiệm và hiệu quả

GIẢI PHÁP MẠNG RIÊNG ẢO

MỤC TIÊU:

Phân tích và đưa ra giải pháp về kết nối mạng trong điều kiện phức hợp

CƠ SỞ KỸ THUẬT:

Giải pháp VPN (Virtual Private Network) của Cisco

ĐỐI TƯỢNG:

Các nhà cung cấp dịch vụ thông tin

Các doanh nghiệp mà hạ tầng thông tin phải đáp ứng cho nhiều dạng người

dùng phân bố khác nhau

pdf19 trang | Chia sẻ: maiphuongdc | Lượt xem: 2386 | Lượt tải: 1download
Bạn đang xem nội dung tài liệu VPN – giải pháp kết nối tiết kiệm và hiệu quả, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
1Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 1 VPN – GIẢI PHÁP KẾT NỐI TIẾT KIỆM VÀ HIỆU QUẢ VPN có thể giúp bạn tiết kiệm được từ 50 đến 70% chi phí đầu tư vào các kết nối leased line và remote access truyền thống. Hơn nữa VPN còn giúp hệ thống mạng doanh nghiệp trở nên mạnh mẽ và linh hoạt, đáp ứng được yêu cầu ngày càng cao trong thời đại bùng nổ về Internet và E- Commerce..VPN LÀ GÌ VPN là tên gọi chung của những kết nối “riêng” và bảo mật dựa trên một hệ thống kết nối chung, thường là internet, cho phép mở rộng hệ thống mạng tới các văn phòng ở xa (remote office), các người dùng làm việc tại nhà (Home user, home telecommuter), các người dùng di động (mobile user) và cả các đối tác thương mại (Business Partner). Central Site Site-to-Site Remote Office Extranet Business Partner POP DSL Cable Mobile User Home Telecommuter VPNInternet Sơ đồ tổng quát của giải pháp VPN Frame Relay PTSN ISDN Leased line  Chi phí thuê bao leased line, frame relay, ATM đường dài đối với các kết nối site-to-site.  Chi phí cước viễn thông đường dài dành cho các kết nối truy cập từ xa. VPN không yêu cầu những kết nối cố định giữa hai điểm. Thay vào đó VPN sử dụng những kết nối chung như là Internet để tạo các kênh liên kết ảo. Dữ liệu lưu chuyển trên liên kết ảo này sẽ được mã hóa để bảo đảm độ an toàn trên các đường truyền chung. Việc khởi tạo các kênh truyền được thực hiện bởi các thiết bị phần cứng và phần mềm chuyên biệt và được áp dụng các cơ chế bảo mật tối ưu nhất hiện nay. Cơ chế bảo mật của VPN gắn liền với IPSec. IPSec là tên gọi chung của một nhóm các phương thức và thuật toán mã hóa, các protocol dùng trên kênh truyền bảo mật VPN. Ví dụ như cơ chế mã hóa DES, 3DES, RC4; các thuật toán Diffie-Hellman, RSA; các phương thức chuyển khóa bảo LỢI ÍCH CỦA VPN Tiết kiệm chi phí Với việc sử dụng VPN, doanh nghiệp có thể giảm đáng kể các chi phí đầu tư cho cơ sở hạ tầng truyền thông và các chi phí hàng tháng: Ngoài ra triển khai VPN còn giúp doanh nghiệp tiết kiệm được chi phí cho việc vận hành và bảo Các chi phí này lớn gấp nhiều lần chi phí sử dụng kết nối Internet nội hạt khi sử dụng VPN. trì hệ thống, giảm chi phí cho đội ngũ nhân viên tin học của minh. Các phân tích cụ thể về chi phí sẽ được trình bày ở phần sau.B ûo mật VPN cung cấp mức bảo mật cao nhất nhờ sử dụng những protocol bảo mật tiêu chuẩn và mở rộng như 3DES, IPSec… Các giải pháp kết nối truyền thống như quay số, frame relay, leased line trước đây chỉ cung cấp khả năng tách biệt kết nối một cách vật lý chứ không hề cung cấp giải pháp bảo mật. û áp bảo mật của VPN bảo đảm dữ liệu luôn được mã hóa, xác thực và toàn vẹn. (Encryption, Authentication, 2Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 2 Linh hoạt VPN giúp cho việc bổ sung các kết nối cho các văn phòng hay người dùng được thực hiện rất nhanh chóng và dễ dàng mà không cần phải thay đổi lớn về cơ sở hạ tầng và thiết bị. Thời gian chờ đợi bổ sung thiết bị (tăng cổng vật lý hay bổ sung router), kéo hay đăng ký đường truyền (đặc biệt là đối với các đường truyền liên tỉnh hay quốc tế) sẽ được loại bỏ. Hiệu quả Việc kết nối nhanh chóng, dễ dàng với chi phí thấp giúp doanh nghiệp nâng cao được hiệu quả công việc của mình. Người dùng có thể kết nối và làm việc mọi lúc, mọi nơi, thông tin luôn liên tục. Ngoài ra doanh nghiệp còn có thể phát triển mô hình “làm việc từ xa” để giảm chi phí thuê mặt bằng, tăng thời gian làm việc nhờ giảm thời gian di chuyển của nhân viên.CÁC MÔ HÌNH KẾT NỐI Remote Access Mô hình kết nối Remote Access là mô hình được áp dụng nhiều nhất. Trong đó các người dùng sẽ sử dụng các chương trình hay thiết bị VPN client để khởi tạo kênh truyền VPN. Kết nối vào Internet có thể là quay số, ISDN hay DSL. Tại trung tâm, thiết bị VPN có thể là thiết bị VPN chuyên dùng, router có hỗ trợ VPN hay là PIX Firewall. Tuy nhiên VPN chuyên dụng là thích hợp hơn cả. Thông thường Aùp dụng VPN Chi phí Remote Acces 100 user, 2h/ngày, 25% là điện thoại đường dài Chi phí điện thoại đường dài: $6000 Không có Chi phí internet: Không có $1500 Chi phí kết nối site-to-site 10 đường Frame relay 56K, 01 đường T1 Chi phí thuê bao Frame relay $7000 Không có Chi phí internet $2000 S8000 Tổng chi phí hàng tháng $15000 $9500 Chi phí trang bị VPN Thiết bị Remote Access VPN S15000 Nâng cấp router $20000 Cài đặt $3500 Tổng cộng $38500 Thời gian hoàn vốn là khoảng 7 tháng Sử dụng Firewall Site-to-site Mô hình kết nối site-to-site đang ngày càng được sử dụng nhiều hơn thay thế cho các kết nối leased line, frame relay, ATM truyền thống. Kết nối được khởi tạo giữa hai thiết bị hỗ trợ VPN, có thể là i thiết bị bất kỳ trong số: VPN chuyên dùng, router hay PIX firewall. Tuy nhiên router được sử dụng nhiều hơn cả. Mô hình kết nối sử dụng firewall áp dụng cho các doanh nghiệp đã triển khai firewall muốn mở rộng phục vụ cho VPN. Mô hình này có thể áp dụng cho cả remote access hay site-to-site VPN. PHÂN TÍCH BÀI TOÁN CHI PHÍ CHO VPN Ví dụ sau mô tả chi tiết bài toán chi phí để minh họa cho tính năng tiết kiệm của VPN. Mô hình áp dụng là mô hình chung gồm cả remote access và site-to-site VPN. 3Site-to-Site VPN Remote Access VPN IOS VPN Routers • Tính năng chủ yếu • Đầy đủ tất cả các tính năng cần có của mô hình site-to-site • Cung cấp tính năng routing, QoS, WAN interfaces, hỗ trợ multicast và multiprotocol • Thực hiện các chức năng remote access cơ bản PIX Firewalls • Dành cho các hệ thống đã có firewall • Cung cấp đầy đủ mọi tính năng firewall • Thực hiện các chức năng kết nối site-to-site cơ bản • Cung cấp hầu hết các tính năng cần có của remote acess. • Dành cho các hệ thống đã có firewall • Cung cấp đầy đủ mọi tính năng firewall VPN 3000 Concentrators • Thực hiện các chức năng kết nối site-to-site cơ bản • Tính năng chủ yếu • Cung cấp tất cả các tính năng cần có của remote access THIẾT BỊ CỦA CISCO CHO CÁC KẾT NỐI VPN VPN Concentrator Đây là loại thiết bị VPN chuyên dụng của Cisco, được thiết kế dành riêng cho các ứng dụng VPN, đặc biệt là chức năng Remote Access. Dòng sản phẩm VPN Concentrator 3000 bao gồm VPN 3005, 3015, 3030, 3060, 3080 có khả năng đáp ứng được các nhu cầu từ nhỏ đến lớn của doanh nghiệp nhờ các tính năng sau:  Số lượng user kết nối tối đa: từ 100 đến 10000.  Số tunnel hỗ trợ tối đa: từ 100 đến 1000.  Băng thông kết nối: từ 4Mbps đến 100Mbps.  Có khả năng bổ sung các card mã hóa DSP *  Có khả năng gắn thêm bộ nguồn dự phòng *  Có khả năng nâng cấp dễ dàng* (*): không áp dụng cho VPN 3005 VPN-Enabled Router Hầu như tất cả các loại router của Cisco hiện nay trừ các loại đã được thiết kế và sản xuất cách đây đã lâu (như dòng sản phẩm 7xx, 10xx, 16xx. 25xx) đều có khả năng hỗ trợ cho VPN bằng cách nâng cấp IOS để hỗ trợ chức năng IPSec. Các VPN router này thích hợp cho mô hình VPN site-to-site với nhiều cấp độ về tính năng và khả năng mở rộng khác nhau. Một số dòng sản phẩm router 26xx, 36xx, 7xxx còn có khả năng tăng hiệu suất VPN bằng cách bổ sung các loại card mã hóa DSP chuyên dụng. Tùy loại router mà khả năng hỗ trợ từ 50 (router 806) đến 5000 tunnel (router 7200) PIX-FireWall Các loại PIX-FireWall hiện nay với loại IOS version từ 5.2 trở lên đều có khả năng hỗ trợ VPN. Giải pháp dùng PIX- Firewall có khả năng hỗ trợ từ 4 (PIX-506) đến 2000 tunnel (PIX-535) và thích hợp cho các doanh nghiệp muốn triển khai thêm các tính năng firewall mở rộng khác. Web site: 4Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 GIẢI PHÁP MẠNG RIÊNG ẢO 7/2007 Ý tưởng Sản phẩm Giải pháp 5Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 TỔNG QUAN MỤC TIÊU:  Phân tích và đưa ra giải pháp về kết nối mạng trong điều kiện phức hợp CƠ SỞ KỸ THUẬT:  Giải pháp VPN (Virtual Private Network) của Cisco ĐỐI TƯỢNG:  Các nhà cung cấp dịch vụ thông tin  Các doanh nghiệp mà hạ tầng thông tin phải đáp ứng cho nhiều dạng người dùng phân bố khác nhau Phân tán - Kinh tế – Bảo mật 6Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 NỘI DUNG PHẦN 1: THỰC TRẠNG VÀ NHU CẦU PHẦN 2: GIỚI THIỆU GIẢI PHÁP VPN PHẦN 3: ỨNG DỤNG GIẢI PHÁP VPN. PHẦN 4: KẾT LUẬN 7Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 Phần 1 Hiện trạng và yêu cầu 8Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 MẠNG CỦA DOANH NGHIỆP MÔ HÌNH HIỆN TẠI Regional Office Private Lines Frame RelayRemote Office Main Office Mobile Workers Home Offices Internet 9Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 Main Office Mobile Workers Regional Office Home Offices Private Lines Frame RelayRemote Office Internet  DỊCH VỤ TRÊN MẠNG CỤC BỘ (LAN SERVICE)  TRUY CẬP TỪ XA (REMOTE ACCESS)  KẾT NỐI LIÊN THÔNG TRONG NỘI BỘ (INTRA-CORPORATE CORE CONNECTIVITY)  KẾT NỐI BÊN NGOÀI (CLOSED USER GROUP WITH PARTNER, CUSTOMER AND SUPPLIER)  TRUY CẬP INTERNET (PUBLIC INTERNET ACCESS)  GIAO DỊCH VỚI KHÁCH HÀNG TRÊN NỀN INTERNET (INTERNET-BASED CUSTOMER INTERACTION)  SỰ CÓ MẶT CỦA WEB (WEB PRESENCE) MẠNG CỦA DOANH NGHIỆP CÁC DỊCH VỤ 10Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 MẠNG CỦA DOANH NGHIỆP NHỮNG THÁCH THỨC MỚI Business Partners ? ? 1000s of Remote Workers Main Office Mobile Workers Home Offices Regional Office Classic WAN Remote Office Internet ? Very Remote/Int’l Office 11Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 MẠNG CỦA DOANH NGHIỆP NHỮNG THÁCH THỨC MỚI Main Office Mobile Workers Business Partners ? Home Offices Regional Office Classic WAN Remote Office ? ? 1000s of Remote Workers Very Remote/Int’l Office Internet  NHỮNG TRỤ SỞ MỚI (ADDING NEW SITES)  NHỮNG VĂN PHÒNG RẤT XA (ADDING VERY REMOTE SITES)  TRUY CẬP TỪ XA BẰNG QUAY SỐ (REMOTE DIAL ACCESS)  CUNG CẤP KẾT NỐI VỚI BÊN NGOÀI (EXTERNAL CONNECTIVITY)  CHI PHÍ CHO ĐẦU TƯ HẠ TẦNG VÀ BĂNG THÔNG (COST OF INFRASTRUCTURE AND BANDWIDTH) 12Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 MẠNG CỦA DOANH NGHIỆP NHỮNG THÁCH THỨC MỚI Main Office Mobile Workers Business Partners ? Home Offices Regional Office Classic WAN Remote Office ? ? 1000s of Remote Workers Very Remote/Int’l Office Internet  CẤU TRÚC MẠNG PHỨC TẠP VÀ ĐẮT (COMPLEX AND COSTLY)  TRUYỀN THÔNG HIỆU QUẢ VÀ AN NINH (EFFICIENT AND SECURE COMMUNICATION)  CHI PHÍ QUẢN TRỊ VÀ DUY TRÌ HOẠT ĐỘNG (ADMINISTRATIVE EFFORT AND COSTS OF OPERATING)  DỊCH VỤ KHÔNG PHỤ THUỘC NƠI TRUY CẬP CỦA NGƯỜI DÙNG (SAME SERVICES AND LOGICAL VIEW) 13Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 BÀI TOÁN 1 TELECOMMUTER ? Telecommuter Existing Corporate LAN/WAN Internet 14Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 ? Telecommuter Existing Corporate LAN/WAN Internet BÀI TOÁN 1 TELECOMMUTER YỀU CẦU THÁCH THỨC • SỬ DỤNG TÀI NGUYÊN NHƯ TRÊN LAN • PHẢI CÓ KẾT NỐI VỀ LAN TRUNG TÂM • CHI PHÍ ĐẦU TƯ VÀ HOẠT ĐỘNG HỢP LÝ • GIẢI PHÁP TRUYỀN THỐNG: – DIAL-UP TRỰC TIẾP – WEB ACCESS: ỨNG DỤNG – MỐI ĐE DỌA • BẢO MẬT THÔNG TIN • TỔNG THỂ VỀ AN NINH: – MẠNG: AAA, ENCRYPTION – LƯU THÔNG DỮ LIỆU: ĐẢM BẢO KẾT NỐI – CoS, QoS 15Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 BÀI TOÁN 2 NHÀ CUNG CẤP DỊCH VỤ THÔNG TIN TP.Ho Chi Minh Hanoi Internet Client 1 Nhà CCDVTT VP chính VP Đại diện Cty 1 CN Cty 1 16Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 TP.Ho Chi Minh Hanoi Internet Client 1 Nhà CCDVTT VP chính VP Đại diện Cty 1 CN Cty 1 BÀI TOÁN 2 NHÀ CUNG CẤP DỊCH VỤ THÔNG TIN  ĐÁP ỨNG CHO NHIỀU DẠNG KẾT NỐI KHÁC NHAU  YÊU CẦU VỀ HẠ TẦNG TRUYỀN THÔNG ĐỐI VỚI KHÁCH HÀNG TỐI ƯU NHẤT  ĐẢM BẢO THÔNG TIN: NGUYÊN VẸN – AN NINH – RIÊNG TƯ 17Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 BÀI TOÁN 2 CÁC VẤN ĐỀ CỤ THỂ CẦN GIẢI QUYẾT TP.Ho Chi Minh Hanoi Client 1 VP chính VP Đại diện Cty 1 CN Cty 1  SỬ DỤNG TỐI ƯU HẠ TẦNG ĐANG CÓ  TỔ CHỨC THÔNG TIN: CHO NHIỀU LAN RIÊNG BIỆT  QUẢN TRỊ TẬP TRUNG 18Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 BÀI TOÁN 2 CÁC VẤN ĐỀ CỤ THỂ CẦN GIẢI QUYẾT TP.Ho Chi Minh Internet Nhà CCDVTT Client 1 Hanoi VP chính VP Đại diện Cty 1 CN Cty 1  KHÔNG YÊU CẦU THAY ĐỔI LỚN HẠ TẦNG KẾT NỐI  CUNG CẤP CHO CTY 1 THÔNG TIN AN TOÀN – BẢO MẬT  KHÔNG PUBLIC HÓA HỆ THỐNG THÔNG TIN CỦA MÌNH  CUNG CẤP KẾT NỐI AN TOÀN – BẢO MẬT  KHÔNG DÙNG LIÊN KẾT TRỰC TIẾP TRUYỀN THỐNG  KHÔNG PUBLIC HÓA HỆ THỐNG THÔNG TIN CỦA MÌNH 19Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007 Phần 2 Giới thiệu giải pháp VPN

Các file đính kèm theo tài liệu này:

  • pdfGiaiphapVPNUngdungthucte.pdf