Tải bản đầy đủ (.docx) (40 trang)
  1. Trang chủ
    2. >>
  2. Kỹ thuật
    3. >>
  3. Điện - Điện tử - Viễn thông

TRIỂN KHAI THỰC TẾ VÀ BẢO MẬT MPLS VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (779.04 KB, 40 trang )

HỌC VIỆN CỘNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Khoa: Điện Tử - Truyền Thông
  

BÁO CÁO TIỂU LUẬN
QUẢN LÝ MẠNG VIỄN THÔNG
MPLS VPN
GIẢNG VIÊN: HOÀNG TRỌNG MINH
Nhóm sinh viên thực hiệ
n:
Hoàng Sỹ Long Nguyễn Thị Thương
Lê Đình Thủy Đỗ Thanh Hải
Mục Lục
Danh mục Hình
Internet ngày càng được mở rộng và phát triển, kèm theo đó là sự đáp ứng
nhu cầu sử dụng và các dịch vụ về chất lượng và độ trễ. Định tuyến IP truyền
thống qua bộ xử lý Router không còn đáp ứng được các nhu cầu tin cậy, tốc độ , độ
trễ….Việc xử lý một gói tin IP sẽ rất phức tạp và mất nhiều thời gian khi phải tìm
kiếm trong bảng định tuyến, cập nhật, và tốn tài nguyên để xử lý.
Để khắc phục những nhược điểm trên thì công nghệ chuyển mạch nhãn đa
giao thức MPLS (Multiple Protocol Lable Switching) đã ra đời để đáp ứng các nhu
cầu về tốc độ và chuyển mạch nhanh của Internet. MPLS là công nghệ kết hợp
những ưu điểm của định tuyến lớp 3 và chuyển mạch lớp 2, cho phép chuyển tải
các gói rất nhanh trong mạng lõi (Core Network) và định tuyến tốt ở mạng biên
(Edge Network) bằng cách dựa vào nhãn (label). MPLS được các thành viên IETF
xây dựng và chuẩn hóa.
Một trong những ứng dụng tiêu biểu của công nghệ MPLS là MPLS – VPN. Với
MPLS, độ trễ trong mạng được giữ ở mức thấp nhất do các gói tin trong mạng
không phải thông qua các hoạt động đóng gói và mã hóa. MPLS - VPN đảm bảo
tính riêng biệt và bảo mật, có cách đánh địa chỉ linh hoạt, cơ chế xử lý thông tin
của MPLS - VPN nằm trong phần lõi độc lập với khách hàng. Điểm nổi bật là


mạng khách hàng không cần yêu cầu thiết bị hỗ trợ MPLS, đồng thời dễ mở rộng
và phát triển. MPLS - VPN cũng là đối tượng nghiên cứu chính trong đề tài này.
I. GIỚI THIỆU
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
2
Ngày nay, với sự phát triển của ngành công nghệ thông tin và điện tử viễn
thông đã đóng góp không nhỏ trong những hoạt động kinh doanh của doanh
nghiệp. Không một tổ chức nào phủ nhận sự đóng góp của công nghệ trong lộ trình
phát triển kinh doanh của họ. Mỗi một tổ chức đã bắt đầu ý thức nhiều hơn về việc
đầu tư vào công nghệ thông tin không chỉ ở hạ tầng mạng nội bộ LAN mà đã đi
sâu hơn về mạng diện rộng WAN để mở rộng hơn cánh cửa kinh doanh của mình ở
trong nước mà vươn ra quốc tế.
Để đáp ứng sự phát triển và đầu tư, yêu cầu về tốc độ, chi phí, dịch vụ băng thông,
và khả năng phục vụ của các công nghệ WAN truyền thống thư TDM, FRAME
RELAY, ATM….đã không còn theo kịp với thời đại. Công nghệ MPLS ra đời để
đáp ứng những yêu cầu của thi trường. Công nghệ MPLS với dịch vụ mạng riêng
ảo VPN là giải pháp để kết nối mạng linh hoạt, mềm dẻo, chi phí thấp và điểm nổi
bật hơn là hợp nhất hạ tầng mạng sẵn có.
II. TỔNG QUAN VỀ MPLS
MPLS là chữ viết tắt của Multi Protocol Label Switching, chuyển mạch
nhãn đa giao thức. Mỗi gói tin IP bao gồm cả IPv4 và IPv6 hoặc cả những khung
Frame lớp 2 khi đi vào miền MPLS sẽ được gán nhãn và truyền đi trong môi
trường mạng. Bằng cách này gói tin có thể chuyển mạch nhanh hơn và có thể kết
hợp được đa tầng mạng hợp nhất.
I.1 Cấu trúc MPLS
Cấu trúc của MPLS sẽ chia làm 02 mặt phẳng riêng biệt
- Mặt phẳng điều khiển: chứa các giao thức định tuyến để thiết lập các đường đi
được sử dụng cho việc chuyển tiếp gói tin ở lớp 3. Ngoài ra mặt phẳng điều khiển
còn chứa giáo thức phân phối nhãn để đáp ứng cho việc tạo và duy trì thông tin

chuyển tiếp nhãn (gọi là binding) giữa một nhóm switch chuyển mạch nhãn kết nối
với nhau. Các giao thức định tuyến như OSPF, ISIS, EIGRP và các giao thức trao
đổi nhãn như LDP, BGP.
- Mặt phẳng dữ liệu: sử dụng cơ sở dữ liệu chuyển tiếp nhãn (LFIB-label
forwarding information base) được duy trì bởi một thiết bị chuyển mạch nhãn để
thực hiện việc chuyển tiếp gói tin dựa trên thông tin nhãn mang trên gói tin. Mặt
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
3
phẳng dữ liệu chỉ là một thành phần chuyển tiếp dựa trên nhãn đơn giản độc lập
với các giao thức định tuyến và các giao thức trao đổi nhãn.
Hình 1:Cấu trúc MPLS
I.2 Cấu trúc nhãn
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
4
Nhãn của MPLS là 1 trường 32 bit cố định với cấu trúc xác định. Trong đó :
- Label : có giá trị từ 0->220 -1. Giá trị từ 0 -> 15 là giá trị dành riêng, sử dụng
giá trị từ 16 -> 220 -1.
- EXP (Experimental) : dùng cho QoS.
- S (Bottom of Stack) : cho biết đây là nhãn cuối cùng của chồng nhãn (label
stack).
- TTL (Time – To – Live) : tương tự như trường TTL của IP header.
Hình 2: Nhãn MPLS

Một số nhãn đặt biệt trong công nghệ MPLS:
Hình 3: Nhãn đặc biệt trong MPLS
- Nhãn untagged: gói MPLS được chuyển thành gói IP và được chuyển tiếp đến
đích. Untagged được dùng trong thực thi MPLS VPN.
- Nhãn pop hay implicit null:

• Nhãn này được gán bằng P Router gần LSR nhất khi gói tin MPLS được
chuyển đến LSR.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
5
• Dùng 1 giá trị riêng là 3 khi được quảng bá bởi LSR láng giềng.
• Nhãn được dùng trong mạng MPLS cho những trạm kế cuối.
- Nhãn Explicit-null:
• Được gán để giữ giá trị EXP cho nhãn top của gói đến.
• Được sử dụng khi thực hiện QoS với MPLS.
- Nhãn aggregate: với nhãn này, khi gói tin MPLS đến nó bị bóc tất cả nhãn
trong chồng nhãn ra thành gói IP, sau đó tìm kiếm trong FIB để xác định giao thức
ngõ ra cho gói tin này.
2.3 Quá trình gán nhãn cho gói tin.
- Xây dựng bảng định tuyến
• Các Router sau khi khởi tạo sẽ dựa vào giao thức định tuyến để xây dựng
bảng định tuyến RIB (Routing Table Information Base) và được lưu trử trong
mặt phẳng điều khiển.
• Dựa vào bảng RIB, Router sẽ tạo ra bảng FIB (Forwarding Information Base)
và được lưu trữ trong mặt phẳng dữ liệu.
Hình 4: Xây dựng bảng FIB
- Xây dựng bảng LIB
• Giao thức trao đổi nhãn LDP sẽ khởi tạo và trao đổi nhãn giữa những Router
trong miền MPLS để tạo ra bảng LIB (Label Information Base)
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
6
Hình 5: Xây dựng bảng LIB
- Xây dựng bản LFIB
• Sự kết hợp giữa bản LIB và bảng FIB sẽ tạo ra bảng LFIB.


Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
7
Hình 6: Xây dựng bảng LFIB
- Chuyển tiếp gói tin
• Ở chặn đầu tiên, gói tin IP đi vào miền MPLS, Router biên sẽ dựa vào địa
chỉ đích tìm kiếm trong bảng FIB để gán nhãn cho gói tin.
• Ở chặn kế tiếp, Router trong miền MPLS sẽ dựa vào nhãn được lưu trong
bảng LFIB để xác định nút kế tiếp, thay đổi nhãn và forward gói tin đi.
• Ở chặn cuối cùng, Router biên sẽ dựa vào nhãn đặc biệt để gở bỏ gói tin và
gởi ra ngoài miền MPLS.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
8
Hình 7: Chuyển tiếp gói tin trong MPLS
III. ỨNG DỤNG CÔNG NGHỆ MPLS - VPN.
VPN là công nghệ mạng riêng ảo được xây dựng dựa trên hạ tầng của MPLS.
Một mạng riêng yêu cầu các khách hang đầu cuối có thể kết nối với nhau và hoàn
toàn độc lập với các mạng riêng khác. Ngày nay, mỗi công ty đều có các chi nhánh
được phân bố khắp nơi, yêu cầu của công nghệ VPN là xây dựng các kết nối ảo
(Tunnel) thay cho các kết nối thật (Lease Line) kết nối các chi nhánh lại với nhau
thông qua hạ tầng của nhà cung cấp dịch vụ chung.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
9
VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường
ống bảo mật giữa nơi nhận và nơi gửi gọi là Tunnel , Tunnel giống như một kết
nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ
liệu phải được mã hóa theo cơ chế giấu đi, chỉ cung cấp phần đầu gói tin (header)

là thông tin về đường đi cho phép nó có thể đi tới đích thông qua mạng công cộng
một cách nhanh chống. dữ liệu được mã hóa một cách cẩn thận do đó nếu các
packet bị bắt trên đường truyền công cộng cũng không thể đọc nội dung vì không
có khóa đề giải mã, liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối
VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel).
Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng
chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như
"Văn phòng" tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên
ngoài.
Mục đích
Công nghệ VPN với 3 yêu cầu cơ bản:
• Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi.
• Kết nối các chi nhánh văn phòng với nhau.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
10
• Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bên ngoài
tới những tài nguyên của tổ chức.
Mô hình VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN
điểm-nối-điểm (site-to-site).
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN-Virtual
Private Dial-up Network),đây là dạng kết nối User-to-Lan áp dụng cho các công ty
mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa
điểm từ xa và bằng các thiết bị khác nhau.
Một số thành phần chính :
• Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận
và chứng nhận các yêu cầu gửi tới.
• Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu
cầu ở khá xa so với trung tâm.

• Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ
trợ truy cập từ xa bởi người dùng.
Ưu điểm
• Những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
• Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
• Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so
với kết nối trực tiếp đến những khoảng cách xa.
• VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ
dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các
kết nối đồng thời đến mạng.
Nhược điểm
• Remote Access VPN cũng không bảo đảm được chất lượng phục vụ.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
11
• Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu
có thễ đi ra ngoài và bị thất thoát.
• Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều
này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP
và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
• Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết
nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại
này có thể dựa trên Intranet hoặc Extranet.
IntranetVPN
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa
điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng
ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất.
Ưu điểm:

• Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn
cầu, các trạm ở một số remote site khác nhau.
• Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hàng.
• Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch
vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu
chi phí cho việc thực hiện Intranet.
Nhược điểm:
• Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công
cộng-Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ
(denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin.
• Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
12
• Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin
mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua
Internet.
• Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường
xuyên, và QoS cũng không được đảm bảo.
ExtranetVPN
Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ
như, một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng
extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty
đó có thể làm việc trong một môi trường có chia sẻ tài nguyên.
Ưu điểm:
Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi
lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức Bởi vì
một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm
chi phí bảo trì khi thuê nhân viên bảo trì Dễ dàng triển khai, quản lý và chỉnh sữa

thông tin.
Nhược điểm:
• Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn
tại.
• Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
• Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao
đổi diễn ra chậm chạp.
• Do dựa trên Internet, QoS(Quality of Service) cũng không được bảo đảm
thường xuyên.
Các thành phần trong mạng VPN
Một mạng VPN có thể bao gồm các thành phần cơ bản sau:
- Máy phục vụ truy cập mạng NAS - Network Access Server
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
13
- Bộ định tuyến - Router
- Máy nguồn đường hầm TOS - Tunnel Origination Server
- Máy đích đường hầm TTS - Tunnel Termination Server
- Máy phục vụ xác thực - Authentication Server
- Tường lửa (Firewall)
- Máy phục vụ thiết lập chính sách (Policy Server)
- VPN Gateway
IV. CÁC BƯỚC CHUNG ĐỂ XÂY DỰNG MẠNG
RIÊNG ẢO VPN
- Chuẩn bị cơ sở
- Lựa chọn các sản phẩm
- Kiểm thử kết quả
- Thiết kế và thực thi giải pháp
- Quản trị và giám sát
Sau đây ta sẽ thảo luận chi tiết các bước này

I.3 Chuẩn bị cơ sở
Thực thi một giải pháp dựa trên mạng riêng ảo có thể làm giảm không đáng kể
hiệu suất của mạng Intranet. Và như vậy, điều quan trọng là ta phải nghiên cứu đầy
đủ các khả năng để chọn lựa các dịch vụ và sản phẩm tối ưu. Hơn nữa, phần cơ sở
được làm càng tỉ mĩ, sự hoàn vốn đầu tư càng tối ưu.
Ta cần xác định các thông tin sau:
- Một ước lượng sơ bộ về số lượng người dùng: Cần có một ước lượng sơ bộ
về số lượng người dùng mong muốn để xác định phạm vi của giải pháp mạng riêng
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
14
ảo và các dịch vụ. Số lượng này cũng sẽ giúp ta quyết định số lượng các cổng
mạng riêng ảo tối ưu mà ta nên có.
- Phân loại người dùng tuỳ theo yêu cầu của họ: Ta sẽ cần phải nghiên cứu hồ
sơ của người dùng một cách thấu đáo để xác định các yêu cầu của họ và phân loại
vào các nhóm khác nhau bao gồm nhóm người dùng thuộc chi nhánh văn phòng,
nhóm người dùng di động, nhóm nhân viên làm việc tại nhà. Những người dùng
thuộc nhóm chi nhánh văn phòng thường không di động và yêu cầu truy cập không
bị giới hạn tới mạng của văn phòng trung tâm và các nhánh mạng khác trong
Intranet. Nhóm người dùng di động là một tập người dùng với các hồ sơ luôn di
chuyển, họ thường sử dụng một máy xách tay để truy cập Intranet của tổ chức.
Điển hình là họ sử dụng kết nối mạng riêng ảo để truy cập email và một số các tài
nguyên cần thiết khác. Nhóm nhân viên làm việc tại nhà truy cập Internet của tổ
chức với thời gian ngắn và các tài nguyên giới hạn
- Các yêu cầu truy cập và kết nối: Bước tiếp theo là xác định các yêu cầu kết
nối và truy cập mạng của mỗi loại người dùng VPN. Ta cần xác định kiểu kết nối
mạng WAN có thể được cung cấp theo ngân quỹ của ta và các ràng buộc hiệu suất
của nó. Ta cũng cần xác định tốc độ dữ liệu trung bình được yêu cầu cho những
loại kết nối và những người dùng khác nhau
- Các yêu cầu an toàn: An toàn trong một thiết lập dựa trên màng riêng ảo đòi

hỏi tính bí mật, toàn vẹn và xác thực. Để đảm bảo tất cả những yếu tố này trong
các giao dịch mạng riêng ảo của ta, cần phải thực thi các phương tiện an toàn khác
nhau, chẳng hạn như các cơ chế mã hoá, các cơ chế xác thực và cả các giải pháp an
toàn dựa trên phần cứng như RADIUS, AAA, TACACS, Firewall, NAT,… Ta
không thể chọn tuỳ tiện bất kỳ một phương tiện nào trong số trên, mà cần phân tích
các yêu cầu của tổ chức để hiểu giải pháp nào nên được thực thi. Sự lựa chọn giải
pháp bảo mật thích hợp cũng tuỳ thuộc vào mức bảo mật và toàn vẹn được yêu cầu
bởi luồng lưu lượng mạng. Ví dụ, nếu tổ chức đề cập đến dữ liệu nhạy cảm trong
giao dịch thương mại điẹn tử, ta sẽ cần thực thi một hoặc nhiều giải pháp an toàn
để đảm bảo tính bí mật, toàn vẹn và xác thực thích hợp của dữ liệu
I.4 Lựa chọn các sản phẩm
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
15
Sau khi ta đã phân tích và hiểu rõ các yêu cầu của tổ chức và những mong
muốn của người dùng, lúc này ta tiến hành chọn lựa các sản phẩm để thực thi mạng
riêng ảo. Việc này không phải dễ dàng đưa ra quyết định vì có nhiều sản phẩm
phần cứng và phần mềm mạng riêng ảo hiện có. Xem xét các ràng buộc về ngân
sách, phương pháp tốt nhất để chọn các sản phẩm là đáp ứng các yêu cẩu của ta và
khả năng tài chính.
Một số tham số sẽ giúp ta chọn lựa các sản phẩm phần cứng cũng như phần
mềm thích hợp cho mạng riêng ảo là:
- Các tham số liên quan đến hiệu suất, như thông lượng được duy trỳ liên tục
mức cao nhất và thời gian phản hồi thấp nhất
- Các tham số liên quan đến an toàn, như các cơ chế mã hoá và xác thực được
hỗ trợ
- Các tham số liên quan đến phiên làm việc, như tốc độ tuyền dữ liệu cao nhất
- Số lượng kết nối đồng thời được hỗ trợ
Chú ý:
Ta phải cẩn thận trong khi lựa chọn các cơ chế mã hoá và xác thực. Mặc dù

chúng nâng cao tính an toàn, nhưng chúng cần nhiều CPU để tính toán và như
vậy có thể làm giảm hiệu suất toàn phần của mạng. Kết quả là, nên dung hoà
giữa tính an toàn và hiệu suất.
Vì ta vẫn còn chưa xong pha thực thi, đây là điểm mà trong đó ta có thể quyết
định giải pháp tận dụng dựa trên các phân tích sản phẩm và cơ sở của ta. Nhà cung
cấp dịch vụ sẽ có yêu cầu về khả năng kỹ thuật và kinh nghiệm được yêu để thiết
kế và thực thi một giải pháp mạng riêng ảo thích ứng với các yêu cầu của tổ chức.
Hơn nữa, giải pháp tận dụng cũng sẽ dẫn đến gánh nặng trong việc quản lý và giám
sát lên vay chúng ta. Tuy nhiên, hạn chế ở đây là việc xử lý an toàn của tổ chức
qua một tổ chức bên ngoài (người ngoài cuộc). Điều này không thể chấp nhận
được với các tổ chức và người quản trị. Vì vậy, ta nên phân tích chi tiết SLA mà
nhà cung cấp dịch vụ đem lại cho ta. Một sự hiểu biết sâu sắc mỗi điểm trong SLA
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
16
cũng sẽ giúp ta xác minh rằng nhà cung cấp dịch vụ đang cung cấp mức dịch vụ
đúng như trong SLA
I.5 Kiểm thử kết quả
Nếu quyết định được áp dụng thực thi trong một nhóm của thiết lập mạng
riêng ảo, ta sẽ cần kiểm tra và đánh giá mỗi sản phẩm mạng riêng ảo mà ta đã
chọn. Điều này sẽ giúp ta đảm bảo tính đúng đắn trước khi bắt đầu lựa chọn các
sản phẩm phần cứng và phần mềm tương thích với mỗi sản phẩm khác.
Thông thường, việc kiểm thử được thực hiện với một phạm vi nhỏ thí điểm có
kết hợp nhiều nhóm người dùng khác nhau. Mỗi khía cạnh của mạng riêng ảo nên
được kiểm thử và ta nên xem cách mỗi sản phẩm sẽ hoạt động trong môi trường
thực. Thí nghiệm này cũng đảm bảo rằng các sản phẩm được cấu hình đúng và
được thự thi trên các đặc tính kỹ thuật
Nếu ta đã quyết định sử dụng các dịch vụ của nhà cung cấp, một thí nghiệm
nhỏ để kiểm thử và xác minh giải pháp đưa ra bởi nhà cung cấp dịch vụ trong môi
trường thực được khuyến cáo.

Nếu thí nghiệm xảy ra lỗi, ta sẽ cần thay thế các sản phẩm không đáp ứng đầy
đủ các yêu cầu hoặc cấu hình lại chúng.
I.6 Thiết kế và thực thi giải pháp
Ta hoàn tất để sang pha thiết kế và thực thi chỉ sau khi pha kiểm thử thành
công. Trong pha thiết kế và thực thi, ta sẽ thực thi giải pháp mạng riêng ảo mềm
dẻo theo kế hoạch của tổ chức
Sau khi giải pháp đã được thực thi thành công, ta cần kiểm thử lại toàn bộ
thiết lập. Sau khi kiểm thử thành công, ta cũng có thể cần tinh chỉnh giải pháp để
tối ưu hoá tính an toàn và hiệu suất của nó
I.7 Giám sát và quản trị
Việc quản lý và duy trì mạng là một quá trình liên tục. Đển giám sát một thiết
lập mạng riêng ảo phạm vi lớn là rất phức tạp. Vì vậy cần vạch ra một chiến lược
để quản lý và giám sát mạng của ta
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
17
Những thói quen sau sẽ giúp ta đảm bảo rằng mạng riêng ảo luôn tối ưu
- Thu thập cách sử dụng và thống kê hiệu suất đều đặn
- Duy trì file nhật ký chi tiết mỗi hành động liên quan đến mạng riêng ảo, kể
cả các hành động thành công.
Một sự am hiểu sâu sắc về cách mà nhà cung cấp dịch vụ thực thi giải pháp
mạng riêng ảo cung giữ một vai trò quan trọng trong việc giám sát và đánh giá hiệu
suất, hiệu quả và tính đầy đủ của giải pháp được cung cấp.
Công nghệ mạng đang phát triển rất nhanh chónh, công nghệ mạng riêng ảo
cũng vậy. Vì thế, thỉnh thoảng ta phải cần cập nhật cho thiết lập mạng riêng ảo của
ta, ta cũng cần di trú tới các nền và các môi trường khác nhau để thích ứng với sự
phát triển trong tương lại của tổ chức cũng như các yêu cầu của tổ chức
Hầu hết nhứng người thiết kế và quản trị mạng sẽ chỉ cho ta, công việc của ta
không kết thúc với sự thực thi một giải pháp. Ta cần phải quản lý và giám sát giải
pháp, và như vậy nó cung cấp hiệu suất như hợp đồng. Thi thoảng, ta cũng cần

định danh, hỗ trợ và giải quyết bất kỳ vấn đề nào có thể nảy sinh
I.8 Tổng kết
Trong phần này, chúng ta đã xem xét các vấn đề khác nhau cần phải lưu ý lúc
thiết kế một giải pháp dựa trên mạng riêng ảo cho một tổ chức. Chương này đã
nghiên cứu vấn đề thiết kế mạng riêng ảo, như tính an toàn, đánh địa chỉ và định
tuyến, hiệu suất, tính mền dẻo và khả năng liên tác.
Các vấn đề khác liên quan đến việc thực thi của các Firewall, NAT, DNS,
mức đọ tin cậy trong Intranet và phân phối khoá được đề cập
Ta cũng đã nghiên cứu một cách riêng lẻ mỗi môi trường mạng riêng ảo –
Remote access, Intranet và Extranet để hiểu rõ các vấn đề và các khả năng khác
nhau mà ta có thể phải lập kế hoạch lúc thực thi mạng riêng ảo trong mỗi môi
trường này.
Cuối cùng, ta đã xem xét về 5 bước tổng quát trong việc thực thi một giải
pháp bảo mật dựa trên mạng riêng ảo cho mạng Intraneet của một tổ chức. Các
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
18
bước này bao gồm pha nghiên cứu để xác định yêu cầu của tổ chức và những
người dùng cuối của hệ thống, một pha lựa chọn để chọn các sản phẩm và nhà
cung cấp dịch vụ, một pha kiểm thử để kiểm tra các sản phẩm và nhà cung cấp
dịch vụ được chọn, một pha thiết kế và thực thi, và một pha giám sát và quản trị để
đánh giá hiệu suất và các khía cạnh khác của mạng riêng ảo một cách đều đặn.
V. XÂY DỰNG MANG RIÊNG ẢO TRUY CẬP TỪ
XA
Các thành phần của một mạng riêng ảo truy cập từ xa
Các thành phần chính là
- Các Client VPN
- Hạ tầng mạng Internet
- Server VPN, và các thiết bị khác như Gateway
- Hạ tầng mạng Intranet

- Máy chủ AAA
- Hạ tầng cấp phát chứng chỉ số
I.9 Các thành phần
 Các Client VPN
Client VPN có thể là một máy tính hoặc thiết bị có khả năng tạo một kết nối
PPTP hoặc L2TP
Các Client VPN có nhiều loại, nhiều dạng và nhiều kích cỡ. Một số Client
VPN điển hành được sử dụng rộng rãi ngày nay là:
- Người dùng Laptop kết nối tới Intranet của tổ chức đề truy cập email và các
tài nguyên khác
- Những người quản trị từ xa sử dụng Internet để kết nối tới mạng của tổ chức
để cấu hình mạng hoặc các dịch vụ ứng dụng.
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
19
- Nhiều người dùng khác tận dụng ưu điểm về khả năng kỹ thuật của giải pháp
truy cập từ xa, chẳng hạn như các giải pháp truy cập mạng không giây, các hệ
thống kiểm soát từ xa, các mạng truyền thông
Trong khuôn khổ của giáo trình này, sẽ tập trung vào các Client thông dụng
nhất, chẳng hạn như Client sử dụng hệ điều hành WinXP và Windows 2000 Pro
của Microsoft.
Các Client VPN có thể cấu hình các kết nối mạng riêng ảo một cách thủ công
bằng việc tạo các kết nối trên hệ điều hành, hoặc người quản trị hệ thống có thể
đơn giản hoá bằng các công cụ sẵn có trên hệ điều hành.
 Hạ tầng mạng Internet
Trong các thảo luận của chúng ta về giải pháp truy cập từ xa với mạng riêng
ảo, chúng ta sẽ làm việc với các kết nối qua Internet. Điều này có nghĩa là chúng ta
dựa vào Internet, nó là mạng trung gian, cung cấp các dịch vụ và phương tiện
truyền thông tới người dùng. Để tạo một kết nối mạng riêng ảo tới một máy chủ
mạng riêng ảo qua Internet, ta cần kiểm chứng các mục sau trước khi bất kỳ kết nối

nào được tạo
- Tên máy chủ mạng riêng ảo phải có khả năng giải quyết: Đảm bảo rằng tên
DNS của máy chủ mạng riêng ào khó khả năng xử lý từ Internet bằng việc đặt một
bản ghi DNS thích hợp hoặc trên máy chủ DNS Internet hoặc trên máy chủ DNS
của ISP. Kiểm thử khả năng xử lý bằng công cụ Ping để ping tới tên của mỗi máy
chủ mạng riêng ảo
- Máy chủ mạng riêng ảo phải có khả năng kết nối tới: Đảm bảo rằng các địa
chỉ IP của máy chủ mạng riêng ảo có khả năng kết nối tới từ Internet
- Luồng lưu lượng VPN phải được phép từ máy chủ mạng riêng ảo: Cấu hình
bộ lọc gói cho luồng lưu lượng PPTP, L2TP hoặc cả hai kiểu trên các Firewall và
giao diện máy chủ mạng riêng ảo thích hợp đang kết nối tới Internet và mạng vành
đai
 Các giao thức xác thực
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
20
Để xác thực người dùng, các giao thức xác thực thường được sử dụng là:
- Giao thức xác thực mật khẩu (PAP)
- Giao thức xác có thăm dò trước (CHAP)
- Giao thức xác thực có thăm dò trước của Microsoft (MS-CHAP)
- Giao thức MS-CHAP phiên bản 2 (MS-CHAP v2)
- Giao thức xác thực – hàm băm thông điệp MD5 mở rộng (EAP-MD5)
- Giao thức xác thực - bảo mật tầng vận tải mở rộng (EAP-TLS)
Với các kết nối PPTP, có thể sử dụng MS-CHAP, MS-CHAP v2, hoặc EAP-
TLS. Chỉ 3 giao thức này cung cấp một cơ chế để tạo khoá mã hoá giống nhau trên
cả Client và Server. MPPE sử dụng khoá mã hoá này để mã hoá tất cả dữ liệu
PPTP trên kết nối mạng riêng ảo. MS-CHAP and MS- CHAP v2 là các giao thức
xác thực dựa vào mật khẩu.
Với các kết nối L2TP, bất kỳ giao thức xác thực nào cũng có thể được dùng vì
việc xác thực xuất hiện sau khi Client VPN và Server VPN thiết lập một kênh liên

lạc an toàn, chẳng hạn như ta đã biết đó là liên kết an toàn IPSec (SA). Tuy nhiên,
nhưng giao thức có khả năng xác thực mạnh được khuyến cáo sử dụng.
 Các giao thức định đường hầm mạng riêng ảo
Cùng với việc quyết định một giao thức xác thực, ta cần quyết định giao thức
đường hầm nào sẽ dùng cho việc triển khai mạng riêng ảo. Hai giao thức định
đường hầm mạng riêng ảo truy cập từ xa thông dụng là
- Giao thức định đường hầm điểm - tới - điểm (PPTP)
- Giao thức định đường hầm tầng 2 với IPSec (L2TP/IPSec)
 Máy chủ mạng riêng ảo
Máy chủ mạng riêng ảo là trung tâm của toàn bộ hoạt động mạng riêng ảo.
Máy chủ mạng riêng ảo thực hiện các công việc sau:
- Lắng nghe kết nối PPTP và các thương lượng SA IPSec cho kết nối L2TP
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
21
- Xác thực và cấp quyền cho các kết nối mạng riêng ảo trước khi cho phép dữ
liệu lưu chuyển
- Hoạt động như một Router chuyển tiếp dữ liệu giữa các Client VPN và các
tài nguyên trên Intranet
- Hoạt động như một điểm cuối của đường hầm mạng riêng ảo
Máy chủ mạng riêng ảo thường có 2 hoặc nhiều hơn 2 cardmang để kết nối tới
Internet và cả Intranet
 Hạ tầng mạng Intranet
Hạ tầng mạng của Intranet là một phần tử quan trọng của thiết kế mạng riêng
ảo. Không có thiết kế thích đáng, các Client VPN không có khả năng thu được các
địa chỉ IP và xử lý các tên trong mạng cục bộ, và các gói không thể được chuyển
tiếp giữa các Client và các tài nguyên mạng Intranet, các Client sẽ không có khả
năng truy cập tới bất kỳ tài nguyên nào trên mạng Intranet
Giải quyết vấn đề đặt tên
Nếu ta sử dụng DSN để xử lý các tên máy chủ trong mạng Intranet, đảm bảo

rằng máy chủ mạng riêng ảo được cấu hình với các địa chi IP của DNS bên trong
thích hợp. Để đảm bảo việc xử lý tên với các tài nguyên bên ngoài mạng Intranet,
cấu hình DNS bên trong để truy vấn các máy chủ ISP bên ngoài. Đây là điều quan
trọng, nếu không thực hiện như vậy, các Client VPN sẽ không thực hiện chức năng
một cách đúng đắn. Máy chủ VPN nên được cấu hình DNS một cách thủ công.
Như một phần của quá trình thương lượng PPP, các Client VPN nhận địa chỉ IP
của DNS. Theo ngầm định các Client VPN kết thừa các địa chỉ DNS đã cấu hình
trên máy chủ mạng riêng ảo
 Cơ sở hạ tầng AAA
Cơ sở hạ tầng cho việc xác thực, cấp quyền và kiểm toán là một phần sống
còn của cơ sở hạ tầng mạng riêng ảo vì nó là hệ thống giữ cho tính năng an toàn
thực hiện trên giải pháp truy cập từ xa. AAA kiểm soát tất cả truy cập tới Gateway;
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
22
xử lý tất cả các đăng nhập một lần và vấn đề truy cập tài nguyên. Cơ sở hạ tầng
AAA tồn tại để:
- Xác thực giấy uỷ nhiệm của các Client VPN
- Cấp quyền cho các kết nối mạng riêng ảo
- Ghi lại việc tạo ra và kết thúc kết nối mạng riêng ảo cho chức năng kiểm
toán
Cơ sở hạ tầng AAA bao gồm
- Máy chủ mạng riêng ảo
- Một máy chủ RADIUS
- Một máy điều khiển tên miền
Các chính sách truy cập từ xa
Các chính sách truy cập từ xa là một tập có thứ tự các luật định nghĩa những
kết nối nào được chấp nhận hay từ chối. Với các kết nối được chấp nhận, các chính
sách truy cập từ xa cũng có thể định nghĩa để các hạn chế kết nối. Với mỗi luật, có
một hoạc nhiều hơn các điều kiện, một tập các thiết lập hồ sơ và một tập các thiết

lập mức cho phép truy cập từ xa. Các nỗ lực kết nối được đánh giá dựa vào các
chính sách truy cập từ xa, nó cố gắng xác định kết nối nào phù hợp tất cả các điều
kiện của mỗi chính sách. Nếu nổ lực kết nối không phù hợp với tất cả các điều kiện
của bất kỳ một chính sách nào, thì nó sẽ bị từ chối.
Nếu một kết nối phù hợp với tất cả các điều kiện của một chính sách truy cập
từ xa và được cấp phát mức cho phép truy cập từ xa, hồ sơ chính sách truy cập từ
xa xác định một tập các hạn chế kết nối. Các đặc tính quay số của tài khoản người
dùng cũng cung cấp một tập các hạn chế. Chính sách truy câp từ xa bao gồm các
phần tử sau:
- Các điều kiện:
Các điều kiện chính sách truy cập từ xa là một hoặc nhiều thuộc tính mà được
so sánh với các thiết lập của nổ lực kết nối. Nếu có nhiều điều kiện, tất cả các điều
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
23
kiện phải phù hợp với thiết lập của nổ lực kết nối để cho nó phù hợp với chính
sách. Với các kết nối mạng riêng ảo, ta thường sử dụng các điều kiện sau:
+ Loại cổng NAS: Bằng việc thiết lập điều kiện này với mạng riêng ảo, ta có
thể xác định tất cả các kết nối mạng riêng ảo.
+ Kiểu đường hầm: Với điều kiện này, ta có thể chỉ rõ các chính sách khác
nhau với các kết nối PPTP và L2TP
+ Nhóm: Với các nhóm, ta có thể cấp quyền hoặc từ chối truy cập theo nhóm
thành viên
- Mức cho phép: Ta có thể dùng các thiết lập mức cho phép để cấp quyền
hoặc từ chối truy cập từ xa nếu mức cho phép truy cập từ xa của tài khoản người
dùng được thiết lập để kiểm soát truy cập qua chính sách truy cập từ xa. Trường
hợp khac, thiết lập mức cho phép trên tài khoản người dùng xác định mức cho
phép truy cập từ xa.
- Các thiết lập hồ sơ: Một hồ sơ chính sách truy cập là một tập các thuộc tính
được áp dụng với một kết nối lúc nó được xác thực. Với các kết nối mạng riêng ảo,

ta có thể sử dụng các thiết lập hồ sơ như sau:
+ Các ràng buộc quay số có thể được dùng để định nghĩa bao lâu thì kết nối có
thể tồn tại trước khi bị kết thúc bởi máy chủ mạng riêng ảo.
+ Mặc dù sử dụng các bộ lọc gói IP, việc thiết lập IP có thể định nghĩa các
loại lưu lượng IP được cho phép với các kết nối mạng riêng ảo truy cập từ xa. Với
hồ sơ các bộ lọc gói, ta có thể cấu hình lưu lượng IP được cho phép nhận từ các
Client truy cập từ xa(Bộ lọc đầu vào) hoặc được gửi tới Client từ xa (Bộ lọc đầu
ra)
+ Các thiết lập xác thực có thể định nghĩa giao thức Client VPN phải sử dụng
để gửi giấy uỷ nhiệm của nó và cấu hình của các loại EAP, chẳng hạn EAP-TLS.
Việc ngăn chặn các luồng lưu lượng được định tuyến từ Client VPN
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
24
Một khi Client VPN thiết lập thành công một kết nối PPTP hoặc L2TP, theo
ngầm định bất kỳ gói nào gửi qua kết đều nhận được bởi máy chủ mạng riêng ảo
và chuyển tiếp chúng. Các gói gửi qua kết nối có thể bao gồm:
- Các gói có nguồn gốc từ máy tính Client truy cập từ xa
- Các gói gửi tới máy Client truy cập từ xa bởi các máy khác
Lúc máy Client truy cập từ xa tạo ra kết nối mạng riêng ảo, theo ngầm định nó
tạo một đường định tuyến mặc định vì vậy tất cả luồng lưu lượng phù hợp với
đường định tuyến mặc định được gửi qua kết nối mạng riêng ảo. Nếu các máy tính
khác đang chuyển tiếp luồng lưu lượng tới Client VPN truy cập từ xa, xem các
máy Client truy cập từ xa như một Router, mà luồng lưu lượng cũng được chuyển
tiếp qua kết nối mạng riêng ảo. Đây là một vấn đề an toàn vì máy chủ mạng riêng
ảo không xác thực các máy tính đang chuyển tiếp luồng lưu lượng tới Client VPN
truy cập từ xa
 Cơ sở hạ tầng chứng chỉ số
Để thực hiện việc xác thực dựa trên chứng chỉ cho các kết nối L2TP hoặc xác
thực người dùng dựa trên chứng chỉ cho các kết nối mạng riêng ảo sử dụng EAP-

TLS, một cơ sở hạ tầng, được biết đến như cơ sở hạ tầng khoá công khai (PKI),
dùng để phát hành các chứng chỉ để đệ trình trong quá trình xác thực và để xác
nhận tính hợp lệ của chúng chỉ đang được đệ trình.
Như vậy ta thấy, các kết nối mạng riêng ảo truy cập từ xa gồm nhiều thành
phần. Client VPN phải được cấu hình để tạo kết nối mạng riêng ảo tới máy chủ
VPN. Cơ sở hạ tầng mạng phải hỗ trợ khả năng kết nối tới được giao diện máy chủ
mạng riêng ảo trên mạng Intranet và hỗ trợ xử lý tên DNS của máy chủ mạng riêng
ảo. Ta phải xác định giao thức xác thực và giao thức mạng riêng ảo để sử dụng. Cơ
sở hạ tầng mạng Intranet phải hỗ trợ xử lý đặt tên của các tài nguyên trong Intranet,
định tuyến tới các Client truy cập từ xa và các tài nguyên cách ly. Cơ sở hạ tầng
AAA phải được cấu hình để cung cấp tính năng xác thực sử dụng Domain, xác
thực sử dụng các chính sách truy cập từ xa, và kiểm toán các kết nối mạng riêng ảo
truy cập từ xa. Với các kết nối L2TP/IPSec hoặc lúc sử dụng xác thực EAP-TLS,
Nhóm II-D11VT8 Học Viện Công Nghệ Bưu Chính viễn thông
BÁO CÁO TIỂU LUẬN QUẢN LÝ MẠNG VIỄN THÔNG
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×