HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN
NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh
Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp : D2004VT1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA VIỄN THÔNG 1
***
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
Đề tài:
NGHIÊN CỨU CÁC GIẢI PHÁP VPN TRÊN
NỀN CÔNG NGHỆ MPLS
Giáo viên hướng dẫn : Ths Hoàng Trọng Minh
Sinh viên thực hiện : Nguyễn Mạnh Hùng
Lớp : D2004VT 1
Hà Nội 11 - 2008
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
KHOA VIỄN THÔNG 1
Độc lập - Tự do - Hạnh phúc
o0o o0o
ĐỀ TÀI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Họ và tên: Nguyễn Mạnh Hùng
Lớp : D2004-VT1
Khoá : 2004 – 2009
Ngành : Điện tử – Viễn thông
TÊN ĐỀ TÀI: "CÔNG NGHỆ MẠNG RIÊNG ẢO VPN TRÊN NỀN MPLS"
NỘI DUNG ĐỒ ÁN :
• Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
• Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Ngày giao đề tài: …………………
Ngày nộp đồ án: ………………….
Hà Nội, ngày tháng năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm: (Bằng chữ: )
Hà Nội, Ngày tháng năm 2008
Giáo viên hướng dẫn
Hoàng Trọng Minh
NHẬN XÉT CỦA GIÁO VIÊN PHẢN BIỆN:
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
………………………………………………………………………………………
Điểm: (Bằng chữ: )
Ngày tháng năm 2008
Giáo viên phản biện
Đồ án tốt nghiệp Đại Học Lời nói đầu
LỜI NÓI ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công
nghệ thông tin và Viễn thông đã trở thành một động lực quan trọng trong sự phát triển
kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá
trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ.
Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng
thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng
như với các đối tác và khách hàng.
Để đáp ứng được những yêu cầu đó, trong quá khứ có hai loại hình dịch vụ Viễn
thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
- Thứ nhất, thuê các đường thông tin riêng (Leased-line) của các nhà cung cấp
dịch vụ để kết nối tất cả các mạng con của công ty lại với nhau. Phương pháp
này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành,
bảo dưỡng hay mở rộng sau này.
- Thứ hai, họ có thể sử dụng chung hạ tầng của nhà khai thác, giải pháp này có
nhiều bất cập khi không đáp ứng được các yêu cầu đặc thù của dịch vụ. Ví dụ
như chất lượng, độ tin cậy an toàn thông tin.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hoà hai loại hình dịch vụ
trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có nhưng lại có được các tính chất của
một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính
là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể
giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp
mạng diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ
sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.
Để tiếp cận các hướng công nghệ mới đang triển khai trong môi trường mạng
viễn thông hiện nay, tôi lựa chọn đề tài “Nghiên cứu các giải pháp VPN trên nền công
Nguyễn Mạnh Hùng, Lớp D04VT1 i
Đồ án tốt nghiệp Đại Học Lời nói đầu
nghệ MPLS”. Nhằm lĩnh hội các kiến thức và xác định điểm mấu chốt của giải pháp
hướng tới, làm chủ công nghệ.
Nội dung tìm hiểu của đồ án gồm 3 chương chia thành 2 phần lớn:
Phần I: Giới thiệu chung về công nghệ VPN và các giao thức đã đuợc sử dụng
đối với công nghệ VPN đó là: L2F, PPTP, L2TP, IPSec.
Phần II: Giới thiệu về công nghệ VPN trên nền MPLS.
Nội dung của mỗi chương cụ thể như sau:
Chương I: GIỚI THIỆU TỔNG QUAN VỀ VPN. Trong chương này chỉ ra các
khái niệm cơ bản về công nghệ mạng riêng ảo và các loại VPN đang được triển khai
hiện nay.
Chương II: CÁC GIAO THỨC HOẠT ĐỘNG TRONG VPN. Chương này giới
thiệu hai giao thức cơ bản là IPSec hỗ trợ cho bảo mật của VPN trên nền IP và giao
thức đường hầm lớp 2 là xu hướng phát triển mạnh mẽ như hiện nay. Đó cũng là những
quá trình tác động trực tiếp tới các mô hình VPN trên các hạ tầng lớp hai như
ATM/MPLS.
Chương III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS. Với các đặc tính của hai
công nghệ đang được triển khai hiện nay, chương này chỉ ra các giải pháp cụ thể và
các phân tích nhằm thể hiện các ưu nhược điểm của công nghệ cũng như đánh giá sự
phát triển của công nghệ VPN/MPLS.
Do nhiều mặt còn hạn chế nên nội dung của đề tài khó tránh khỏi những sai sót.
Tác giả rất mong nhận được ý kiến đóng góp của các thầy cô và bạn đọc.
Em xin chân thành cảm ơn Ths Hoàng Trọng Minh đã tận tình hướng dẫn em
hoàn thành đề tài.
Hà nội, ngày tháng năm 2008
Sinh viên: Nguyễn Mạnh Hùng
Nguyễn Mạnh Hùng, Lớp D04VT1 ii
Đồ án tốt nghiệp Đại Học Mục lục
MỤC LỤC
PHẦN I 1
CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN 1
1.1 Khái niệm mạng riêng ảo 1
1.2 Những lợi ích do VPN đem lại 3
1.3 Nhược điểm và một số vấn đề cần phải khắc phục 4
1.4 Phân loại VPN và ứng dụng 5
1.4.1 VPN truy nhập từ xa 5
1.4.2 VPN điểm tới điểm 7
1.4.2.1 VPN cục bộ 8
1.4.2.2. VPN mở rộng 9
1.5 Các loại mạng VPN 10
1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN) 10
1.5.2 Nối các mạng trên Internet (Intranet VPN) 11
1.5.3 Nối các máy tính trên một Intranet (Extranet VPN) 12
1.6 Kết luận 13
2.1 Dạng thức hoạt động 14
2.1.1 Kết hợp bảo mật SA 14
2.1.2 Xác thực tiêu đề AH 15
2.1.3 Bọc gói bảo mật tải ESP 17
2.1.4 Chế độ làm việc 19
2.2 Quản lý khóa 21
2.2.1 Các chế độ của Oakley và các pha của ISAKMP 22
2.2.2 Đàm phán SA 26
2.3 Sử dụng IPSec 26
2.3.1 Các cổng nối bảo mật 27
2.3.2 Các SA đại diện 27
2.3.3 Host từ xa 28
2.3.4 Một ví dụ minh họa 29
2.4 Các vấn đề còn tồn đọng trong IPSec 30
2.5 Các giao thức đường hầm 31
2.5.1 Giới thiệu về các giao thức đường hầm 31
2.5.2 Giao thức chuyển tiếp lớp 2 – L2F 32
2.5.2.1. Cấu trúc gói L2F 32
2.5.2.2 Hoạt động của L2F 33
2.5.2.3 Ưu nhược điểm của L2F 35
2.5.3 Giao thức đường hầm điểm tới điểm – PPTP 35
2.5.3.1 Khái quát về hoạt động của PPTP 35
2.5.3.2 Duy trì đường hầm bằng kết nối điều khiển PPTP 37
2.5.3.3 Đóng gói dữ liệu đường hầm PPTP 37
2.5.3.4 Xử lý dữ liệu tại đầu cuối đường hầm PPTP 40
2.5.3.5 Triển khai VPN dựa trên PPTP 40
2.5.3.6 Ưu nhược điểm và khả năng ứng dụng của PPTP 42
2.5.4 Giao thức L2TP 42
2.5.4.1 Dạng thức của L2TP 43
2.5.4.2 Sử dụng L2TP 53
Nguyễn Mạnh Hùng, Lớp D04VT1 iii
Đồ án tốt nghiệp Đại Học Mục lục
2.5.4.3 Khả năng áp dụng của L2TP 56
PHẦN II 58
CHƯƠNG III: MẠNG RIÊNG ẢO TRÊN NỀN MPLS 58
3.1 Các thành phần của MPLS – VPN 58
3.1.1 Hệ thống cung cấp dịch vụ MPLS – VPN 58
3.1.2 Bộ định tuyến biên của nhà cung cấp dịch vụ 59
3.1.3 Bảng định tuyến và chuyển tiếp ảo 60
3.2 Các mô hình MPLS – VPN 62
3.2.1 Mô hình V3VPN 62
3.2.2 Mô hình L2VPN 63
3.3 Hoạt động của MPLS – VPN 64
3.3.1 Truyền thông tin định tuyến 64
3.3.2 Địa chỉ VPN – IP 66
3.3.3 Chuyển tiếp gói tin VPN 69
3.4 Bảo mật trong MPLS - VPN 73
3.5 Chất lượng dịch vụ trong MPLS – VPN 75
3.5.1 Mô hình ống 75
3.5.2 Mô hình vòi 77
3.6 So sánh các đặc điểm của VPN trên nền IPSec và MPLS 79
3.6.1 Các tiêu chí đánh giá 79
3.6.2 Các đặc điểm nổi bật của IPSec – VPN và MPLS – VPN 80
3.8 Kết chương 83
BÀI TOÁN MÔ PHỎNG MẠNG MPLS – VPN 84
1. ĐẶT VẤN ĐỀ 84
2. XÂY DỰNG BÀI TOÁN 84
3. SỬ DỤNG CÔNG CỤ MÔ PHỎNG 100
3.1 Phần mềm GNS3 100
3.2 Phầm mềm NS2 101
3.3 Lựa chọn phần mềm mô phỏng 102
4. KẾT QUẢ VÀ ĐÁNH GIÁ 102
KẾT LUẬN 109
TÀI LIỆU THAM KHẢO 111
LỜI CẢM ƠN 112
Nguyễn Mạnh Hùng, Lớp D04VT1 iv
Đồ án tốt nghiệp Đại Học Danh mục hình vẽ
DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình VPN truy cập từ xa 6
Hình 1.2: Mô hình VPN cục bộ 8
Hình 1.3: Mô hình VPN mở rộng 9
Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng 11
Hình 1.5: Tổ chức truy nhập Ipass 11
Hình 1.6: Dùng VPN để kết nối 2 vị trí từ xa 12
Hình 1.7: Dùng VPN để kết nối hai máy tính từ xa trong cùng một LAN 13
Hình 2.1: Khuôn dạng gói tin Ipv4 trước và sau khi xử lý AH 16
Hình 2.2: Khuôn dạng gói tin Ipv6 trước và sau khi xử lý AH 16
Hình 2.3: Bọc gói bảo mật tải 17
Hình 2.4: So sánh xác thực bởi AH và ESP 18
Hình 2.5: Chế độ đường hầm AH 19
Hình 2.6: Chế độ đường hầm ESP 20
Hình 2.7: Các trường hợp của chế độ giao vận và đường hầm 20
Hình 2.8: Chế độ chính ISAKMP 23
Hình 2.9: Chế độ năng động ISAKMP 24
Hình 2.10: Chế độ nhanh ISAKMP 25
Hình 2.11: Các thành phần của một Internet VPN 26
Hình 2.12: IPSec và các chính sách bảo mật 29
Hình 2.13: Ví dụ về IPSec VPN 30
Hình 2.14: Khuôn dạng của gói L2F 32
Hình 2.15: Mô hình hệ thống sử dụng L2F 33
Hình 2.18: Sơ đồ đóng gói PPTP 39
Hình 2.19: Các thành phần của hệ thống cung cấp VPN dựa trên PPTP 41
Hình 2.20: Kiến trúc của L2TP 44
Hình 2.21: Các giao thức sử dụng trong một kết nối L2TP 45
Hình 2.22: Bọc gói L2TP 45
Hình 2.23: Các đường hầm tự nguyện và bắt buộc 46
Hình 2.24: Mã hóa gói cho đường hầm bắt buộc 50
Hình 2.26: Mã hóa gói cho đường hầm tự nguyện 51
Hình 2.27: Đường hầm L2TP kết nối LAN – LAN 52
Hình 2.28: Các thành phần cơ bản của L2TP 54
Hình 2.29: Quay số L2TP trong VPN 56
Hình 3.1: Hệ thống cung cấp dịch vụ MPLS – VPN và các thành phần 59
Hình 3.2: Bộ định tuyến PE và sơ đồ kết nối các site khách hàng 60
Hình 3.3: Mô hình MPLS L3VPN 62
Hình 3.4: Mô hình MPLS L2VPN 64
Hình 3.5: Địa chỉ VPN – Ipv4 67
Hình 3.6: Khuôn dạng trường phân biệt tuyến 67
Hình 3.7: Sử dụng nhãn để chuyển tiếp gói tin VPN 70
Hình 3.8: Sử dụng ngăn xếp nhãn để chuyển tiếp gói tin VPN 71
Hình 3.9: Hoạt động chuyển tiếp dữ liệu VPN qua mạng MPLS 72
Hình 3.10: Mô hình ống chất lượng dịch vụ trong MPLS – VPN 77
Hình 3.11: Mô hình vòi chất lượng dịch vụ trong MPLS – VPN 78
Nguyễn Mạnh Hùng, Lớp D04VT1 v
Đồ án tốt nghiệp Đại Học Danh mục hình vẽ
Nguyễn Mạnh Hùng, Lớp D04VT1 vi
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
THUẬT NGỮ VIẾT TẮT
VIẾT TẮT TIẾNG ANH TIẾNG VIỆT
A
AC Access Concentrator Bộ tập kết truy nhập
ATM Asynchronous Transfer Mode Phương thức truyền tải không
đồng bộ
ASN Autonomous System Number Số hệ tự trị
AN Assigned Number Số gán
B
BGP Border Gateway Protocol Giao thức cổng biên
BGPv4 Border Gateway Protocol version 4 Giao thức cổng biên phiên bản 4
C
CHAP Challenge Handshake Authentication
Protocol
Giao thức xác thực đòi hỏi bắt tay
E
ECR Egress Committed Rate Tốc độ cam kết đầu ra
EAP Extensible Authentication Protocol Giao thức xác thực mở rộng
ESP Encapsulating Security Payload Đóng gói bảo mật tải
F
FTP File Transfer Protocol Giao thức truyền file
FCS Frame Check Sequence Chuỗi kiểm tra khung
FR Frame Relay Chuyển tiếp khung
G
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
H
HMAC Hashed-keyed Message
Authenticaiton Code
Mã nhận thực bản tin băm
I
IP Internet Protocol Giao thức Internet
ICR Ingress Committed Rate Tốc độ cam kết đầu vào
IS – IS Intermediate System to Intermediate
System
IPSec Internet Protocol Security Bảo mật giao thức Internet
ISAKMP Internet Security Association and
Key Management Protocol
Giao thức kết hợp an ninh và
quản lí khóa qua Internet
IKE Internet Key Exchange Giao thức trao đổi khóa
ICMP Internet Control Message Protocol Giao thức bản tin điều khiển
Internet
IP – AH IP – Authentication Header Xác thực tiêu đề IP
Nguyễn Mạnh Hùng, Lớp D04VT1 vii
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
ISDN Intergrated Service Digital Network Mạng số tích hợp đa dịch vụ
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IMAP Internet Message Access Protocol Giao thức truy cập nhập thông tin
Internet
L
L2VPN Layer Two VPN Mạng riêng ảo lớp 2
L3VPN Layer Three VPN Mạng riêng ảo lớp 3
LCP Link Control Protocol Giao thức điều khiển đường
truyền
L2TP Layer Two Tunneling Protocol Giao thức đường hầm lớp 2
L2F Layer Two Forwarding Giao thức chuyển tiếp lớp 2
LAN Local Area Network Mạng cục bộ
M
MP - BGP Multiprotocol BGP Đa giao thức BGP
MPLS Multi Protocol Laber Switching Bộ định tuyến chuyển mạch nhãn
MD5 Message Digest 5
Thuật toán tóm tắt bản tin MD5
N
NAT Network Address Translation Biên dịch địa chỉ mạng
NAS Network Access Server Máy chủ truy nhập mạng
O
OSPF
Open Shortest Path First (ATM)
Giao thức định tuyến OSPF
P
POP Point of Presence Điểm hiển diện
PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm tới
điểm
PKI Public Key Infrastructure Cơ sở hạ tầng khóa công cộng
PPP Point-to-Point Protocol Giao thức điểm tới điểm
PAP Password Authentication Protocol
R
RAS Remote Access Server Máy chủ truy nhập từ xa
RADIUS Remote Authentication Dial-in User
Service
Dịch vụ nhận thực người dùng
quay số từ xa
S
SLA Service Level Agreements Các thỏa thuận mức dịch vụ
SA Security Association Liên kết an ninh
SPI Security Parameter Index Chỉ số thông số an ninh
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SPE (Sonet) Synchronous Payload
Envelop
Đường bao tải hiệu dụng đồng bộ
Nguyễn Mạnh Hùng, Lớp D04VT1 viii
Đồ án tốt nghiệp Đại Học Thuật ngữ viết tắt
T
TACACS+ Terminal Access Controller Access
Control System Plus
Hệ thống điều khiển bộ điều
khiển truy nhập đầu cuối
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
U
UDP User Datagram Protocol Giao thức Datagram của khách
hàng
V
VPN Virtual Private Network Mạng riêng ảo
VRF Virtual Routing and Forwording Bảng định tuyến chuyển tiếp ảo
W
WAN Wide Area Network Mạng diện rộng
WWW World Wide Web Trang tin toàn cầu
X
xDSL X-Type Digital Subscriber Line Đường dây thuê bao số loại
Nguyễn Mạnh Hùng, Lớp D04VT1 ix
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
PHẦN I
CHƯƠNG I: GIỚI THIỆU TỔNG QUAN VỀ VPN
VPN có thể được hiểu như là mạng kết nối các site khách hàng đảm bảo an ninh
trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật
như một mạng riêng. Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công công
nhưng VPN lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường
kênh thuê riêng. Trong phần giới thiệu này chúng ta sẽ xem xét đến những vấn đề cơ
bản về VPN, các loại hình VPN, những lợi ích mà nó đem lại, cùng với một số vấn đề
liên quan.
1.1 Khái niệm mạng riêng ảo
Mạng riêng ảo là phương pháp làm cho một mạng công cộng (ví dụ như mạng
Internet) hoạt động giống như một mạng cục bộ, có cùng các đặc tính như bảo mật và
tính ưu tiên mà người dùng từng ưa thích. VPN cho phép thành lập các kết nối riêng với
những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty
đang sử dụng chung một mạng công cộng. Mạng diện rộng WAN (Wide Area Network)
truyền thống yêu cầu công ty phải chi phí và duy trì nhiều loại đường dây riêng, song
song với việc đầu tư các thiết bị và đội ngũ cán bộ. Nhưng những vấn đề về chi phí làm
cho các công ty dù muốn hưởng những lợi ích mà việc mở rộng mạng đem lại nhưng
đôi khi họ không thực hiện nổi. Trong khi đó, VPN không bị những rào cản về chi phí
như các mạng WAN trên do được thực hiện qua một mạng công cộng.
Thực ra, khái niệm VPN không phải là một công nghệ mới, chúng đã từng được
sử dụng trong các mạng điện thoại (Telephone Networks) cách đây nhiều năm và trở
nên phổ biến do sự phát triển của mạng thông minh. Các mạng VPN chỉ trở nên thực sự
mới mẻ khi chúng chuyển thành các mạng IP (mạng sử dụng giao thức Internet) chẳng
hạn như mạng Internet. VPN sử dụng việc mã hóa dữ liệu để ngăn ngừa các người dùng
không được phép truy cập đến dữ liệu và bảo đảm dữ liệu không bị sửa đổi.
Định đường hầm (tunneling) là một cơ chế dùng cho việc đóng gói (encapsulate)
một giao thức vào trong một giao thức khác. Trong ngữ cảnh Internet, định đường hầm
cho phép các giao thức như IPX, AppleTalk và IP được mã hóa, sau đó đóng gói trong
Nguyễn Mạnh Hùng, Lớp D04VT1 1
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
IP. Tương tự, trong ngữ cảnh VPN, định đường hầm che giấu giao thức lớp mạng
nguyên thủy bằng cách mã hóa gói dữ liệu và chứa gói đã mã hóa vào trong một vỏ bọc
IP (IP envelope). Vỏ bọc IP này, thực ra là một gói IP, sau đó sẽ được chuyển đi một
cách bảo mật qua mạng Internet. Tại bên nhận, sau khi nhận được gói trên sẽ tiến hành
gỡ bỏ vỏ bọc bên ngoài và giải mã thông tin dữ liệu trong gói này và phân phối đến
thiết bị truy cập thích hợp, chẳng hạn như một bộ định tuyến.
VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ (QoS), những thỏa thuận
này thường được định ra cho một giới hạn trên cho phép về độ trễ trung bình của gói tin
trong mạng. Ngoài ra, các thỏa thuận trên có thể kèm theo một sự chỉ định cho giới hạn
dưới của băng thông hiệu dụng cho mỗi người dùng. Các thỏa thuận này được phát triển
thông qua các thỏa thuận mức dịch vụ SLA (Service Level Agreements) với nhà cung
cấp dịch vụ.
Qua những vấn đề đã trình bày ở trên ta có thể định nghĩa VPN một cách ngắn
gọn qua công thức sau:
VPN = Định đường hầm + Bảo mật + Các thỏa thuận về QoS
Nhờ vào lợi thế của các ứng dụng quan trọng được triển khai trên mạng Intranet
và các mạng truy cập từ xa đã làm cho khách hàng thỏa mãn hơn trong công việc của
họ, các hoạt động kinh doanh của công ty trở nên hợp lý, hiệu quả và đạt tới những thị
trường rộng lớn hơn. Tuy nhiên các vấn đề về chi phí mạng (bao gồm chi phí thiết bị,
đường dây, chi phí cho việc bảo dưỡng…) cũng như việc quản lý mạng là những vấn đề
quan trọng đối với nhiều công ty, đặc biệt là những công ty muốn thu hồi vốn nhanh để
tái sản xuất. Do đó người ta đã đưa ra giải pháp xây dựng những mạng riêng ảo để giảm
thiểu chi phí mạng cho công ty, thay thế cho các giải pháp dùng đường truyền chuyên
biệt truyền thống như trước đây.
Nhờ vào việc nối mạng qua VPN tiết kiệm chi phí hơn hẳn giải pháp thuê bao
đường truyền, các doanh nghiệp có thể tự mình mở rộng tầm hoạt động của công ty ở
mức toàn cầu (thông qua mạng Internet) mà không cần đầu tư ở mức quy mô toàn cầu.
VPN có vai trò quan trọng trong doanh nghiệp nhờ vào việc giảm chi phí kết nối đối với
các nhân viên lưu động (mobile worker) – vì các công ty có nhiều chi nhánh trên thế
giới thì đội ngũ nhân viên của họ đông, nhiều người phải làm việc ở những quốc gia xa
trung tâm – mở rộng Intranet đến văn phòng chi nhánh, liên lạc với đối tác và khách
hàng chủ yếu thông qua mạng Extranet. Sau đây chúng ta sẽ đề cập đến một số lợi ích,
Nguyễn Mạnh Hùng, Lớp D04VT1 2
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
giá trị của VPN, các thuật ngữ liên quan đến VPN, cũng như trình bày tổng quát các
phương thức hoạt động hiện nay của các VPN, để tạo điều kiện cho việc lựa chọn
phương thức thích hợp, hiệu quả nhất để xây dựng một VPN.
1.2 Những lợi ích do VPN đem lại
VPN mang lại lợi ích thực sự và tức thời cho công ty. Có thể dùng VPN để đơn
giản hóa việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng
Intranet đến từng văn phòng chi nhánh, thậm chí triển khai Extranet đến tận khách hàng
và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp
hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. VPN do một
nhà cung cấp dịch vụ làm chủ và quản lý, bằng quy mô kinh tế và các công nghệ tiên
tiến, họ có thể phục vụ nhiều tổ chức trên cùng một mạng, dùng các phần mềm hiện đại
để phân biệt lưu lượng dữ liệu của công ty này được tách riêng với các công ty khác. Có
thể dẫn chứng những ưu điểm của VPN như sau:
Giảm chi phí thường xuyên
VPN cho phép tiết kiệm đến 60% chi phí so với thuê đường truyền và giảm đáng
kể tiền cước gọi đến của các nhân viên làm việc ở xa. Giảm được cước phí đường dài
khi truy cập VPN cho các nhân viên di động và các nhân viên làm việc ở xa nhờ vào
việc họ truy cập vào mạng thông qua các điểm kết nối POP (Point of Presence) ở địa
phương, hạn chế gọi đường dài đến các modem tập trung.
Giảm chi phí đầu tư
Sẽ không tốn chi phí đầu tư cho máy chủ, bộ định tuyến cho mạng đường trục và
các bộ chuyển mạch phục vụ cho việc truy cập bởi vì các thiết bị này do các nhà cung
cấp dịch vụ quản lý và làm chủ. Công ty cũng không phải mua, thiết lập cấu hình hoặc
quản lý các nhóm modem phức tạp. Ngoài ra họ cũng có thể thuê với giá rẻ các thiết bị
phục vụ khách hàng, thường có sẵn ở các nhà cung cấp dịch vụ, hoặc từ các công ty
dịch vụ giá trị gia tăng, nhờ thế việc nâng cấp mạng cũng trở nên dễ dàng và ít tốn kém
hơn.
Giảm chi phí quản lý và hỗ trợ
Với quy mô kinh tế của mình, các nhà cung cấp dịch vụ có thể mang lại cho công
ty những khoản tiết kiệm có giá trị so với việc tự quản lý mạng, giảm hay loại trừ hẳn
yêu cầu nhân viên “tại nhà”. Hơn nữa, nhận được sự hỗ trợ và phục vụ 24/24 do những
nhân viên lành nghề luôn sẵn sàng đáp ứng mọi lúc, giải quyết nhanh chóng các sự cố.
Nguyễn Mạnh Hùng, Lớp D04VT1 3
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Truy cập mọi lúc, mọi nơi
Khách hàng của VPN qua mạng mở rộng này, có quyền truy cập và khả năng
như nhau đối với các dịch vụ trung tâm bao gồm WWW, email, FTP… cũng như các
ứng dụng thiết thực khác, khi truy cập chúng thông qua những phương tiện khác nhau
như qua mạng cục bộ LAN (Local Area Network), modem, modem cáp, đường dây
thuê bao số xDSL… mà không cần quan tâm đến những phần phức tạp bên dưới.
Khả năng mở rộng
Do VPN xây dựng trên cơ sở hạ tầng mạng công cộng nên bất cứ ở nơi nào có
mạng công cộng (như Internet) đều có thể triển khai VPN. Ngày nay mạng Internet có
mặt ở khắp mọi nơi nên khả năng mở rộng của VPN rất dễ dàng. Khả năng mở rộng còn
thể hiện ở chỗ, khi một văn phòng hay một chi nhánh yêu cầu băng thông lớn hơn thì nó
có thể được nâng cấp dễ dàng. Ngoài ra, cũng có thể dàng gỡ bỏ VPN khi không có nhu
cầu.
1.3 Nhược điểm và một số vấn đề cần phải khắc phục
Sự rủi ro an ninh
Một mạng riêng ảo thường rẻ và hiệu quả hơn so với giải pháp sử dụng thuê kênh
riêng. Tuy nhiên, nó cũng tiềm ẩn nhiền rủi ro an ninh khó lường trước. Mặc dù hầu hết
các nhà cung cấp dịch vụ quảng cáo rằng giải pháp của họ là đảm bảo an toàn, sự an
toàn đó không bao giờ là tuyệt đối. Cũng có thể làm cho VPN khó phá hoại hơn bằng
cách bảo vệ tham số của mạng một cách thích hợp, song điều này lại ảnh hưởng đến giá
thành của dịch vụ.
Độ tin cậy và sự thực thi
VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các hàm mật mã phức
tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng. Nhiệm vụ của người
quản trị mạng là quản lí tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết
máy chủ nào có thể điều khiển. Tuy nhiên, khi số người cố gắng kết nối tới VPN đột
nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính các nhân viên quản trị này
cũng không thể kết nối được vì tất cả các cổng của VPN đều bận. Điều đó chính là động
cơ thúc đẩy người quản trị tạo ra các khóa ứng dụng làm việc mà không đòi hỏi VPN.
Chẳng hạn thiết lập dịch vụ proxy hoặc dịch vụ Internet Message Access Protocol để
cho phép nhân viên truy nhập e-mail từ nhà hay trên đường.
Vấn đề lựa chọn giao thức
Nguyễn Mạnh Hùng, Lớp D04VT1 4
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Việc lựa chọn giao thức giữa IPSec hay SSL/TLS là một vấn đề khó quyết định,
cũng như viễn cảnh sử dụng chúng như thế nào cũng khó có thể nói trước. Một điều cần
cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa trên bảng biên dịch
địa chỉ NAT, còn IPSec thì không. Nhưng nếu cả hai giao thức làm việc qua tường lửa
thì sẽ không dịch được địa chỉ. IPSec mã hóa tất cả các lưu lượng IP truyền tải giữa hai
máy tính, còn SSL/TLS thì đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hóa không
đối xứng để thiết lập kết nối và nó bảo vệ hiệu quả hơn so với dùng các hàm mã hóa
đối xứng.
Trong các ứng dụng trong thực tế, người quản trị có thể quyết định kết hợp và
ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn của
mạng. Ví dụ, các client có thể kết nối tới một Web server thông qua tường lửa dùng
đường dẫn an toàn của SSL/TLS, Web server có thể kết nối tới một dịch vụ ứng dụng
dùng IPSec, và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu thông qua các
tường lửa khác dùng SSL.
1.4 Phân loại VPN và ứng dụng
Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau. Yêu cầu cơ
bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các nhà
cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức ứng dụng
và khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành hai loại như sau:
• VPN truy nhập từ xa (Remote Access VPN)
• VPN điểm tới điểm (Site-to-Site VPN):
VPN cục bộ (Intranet VPN)
VPN mở rộng (Extranet VPN)
1.4.1 VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử dụng
(Hình 1.1). Tại mọi thời điểm, các nhân viên hay chi nhánh văn phòng di động có thể sử
dụng các phần mềm VPN để truy nhập vào mạng của công ty thông qua gateway hoặc
bộ tập trung VPN (bản chất là một server). Giải pháp này vì thế còn được gọi là giải
pháp client/server. VPN truy nhập từ xa là kiểu VPN điển hình nhất, bởi vì chúng có thế
được thiết lập vào bất kể thời điểm nào và từ bất cứ nơi nào có mạng Internet.
Nguyễn Mạnh Hùng, Lớp D04VT1 5
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Hình 1.1: Mô hình VPN truy cập từ xa
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.
Chúng có thể dùng để cung cấp truy cập an toàn cho những nhân viên thường xuyên
phải đi lại, những chi nhánh hay những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,
quay số, IP di động, DSL hay công nghệ cáp và thường xuyên yêu cầu một vài kiểu
phần mềm client chạy trên máy tính của người sử dụng.
Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN không
dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ thông qua kết
nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm
không dây (Wireless Terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp
(có dây và không dây), phầm mềm client trên máy PC đều cho phép khởi tạo các kết nối
bảo mật, còn được gọi là đường hầm.
Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu
cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên
cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm một số qui trình
Nguyễn Mạnh Hùng, Lớp D04VT1 6
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
kỹ thuật và các ứng dụng chủ, ví dụ Remote Authentication Dial-In User Service
(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),…
Các ưu điểm của VPN truy nhập từ xa so với các phương pháp truy nhập từ xa
truyền thống:
- VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình
kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng
cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Do kết nối truy nhập là nội bộ nên các modem kết nối hoạt động ở tốc độ cao
hơn so với cách truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những
nhược điểm cố hữu đi cùng như:
- VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao do các gói có thể phân phát không đến nơi hoặc bị
mất.
- Do thuật toán mã hóa phức tạp nên tiêu đề giao thức tăng một cách đáng kể.
1.4.2 VPN điểm tới điểm
VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các hệ
thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN. Trong trường
hợp này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa các
thiết bị. Các thiết bị này hoạt động như cổng an ninh (Security Gateway), truyền lưu
lượng một cách an toàn từ Site này đến Site kia. Các thiết bị định tuyến hay tường lửa
với hỗ trợ VPN đều có khả năng thực hiện kết nối này. Sự khác nhau giữa VPN truy
nhập từ xa và VPN điểm tới điểm chỉ mang tính tượng trưng. Nhiều thiết bị VPN mới
có thể hoạt động theo cả hai cách này.
VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét từ
quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý, nó có
thể được xem như VPN cục bộ. Ngược lại, nó có thể được coi là mở rộng. Vấn đề truy
nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng.
Nguyễn Mạnh Hùng, Lớp D04VT1 7
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
1.4.2.1 VPN cục bộ
VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được sử
dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty (hình 1.2).
Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên cơ sở hạ tầng chung sử dụng các
kết nối luôn được mã hóa bảo mật. Điều này cho phép tất cả các địa điểm có thể truy
nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Hình 1.2: Mô hình VPN cục bộ
VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn
đảm bảo tính mềm dẻo.
Những ưu điểm chính của giải pháp VPN cục bộ bao gồm:
- Các mạng cục bộ hay diện rộng có thể được thiết lập thông qua một hay nhiều
nhà cung cấp dịch vụ.
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Do kết nối trung gian được thực hiện thông qua Internet, nên nó có thể dễ dàng
thiết lập thêm một liên kết ngang hàng mới.
- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp
với các công nghệ chuyển mạch tốc độ cao.
Tuy nhiên giải pháp mạng cục bộ dựa trên VPN cũng có những nhược điểm đi
cùng như:
Nguyễn Mạnh Hùng, Lớp D04VT1 8
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
- Do dữ liệu được truyền “ngầm” qua mạng công cộng như Internet nên vẫn còn
những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
- Trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầu
tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet.
1.4.2.2. VPN mở rộng
VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường hầm
bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng
mạng công cộng (hình 1.3). Kiểu VPN này sử dụng các kết nối luôn được bảo mật và
nó không bị cô lập với thế giới bên ngoài như các trường hợp VPN cục bộ hay truy
nhập từ xa.
Hình 1.3: Mô hình VPN mở rộng
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những
nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh. Sự khác
nhau giữa VPN cục bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một
trong hai đầu cuối của VPN
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để
cùng đạt được mục đích như vậy.
- Dễ dàng thiết lập, bảo trì và thay đổi đối với mạng đang hoạt động.
Nguyễn Mạnh Hùng, Lớp D04VT1 9
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
- Do VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội
trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của
từng công ty.
- Các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì nên có thể giảm
được số lượng nhân viên kỹ thuật hỗ trợ mạng, và do vậy giảm chi phí vận hành
của toàn mạng.
Bên cạnh những ưu điểm, giải pháp VPN mở rộng cũng có những nhược điểm đi
cùng:
- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,
vấn đề này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty.
- Khả năng mất dữ liệu trong khi truyền qua mạng công cộng vẫn còn tồn tại.
- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn
còn là một thách thức lớn cần giải quyết.
1.5 Các loại mạng VPN
Có hai cách chủ yếu sử dụng các mạng riêng ảo VPN. Trước tiên các mạng VPN
có thể kết nối hai mạng với nhau. Điều này được biết đến như một mạng kết nối LAN-
LAN VPN hay một mạng site-to-site VPN. Thứ hai, một VPN truy nhập từ xa có thể
kết nối một người dùng từ xa với mạng.
1.5.1 Người dùng truy nhập từ xa thông qua Internet (Access VPN)
Cung cấp các truy nhập từ xa đến một Intranet hay Extranet dựa trên cấu trúc hạ
tầng chia sẻ Access VPN, người dùng có khả năng truy cập đến các tài nguyên trong
VPN bất cứ khi nào, ở đâu mà nó cần. Đường truyền trong Access VPN có thể là tương
tự, quay số, ISDN, các đường thuê bao số (DSL), IP di động và cáp để nối các người
dùng di chuyển, máy tính từ xa hay các văn phòng lại với nhau. Ví dụ minh họa trên
hình 1.5
Nguyễn Mạnh Hùng, Lớp D04VT1 10
Đồ án tốt nghiệp đại học Chương I: Giới thiệu tổng quan về VPN
Hình 1.4: Dùng VPN để kết nối client từ xa đến mạng LAN riêng
Hình 1.5: Tổ chức truy nhập Ipass
1.5.2 Nối các mạng trên Internet (Intranet VPN)
Có hai phương pháp sử dụng mạng VPN để kết nối các mạng cục bộ LAN (Local
Area Network) tại các điểm cuối ở xa:
- Dùng các đường thuê kênh riêng để nối một văn phòng chi nhánh đến mạng
LAN công ty: Các văn phòng chi nhánh và các bộ định tuyến có thể sử dụng một
Nguyễn Mạnh Hùng, Lớp D04VT1 11