ISAS Report
Isas name: Virtual Network private
(VPN)
Coordinator: Mr. Nguyen VAN A
2011
Student name:Vũ Tá Phong
Class name: NET13
1
Class name – NIIT Hai Phong
Mục lục
1.1. Các khái niệm cơ bản về mạng riêng ảo
1.1.1. Định nghĩa về Mạng riêng ảo
1.1.2. Một số ví dụ về Mạng riêng ảo:
1.2. Những lợi ích cơ bản của Mạng riêng ảo
1.3. Những yêu cầu đối với Mạng riêng ảo
1.3.1. Bảo mật
1.3.2. Tính sẵn sàng và tin cậy
1.3.3. Chất lượng dịch vụ
1.3.4. Khả năng quản trị
1.3.5. Khả năng tương thích
1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN
1.5. Các mô hình kết nối VPN thông dụng
1.5.1.VPN Truy cập từ xa (Remote Access VPN):
1.5.2. VPN Cục bộ (Intranet VPN)
1.5.3. Mạng riêng ảo mở rộng (Extranet VPN)
1.6. Các công nghệ và các chính sách an toàn Mạng riêng
ảo
1.6.1. Sự cần thiết của chính sách an toàn Mạng
1.6.2. Chính sách an toàn mạng
1.6.3. Chính sách an toàn Mạng riêng ảo
ISAS name: Virtual Network Private (VPN)Page 2

Class name – NIIT Hai Phong
1.1. Các khái niệm cơ bản về mạng riêng ảo
1.1.2 Định nghĩa về mạng riêng ảo: Mạng riêng ảo, có tên tiếng Anh là
Virtual
Private Network, viết tắt là VPN
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ
tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm
soát được truy nhập.Nói cách khác, VPN được định nghĩa là liên kết của
khách hàng được triển khai trên một hạ tầng công cộng với các chính
sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là
mạng IP, Frame Relay, ATM hay Internet.
Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng
của mộtdoanh nghiệp qua một mạng công cộng như Internet, tạo ra một
kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truyền
thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh
văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet
qua một mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu
quả kết nối giữa 2 điểm truyền thông cuối. Mạng Intranet riêng được
mở rộng nhờ sự trợ giúp của các“đường hầm”. Các đường hầm này cho
phép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyền
thông điểm - điểm.
ISAS name: Virtual Network Private (VPN)Page 3
Class name – NIIT Hai Phong
1.1.2: Một số ví dụ mạng riêng ảo
1.2 Những lợi ích của mạng riêng ảo: VPN mang lại nhiều lợi ích,
những lợi ích này bao gồm:
ISAS name: Virtual Network Private (VPN)Page 4
Mô hình VPN kết nối giữa các chi nhánh công ty

Class name – NIIT Hai Phong
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM
hay ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết
nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP
hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động
của mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ
giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN
được quản trị bởi ISP. Vì lúc này, thực tế là Tổ chức không cần thuê
nhiều nhân viên mạng cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu,
nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ
xa đều có thể dễ dàng kết nối tới Intranet của Công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền
dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được
bảo mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm
sử dụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để
bảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết
quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường
Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết
nối Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề
truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được
sử dụng khi có một kết nốiInternet hoạt động. Vì vậy làm giảm đáng kể
nguy cơ lãng phí băng thông mạng.
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh

ISAS name: Virtual Network Private (VPN)Page 5
Class name – NIIT Hai Phong
doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương
tiện, thiết bị. Điều này làm cho Intranet dựa trên VPN có khả năng mở
rộng cao và dễ dàng tương thích với sự phát triển trong tương lai.
1.3 Những yêu cầu với mạng riêng ảo:
Như ta đã biết trong phần trước, VPN là một phương pháp để kết
nối mạng Intranet tương đối đơn giản và bảo mật qua mạng công cộng
như Internet. Công nghệ VPN không chỉ làm giảm chi phí thực thi một
môi trường mạng bảo mật cao mà còn giảm chi phí cho việc quản trị và
tổ chức nhân viên. Hơn nữa, nó mang lạisự sẵn sàng, sự tin cậy và hiệu
quả cao trong việc sử dụng băng thông mạng.
VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng
ta dễ dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các
mạng công cộng khác để truyền thông một cách bảo mật và kinh tế. Và
như vậy, hầu hết các yêu cầu của VPN và của mạng riêng truyền thống
là rất giống nhau. Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau:
1.3.1. Bảo mật
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các
tài nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác
suất truy cập trái phép đến Intranet và các tài nguyên của nó là rất thấp.
Tuy nhiên, nhận định này rất có thể không đúng với VPN có sử dụng
Internet và các mạng công cộng. khác như mạng điện thoại chuyển
mạch công cộng (Public Switched Telephone Networks - PSTNs) cho
truyền thông. Thiết lập VPN mang lại cho các Hacker, Cracker cơ hội
thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các
mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được
thựcthi một cách chặt chẽ.
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật
theo các cách như sau:

ISAS name: Virtual Network Private (VPN)Page 6
Class name – NIIT Hai Phong
+ Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng
lưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả
các lưu lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT)
là các ví dụ về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ lưu
lượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo
mật cao. Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không để lộ địa
chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và như vậy, kẻ tấn công
không biết được đích của các tài nguyên đó trong mạng Intranet.
+ Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu
để thiết lập định danh của người dùng và quyết định anh ta có được
phép truy cập tới các tài nguyên trong mạng hay không. Mô hình xác
thực, cấp quyền, kiểm toán (AAA) là một ví dụ về hệ thống xác thực
người dùng toàn diện. Đầu tiên hệ thống sẽ xác nhận người dùng truy
cập vào mạng. Sau khi người dùng đã được xác thực thành công, họ chỉ
có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một ký
chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì,
cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất
thường.
+ Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ
liệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu
khi được truyền qua mạng không tin cậy. Bảo mật giao thức
Internet(Internet Protocol Security -IPSec) nổi bật lên như một cơ chế mã
hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá dữ liệu đang được truyền
mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêng
biệt.
+ Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần
cung cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull).
Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng

1.3.2. Tính sẵn sàng và tin cậy
ISAS name: Virtual Network Private (VPN)Page 7
Class name – NIIT Hai Phong
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào
mạng (uptime). Trong các mạng riêng và mạng Intranet, thời gian này là
tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng
và được kiểm soát đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các
mạng tương tác trung gian như Internet và PSTN vì vậy các thiết lập
dựa trên VPN phụ thuộc nhiều vào mạng trung gian. Trong trường hợp
này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP).
Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên
quan mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch
trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ
liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác,
tính tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việc
chuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo
hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn
trong suốt với người dùng cuối.
1.3.3. Chất lượng dịch vụ
Trong một mạng riêng ảo, cũng như trong một mạng thông thường.
Đều có mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi
chúng được truyền từ nguồn đến đích cũng như đảm bảo chất lượng các
dịch vụ khác. Vấn đề với QoS là xác định như thế nào? có được đảm bảo
hay không? là rất khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng
minh rằng QoS được đảm bảo. Chất lượng dịch vụ là khả năng phản hồi
trong các hoàn cảnh tới hạn bằng cách gán một tỷ lệ để xác định giới hạn
lỗi trong việc sử dụng băng thông mạng và các tài nguyên cho các ứng
dụng. Các ứng dụng như giao dịch tài chính, quá trình đặt hàng từ các
đối tác thương mại là tương đối nhạy cảm với băng thông. Các ứng
dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn

để tránh hiện tượng chất lượng kém của giao dịch.
1.3.4. Khả năng quản trị
ISAS name: Virtual Network Private (VPN)Page 8
Class name – NIIT Hai Phong
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng,
cùng với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các
đơn vị có mạng kết nối phạm vi toàn cầu. Hầu hết các đơn vị được kết
nối với các nguồn tài nguyên của thế giới bằng sự trợ giúp của nhà cung
cấp dịch vụ. Kết quả là không thể kiểm soát tại 2 đầu cuối trong mạng
Intranet của một đơn vị vì phải qua mạng Intranet trung gian của nhà
cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị phải quản trị được
tài nguyên cho đến cả mạng kinh doanh của họ, trong khi nhà cung cấp
dịch vụ quản trị các thiết lập mạng của họ. Với sự sẵn có các thiết bị
VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với nhà
cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc quản
trị tài nguyên và quản trị toàn bộ phần riêng và phần công cộng của các
phần cuối VPN. Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì
mạng của họ như trong mô hình truyền thống, có thể kiểm soát toàn bộ
truy cập mạng và có quyền giám sát trạng thái thời gian thực, sự thực
thi của VPN. Hơn nữa Công ty cũng có thể giám sát phần công cộng của
VPN. Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc
quyền kiểm soát của họ. Tuy nhiên, nếu được yêu cầu, nhà cung cấp
dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ
tầng VPN của người dùng.
1.3.5. Khả năng tương thích
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một
kết nối đường dài, các mạng trung gian này có thể dựa trên IP như
Internet hoặc cũng có thể dựa trên công nghệ mạng khác như Frame
Relay (FR), Asynchronous Transfer Mode (ATM). Kết quả là VPN có thể
sử dụng tất cả các kiểu công nghệ và giao thức cơ sở.

Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải
có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích
với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích
hợp vào VPN.
ISAS name: Virtual Network Private (VPN)Page 9
Class name – NIIT Hai Phong
+Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thức
không dựa
trên IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng
hoặc cũng có thể là các giải pháp dựa trên phần mềm. Getway IP được
cài đặt trên mọi Server và thường được dùng để chuyển đổi dòng lưu
lượng.
+Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật
đóng gói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ
sở hạ tầng dựa trên IP. Các thiết bị cuối khác, khi nhận được các gói dữ
liệu đã đóng gói này sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu
gốc. “Đường hầm” bây giờ được xem như là một thiết bị tryền tải.
+Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong
hình vẽ 1.4, VIPR làm việc bằng cách phân vùng lôgic một Router vật lý
tại vị trí nhà cung cấp dịch vụ sau cùng(như là một phần cơ sở hạ tầng
của ISP). Mỗi một phân vùng được cấu hình và quản trị như một Router
vật lý và có thể hỗ trợ một VPN. Theo cách gọi đơn giản, mỗi một phân
vùng lôgic được xem như một Router với đầy đủcác chức năng của nó.
Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và có
khả năng chứa địa chỉ IP riêng.
1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN
Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiết
lập một mạng. Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việc
phân tích các yêu cầuvcủa tổ chức sẽ kéo theo thiếu sót trong lập kế
hoạch và ta sẽ thấy ảnh hưởng rất nhiều về sau.

Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo
ý tưởng tối ưu hoá mọi thứ.
Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt
VPN bao gồm:
ISAS name: Virtual Network Private (VPN)Page 10