Tải bản đầy đủ (.pdf) (164 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Kỹ thuật lập trình

Công nghệ mạng riêng ảo pot

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.59 MB, 164 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC
KHOA










Công nghệ mạng riêng ảo


PHẦN I CÔNG NGHỆ MẠNG RIÊNG ẢO
Chương I. Giới thiệu chung về Mạng riêng ảo
Chương này, chúng ta bắt đầu bằng việc định nghĩa Mạng riêng ảo và những
lợi ích cơ bản từ việc thực thi giải pháp Mạng riêng ảo. Chúng ta cũng xem xét các
mô hình kết nối mạng riêng ảo thông dụng.
1.1. Các khái niệm cơ bản về mạng riêng ảo
1.1.1. Định nghĩa về Mạng riêng ảo
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN.
Sau đây ta thường gọi ngắn gọn theo tên viết tắt.
Có nhiều định nghĩa khác nhau về Mạng riêng ảo.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet,
ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền
thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói
cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên
một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng


công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet.
Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của một
doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn,
thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua
Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại
thành một mạng Công ty mở rộng.
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một
mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2
điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các
“đường hầm”. Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo
cách tương tự như truyền thông điểm - điểm.
Và như trong hình 1.2, mạng riêng của các Công ty loại trừ được các đường
Lease-Line chi phí cao. Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm
từ 20% đến 47% chi phí mạng WAN khi thay thế các đường Lease-Line để truy
cập mạng từ xa bằng VPN. Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đến
80% chi phí khi sử dụng đường Dial-up để truy cập từ xa đến Công ty.
Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các mạng máy
tính của các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê
riêng, cũng có thể là kết nối Frame Relay hay ATM. Nhưng, rào cản lớn nhất đến
với các doanh nghiệp tổ chức đó là chi phí. Chi phí từ nhà cung cấp dịch vụ, chi
phí từ việc duy trì, vận hành hạ tầng mạng, các thiết bị riêng của doanh nghiệp
rất lớn. Vì vậy, điều dễ hiểu là trong thời gian dài, chúng ta gần như không thấy
được nhiều ứng dụng, giải pháp hữu ích trên mạng diện rộng WAN.
Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức,
doanh nghiệp có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia viễn
thông nhận định: “Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới”.
1.1.2. Một số ví dụ về Mạng riêng ảo:
a) Ví dụ về các mô hình kết nối Mạng riêng ảo
Hình 1.1: Những người dùng di động, người dùng từ xa thiết lập kết nối VPN
qua Internet đến mạng Công ty của họ để trao đổi dữ liệu, truy cập các tài nguyên

giống như là họ đang ở trong Công ty.

Hình 1.1
Nhân viên lưu đ

ng có th


quay s


vào
mạng của Công ty để truyền thông tin,
c

p nh

t h


th

ng đơn hàng

Ng
ư

i

qu


n

l
ý

k
ế
t

n

i

t


nhà để xem doanh thu và
qu

n l
ý

c
ác

b
áo

c

á
o

Nh
â
n vi
ê
n ti
ế
p

thị kết nối từ
văn phòng
khách hàng để
kiểm tra trạng
th
ái

đơ
n h
àn
g

Ng
ư

i

qu


n

l
ý

b
án

hàng in đề xuất
mới trên máy in,
sẵn sàng nhận lại
v
ào

s
áng

s

m

Nhân viên lưu đ

ng có th


quay số vào mạng của Công ty
đ



in

n

, th

m

ch
í

c


f
ax


Hình 1.2: Là một ví dụ thiết lập VPN gồm một nhánh Văn phòng từ xa, một
người dùng di động kết nối VPN đến mạng Văn phòng chính

Hình 1.2
Hình 1.3: Một ví dụ đầy đủ hơn

Hình 1.3
Một mạng VPN điển hình đầy đủ bao gồm mạng LAN chính tại trụ sở (Văn
phòng chính), các mạng LAN khác tại những văn phòng từ xa, những đối tác kinh
doanh, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên
di động) truy cập đến từ bên ngoài.
b) Ví dụ về ứng dụng Mạng riêng ảo

Mới đây, ngày 11/08/2005, bệnh viện Nhi trung ương đã thử nghiệm thành
công dịch vụ Mạng riêng ảo.
Một ca chẩn đoán bệnh từ xa được thực hiện tại bệnh viên Nhi trung ương,
đầu bên kia là bệnh viện Nghệ An và bệnh viện Hoà Bình. Thông qua dịch vụ
truyền hình hội nghị “video conferencing” sử dụng công nghệ mạng riêng ảo, các
chuyên gia y tế đầu ngành có thể cùng hội chẩn các ca bệnh "khó" tại bệnh viện
tuyến dưới, từ đó đưa ra các chẩn đoán, phác đồ điều trị phù hợp cho người bệnh.
Đây là một việc đã cũ với thế giới nhưng hoàn toàn mới với Việt Nam.
1.2. Những lợi ích cơ bản của Mạng riêng ảo
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN.
Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng
cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP.
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng dựa
vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí
mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này,
thực tế là Tổ chức không cần thuê nhiều nhân viên mạng cao cấp.
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu
hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng
kết nối tới Intranet của Công ty mình.
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ
liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một
mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo
mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác
thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ bảo mật cao cho
việc truyền tin.
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường

Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối Internet
không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi
được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối
Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng.
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần
phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị. Điều này
làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích
với sự phát triển trong tương lai.
Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng
đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém. Với giải pháp
mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng truyền
số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là chi phí
cho các kênh thuê riêng đường dài, các mạng riêng cũng không quá lớn và phức
tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng
cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền số liệu công cộng).
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên
cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào
Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi
của Internet. Các đường Lease-Line bảo đảm băng thông được xác định trong hợp
đồng giữa nhà cung cấp và Công ty. Tuy nhiên không có một đảm bảo về sự thực
thi của Internet. Một sự quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng và
từ chối hoạt động của toàn bộ mạng dựa trên VPN.
1.3. Những yêu cầu đối với Mạng riêng ảo
Như ta đã biết trong phần trước, VPN là một phương pháp để kết nối mạng
Intranet tương đối đơn giản và bảo mật qua mạng công cộng như Internet. Công
nghệ VPN không chỉ làm giảm chi phí thực thi một môi trường mạng bảo mật cao
mà còn giảm chi phí cho việc quản trị và tổ chức nhân viên. Hơn nữa, nó mang lại
sự sẵn sàng, sự tin cậy và hiệu quả cao trong việc sử dụng băng thông mạng.
Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầu của

VPN là gì? Tất cả sẽ được xem xét trong phần này.
VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễ
dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các mạng công cộng
khác để truyền thông một cách bảo mật và kinh tế. Và như vậy, hầu hết các yêu cầu
của VPN và của mạng riêng truyền thống là rất giống nhau. Tuy nhiên, trong VPN
có các yêu cầu nổi bật như sau:

Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năng
tương thích, Khả năng quản trị.
1.3.1. Bảo mật
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài
nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cập
trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận định
này rất có thể không đúng với VPN có sử dụng Internet và các mạng công cộng
khác như mạng điện thoại chuyển mạch công cộng (Public Switched Telephone
Networks - PSTNs) cho truyền thông. Thiết lập VPN mang lại cho các Hacker,
Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua
các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực
thi một cách chặt chẽ.
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các
cách như sau:
+ Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu
lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượng
khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về kỹ thuật
phòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượng
ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa chỉ là một ví dụ
khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và như
vậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet.
+ Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để thiết
lập định danh của người dùng và quyết định anh ta có được phép truy cập tới các

tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm toán (AAA)
là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xác
nhận người dùng truy cập vào mạng. Sau khi người dùng đã được xác thực thành
công, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một
nhật ký chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì,
cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất thường.
+ Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu để
đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyền
qua mạng không tin cậy. Bảo mật giao thức Internet(Internet Protocol Security -
IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá
dữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từng gói
dữ liệu riêng biệt.
+ Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấp
khoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy, cần phải tạo
ra các khoá, phân phối và cập nhật, làm tươi chúng.
1.3.2. Tính sẵn sàng và tin cậy
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng
(uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì
toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ
bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet
và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian.
Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ
(ISP).
Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịch
vụ” (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa ISP
và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy cập
mạng. Một số ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức muốn
đảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạch
xương sống có khả năng phục hồi cao. Đó là:
+ Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay

thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suất
cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khi
được yêu cầu.
+ Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng
giải thông mạng.
+ Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này không
chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làm
lạnh
Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quan
mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN đảm bảo
rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng
như hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường dựa trên VPN
có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác
nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn
toàn trong suốt với người dùng cuối.
1.3.3. Chất lượng dịch vụ
Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có
mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được truyền
từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác.
Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất
khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm bảo.
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng
cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng và
các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, quá trình
đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông. Các ứng
dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn để tránh
hiện tượng chất lượng kém của giao dịch.
1.3.4. Khả năng quản trị
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với
việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết nối

phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên của
thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể kiểm soát
tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng Intranet trung
gian của nhà cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị phải quản trị
được tài nguyên cho đến cả mạng kinh doanh của họ, trong khi nhà cung cấp dịch
vụ quản trị các thiết lập mạng của họ. Với sự sẵn có các thiết bị VPN của các hãng
sản xuất bên ngoài và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể
loại trừ được ranh giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ phần
riêng và phần công cộng của các phần cuối VPN. Một Công ty có thể quản trị,
giám sát, hỗ trợ và duy trì mạng của họ như trong mô hình truyền thống, có thể
kiểm soát toàn bộ truy cập mạng và có quyền giám sát trạng thái thời gian thực, sự
thực thi của VPN. Hơn nữa Công ty cũng có thể giám sát phần công cộng của
VPN. Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền
kiểm soát của họ. Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể
quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng.
1.3.5. Khả năng tương thích
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối
đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có
thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous Transfer
Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và giao
thức cơ sở.
Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả
năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở hạ
tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN.
Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thức không dựa
trên IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc
cũng có thể là các giải pháp dựa trên phần mềm. Getway IP được cài đặt trên mọi
Server và thường được dùng để chuyển đổi dòng lưu lượng.
Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng gói
các gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng dựa trên

IP. Các thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng gói này sẻ xử lý
và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây giờ được xem
như là một thiết bị tryền tải.
Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong hình vẽ 1.4,
VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà cung cấp
dịch vụ sau cùng(như là một phần cơ sở hạ tầng của ISP). Mỗi một phân vùng
được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN. Theo
cách gọi đơn giản, mỗi một phân vùng lôgic được xem như một Router với đầy đủ
các chức năng của nó. Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao
thức và có khả năng chứa địa chỉ IP riêng.

Hình 1.4 Mô tả chung của VIPR
Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ
đường điện thoại riêng ảo(Virtual Private Trunking - VPT) được sử dụng. Công
nghệ VPT được mô tả như trong hình 1.5.

Hình 1.5 Mô tả chung của VPT
VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyển
mạch gói. Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits -
PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ
liệu. Để truyền dữ liệu thành công, VPT yêu cầu một thiết bị WAN như một
Router có khả năng hỗ trợ FR và ATM. Để chắc chắn rằng các giao dịch thương
mại có lợi nhuận, các PVC thường được dùng cho việc liên kết các Site trong một
mạng riêng hoặc một Intranet. SVC lại thường được dùng để liên kết các Site trong
một Extranet
1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN

Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiết lập một
mạng. Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việc phân tích các yêu cầu
của tổ chức sẽ kéo theo thiếu sót trong lập kế hoạch và ta sẽ thấy ảnh hưởng rất

nhiều về sau.
Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo ý tưởng
tối ưu hoá mọi thứ.
Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt VPN bao
gồm:
+ Mô hình VPN nào được chọn để thực hiện?
+ Bảo mật
+ VPN sẽ được quản trị như thế nào?
+ Đánh địa chỉ và định tuyến
+ Các vấn đề liên quan đến DNS
+ Các vấn đề Router/Getway, firewall, NAT
+ Hiệu suất
+ Khả năng mở rộng và tương thích trong tương lai.
1.5. Các mô hình kết nối VPN thông dụng
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một
Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào
- Có khả năng kết nối từ xa giữa các nhánh văn phòng.
- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan
trọng đối với giao dịch thương mại của công ty.
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân
thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ
(Intranet VPN), VPN mở rộng (Extranet VPN)
1.5.1.VPN Truy cập từ xa (Remote Access VPN):
Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN)
đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công
cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ
như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,
người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của

tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người
dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố
định tới Intranet của tổng công ty.
Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở
rộng của VPN bao gồm các thành phần chính như sau:
+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và
cấp quyền cho các yêu cầu truy cập từ xa.
+ Kết nối Dialup tới mạng trung tâm
+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ
người dùng từ xa

Hình 1.6 Thiết lập truy cập từ xa không có VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó
để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa tương
ứng được mô tả như trong hình 1.7.

Hình 1.7 Thiết lập VPN truy cập từ xa
1.5.2. VPN Cục bộ (Intranet VPN)
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là
một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu
cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng
trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các
dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian
cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối
WAN truyền thống.
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của
một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet
không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của
tổ chức qua các Router trung gian. Thiết lập này được mô tả như trong hình 1.8.


Hình 1.8 Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một
Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và
quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí
của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng
lớn thì chi phí càng cao.
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế
bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực
thi toàn bộ Intranet. Một giải pháp Intranet VPN điển hình được mô tả như trong
hình 1.9.

Hình 1.9 Thiết lập VPN dựa trên VPN
Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.9 là:
+ Loại trừ được các Router từ đường WAN xương sống.
+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các
liên kết ngang hàng mới.
+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng
với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của
hoạt động Intranet.
Tuy nhiên cũng có một số nhược điểm:
+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các
tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng.
+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.
+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao
và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.
+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS
có thể không được đảm bảo
1.5.3. Mạng riêng ảo mở rộng (Extranet VPN)
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào

mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các
đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong
mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như
Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt
giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng.
So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan
trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản
phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống
sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên
việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN
thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và
giới hạn truy nhập trên hệ thống.

Không giống như Intranet VPN và Remote Access VPN. Extranet VPN
không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép
kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại
mở rộng như: đối tác, khách hàng, nhà cung cấp
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1-
10

Hình 1.10 Mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải
hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong
việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm
như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các
mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà
thực thi và quản trị mạng.
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ
dàng và giảm chi phí đáng kể.


Hình 1.11 Mạng Extranet dựa trên VPN
Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên
hỗ trợ có thể giảm xuống.
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các
ứng dụng Multimedia.
+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm
Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp
VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”
1.6. Các công nghệ và các chính sách an toàn Mạng riêng ảo
1.6.1. Sự cần thiết của chính sách an toàn Mạng
Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một tổ
chức và từng bước được vận dụng để thực thi bảo mật mạng. Không có một sản
phẩm hay một giải pháp chuẩn chung cho một chính sách an toàn mạng. Nó
thường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức.
Một chính sách an toàn mạng thể hiện tầm nhìn của Công ty về cách thức sử
dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất và nâng cao
hiệu suất. Nó cũng phác thảo các thủ tục cần dùng để đối phó với các nguy cơ bảo
mật, các vi phạm bảo mật.
Một chính sách an toàn làm cho khả năng đối phó với các rủi ro, các nguy cơ
bảo mật trong một Công ty sẽ tốt hơn. Hơn nữa, không thể thực thi bảo mật nếu ta
không xác định được cần bảo vệ cái gì.
Vì vậy cần có một chính sách bảo mật. Đó là một danh sách những gì sẽ được
phép và không được phép, dựa vào đó để quyết định về bảo mật. Ta cũng có thể

hình dung nó như là một tập các luật để quản lý người dùng truy cập tài nguyên
của công ty, một thoả thuận chung để mọi người chấp nhận và tuân theo các luật
đó.
Một chính sách an toàn mạng toàn diện của Công ty phải được xác định theo
sự phân tích các yêu cầu thương mại và phân tích bảo mật. Các vấn đề sau đây sẽ
cung cấp cho ta một số nguyên tắc chung:
+ Những người nào mà chúng ta muốn ngăn chặn?
+ Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta hay
không?
+ Hệ thống có chứa thông tin mật hoặc nhạy cảm không?
+ Phân loại các thông tin mật hoặc nhạy cảm như thế nào?
+ Mật khẩu hoặc mã hoá có đủ bảo vệ không?
+ Chúng ta có cần truy cập Internet hay không?
+ Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùng
bên ngoài mạng(như: các đối tác thương mại, nhà cung câp,…) mà ta muốn cho
phép?
+ Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật?
+ Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sách này?
Đó là những nguyên tắc mang tính định hướng chung cho việc thiết lập và
thực hiện một chính sách an toàn mạng.
1.6.2. Chính sách an toàn mạng
Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu với nhiều
nguy cơ tấn công tiềm ẩn. Gateway hoặc Firewal là những hệ thống bảo vệ tốt, tuy
nhiên cần phải lưu ý rằng:
+ Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứng
dụng có những khiếm khuyết có thể bị khai thác.
+ Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép đi
qua nó hoặc các kết nối Terminate tại gateway từ bên ngoài, vì các giao thức cũng
có thể tiềm ẩn nhiều lỗ hổng bảo mật.
+ Bất kỳ một hệ thống nào có chứa thông tin mật hoặc nhạy cảm đều không

nên cho phép truy cập trực tiếp từ bên ngoài.
+ Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việc yêu
cầu xác thực mật khẩu và kiểm soát truy cập thích hợp.
+ Truy cập trực tiếp từ bên ngoài luôn phải được xác thực và kiểm toán
Chính sách an toàn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từ
chối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này.
Mỗi luật trong chính sách an toàn mạng nên được thực thi trên một firewall hoặc
RAS. Và chính sách an toàn mạng của một công ty phải trả lời được các câu hỏi
sau:
+ Những ai được truy cập vào mạng của Công ty? Những Client, đối tác,
khách hàng nào được cung cấp truy cập tới mạng của Công ty?
+ Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đối tác.
+ Những ai có thể truy cập Internet từ mạng của Công ty?
+ Lúc nào thì tài khoản của một người dùng sẽ bị xoá?
+ Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng có
truy cập Internet không được bảo vệ.
+ Người dùng có thể tuỳ tiện tải các chương trình từ Internet hay không?
+ Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổi hay
không?
+ Các máy tính của người dùng từ xa, người dùng di động được bảo mật như
thế nào? Họ phải làm gì để có thể truy cập an toàn tới mạng của công ty.
+ Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loại
thông này hay không?
1.6.3. Chính sách an toàn Mạng riêng ảo
Trong khi một chính sách an toàn mạng truyền thống xác định luồng thông tin
nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật
VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin. Theo một
nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ cô đọng
hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào đó trước
khi nó có thể được bảo vệ.

Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng được bảo
vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã
hoá, độ dài khoá, quản lý khoá…). Chính sách an toàn VPN có thể được định nghĩa
trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp
sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách
phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đi vào các thiết bị.
Trong khi thực hiện VPN cần lưu ý:
+ Chỉ có một kết nối mạng được cho phép.
+ VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty
+ Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùng phần
mềm Virus và cập nhật thường xuyên để quét
+ Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gì sau
một khoảng thời gian nhất định(chẳng hạn: sau 30 phút).
Câu hỏi ôn tập
1. Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo?
2. Ba loại mô hình VPN là: __________, __________, và __________.
a. Intranet
b. Internet
c. Extranet
d. Remote Access

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×