Tổng quan về mạng riêng ảo pptx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (62.42 KB, 2 trang )
Mạng riêng ảo (VPN – Virtual Private Network) được giới thiệu để cho phép các nhà
cung cấp dịch vụ sử dụng cơ sở hạ tầng công cộng có sẵn để thực thi các kết nối point-
to-point giữa các site khách hàng. Một mạng khách hàng thực thi với bất kỳ công nghệ
VPN nào sẽ nằm trong vùng điều khiển của khách hàng được gọi là các site khách hàng,
các site này được kết nối với nhau thông qua mạng của nhà cung cấp dịch vụ (SP –
service provider). Trong các mạng dựa trên bộ định tuyến truyền thống (traditional
router-based network), các site khác nhau của cùng khách hàng được kết nối với nhau
bằng các kết nối point-to-point chuyên dụng (lease line, Frame Relay,…). Chi phí thực
hiện phụ thuộc vào số lượng site khách hàng. Các site kết nối dạng full mesh sẽ làm gia
tăng chi phí theo cấp số mũ.
Frame Relay và ATM là những công nghệ đi đầu tích hợp thực thi VPN. Các mạng này
bao gồm các thiết bị khác nhau thuộc về khách hàng hoặc nhà cung cấp dịch vụ, đó là các
thành phần của giải pháp VPN. Nhìn chung, VPN gồm các vùng sau:
- Mạng khách hàng (Customer network) – gồm các bộ định tuyến tại các site khách
hàng khác nhau. Các bộ định tuyến kết nối các site cá nhân với mạng của nhà cung cấp
được gọi là các bộ định tuyến biên phía khách hàng (CE – customer edge).
- Mạng nhà cung cấp (Provider network) – được dùng để cung cấp các kết nối point-
to-point qua hạ tầng mạng của nhà cung cấp dịch vụ. Các thiết bị của nhà cung cấp dịch
vụ mà nối trực tiếp với bộ định tuyến CE được gọi là bộ định tuyến biên phía nhà cung
cấp (PE – Provifer edge). Mạng của nhà cung cấp còn có các thiết bị dùng để chuyển tiếp
dữ liệu trong mạng trục (SP backbone) được gọi là các bộ định tuyến nhà cung cấp (P -
Provider).
Dựa trên sự tham dự của nhà cung cấp dịch vụ trong việc định tuyến cho khách hàng,
VPN có thể chia thành hai loại mô hình:
- Overlay
- Peer-to-peer
Khi Frame Relay và ATM cung cấp cho khách hàng các mạng riêng, nhà cung cấp không
thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển
dữ liệu qua các kết nối point-to-point ảo. Như vậy nhà cung cấp chỉ cung cấp cho khách
hàng kết nối ảo tại lớp 2; Đó là mô hình Overlay. Nếu mạch ảo là cố định, sẵn sàng cho
khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định (PVC – permanent virtual
circuit). Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo
chuyển đổi (SVC – switch virtual circuit). Hạn chế chính của mô hình Overlay là các
mạch ảo của các site khách hàng kết nối dạng full mesh (ngoại trừ triển khai dạng hub-
and-spoke hay partial hub-and-spoke). Nếu có N site khách hàng thì tổng số lượng mạch
ảo cần thiết cho việc tối ưu định tuyến là N(N-1)/2.
Ban đầu Overlay VPN được thực thi bởi SP để cung cấp các kết nối lớp 1 (physical layer)
hay mạch chuyển vận lớp 2 (dữ liệu dạng frame hoặc cell) giữa các site khách hàng bằng
cách sử dụng các thiết bị Frame Relay hay ATM switch làm PE. Do đó nhà cung cấp dịch
vụ không thể nhận biết được việc định tuyến ở phía khách hàng. Sau đó, Overlay VPN
thực thi các dịch vụ qua IP (lớp 3) với các giao thức định đường hầm như L2TP, GRE, và
IPSec. Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt đối
với khách hàng, và các giao thức định tuyến chạy trực tiếp giữa các bộ định tuyến của
khách hàng.
Mô hình ngang cấp (peer-to-peer) được phát triển để khắc phục nhược điểm của mô
hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối ưu qua SP backbone. Do
đó nhà cung cấp dịch vụ có thể tham gia vào việc định tuyến của khách hàng. Trong mô
hình peer-to-peer, thông tin định tuyến được trao đổi giữa các bộ định tuyến khách hàng
và các bộ định tuyến của nhà cung cấp dịch vụ, dữ liệu của khách hàng được vận chuyển
qua mạng lõi của nhà cung cấp. Thông tin định tuyến của khách hàng được mang giữa
các bộ định tuyến trong mạng của nhà cung cấp (P và PE), và mạng khách hàng (các bộ
định tuyến CE). Mô hình này không yêu cầu tạo ra mạch ảo. Quan sát hình trên ta thấy,
các bộ định tuyến CE trao đổi tuyến với các bộ định tuyến PE trong SP domain. Thông
tin định tuyến của khách hàng được quảng bá qua SP backbone giữa các PE và P và xác
định được đường đi tối ưu từ một site khách hàng đến một site khác.
Việc phát hiện các thông tin định tuyến riêng của khác hàng đạt được bằng cách thực
hiện lọc gói tại các bộ định tuyến kết nối với mạng khách hàng. Địa chỉ IP của khách
hàng do nhà cung cấp kiểm soát. Tiến trình này xem như là thực thi các PE peer-topeer
chia sẻ (shared PE peer-to-peer). Hình sau mô tả những việc thực thi khác nhau của mô
hình peer-to-peer.
Thực hiện mô hình peer-to-peer
