Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
MỤC LỤC
DANH SÁCH CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT.............................................17
LỜI CẢM ƠN...........................................................................................................19
MỞ ĐẦU..................................................................................................................20
Chương I: Giới thiệu về VPN...................................................................................22
1.1.Mạng riêng ảo (VPN) là gì ?................................................................................22
1.2.1. Remote-Access..............................................................................................23
1.2.2. Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và
cấp quyền cho các yêu cầu truy cập từ xa.......................................................23
1.2.3. Kết nối Dial-up tới mạng trung tâm. ..........................................................23
1.2.4. Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ
người dùng từ xa.............................................................................................23
24
24
1.2.5. Site-to-Site....................................................................................................24
Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.5 là:...........................26
Loại trừ được các Router từ đường WAN xương sống...........................................26
Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên
kết ngang hàng mới....................................................................................................26
Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc
loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động
Intranet.26
Tuy nhiên cũng có một số nhược điểm:...................................................................26
Vì dữ liệu được định đường hầm qua một mạng chia sẻ công cộng nên các tấn công
mạng như: Từ chối dịch vụ vẫn đe dọa nghiêm trọng đến an ninh mạng................26
Khả năng mất các gói dữ liệu khi truyền vẫn còn cao.............................................26

81

Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Đường truyền dữ liệu đầu trên như multimedia, độ trễ truyền tin vẫn rất cao và
thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet..............26
Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể
không được đảm bảo..................................................................................................26
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào
mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường
truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng
của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet
VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa
chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với
Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là
khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc
để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm
được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó
thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết
nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên
hệ thống......................................................................................................................26
Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn
có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát
truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng
như: Đối tác, khách hàng, nhà cung cấp...................................................................27
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1.6..27
27
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn
toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc
quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như
vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng

81



Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi
và quản trị mạng........................................................................................................27
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng
và giảm chi phí đáng kể.............................................................................................27
28
Ưu điểm chính của Extranet VPN là:.......................................................................28
Chi phí rất nhỏ so với cách thức truyền thống.........................................................28
Dễ thực thi, duy trì và dễ thay đổi............................................................................28
Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn..................................28
Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có
thể giảm xuống...........................................................................................................28
Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại.........................................28
Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức.............................................28
Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng
dụng Multimedia........................................................................................................28
Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm.............28
Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN
vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”...........28
1.3.Những lợi ích cơ bản của Mạng riêng ảo.............................................................28
Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền
thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN
loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế
chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP............................28
Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền thông
đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN
một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu


81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế là tổ
chức không cần thuê nhiều nhân viên mạng cao cấp................................................28
Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa
của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh
văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới
Intranet của công ty mình..........................................................................................29
Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua
mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một mức độ
nhất định, thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như:
Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực của
dữ liệu được truyền. Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền
tin. 29
Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line,
băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt
động. Các VPN chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu, kết
quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động. Vì
vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng......................................29
Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của
một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay
đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị. Điều này làm cho
Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát
triển trong tương lai. .................................................................................................29
Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng đối với
các mạng riêng ngày càng trở lên phức tạp và tốn kém. Với giải pháp mạng riêng
ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng truyền số liệu công
cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là chi phí cho các kênh

thuê riêng đường dài, các mạng riêng cũng không quá lớn và phức tạp, giải pháp
VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng cũng như sử dụng
hiệu quả hơn cơ sở hạ tầng mạng truyền số liệu công cộng)....................................29

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh
đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet; sự
thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet.
Các đường Lease-Line bảo đảm băng thông được xác định trong hợp đồng giữa nhà
cung cấp và Công ty. Tuy nhiên không có một đảm bảo về sự thực thi của Internet.
Một sự quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động
của toàn bộ mạng dựa trên VPN................................................................................29
1.4.Những yêu cầu đối với Mạng riêng ảo.................................................................30
Như ta đã biết trong phần trước, VPN là một phương pháp tương đối đơn giản và
bảo mật để kết nối mạng Intranet qua mạng công cộng (như mạng Internet). Công
nghệ VPN không chỉ làm giảm chi phí thực thi một môi trường mạng bảo mật cao
mà còn giảm chi phí cho việc quản trị và tổ chức nhân viên. Hơn nữa, nó mang lại
sự sẵn sàng, sự tin cậy và hiệu quả cao trong việc sử dụng băng thông mạng........30
Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầu của
VPN là gì? Tất cả sẽ được xem xét trong phần này..................................................30
VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễ dàng thiết
lập mạng LAN hoặc Intranet cùng với Internet và các mạng công cộng khác để
truyền thông một cách bảo mật và kinh tế. Và như vậy, hầu hết các yêu cầu của
VPN và của mạng riêng truyền thống (mạng thông thường) là rất giống nhau. Tuy
nhiên, trong VPN có các yêu cầu nổi bật như sau:Bảo mật, chất lượng dịch vụ
(QoS), tính sẵn sàng, tính tin cậy, khả năng tương thích, khả năng quản trị...........30
1.4.1. Bảo mật.......................................................................................................30

Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài nguyên
mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cập trái phép
đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận định này rất có
thể không đúng với VPN có sử dụng Internet và các mạng công cộng khác như
mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Network PSTN) cho truyền thông. Thiết lập VPN mang lại cho các Hacker, Cracker cơ hội
thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các mạng công

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách
chặt chẽ. ....................................................................................................................30
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách
như sau:......................................................................................................................30
Thực thi các kỹ thuật phòng thủ vòng ngoài: Chỉ cho phép các dòng lưu lượng đã
cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượng khác. Các
Firewall và bộ dịch chuyển địa chỉ mạng (NAT) là các ví dụ về kỹ thuật phòng thủ.
Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượng ra, vì vậy,
đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không
để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và như vậy, kẻ tấn công
không biết được đích của các tài nguyên đó trong mạng Intranet............................31
Xác thực (Authentication): Xác thực người dùng và các gói dữ liệu để thiết lập
định danh của người dùng và quyết định anh ta có được phép truy cập tới các tài
nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm toán (AAA) là
một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xác nhận
người dùng truy cập vào mạng. Sau khi người dùng đã được xác thực thành công,
họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một nhật ký
chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì, cho phép
người quản trị mạng ghi lại những hoạt động trái phép, bất thường........................31

Mã hoá dữ liệu (Data Encryption): Thực thi các cơ chế mã hoá dữ liệu để đảm bảo
tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyền qua mạng
không tin cậy. Bảo mật giao thức Internet (IPSec) nổi bật lên như một cơ chế mã
hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho
phép xác thực mỗi người dùng và từng gói dữ liệu riêng biệt..................................31
Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấp khoá mật
mã để tạo ra các đường hầm phiên (Session Tunnel). Vì vậy, cần phải tạo ra các
khoá, phân phối và cập nhật, làm tươi chúng............................................................31
1.4.2. Tính sẵn sàng và tin cậy...............................................................................31

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng (Uptime).
Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì toàn bộ
cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức.
Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet và PSTN vì
vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian. Trong trường
hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP).............31
Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịch vụ”
(SLA). SLA là bản hợp đồng được ký kết giữa ISP và người dùng (một tổ chức
hoặc một công ty) để cam kết về thời gian truy cập mạng. Một số ISP đề xuất
uptime rất cao, khoảng 99%. Nếu một tổ chức muốn đảm bảo tính sẵn sàng rất cao,
thì tìm một ISP có cơ sở hạ tầng chuyển mạch xương sống có khả năng phục hồi
cao. Đó là:..................................................................................................................32
Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay thế
trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suất cực
đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khi
được yêu cầu..............................................................................................................32

Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng giải thông
mạng. 32
Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này không chỉ
gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làm lạnh.
32
Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quan mật thiết
với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN đảm bảo rằng
những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng như hầu
hết các thiết lập mạng khác, tính tin cậy trong môi trường dựa trên VPN có thể đạt
được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã
tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt
với người dùng cuối...................................................................................................32

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
1.4.3. Chất lượng dịch vụ.......................................................................................32
Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có mong
muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được truyền từ
nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác. ...........................32
Vấn đề với QoS là xác định như thế nào? Có được đảm bảo hay không? Là rất khó.
Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm bảo. .......32
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách
gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng và các
tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, quá trình đặt
hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông. Các ứng
dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn để tránh hiện
tượng chất lượng kém của giao dịch.........................................................................32
1.4.4. Khả năng quản trị.........................................................................................33

Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc
quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết nối
phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên của thế
giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể kiểm soát tại 2
đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng Intranet trung gian
của nhà cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị phải quản trị được tài
nguyên cho đến cả mạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị
các thiết lập mạng của họ. Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên
ngoài và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể loại trừ được
ranh giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ phần riêng và phần
công cộng của các phần cuối VPN. Một Công ty có thể quản trị, giám sát, hỗ trợ và
duy trì mạng của họ như trong mô hình truyền thống, có thể kiểm soát toàn bộ truy
cập mạng và có quyền giám sát trạng thái thời gian thực, sự thực thi của VPN. Hơn
nữa, Công ty cũng có thể giám sát phần công cộng của VPN. Tương tự, các ISP
quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ. Tuy nhiên,

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng,
bao gồm cả cơ sở hạ tầng VPN của người dùng.......................................................33
1.4.5. Khả năng tương thích...................................................................................33
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối đường dài,
các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể dựa trên
công nghệ mạng khác như Frame Relay (FR), Asynchronous Transfer Mode
(ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và giao thức cơ
sở. 33
Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng
dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở hạ tầng

dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN:..........................33
Sử dụng Getway IP: Getway IP chuyển (hoặc dịch) các giao thức không dựa trên
IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc cũng có
thể là các giải pháp dựa trên phần mềm. Getway IP được cài đặt trên mọi Server và
thường được dùng để chuyển đổi dòng lưu lượng....................................................34
Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng gói các
gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng dựa trên IP.
Các thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng gói này sẻ xử lý và
loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây giờ được xem như
là một thiết bị tryền tải...............................................................................................34
Sử dụng định tuyến IP ảo (Virtual IP Routing - VIPR): Như trong hình vẽ 1.8,
VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà cung cấp
dịch vụ sau cùng (như là một phần cơ sở hạ tầng của ISP). Mỗi một phân vùng được
cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN. Theo cách gọi
đơn giản, mỗi một phân vùng lôgic được xem như một Router với đầy đủ các chức
năng của nó. Kết quả là phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và có
khả năng chứa địa chỉ IP riêng..................................................................................34

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ
đường điện thoại riêng ảo (VPT) được sử dụng. Công nghệ VPT được mô tả như
trong hình 1.9.............................................................................................................34
VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyển mạch
gói. Vì vậy nó sử dụng các kênh cố định ảo (PVC) và kênh chuyển mạch ảo
(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu. Để truyền dữ liệu thành
công, VPT yêu cầu một thiết bị WAN như một Router có khả năng hỗ trợ FR và
ATM. Để chắc chắn rằng các giao dịch thương mại có lợi nhuận, các PVC thường

được dùng cho việc liên kết các Site trong một mạng riêng hoặc một Intranet. SVC
lại thường được dùng để liên kết các Site trong một Extranet.................................35
1.5.Tính bảo mật của VPN.........................................................................................35
1.6.Các kỹ thuật sử dụng trong VPN.........................................................................38
1.7.Các giao thức tạo đường hầm...............................................................................38
Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay TLS.
Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng dưới
cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ bảo
mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép các
ứng dụng ở tầng trên truy nhập vào các module bảo mật ở tầng dưới), các ứng dụng
ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải quyết được yêu cầu này bằng
cách chuyển vấn đề bảo mật xuống tầng 3. Điều này cho phép các ứng dụng duy trì
được tính không phụ thuộc vào hạ tầng bảo mật của các tầng dưới. Các gói IP sẽ
được bảo vệ mà không phụ thuộc vào các ứng dụng đã sinh ra chúng. Nói một cách
khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP. Các quy tắc bảo
mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào một
ứng dụng nào được chạy trên hệ thống và IPSec là trong suốt đối với các ứng dụng.
Điều này đem lại những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo mật và
kể cả mã hoá dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec cung cấp
khả năng bảo mật host-to-host giữa các máy tính và mạng máy tính......................39
IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng sau:.........39

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại.................39
Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn.. .39
Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật.............................39
Cung cấp khả năng xác thực dựa trên chứng chỉ số.................................................39

Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá..........................39
Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP,
PPTP. 39
IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và
nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị khác
nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hoá, trao
đổi khoá bảo mật… khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này đồng
nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi hỏi
sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN
ứng dụng giao thức IPSec là “Desktop VPN” vì toàn bộ chức năng bảo mật dữ liệu
được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến
các công tác bảo đảm an toàn. Khi sử dụng các thuật toán xác thực và mã hoá dữ
liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và
tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên
mạng. 40
Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu
đề (AH) và đóng gói tải bảo mật (ESP). AH được sử dụng để đảm bảo tính toàn vẹn
của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với
máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm
thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai giao thức này đều
không chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể nào mà chỉ tạo ra khả
năng ứng dụng tốt nhất một trong các thuật toán đang hiện hành............................40
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:..........................................40

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạnh để
xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào không bị

phát giác trước đó về nội dung của gói dữ liệu bởi người nhận không mong muốn.
Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do thám hoặc tấn công
dịch vụ. 41
Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật mật mã
cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu trong khi nó
đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để dấu địa chỉ IP
của Node nguồn và đích đối với kẻ nghe trộm.........................................................41
Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet (IKE) để
thương lượng giao thức bảo mật và thuật toán mã hóa trước và trong một phiên làm
việc. Quan trọng hơn, IPSec phân phối, kiểm soát khoá và cập nhật các khoá này
khi được yêu cầu........................................................................................................41
Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy được
cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này bao
gồm AH và ESP.........................................................................................................41
Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được
chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó.....................................41
Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco,
Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước
đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và
L2F. L2TP cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi
phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP...............42
Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc
trưng của L2F và PPTP. Đó là những lợi ích sau:....................................................42
L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như: IP, ATM, FR và PPP. Kết
quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông
thường. 42

81



Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển
hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người dùng trong
Intranet riêng không cần phải thực thi các phần mềm đặc biệt................................42
L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập
một mạng từ xa qua một mạng công cộng................................................................42
Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy,
ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy
cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa
chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập
đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước. ....................42
Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không
giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế, đường hầm
này mở rộng tới Gateway của mạng chủ (mạng đích). Như trong hình 1.12. Yêu cầu
đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP. 42
Việc sử dụng các Mạng điện thoại chuyển mạch công cộng (PSTN): PPTP cho
phép sử dụng PSTN (Public Switched Telephone Network) để thực thi VPN. Kết
quả là, quá trình triển khai VPN đơn giản đi rất nhiều và tổng chi phí thực thi giảm
một cách đáng kể. Lý do này hoàn toàn dễ hiểu – vì những yếu tố cần thiết cho giải
pháp kết nối doanh nghiệp quy mô rộng dựa trên đường Leased Line và các Server
truyền thông chuyên dụng hoàn toàn bị loại bỏ........................................................44
Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên IP,
PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và
NetBIOS. Vì vậy, PPTP đã chứng tỏ là thành công trong việc triển khai VPN qua
một mạng LAN riêng cũng như qua mạng công cộng..............................................44
PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP Server và
Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm
soát truy cập và lọc gói tin.........................................................................................44
Chương II: IPSec......................................................................................................45


81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
2.1. Tổng quan về IPSec.............................................................................................45
2.1.1. Khái niệm....................................................................................................45
2.1.2. Những thuận lợi khi dùng IPSec..................................................................45
2.1.3. Các ứng dụng của IPSec...................................................................................46
2.2. Các giao thức IPSec...........................................................................................46
2.2.1. AH (Anthentication Header)............................................................................46
2.2.2. ESP (Encryption Security Protocol)................................................................47
2.3. Các chế độ hoạt động của IPSec.........................................................................49
2.3.1. Chế độ Transport (Transport mode)............................................................49
2.3.2. Chế độ Tunnel.............................................................................................50
Hình 2.8: Gói tin nguyên bản...................................................................................51
2.4. Quản lý khóa IKE................................................................................................52
2.4.1. Giới thiệu về IKE........................................................................................52
2.4.2. Các giai đoạn của IKE (IKE Phase)............................................................52
2.5. Chính sách bảo mật IPSec và các phương thức xác thực..................................54
2.5.1. Chính sách bảo mật IPSec...........................................................................54
2.5.2. Chính sách mặc định...................................................................................55
2.5.3. Phương pháp xác thực......................................................................................57
Chương III: Các thuật toán mã hóa sử dụng trong VPN.........................................62
3.1. Mã hóa đối xứng..................................................................................................62
3.1.1. DES.............................................................................................................63
3.1.2. 3DES...........................................................................................................64
3.1.3. AES..............................................................................................................65
3.2. Mã hóa bất đối xứng............................................................................................65
3.2.1. Diffie-Hellman (D-H)..................................................................................65
3.2.2. RSA..............................................................................................................66

Chương IV: Xác thực trong mạng VPN...................................................................68
4.1. Hàm băm..............................................................................................................68
4.2. Chữ ký số.............................................................................................................69

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Hình 4.4: Sơ đồ cung cấp và sử dụng dịch vụ..........................................................72
4.3.3. Các giao thức sử dụng trong AAA server....................................................73
Chương V: Triển khai Một số mô hình VPN cho doanh nghiệp.............................76
5.1. Thiết kế mô hình VPN site-to-site và remote-access bảo mật với IPSec...........76
Phạm vi ứng dụng : Ứng dụng cho 3 cơ sở của trường ĐHSPKTHY.....................76
5.2. Thiết kế mô hình VPN client-to-site sử dụng ISA..............................................78
5.3. Mô hình VPN client to site sử dụng Routing and Remote Access....................80
Tài liỆu tham khẢo..................................................................................................88
PHỤ LỤC..................................................................................................................82

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
DANH SÁCH CÁC HÌNH VẼ

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
DANH SÁCH CÁC KÝ TỰ, CÁC CHỮ VIẾT TẮT
Từ viết tắt


Giải thích

AAA

Authentication, Authorization, Accounting

AD

Active Directory

AES

Avanted Encryption Standar

AH

Authentication Header

ATM

Automated Teller Machine

CA

Certificate Authority

CRC

Cyclic Redundancy Check


DC

Domain controller

DES

Data Encryption Standar Protocol

D_H

Diffie-Hellman

ESP

Encypting Security Protocol

GPO

Group Policy Object

GRE

Generic Routing Encapsulation

HMAC

Hash bases Message Anthentication Code

IAS


Internet Authentication Service

ICV

Integrity Check Value

IKE

Internet Key Exchange

ICV

Integrity Check Value

IIS

Internet Information Service

IKE

Security Parameters Index

IPSec

Internet Protocol Security

ISA

International Society of Automation


ISAKMP

Internet Security Association and Key Management

ISP

Internet Protocol
Service Provider

KDC

KeyDistributionCenter

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
LAN

Local Area Network

L2F

Layer 2 Forward

L2TP

Layer 2 Tunneling Protocol


MD5

Message-Digest Algorithm 5

NAT

Network Address Translation

NAS

Network Attached Storage

OC3

Optical Carrier-3, 155 Mbps

PGP

Pretty Good Privacy

PPTP

Point-to-Point Tunneling Protocol

PSTN

Public Switched Telephone Network

RADIUS


Remote Authentication Dial In User Service

RSA

Rivest, Shamir, Adleman

SHA

Secure Hash Algorithm

SLA

Service Level Agreement

SPI

Security Parameters Index

SSL

Secure Socket Layer

TACACS

Terminal Access Controller Access-Control System

TLS

Transport Layer Security


VIPR

Virtual IP Routing

WAN

Wide Area Network

3DES

Triple Data Encryption Standar

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
LỜI CẢM ƠN
Trước tiên nhóm em xin gửi lời cảm ơn chân thành sâu sắc tới các thầy cô
giáo trong trường Đại học Sư Phạm Kỹ Thuật Hưng Yên nói chung và các thầy cô
giáo trong khoa Công nghệ Thông tin, bộ môn Mạng máy tính và truyền thông nói
riêng đã tận tình giảng dạy, truyền đạt cho chúng em những kiến thức, kinh nghiệm
quý báu trong suốt thời gian qua.
Đặc biệt nhóm em xin gửi lời cảm ơn đến thầy Vi Hoài Nam , thầy đã tận
tình giúp đỡ, trực tiếp chỉ bảo, hướng dẫn nhóm trong suốt quá trình làm đồ án .
Trong thời gian làm việc với thầy, nhóm em không ngừng tiếp thu thêm nhiều kiến
thức bổ ích mà còn học tập được tinh thần làm việc, thái độ nghiên cứu khoa học
nghiêm túc, hiệu quả, đây là những điều rất cần thiết cho nhóm trong quá trình học
tập và công tác sau này.
Dù đã nỗ lực rất nhiều để hoàn thành đồ án nhưng do kiến thức còn hạn chế
nên đồ án của nhóm em không tránh khỏi những thiếu sót. Em rất mong nhận được

sự đóng góp ý kiến của các thầy cô để đồ án của nhóm em được hoàn thiện hơn.
Sinh viên thực hiện:
Đỗ Thị Thu Hiền
Nguyễn Thị Thảo

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
MỞ ĐẦU
1. Tên đề tài
Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh
nghiệp.
2. Lý do chọn đề tài
Ngày nay, công nghệ thông tin đang phát triển mạnh mẽ, trong đó công nghệ
mạng đóng vai trò hết sức quan trọng trong việc thông tin dữ liệu. Chỉ xét ở góc độ
kinh doanh, nhu cầu truyền thông của các công ty, tổ chức là rất lớn. Một công ty có
một mạng riêng cho phép chia sẻ tài nguyên giữa các máy tính nội bộ, nhưng cũng
muốn các chi nhánh, văn phòng, nhân viên di động hay các đối tác từ xa có thể truy
cập vào mạng công ty. Có nhiều dịch vụ được cung cấp như các modem quay số,
ISDN server hay các WAN thuê riêng rất đắt tiền. Nhưng với sự phát triền rộng rãi
của Internet, một số công ty có thể kết nối với nhân viên, đối tác từ xa ở bất cứ nơi
đâu, thậm chí trên toàn thế giới mà không cần sử dụng dịch vụ đắt tiền trên.
Nhưng có một vấn đề quan trọng là mạng nội bộ chứa các tài nguyên, dữ liệu
quan trọng mà chỉ cho phép các người dùng có quyền hạn, được cấp phép mới được
truy cập vào mạng nội bộ trong khi mạng Internet là mạng công cộng và không bảo
mật. Do đó, Internet là mối nguy hiểm rất lớn cho hệ thống mạng, cơ sở dữ liệu
quan trọng của công ty. Có một giải pháp giải quyết được tất cả các vấn đề trên đó
chính là Mạng riêng ảo (VPN-Vitual Private Network), IPSec/VPN cung cấp giải
pháp thông tin dữ liệu riêng tư, an toàn thông qua môi trường mạng Internet công

cộng với chi phí thấp, hiệu quả mà vẫn bảo mật.
Chính vì vậy nhóm em lựa chọn nghiên cứu đề tài “Tìm hiểu IPSec/VPN và
thiết kế một số mô hình ứng dụng cho mạng doanh nghiệp” làm đồ án tốt nghiệp để
học hỏi thêm kiến thức, rèn luyện kỹ năng và hòa nhập môi trường ứng dụng mới.
3. Khách thể và đối tượng nghiên cứu
Khách thể:
- Các phòng ban của doanh nghiệp
Đối tượng nghiên cứu:
- Các thuật toán mã hóa.
- Các phương pháp xác thực.
- Cách thức hoạt động của IPSec.

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
-

Tìm hiểu về VPN.
Cơ chế bảo mật trong VPN.
Lợi ích khi sử dụng VPN.
Các công cụ hỗ trợ.

4. Giới hạn và phạm vi nghiên cứu
- Áp dụng vào hệ thống mạng doanh nghiệp.
- Hướng dẫn cấu hình IPSec/VPN để bảo mật hệ thống mạng cho các cơ sở của
trường.
5. Mục đích nghiên cứu
- Tìm hiểu rõ về IPSec/VPN và những lợi thế của IPSec/VPN trong bảo mật
thông tin.

- Cấu hình VPN Remote Access ngoài thực tế cho phép truy cập từ xa từ máy
bên ngoài vào máy nội bộ.
- Phát triển ứng dụng ngoài thực tế và ứng dụng công nghệ mới .
- Triển khai một số mô hình mạng ứng dụng cho doanh nghiệp.
6. Nhiệm vụ nghiên cứu
- Tìm hiểu cách thức bảo mật của IPSec/VPN.
- Tìm hiểu các công cụ để phát triển.
7. Phương pháp nghiên cứu
- Tìm hiểu thông qua mạng Internet và qua các diễn đàn.
- Tìm hiểu các tài liệu liên quan.
- Tiếp nhận các thông tin từ nhiều nguồn khác nhau như: Báo, nhân sự, thực tế…
8. Ý nghĩa lý luận và thực tiễn của đề tài
- Giúp chúng em tìm hiểu các vấn đề về bảo mật và truyền tin an toàn qua mạng
Internet.
- Tìm hiểu cách thức bảo mật và đảm bảo toàn vẹn dữ liệu.
- Phát triển tư duy, nhận thức và năng lực.
- Giúp nhóm em hiểu rõ hơn cách thức bảo mật khi thông tin được truyền qua
mạng.
- Ứng dụng vào thực tiễn giúp bảo mật hệ thống mạng cho doanh nghiệp

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Chương I: Giới thiệu về VPN
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan
tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ chức có các địa điểm phân
tán về mặt địa lý, công ty đa quốc gia.
Giải pháp thông thường được áp dụng bởi đa số các công ty là thuê các
đường truyền riêng (Leased Lines) để duy trì một mạng WAN (Wide Area

Network). Các đường truyền này, được giới hạn từ ISDN (Integrated Services
Digital Network, 128 Kbps) đến đường cáp quang OC3 (Optical Carrier-3, 155
Mbps). Mỗi mạng WAN đều có các điểm thuận lợi trên một mạng công cộng như
Internet trong độ tin cậy, hiệu năng và tính an toàn, bảo mật.
Vấn đề bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền riêng,
có thể trở nên quá đắt và làm tăng giá khi công ty muốn mở rộng các văn phòng đại
diện. Khi tính phổ biến của Internet gia tăng, các công ty thương mại đầu tư vào nó
như một phương tiện quảng bá công ty của họ và đồng thời cũng mở rộng các mạng
mà họ sở hữu. Ban đầu, là các mạng nội bộ (Intranet), mà các site được bảo mật
bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty.
Hiện tại, có rất nhiều công ty đang tạo ra các mạng riêng ảo (VPN) để điều tiết và
quản lý các nhân viên hay các văn phòng đại diện từ xa.

Hình 1.1: Mô hình VPN
Mỗi VPN có thể có một mạng LAN chung tại tòa nhà trung tâm của một
công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên làm việc tại
nhà,... kết nối tới. Đây là một giải pháp tốt cho công ty để kết nối nhân viên và các
bạn hàng mà không phụ thuộc vào việc họ đang ở đâu.
1.1. Mạng riêng ảo (VPN) là gì ?

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Về căn bản, mỗi VPN (Virtual Private Network) là một mạng riêng lẻ sử
dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng
riêng lẻ) hay nhiều người sử dụng từ xa.
Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường Leased
Line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng
của các công ty tới các site hay các nhân viên từ xa.

1.2. Các loại VPN
1.2.1. Remote-Access
Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng
kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối
tới mạng riêng (Private network) từ các địa điểm từ xa.
Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu RemoteAccess diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise
Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS)
và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ.
Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được
theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty
của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm
nhân viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã
hoá giữa mạng riêng lẻ của công ty với các nhân viên từ xa qua một nhà cung cấp
dịch vụ thứ ba (third-party).
Như trong hình 1.2, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở
rộng của VPN bao gồm các thành phần chính như sau:
1.2.2. Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực
và cấp quyền cho các yêu cầu truy cập từ xa.
1.2.3. Kết nối Dial-up tới mạng trung tâm.
1.2.4. Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ
người dùng từ xa

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp

Hình 1.2: Truy cập từ xa khi chưa có VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để

kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa tương ứng
được mô tả như trong hình 1.3.

Hình 1.3: Truy cập từ xa khi chưa có VPN
1.2.5. Site-to-Site
Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng,
mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như
Internet.
Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau:
- Intranet:

81


Tìm hiểu IPSec/VPN và thiết kế một số mô hình mạng ứng dụng cho doanh nghiệp
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là
một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu
cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng
trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các
dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian
cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối
WAN truyền thống.
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của
một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet
không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ
chức qua các Router trung gian. Thiết lập này được mô tả như trong hình 1.4

Hình 1.4: Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một
Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và

quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí
của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng
lớn thì chi phí càng cao.
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế
bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực
thi toàn bộ Intranet. Một giải pháp Intranet VPN điển hình được mô tả như trong
hình 1.5.

81