-

GIÁO VIÊN: NGUYỄN HIẾU MINH

9/5/2012

1


1)

Một Số Khái Niệm Cơ Bản Về VPN

2)

Phân loại VPN

3)

PPTP VPN

4)

IPSEC VPN

5)

MPLS VPN

9/5/2012

2


 Mục

đích: Đảm bảo trao đổi thông tin an
toàn giữa các mạng nội bộ cũng như
những máy tính riêng lẻ qua mạng công
cộng.



Mục đích chính: Cung cấp tính an toàn,
tính hiệu quả trong mạng trong khi vẫn
đảm bảo cân bằng giá thành cho toàn bộ
quá trình xây dựng mạng.

9/5/2012

3


 Mã

hoá bảo mật dữ liệu (Encryption): Là
quá trình xử lý dữ liệu theo một thuật
toán mật mã nào đó và dữ liệu chỉ có thể
đọc được bởi người dùng hợp lệ.
 Xác thực (Authentication): Là quá trình
xác thực sự hợp lệ của người dùng (hoặc

thiết bị).
 Cấp quyền (Authorization): Là quá trình
xử lý cấp quyền truy cập hoặc ngăn cấm
vào tài nguyên trên mạng sau khi đã thực
hiện xác thực.
9/5/2012

4


 VPNs

đầu tiên đã được đưa ra bởi AT&T từ
cuối những năm 80 và được biết như
Software Defined Networks (SDNs).
 Thế hệ thứ hai của VPNs ra đời từ sự xuất
hiện của mạng dịch vụ tích hợp kỹ thuật số
(Integrated Services Digital Network - ISDN)
từ đầu những năm 90.

9/5/2012

5


 Sau

khi thế hệ thứ hai của VPNs ra đời, thị
trường VPNs tạm thời lắng động và chậm
tiến triển, cho tới khi có sự nổi lên của hai

công
nghệ
Frame
Relay
(FR)
và
Asynchronous Tranfer Mode (ATM). Thế hệ
thứ ba của VPNs đã phát triển dựa theo 2
công nghệ này.
 Hai công nghệ này phát triển dựa trên khái
niệm về Virtual Circuit Switching, theo đó,
các gói dữ liệu sẽ không chứa địa chỉ nguồn
và đích. Thay vào đó, chúng sẽ mang những
con trỏ, trỏ đến các virtual circuit nơi mà
dữ liệu nguồn và đích sẽ được truyền.

9/5/2012

6


 Công

nghệ Virtual Circuit switching có tốc
độ truyền dữ liệu cao (160 Mbs hoặc cao
hơn) hơn so với thế hệ trước - X.25, ISDN.
 Tuy nhiên việc đóng gói IP lưu thông bên
trong gói Frame Relay và ATM cells chậm.
 Ngoài ra, mạng FR-based và ATM-based cũng
không cung cấp phương pháp xác nhận

packet-level end-to-end và mã hóa cho
những ứng dụng high-end chẳng hạn như
multimedia.

9/5/2012

7


 IP

Security (IPSec): Ðược phát triển bởi
IETF, IPSec là một chuẩn mở đảm bảo quá
trình trao đổi dữ liệu được an toàn và
phương thức xác nhận người dùng qua
mạng công cộng.
 Không giống với những kỹ thuật mã hoá
khác, IPSec thực hiện ở tầng thứ 3 trong
mô hình OSI. Vì thế, chúng có thể chạy độc
lập so với các ứng dụng chạy trên mạng.

9/5/2012

8


 Point-to-point

Tunneling
Protocol

(PPTP): Phát triển bởi Microsoft, 3COM,
và Ascend Communications, PPTP là một
sự chọn lựa để thay thế cho IPSec. Tuy
nhiên IPSec vẫn còn được sử dụng nhiều
trong một số Tunneling Protocol.
 PPTP thực hiện ở tầng thứ 2 (Data Link
Layer).

9/5/2012

9


 Layer

2 Tunneling Protocol (L2TP): Ðược phát

triển bởi Cisco System. L2TP là sự kết hợp giữa
Layer 2 Forwarding (L2F) và PPTP và được dùng
để đóng gói các frame sử dụng giao thức Pointto-point để gửi qua các mạng như X.25, FR,
ATM.

9/5/2012

10


 Giảm

thiểu chi phí triển khai.


 Giảm

chi phí quản lý.

 Cải
 An

thiện kết nối.

toàn trong giao dịch.

 Hiệu
 Khả

quả về băng thông.

năng mở rộng.

9/5/2012

11


 Phụ

thuộc môi trường Internet.

 Thiếu


sự hỗ trợ cho một số giao

thức kế thừa.

9/5/2012

12


 VPNs

nhằm hướng vào 3 yêu cầu cơ bản

sau:


Có thể truy cập từ xa bất cứ lúc nào, giữa các
nhân viên của một tổ chức tới các tài nguyên
mạng.



Nối kết thông tin liên lạc giữa các chi nhánh văn
phòng từ xa.



Truy nhập tài nguyên mạng khi cần của khách
hàng, nhà cung cấp và những đối tượng quan
trọng của công ty nhằm hợp tác kinh doanh.


9/5/2012

13


 Remote

Access VPNs.

 Intranet

VPNs.

 Extranet

VPNs.

9/5/2012

14


 Remote

Access VPNs: Cho phép truy cập bất

cứ lúc nào bằng thiết bị truyền thông của

nhân viên các chi nhánh kết nối đến tài

nguyên mạng của tổ chức.

9/5/2012

15


 Remote

Access Server (RAS): được đặt tại

trung tâm có nhiệm vụ xác nhận và chứng
nhận các yêu cầu gửi tới.
 Quay

số kết nối đến trung tâm, điều này sẽ

làm tăng chi phí cho một số yêu cầu ở khá xa
so với trung tâm.

9/5/2012

16


9/5/2012

17



 Bằng

việc triển khai Remote Access VPNs,

những người dùng từ xa hoặc các chi nhánh
văn phòng chỉ cần cài đặt một kết nối cục bộ
đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP
và kết nối đến tài nguyên thông qua Internet.

9/5/2012

18


9/5/2012

19


Sự cần thiết của RAS và việc kết hợp với modem
được loại trừ.
 Sự cần thiết hỗ trợ cho người dùng cá nhân
được loại trừ bởi vì kết nối từ xa đã được tạo
điều kiện thuận lợi bởi ISP
 Việc quay số từ những khoảng cách xa được loại
trừ, thay vào đó, những kết nối với khoảng cách
xa sẽ được thay thế bởi các kết nối cục bộ.
Giảm giá thành chi phí cho các kết nối với
khoảng cách xa.



9/5/2012

20


 Do

đây là một kết nối mang tính cục bộ, do

vậy tốc độ nối kết sẽ cao hơn so với kết
nối trực tiếp đến những khoảng cách xa.
 VPNs

cung cấp khả năng truy cập đến trung

tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy
cập ở mức độ tối thiểu nhất cho dù có sự
tăng nhanh chóng các kết nối đồng thời
đến mạng.

9/5/2012

21


 Khó

bảo đảm được chất lượng phục vụ.
 Khả năng mất dữ liệu là rất cao, thêm

nữa là các phân đoạn của gói dữ liệu có
thể bị thất thoát.
 Do độ phức tạp của thuật toán mã hoá,
protocol overhead tăng đáng kể, điều này
gây khó khăn cho quá trình xác nhận.
Thêm vào đó, việc nén dữ liệu IP và PPPbased diễn ra chậm chạp.
 Do phải truyền dữ liệu thông qua
Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim
ảnh, âm thanh sẽ rất chậm.
9/5/2012

22


9/5/2012

23


 Intranet

VPNs được sử dụng để kết nối các
chi nhánh văn phòng của tổ chức đến
Corporate Intranet (backbone router) sử
dụng campus router.
 Theo mô hình trên sẽ rất tốn chi phí do
phải sử dụng 2 router để thiết lập được
mạng, thêm vào đó, việc triển khai, bảo trì
và quản lý mạng Intranet Backbone sẽ rất

tốn kém còn tùy thuộc vào lượng lưu thông
trên mạng đi trên nó và phạm vi địa lý của
toàn bộ mạng Intranet.
9/5/2012

24


9/5/2012

25