-
GIÁO VIÊN: NGUYỄN HIẾU MINH
9/5/2012
1
1)
Một Số Khái Niệm Cơ Bản Về VPN
2)
Phân loại VPN
3)
PPTP VPN
4)
IPSEC VPN
5)
MPLS VPN
9/5/2012
2
Mục
đích: Đảm bảo trao đổi thông tin an
toàn giữa các mạng nội bộ cũng như
những máy tính riêng lẻ qua mạng công
cộng.
Mục đích chính: Cung cấp tính an toàn,
tính hiệu quả trong mạng trong khi vẫn
đảm bảo cân bằng giá thành cho toàn bộ
quá trình xây dựng mạng.
9/5/2012
3
Mã
hoá bảo mật dữ liệu (Encryption): Là
quá trình xử lý dữ liệu theo một thuật
toán mật mã nào đó và dữ liệu chỉ có thể
đọc được bởi người dùng hợp lệ.
Xác thực (Authentication): Là quá trình
xác thực sự hợp lệ của người dùng (hoặc
thiết bị).
Cấp quyền (Authorization): Là quá trình
xử lý cấp quyền truy cập hoặc ngăn cấm
vào tài nguyên trên mạng sau khi đã thực
hiện xác thực.
9/5/2012
4
VPNs
đầu tiên đã được đưa ra bởi AT&T từ
cuối những năm 80 và được biết như
Software Defined Networks (SDNs).
Thế hệ thứ hai của VPNs ra đời từ sự xuất
hiện của mạng dịch vụ tích hợp kỹ thuật số
(Integrated Services Digital Network - ISDN)
từ đầu những năm 90.
9/5/2012
5
Sau
khi thế hệ thứ hai của VPNs ra đời, thị
trường VPNs tạm thời lắng động và chậm
tiến triển, cho tới khi có sự nổi lên của hai
công
nghệ
Frame
Relay
(FR)
và
Asynchronous Tranfer Mode (ATM). Thế hệ
thứ ba của VPNs đã phát triển dựa theo 2
công nghệ này.
Hai công nghệ này phát triển dựa trên khái
niệm về Virtual Circuit Switching, theo đó,
các gói dữ liệu sẽ không chứa địa chỉ nguồn
và đích. Thay vào đó, chúng sẽ mang những
con trỏ, trỏ đến các virtual circuit nơi mà
dữ liệu nguồn và đích sẽ được truyền.
9/5/2012
6
Công
nghệ Virtual Circuit switching có tốc
độ truyền dữ liệu cao (160 Mbs hoặc cao
hơn) hơn so với thế hệ trước - X.25, ISDN.
Tuy nhiên việc đóng gói IP lưu thông bên
trong gói Frame Relay và ATM cells chậm.
Ngoài ra, mạng FR-based và ATM-based cũng
không cung cấp phương pháp xác nhận
packet-level end-to-end và mã hóa cho
những ứng dụng high-end chẳng hạn như
multimedia.
9/5/2012
7
IP
Security (IPSec): Ðược phát triển bởi
IETF, IPSec là một chuẩn mở đảm bảo quá
trình trao đổi dữ liệu được an toàn và
phương thức xác nhận người dùng qua
mạng công cộng.
Không giống với những kỹ thuật mã hoá
khác, IPSec thực hiện ở tầng thứ 3 trong
mô hình OSI. Vì thế, chúng có thể chạy độc
lập so với các ứng dụng chạy trên mạng.
9/5/2012
8
Point-to-point
Tunneling
Protocol
(PPTP): Phát triển bởi Microsoft, 3COM,
và Ascend Communications, PPTP là một
sự chọn lựa để thay thế cho IPSec. Tuy
nhiên IPSec vẫn còn được sử dụng nhiều
trong một số Tunneling Protocol.
PPTP thực hiện ở tầng thứ 2 (Data Link
Layer).
9/5/2012
9
Layer
2 Tunneling Protocol (L2TP): Ðược phát
triển bởi Cisco System. L2TP là sự kết hợp giữa
Layer 2 Forwarding (L2F) và PPTP và được dùng
để đóng gói các frame sử dụng giao thức Pointto-point để gửi qua các mạng như X.25, FR,
ATM.
9/5/2012
10
Giảm
thiểu chi phí triển khai.
Giảm
chi phí quản lý.
Cải
An
thiện kết nối.
toàn trong giao dịch.
Hiệu
Khả
quả về băng thông.
năng mở rộng.
9/5/2012
11
Phụ
thuộc môi trường Internet.
Thiếu
sự hỗ trợ cho một số giao
thức kế thừa.
9/5/2012
12
VPNs
nhằm hướng vào 3 yêu cầu cơ bản
sau:
Có thể truy cập từ xa bất cứ lúc nào, giữa các
nhân viên của một tổ chức tới các tài nguyên
mạng.
Nối kết thông tin liên lạc giữa các chi nhánh văn
phòng từ xa.
Truy nhập tài nguyên mạng khi cần của khách
hàng, nhà cung cấp và những đối tượng quan
trọng của công ty nhằm hợp tác kinh doanh.
9/5/2012
13
Remote
Access VPNs.
Intranet
VPNs.
Extranet
VPNs.
9/5/2012
14
Remote
Access VPNs: Cho phép truy cập bất
cứ lúc nào bằng thiết bị truyền thông của
nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức.
9/5/2012
15
Remote
Access Server (RAS): được đặt tại
trung tâm có nhiệm vụ xác nhận và chứng
nhận các yêu cầu gửi tới.
Quay
số kết nối đến trung tâm, điều này sẽ
làm tăng chi phí cho một số yêu cầu ở khá xa
so với trung tâm.
9/5/2012
16
9/5/2012
17
Bằng
việc triển khai Remote Access VPNs,
những người dùng từ xa hoặc các chi nhánh
văn phòng chỉ cần cài đặt một kết nối cục bộ
đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP
và kết nối đến tài nguyên thông qua Internet.
9/5/2012
18
9/5/2012
19
Sự cần thiết của RAS và việc kết hợp với modem
được loại trừ.
Sự cần thiết hỗ trợ cho người dùng cá nhân
được loại trừ bởi vì kết nối từ xa đã được tạo
điều kiện thuận lợi bởi ISP
Việc quay số từ những khoảng cách xa được loại
trừ, thay vào đó, những kết nối với khoảng cách
xa sẽ được thay thế bởi các kết nối cục bộ.
Giảm giá thành chi phí cho các kết nối với
khoảng cách xa.
9/5/2012
20
Do
đây là một kết nối mang tính cục bộ, do
vậy tốc độ nối kết sẽ cao hơn so với kết
nối trực tiếp đến những khoảng cách xa.
VPNs
cung cấp khả năng truy cập đến trung
tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy
cập ở mức độ tối thiểu nhất cho dù có sự
tăng nhanh chóng các kết nối đồng thời
đến mạng.
9/5/2012
21
Khó
bảo đảm được chất lượng phục vụ.
Khả năng mất dữ liệu là rất cao, thêm
nữa là các phân đoạn của gói dữ liệu có
thể bị thất thoát.
Do độ phức tạp của thuật toán mã hoá,
protocol overhead tăng đáng kể, điều này
gây khó khăn cho quá trình xác nhận.
Thêm vào đó, việc nén dữ liệu IP và PPPbased diễn ra chậm chạp.
Do phải truyền dữ liệu thông qua
Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim
ảnh, âm thanh sẽ rất chậm.
9/5/2012
22
9/5/2012
23
Intranet
VPNs được sử dụng để kết nối các
chi nhánh văn phòng của tổ chức đến
Corporate Intranet (backbone router) sử
dụng campus router.
Theo mô hình trên sẽ rất tốn chi phí do
phải sử dụng 2 router để thiết lập được
mạng, thêm vào đó, việc triển khai, bảo trì
và quản lý mạng Intranet Backbone sẽ rất
tốn kém còn tùy thuộc vào lượng lưu thông
trên mạng đi trên nó và phạm vi địa lý của
toàn bộ mạng Intranet.
9/5/2012
24
9/5/2012
25