Tải bản đầy đủ (.docx) (71 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Cài đặt và đánh giá VPN và DMVPN trên hệ thống router cisco mô phỏng bằng GNS3

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.27 MB, 71 trang )

LỜI CẢM ƠN
Để hoàn thành đồ án tốt nghiệp này, lời đầu tiên em xin gửi lời cảm ơn chân
thành tới các thầy cô giáo trong trường Đại học Công nghệ thông tin và Truyền
thông Thái Nguyên nói chung và các thầy cô giáo trong khoa Công nghệ thông tin,
bộ môn Mạng và Truyền Thông nói riêng, những người đã dạy dỗ trang bị cho em
những kiến thức bổ ích trong năm năm học vừa qua.
Đặc biệt em xin gửi lời cảm ơn sâu sắc đến thầy giáo Th.S Vũ Huy Lượng,
thầy đã tận tình hướng dẫn, trực tiếp chỉ bảo và giúp đỡ em trong suốt quá trình làm
đồ án tốt nghiệp.
Sau cùng em xin gửi lời cảm ơn chân thành tới gia đình, bạn bè đã động viên,
cổ vũ và đóng góp ý kiến trong quá trình học tập và nghiên cứu hoàn thành đồ án tốt
nghiệp.
Em xin chân thành cảm ơn!
Thái Nguyên, ngày 08 tháng 06 năm 2012
Sinh Viên
Tuấn
Phùng Trung Tuấn

1


LỜI CAM ĐOAN
Em xin cam đoan bản đồ án này do em tự tính toán, thiết kế và nghiên cứu
dưới sự hướng dẫn của thầy giáo Th.S Vũ Huy Lượng.
Để hoàn thành đồ án này, em đã sử dụng những tài liệu ghi trong mục tài liệu
tham khảo, ngoài ra không sử dụng bất cứ tài liệu nào khác.
Nếu sai, em xin chịu mọi hình thức kỷ luật theo quy định của nhà trường.
Sinh viên thực hiện
Tuấn
Phùng Trung Tuấn


2


MỤC LỤC

3


DANH MỤC HÌNH VẼ
Hình 1.1: Mô hình DMVPN cơ bản
Hình 1.2: Mô hình VPN cơ bản
Hình 1.3: Giao diện GNS3
Hình 1.4: Thiết lập Qemu Host
Hình 1.5: Thiết lập IOS image file
Hình 1.6: Mô hình mạng VPN truy cập từ xa
Hình 1.7: Thiết lập Remote Access VPN
Hình 1.8: Mô hình Site-to-Site
Hình 1.9: Mô hình mạng Extranet
Hình 1.10: Mô hình DMVPN
Hình 1.11: Mô hình Hub to Spoke VPN
Hình 1.12: Mô hình Hub to Spoke DMVPN
Hình 1.13: Mô hình triển khai DMVPN
Hình 1.14: Một số loại BGP
Hình 2.1: Mô hình mạng sử dụng L2F
Hình 2.2: Mô hình PPTP cơ bản
Hình 2.3: Mô hình L2TP
Hình 2.4: Quá trình truyền gói tin trong L2TP
Hình 2.5: Ví dụ về GRE
Hình 2.6: Cấu trúc gói tin của GRE
Hình 2.7: Cấu trúc gói tin GRE trong Tunnel mode và Transport mode


4


Hình 2.8: Mô hình IPSec
Hình 2.9: Mô hình VPN site-to-site
Hình 2.10: Mô hình Phase 1 và 2
Hình 2.11: Trước và sau Phase 3 DMVPN
Hình 2.12: Mô hình DMVPN site-to-site
Hình 3.1: Kết quả demo DMVPN site-to-site đạt được
Hình 3.2: Kết quả demo VPN site-to-site đạt được
Hình 3.3: Một chi nhánh mới tham gia vào mạng
Hình 3.4: Tạo Tunnel trên VPN
Hình 3.5: Tạo Tunnel trên DMVPN
Bảng 1: So sánh các giao thức định tuyến trong DMVPN

5


MỞ ĐẦU
Ngày nay, mạng Internet ngày càng mở rộng ở khắp nơi trên thế giới, chỉ cần
máy tính kết nối Internet thì việc sử dụng nguồn tài nguyên này là vô cùng phong
phú. Kéo theo vấn đề trao đổi thông tin liên lạc cực kỳ quan trọng đặc biệt với
những tổ chức, doanh nghiệp có trụ sở và chi nhánh ở nhiều nơi khác nhau vẫn
muốn truy cập tài nguyên của mình như trong mạng nội bộ. Ở Việt Nam, cũng
không nằm ngoài xu hướng phát triển đó. Và giải pháp đặt ra lúc này là phải đáp
ứng nhu cầu trao đổi thông tin mặt khác vấn đề bảo mật cũng được đặt lên hàng đầu.
Một số phương pháp có thể sử dụng để giải quyết vấn đề này là sử dụng các công
nghệ ATM hoặc Frame Relay từ nhà cung cấp dịch vụ, tuy nhiên vấn đề bảo mật
không cao và chi phí đắt. Một giải pháp truyền thống là thuê những đường truyền

Lease-line, vừa bảo mật và có băng thông rộng. Nhưng không khả thi khi phải kết
nối những nơi có khoảng cách xa và vấn đề tài chính cũng là một khó khăn. Vì vậy
một câu hỏi đặt ra là hướng giải quyết tối ưu cho vấn đề này là như thế nào?
Hiện nay, giải pháp mà các tổ chức sử dụng rộng rãi là mạng riêng ảo (VPN)
hoặc đa điểm động trọng mạng riêng ảo (DMVPN), hai công nghệ mạng này có tính
bảo mật khá cao, đường truyền nhanh và giá thành cũng không phải là quá đắt. Tuy
vậy chúng vẫn có nhiều điểm khác nhau. Trong đồ án tốt nghiệp này, em xin nghiên
cứu Cài đặt và đánh giá VPN và DMVPN trên hệ thống Router Cisco mô phỏng
bằng GNS3. Nghiên cứu vấn đề này có ý nghĩa quan trọng đối với những sinh viên
đam mê quản trị mạng, họ có thể triển khai thành công mạng riêng ảo và đa điểm
động trong mạng riêng ảo trong hệ thống mạng của doanh nghiệp. Đây sẽ là một
hành trang thiết thực sau khi ra trường.
Nội dung thực hiện và bố cục đồ án được trình bày trong ba chương:
Chương 1 trình bày cơ sở lý thuyết về hai công nghệ mạng VPN và DMVPN:
khái niệm, phân loại, mô hình hoạt động, bộ mô phỏng GNS3.

6


Chương 2 phân tích cách triển khai, cài đặt VPN site-to-site và DMVPN siteto-site, các giao thức chính trong hệ thống của hai mô hình mạng.
Chương 3 trình bày về đánh giá VPN và DMVPN: các tiêu chí đánh giá mạng
riêng ảo nói chung và so sánh với các giao thức khác.
Tiếp theo là phần kết luận, cuối cùng là tài liệu tham khảo.

7


CHƯƠNG 1
CƠ SỞ LÝ THUYẾT
1.1. Tổng quan về đề tài

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN- Virtual
Private Network), bắt nguồn từ yêu cầu của khách hàng (client) mong muốn có thể
kết nối một cách hiệu quả với các tổng đài thuê bao (PBX- Private Branch
Exchange) lại với nhau thông qua mạng diện rộng (WAN). Hay có thể hiểu VPN là
một khái niệm chung mô tả việc thiết lập một kênh nói chuyện riêng ảo dựa trên một
hạ tầng mạng chung – Wan. VPN được sử dụng khá phổ biến tại các cơ quan doanh
nghiệp có nhiều chi nhánh, tuy nhiên với những nhược điểm của mình như chi phí
khá cao, tốn công sức cho người quan trị mạng công ty … mà Cisco đã đưa ra một
giải pháp mới là DMVPN – Dynamic Multipoint VPN, đây cũng được coi là một
ứng dụng trong mạng VPN. Dynamic – động, kết nối này hoàn toàn tự động,
Multipoint – đa điểm, có nhiều chi nhánh có thể tham gia vào quá trình truyền
thông, nó gần giống với VPN dạng site – to –site, sự kết nối giữa chi nhánh (branch)
và trung tâm (central). Việc phân tích, đánh giá giữa VPN và giải pháp mới DMVPN
sẽ được trình bày cụ thể ở dưới đây.
1.2. Mục đích đề tài
DMVPN ngày càng được ứng dụng rộng rãi trong các công ty, tổ chức vì tính
hiệu quả, chi phí thấp và bảo mật cao. Tuy không thay thế hoàn toàn mạng riêng ảo
VPN nhưng độ mở rộng của nó là rất cao, DMVPN được sử dụng cho hệ thống
mạng của công ty khá lớn, thông thường là ngân hàng hoặc các công ty bảo hiểm, tài
chính. Trong các cơ quan này, DataCenter được triển khai DMVPN thông qua
mGRE tunnel (một công nghệ tạo kênh truyền ảo) thực hiện kết nối giữa trung tâm
đến chi nhánh hoặc các chi nhánh trong công ty với nhau. Việc kết nối như vậy có
tính hiệu quả cao mặc dù chi phí bỏ ra không phải là nhiều. Do các chi nhánh có thể
sử dụng địa chỉ IP động do nhà cung cấp dịch vụ ISP cấp phát, tiết kiệm đi phần nào
8


chi phí cho công ty hàng tháng. Ngoài ra độ bảo mật của DMVPN cũng rất cao, vì
được sử dụng IPSec. Cụ thể sẽ được trình bày trong chương hai. Với những ý nghĩa
thiết thực như vậy việc chọn lựa giữa mạng được mọi người sử dụng phổ biến –

VPN và công nghệ mới – DMVPN rất quan trọng, cần những đánh giá cụ thể để
việc lựa chọn chính xác hơn, và dưới đây là mô hình cơ bản về DMVPN và VPN.
Các đường nét liền biễu diễn kết nối Serial giữa các Router trong mạng, đường nét
đứt tương ứng với những đường hầm do công nghệ GRE triển khai trong công ty.

Hình 1.1: Mô hình DMVPN cơ bản

Hình 1.2: Mô hình VPN cơ bản

9


Một số mục đích dự kiến đạt được trong đề tài:
-

Nắm bắt thành công về mạng riêng ảo
Nắm bắt thành công lý thuyết DMVPN
Cài đặt VPN và DMVPN site-to-site trên thiết bị Router của Cisco
Cài đặt các phương pháp bảo mật cho DMVPN site-to-site
Phân tích, đánh giá VPN và DMVPN.

1.3. Phương pháp nghiên cứu và ý nghĩa của đề tài
Phương pháp nghiên cứu sử dụng để thực hiện đề tài chủ yếu dựa vào nguồn
thông tin và tư liệu. Việc phân tích tài liệu dựa trên những kiến thức đã có để đánh
giá, tổng hợp lấy ra những thông tin phù hợp nhất. Bên cạnh đó phương pháp thống
kê, so sánh các thông tin cũng rất quan trọng, nó chỉ ra những điểm mạnh điểm yếu
và đem lại một cái nhìn tổng quan hơn về các vấn đề cụ thể. Trong đề tài, phương
pháp nghiên cứu xây dựng mô phỏng là dựa trên mô hình tổ chức, thiết kế mạng của
một công ty, tổ chức thường sử dụng và những hiểu biết về một số câu lệnh sử dụng
trong Router của Cisco.

Ý nghĩa của đề tài: Triển khai VPN và DMVPN trong các doanh nghiệp lớn
là rất quan trọng, làm thế nào để việc triển khai đó thành công như mong đợi? Câu
hỏi này sẽ dễ có lời giải đáp nếu sự phân tích, đánh giá giữa VPN và DMVPN là
chính xác. Điều này không chi tiết kiệm chi phí cho doanh nghiệp, xã hội mà còn
giúp các quản trị mạng dễ dàng hơn khi cấu hình và quản trị các Server trong công
ty.
1.4. Lý thuyết về GNS3
GNS3 – Graphical Network Simulator là một bộ mô phỏng đồ họa mạng cho
phép mô phỏng các mạng phức tạp. Để cung cấp các mô phỏng đầy đủ và chính xác,
GNS3 được liên kết chặt chẽ với:
-Dynamips, giả lập Cisco IOS
-Dynagen, một văn bản dựa trên Dynamips
-Qemu, mã nguồn mở và tổng quát giả lập máy tính
-Virtual Box, một phần mềm ảo hóa miễn phí và mạnh mẽ.

10


Dynamips: Dynamips là một trình mô phỏng router Cisco được viết bởi
Christophe Fillot. Nó mô phỏng các dòng 1700, 2600, 3600 và 7200, sử dụng các
IOS image chuẩn. Dĩ nhiên, phần mềm mô phỏng này không thể thay thế các router
thật, nó chỉ đơn giản là một công cụ bổ sung cho các bài lab thực tế.
Dynagen là một giao tiếp dựa trên nền văn bản (text-base) dành cho
Dynamips, cung cấp một bộ OOP API riêng được sử dụng bởi GNS3 để tương tác
với Dynamips. GNS3 cũng sử dụng tập tin cấu hình tương tự INI của Dynagen và có
tích hợp trình quản lý CLI của Dynagen cho phép người dùng liệt kê các thiết bị,
tạm ngưng và nạp lại các thể hiện (của các thiết bị - ND), xác định và quản lý các
giá trị idle-pc, bắt gói tin … (Bùi quốc hoàn – GNS3 Documentation 2007).
GNS3 được đánh giá là một công cụ bổ sung rất hiệu quả cho các kỹ sư mạng
thực hành, quản trị viên và những ai muốn học các chứng chỉ của Cisco, Juniper.

Ngoài ra nó cũng có thể được sử dụng để thử nghiệm các tính năng của Cisco IOS,
hệ điều hành JunOS của Juniper, kiểm tra cấu hình cần phải được triển khai trên bộ
định tuyến. Với việc tích hợp cả VirtualBox, thậm chí cả các kỹ sư hệ thống và
người quản trị có thể tận dụng lợi thế của GNS3 để làm trong phòng thí nghiệm và
nghiên cứu cho Redhat (RHCE, RHCT), Microsoft (MCSA, MCITP) và các nhà
cung cấp xác thực khác. Có thể thấy xây dựng mô phỏng trên GNS3 rất hiệu quả, sát
với thực tế. Nó chạy các thiết bị giả lập hệ điều hành thật của Cisco, vì vậy rất phù
hợp với việc xây dựng mô phỏng DMVPN.
Phiên bản mới nhất của GNS3 là 0.8.2 Beta, nhưng ở đây sẽ giới thiệu bản
GNS3 0.7.4 được sử dụng khá phổ biến hiện nay (GNS3.net, 2012).

11


Hình 1.3: Giao diện GNS3
Một số Platforms hỗ trợ bao gồm: Router 1700, 2600, 2691, 3600, 3700,
7200. Muốn sử dụng được Router nào phải cấu hình file IOS image cho router
(c7200-adventerprisek9-mz.124-24.T5.bin), trong đề tài này sẽ sử dụng Router 7200
để cấu hình các Hub và Spoke. Tiếp theo là cài đặt để được sử dụng các máy tính
trong GNS3, Qemu Host có thể dùng là CLI (Microcore) hoặc GUI (Tinycore). Cài
đặt Qemu Host trong GNS3 , chọn Edit->Preferences -> Qemu -> Qemu Host, điền
thông số như hình 1.4, với điều kiện đã có hai file qemuwrapper.exe và linuxmicrocore-2.11.5.img tại nơi cài đặt GNS3 trên máy tính.

12


Hình 1.4: Thiết lập Qemu Host
Tương tự cấu hình file IOS để được sử dụng Router C7200 phục vụ quá trình
làm demo, tại giao diện chính của GNS3 chọn Edit->IOS images and hypervisor và
chọn nơi lưu file IOS của Router C7200 trong máy tính, Save để lưu lại cấu hình

cho C7200. Tương tự với những IOS image khác nếu có nhu cầu sử dụng.

13


Hình 1.5: Thiết lập IOS image file
1.5. Tổng quan về mạng riêng ảo
1.5.1. Lịch sử hình thành và phát triển
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN- Virtual
Private Network), bắt nguồn từ yêu cầu của khách hàng (client) mong muốn có thể
kết nối một cách hiệu quả với các tổng đài thuê bao (PBX- Private Branch
Exchange) lại với nhau thông qua mạng diện rộng (WAN). Trước kia, hệ thống điện
thoại nhóm hoặc là mạng cục bộ (LAN) sử dụng các đường thuê bao riêng cho việc
tổ chức mạng chuyên dùng để thực hiện việc truyên thông với nhau.
Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây
chuyên dụng cho các khách hàng lớn. Colisee có thể cung cấp phương thức gọi số
chuyên dùng cho khách hàng, căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều
tính năng quản lý khác. Mạng dây chuyên dụng là hình thức đầu tiên của mạng
VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cung cấp dịch vụ chuyển

14


mạch âm thanh và quản lý mạng lưới hộ khách. Nhưng phạm vi hoạt động của VPN
lấy tổng đài làm cơ sở để thực hiện điều này rất hẹp, chủng loại tính năng nghiệp vụ
cung cấp không nhiều, có thể tiếp nhận PBX mà không thể tiếp nhập bộ dùng chỉ có
một đôi dây nên không thực sự linh hoạt. Năm 1985, hai công ty viễn thông lớn tại
Mỹ là AT&T và Sprint lần lượt đưa ra dịch vụ mạng chuyên dùng ảo có tên là SDN
(Software Defined Netwwork – mạng được định bởi phần mềm), VPN. SDN là
mạng WAN với khoảng cách xa, nó được thiết lập dành riêng cho người dùng. SDN

dựa vào cơ sở dữ liệu truy nhập để phân loại truy cập vào mạng ở gần hoặc từ xa.
Dựa vào thông tin, gói dữ liệu sẽ được định tuyến đến đích thông qua cơ sở hạ tầng
mạng chuyển mạch công cộng (PSTN). Những dịch vụ này được coi là một phương
tiện tương đối rẻ dùng để thay thế cho dây chuyên dụng của Colisee. Năm 1988, nổ
ra những tranh chấp dịch vụ VPN ở Mỹ, lúc này một số xí nghiệp vừa và nhỏ chịu
được cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, điều này đã kích
thích sự phát triển nhanh chóng dịch vụ VPN tại Mỹ lúc bấy giờ. Năm 1997 có thể
coi là một năm phát triển mạnh đối với công nghệ VPN, công ngệ này đã có mặt trên
khắp các tạp trí khoa học công nghệ, các cuộc hội thảo… Các mạng VPN xây dựng
trên cơ sở hạ tầng internet công cộng đã mang lại một khả năng mới, một cái nhìn
mới cho VPN. Công nghệ VPN là giải pháp tối ưu cho các công ty, tổ chức có nhiều
văn phòng, chi nhánh lựa chọn. Một số liên minh và công ty đa quốc gia cần có
mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máy thương mại trên
toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời về mặt quản lý và
bảo dưỡng. Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn một cách có hiệu
quả nhu cầu của số hộ khác này, những tổ chức này ồ ạt chuyển từ các mạng chuyên
dùng đã được thiết lập sang sử dụng VPN. Ngoài ra một số hộ khách thương mại lớn
còn liên kết lại với nhau hình thành kiệp hội hộ dùng VPN như EVUA hiệp hội
dùng VPN châu Âu. Ngày nay với sự phát triển của công nghệ, VPN không chỉ dùng
cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa
phương tiện làm cho khả năng của VPN ngày một hoàn thiện.

15


1.5.2. Khái niệm mạng riêng ảo VPN
Có nhiều khái niệm khác nhau về mạng riêng ảo VPN (Virtual Private
Network) tùy theo hình thức tổ chức mạng và thiết bị của nhà cung cấp. Hiểu đơn
giản nhất VPN được hiểu như là sự mở rộng của một mạng riêng (private network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng

một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ)
hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên
dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua
Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có
thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và
bảo mật. VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một
đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối pointto-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải
được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin
về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một các
nhanh chóng. Dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại
trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa
để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN.
Các đường kết nối VPN thường được gọi là đường ống VPN(VPN Tunnel).
Công nghệ VPN nhằm hướng vào ba yêu cầu cơ bản sau đây: Có thể truy
nhập tới tài nguyên của tổ chức bất cứ lúc nào, kết nối thông tin liên lạc giữa các chi
nhánh văn phòng với nhau và kiểm soát truy cập của khách hàng, nhà cung cấp và
các thực thể bên ngoài tới những tài nguyên của tổ chức.
Dựa trên những nhu cầu cơ bản trên, ngày nay VPN đã phát triển và phân
chia ra làm ba mô hình chính:
• Remote Access VPN
• Intranet VPN
• Extranet VPN
a) Remote Access VPN

16


Remote Access VPN- Truy cập từ xa VPN cho phép truy cập bất cứ lúc nào
bằng Remote, mobile và các thiết bị truyền thông của nhân viên các chi nhánh kết
nối đến tài nguyên mạng của tổ chức. Đặc biết là những người dùng thường xuyên

di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến
mạng Intranet hợp tác. Một số thành phần chính của Remote Access VPN:
Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận
và chứng nhận các yêu cầu gửi tới. Quay số kết nối trung tâm, điều này sẽ làm giảm
chi phí cho một số yêu cầu ở khá xa so với trung tâm. Hỗ trợ cho những người có
nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.

Hình 1.6: Mô hình mạng VPN truy cập từ xa
Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các
chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ
ISP và kết nối đến tài nguyên thông qua Internet. (Triển khai hệ thống IPSec trên
Window server 2003, Nguyễn Trần Tường Vinh, 2010).

17


Hình 1.7: Thiết lập Remote Access VPN
Ưu điểm của Remote Access VPN:
• Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
• Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó là những
kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
• Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
• VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch
vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết
nối đồng thời đến mạng.
• Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa
đã được tạo điều kiện thuận lợi bởi ISP.
Nhược diểm:
• Remote Access VPN cũng không bảo đảm được chất lượng phục vụ.
• Khả năng mất dữ liệu cao, thêm nữa là các phân đoạn của gói dữ liệu có thể

đi ra ngoài và bị thất thoát.
• Do độ phức tạp của thuật toán mã hóa nên gây khó khăn cho quá trình xác
nhận. Thêm nữa là việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm
chạp.
• Do phải truyền dữ liệu thông qua Internet nên khai trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
Site-to-Site: Sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng,
mỗi công ty có thể tạo ra kết nối với rất nhiều các site qua một mạng công cộng như

18


Internet.

Hình 1.8: Mô hình Site-to-Site
Site-to-Site có thể thuộc một trong hai dạng sau:
b) Intranet VPN
Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm ở xa, mỗi địa
điểm đều đã có một mạng cục bộ LAN. Khi đó họ có thể xây dựng một mạng riêng
ảo để kết nối các mạng cục bộ vào một mạng riêng thống nhất. Mạng VPN cục bộ
cung cấp một kênh ảo giữa các chi nhánh, văn phòng của một công ty dựa trên việc
sử dụng mạng công cộng Internet. Hạ tầng mạng WAN sẽ sử dụng các phương pháp
bảo mật như IPSEC (Internet Protocol Security) hoặc SSL/TSL (Transport Layer
Security) để tạo một đường hầm giữa hai chi nhánh. Mô hình này còn được biết đến
như một mô hình VPN điểm-nối-điểm.
Những thuận lợi chính của Intranet VPN:
• Giảm thiểu chi phí cho các thiết bị đầu cuối sử dụng trong mạng WAN.
• Dễ dàng cung cấp những kết nối ngang hàng, kết nối nhanh hơn và tốt hơn do
về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách
xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet.

• Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch
vụ, loại bỏ vấn đề thực hiện kết nối các mạng nội bộ.
Những nhược điểm chính:
• Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao.

19


• Trong một số trường hợp nhất là khi dữ liệu là những tập tin multimedia, việc
trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.
• Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục và QoS cũng
không được đảm bảo.
c) Extranet VPN
Không giống như Intranet và Remote Access-based, Extranet không hoàn
toàn cách li từ bên ngoài, Extranet cho phép truy cập những tài nguyên mạng cần
thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác
những người giữ vai trò quan trọng trong tổ chức. Khi một công ty có mối quan hệ
mật thiết với một công ty khác, họ có thể xây dựng một mạng VPN Extranet ( VPN
mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên
một môi trường chung. Các VPN mở rộng cung cấp một đường hầm bảo mật giữa
các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng.
Sự khác nhau giữa một VPN cục bộ (Intrarnet VPN) và VPN mở rộng đó là sự truy
cập mạng được công nhận ở một trong hai đầu cuối của mạng riêng ảo.

Hình 1.9: Mô hình mạng Extranet
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết
hợp lại với nhau để tạo ra một Extranet. Điều này làm cho khó triển khai và quản lý
do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và
quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng điều này sẽ làm rối toàn bộ
mạng Intranet và ảnh hưởng đến các kết nối bên ngoài mạng. Triển khai và thiết kế

một mạng Extranet có thể rất khó khăn với nhà thiết kế mạng.

20


Một số ưu điểm của Extranet:
• Do hoạt động trên môi trường Internet, có thể lựa chọn nhà phân phối khi lựa
chọn và đưa ra phương pháo giải quyết tùy theo nhu cầu của tổ chức.
• Giảm chi phí bảo trì.
• Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
Nhược điểm của Extranet:
• Dựa trên Internet nên QoS cũng không được đảm bảo thường xuyên.
• Vẫn bị đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn tồn
tại.
1.5.3. Các yếu tố thúc đẩy sự phát triển của VPN
VPN có thể được phát triển trên môi trường khác nhau: X.25, Frame Relay,
ATM, Internet. Tuy nhiên trên các môi trường khác nhau thì sự phát triển của VPN
có các đặc điểm khác nhau về mặt kỹ thuật cũng như về mặt đáp ứng yêu cầu của
khách hàng. Sự phát triển của dịch vụ tạo mạng riêng ảo trên Internet (IP VPN) là
một xu thế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng. Có
bốn lý do dẫn đến quá trình hội tụ này ở Việt Nam cũng như trên thế giới:
 Sự phát triển về khoa học công nghệ và các công ty dẫn đến sự gia tăng về số
lượng nhân viên hoạt động phân tán điều này gây khó khăn trong việc quản lý
của mạng dùng riêng. Nhu cầu liên lạc và làm việc trong khi đi công tác hay
xu hướng làm việc tại nhà, xu hướng hội nhập và mở rộng của các công ty
diễn ra mạnh mẽ làm cho các hệ thống mạng dùng riêng không đáp ứng được
nhanh chóng. VPN chính là một giải pháp trong trường hợp này.
 Nhu cầu sử dụng tác nghiệp trực tuyến. Sự phát triển của nền kinh tế dẫn đến
xu hướng làm việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như đối
với nhiều đối tượng khách hàng khác nhau. Mỗi nhà cung cấp dịch vụ sản

phẩm, khách hàng sử dụng cấu trúc mạng khác nhau (thủ tục, ứng dụng, nhà
cung cấp dịch vụ, hệ thống quản trị mạng lưới …). Điều này là một thách
thức lớn đối với một mạng dùng riêng trong việc kết nối với tất cả các mạng
này.
 Chi phí cho việc cài đặt và duy trì một mạng diện rộng là khá lớn. Điều này
đặc biệt ảnh hưởng tới các doanh nghiệp có phạm vi hoạt động vượt ra khỏi
biên giới quốc gia.
21


 Nhu cầu tích hợp và đơn giản hóa giao diện cho người dùng.
1.6. Đa điểm động trong mạng riêng ảo
1.6.1. Định nghĩa đa điểm động trong mạng riêng ảo
a) Đặt vấn đề
Như đã biết VPN cho phép thông qua mạng Internet để thiết lập một mạng
LAN ảo, khi đó cá nhân (host) được xem như là một host trong mạng LAN. Dữ liệu
được truyền tải thông qua Internet sẽ được đóng gói và mã hóa. Có nhiều giao thức
để mã hóa dữ liệu này như đã phân tích trong phần 1.1, trong đó phổ biến nhất là
IPSec. Phần này sẽ giới thiệu một kỹ thuật mới có liên quan đến VPN đó là
Dynamic Multipoint VPN. Một số vấn đề trên thực tế như khi một công ty muốn kết
nối các site chi nhánh với nhau, trong khi đồng thời kết nối thông qua một site hub,
điều này sẽ hữu ích khi hai spoke trong cùng một thành phố. Hub ở đây là trung tâm
(central) tức là hệ thống mạng ở trung tâm của công ty. Còn Spoke là chi nhánh, văn
phòng. Với giải pháp IPSec Dynamic VPN các site spoke có thể tự động thiết lập kết
nối an toàn giữa chúng. DMVPN cung cấp một sự kết hợp giữa tĩnh và động (static
and dynamic) theo yêu cầu của đường hầm. Các đường hầm VPN tĩnh được kết nối
đến một site hub trong cấu hình hub to spoke. Việc thiết kế hub to spoke là cấu hình
phù hợp nhất khi phần lớn các lưu lượng truy cập được nhắm mục tiêu đến hub và
các mạng lõi. Khi một số site spoke yêu cầu truy cập trực tiếp giữa chúng, một kết
nối IPSec bổ sung sẽ được thiết lập. DMVPN sử dụng giao thức mGRE (multi

Generic Routing Encapsulation) hoặc NHRP (Next Hop Resolution Protocol) để
cung cấp địa chỉ đích của mạng ngang hàng (peer) và quá trình mã hóa IPSec sẽ bắt
đầu tự động. NHRP cung cấp cho các router spoke khả năng học các địa chỉ vật lý
của các router trong mạng VPN. Điều này khá là quan trọng bởi nếu lưu lượng dữ
liệu của spoke to spoke được gửi thông qua các router hub, nó phải được mã hóa và
giải mã hai lần, do đó tăng sự chậm trễ và tăng tải trên các router hub. Mỗi spoke có
một đường hầm IPSec cố định đến hub và không có đến các spoke khác trong hệ
thống mạng, mỗi spoke đăng ký như là một client của NHRP server (router hub

22


chính là NHRP server). Trường hợp khi một spoke cần phải gửi một gói tin đến một
mạng con phía trong spoke khác, nó yêu cầu NHRP cho địa chỉ (bên ngoài) thực sự
của spoke đích. Sau khi spoke gốc biết địa chỉ peer của spoke đích, nó có thể bắt đầu
một đường hầm IPSec động với spoke đích. Đường hầm spoke to spoke được xây
dựng trên giao diện mGRE. Các đường spoke to spoke được thành lập bất cứ khi
nào có nhu cầu truyền thông giữa các spoke. Đến lúc này các gói tin có thể bỏ qua
hub và sử dụng các đường hầm Spoke-to-Spoke.

Hình 1.10: Mô hình DMVPN
b) Khái niệm
Dynamic Multipoint Virtual Private Network (DMVPN) là giải pháp phần
mềm của hãng Cisco là sự kết hợp của các công nghệ: IPSec, mGRE và NHRP. Các
công nghệ này được kết hợp lại cho phép được triển khai IPSec trong mạng riêng ảo
một cách dễ dàng.
c) Ưu nhược điểm của DMVPN
Để hiểu ưu và nhược điểm của DMVPN rõ ràng, cùng bắt đầu xem xét một
mô hình VPN trong công ty sử dụng IPSec và GRE.


23


Hình 1.11: Mô hình Hub to Spoke VPN
Mô hình mạng của công ty gồm một site trung tâm (hub) kết nối đến các site
chi nhánh (spoke A và Spoke B) qua Internet, với việc sử dụng VPN thông thường
(IPSec+GRE), rõ ràng trên router hub cần cấu hình hai Tunnel đến Spoke A và
Spoke B. Chính vì vậy mô hình này sẽ phát sinh một số hạn chế:
- Khi tạo Tunnel point-to-point, điều bắt buộc là phải biết địa chỉ IP của
nguồn và đích. Do đó, ở các Spoke và hub phải thuê những địa chỉ IP tĩnh, dẫn đến
chi phí cao.
- Ở router hub, phải cấu hình hai tunnel, một cho Spoke A và một cho Spoke
B. Giả sử mạng công ty gồm rất nhiều chi nhánh thì trên router hub sẽ phải cấu hình
rất nhiều tunnel. Mỗi tunnel khi được tạo sẽ có một cơ sở dữ liệu đi kèm. Như vậy
trên router phải lưu trữ một cơ sở dữ liệu khá lớn. Điều này dẫn đến sự tiêu tốn bộ
nhớ và CPU trên router hub là khá lớn.
- Hạn chế thứ ba là khi Spoke A muốn giao tiếp với Spoke B, nó phải thông
qua hub. Điều này không linh động.
Những hạn chế trên được giải quyết trong DMVPN, với DMVPN trên mỗi router
ứng với cổng s0/0 sẽ sử dụng một mGRE tunnel (point-to-multipoint). Việc sử dụng
mGRE sẽ giải quyết được hai hạn chế:

24


Thứ nhất ở mỗi Spoke không cần phải dùng một địa chỉ tĩnh nữa, mà có thể
sử dụng địa chỉ IP động do ISP cung cấp. Vì mGRE chỉ yêu cầu xác định địa chỉ
nguồn, còn địa chỉ đích thì sẽ nhờ một giao thức khác xác định. Còn trên router hub
cũng bắt buộc phải là một địa chi tĩnh.
Thứ hai, trên router Hub bây giờ chỉ cần cấu hình một Tunnel mGRE, nếu

thêm một spoke tham gia vào mạng của công ty thì trên Hub cũng không cần phải
cấu hình thêm. Điều này làm giảm tải bộ nhớ và CPU ở router Hub. Còn việc xác
định địa chỉ đích sẽ nhờ vào một giao thức khác, đó là NHRP như đã trình bày ở
trên.

Hình 1.12: Mô hình Hub to Spoke DMVPN
Bên cạnh những mặt ưu điểm như phân tích trên thì DMVPN cũng còn nhiều
hạn chế, cụ thể:
Ưu điểm:
• Làm giảm độ phức tạp và kích thước file cấu hình router, đơn giản hóa việc
thêm, xóa các site spoke.
• Tiết kiệm tài nguyên router bằng cách thiết lập các kết nối khi cần thiết và
xóa bỏ sau một thời gian không hoạt động đã cấu hình sẵn.
• Hỗ trợ việc chia đường hầm (Split Tunneling) tại site spoke.

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×