Thiết kế hệ thống mạng ảo VPN cho Công ty TNHH HÙNG ANH và sử dụng một số chính sách bảo mật
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.51 MB, 52 trang )
NHẬN XÉT CỦA GIÁO VIÊN
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
........................................................................................................................................................................
Hà Nội, ngày …… tháng …… năm 2018
GIÁO VIÊN
Mục Lục
LỜI NÓI ĐẦU
Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo
mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông
tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá
huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước.
Đối với mỗi mạng và thiết bị mạng việc tìm hiểu cụ thể về kiến trúc, nguyên
lý hoạt động của mạng và thiết kê một hệ thống mạng là một trong những nhiệm vụ
quan trọng đối với người đang học. Để nâng cao chất lượng chương trình học gắn với
thực tiễn, đề tài: Thiết kế hệ thống mạng ảo VPN cho Công ty TNHH Hùng Anh và sử
dụng một số chính sách bảo mật, cơ sở mang tính cấp thiết và có tính ứng dụng cao.
Nhằm giúp sinh viên có thể khảo sát các tính năng hệ thống mạng riêng ảo,giúp người
học có kiến thức liên kết giữa lý thuyết với thực hành, thực tế.
Nội dung đồ án gồm 4 chương:
Chương I: Cơ sở lý thuyết
Chương II: Nghiên cứu về mạng riêng cảo VPN
Chương III: Khảo sát và phân tích thiết kế hạ tầng mạng cho Công ty TNHH Hùng
Anh
Chương IV: Xây dựng demo
3
CHƯƠNG I. CƠ SỞ LÝ THUYẾT
1.1 Mạng máy tính
1.1.1 Định nghĩa
-Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường truyền theo
một cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau.
-Mạng máy tính gồm ba thành phần:
•
•
•
Các máy tính
Các thiết bị đảm bảo kết nối các máy tính với nhau.
Phần mềm cho phép thực hiện việc giao tiếp giữa các máy tính.
-Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để chuyển
các tín hiệu điện tử từ máy tính này đến máy tính khác. Các tín hiệu điện tử đó biểu thị
các giá trị dưới dạng các xung nhị phân (on - off). Tất cả các tín hiệu được truyền giữa
các máy tính đều thuộc một dạng song điện từ. Tùy theo tần số của sóng điện từ có thể
dùng các đường truyền vật lý khác nhau để truyền các tín hiệu. Ở đây đường truyền được
kết nối cos thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến
… Các đường truyền tạo nên cấu trúc của mạng. Hai khái niệm đường truyền và cấu trúc
là những đặc trưng cơ bản của mạng máy tính.
3
4
Hình 1. Một mô hình liên kết các máy tính trong mạng
Với sự trao đổi qua lại giữa máy tính này với máy tính khác đã phân biệt mạng với các hệ
thống thu phát một chiều như truyền hình, phát thông tin từ vệ tinh xuống các trạm thu
thụ động,…vì taị đây chỉ có thông tin một chiều từ nới phát đến nơi thu mà không quan
tâm đến bao nhiêu nơi thu, chất lượng ra sao.
1.1.2
Phương tiện và giao thức truyền thông của mạng máy tính
-Phương tiện truyền thông
+ Kết nối có dây
Cáp truyền thông có thế là cáp xoắn đôi, cáp đồng trục, cáp quang, …
Để tham gia vào mạng, máy tính cần có vỉ mạng được kết nối với cáp mạng nhờ giắc
cắm.
4
5
Một số thiết bị kết nối có dây: Hub, Bridge, Switch, Router …
Kiểu bố trí các máy tính trong mạng: có 3 kiểu cơ bản là đường thẳng, vòng, hình sao.
+ Kết nối không dây
Dùng sóng radio, bức xạ hồng ngoại, truyền thông qua vệ tinh …
Các thiết bị kết nối mạng không dây:
-
Thiết bị WAP (Wireless Access Point): có chức năng kết nối các máy tính trong
-
mạng và kết nối với mạng có dây.
Mỗi máy tính phải có vỉ mạng không dây (Wireless Network Card)
Người ta còn dùng bộ định tuyến không dây (Wireless Router) ngoài chức năng
như điểm truy cập không dây còn có chức năng định tuyến đường truyền.
Các yếu tố cần quan tâm khi thiết kế mạng
- Số lượng máy tính tham gia mạng
- Tốc độ truyền thông trong mạng
- Địa điểm lắp đặt mạng
- Khả năng tài chính
Giao thức (Protocol)
- Giao thức truyền thông là bộ các quy tắc phải tuân thủ trong việc trao đổi thông
tin trong mạng giữa các thiết bị nhận và truyền dữ liệu.
- Bộ giao thức trong mạng toàn cầu Internet là: TCP/IP
1.1.3 Phân loại mạng máy tính
Theo phân bố địa lí
- Mạng cục bộ (LAN – Local Area Network): Là mạng kết nối các máy tính gần
-
nhau. Ví dụ: máy tính trong một phòng, một tòa nhà, xí nghiệp …
Mạng diện rộng (WAN – Wide Area Network): Là các máy tính ở cách nhau một
khoảng cách lớn, mạng diện rộng thường liên kết các mạng cục bộ.
Theo môi trường truyền thông
- Mạng có dây và không dây
Theo chức năng
- Mạng ngang hang và mạng khách – chủ
1.1.4 Các mô hình mạng
Xét theo chức năng có thể phân mạng thành hai mô hình chủ yếu sau:
Mô hình ngang hành (Peer to Peer):
5
6
-
Trong mô hình này tất cả các máy bình đẳng với nhau, nghĩa là mỗi máy có thể
cung cấp tài nguyên cho máy khác, vừa có thể sử dụng tài nguyên của máy khác
-
trong mạng.
Mô hình này có ưu điểm là xây dựng và bảo trì đơn giản, song chỉ thích hợp với
các mạng có quy mô nhỏ, dữ liệu phân tán.
Mô hình khách – chủ (Client – Server):
- Client – Máy khách là máy sử dụng tài nguyên do máy chủ cung cấp
- Server – Máy chủ là máy tính đảm bảo phục vụ cho các máy khác bằng cách điều
-
khiển việc phân bố tài nuyên.
Mô hình này có ưu điểm dữ kiêuj được quản lí tập trung, chế độ bảo mật tốt, thích
hợp với các mạng có quy mô trung bình và lớn.
1.2
Kỹ thuật thiết kế mạng
1.2.1 Tổng quan về bài toán thiết kế mạng
Mạng cục bộ (LAN- Local Area Network) là một nhóm máy tính và các thiết bị
truyền thông mạng được tương kết trong một khu vực địa lý hạn chế. Mạng nội bộ có
khuynh hướng sử dụng chỉ một kiểu vận tải đó là hệ đấu cáp.
Các mạng nội bộ thường có đặc tính sau:
- Phạm vi kết nối địa lý hẹp.
- Chuyển giao dữ liệu với tốc độ nhanh, từ 1 Mbit/s đến 100 Mbit/s.
- Bình đẳng, độc lập truy nhập trong một môi trường truyền dẫn chung.
- Không hướng nối, dữ liệu truyền trong mạng ở dạng quảng bá.
1.2.2 Thiết kế mạng nội bộ
1.2.2.1 Các mục tiêu thiết kế mạng nội bộ
6
7
Bước đầu tiên trong thiết kế mạng nội bộ là thiết lập và ghi lại các mục tiêu của
việc thiết kế. Mỗi trường hợp hay mỗi tổ chức sẽ có những mục tiêu riêng. Những yêu
cầu sau là những yêu cầu thường gặp trong hầu hết các thiết kế mạng:
Khả năng hoạt động được: Yêu cầu trước tiên là mạng phải hoạt động được và nó
phải đáp ứng những yêu cầu riêng của người dùng, cung cấp kết nối giữa User và User,
giữa User với ứng dụng.
Khả năng mở rộng: Mạng phải có khả năng lớn hơn nữa nếu có nhu cầu trong
tương lai mà không cần phải thay đổi thiết kế ban đầu.
Khả năng thích ứng: Mạng phải được thiết kế để tương thích với hầu hết các chuẩn
công nghệ hiện có cũng như trong tương lai gần, không nên thiết kế một hệ thống mạng
làm cản trở sự phát triển hay triển khai những công nghệ và kỹ thuật mới sau này.
Khả năng quản lý: Hệ thống phải dễ dàng theo dõi và quản lý nhằm đảm bảo sự
hoạt động ổn định của hệ thống.
Ngoài ra chúng ta có thể xem xét, đánh giá trên những phương diện sau:
Trên phương diện công nghệ:
Các máy tính tham gia mạng có thể chia sẻ dữ liệu, tài nguyên hay gửi thông tin
cho nhau.
Các máy tính tham gia mạng có thể khác kiểu, khác loại.
Kết nối dễ dàng với các cơ sở dữ liệu sẵn có, các văn bản đã được soạn thảo trên
máy tính.
Trên phương diện kinh tế:
Mạng nội bộ là cơ sở để tiến tới một mô hình cơ quan mới “Cơ quan không giấy tờ
công văn “(Paperless Office), có nghĩa các thông tin trao đổi cho nhau chỉ thông qua máy
tính. Hiện tại chúng ta đang làm việc trong môi trường mà hầu như mọi thông tin văn bản
pháp quy đều được trao đổi bằng giấy tờ kéo theo sự chậm trế, sai lệch và phiền phức.
7
8
1.2.2.2 Các vấn đề cần xem xét khi thiết kế mạng nội bộ
Có rất nhiều vấn đề cần quan tâm xem xét khi tiến hành thiết kế một hệ thống mạng
nội bộ nhằm tối đa hóa hoạt động và dung lượng băng thông khả dụng như:
- Chức năng và vị trí đặt Sever.
- Vấn đề phát hiện đụng độ.
- Phân đoạn mạng.
- Miền quảng bá.
Sever cung cấp dịch vụ chia sẻ tập tin, máy in, thông tin liên lạc và nhiều dịch vụ
ứng dụng khác. Mỗi Sever được dành riêng cho một chức năng chia sẻ dữ liệu, web
sever…
Sever có thể được phân thành hai loại: Sever toàn hệ thống và Sever nhóm.
Sever toàn hệ thống cung cấp dịch vụ để nó phục vụ cho mọi người dùng trong hệ
thống mạng.
Sever nhóm thì cung cấp dịch vụ để phục vụ nhóm người dùng cụ thể.
Ethernet Node sử dụng CSMA. Mỗi Node đều phải chú ý đến tất cả các Node khác
khi truy nhập vào môi trường chia sẻ hay còn gọi là miền đụng độ. Nếu hai Node truyền
dữ liệu cùng lúc thì sẽ xảy ra đụng độ, lúc đó dữ liệu truyền trên mạng sẽ bị hủy bỏ, một
tín hiệu báo nghẽn được phát ra cho các máy năm trong miền đụng độ. Sau đó các Node
phải chờ trong khoảng thời gian ngẫu nhiên rồi mới truyền lại dữ liệu của mình. Đụng độ
nếu xảy ra nhiều sẽ làm giảm dung lượng băng thông khả dụng xuống. Vì vậy ta phải
chia nhỏ miền đụng độ làm nhiều miền con nhằm làm tăng băng thông khả dụng để tránh
nghẽn mạch.
1.2.2.3 Phương pháp thiết kế mạng nội bộ
8
9
Một mạng nội bộ hoạt động hiệu quả và đáp ứng được nhu cầu của người sử dụng,
cần được thiết kế và triển khai theo một kế hoạch với đầy đủ các bước sau:
- Thu thập các yêu cầu và mong đợi của người sử dụng mạng.
- Phân tích dữ liệu và các yêu cầu thu thập được.
- Thiết kế cấu trúc mạng nội bộ lớp 1,2.
- Ghi nhận lại các bước triển khai mạng vật lý và logic.
Sau đó quá trình thu thập thông tin qua hệ thống những câu hỏi sẽ giúp cho ta xác
định và làm sáng tỏ những vấn đề hiện tại của hệ thống mạng.
Hệ thống câu hỏi khi thu thập thông tin:
- Những người nào sẽ sử dụng hệ thống mạng?
- Kỹ năng cảu họ ở mức nào?
- Quan điểm của họ về máy tính và các ứng dụng về máy tính là gì?
- Các văn bản chính sách về tổ chức được phát triển như thế nào?
- Có dữ liệu nào cần công bố trong phạm vi giới hạn không?
- Có hoạt động cần giới hạn không?
- Những giao thức nào được chạy trên mạng?
- Cần hỗ trợ các máy tính để bàn không?
- Ai là người chịu trách nhiệm về địa chỉ mạng nội bộ, đặt tên, thiết kế cấu trúc và
cấu hình?
- Tài nguyên về nhân lực, phần cứng và phần mềm của tổ chức hay cơ quan là
những gì?
- Những nguồn tài nguyên này hiện đang được liên kết và chia sẻ như thế nào?
9
10
- Nguồn tài chính của tổ chức hay cơ quan dành cho mạng là bao nhiêu?
Những yêu cầu trên cho phép ta ước lượng được chi phí và khoảng thời gian để
triển khai dự án thiết kế mạng nội bộ.
Tính khả dụng đo lường mức độ hữu ích của hệ thống mạng. Có nhiều yếu tố ảnh
hưởng đến tính khả dụng, gồm những yếu tố sau:
-
Thông lượng.
-
Thời gian đáp ứng.
-
Khả năng truy cập vào tài nguyên mạng.
Các yêu cầu về hệ thống mạng nội bộ phải đáp ứng yêu cầu khi ngườ sử dụng có
nhiều nhu cầu về các ứng dụng mạng, về thoại và video thì yêu cầu về băng thông càng
tăng lên.
Một thành phần nữa trong phân tích đánh giá yêu cầu về mạng nội bộ là một mạng
nội bộ không cung cấp thông tin nhanh chóng và chính xác cho người sử dụng thì mạng
đó trở nên vô dụng.
Trong phương pháp thiết kế cấu trúc mạng nội bộ có thể phân thành 3 bước theo mô
hinh OSI như sau:
- Lớp mạng.
- Lớp liên kết dữ liệu.
- Lớp vật lý.
Bước cuối cùng trong thiết kế mạng nội bộ là ghi nhận các cấu trúc vật lý và luận lý
của hệ thống mạng. Cấu trúc vật lý của mạng là cơ sở để kết nói vật lý của các thành
phần trong mạng nội bộ. Thiết kế luận lý là cách phân dòng dữ liệu trong mạng, nó bao
gồm cả sơ đồ tên và địa chỉ được sử dụng trong thiết kế mạng nội bộ.
10
11
SƠ ĐỒ MẠNG THEO LỚP OSI CỦA MỘT HỆ THỐNG MẠNG LAN
Tầng 3
Tầng 2
Tầng 1
Hình 2 - Sơ đồ mạng lớp OSI
Hồ sơ thiết kế mạng nội bộ bao gồm những thành phần quan trọng sau:
-
Sơ đồ cấu trúc theo lớp OSI
-
Sơ đồ mạng nội bộ luận lý
-
Sơ đồ mạng nội bộ vật lý
-
Bảng ánh xạ vị trí tình trạng sử dụng từng thiết bị trong mạng nội bộ
-
Sơ đồ WLAN luận lý
MDF
Sơ đồ luận lý lớp 3
-
WAN speed=xxxMbps
Sơ dồ địa chỉ
12 strand-filber (2used10 spare)
Link speed=100Mbps
IDF1
location-Rm215
IDF2
location-Rm220
11
Hình3 - Sơ đồ lôgic
IDF3
location-Rm222
12
12
13
IDF
IDF
MDF
Vertical cable
and
Vertical cable
POP
Ver
tic
al
ca
IDF
Hình 4 - Sơ đồ vật lý
13
Internet
14
1.2.2.4 Thiết kế tầng 1
Tầng 3
Tầng 2
Tầng 1
Hình 5 - Thiết kế tầng 1
Triển khai cấu trúc LAN lớp 1
Điều quan tâm khi thiết kế mạng là cáp vật lý. Hiện nay, cáp sử dụng cho mạng nội
bộ hầu hết đều dựa trên công nghệ Fast Ethernet là Ethernet được nâng cấp từ 10Mb/s và
có khả năng hoạt động song công.
Những vấn đề trong thiết kế lớp 1 bao gồm các loại cáp sử dụng thường là cáp đồng
hay cáp quang. Môi trường cáp lớp 1 có nhiều loại như 10/100BASE-TX CAT5, 5e hoặc
6 UTP, STP, 10 BASE-FX cáp quang và chuẩn TIA-568-A về cách bố trí và kết nối dây
14
15
Data
Signaling
Medium Type
Maximum
Rate
Method
10BASE-T
10 Mbps
Baseband
Category 5e UTP
100 meters
10BASE-FL
10 Mbps
Baseband
Fiber-optic
2000 meters
100BASE-TX
100
Baseband
Category 5e UTP
100 meters
Baseband
Multi-mode fiber
2000 meters
Length
Mbps
100BASE-FX
100
Mbps
(two strands)
Bảng 1 - Các chuẩn cáp Ethernet và Fast Ethernet
Một hệ thống mạng tồn tại với chính hệ thống cáp bên dưới của nó. Do vậy hầu hết
các sự cố mạng đều sảy ra ở Lớp 1 nên khi có dự định thay đổi quan trọng nào thì cần
phải kiểm tra toàn bộ hệ thống cáp để xác định khu vực cần nâng cấp hoặc đi dây lại. Khi
có sự cố xảy ra, có thể sử dụng đồng hồ đo cáp chúng ta sẽ xác định đoạn cáp này có bị
hư hỏng về vật lý hay không.
1.2.2.5 Thiết kế tầng 2
Tầng 3
Tầng 2
Tầng 1
Hình 6 - Thiết kế tầng 2
15
16
Thiết kế tầng 2 trong mạng là điều khiển luồng, phát hiện lỗi, giảm nghẽn mạch.
Hai thiết bị Lớp 2 phổ biến đó là Bridge và Switch.
Thiết bị lớp 2 sẽ quyết định kích thước của miền đụng độ.
Đụng độ và kích thước của miền đụng độ là hai yếu tố ảnh hưởng xấu đến hiệu quả
hoạt động của mạng. Ta có thể sử dụng Switch kết hợp với Hub để cung cấp mức độ hoạt
động hợp lý cho mỗi nhóm User và server khác nhau.
Một đặc điểm quan trọng của LAN switch là có thể phân bố băng thông hơn cho
đường vertical, uplink hoặc đường kết nôi vào server.
Đường vertical kết nối IDF đến MDF để truyền dữ liệu giữa MDF và IDF. Dung
lượng đường vertical thường lớn hơn đường horizontal. Đường horizontal nối giưa IDF
và máy trạm thường sử dụng cap CAT 5e UTP và dài không quá 100m. Trong môi trường
mạng thông thường, đường horizontal có băng thông 10Mb/s và 100Mb/s.
1.2.2.6 Thiết kế tầng 3
Tầng 3
Tầng 2
Tầng 1
Hình 7 - Thiết kế tầng 3
16
17
Trong cấu trúc tầng 3, Router là thiết bị lớp 3 và được coi là một trong những thiết
bị mạnh nhất trong cấu trúc mạng.
Internet
VCC
VCC
100 Mpbs
Fiber Optical
100 Mbps
Hình 8 - Sơ đồ đi dây giữa các lớp
17
18
Thiết bị lớp 3 được sử dụng để chia mạng nội bộ thành nhiều mạng riêng biệt. Thiết
bị lớp 3 cho phép thông tin liên lạc giữa 2 mạng thông qua địa chỉ lớp 3, ví dụ như địa
chỉ IP. Router còn có thể kết nối WAN như nối ra Internet.
Định tuyến lớp 3 phân luồng giao thông giữa các mạng vật lý dựa trên địa chỉ lớp 3.
Router không chuyển tiếp các gói quảng bá ví dụ như gói yêu cầu ARP.
Do đó mỗi cổng trên router được xem là cửa vào của mạng và cửa ra của một miền
quảng bá, là nơi kết thúc của quảng bá, ngăn không cho quảng bá sang các mạng khác.
Trong sơ đồ đi dây cáp lớp 1, mỗi mạng vật lý được tạo ra một cách dễ dàng bằng
cách kết nối cáp horizontal và vertcal vào switch lớp 2 sau đó các mạng vật lý này được
kết nối vào router làm tăng khả năng bảo mật hơn vì mọi giao thông đi vào hoặc ra một
mạng nội bộ đều phải qua router.
18
19
CHƯƠNG II NGHIÊN CỨU VỀ MẠNG RIÊNG ẢO VPN
2.1 Khái niệm mạng riêng ảo VPN
Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng (Leased
Line) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thường
xuyên. Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độ
cao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo. Mạng riêng
ảo được xây dựng trên các kênh lôgích có tính “ảo”. Xu hướng hội tụ của các mạng trên
nền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng
riêngảo.
Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng được kết nối
với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mật
như trong mạng riêng. Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN ,
Site - to - Site VPN (Intranet VPN và ExtranetVPN).
Site- to - Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết
nối VPN. Có thể chia loại này ra 2 loại khác: Intranet VPN và Extranet VPN. Intranet
VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau.
Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với một
Intranet VPN khác.
Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệu
quả. Kết hợp với các thủ tục xác thực ngưòi dùng, dữ liệu được bảo mật thông qua các
kết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu. Tunnel là kết nối ảo
điểm - điểm (Point to Point) và làm cho mạng VPN hoạt động như một mạng riêng. Dữ
liệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau với các độ
bảo mật khác nhau. Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật và
tốc độ truyền dẫn. Giải pháp VPN được thiết kế phù hợp cho những tổ chức có xu
hướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và
19
20
có các cơ sở dữ liệu, kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm bảo an
ninhcao.
Chất lượng dịch vụ QoS, các thoả thuận (Service Level Agreement-SLA) với các ISP liên
quan đến độ trễ trung bình của gói trên mạng, hoặc kèm theo chỉ định về giới hạn dưới
của băng thông. Bảo đảm cho QoS là một việc cần được thống nhất về phương diện quản
lý đối với các ISP. Tất cả các giao thức sử dụng trong mạng VPN, các gói dữ liệu IP được
mã hoá (RSA RC-4 trong PPTP hoặc mã khóa công khai khác trong L2TP, IPSec) và sau
đó đóng gói (ESP), thêm tiêu đề IP mới để tạo đường hầm trên mạng IP công cộng. Như
vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng thì thông tin trong đó đã được
mã hoá nên kẻ phá hoại khó có thể dò
tìm thông tin thực sự chứa trong bản tin. Trong
các giao thức PPTP và L2TP, mã hoá gói tin đã được thực hiện từ người dùng cho đến
máy chủ của VPN. Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộ gói tin,
điều này gây nên độ trễ chung đối với VPN và ảnh hưởng đến QoS của mạngVPN.
2.2 Kiến trúc của mạng riêngảo
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:
-
Đường hầm (Tunnelling) cho phép làm “ảo” một mạngriêng.
Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêngtư.
Server
ClientA
Internet
Security
Gateway 1
Security
Gateway 2
Địa chỉ nguồn
A B
A B2 Data
Địa chỉ đích 1
D
at
a
A B Data
Được mã hóa
20
21
Hình 6- Cấu trúc một đường hầm
Đường hầm: là kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối
này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các
kết nối khác. Kết nối này mang tính lôgích “ảo” không phụ thuộc vào cấu
trúc vật lý của mạng.
Internet
Security
Gateway 1
Security
Gateway 2
LAN
Hình 7 – Đường hầm trong các cấu trúc LAN và Client
2.3 Phân loại
Có 2 loại VPN thông dụng:
•
Remote-Access: Hay cũng được gọi là Virtual Private Dial-up Network
(VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân
viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access
diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise
Service Provider). ESP cài đặt một một công nghệ Network Access Server (NAS)
và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các
21
22
nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo
chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của
họ. Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhân
viên thương mại. Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá
giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch
vụ thứ ba (third-party)
•
Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện
rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công
cộng như Internet. Các mạng Site-to-site VPN có thể thuộc một trong hai dạng
sau:
o
Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa
điểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN. Khi đó họ có thể
xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1
mạng riêng thống nhất.
o
Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một
công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ
có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với
mạng Lan và cho phép các công ty đó có thể làm việc trong một môi
trường có chia sẻ tài nguyên.
22
23
Hình 8 - Ba loại mạng riêng ảo
2.4 Lợi ích của VPN
•
Mở rộng vùng địa lý có thể kết nối được
•
Tăng cường bảo mật cho hệ thống mạng
•
Giảm chi phí vận hành so với mạng WAN truyền thống
•
Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
•
Tăng cường năng suất
•
Giảm đơn giản hoá cấu trúc mạng
•
Cung cấp thêm một phương thức mạng toàn cầu
•
Cung cấp khả năng hỗ trợ thông tin từ xa
•
Cung cấp khả năng tương thích cho mạng băng thông rộng
•
Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống
Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
23
24
•
Bảo mật (Security)
•
Tin cậy (Reliability)
•
Dễ mở rộng, nâng cấp (Scalability)
•
Quản trị mạng thuận tiện (Network management)
•
Quản trị chính sách mạng tốt (Policy management)
2.5 Mỗi một mạng LAN là một hòn đảo (IsLANd)
Hình dung bạn đang sống trên một hòn đảo trong lòng biển rộng. Có hàng ngàn
hòn đảo khác xung quanh bạn. Một vài hòn đảo gần bạn, nhưng còn rất nhiều hòn đảo
cách xa bạn rất nhiều. Cách thức thông thường để đi đến các hòn đảo khác là sử dụng
thuyền đi từ bảo của bạn sang hòn đảo bạn muốn đến thăm. Đương nhiên, du lịch trên
thuyền có nghĩa là bạn không có sự riêng tư. Tất cả những gì bạn làm thì những người
khác đều có thể nhìn thấy.
Có thể nói rằng mỗi hòn đảo đại diện cho một mạng LAN riêng biệt và biển cả là
Internet. Du lịch bằng thuyền thì giống như kết nối đến một Web server hay một tài
nguyên mạng khác thông qua Internet. Bạn không có quyền điều khiển đường truyền và
các bộ định tuyến trên Internet, cũng như bạn không có quyền điều khiển những người
khác trên các con thuyền. Điều này có thể làm cho bạn có thể gặp phải vấn đề về bảo mật
khi bạn muốn kết nối hai mạng riêng sử dụng tài nguyên mạng Internet công cộng.
Tiếp tục so sánh, hòn đảo của bạn sẽ xây dựng một cây cầu (bridge) đến các hòn đảo
khác, như vậy giao thông sẽ dễ dàng hơn, bảo mật an toàn hơn và tạo nên đường giao
thông trực tiếp cho mọi người giữa hai đảo. Giá thành để xây dựng và bảo dưỡng cây cầu
sẽ đắt, dù cho khoảng cách giữa hai hòn đảo là rất gần. Nhưng việc này cần thiết cho việc
đảm bảo tính tin cậy, bảo mật an toàn của đường đi, đó là lý do tốt để bạn thực hiện xây
dựng cầu. Hòn đảo của bạn muón xây tiếp một cây cầu đến một hòn đảo thứ hai sẽ nhanh
hơn nhưng giá thành khó có thể chấp nhận được.
24
25
Điều này giống như bạn sử dụng một đường truyền trực tiếp. Cây cầu (leased line)
tách độc lập ra khỏi đại dương (Internet), nhưng bạn vẫn có thể kết nối các đảo (LAN)
với nhau. Rất nhiều công ty lựa chọn giải pháp này bởi vì nó cần thiết cho an toàn thông
tin và tính tin cậy khi kết nối giữa các văn phòng. Tuy nhiên, nếu các văn phòng rất cách
xa nhau, giá thành có thể sẽ rất lớn -- cũng như khi xây một cây cầu thật dài.
Sử dụng VPN sẽ có lợi như thế nào? trong so sánh, chúng ta có thể cung cấp cho mỗi
người dân trên đảo một con tàu ngầm nhỏ (submarine). Giả thiết rằng con tàu ngầm nhỏ
đó có các ưu điểm như sau:
•
Tốc độ nhanh
•
Dễ dàng đưa bạn đi đến nơi bạn muốn
•
Cho phép bạn trốn khỏi bất kỹ một con thuyền hay tàu ngầm nào khác
•
Độ an toàn cao
•
Giá thành sản xuất nhỏ hơn so với các con thuyền truyền thống khi bạn hạ thuỷ
lần đầu tiên
Trong phép so sánh, mỗi người có một tàu ngầm - tương tự như một người dùng
ở đầu xa có quyền truy cập vào mạng riêng của công ty sử dụng VPN
Mặc dù chúng ta đang đi trên biển cùng với những người khác, mỗi người dân có
thể đi lại bất cứ khi nào họ muốn một cách riêng tư và tin cậy. Đó là điều cơ bản khi sử
dụng VPN. Mỗi thành viên của mạng ở cách xa có thể trao đổi thông tin với sự an toàn
và tin cậy khi sử dụng Internet làm phương tiện kết nối đến mạng LAN. Một VPN có thể
mở rộng để phục vụ cho nhiều người dùng và nhiều điểm truy cập khác nhau một cách dễ
dàng hơn so với sử dụng đường truyền trực tiếp. Trong thực tế, tính dễ mở rộng là 1 ưu
điểm chính của các VPN so với các đường truyền trực tiếp. Không giống với đường
truyền trực tiếp là giá thành sẽ cao khi kéo dài, khi sử dụng VPN giá thành sẽ thấp hơn
nhiều.
2.6 Tính bảo mật của VPN
25
