Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.05 MB, 74 trang )
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
mới mẻ và tốt hơn. Các kiểu mạng riêng ảo xây dựng trên cơ sở hạ tầng mạng Internet
công cộng đã mang lại một khả năng mới, tốt hơn hiệu quả và linh động hơn cho
người sử dụng. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường
mạng riêng (Leased Line), mỗi VPN sử dụng các kết nối ảo được dẫn đường qua
Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Ngày nay
với sự phát triển của cộng nghệ và bùng nổ của mạng Internet, khả năng của VPN
ngày càng được hoàn thiện hơn về dịch vụ cũng như khai thác được hết các ưu điểm
của nó.
Mạng riêng ảo được định nghĩa như là một kết nối mạng triển khai trên cơ sở hạ
tầng mạng công cộng với các quản lý và bảo mật giống như mạng cục bộ. Mạng riêng
ảo như là sự mở rộng của mạng LAN mà không hạn chế về mặt khoảng cách, mà
không thay đổi về sự bảo mật của nó trong công việc.
Sử dụng Internet cho truy cập từ xa sẽ tiết kiệm được chi phí. Ta có thể quay số ở
bất cứ đâu chỉ cần tại đó có nhà cung cấp dịch vụ (ISP) có thể truy nhập đến điểm kết
nối. Nếu ISP có các điểm POP mang tính quốc gia thì đối với mạng LAN sẽ chỉ là các
cuộc gọi nội hạt. Một vài ISP có thể có mở rộng quốc tế hoặc có sự thỏa thuận với các
ISP khác. Việc lựa chọn ISP sẽ rẻ hơn cho việc truy cập từ xa đối với những người sử
dụng roarming.
VPN được thiết lập giữa các Router tại hai chi nhánh của công ty thông qua
Internet. Hơn nữa, VPN cho phép hợp nhất các kết nối Internet và WAN vào một
Router và một đường truyền, điều này giúp tiết kiệm chi phí thiết bị và hạ tầng cơ sở
viễn thông.
Tính cá nhân của VPN tin cậy thể hiện ở chổ nhà cung cấp dịch vụ sễ đảm bảo
không cho ai sử dụng cùng mạch thuê riêng đó. Người dùng của mạng riêng ảo loại
này tin cậy hoàn toàn vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảo mật dữ
liệu cá nhân nội bộ của người dùng khi truyền trên mạng. Các mạng riêng xây dựng
trên các đường dây thuê thuộc loại tin cậy .
Mạng riêng ảo an toàn là các mạng riêng ảo có thể sử dụng mật mã về thông tin của
dữ liệu. Dữ liệu ở đâu ra của một mạng được mã hoá rồi chuyển vào mạng công cộng
như các dữ liệu khác để truyền tới đích và sau đó được giải mã tại phía thu một cách
bình thường. Dữ liệu được mật mã và đi trong mạng như là đi một đường riêng được
gọi là đường hầm, dữ liệu được bảo vệ từ nguồn tới đích. Có thể có sự tấn công bên
ngoài nhưng dữ liệu được mã hoá nên không thể đọc được.
GVHD: TS.Trần Văn Dũng
2
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Về giao thức sử dụng trong việc mã hoá để đảm bảo an toàn là IPSec. Đó là một
tiêu chuẩn cho mã hoá cũng như xác thực các gói IP tại tầng mạng. IPSec hỗ trợ một
tập hợp các giao thức mã hoá với hai mục đích: An ninh gói mạng và thay đổi các
khoá mã hoá. Mạng riêng ảo xây dựng dựa trên Internet, sử dụng cơ sở hạ tầng mở và
phân tán của Internet cho việc truyền dữ liệu các site của mạng
Tóm lại mạng riêng ảo VPN là thuật ngữ được các nhà cung cấp dịch vụ và các khai
thác sử dụng. Như đúng tên gọi của nó, VPN là một mạng riêng của người dùng dựa
trên cơ sở hạ tầng mạng công cộng. Chúng có thể được tạo ra bằng cách sử dụng phần
mềm, phần cứng hay kết hợp cả hai phần đó để tạo ra một kết nối bảo mật giữa hai
mạng riêng đi qua mạng công cộng.
1.2 Chức năng và lợi ích của VPN
1.2.1 Chức năng của mạng riêng ảo
Tính xác thực
Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau
để khẳng định một điều là thông tin mình muốn trao đổi đúng với đối tượng mình
mong muốn không phải là một người khác mà mình không mong muốn.
Tính Toàn vẹn
Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một
việc làm vô cùng quan trọng. Vì vậy VPN đã làm được điều đó một cách hoàn hảo.
Tính bảo mật
Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu
sẽ được giải mã ở phía thu. Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu
là vô cùng khó khăn đối với người khác.
1.2.2 Tiện ích chính của mạng riêng ảo
VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệp trong công
việc kinh doanh của mình. Có thể dùng VPN để đơn giản hoá việc truy cập đối với các
nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộ đến từng văn phòng
chi nhánh, thậm chí triển khai mạng mở rộng đến tận khách hàng và các đối tác chủ chốt
và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua
thiết bị và đường dây cho mạng WAN riêng. Những lợi ích của VPN có thể được dẫn
dưới đây.
Mặt kinh tế
GVHD: TS.Trần Văn Dũng
3
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới một cách
tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công ty chỉ việc thuê
các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ viễn thông không cần
phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn.
Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư khi sử
dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí đường dài truy cập
VPN cho các nhân viên di động và các nhân viên đi công tác xa công ty nhờ vào việc
họ truy nhập vào mạng thông qua các điểm kết nối ở nơi mình cư trú, hạn chế gọi
đường dài tới các modem tập trung.
Tính linh hoạt
Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà
nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng. Người sử dụng
có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc thù công việc. Khách
hàng của VPN qua mạng mở rộng này, cũng có quyền truy cập và khả năng như nhau
đối với các dịch vụ trung tâm bao gồm. Cũng như các ứng dụng thiết yếu khác, khi
truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN,
modem, modem cáp, đường dây thuê bao số v..v, mà không cần quan tâm đến những
phần phức tạp bên dưới.
Mở rộng và phát triển
Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa trên
mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao cho việc
xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối giữa các chi
nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện thoại hoặc qua
đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng thông đường truyền
lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần thiết.
1.2.3 Nhược điểm và nhưng giải pháp khắc phục
Sự tin cậy và thực thi
Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử dụng
một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy chủ là khá
nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ liệu được truyền
tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông tin dữ liệu là chuyện
thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số dịch vụ khác để có thể hạn
chế và điều chỉnh được lưu lượng truyền tải trong mạng một các hợp lý nhất.
GVHD: TS.Trần Văn Dũng
4
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Sự rủi ro về an ninh
Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của mạng công
cộng nên việc bị tấn công là không thể tránh khỏi và điều đó như là nhưng điều được
cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng giải pháp an toàn cho việc
dùng mạng riêng ảo, nhưng vấn đề an toàn không bao giờ là tuyệt đối. Vấn đề càng
đưa các giải pháp bảo mật vào bao nhiều thì nó cũng ảnh hưởng đến giá thành của dịch
vụ, và điều đó là một điều không mong muốn từ nhà cung cấp dịch vụ cũng như người
sử dụng dịch vụ. Nên việc sử nhưng giải pháp trong VPN cũng phải được cân nhắc
làm sao tối ưu nhất.
1.3 Mô hình VPN
Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa trên mạng.
- Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN
được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua
mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của
người dùng như là các đường kết nối riêng.
- Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu
hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch
vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định tuyến
lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng vào đường đi
tối ưu nhất mà không cần phải có sự tham gia của người dùng.
1.3.1 Mô hình VPN chồng lấn
Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công nghệ
khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường thuê riêng để
cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau. Người dùng sử dụng
dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các đường thuê riêng này được
thiết lập giữa các site của người dùng cần kết nối. Đường này là đường dùng riêng cho
người dùng khi có nhu cầu sử dụng.
Frame Relay được xem như là một công nghệ VPN được đua ra trong những năm
1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê kênh riêng (leased
line), ở đây người dùng không được cung cấp các đường dành riêng cho mỗi người
dùng, người dùng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các
mạch ảo này sẽ đảm bảo lưu lượng cho mỗi người dùng là riêng biệt.
GVHD: TS.Trần Văn Dũng
5
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây dựng một
đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của nhà cung cấp
dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như
Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.
Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE với nhau
qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router người dùng thiết lập
mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ
không thể biết đến thông tin định tuyến của người dùng trao đổi. Nhiệm vụ của nhà
cung cấp dịch vụ trong mô hình này chỉ là đảm bảo truyền dữ liệu điểm - điểm giữa
các site của người dùng.
VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling). Việc triển
khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu
triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng mạng riêng của họ qua
mạng công cộng thì có thể dùng giải pháp này là hợp lý nhất vì chi phí thấp. Bên cạnh
lý do kinh tế, mô hình đường hầm còn đáp ứng cho người dùng việc bảo mật dữ liệu
và thông tin trên đường truyền. Hai công nghệ VPN đường hầm phổ biến là IPSec và
Gói định tuyến chung (GRE).
Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN thường là
cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là tốc độ thông tin
ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị
này được gọi là tốc độ thông tin tối đa (PIR). Việc cam kết này được thực hiện thông
qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của
nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc
dù nhà cung cấp có thể đảm bảo tốc độ lớn nhất. Cam kết về băng thông cũng chỉ là
cam kết về hai điểm trong mạng người dùng. Nếu không có ma trận lưu lượng đầy đủ
cho tất cả các lớp lưu lượng thì thật khó có thể thực hiện cam kết này cho người dùng
trong mô hình overlay. Để làm được việc này bằng cách tạo ra nhiều kết nối, như trong
công nghệ chuyển mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là
có các mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới
rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của mình
thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất.
GVHD: TS.Trần Văn Dũng
6
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
Hình 1.1: Mô hình VPN chồng lấn
Một số ưu điểm của VPN chồng lấn
• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà
cung cấp dịch vụ.
• Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng
VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site
của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và
người dùng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình VPN chồng lấn
• VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và
nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác
nhau.
• Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu
lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới
không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải
có sự đầu tư lớn trong việc này.
1.3.2 Mô hình VPN ngang cấp
Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN ngang cấp
để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu qua mạng đường
trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến
GVHD: TS.Trần Văn Dũng
7
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
của người dùng. Tức là Router biên mạng nhà cung cấp (Provider Edge - PE) thực
hiện trao đổi thông tin định tuyến trực tiếp với Router CE của người dùng.
Hình 1.2: Mô hình VPN ngang cấp
Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung
quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện hai mạng
VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua
một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một hay nhiều bộ định
tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE 1B1 và CE2B1 còn site 3 trong
VPN B chỉ có 1 CE đó là CE B3. Hình vẽ còn thể hiện các đích có thể truy nhập đến
trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến
một bộ định tuyến biên nhà cung cấp dịch vụ (PE). Lưu ý cùng một bộ định tuyến PE
có thể kết nối các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử
dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một
VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2
được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site
này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng.
Một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN
B được kết nối tới PE1 và PE2.
Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung cấp dịch
vụ (P). Các bộ định tuyến loại này không kết nối các site của người dùng. Việc cung
cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải quan tâm đến băng
GVHD: TS.Trần Văn Dũng
8
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
thông đầu vào và ra ở mỗi site mà không cần quan tâm đến toàn bộ lưu lượng từ site
này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình
VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và
thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình VPN chồng lấn, nhà cung cấp
dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của
site của VPN người dùng. Nhà cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng
VPN ngang hàng là chia sẽ bộ định tuyến dành riêng cho mỗi kênh thuê bao.
Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng lấn: Việc
định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin định tuyến với
một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn VPN, số lượng Router
láng giềng có thể phát triển với số lượng lớn.
Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp dịch vụ
biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối ưu cho các
Route của họ.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp:
Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN chia sẽ cùng
Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người dùng có thể kết nối
đến cùng Router PE.
Hình 1.3: Mô hình VPN ngang cấp dùng Router chung
Phương pháp chia sẻ bộ định tuyến
Trong mạng VPN các người dùng sử dụng và cùng chia sẻ một bộ định tuyến biên
mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng
GVHD: TS.Trần Văn Dũng
9
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu hình một dang sách truy
cập mạng (Access List) cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly
giữa các người dùng VPN. Đồng thời ngăn chặn VPN của người dùng này thực hiện
các tấn công từ chối dịch vụ DoS (Denial of Serverce) vào VPN của người dùng khác.
Nhà cung cấp dịch vụ chia các phần trong không gian địa chỉ của nó cho người dùng
và quản lý việc chọn lọc gói tin trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch
vụ phải quan tâm và đầu tư vào vấn để bảo mất dữ liệu của mỗi người dùng.
Phương pháp sử dụng bộ định tuyến dành riêng
Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt dành
riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ định tuyến
trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác
trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng
định tuyến cho mỗi VPN. Các bảng định tuyến này được tạo ra riêng biệt khác nhau để
có sự phân biệt giữa các VPN.
Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có dải truy
nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong phương pháp
này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình và dễ duy trì, nhưng
nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt hệ thống của mình và
phục vụ tốt nhu cầu của người dùng.
Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng
được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng người dùng
khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch vụ phải mang tất
cả các tuyến của người dùng.
1.4 Phân loại VPN
VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số nhu cầu
cơ bản sau đây:
• Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi người
dùng yêu cầu.
• Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp dịch vụ
cũng như các đối tượng bên ngoài khác.
Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia thành
ba loại VPN cơ bản.
GVHD: TS.Trần Văn Dũng
10
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
• VPN truy nhập từ xa
• VPN cục bộ
• VPN mở rộng
1.4.1 VPN truy nhập từ xa
Những thành phần chính trong mô hình VPN truy nhập từ xa :
• Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ
xác nhận và chứng nhận các yêu cầu gửi tới. Nó chịu trách nhiệm điều hành toàn
bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này.
• Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cách nhanh
chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung tâm máy chủ
• Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống và quản
lý bộ xử lý trung tâm. Và hỗ trợ truy cập từ xa bởi người dùng.
Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xa hoặc các văn
phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và
kết nối đến tài nguyên thông qua mạng Internet. Hệ thống VPN truy nhập từ xa có mô
hình dưới đây.
Hình 1.4: Cấu hình VPN truy nhập từ xa
Một hướng phát triển mới trong VPN truy nhập từ xa là dùng VPN sử dụng sóng vô
tuyến, trong đó một người dùng có thể truy nhập về mạng của mình thông qua kết nối
không dây. Việc thiết kế kết nối không dây phải cần một bộ thu phát không dây về
GVHD: TS.Trần Văn Dũng
11
SVTH: Bùi Quang Huy
Đồ án tốt nghiệp
8
Xây dựng mạng riêng ảo VPN Trường T/C nghề Số
mạng của mình. Trong cả hai trường hợp có dây và không dây, phần mềm máy khách
PC đều cho phép khởi tạo các kết nối bảo mật, còn gọi là đường hầm. Trong việc thiết
kế quá trình xác thực ban đầu để đảm bảo yêu cầu thông tin được xuất phát từ một
nguồn tin đáng tin cậy.
Hình 1.5: Mô hình VPN truy nhập từ xa
Một số ưu điểm của VPN truy nhập từ xa so với một số phương pháp truy nhâp
truyền thống.
• VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng bởi vì quá trình kết nối từ
xa được các nhà cung cấp dịch vụ thực hiện.
• Các khoản chi phí cho các kết nối từ xa bởi các kết nối khoảng cách được thay
thế bởi các kết nối cục bộ thông qua mạng Internet.
• Cung cấp các dịch vụ giá rẻ cho người dùng ở xa, tạo sự thuận lợi cho việc phát
triển mạng.
• VPN cung cấp khả năng truy nhập tốt hơn đến các site của các công ty vì chúng
hỗ trợ mức thấp nhất chi phí dịch kết nối.
• Một số nhược điểm của mang VPN truy nhập từ xa:
• VPN truy nhập từ xa không hỗ trợ các dịch vụ bảo đảm chất lượng dịch vụ điều
đó rất bất lợi cho người dùng mỗi khi có nhưng thông tin quan trọng muốn gửi
đi, không được đảm bảo an toàn. Nên việc mất cắp dữ liệu và các gói dữ liệu
không đến đích là có thể xẩy ra.
GVHD: TS.Trần Văn Dũng
12
SVTH: Bùi Quang Huy