1. Trang chủ >
  2. Công nghệ thông tin >
  3. Hệ thống thông tin >

CHƯƠNG 2: MẠNG RIÊNG ẢO VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.02 MB, 88 trang )


TRIỂN KHAI VPN VÀ IPSEC



Hình 2.Mô hình tổng quan VPN - 2



2.2 Một số ví dụ về Mạng riêng ảo:

Hình 2.3: Những người dùng di động, người dùng từ xa thiết lập kết nối VPN qua

Internet đến mạng Công ty của họđể trao đổi dữ liệu, truy cập các tài nguyên giống

như là họđang ở trong Công ty.



Hình 2.: Mô hình VPN -3

Hình 2.4:Là một ví dụ thiết lập VPN gồm một nhánh Văn phòng từ xa, một người

dùng di động kết nối VPN đến mạng Văn phòng chính



GV: Ths.Tô Nguyễn Nhật Quang



42



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Mô hình tổng quan VPN - 4

Hình 2.5: Một ví dụ đầyđủ hơn



Hình 2.: Mô hình tổng quan VPN - 5

Một mạng VPN điển hình đầyđủ bao gồm mạng LAN chính tại trụ sở (Văn phòng

chính), các mạng LAN khác tại những văn phòng từ xa, nhữngđối tác kinh doanh, các

điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy

cập đến từ bên ngoài.



2.3 Những chức năng và lợi ích cơ bản của Mạng riêng ảo

2.3.1 Chức năng

VPN có 3 tính chất đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity)

và tính bảo mật (Confidentiality).

a) Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác

thực lẫn nhau để khẳng định rằng mìnhđang trao đổi thông tin với người mình

mong muốn chứ không phải là một người khác.

GV: Ths.Tô Nguyễn Nhật Quang



43



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

b) Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ

sự xáo trộn nào trong quá trình truyền dẫn.

c) Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy,

không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có

lấy được thì cũng không đọcđược.

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:



• Giảm chi phí thực thi

• Giảm được chi phí thuê nhân viên và quản trị

• Nâng cao khả năng kết nối

• Bảo mật các giao dịch

• Sử dụng hiệu quả băng thông

• Nâng cao khả năng mở rộng



2.4 Phân loại mạng VPN

Mạng riêng ảo VPN được phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

2.4.1 Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thờiđiểm,

các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng

của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những

VPN này có thể thiết lập bất kể thờiđiểm nào, từ bất cứ nơi nào có mạng Internet.

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua

cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì.

VPN truy nhập từ xa có thể dùngđể cung cấp truy nhập an toàn từ những thiết bị di

động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty.

Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử

GV: Ths.Tô Nguyễn Nhật Quang



44



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu

một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.



Hình 2.: Mô hình mạng VPN truy nhập từ xa



Hình 2.: Thiết lập truy cập từ xa không có VPN



GV: Ths.Tô Nguyễn Nhật Quang



45



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Thiết lập VPN truy cập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ

xa truyền thống như:

Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì

quá trình kết nối từ xa được cácISP thực hiện.

Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối

khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.

Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

-



Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc

độ cao hơn so với các truy nhập khoảng cách xa.



-



VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì

chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.



Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những

nhược điểm cố hữu đi cùng như:

-



Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát

không đến nơi hoặc mất gói.

Bởi vì thuật toán mã hoá phức tạp, nên tiêu đềgiao thức tăng một cách đáng

kể.



GV: Ths.Tô Nguyễn Nhật Quang



46



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

2.4.2 Mạng VPN cục bộ

Các VPN cục bộđược sử dụng để bảo mật các kết nối giữa các địa điểm khác

nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên

một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho

phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệuđược phép trong

toàn bộ mạng của công ty.

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp

nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thườngđược cấu hình như là một

VPN Site- to- Site.



Hình 2.: Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiệnmạng

thông qua một hay nhiều nhà cung cấp dịch vụ).

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó

có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường

ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao.

Ví dụ như công nghệ Frame Relay, ATM.

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi

cùng như:



GV: Ths.Tô Nguyễn Nhật Quang



47



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

-



Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho

nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất

lượng dịch vụ (QoS).



- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu

cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong

môi trường Internet.

2.4.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN

mở rộng không bị cô lập với “thế giới bên ngoài”.



Hình 2.: MạngExtranet truyền thống

Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những

nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là

cácđối tác, khách hàng, và các nhà cung cấp… .



GV: Ths.Tô Nguyễn Nhật Quang



48



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Mạng extranet sử dụng VPN



Hình 2.: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các

nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng

các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự

khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được

công nhận ở một trong hai đầu cuối của VPN.

Những ưu điểm chính của mạng VPN mở rộng:



GV: Ths.Tô Nguyễn Nhật Quang



49



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

• Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền

thống.

• Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt

động.

• Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có

nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp

với các nhu cầu của mỗi công ty hơn.

• Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên

giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi

phí vận hành của toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những

nhược điểm đi cùng như:

• Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công

cộng vẫn tồn tại.

• Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu

truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong

môi trường Internet.

• Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.



2.5 Các giao thức đường hầm VPN 3

Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ

bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công

cộng như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên

mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kết

điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nếu bị chặn trên mạng

chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa. Đó là

một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằng

cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật

(security procedures). VPN có thể sử dụng để kết nối giữa một máy tính tới một mạng

riêng hoặc hai mạng riêng với nhau.

Một số giao thức đường hầmđược thực hiện tại tầng 2 - tầng liên kết dữ liệu - của

mô hìnhOSI, như được mô tả trong hình 2.12



GV: Ths.Tô Nguyễn Nhật Quang



50



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Vị trí các giao thứcđường hầm tầng 2 trong mô hìnhOSI

Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng

gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại

đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.

Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng

trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem

xét và so sánh chúng dựa trên mục đích sử dụng.

• Internet Protocol Security (IPSec)

• Point-to-Point Tunneling Protocol (PPTP)

• Layer 2 Forwarding Protocol (L2F)

• Layer2 Tunneling Protocol (L2TP)

• Secure Socket Layer (SSL)

Phải nói thêm rằng sẽ không có một giải pháp dùng chung cho mọi qui mô mạng của

doanh nghiệp. Lựa chọn tốt nhất cho doanh nghiệp phải dựa trên việc cân nhắc các yếu

tố: hệ điều hành triển khai trên máy chủ và máy trạm, tài nguyên mạng cần thiết cho

việc truy cập, mức độ bảo mật yêu cầu, các vấn đề về hiệu suất, khả năng quản trị...

2.5.1 Giao thức Point to Point Tunneling (PPTP)

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho

những kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho

nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ

kết nối từ điểm tới điểm.



GV: Ths.Tô Nguyễn Nhật Quang



51



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Giao thức PPTP

PPTP chỉ hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi PPP mà nó chỉ

là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP.



Hình 2.: Gói tin trong PPTP



Hình 2.: Các bước xử lý gói IP trong PPTP



GV: Ths.Tô Nguyễn Nhật Quang



52



Nhóm 8



Xem Thêm

Tài liệu liên quan

Tải bản đầy đủ (.docx) (88 trang)

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×