4 Phân loại mạng VPN

TRIỂN KHAI VPN VÀ IPSEC

dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu

một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.



Hình 2.: Mô hình mạng VPN truy nhập từ xa



Hình 2.: Thiết lập truy cập từ xa không có VPN



GV: Ths.Tô Nguyễn Nhật Quang



45



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Thiết lập VPN truy cập từ xa

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ

xa truyền thống như:

Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì

quá trình kết nối từ xa được cácISP thực hiện.

Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối

khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.

Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

-



Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc

độ cao hơn so với các truy nhập khoảng cách xa.



-



VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì

chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.



Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những

nhược điểm cố hữu đi cùng như:

-



Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát

không đến nơi hoặc mất gói.

Bởi vì thuật toán mã hoá phức tạp, nên tiêu đềgiao thức tăng một cách đáng

kể.



GV: Ths.Tô Nguyễn Nhật Quang



46



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

2.4.2 Mạng VPN cục bộ

Các VPN cục bộđược sử dụng để bảo mật các kết nối giữa các địa điểm khác

nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên

một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho

phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệuđược phép trong

toàn bộ mạng của công ty.

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng

mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp

nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thườngđược cấu hình như là một

VPN Site- to- Site.



Hình 2.: Mô hình mạng VPN cục bộ

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiệnmạng

thông qua một hay nhiều nhà cung cấp dịch vụ).

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó

có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường

ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao.

Ví dụ như công nghệ Frame Relay, ATM.

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi

cùng như:



GV: Ths.Tô Nguyễn Nhật Quang



47



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

-



Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho

nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất

lượng dịch vụ (QoS).



- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu

cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong

môi trường Internet.

2.4.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN

mở rộng không bị cô lập với “thế giới bên ngoài”.



Hình 2.: MạngExtranet truyền thống

Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những

nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là

cácđối tác, khách hàng, và các nhà cung cấp… .



GV: Ths.Tô Nguyễn Nhật Quang



48



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Mạng extranet sử dụng VPN



Hình 2.: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các

nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng

các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự

khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được

công nhận ở một trong hai đầu cuối của VPN.

Những ưu điểm chính của mạng VPN mở rộng:



GV: Ths.Tô Nguyễn Nhật Quang



49



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC

• Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền

thống.

• Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt

động.

• Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có

nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp

với các nhu cầu của mỗi công ty hơn.

• Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên

giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi

phí vận hành của toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những

nhược điểm đi cùng như:

• Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công

cộng vẫn tồn tại.

• Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu

truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong

môi trường Internet.

• Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.



2.5 Các giao thức đường hầm VPN 3

Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ

bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công

cộng như Internet. Với VPN, người dùng có thể trao đổi dữ liệu giữa hai máy tính trên

mạng chia sẻ hoặc mạng công cộng như Internet thông qua mô phỏng một liên kết

điểm tới điểm (point-to-point). Các gói tin được gửi qua VPN nếu bị chặn trên mạng

chia sẻ hoặc mạng công cộng sẽ không thể giải mã được vì không có mã khóa. Đó là

một mạng riêng sử dụng hạ tầng truyền thông công cộng, duy trì tính riêng tư bằng

cách sử dụng một giao thức đường hầm (tunneling protocol) và các thủ tục bảo mật

(security procedures). VPN có thể sử dụng để kết nối giữa một máy tính tới một mạng

riêng hoặc hai mạng riêng với nhau.

Một số giao thức đường hầmđược thực hiện tại tầng 2 - tầng liên kết dữ liệu - của

mô hìnhOSI, như được mô tả trong hình 2.12



GV: Ths.Tô Nguyễn Nhật Quang



50



Nhóm 8



TRIỂN KHAI VPN VÀ IPSEC



Hình 2.: Vị trí các giao thứcđường hầm tầng 2 trong mô hìnhOSI

Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng

gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại

đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu.

Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng

trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem

xét và so sánh chúng dựa trên mục đích sử dụng.

• Internet Protocol Security (IPSec)

• Point-to-Point Tunneling Protocol (PPTP)

• Layer 2 Forwarding Protocol (L2F)

• Layer2 Tunneling Protocol (L2TP)

• Secure Socket Layer (SSL)

Phải nói thêm rằng sẽ không có một giải pháp dùng chung cho mọi qui mô mạng của

doanh nghiệp. Lựa chọn tốt nhất cho doanh nghiệp phải dựa trên việc cân nhắc các yếu

tố: hệ điều hành triển khai trên máy chủ và máy trạm, tài nguyên mạng cần thiết cho

việc truy cập, mức độ bảo mật yêu cầu, các vấn đề về hiệu suất, khả năng quản trị...

2.5.1 Giao thức Point to Point Tunneling (PPTP)

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho

những kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho

nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ

kết nối từ điểm tới điểm.



GV: Ths.Tô Nguyễn Nhật Quang



51



Nhóm 8