1. Trang chủ
  2. » Thể loại khác

Virtual Network private (VPN)

26 527 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Mạng riêng ảo
Trường học NIIT Hải Phòng
Thể loại bài viết
Thành phố Hải Phòng
Định dạng
Số trang 26
Dung lượng 227,53 KB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Virtual Network private (VPN)

Trang 2

Mục lục 1.1 Các khái niệm cơ bản về mạng riêng ảo

1.1.1 Định nghĩa về Mạng riêng ảo

1.1.2 Một số ví dụ về Mạng riêng ảo:

1.2 Những lợi ích cơ bản của Mạng riêng ảo

1.3 Những yêu cầu đối với Mạng riêng ảo

1.4 Cách tiếp cận cơ bản thiết kế và cài đặt VPN

1.5 Các mô hình kết nối VPN thông dụng

1.5.1.VPN Truy cập từ xa (Remote Access VPN):

1.5.2 VPN Cục bộ (Intranet VPN)

1.5.3 Mạng riêng ảo mở rộng (Extranet VPN)

1.6 Các công nghệ và các chính sách an toàn Mạng riêng ảo

1.6.1 Sự cần thiết của chính sách an toàn Mạng

1.6.2 Chính sách an toàn mạng

1.6.3 Chính sách an toàn Mạng riêng ảo

Trang 3

1.1 Các khái niệm cơ bản về mạng riêng ảo

1.1.2 Định nghĩa về mạng riêng ảo: Mạng riêng ảo, có tên tiếng Anh là

Virtual

Private Network, viết tắt là VPN

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (nhưInternet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạtầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểmsoát được truy nhập.Nói cách khác, VPN được định nghĩa là liên kết củakhách hàng được triển khai trên một hạ tầng công cộng với các chínhsách như là trong một mạng riêng Hạ tầng công cộng này có thể làmạng IP, Frame Relay, ATM hay Internet

Theo tài liệu của IBM VPN là sự mở rộng một mạng Intranet riêngcủa mộtdoanh nghiệp qua một mạng công cộng như Internet, tạo ra mộtkết nối an toàn, thực chất là qua một đường hầm riêng VPN truyềnthông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánhvăn phòng và các đối tác thương mại thành một mạng Công ty mở rộng.Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranetqua một mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệuquả kết nối giữa 2 điểm truyền thông cuối Mạng Intranet riêng được

mở rộng nhờ sự trợ giúp của các“đường hầm” Các đường hầm này chophép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyềnthông điểm - điểm

Trang 4

1.1.2: Một số ví dụ mạng riêng ảo

1.2 Những lợi ích của mạng riêng ảo: VPN mang lại nhiều lợi ích,

những lợi ích này bao gồm:

- Giảm chi phí thực thi:Chi phí cho VPN ít hơn rất nhiều so với các giảipháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM

Mô hình VPN kết nối giữa các chi nhánh công ty

Trang 5

hay ISDN Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kếtnối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISPhoặc điểm đại diện của ISP.

- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí

truyền thông đường dài VPN cũng làm giảm được chi phí hoạt độngcủa mạng dựa vào WAN một cách đáng kể Hơn nữa, một tổ chức sẽgiảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPNđược quản trị bởi ISP Vì lúc này, thực tế là Tổ chức không cần thuênhiều nhân viên mạng cao cấp

- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các

phần tử ở xa của một Intranet Vì Internet có thể được truy cập toàn cầu,nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ

xa đều có thể dễ dàng kết nối tới Intranet của Công ty mình

- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền

dữ liệu qua mạng công cộng không an toàn Dữ liệu đang truyền đượcbảo mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm

sử dụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền đểbảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kếtquả là VPN mang lại mức độ bảo mật cao cho việc truyền tin

- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường

Lease-Line, băng thông hoàn toàn không được sử dụng trong một kếtnối Internet không hoạt động Các VPN, chỉ tạo các đường hầm logic đềtruyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được

sử dụng khi có một kết nốiInternet hoạt động Vì vậy làm giảm đáng kểnguy cơ lãng phí băng thông mạng

- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép

Intranet của một công ty có thể mở rộng và phát triển khi công việc kinhdoanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương

Trang 6

tiện, thiết bị Điều này làm cho Intranet dựa trên VPN có khả năng mởrộng cao và dễ dàng tương thích với sự phát triển trong tương lai.

1.3 Những yêu cầu với mạng riêng ảo:

Như ta đã biết trong phần trước, VPN là một phương pháp để kếtnối mạng Intranet tương đối đơn giản và bảo mật qua mạng công cộngnhư Internet Công nghệ VPN không chỉ làm giảm chi phí thực thi mộtmôi trường mạng bảo mật cao mà còn giảm chi phí cho việc quản trị và

tổ chức nhân viên Hơn nữa, nó mang lạisự sẵn sàng, sự tin cậy và hiệuquả cao trong việc sử dụng băng thông mạng

VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng

ta dễ dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và cácmạng công cộng khác để truyền thông một cách bảo mật và kinh tế Vànhư vậy, hầu hết các yêu cầu của VPN và của mạng riêng truyền thống

là rất giống nhau Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau:

1.3.1 Bảo mật

Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì cáctài nguyên mạng không được truy cập bởi mạng công cộng Vì vậy, xácsuất truy cập trái phép đến Intranet và các tài nguyên của nó là rất thấp.Tuy nhiên, nhận định này rất có thể không đúng với VPN có sử dụngInternet và các mạng công cộng khác như mạng điện thoại chuyểnmạch công cộng (Public Switched Telephone Networks - PSTNs) chotruyền thông Thiết lập VPN mang lại cho các Hacker, Cracker cơ hộithuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua cácmạng công cộng Vì vậy, mức độ bảo mật cao và toàn diện cần phảiđược thựcthi một cách chặt chẽ

Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mậttheo các cách như sau:

Trang 7

+ Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dònglưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cảcác lưu lượng khác Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT)

là các ví dụ về kỹ thuật phòng thủ Firewall không chỉ kiểm tra kỹ lưulượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảomật cao Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không để lộ địachỉ IP của nguồn tài nguyên cục bộ trong mạng Và như vậy, kẻ tấn côngkhông biết được đích của các tài nguyên đó trong mạng Intranet

+ Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu

để thiết lập định danh của người dùng và quyết định anh ta có đượcphép truy cập tới các tài nguyên trong mạng hay không Mô hình xácthực, cấp quyền, kiểm toán (AAA) là một ví dụ về hệ thống xác thựcngười dùng toàn diện Đầu tiên hệ thống sẽ xác nhận người dùng truycập vào mạng Sau khi người dùng đã được xác thực thành công, họ chỉ

có thể truy cập đến các tài nguyên đã được cấp quyền Hơn nữa, một kýchi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì,cho phép người quản trị mạng ghi lại những hoạt động trái phép, bấtthường

+ Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữliệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệukhi được truyền qua mạng không tin cậy Bảo mật giao thứcInternet(Internet Protocol Security -IPSec) nổi bật lên như một cơ chế mãhoá dữ liệu mạnh nhất Nó không chỉ mã hoá dữ liệu đang được truyền

mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêngbiệt

+ Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cầncung cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull)

Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng

1.3.2 Tính sẵn sàng và tin cậy

Trang 8

Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vàomạng (uptime) Trong các mạng riêng và mạng Intranet, thời gian này làtương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng

và được kiểm soát đầy đủ bởi tổ chức Tuy nhiên, VPN sử dụng cácmạng tương tác trung gian như Internet và PSTN vì vậy các thiết lậpdựa trên VPN phụ thuộc nhiều vào mạng trung gian Trong trường hợpnày, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP).Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liênquan mật thiết với nhân tố tính sẵn sàng Tính tin cậy của giao dịchtrong VPN đảm bảo rằng những người dùng cuối được phân phối dữliệu trong mọi hoàn cảnh Cũng như hầu hết các thiết lập mạng khác,tính tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việcchuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạohoặc thiết bị trong đường bị lỗi Toàn bộ quá trình này là hoàn toàntrong suốt với người dùng cuối

1.3.3 Chất lượng dịch vụ

Trong một mạng riêng ảo, cũng như trong một mạng thông thường.Đều có mong muốn là mang lại tính trong suốt cho các gói dữ liệu khichúng được truyền từ nguồn đến đích cũng như đảm bảo chất lượng cácdịch vụ khác Vấn đề với QoS là xác định như thế nào? có được đảm bảohay không? là rất khó Trừ khi có tắc nghẽn mạng, rất khó để chứngminh rằng QoS được đảm bảo Chất lượng dịch vụ là khả năng phản hồitrong các hoàn cảnh tới hạn bằng cách gán một tỷ lệ để xác định giới hạnlỗi trong việc sử dụng băng thông mạng và các tài nguyên cho các ứngdụng Các ứng dụng như giao dịch tài chính, quá trình đặt hàng từ cácđối tác thương mại là tương đối nhạy cảm với băng thông Các ứngdụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn

để tránh hiện tượng chất lượng kém của giao dịch

1.3.4 Khả năng quản trị

Trang 9

Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng,cùng với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả cácđơn vị có mạng kết nối phạm vi toàn cầu Hầu hết các đơn vị được kếtnối với các nguồn tài nguyên của thế giới bằng sự trợ giúp của nhà cungcấp dịch vụ Kết quả là không thể kiểm soát tại 2 đầu cuối trong mạngIntranet của một đơn vị vì phải qua mạng Intranet trung gian của nhàcung cấp dịch vụ Trong hoàn cảnh này, một đơn vị phải quản trị đượctài nguyên cho đến cả mạng kinh doanh của họ, trong khi nhà cung cấpdịch vụ quản trị các thiết lập mạng của họ Với sự sẵn có các thiết bịVPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với nhàcung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc quảntrị tài nguyên và quản trị toàn bộ phần riêng và phần công cộng của cácphần cuối VPN Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trìmạng của họ như trong mô hình truyền thống, có thể kiểm soát toàn bộtruy cập mạng và có quyền giám sát trạng thái thời gian thực, sự thựcthi của VPN Hơn nữa Công ty cũng có thể giám sát phần công cộng củaVPN Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộcquyền kiểm soát của họ Tuy nhiên, nếu được yêu cầu, nhà cung cấpdịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở hạtầng VPN của người dùng.

1.3.5 Khả năng tương thích

Như chúng ta đã biết VPN sử dụng mạng công cộng như là mộtkết nối đường dài, các mạng trung gian này có thể dựa trên IP nhưInternet hoặc cũng có thể dựa trên công nghệ mạng khác như FrameRelay (FR), Asynchronous Transfer Mode (ATM) Kết quả là VPN có thể

sử dụng tất cả các kiểu công nghệ và giao thức cơ sở

Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải

có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thíchvới một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tíchhợp vào VPN

Trang 10

+Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thứckhông dựa

trên IP thành IP Các thiết bị này có thể là các thiết bị mạng chuyên dụnghoặc cũng có thể là các giải pháp dựa trên phần mềm Getway IP đượccài đặt trên mọi Server và thường được dùng để chuyển đổi dòng lưulượng

+Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuậtđóng gói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ

sở hạ tầng dựa trên IP Các thiết bị cuối khác, khi nhận được các gói dữliệu đã đóng gói này sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệugốc “Đường hầm” bây giờ được xem như là một thiết bị tryền tải

+Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như tronghình vẽ 1.4, VIPR làm việc bằng cách phân vùng lôgic một Router vật lýtại vị trí nhà cung cấp dịch vụ sau cùng(như là một phần cơ sở hạ tầngcủa ISP) Mỗi một phân vùng được cấu hình và quản trị như một Routervật lý và có thể hỗ trợ một VPN Theo cách gọi đơn giản, mỗi một phânvùng lôgic được xem như một Router với đầy đủcác chức năng của nó.Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và cókhả năng chứa địa chỉ IP riêng

1.4 Cách tiếp cận cơ bản thiết kế và cài đặt VPN

Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiếtlập một mạng Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việcphân tích các yêu cầuvcủa tổ chức sẽ kéo theo thiếu sót trong lập kếhoạch và ta sẽ thấy ảnh hưởng rất nhiều về sau

Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo

ý tưởng tối ưu hoá mọi thứ

Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặtVPN bao gồm:

Trang 11

+ Mô hình VPN nào được chọn để thực hiện?

+ Khả năng mở rộng và tương thích trong tương lai

1.5 Các mô hình kết nối VPN thông dụng

Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:

- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xacủa mộtCông ty có thể truy cập vào tài nguyên mạng của công ty họ bất

cứ lúc nào

- Có khả năng kết nối từ xa giữa các nhánh văn phòng

- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đốitác quan trọng đối với giao dịch thương mại của công ty

Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển vàphân thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN),VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN)

1.5.1.VPN Truy cập từ xa (Remote Access VPN):

Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay

dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền

hạ tầng mạng công cộng Dịch vụ này cho phép người dùng truy xuấttài nguyên mạng của Công ty họnhư là họ đang kết nối trực tiếp vàomạng đó

Trang 12

Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng

từ xa, người dùng di động của một tổ chức có thể truy cập tới các tàinguyên mạng củatổng công ty Điển hình, các yêu cầu truy cập từ xa nàyđược đưa ra bởi ngườidùng đang di chuyển hoặc các nhánh văn phòng

từ xa mà không có một kết nối cố định tới Intranet của tổng công ty.Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi chưa có

sự mở rộng của VPN bao gồm các thành phần chính như sau:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xácthực vàcấp quyền cho các yêu cầu truy cập từ xa

+ Kết nối Dialup tới mạng trung tâm

+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và

hỗ trợngười dùng từ xa

Hình 1.6 Thiết lập truy cập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh vănphòng vàngười dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới

Trang 13

ISP và thông qua đó để kết nối tới mạng của công ty qua Internet Thiếtlập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.7

Hình 1.7: thiết lập VPN truy cập từ xa

1.5.2 VPN Cục bộ (Intranet VPN)

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở

xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạngWAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch

Ngày đăng: 24/01/2013, 15:31

Xem thêm

HÌNH ẢNH LIÊN QUAN

Hình 1.6 Thiết lập truy cập từ xa không có VPN - Virtual Network private (VPN)
Hình 1.6 Thiết lập truy cập từ xa không có VPN (Trang 12)
Hình 1.7: thiết lập VPN truy cập từ xa - Virtual Network private (VPN)
Hình 1.7 thiết lập VPN truy cập từ xa (Trang 13)
Hình 1.9 Thiết lập VPN dựa trên VPN - Virtual Network private (VPN)
Hình 1.9 Thiết lập VPN dựa trên VPN (Trang 15)
Hình 1.11 Mạng Extranet dựa trên VPN - Virtual Network private (VPN)
Hình 1.11 Mạng Extranet dựa trên VPN (Trang 17)
Hình 1.10 Mạng Extranet truyền thống - Virtual Network private (VPN)
Hình 1.10 Mạng Extranet truyền thống (Trang 17)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w