Xây dựng mạng riêng ảo VPN cho Viễn thông Hà Nội

Luận văn này được cấu trúc thành 3 chương như sau:Chương 1 có tiêu đề: “Đặc trưng của công nghệ mạng riêng ảo”. Chương này trình bày tóm tắt các khái niệm cơ bản về mạng riêng ảo, lợi ích của mạng riêng ảo, các loại mạng riêng ảo, các giao thức và vấn đề bảo mật trong mạng riêng ảo.Chương 2 có tiêu đề: “Hiện trạng mạng viễn thông tin học Hà Nội”. Chương này đưa ra cấu hình hiên tại của mạng viễn thông tin học Hà Nội cùng các trang thiết bị, mô hình tổ chức của Viễn thông Hà Nội nhằm đưa ra vấn đề cần thiết phải xây dựng một mạng máy tính phục vụ sản xuất kinh doanh cho đơn vịChương 3 có tiêu đề: “Xây dựng mạng riêng ảo cho Viễn thông Hà Nội”.

1

-LỜI MỞ ĐẦU

Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh, một nước mà còn mở rộng ra toàn thế giới Việc trao đổi thông tin theo cách truyền thống là dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tài nguyên khi dữ liêu trao đổi không nhiều và không thường xuyên Mạng riêng ảo là phương pháp tận dụng cơ sở hạ tầng công cộng có sẵn để xây dựng một mạng cục bộ Bởi vậy, mạng riêng ảo có tính năng phong phú và tin cậy của một mạng công cộng lại vừa linh hoạt, hiệu quả của mạng chuyên dung.

Xuất phát từ nhu cầu thực tế cùng với việc đánh giá, phân tích hiện trạng của mạng viễn thông Hà Nội, những thuận lợi và khó khăn trong việc trao đổi dữ liệu giữa các đơn vị, từ đó xây dựng một mạng riêng ảo cho viễn thông Hà Nội

Để hoàn thành đề tài này, tôi xin cảm ơn PGS.Tiến Sĩ Nguyễn Minh Dân, thày giáo đã định hướng nghiên cứu đề tài và đã đưa ra những nhận xét hết sức quí giá, trực tiếp giúp đỡ tôi trong suốt thời gian nghiên cứu Tôi xin được bày tỏ lòng cảm ơn chân thành tới các thày cô giáo khoa Quốc tế và sau đại học, các bạn đồng nghiệp, các kỹ thuật viên của Viễn thông Hà Nội đã nhiệt tình cộng tác giúp đỡ tôi hoàn thành tốt luận văn của mình

Do thời gian hạn chế nên trong quá trình thực hiện đề tài không tránh khỏi những thiếu sót, rất mong tiếp tục nhận được những đóng góp ý kiến của các thầy

cô giáo, các bạn đồng nghiệp

Xin chân thành cảm ơn!

Hà Nội, ngày 15 tháng 9 năm 2008 Học viên thực hiện

Nguyễn Hoàng Tuấn

MỤC LỤC

Lời mở đầu……….1

Danh mục các chữ viết tắt và thuật ngữ……… 5

Danh mục hình vẽ……… 7

CHƯƠNG 1: ĐẶC TRƯNG CỦA CÔNG NGHỆ MẠNG RIÊNG ẢO 2

1.1 Quá trình phát triển của mạng riêng ảo 2

1.2 Lợi ích của mạng riêng ảo 2

1.3 Mạng riêng ảo (VPN – Virtual Private Network) 2

1.3.1 Đặc trưng và nguyên lý cơ bản của VPN (IP-VPN) 2

1.3.2 Các loại mạng riêng ảo 2

1.3.2.1 Mạng riêng ảo truy nhập từ xa: 2

1.3.2.2 Mạng riêng ảo kết nối điểm - điểm: 2

1.3.3 Các giao thức dùng cho VPN 2

1.3.3.1 Giao thức định đưòng hầm điểm - điểm PPTP 2

1.3.3.2 Giao thức định đường hầm lớp 2 – L2TP 2

1.3.3.3 Giao thức bảo mật IP – IPSec 2

1.3.4 Các vấn đề bảo mật trong VPN 2

1.3.4.1 Phương pháp dịch địa chỉ mạng (Network Address Translation) 2

1.3.4.2 Phương pháp tường lửa 2

1.3.4.3 Phương pháp mật mã 2

1.4 Kết luận chương 2

CHƯƠNG 2: HIỆN TRẠNG MẠNG VIỄN THÔNG TIN HỌC HÀ NỘI 2

2.1 Tổ chức hành chính của Viễn thông Hà Nội 2

2.2 Cấu hình và thiết bị mạng Viễn thông 2

2.2.1 Chuyển mạch 2

2.2.2 Internet 2

2.2.3 Mạng truyền dẫn 2

2.2.4 Mạng ngoại vi 2

2.3 Cấu hình và thiết bị tin học 2

2.4 Đội ngũ cán bộ 2

2.5 Kết luận chương 2

CHƯƠNG 3: XÂY DỰNG MẠNG RIÊNG ẢO CHO VIỄN THÔNG HÀ NỘI 2 3.1 Mục tiêu và năng lực của mạng máy tính 2

3.2 Xây dựng mô hình mạng máy tính cho Viễn thông Hà Nội 2

3.2.1 Trung tâm mạng và dữ liệu 2

3.2.2 Quản trị điều hành mạng 2

3.2.3 Quản lý nghiệp vụ 2

3.2.4 Tính cước và in hoá đơn 2

3.2.5 Giao dịch khách hàng tại Trung tâm dịch vụ khách hàng 2

3.2.6 Tiếp nhận báo hỏng 119 2

3.2.7 Các tổng đài Host 2

3.2.8 Các đài viễn thông 2

3.3 Giải pháp kết nối mạng cho Viễn thông Hà Nội 2

3.3.1 Yêu cầu kết nối mạng 2

3.3.2 Lựa chọn kiểu kết nối mạng LAN 2

3

-3.3.3 Giải pháp kết nối mạng Wan 2

3.3.3.1 Kết nối bằng phương pháp Leased – Line qua hệ thống cáp quang SDH 2

3.3.3.2 Kêt nối Lease line cáp đồng 2

3.3.3.3 Kết nối qua mạng NGN 2

3.3.4 Giải pháp kết nối mạng riêng ảo 2

3.3.4.1 Kết nối mạng riêng ảo dựa trên MPLS lớp 2 2

3.3.4.2 Kết nối mạng riêng ảo dựa trên MPLS lớp 3 2

3.4 Các hướng cần kết nối 2

3.4.1 Kết nối với Tập đoàn Bưu chính viễn thông Việt Nam 2

3.4.2 Kết nối với các đơn vị trực thuộc 2

3.4.3 Kết nối tới các điểm giao dịch 2

3.4.4 Kết nối tới các các tổng đài vệ tinh, Host 2

3.5 Phương án lựa chọn thiết bị 2

3.5.1 Lựa chọn thiết bị Switch 2

3.5.2 Lựa chọn máy chủ 2

3.5.3 Các thiết bị khác 2

3.5.4 Phần mềm ứng dụng 2

3.5.4.1 Hệ thống phần mềm Intranet 2

3.5.4.2 Phần mềm quản trị mạng 2

3.5.4.3 Tính cước và chăm sóc khách hàng 2

3.5.4.4 Hệ thống báo cáo nhanh 2

3.5.4.5 Các phần mềm hỗ trợ và kiểm tra hệ thống 2

3.5.5 Phần mềm hệ thống 2

3.5.5.1 Hệ điều hành Windows Advance server 2

3.5.5.2 Phần mềm cơ sở dữ liệu Oracle9i Database for LINUX 2

3.5.5.3 Phần mềm Cluster cho LINUX 2

3.5.6 Cấu hình các thiết bi đầu tư 2

3.6 Phương án kỹ thuật chi tiết 2

3.6.1 Giải pháp kết nối mạng 2

3.6.1.1 Vị trí trung tâm mạng 2

3.6.1.2 Kết nối các đài viễn thông, đài khai thác chuyển mạch truyền dẫn 2

3.6.1.3 Kêt nối các điểm giao dịch 2

3.6.1.4 Kêt nối tại các tổng đài vệ tinh 2

3.6.1.5 Kết nối HOST 2

3.6.2 Yêu cầu thiết bị 2

3.6.2.1 Tại trung tâm mạng 2

3.6.2.2 Các đơn vị tại trung tâm Viễn thông Hà Nội 2

3.6.2.3 Tại các điểm giao dịch của Trung tâm dịch vụ khách hàng 2

3.6.2.4 Tại các Trung tâm Viễn thông, đài khai thác chuyển mạch 2

3.6.3 Phương án sử dụng thiết bị sẵn có 2

3.6.3.1 Thiết bị mạng 2

3.6.3.2 Thiết bị máy tính và máy in 2

3.6.4 Phân bố địa chỉ IP 2

3.7 Thiết lập thông số VPN trên các thiết bị 2

3.8 Đánh giá hiệu quả 2

3.9 Kết luận chương 2

KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO 2

TÀI LIỆU THAM KHẢO 2

PHỤ LỤC 2

5

-CÁC CHỮ VIẾT TẮT VÀ THUẬT NGỮ

Chữ viết

tắt

ADSL Asymmetric Digital subscriber line Đường dây thuê bao số không đối

xứngBRAS Broadband Remote Access Service Dịch vụ truy cập từ xa băng rộngCERouter Customer Edge Router Router tại đầu khách hàng

CO Centrer Office Văn phòng trung tâm

CRC Cyclic Redundancy Mã kiểm tra dư

CSA Customer Service Area Vùng phục vụ khách hàng

DSL Digital Subscriber Line Đường dây thuê bao số

DSLAM Digital Subscriber Line Access

Multiplexer

Bộ tập trung thuê bao

HDSL High Data Rate Digital Subscriber

Line

Đường dây thuê bao số tốc độ cao

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

IP Internet Protocol Giao thức Internet

IPsec IP Security Bảo mật IP

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

L2TP Giao thức định đường hầm lớp 2LTU Line Termination Unit Thiết bị đầu cuối đường dây

MPLS Multi Protocol Label Switching Chuyển mạch nhãn đa giao thứcNAT Network Address Translation Phiên dịch địa chỉ mạng

NTU Network Termination Unit Thiết bị đầu cuối mạng

NSP Network Service Provicer Nhà cung cấp dịch vụ mạng

PERouter Provicer Edge Router Router của nhà cung cấp

PPTP Point to Point Tunneling Protocol Giao thức đường hầm điểm - điểmRAS Remote Access Service Dịch vụ truy cập từ xa

SHDSL Single pair High speed Digital

Subscriber Line

DSL đối xứng tốc độ cao trên một

đôi cáp

VC Virtual Channel Kênh ảo

VPN Virtual Private Network Mạng riêng ảo

VRF VPN Routing and Forwarding Bảng định tuyến và chuyển tiếp

DANH MỤC CÁC HÌNH VẼ

Hình 1.1 Mô hình mạng riêng ảo

Hình 1.2 Sơ đồ nguyên lý công tác đường hầm trong VPN

Hình 1.3 Minh họa việc tạo đường hầm lớp 3

Hình 1.4 VPN truy cập từ xa

Hình 1.5 Mô hình Intranet xây dựng trên VPN

Hình 1.6 Mô hình Extranet xây dựng trên VPN

Hình 1.7 Kiến trúc của PPTP

Hình 1.8 Đóng gói PPTP/GRE

Hình 1.9 Cấu trúc gói dữ liệu trong đường hầm PPTP

Hình 1.10 Đường hầm L2TP

Hình 1.11 Quá trình tạo đường hầm L2TP

Hình 1.12 Quá trình đóng gói dữ liệu trong đường hầm L2TP

Hình 1.13 Quá trình mở gói dữ liệu trong đường hầm L2TP

Hình 1.14 Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 1.15 Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

Hình 1.16 Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Hình 1.17 Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Hình 3.2 Kết nối Lease cáp đồng

Hình 3.3 Kết nối qua NGN

7

-Hình 3.4 Kết nối mạng riêng ảo lớp 2

Hình 3.5 Kết nối mạng riêng ảo lớp 3

CHƯƠNG 1: ĐẶC TRƯNG CỦA CÔNG NGHỆ MẠNG RIÊNG ẢO

1.1 Quá trình phát triển của mạng riêng ảo

Mạng riêng ảo (VPN – Virtual Private Network) bắt nguồn từ yêu cầu củakhách hàng mong muốn có thể kết nối một cách có hiệu quả các tổng đài thuê bao(PBX) lại với nhau thông qua mạng diện rộng (WAN), PBX, hệ thống điện thoạinhóm, hoặc là mạng cục bộ LAN Việc kết nối này thông qua hệ thống đường dâychuyên dùng Mạng chuyên dùng này có ưu điểm là có thể do thuê bao trực tiếp

điều khiển, có tính linh hoạt tương đối cao và có năng lực quản lý mạng lưới hoàntoàn độc lập; sử dụng riêng các loại thiết bị như chuyển mạch, truyền dẫn và dâythuê bao đảm bảo được độ tin cậy cao của mạng lưới Tuy nhiên các thuê bao phải

có năng lực kinh tế nhất định thì mới có thể chịu nổi kinh phí xây dựng mạngchuyên dùng này

Năm 1975 Viễn thông Pháp đã đưa ra một loại nghiệp vụ được gọi là Ciliseecung cấp dịch vụ dây chuyên dùng loại chuyển mạch Mạng dây chuyên dùng nàychính là hình thức đầu tiên của VPN chủ yếu là dung để nối thong các tổng đài thuêbao, cung cấp chuyển mạch âm thoại và quản lý hộ khách Phạm vi bao phủ củaVPN lúc này rất hẹp, tính năng dịch vụ cung cấp không nhiều, không linh hoạt

Từ đó đến nay, kỹ thuật VPN không ngừng phát triển Năm 1985 Công tyViễn thông đường dài cỡ lớn của Mỹ là Sprint đưa ra mạng VPN được định nghĩabằng phần mềm Năm 1989 AT & T cũng là một hang truyền thông lớn của Mỹ đưa

ra dịch vụ quốc tế IVPN Và nhiều năm sau đó các công ty Viễn thong các nướcnhư Đức, Pháp và công ty Sprint của Mỹ đã kết thành liên minh Global One chuyêncung cấp dịch vụ VPN trên toàn thế giới

1.2 Lợi ích của mạng riêng ảo

Lợi ích cho doanh nghiệp

- Mở rộng kết nối ra nhiều khu vực và cả thế giới

- Tăng cường an ninh mạng

- Giảm chi phí so với thiết lập mạng WAN truyền thống

- Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khảnăng tương tác

- Đơn giản hoá mô hình kiến trúc mạng

- Cung cấp những cơ hội kết nối toàn cầu (điều này rất khó và đắt nếu kếtnối trực tiếp bằng đường truyền riêng)

- Hỗ trợ làm việc từ xa

- Cung cấp khả năng tương thích với mạng lưới băng thông rộng

- Giúp thu hồi vốn nhanh (return on investment) so với mạng WAN truyềnthống

9

Quản lý dễ dàng: trường có khả năng quản lý số lượng người sử dụng(khả năng thêm, xoá kênh kết nối liên tục, nhanh chóng) Hiện nay nhucầu sử dụng tư vấn từ bên ngoài, các nguồn lực từ bên ngoài để phục vụcho công tác kinh doanh đã trở thành một xu hướng

- Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sửdụng công nghệ DSL

- Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấptrên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năngliên kết lớn, mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịchvụ

Lợi ích đối với nhà cung cấp dịch vụ:

- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụgia tăng giá trị khác kèm theo

- Tăng hiệu quả sử dụng mạng internet hiện tại

- Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu

tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ vớikhách hàng đặc biệt là các khách hàng lớn

- Đầu tư không lớn hiệu quả đem lại cao

- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ Thiết bị sửdụng cho mạng VPN

1.3 Mạng riêng ảo (VPN – Virtual Private Network)

Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạngLAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dây thuêbao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng củamột tổ chức với địa điểm hoặc người sử dụng ở xa Như vậy có nghĩa là VPN là mộtmạng ảo, không có kết nối vật lý cố định, mạng lưới chỉ được thiết lập khi hộ dùng

có yêu cầu VPN lợi dụng cơ sở hạ tầng của mạng công cộng để tạo ra mạng chuyêndung Do đó, VPN có tính năng phong phú và tin cậy của mạng công cộng và linhhoạt, hiệu quả của mạng chuyên dùng

Hình 1.1: Mô hình mạng riêng ảo

1.3.1 Đặc trưng và nguyên lý cơ bản của VPN (IP-VPN)

IP-VPN lợi dụng cơ sở hạ tầng của mạng lưới IP công cộng không an toànhiện có để tổ chức một mạng ảo an toàn và độc lập

- Tính an toàn: Do được cấu trúc trên cơ sở mạng IP công cộng nhưInternet cho nên phải áp dụng kỹ thuật an toàn mạng lưới để bảo đảm tính

cơ mật của tin tức, tính hoàn chỉnh, tính có thể chứng thức và tính khảdụng của mạng Điều đó làm cho VPN đạt đến mức chuyên dùng cao

- Tính độc chiếm: Đây là cảm giác của hộ dùng VPN trên mạng công cộng,nhưng thực chất lai là cùng sử dụng mạng công cộng với các hộ dùngkhác hay với các công ty xí nghiệp khác

- Tự biến thành một thể thống nhất: VPN cũng như mạng chuyên dùng, tựbiến thành một thể thế thống nhất, ở đó có không gian địa chỉ riêng củamình, có thể sử dụng giao thức phi IP như IPX VPN có năng lực phiêndịch địa chỉ của mạng lưới (NAT) và bảo đảm đa giao thức

Như vậy chúng ta thấy tính an toàn, tính độc chiếm và tính tự chủ của VPN

đã biến nó thnàh một thể thống nhất trên cơ sở mạng IP công cộng và điều này đãlàm cho VPN đạt đén độ yêu cầu “ảo” và “riêng”

Ký thuật VPN lấy đường hầm (tunnel) làm chỗ dựa, để thực hiện việc nốithông mạng lưới, dùng kỹ thuật điều khiển truy nhập Để tăng cường tính an toàncủa mạng VPN có kỹ thuật tạo ra, phân phát và quản lý khoá mã, quản lý mạng ảo

11

-Trong các kỹ thuật đó thì kỹ thuật đường hầm IP của giao thức an toàn là chỗ dựachủ yếu Hệ thống VPN lợi dụng thông tin mạng lưới công cộng và không đáng tincậy để tạo ra đường hầm IP an toàn đảm bảo tính cơ mật, có thể chứng thực tin tức

Hình 1 2: Sơ đồ nguyên lý công tác đường hầm trong VPNĐầu chuyển và đầu nhận có thể là từ LAN đến LAN, cũng có thể là từ hộ diđộng (mobile user) đến LAN Thiết bị VPN là bộ khởi đầu và bộ kết cuối đườnghầm an toàn IP Thiết bị này có thể phân làm 3 loại: Sản phẩm IP-VPN hoàn toàn làphần mềm, sản phẩm IP-VPN hoàn toàn là phần cứng chuyên dùng hoặc sản phẩmIP-VPN

Quá trình chuyển phát có thể miêu tả như sau:

- Điều khiển truy nhập: Thiết bị VPN có tính năng nhu điều khiển truynhập tương tự như bức tường lửa Khi tin của đầu chuyển phát đi vàothiết bị VPN thì trước hết do bộ phận điều khiển truy nhập quyết địnhviệc có cho phép chúng vào hay không Khi tin được đi vào thì sẽ đượcxác định là tin được đi trực tiếp hay phải mã hoá bảo mật để đi vào đườnghầm an toàn

- Xử lý trước khi vào đường hầm: đối với văn bản cần đi vào đường hầm

để truyền phát, nói chung là cần phải mã hoá để đảm bảo tính an toàn, từ

đó sử dụng các thuật toán để tiến hành xử lý, xắc nhận… đảm bảo tính

hoàn chỉnh và có thể chứng thức văn bản Sau cùng, gói tin được đónggói lại và được đưa vào đường hầm an toàn

- Vào đường hầm chuyển phát trên mạng công cộng: Những gói tin đã qua

mã hoá, xác nhận rồi lại đóng gói nên có thể nói gói dữ liệu như là thôngqua một “đường hầm” mã háo để trực tiếp đưa đến đầu nhận mà các hộdung khác không biết cũng không thể páh hoại hay giả mạo nội dung đãđược truyền tải

- Quá trình tiếp nhận tin: Quá trình này ngược với quá \trình chuyển phát.Phái tiếp nhận tin trước hết tiến hành ráp nối, phục hồi văn bản, rồi thôngxác nhận, giải mã để văn bản đọc được Cuối cùng bộ phận điều khiểntruy nhập xác định là văn bản có phù hợp với qui định xuất nhập an toànhay không, có thể đưa vào LAN hay máy chủ được chỉ định hay khôngNhư vậy chúng ta có thể thấy giao thức an toàn chính là kỹ thuật đường hầmcủa VPN, nhờ đó mà gói tin có thể được an toàn khi lưu thông trên mạng IP côngcộng, là cơ sở để bảo đảm sự chuyên dùng ảo của VPN

Minh hoạ cụ thể trên hình 1.3 Khi văn phòng trung tâm trả lời thông điệpcủa máy khách thì thông tin của gói tin gốc sẽ được đóng gói vào một gói IP khác.Điều này cho phép truyền gói tin ngang qua mạng cục bộ Tại sao phải đóng gói haytạo đường hầm ở lớp 3? Vì trong phần mào đầu lớp 3 có cả địa chỉ nguồn và địa chỉđích Ta muốn chúng an toàn và vô hình Bằng cách đóng gói tin trong một gói tinkhác, ta có thể mã hoá toàn bộ gói bao gồm cả phần mào đầu Người ta đặt bó trongmột gói khác có địa chỉ nguồn và địa chỉ đích là địa chỉ của router hoặc server ở haiđầu đường hầm Sau đó dự lêịu được truyền qua mạng Khi đến văn phòng chinhánh, gói tin được mở và gói tin gốc được giải mã Mào đầucủa gói tin này chophép định tuyến bên trong mạng của chi nhánh

13

-Hình 1 3: Minh hoạ việc tạo đường hầm lớp 3

Có hai kiểu đường hầm VPN khác nhau

- Kiểu đường hầm bắt buộc: Đây là kiểu đường hầm mà việc khởi tạo được

tiến hành bởi Gateway VPN Đương hầm này trong suốt đối với ngườidung và người dung không biết đến sự tồn tại của nó Điều này có nghĩa

là phải bắt buộc tạo đường hầm mỗi khi có người vào mạng Vì vậy cóthể kiểm soát mạng tốt hơn so với đường hầm tự nguyện Kiểu đườnghầm này phù hợp với các văn phòng loại nhỏ

- Kiểu đường hầm tự nguyện: Đường hầm này được khởi tạo bởi người

dung Do vậy, người dung phải thực hiện một số công việc để tạo đườnghầm Đường hầm này trong suốt đối với mạng nên có thể sử dụng trênbabát kỳ mạng nào Kiểu đường hầm này phù hợp với các văn phòng diđộng hoặc các văn phòng cỡ nhỏ

1.3.2 Các loại mạng riêng ảo

Có 2 loại mạng riêng ảo khác nhau là mạng riêng ảo truy nhập từ xa, mạngriêng ảo kết nối điểm - điểm

1.3.2.1 Mạng riêng ảo truy nhập từ xa:

VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (VPDN), là mộtkết nối người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhânviên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa Ví dụ nhưcông ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanhnghiệp (ESP) ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp chonhững người sử dụng từ xa một phần mềm máy khách cho máy tính của họ Sau đó,người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềmVPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phépcác kết nối an toàn, có mật mã.

Hình 1.4 VPN truy cập từ xa

Ưu điểm của VPN truy nhập từ xa so với truy nhập từ xa truyền thống

- Không có thành phần RAS và các thành phần modem liên quan

- Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởiISP

- Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nốiđịa phương Do đó chi phí vận hành giảm rất nhiều

- Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độcao hơn so với phải truyền dữ liệu đi xa

- VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗtrợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truycập mạng tăng cao Khi số người sử dụng trong hệ thống VPN tăng, thì

15

-mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàntoàn mất

Khuyết điểm:

- VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ QoS

- Khả năng mất dữ liệu là rất cao Thêm vào đó, gói tin có thể bị phânmảnh và mất trật tự

- Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khánhiều Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn Thêm vào

đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng không tốt

- Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đaphương tiện bằng “đường hầm” VPN truy nhập từ xa có thể gây chậmđường truyền

1.3.2.2 Mạng riêng ảo kết nối điểm - điểm:

VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nốinhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Do đóviệc bảo mật thông tin cần được thực hiện tại cả hai điểm Loại này có thể dựa trênIntranet hoặc Extranet

Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham

gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN intranet (VPN nội bộ)

để nối LAN với LAN

Ưu điểm:

- Giảm chi phí cho router được sử dụng ở WAN backbone

- Giảm số nhân sự hỗ trợ ở các nơi, các trạm

- Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nốipeer-to-peer mới

- Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kếthợp với kĩ thuật chuyển mạch nhanh như FR

- Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốthơn Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phívận hành intranet rất nhiều

Khuyết điểm:

- Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên một mạngcông cộng -Internet- nên cũng tồn tại những nguy cơ bảo mật nguyhiểm như tấn công từ chối dịch vụ (denial-of-service)

- Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao

- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải,chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạngInternet

- Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thểkhông ổn đinh và QoS không thể đảm bảo

Hình 1.5 Mô hình Intranet xây dựng trên VPN

Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một

công ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xây dựng mộtVPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau cóthể làm việc trên một môi trường chung

Ưu điểm:

- Giảm chi phí rất nhiều so với phương pháp truyền thống

- Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn

- Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ chogiải pháp tailoring phù hợp với nhu cầu tổ chức

17

Do các thành phần kết nối internet được bảo trì bởi ISP, giảm đượcchi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống

Khuyết điểm:

- Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại

- Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức

- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải,chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạngInternet

- Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thểkhông ổn đinh và QoS không thể đảm bảo

- Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm củaVPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp

Hình 1.6 Mô hình Extranet xây dựng trên VPN

1.3.3 Các giao thức dùng cho VPN

Có 3 giao thức chính dung để xây dựng VPN là: Giao thức định đưòng hầmđiểm - điểm PPTP, giao thức định đường hầm lớp 2 – L2TP và giao thức bảo mật

IP – IPSec

1.3.3.1 Giao thức định đưòng hầm điểm - điểm PPTP

Được phát triển bởi Microsoft, 3COM và Ascend Communications Nóđược đề xuất để thay thế cho IPSec PPTP thi hành ở phân lớp 2 (Data Link)trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hànhWindows

Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chứcnăng của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đườnghầm bảo mật thông qua Internet đến site đích.

PPTP sử dụng phiên bản giao thức GRE để đóng và tách gói PPP, giaothức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải

IP như: IPX, NETBEUI PPTP dùng một kết nối TCP (gọi là kết nối điều khiểnPPTP) để khởi tạo, duy trì, kết thúc đường ngầm

Hình 1.7: Kiến trúc của PPTPPPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng

và máy chủ truy nhập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dung

- Tạo các gói dự liệu PPP

Sauk hi PPP tạo các kết nối, PPTP sử dụng các qui luật đóng gói của PPP đểđóng các gói truyền trong đường hầm

Sau khi đường hầm được thiết lập thì dữ liệu người dung được truyền giữaclien và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu đượcđóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập ACKcho giám sát tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp lien kết dữ liệu, nên cần phải có tiêu đề môi trườngtruyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào?Ethernet, Frame Relay hay kết nối PPP

19

-PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệutruyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

Hình 1.8: Đóng gói PPTP/GRE

Cấu trúc gói của PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: Đóng gớikhung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Hình 1.9: Cấu trúc gói dữ liệu trong đường hầm PPTP

Đóng gói khung PPP

Phân tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Sau đó khung PPP được đóng gói với phần tiêu đề của phiên bản sửađổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận

32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường nhậndạng cuộc gọi 16 bit Trường nhận dạng cuộc gọi Call ID được thiết lập bởiPPTP clien trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửiqua mạng IP

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp lêin kết dữ liệu trong môhình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phàn tiêu đề (Header) vàphần kết thúc (Trailer) của lớp lien kết dữ liệu

1.3.3.2 Giao thức định đường hầm lớp 2 – L2TP

Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec Tiền thân của nó làLayer 2 Forwarding (L2F), được phát triển để truyền thông tin an toàn trên mạngInternet nhưng bị thay thế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và

có khả năng giao tiếp với Windown L2TP là sự phối hợp của L2F) và PPTP.Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửitrên các mạng X.25, FR, và ATM

L2TP có thể được sử dụng làm giao thức đường hầm cho mạng VPN nối điểm và VPN truy cập từ xa Trên thực tế, L2TP có thể tạo ra một đường hầmgiữa máy khách và router, NAS và router, router và router

điểm-Vì L2TP là sự kết hợp của L2F và PPTP do đó L2TP có các ưu điểm sau:

- L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP Do đó

nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập

- L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông quaInternet và các mạng công cộng khác

- L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiểnhay phần mềm hỗ trợ Do vậy mà cả người dùng từ xa và mạng riêng nội bộđều không cần phải thực thi phần mềm chuyện dụng

- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP củariêng truy cập mạng từ xa thông qua mạng công cộng

Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máychủ Do đó ISP không cần cập nhật dữ liệu chứng thực user hay quyền truy cập củauser từ xa Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó

và có các cơ chế bảo mật riêng Điều này làm cho quy trình thiết lập đường hầm củaL2TP nhanh hơn so với các nghi thức đường hầm trước nó

Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhấtnhư PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy

21

-đích) của mạng Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từuser từ xa và gateway của ISP

Hình 1.10: Đường hầm L2TPKhi khung PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đónggói dưới dạng gói dữ liệu user: thông điệp UDP(Uer Datagram Protocol) L2TP sửdụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm Vì vậygói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc

Các thành phần cơ bản của L2TP

Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cậpmạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS)

Máy chủ truy cập mạng - NAS

Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cungcấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thông quađường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm NAS có nhiệm vụ địnhquyền người dùng từ xa và quyết định quay số yêu cầu kết nối mạng Cũng như máychủ truy nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng đượcđặt tại ISP và hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP

Bộ tập trung truy cập L2TP - LAC

Vai trò của LAC: thiết lập đường hầm thông qua mạng công cộng (PSTN,ISDN và Internet) tới LNS của máy chủ mạng đầu cuối LAC có thể coi là điểm kếtthúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng

LAC được đặt tại ISP Tuy nhiên user từ bên ngoài cũng có thể hoạt độngnhư LAC trong trường hợp tạo đường hầm L2TP tự nguyện

Máy chủ mạng L2TP - LNS

LNS được đặt trên mạng máy chủ Vì vậy nó được sử dụng để kết thúc kếtnối L2TP khi LACs kết thúc đường hầm L2TP từ máy khách Khi LNS nhận đượcyêu cầu kết nối mạng ảo từ LAC, nó sẽ thiết lập đường hầm và chứng thực ngườidùng khởi tạo yêu cầu kết nối đó Nếu LNS chấp thuận yêu cầu kết nối thì nó sẽ tạo

ra giao diện ảo

Quá trình tạo kết nối L2TP

Khi người dùng từ xa cần thiết lập đường hầm L2TP thông qua Internet hoặccác mạng công cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau:

- Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạokết nối PPP tới đầu ISP

- NAS chấp nhận yêu cầu kết nối sau khi chứng thực user NAS sẽ sử dụng cácphương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thựchiện nhiệm vụ này

- Sau đó NAS kích hoạt LAC, LAC thu nhận thông tin với LNS của mạngđích

- Sau đó, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữahai đầu Đường hầm có thể là ATM, Frame Relay, hoặc IP/UDP

- Sau khi đường hầm đã được thiết lập thành công, LAC đưa Call ID (CID) tớikết nối và gửi thông điệp thông báo đến LNS Thông điệp thông báo chứacác thông tin để chứng thực user Thông điệp cũng mang các thông số tùychọn của giao thức điều khiển L2TP(LCP) được người dùng và LAC thỏathuận từ trước

- LNS sử dụng các thông tin nhận được trong thông điệp thông báo để chứngthực user Nếu user được chứng thực thành công và LNS chấp thuận yêu cầutạo đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựatrên các tù chọn LCP nhận được trong thông điệp thông báo

- Người dùng từ xa và LNS trao đổi dữ liệu thông qua đường hầm L2TP

23

-Hình 1.11: Quá trình tạo đường hầm L2TP

Tạo đường hầm dữ liệu L2TP

Cũng giống gói dữ liệu trong đường hầm PPTP, gói dữ liệu L2TP cũng đượcđóng gói tại nhiều mức khác nhau:

- Đóng gói dữ liệu PPP Dữ liệu không được mã hóa trước khi đóng gói Ởmức này, chỉ cộng thêm header PPP vào gói dữ liệu gốc

- Đóng gói khung L2TP Sau khi dữ liệu gốc được đóng gói trong gói PPP, nó

sẽ được cộng thêm header L2TP

- Đóng gói khung UDP Sau đó gói L2TP đã được đóng gói sẽ được đóng góithêm trong frame UDP Nói cách khác header UDP sẽ được thêm vào frameL2TP đã đóng gói Cổng nguồn và đích trong UDP header được thiết lập là

1701 để đặc tả cho L2TP

- Đóng gói bảo mật dữ liệu UDP Sau khi khung L2TP được đóng gói trongUDP, khung UDP được mã hóa và một IPSec ESP sẽ được thêm vào nó.IPSec Header và trailer xác nhận IPSec cũng được nối thêm vào và để đónggói dữ liệu

- Đóng gói IP Cộng thêm IP header vào gói dữ liệu IP header chứa đ ịa chỉcủa máy chủ (LNS) L2TP và người dùng từ xa

- Đóng gói lớp Data Link Header và trailer của lớp Data Link được thêm vàogói dữ liệu sau khi đóng gói IP Header và trailer của lớp Data Link giúp gói

dữ liệu đi tới nút đích Trong trường hợp nút đích là nút cục bộ thì header vàtrailer của lớp Data Link dựa trên kỹ thuật mạng cục bộ (ví dụ Ethernet).Trong trường hợp gói dữ liệu được gửi đến nút ở xa thì header và trailer củaPPP sẽ được thêm vào gói dữ liệu đường hầm L2TP

Hình 1.12: Quá trình đóng gói dữ liệu trong đường hầm L2TP

Ở phía thu, quá trình xử lý dữ liệu sẽ diễn ra ngược lại

25

-Hình 1.13: Quá trình mở gói dữ liệu trong đường hầm L2TP

1.3.3.3 Giao thức bảo mật IP – IPSec

Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toànxác nhận người sử dụng ở hệ thống mạng công cộng Đây là giao thức hoạt động ởlớp mạng, cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiểntruy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phầnthiết bị

IPSec cho phép thiết lập một đường ngầm bảo mật giữa hai mạng riêng vànhận thực hai đầu của đường ngầm này Các thiết bị giữa hai đầu đường ngầm cóthể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tậptrung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường ngầmđóng vai trò như một kênh truyền bảo mật và các gói dữ có thể truyền một cách antoàn thông qua đường hầm Các gói tin truyền trong đường ngầm có khuôn dạnggiống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúccũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảmđáng kể chi phí để triển khai và quản lý

Mặc dù IPSec cung cấp các đặc tính cần thiết cho việc bảo mật VPN thôngqua mạng internet nhưng nó vẫn chưa phải là một giao thức hoàn thiện Tất cả cácgói được xử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu

đề IPSec làm cho thông lượng của mạng giảm xuống Điều này có thể được giảiquyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩnhóa

Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính sau:

- Liên kết bảo mật SA (Security Association)

- Xác thực tiêu đề AH(Authentication Header)

- Bọc gói bảo mật tải ESP (Encapsulating Security Payload)

- Chế độ làm việc

Liên kết bảo mật SA (Security Association)

Để hai bên có thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phảicùng thống thuật toán mã hóa, phương thức trao đổi khóa, sau bao lâu thì cả hai bên

sẽ cùng thay đổi khóa Tất cả những thỏa thuận trên đều do SA đảm trách Việctruyền thông giữa bên gửi và bên nhận đòi hỏi phải có ít nhất một SA và có thể đòihỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA cho nó

27

-Hình 1.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 1.15: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

Bọc gói bảo mật tải ESP

Bọc gói dữ liệu tải được sử dụng để cung cấp tính an toàn cho các gói tinđược truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu,kiểm tra tính toàn vẹn của dữ liệu ESP đảm bảo tính bí mật của thông tin thông quaviệc mật mã gói tin IP Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống.Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàncho dữ liệu

Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nộidung tiếp theo của gói Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nên nội dungcủa gói sẽ bị thay đổi

Hình 1.16: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Hình 1.17: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Chế độ làm việc

Có hai chế độ làm việc trong IPSec:

- Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được

xử lý

- Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được ử lí cho mã hóa xácthực

1.3.4 Các vấn đề bảo mật trong VPN

29

-Khi nối một máy tính vào các mạng dữ liệu công cộng khác, cần quan tâmđến vấn đè bảo mật Điều này đặc biệt quan trọng khi trạng thái kết nối với mạng dữliệu công cộng là “luôn bật”

1.3.4.1 Phương pháp dịch địa chỉ mạng (Network Address Translation)

Một trong những phương pháp bảo mật tốt nhát là dịch địa chỉ mạng NATchuyêể địa chỉ Internet riêng của bạn thành một địa chỉ Internet có thể truyền tảitrên mạng Internet Biện pháp này cản trở mộ cách hiệu quả những truy cập khôngmong muốn từ các máy tính bên ngoài vào máy tính của chúng ta

Khi NAT nhận được một thông điệp với một địa chỉ IP mong muốn xấut path

từ một máy tính cục bộ có địa chỉ IP riêng, NAT sẽ dịch địa chỉ xuất xứ riêng nàythành một địa chỉ xuất xứ công cộng, với địa chỉ này nó sẽ mửo một phiên làm việcvới Server Internet

Server Internet nhận yêu cầu thông tin và trả lời bằng các thông điệp dữ liệuđược đề địa chỉ IP công cộng của NAT Khi NAT nhận được các thông điệp dữ liệunày cho phiên truyền thông, nó sẽ dịch địa chỉ gửi của các thông điệp thành địa chỉ

IP riêng và chuyển chúng đến máy tính đưa ra yêu cầu

Nếu địa chỉ IP công cộng của NAT nhận được các thông điệp không phải làmột phần của phiên truyền thông nó biết, NAT sẽ không định tuyến các thông điệpnày đến các máy tính được nối với mạng LAN

1.3.4.2 Phương pháp tường lửa

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet.Tường lửa có thể là một thiết bị hay chương trình phần mềm chạy trên máy tính củangười sử dụng và bảo vệ máy tính khỏi những kẻ đột nhập từ mạng Internet hay cácmạng dữ liệu Tường lửa có thể hạn chế các loại truy cập, giám sát và phân tích cácloại hoạt động truyền thông dữ liệu nhất định Bạn có thể thiết lập các tường lửa đểhạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua

1.3.4.3 Phương pháp mật mã

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máytính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật

mã chung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bímật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầubạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, đểmáy tính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã côngcộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạncấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã mộtmessage, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thờicần đến mã riêng của nó nữa Có một ứng dụng loại này được dùng rất phổ biến làPretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

to lớn VPN có thể giúp cho người sử dụng truy cập mọi lúc mọi nưoi mà vẫn bảođảm được tính bí mật của thông tin Và bên cạnh đó cách thức sử dụng đơn giản,tiện lợi của VPN đã làm hấp dẫn ngày càng nhiều doanh nghiệp dử dụng

Chương 1 cũng đã đề cập đến các đặc trưng và nguyên lý hoạt động cơ bảncủa VPN, đay là một nguyên lý quan trọng của VPN hoạt động trên mạng IP Trênnền IP các lọai mạng riêng ảo cũng xuất hiện nhằm phục vụ đông đảo người dung

có đặc trưng công việc khác nhau Các giao thức bảo mật IPSec, L2TP hay PPP đãlàm cho VPN được người dùng tin cậy và đã đáp ứng được hầu hết các dịch vụ màthực tế đặt ra

31

-CHƯƠNG 2: HIỆN TRẠNG MẠNG VIỄN THÔNG TIN HỌC HÀ NỘI

2.1 Tổ chức hành chính của Viễn thông Hà Nội

Viễn thông Hà Nội được thành lập vào tháng 1 năm 2008 (Tách ra từ Bưuđiện Hà Nội cũ), mô hình tổ chức bao gồm:

- Văn Phòng Viễn thông Hà Nội

- Ban quản lý các dự án công trình thông tin

- Ban quản lý các dự án hợp đồng hợp tác kinh doanh với NTTV (BCC)

- Ban quản lý các dự án công trình kiến trúc

- Công ty điện thoại Hà Nội 1

- Công ty điện thoại Hà Nội 2

- Công ty dịch vụ viễn thông Hà Nội

- Công ty dịch vụ vật tư

- Trung tâm điều hành thông tin

- Trung tâm tin học

- Trung tâm dịch vụ khách hàng

Hiện tại Viễn thông Hà Nội có hơn 3.000 cán bộ công nhân viên, trong đó cóhơn 35% là cán bộ có trình độ kỹ sư, cử nhân, kỹ thuật viên chiếm 20% và côngnhân chiếm 45% tất cả đều đã qua đào tạo nghề

Như vậy, với ưu thế về con người có trình độ lao động, cộng với sự năngđộng trong kinh doanh, sự tận tâm với công việc của lãnh đạo Viễn thông Hà Nội,Viễn thông Hà Nội luôn là đơn vị hoàn thành xuất sắc nhiệm vụ mà Tập đoàn Bưuchính viễn thông Việt Nam giao cho

2.2 Cấu hình và thiết bị mạng Viễn thông

Mạng viễn thông Hà Nội được chia thành các nhóm: mạng chuyển mạch,mạng xDSL, mạng truyền dẫn và mạng ngoại vi

2.2.1 Chuyển mạch

Tính đến tháng 7 năm 2008 mạng chuyển mạch Viễn thông Hà Nội bao gồm:

16 Host và 174 trạm vệ tinh với tổng dung lượng là 1.334.865 số, trong đó dnnglượng sử dụng là 1.130.930, hiệu suất sử dụng đạt 84,7% đạt mật độ 40 máy/100dân Cụ thể như sau:

STT Tên tổng đài

(HOST)

Hãng sảnxuất

Số vệtinh

Dung lượng Hiệu

12 Kim Liên EWSD 8 77,692 63,124 81.2

13 Cầu Giấy Alcatel 16 112,723 95,323 84.6

33

-2.2.2 Internet

Mạng Internet tính đến 30/7/2008 có dung lượng 198.572 cổng ADSL trong

đó số luợng thuê bao ADSL là 165.807 đạt hiệu suất 83,5%, 5.200 thuê bao truyền

Hình 2.3: Cấu hình mạng xDSL vùng BCC

2.2.3 Mạng truyền dẫn

Mạng truyền dẫn bao gồm các tuyến cáp quang, cáp treo, và các thiết bịtruyền dẫn Cấu hình các tuyến truyền dẫn quang của Viễn thông Hà Nội như sau:

35 Hình 2.4: Sơ đồ mạng truyền dẫn Công ty ĐTHN1 (vùng BCC)

-Hình 2.5: Sơ đồ mạng truyền dẫn Công ty ĐTHN2 (vùng Tây Nam)

2.2.4 Mạng ngoại vi

Mạng ngoại vi được kéo từ tổng đài đến các hộp cáp và đến nhà thuê baođiện thoại Mạng cáp đồng đã được lắp đặt từ rất sớm và thường xuyên được duy tuhằng năm để bảo đảm chất lượng cho các dịch vụ thoại và truyền số liệu Hệ thốngcáp ngoại vi sẽ tiếp tục được củng cố, cải tạo theo định hướng của Tập đoàn nhằmđảm bảo chất lượng cho các thuê bao sử dụng đa dịch vụ trên nền mạng NGN Hiệnnay tổng chiều dài các tuyến cáp treo và cáp cống các loại của Viễn thông Hà Nội

là 1.909.434,35 km

2.3 Cấu hình và thiết bị tin học

Viễn thông Hà Nội đã có hệ thống mạng máy tính phục vụ công tác điềuhành sản xuất kinh doanh Mạng máy tính chủ yếu là điều hành công tác chung chocác dơn vị trong viễn thông Hà Nội, sử dụng phần mềm quản lý, tính cước điệnthoại…

Thiết bị tin học tại khối chức năng và các đơn vị như sau:

STT Tên đơn vị Thiết bị mạng Máy tính Máy in

Router Sw/Hub Máy

chủ

Máytrạm

Vănphòng

Incước

1 Khối văn phòng VTHN 4 10 4 85 14 0

2 Công ty Điện thoại HN 1 2 15 4 211 25 0

3 Công ty Điện thoại HN 2 2 16 3 225 27 0

Ngoài ra, mỗi Công ty điện thoại Hà Nội 1 và 2 đều có 1 đài ứng dụng tinhọc chịu trách nhiệm quản lý, xác định hoặc khắc phục sự cố máy tính, hỗ trợ kháchhàng Internet trên địa bàn đơn vị quản lý

Như vậy, tổng số cán bộ tin học của Viễn thông Hà Nội là 130, trong đó có

70 là kỹ sư, còn lại là kỹ thuật viên

2.5 Kết luận chương

Không thể phủ nhận những lợi ích thiết thực mà mạng riêng ảo đã mang lạicho các doanh nghiệp, đặc biệt là các công ty, xí nghiệp có quy mô lớn

Chương 2 đã đề cập đến hiện trạng mạng viễn thông, tin học của Viễn thông

Hà Nội và các vấn đề có liên quan đến các thiết bị cũng như vấn đề con người Với

cơ cấu tổ chức của Viễn thông Hà Nội bao gồm nhiều đơn vị đóng rải rác trên địabàn Hà Nội, việc đánh giá, phân tích hiện trạng của mạng Viễn thông Hà Nội,những thụân lợi và khó khăn trong việc kết nối trao đổi dữ liệu, từ đó xây dựng mộtmạng máy tính phục vụ điều hành sản xuất kinh doanh là một việc làm cần thiết

37

-Với những ưu thế vượt trội về mặt công nghệ, việc ứng dụng công nghệ mạng riêng

ảo trong phương án thiết kế mạng hứa hẹn sẽ mang lại tính khả thi cao cho đơn vị

CHƯƠNG 3: XÂY DỰNG MẠNG RIÊNG ẢO CHO VIỄN THÔNG HÀ NỘI

3.1 Mục tiêu và năng lực của mạng máy tính

Việc xây dựng hệ thống mạng máy tính điều hành sản xuất kinh doanh choViễn thông Hà Nội nhằm mục đích kết nối hệ thống các máy tính trong Viễn thông

Hà Nội bao gồm khối Văn phòng Viễn thông Hà Nội, các Công ty điện thoại, Công

ty viễn thông, Trung tâm tin học, Trung tâm điều hành thông tin, Trung tâm dịch vụkhách hàng… thành một mạng thống nhất, đảm bảo phục vụ công tác quản lý, điềuhành và sản xuất kinh doanh của Viễn thông Hà Nội Việc đầu tư tổng thể sẽ giúpcho Viễn thông Hà Nội có được cấu trúc mạng thống nhất cả về mặt cấu hình cũngnhư phần mềm, giúp Viễn thông Hà Nội triển khai nhanh, đạt hiệu quả và tiết kiệmvốn đầu tư Ngoài ra, việc thống nhất mạng máy tính điều hành sản xuất kinh doanhnằhm một mục tiêu quan trọng là tiến tới xây dựng một mạng Internet thống nhấttrong Tập đoàn

Xây dựng các hệ thống mặng máy tính và phần mềm phục vụ điều hành sản xuất kinh doanh cần đạt những mục tiêu sau:

- Xây dựng hạ tầng mạng máy tính thống nhất, đủ sức mạnh để tiến tới triểnkhai các ứng dụng phục vụ quản lý điều hành sản xuất kinh doanh của Tậpđoàn, đồng thời góp phần nâng cao hiệu quả công tác quản lý và sản xuấtkinh doanh dịch vụ viễn thông trên địa bàn Hà Nội

- Ứng dựng các thành tựu khoa học tiên tiến vào các lĩnh vực quản lý và sảnxuất, từng bước triển khai các phần mềm được chuẩn hoá, tích hợp, sử dụngcông nghệ hiện đại đáp ứng yêu cầu thông tin quản lý, điều hành, đồng thờiđap sứng yêu cầu chăm sóc khách hàng Với hệ thống mạng sẽ được triểnkhai, một loạt các ứng dụng phục vụ công tác quản lý (quản lý mạng cáp tậptrung, quản lý số liệu thuê bao thoại, internet, dịch vụ tiết kiệm bưu điện…)

có thể được phát triển và đưa vào sử dụng một cách có hiệu quả Thông tin

dữ liệu giữa Viễn thông Hà Nội và các Công ty, trung tâm trực thuộc, giữaCông ty điện thoại với các đài điện thoại, giữa Trung tâm dịch vụ khách hàngvới các điểm giao dịch là một trong những yêu cầu chính cho việc triển khaicác ứng dụng một cách thống nhất trên địa bàn Hà Nội

- Tạo môi trường tốt, đào tạo và nâng cao trình độ chuyên môn cho đội ngũcán bộ tin học của viễn thông Hà Nội

- Nâng cao chất lượng phục vụ khách hàng: hiệu quả quản lý và việc sử dụngcác ứng dụng phục vụ quản lý sẽ mang lại chất lượng phục vụ khách hàngcao hơn, góp phần nâng cao uy tín và giúp cho việc phát triển dịch vụ Bưuchính viễn thông ngày càng mạnh

Tuy nhiên, để có thể đáp ứng những mục tiêu trên, mạng máy tính được xâydựng cần phải đảm bảo các điều kiện về tính tổng thể, tính thống nhất, tính mởrộng, kế hoạch phát triển hợp lý và tính kinh tế

Tính tổng thể của hệ thống:

- Cấu hình phải đầy đủ cho các tính năng cần thiết

- Đảm bảo tính hiện đại của toàn hệ thống (không bị lạc hậu)

- Phù hợp với hình thức quy mô, công tác của từng phòng, ban, đơn vị

- Đảm bảo độ an toàn thông tin (có khả năng tự bảo vệ, bảo mật, thông tin liêntục)

- Đảm bảo về tốc độ xử lý nhanh và có hiệu quả

- Có khả năng mở rộng quy mô, ghép nối với các mạng khác trong nước vàquốc tế

- Có kế hoach nâng cấp về cả thiết bị, các ứng dụng

- Có kế hoạch đào tạo, nâng cao trình độ đội ngũ cán bộ tin học chuyên sâu

Tính kinh tế của hệ thống:

- Đảm bảo được các yêu cầu kỹ thuật, công nghệ, hiện đại, tránh lãng phí khi

sử dụng các thiết bị khai thác, sử dụng các chức năng của hệ thống có hiệuquả

- Xây dựng bài giảng, đào tạo nghiệp vụ và chuyển giao công nghệ tập trungnhằm giảm chi phí đầu tư

3.2 Xây dựng mô hình mạng máy tính cho Viễn thông Hà Nội

Với những mục tiêu trên, mạng máy tính phục vụ điều hành sản xuất kinhdoanh Viễn thông Hà Nội cần được tổ chức thành những nhóm sau:

- Trung tâm mạng và dữ liệu

- Quản trị điều hành mạng

- Quản lý nghiệp vụ

- Tính cước và in hoá đơn

- Giao dịch khách hàng tại các điểm giao dịch Trung tâm dịch vụ khách hàng

- Tiếp nhận báo hỏng 119

- Hỗ trợ Internet

- Các tổng đài Host

- Các đài viễn thông

3.2.1 Trung tâm mạng và dữ liệu

Trung tâm này là nơi tập trung thiết bị mạng và máy chủ chính

- Trung tâm mạng bao gồm các thiết bị mạng chính sau: Router, Switch,Firewall và các thiết bị mạng truy nhập kết nối với các đơn vị thành viên

- Trung tâm mạng bao gồm các máy chủ cơ sở dữ liệu: Thực hiện lưu trữ dữliệu của toàn bộ hệ thống bao gồm các dữ liệu phục vụ tính cước và chămsóc khách hàng, dữ liệu báo hỏng 119, cắt mở dịch vụ tự động, dữ liệu vềmạng cáp… Để đảm bảo tính an toàn và khả năng cung cấp dịch vụ, máy chủcần có cấu hình Cluster Ngoài ra các thiết bị backup dữ liệu cũng sẽ đượcđầu tư theo từng giai đoạn như: Ổ đĩa DVD-RW, Tape backup…

- Máy chủ phục vụ các ứng dụng Internet: Web server, Mail server, FTPserver…

- Hệ thống lưu trữ: Dùng hệ thống SAN (Store Area Network) là hệ thống lưutrữ dung lượng lớn, án toàn

3.2.2 Quản trị điều hành mạng

Bộ phận này chịu trách nhiệm quản trị, điều hành toàn bộ hệ thống mạng baogồm các thiết bị tại trung tâm cũng như các điểm truy nhập từ xa, cung cấp tàikhoản truy nhập, theo dõi hoạt động mạng

Các thiết bị cung cấp cho bộ phận này bao gồm:

- 01 máy chủ phục vụ công tác quản trị mạng, cài đặt các chương trình điềuhành hoạt động các thành phần khác

- 04 máy trạm phục vụ công tác quản trị và phát triển ứng dụng

3.2.3 Quản lý nghiệp vụ

Đây là chức năng của trung tâm tin học, bộ phân này được cung cấp các giaodiện để thống kê, quản lý giám sát hệ thống: