Công nghệ mạng riêng ảo đồ án tốt nghiệp đại học

Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là: - Thứ nhất, thuê các đường Leas

TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP

ĐỀ TÀI:

CÔNG NGHỆ MẠNG RIÊNG ẢO

Giáo viên hướng dẫn: ThS Đặng Hồng Lĩnh Sinh viên thực hiện : Đặng Văn Trường MSSV : 0851070296

Lớp : 49K – CNTT

Nghệ An, 2012

MỞ ĐẦU

Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ thông tin và Viễn thông đã góp phần quan trọng vào sự phát triển kinh tế thế giới Các tổ chức, doanh nghiệp có nhiều chi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thông tin với khách hàng, đối tác, nhân viên của họ Chính vì vậy đòi hỏi phải luôn nắm bắt được thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.

Để đáp ứng được những yêu cầu đó trong quá khứ có hai loại hình dịch vụ Viễn thông mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:

- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết nối

tất cả các mạng con của công ty lại với nhau Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.

- Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp

này lại không đáp ứng được tính bảo mật cao.

Sự ra đời của kỹ thuật mạng riêng ảo VPN (Virtual-Private-Network) đã dung hoà hai loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng diện rộng WAN (Wide-Area- Network) Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyết được những khó khăn về kinh tế.

Với đề tài: “Công nghệ mạng riêng ảo VPN”, em hy vọng nó có thể góp phần tìm

hiểu Công nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.

Tuy nhiên, trong quá trình tìm hiểu và thực hiện đề tài sẽ có nhiều thiếu sót hạn chế.

Em kính mong được sự góp ý và giúp đỡ của các thầy cô và các bạn để em hoàn thiện hơn Em xin chân thành cảm ơn.

Mục lục:

CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 3

1.1 Định nghĩa 3

1.2 Chức năng và ưu điểm của VPN 4

1.2.1 Chức năng 4

1.2.2 Ưu điểm 4

1.3 Phân loại mạng VPN 5

1.3.1 Mạng VPN truy cập từ xa 5

1.3.2 Mạng VPN cục bộ 6

1.3.3 Mạng VPN mở rộng 8

CHƯƠNG 2: XÂY DỰNG MẠNG VPN 10

2.1 Thành phần cơ bản của một VPN 10

2.1.1 Máy chủ VPN 10

2.1.2 Máy khách VPN 11

2.1.3 Bộ định tuyến VPN 12

2.1.4 Bộ tập trung VPN 13

2.1.5 Cổng kết nối VPN 13

2.2 Các vấn đề cần chú ý khi thiết kế VPN 13

2.2.1 Các vấn đề về mạng và ISP 14

2.2.2 Các vấn đề về bảo mật 14

2.3 Quá trình xây dựng 15

2.3.1 Kết nối với ISP 19

2.3.2 Tường lửa và bộ định tuyến 21

2.3.3 Phần mềm cho VPN……… 26

CHƯƠNG 3: CẤU HÌNH VPN………29

3.1 Tạo VPN server……… 29

3.2 Tạo VPN client………33

KẾT LUẬN………39

CHƯƠNG 1

TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN làmột kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khixuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet Trongthực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng(Trusted VPN) và mạng riêng ảo an toàn (Secure VPN)

Trọng tâm chính của đề tài này bàn về mạng riêng ảo an toàn (Secure VPN) dựatrên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trênInternet Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữliệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công như các

dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu Dữ liệu đãmật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tớiđích Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũngkhông có khả năng đọc được vì dữ liệu đã được mật mã

1.1 Định nghĩa

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạtầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giốngnhư mạng cục bộ

Router

Mạng riêng

(LAN)

Mạng riêng(LAN)

Mô hình VPNCác thuật ngữ dùng trong VPN như sau:

Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết nối

khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng với nhiều môitrường khác nhau và có khả năng chịu đựng những khuyết điểm của mạng Internet Khi

có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở hạ tầng mạng giữanhững điểm đầu cuối

Private- nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy cập

bởi những người sử dụng được trao quyền Điều này rất quan trọng bởi vì giao thứcInternet ban đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật Do đó,bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN

Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những

trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dây dẫn, vôtuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng

1.2 Chức năng và ưu điểm của VPN

b) Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ

sự xáo trộn nào trong quá trình truyền dẫn

c) Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy,không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu cólấy được thì cũng không đọc được

1.2.2 Ưu điểm

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí tusửa thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, dochỉ phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục

và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20tới30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập từ

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động

vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp

dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ

sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Chúng

có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sửdụng di động, những chi nhánh và những bạn hàng của công ty Những kiểu VPN nàyđược thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềmclient chạy trên máy tính của người sử dụng

DSL cable

Mobile

POP

Extranet kh¸ch hµng tíi c«ng ty

Router Internet

or or

Mô hình mạng VPN truy cập từ xaCác ưu điểm của mạng VPN truy nhập từ xa so với các phươngpháp truy nhập từ xa truyền thống như:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quátrình kết nối từ xa được các ISP (Internet Service Provider) thực hiện

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảngcách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc

độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất

cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộmạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng,tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫnđảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to-Site

v¨n phßng ë xa

Router

Internet POP

Remote site Central site

or

PIX Firewall

Văn phòng trung tâm

Mô hình mạng VPN cục bộNhững ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN baogồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạngthông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó

có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đườngngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao.Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùngnhư:

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – chonên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chấtlượng dịch vụ

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môitrường Internet.

1.3.3 Mạng VPN mở rộng

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN

mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cungcấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mởrộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cungcấp…

Intranet

DSL cable

Extranet

Business-to-business

Router

Internet POP

DSL

Mô hình mạng VPN mở rộngCác VPN mở rộng cung cấp một đường hầm bảo mật giữa cáckhách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầngcông cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật

và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa mộtVPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được côngnhận ở một trong hai đầu cuối của VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạngtruyền thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạngđang hoạt động

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internetnên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internetbảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợmạng, do vậy giảm được chi phí vận hành của toàn mạng.

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộngcũng còn những nhược điểm đi cùng như:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền quamạng công cộng vẫn tồn tại

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, vớiyêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, làthách thức lớn trong môi trường Internet

Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

CHƯƠNG 2

XÂY DỰNG MẠNG VPN

Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet đượcsung cấp bởi nhà cung cấp dịch vụ internet (ISP) và phần mềm cũng như phần cứng đểbảo mật dữ liệu bằng cách mã hoá trước khi truyền ra mạng Internet Các chức năng của

VPN được thực hiện bởi các bộ định tuyến, tường lửa và các phần cứng, phần mềm

Trong chương này, ta sẽ xem xét tới các thành phần của mạng VPN và một số vấn

đề liên quan đến việc xây dựng mạng VPN như việc kết nối đến ISP, các bộ định tuyến,tường lửa, và các thiết bị phần cứng khác, các sản phẩm phần mềm cần thiết cho mạngVPN

2.1 Thành phần cơ bản của một VPN

Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers), máykhách VPN (VPN clients) và một số thiết bị phần cứng khác như: Bộ định tuyến VPN(VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung (Concentrator)

2.1.1 Máy chủ VPN

Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm máy chủ(Software servers) Dựa vào những yêu cầu của công ty, mà một mạng VPN có thể cómột hay nhiều máy chủ Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ cho các máykhách (VPN client) ở xa cũng như các máy khách cục bộ, đồng thời các máy chủ luônluôn sẵn sàng thực hiện những yêu cầu truy nhập từ các máy khách

Những chức năng chính của máy chủ VPN bao gồm:

- Tiếp nhận những yêu cầu kết nối vào mạng VPN

- Dàn xếp các yêu cầu và các thông số kết nối vào mạng như là: cơ chế củacác quá trình bảo mật hay các quá trình xác lập

- Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy kháchVPN

- Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máykhách

- Máy chủ VPN hoạt động như là một điểm cuối trong đường ngầm kết nốitrong VPN Điểm cuối còn lại được xác lập bởi người dùng cuối cùng.Máy chủ VPN phải được hỗ trợ hai hoặc nhiều hơn hai Card đáp ứng mạng Mộthoặc nhiều hơn một cạc đáp ứng được sử dụng để kết nối chúng tới mạng mở rộng(Intranet) của công ty, trong khi Card còn lại kết nối chúng tới mạng Internet

Một máy chủ VPN cũng có thể hoạt động như là một cổng kết nối (Gateway) hay

như một bộ định tuyến (Router) trong trường hợp số yêu cầu hoặc số người dùng trongmạng nhỏ (Nhỏ hơn 20) Trong trường hợp máy chủ VPN phải hỗ trợ nhiều người sửdụng hơn, mà vẫn hoạt động như một cổng kết nối hoặc một bộ định tuyến thì máy chủVPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật thông tin cũng nhưbảo mật dữ liệu lưu trữ trong máy chủ

Đặc trưng của máy khách VPN gồm:

- Những người làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng

để kết nối đến tài nguyên của công ty từ nhà

- Những người dùng di động sử dụng máy tính xách tay để kết nối vàomạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cậpvào hòm thư điện tử hoặc các nguồn tài nguyên trong mạng mở rộng

- Những người quản trị mạng từ xa, họ dùng mạng công cộng trung gian,như là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát,sửa chữa hoặc cài đặt dịch vụ hay các thiết bị

Bộ tập trung truy cập của ISP

2.1.3 Bộ định tuyến VPN

Trong trường hợp thiết lập một mạng VPN nhỏ, thì máy chủ VPN có thể đảmnhiệm luôn vai trò của bộ định tuyến Tuy nhiên, trong thực tế thì cách thiết lập đókhông hiệu quả trong trường hợp mạng VPN lớn - mạng phải đáp ứng một số lượng lớncác yêu cầu Trong trường hợp này, sử dụng bộ định tuyến VPN riêng là cần thiết Nhìnchung, bộ định tuyến là điểm cuối của một mạng riêng trừ khi nó được đặt sau “bứctường lửa” (Firewall) Vai trò của bộ định tuyến VPN là tạo kết nối từ xa có thể đạtđược trong mạng cục bộ Do vậy, bộ định tuyến là thiết bị chịu trách nhiệm chính trongviệc tìm tất cả những đường đi có thể, để đến được nơi đến trong mạng, và chọn rađường đi ngắn nhất có thể, cũng giống như trong mạng truyền thống

Mặc dù những bộ định tuyến thông thường cũng có thể sử dụng được trong mạngVPN, nhưng theo khuyến nghị của các chuyên gia thì sử dụng bộ định tuyến VPN là khảquan hơn Bộ định tuyến VPN ngoài chức năng định tuyến còn thêm các chức năng bảomật và đảm bảo mức chất lượng dịch vụ (QoS) trên đường truyền Ví dụ như bộ địnhtuyến truy nhập modun 1750 của Cisco được sử dụng rất phổ biến

2.1.4 Bộ tập trung VPN (VPN Concentrators)

Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trungVPN (VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa cókích thước nhỏ Ngoài việc làm tăng công suất và số lượng của VPN, thiết bị này còncung cấp khả năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao

Ví dụ như bộ tập trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga làcác bộ tập trung được sử dụng khá phổ biến

2.1.5 Cổng kết nối VPN

Cổng kết nối IP là thiết bị biên dịch những giao thức không phải là giao thức IPsang giao thức IP và ngược lại Như vậy, những cổng kết nối này cho phép một mạngriêng hỗ trợ chuyển tiếp dựa trên giao thức IP Những thiết bị này có thể là những thiết

bị mạng dành riêng, nhưng cũng có thể là giải pháp dựa trên phần mềm Với thiết bịphần cứng, cổng kết nối IP nói chung được thiết lập ở biên của mạng cục bộ của công

ty Còn là giải pháp dựa trên phần mềm, thì cổng kết nối IP được cài đặt trên mỗi máychủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức không phải là giao thức

IP sang giao thức IP và ngược lại Ví dụ như phần mềm Novell’s Border Manager.Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặtgiữa mạng công cộng và mạng riêng nhằm ngăn chặn xâm nhập trái phép vào mạngriêng Cổng kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hoá dữliệu riêng trước khi được chuyển đến mạng công cộng

2.2 Các vấn đề cần chú ý khi thiết kế VPN

Để thiết kế một VPN hữu dụng, cần phải nắm vững những thông số của mạng vànhững yêu cầu đối với VPN sắp được thiết kế, chẳng hạn:

- Số lượng site? số lượng người dùng ở mỗi site?

- Lưu lượng mạng do các site phát sinh, biến đổi lưu lượng theo giờ, theo ngày

- Các site có hỗ trợ người dùng từ xa không? Nếu có thì bao nhiêu?

- Loại kết nối đến Internet? Là kết nối thường trực hay kết nối theo yêu cầu? Nếu là

kết nói thường trực thì bao lâu kết nối được lưu dự phòng một lần

Nếu là kết nối theo yêu cầu thì bao lâu được yêu cầu? độ tin cậy

cần thiết phải có?

2.2.1 Các vấn đề về mạng và ISP

Do sự phát triển qua nhanh của mạng nên một vấn đề đặt ra về mạng đó là vấn đềđịnh tuyến và bảo mật Vấn đề này có thể giải quyết bằng cách:

- Thêm phần cứng hoặc phần mềm vào bộ định tuyến để nó

đóng vai trò là một cổng mối bảo mật trong VPN

- Nâng cấp bộ định tuyến hoặc tường lửa để hỗ trợ các chức

năng của VPN

- Thay thế bộ định tuyến hay tường lửa bằng thiết bị thuộc thế

hệ mới có nhiều chức năng hơn, tương thích hơn với mạng mới

Hiện nay, để đảm bảo chất lượng dịch vụ người ta cố gắng chuyển việc quản lý, hỗtrợ được yêu cầu từ mạng riêng sang ISP Rất nhiều các chức năng đã được ISP hỗ trợ

và khi xây dựng một VPN thì có thể sử dụng nhiều ISP Một lý do để sử dụng nhiều ISP

là phạm vi địa lý có thể của VPN

Mặc dù hiện nay IPv6 đang phát triển chậm nhưng nó chắc chắn sẽ phát triển Dovậy, một vấn đề cần chú ý khi xây dựng VPN là khả năng nâng cấp mạng lên IPv6trong tương lai

2.2.2 Các vấn đề về bảo mật

VPN có thể cho phép người dùng phân quyền truy cập tới những mạng con, thiết

bị hoặc những cơ sơ dữ liệu quan trọng Do đó, quyền truy cập là vấn đề cần quan tâmkhi xem xét tới việc bảo mật cho VPN

Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thông tin từ VPNcủa mình cho người dùng Internet, khách hàng hay nhân viên của họ trong khi vẫn bảomật được những tài nguyên riêng nếu cần, đó là sử dụng vùng giới tuyến DMZ(Demilitarized Zone) DMZ bao gồm có hai tường lửa: Một đặt giữa Internet và tàinguyên muốn chia sẻ, Một đặt giữa tài nguyên muốn chia sẻ và mạng nội bộ bên trong.Máy chủ trong DMZ đóng vai trò là nơi lưu giữ thông tin phụ sao cho nếu như nó bị hưhỏng thì giảm thiểu thiệt hại xảy ra Ví dụ, máy chủ Web trong DMZ lưu nhưng bản saotrang Web còn bản chính thì nằm trên máy chủ ở trong mạng nội bộ

Để bảo mật người ta sử dụng mã hoá, trao đổi giao khoá và chứng thực số

Mã hoá là một tiến trình đòi hỏi tính toán và nó thay đổi tuỳ theo giải thuật Vớicác giải thuật khác nhau cho ta các mức độ bảo mật khác nhau, ta có thể sử dụng cácphương thức mã hoá khác nhau để phân quyền truy cập.

Khi thiết kế VPN cần quyết định bao lâu thì khoá được chuyển đổi giữa các cổngnối bảo mật Nếu một VPN chỉ có một số lượng nhỏ cổng bảo mật thì chuyển khoábang tay vẫn là một giải pháp có thể chấp nhận được Tuy nhiên, giải pháp trên khôngthích hợp khi VPN trải rộng trên một quốc gia hay kgắp toàn cầu Trong trường hợp nàythì sử dụng e-mail bảo mật là một giải pháp

Để dữ liệu được bảo mật cao nhất thì tốt hơn hết là sử dụng hệ thống chuyển khoá

tự động Những khoá sử dụng cho mã hoá và xác thực có thể thay đổi theo quy luật: saumột số gói được truyền đi; sau một khoảng thời gian;mỗi khi bắt đầu một phiên làmviệc mới hoặc là tổ hợp nhưng quy luật trên Tự đông thay đổi khoá làm tăng khả năngchống lại tấn công, xâm phập trái phép

Khi sử dụng hệ thống quản lý khoá thì cần kèm theo một số cơ chế hồi khoá Điềunày đặc biệt hưu ích khi muốn khôi phục lại dữ liệu cũ cùng với khoá cũ trước đó

Chứng thực số hay còn gọi là xác thực tính hợp lệ Trong tiến trìng mã hoá khoáchung có sử dụng một cặp khoá chung để xác thực tính hợp lệ của khoá Những chứngthực này nhằm rằng buộc khoá chung với một số thực thể mạng tên, có thể là nguờidùng hay máy tính nhiều trình duyệt Web sử dụng chứng thực điện tử để đảm bảotruyền hông bảo mật với máy chủ, sử dụng Secure Sockets Layer cho các mục đíchthương mại điện tử Một số hệ thống e-mail đưa ra khả năng mã hoá dựa trên chứngthực điện tử và những công nghệ để phân phối chúng: Chứng thực điện tử CA và cơ sở

hạ tầng khóa công cộng (Public Key Infrastructures)

2.3 Quá trình xây dựng

Trước hết ta xét quá trình thiết lập một cuộc trao đổi thông tin trong VPN

Một người làm việc ở xa muốn thực hiện kết nối tới mạng công ty và truy nhậpvào trang web của công ty bao gồm 4 bước:

Bước 1: Người sử dụng ở xa thực hiện kết nối vào nhà cung cấp dịch vụ Internetcủa họ như bình thường

Bước 1

Bước 2: Khi kết nối tới mạng công ty được yêu cầu, người sử dụng khởi đầu mộttunnel tới máy chủ bảo mật đích của mạng công ty Máy chủ bảo mật xác thực người sửdụng và tạo kết cuối khác của đường hầm tunnel

Bước 2

Bước 3: Sau đó, người sử dụng gửi dữ liệu đã được mã hoá bởi phần mềm VPNxuyên qua đường hầm tunnel được gửi thông qua kết nối của nhà cung cấp dịch vụInternet ISP.

Bước 3

Bước 4: Máy chủ bảo mật đích thu dữ liệu đã mã hoá và thực hiện giải mã Sau đó,máy chủ bảo mật hướng những gói dữ liệu được giải mã tới mạng công ty Bất cứ thôngtin nào được gửi trở lại tới người sử dụng ở xa cũng được mã hoá trước khi được gửithông qua Internet

Bước 4

Hình vẽ dưới đây minh hoạ rằng phần mềm VPN có thể được sử dụng ở bất kỳ vịtrí nào có mạng Internet

Như vậy, một VPN bao gồm hai thành phần chính: tuyến kết nối từ người dùng,các mạng riêng đến Internet do nhà cung cấp dịch vụ Internet ISP cung cấp và phầncứng cũng như phần mềm để bảo mật dữ liệu băng cách mã hoá trước khi truyền quaInternet.

Do vậy, trong phần này ta sẽ đề cập đến những vấn đề liệu quan đến việc xây dựngmột VPN như việc kết nối đến ISP, việc sử dụng bộ định tuyến và tường lửa, các thiết

bị phần cứng, và các sản phẩm phần mềm

2.3.1 Kết nối với ISP

Tuyến kết nối từ người dùng, mạng riêng tới mạng Internet do ISP cung cấp đóngvai trò quan trọng trong việc xây dựng nên một VPN bởi vì ISP đóng vai trò là ngườichịu trách nhiệm về đường truyền dữ liệu, duy trì kết nối Kiến trúc mạng như hình vẽ:

LAN

Intranet

Các mạng đường trục tốc độ cao Mạng đường trục

NAP

User

ISP ISP

ISP

`

Mạng miền Mạng miền Mạng miền Mạng miền

Kiến trúc mạng của các ISP