Cùng mới xu thế toàn cầu hóa, sự mở rộng qua hệ hợp tác quốt tế ngày càng tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong một phạm vi huyện, tỉnh hay một nước mà nó còn mở rộng ra toàn thế giới
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
TRUNG TÂM CÔNG NGHỆ THÔNG TIN
BÁO CÁO THỰC TẬP TỐT NGHIỆP
và ứng dụng của VPN Layer 3
Nơi thực tập : Trung tâm CNTT-CDIT
Giáo Viên hướng dẫn : Lê Thị Hà
Người báo cáo : Đào Minh Hùng
Trang 2Hà Nội : 11/2011
Lời nói đầu
Cùng mới xu thế toàn cầu hóa, sự mở rộng qua hệ hợp tác quốt tế ngày càng tăng, quan hệ hợptác kinh doanh không chỉ dừng lại trong một phạm vi huyện, tỉnh hay một nước mà nó còn mở rộng ratoàn thế giới Một công tu có thể có chi nhánh, đối tác ở nhiều quốc gia và giữa họ luôn có nhu cầu traođổi thông tin Để đảm bảo bí mật các thông tin được trao đổi theo cách truyền thống người ta dùng cáckênh thuê riêng, nhưng chúng lại có nhược điểm là đắt tiền và gây lãng phí tài nguyên khi không cầntrao đổi thông tin Chính vì những lý do đó mà người ta đã nghĩ ra mạng riêng ảo ( VPN ) VPN ra đời
đã đáp ứng được các nhu cầu của con người, giảm chi phí và có tính bảo mật cao Do xã hội ngày càngphát triển cho nên các yêu cầu được đặt ra với hệ thống này cũng ngày càng được nghiên cứu và pháttriển Đó cũng chính là lý đo em chọn đề tài nghiên cứu về mạng VPN và những phát triền đang đượcnghiên cứu của hệ thống này Được sự giúp đỡ nhiệt tình của các thầy cô trong Học Viện Công NghệBưu Chính Viễn Thông, em tin là mình sẽ tiếp thu được những kiến thức tốt nhất
Trang 4Phòng Nghiên cứu Phát triển Dịch vụ Bưu chính Viễn thông
• Thực hiện các dịch vụ kỹ thuật trên mạng truyền thông
• Chủ trì việc quản trị phòng LAB và cơ sở hạ tầng truyền thông của Trung tâm
• Hợp tác nghiên cứu khoa học, tiếp nhận và chuyển giao công nghệ trong lĩnh vựcbưu chính, viễn thông, công nghệ thông tin
• Tổ chức, tham gia đào tạo, bồi dưỡng theo nhu cầu của Trung tâm, Học viện và Tập đoàn
Trang 5• Tham gia công tác bảo trì, hỗ trợ kỹ thuật và thực hiện các hoạt động khác trong lĩnh vực công nghệ thông tin và truyền thông theo định hướng của Trung tâm, Học viện và Tập đoàn.
III CÁC LĨNH VỰC HOẠT ĐỘNG.
Trung tâm Công Nghệ Thông Tin hoạt động trên 5 lĩnh vực chính:
• Nghiên cứu khoa học công nghệ
• Phát triển, triển khai công nghệ và sản phẩm
• Sản xuất phần mềm và thiết bị
• Tiếp nhận và chuyển giao công nghệ
• Đào tạo và bồi dưỡng nhân lực
PHẦN B NỘI DUNG THỰC TẬP
I GIỚI THIỆU CHUNG
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toànthế giới cả về số lượng và về kĩ thuật Và sự phát triển đó không có dấu hiệu sẽ dừng lại
Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thốngInternet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại,vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch
vụ bằng các website của mình Cùng với thời gian, nó sẽ phát triển thành thương mạiđiện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet
Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thông tinquan trọng được lưu trên hệ thống được coi trọng hơn Hơn nữa, cùng với sự phát triểntoàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữa các chi nhánhtrên khắp nơi tăng cao Người ta thấy rằng có thể giảm chi phí này bằng cách sử dụngmạng internet, từ đó có thể tăng lợi nhuận của tổ chức
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệuquan mạng trung gian công công không an toàn như Internet Để giải quyết vấn đề này,
Trang 6một giải pháp đưa ra là mạng riêng ảo (VPNs) Chính điều này là động lực cho sự pháttriển mạnh mẽ của VPNs như ngày nay
Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩ thuậtVPN
Chương 1: Giới thiệu VPNs
1 Giới thiệu VPNs:
1.1 Một số khái niệm VPNs
Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữliệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPNs Tuynhiên vì lý do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất
cứ ai, bất kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi
có thể bị truy cập trái phép Mục đích đầu tiên của VPNs là đáp ứng các yêu cầu bảomật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF),VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ vàcông cộng như mạng Internet hay IP backbones riêng
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạngcông cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu cuối
Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical "tunnels").Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là giao thức thôngtin point-to-point
Trang 7Kĩ thuật đường hầm là lõi cơ bản của VPNs Bên cạnh đó do vấn đề bảo mật củamốt số thông tin quan trọng, người ta cũng sử dụng một số phương pháp sau:
Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữ liệu sao
cho nó chỉ có thể được đọc bởi người nhận cần gửi Để đọc thông tin được gửi, ngườinhận dữ liệu đó cần phải có chính xác khóa giải mã (decryption key) Trong phươngpháp mã hóa truyền thống thì người gửi và người nhận cần phải có cùng một khóa cho
mã hóa và giải mã Ngược lại, phương pháp mã hóa công cộng hiện nay thì sử dụng 2khóa:
Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2 quá trình
mã hóa và giải mã Mã chung này là riêng biệt cho những thực thể khác nhau,khóa chung này có thể được cung cấp cho bất cứ thực thể nào muốn giao tiếp mộtcách an toàn với thực thể đó
Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực thể, tăng
phần bảo mật cho thông tin Với khóa mã chung của một thực thể thì bất cứ aicũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiên chỉ có thực thể có khóariêng phù hợp mới có thể giải mã dữ liệu nhận được này Trong giao tiếp, thìngười gửi có khóa chung để mã hóa dữ liêu còn người nhận thì sử dụng khóariêng để giải mã dữ liệu đó
Trang 8Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP) andData Encryption Standard (DES).
Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi đi đến được
đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ Một dạng đơngiản của nó là yêu cầu xác nhận ít nhất là username và password để truy cập tài nguyên.Một dạng phức tạp hơn là sự xác nhận có thể dựa trên cơ sở là một khóa bí mật mã hóa(secret-key encryption) hay khóa chung mã hóa (public-key encryption)
Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tài nguyên
trên mạng sau khi người sử dụng đã xác nhận thành công
1.2 Sự phát triển của VPNs
VPNs không thực sự là kĩ thuật mới Trái với suy nghĩ của nhiều người, mô hìnhVPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ để trở thành như hiệnnay
Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được biết
đến với tên Software Defined Networks (SDNs) SDNs là mạng WANs, các kết nối dựa
trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nối cục bộ hay bên ngoài Dựa trênthông tin này, gói dữ liệu được định tuyến đường đi đến đích thông qua hệ thống chuyểnmạch chia sẻ công cộng
Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật Integrated Services Digital Network (ISDN) trong đầu những năm 90 Hai kĩ thuật này cho phép
truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độ nhanh Và giao thức X.25 vàISDN được xem là nguồn gốc của giao thức VPNs Tuy nhiên do hạn chế về tốc độtruyền tải thông tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn tạicủa nó khá ngắn
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based
Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM) Thế hệ thứ 3 của
VPN dựa trên cơ sở kĩ thuật ATM và FR này Hai kĩ thuật này dựa trên mô hình chuyểnmạch ảo (virtual circuit switching) Trong đó các gói tin không chứa dữ liệu nguồn hay
Trang 9địa chỉ gửi đến mà thay vào đó là chúng mang các con trỏ đến mạch ảo nơi mà nguồn vàđiểm đến được xác định Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện (160Mbps hoặc hơn) so với trước đó là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90, người
sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, có khả năng quản lý,truy cập toàn cầu và có tính bảo mật cao hơn Thế hệ VPNs hiện tại đã đáp ứng được cácyêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling technology) Kĩ thuậtnày dựa trên giao thức gói dữ liệu truyền trên một tuyến xác định gọi là tunneling, như
IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP) Tuyến đường đi xác định bởi thông tin IP Vì dữ liệu được tạo bởi
nhiều dạng khác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tảikhác nhau bao gồm IP, ISDN, FR, và ATM
1.3 Giao thức đường hầmVPN:
Có 3 giao thức đường hầm chính được sử dụng trong VPNs:
a IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để
truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng Khônggiống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớp Network trong mô hìnhOSI (Open System Interconnect) Do đó nó có thể thực thi độc lập với ứng dụng mạng
b Point-to-Point Tunneling Protocol (PPTP) Được phát triển bởi Microsoft,
3COM và Ascend Communications Nó được đề xuất để thay thế cho IPSec PPTP thihành ở phân lớp 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyềnthông tin hệ điều hảnh Windows
c Layer 2 Tunneling Protocol (L2TP) Được phát triển bởi hệ thống Cisco
nhằm thay thế IPSec Tiền thân của nó là Layer 2 Forwarding (L2F), được phát triển để
truyền thông tin an toàn trên mạng Internet nhưng bị thay thế bởi L2TP vì LT2P có khảnăng mã hóa dữ liệu tốt hơn và có khả năng giao tiếp với Windown L2TP là sự phối
hợp của L2F) và PPTP Thường được sử dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM.
Trang 10Trong 3 phương thức trên thì phương thức IPSec vẫn được sử dụng phổ biếnnhất.
1.4 Ưu điểm và khuyết điểm của VPNs
a Ưu điểm:
Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do là VPNs đã loại
bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng các kết nối nội bộ và mạng
truyền tải như ISP, hay ISP's Point of Presence (POP).
Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông khoảng
cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng kể Ngoài ra các
tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụngtrong VPNs được quản lý bởi ISP Một nguyên nhân nữa giúp làm giảm chi phí vận hành
là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lýmạng
Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho
kết nối nội bộ giữa các phần xa nhau của intranet Do Internet có thể được truy cập toàncầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàngvới mạng intranet chính
Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua
mạng công cộng cho nên tính bảo mật cũng được cải thiện Thêm vào đó, VPNs sử dụngthêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy quyền Do đóVPNs được đánh giá cao bảo mật trong truyền tin
Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối Internet
nào được kích hoạt Trong kĩ thuật VPNs thì các “đường hầm” chỉ được hình thành khi
có yêu cầu truyền tải thông tin Băng thông mạng chỉ được sử dụng khi có kích hoạt kếtnối Internet Do đó hạn chế rất nhiều sự lãng phí băng thông
Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên các nó cho
phép các các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh
Trang 11phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu Điềunày làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai
mà không cần đầu tư lại nhiều cho cơ sở hạ tầng
b Khuyết điểm:
Phụ thuộc nhiều vào chất lượng mạng Internet Sự quá tải hay tắt nghẽn mạng
có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPNs
Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàn trên cơ sở kĩthuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và cácthiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPNs không phùhợp được với các thiết bị và giao thức này Vấn đề này có thể được giải quyết một cáchchừng mực bởi các “tunneling mechanisms” Nhưng các gói tin SNA và các lưu lượngnon-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng
1.5 Đánh giá VPNs:
Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụng các tiêu chísau:
Bảo mật: Do truyền nhạy cảm và quan trọng của công ty được truyền qua
mạng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa
tổ chức và quản trị mạng Để đảm bảo rằng dữ liệu không thể bị chặn hay truy xuất tráiphép hoặc có khả năng mất mát khi truyền tải Có cơ chế mã hóa dữ liệu đủ khả năng mãhóa dữ liệu an toàn
Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanhnghiệp của bạn là giải pháp chọn lựa phải phù hợp với cơ sở hạ tầng mạng hiện có vàgiải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống vius hay các hệthống bảo mật khác Một điểm nữa cần chú ý là toàn thể giải pháp cần được quản lý bởichỉ một ứng dụng
Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp:
Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch
vụ (Quality of Service - QoS) rất khó đạt được Do đó thiết bị cần được kiểm tra thích
Trang 12nghi trước khi lắp đặt chúng vào mạng VPN Các nhà chuyên môn khuyến cáo để đạtchất lượng tốt truyền tin thì các thiết bị nên từ 1 nhà cung cấp Điều này đảm bảo sựthích nghi các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất.
Quản lý VPN tập trung: Điều này giúp dễ dàng cấu hình, quản lý và khắc
phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng Một điều quantrọng là phần mềm quản lý luôn ghi lai các hoạt động hệ thống (logs), điều này giúpquản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượngtoàn bộ hệ thống
Dễ dàng bổ sung các thành phần khác: Giải pháp VPN có thể dễ dàng bổ
sung và cấu hình Nếu thành phần bổ sung có kích thước lớn thì bạn phải chắc chắn rằngphần mềm quản lý đủ khả năng ghi và theo dõi số lượng lớn tunnel bổ sung của hệthống
Sử dụng dễ dàng: Phần mềm VPN, đặc biệt là các phần mềm VPN cho khách
hàng phải đơn giản và không phức tạp đối để người dùng cuối có thể bổ sung nếu cầnthiết Thêm vào đó qusa trình xác nhận và giao diện phải dễ hiểu và sử dụng
Khả năng nâng cấp (Scalability) Mạng VPN đang tồn tại phải có khả năng
nâng cấp, thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại
Performance: Mã hóa, mặt rất quan trọng của của VPNs, được thực hiện chủ
yếu nhờ CPU Do đó, điều cần thiết là lựa chọn thiết bị sao cho nó không chỉ đơn thuần
là thích nghi với nhau mà nó còn có thể thi hành nhiệm vụ như mã hóa dữ liệu nhanhchóng và hiệu quả Nếu không thì chất lương thấp một bộ phận có thể làm giảm chấtlượng của toàn bộ hệ thống VPN
Quản lý băng thông: Để đảm bảo truyền tin, luôn sẵn sàng và đảm bảo QoS
thì việc quản lý băng thông hiệu quả là điều vô cùng quan trọng Việc quản lý băngthông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm,theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùytheo hợp đồng của các công ty
Chọn nhà cung cấp dịch vụ internet (ISP): ISP được chọn phải đáng tin cậy
và có khả năng cung cấp và hỗ trợ cho người sử dụng VPN và quản trị mạng bất cứ khi
Trang 13nào Điều này thực sự quan trọng nếu ISP của bạn cho phép bạn quản lý dịch vụ Bạncũng phải chắc chắn rằng hướng phát triển tươn lai của ISP sẽ cho ra các dịch vụ mà bạntìm kiếm và quan trọng hơn là nó có thể cung cấp các dịch vụ phi vật thể về phân vùngđịa lý(services immaterial to geographic location.)
Bảo vệ mạng khỏi các dữ liệu không mong muốn: Bằng cách kết nối trực
tiếp Internet, VPNs có thể bị cản trở bởi các dữ liệu không mong muốn là cản trở truyềntin của mạng Trong truơng hợp khẩn cấp, dữ liệu này có thể làm tràn ngập mạngintranet dẫn đến sự ngưng kết nối và dịch vụ Do dó, tunnel VPN cần được cung cấp một
cơ chế lọc các thành phần non-VPN Cơ chế này có thể bao gồm dịch vụ hạn chế băngthông hay chính sách (These mechanisms might include bandwidth reservation services
or a policy of not assigning global IP addresses to the nodes located within the network,thus blocking the unauthorized access to these nodes from the public network.)
2 Bảo mật trong mạng VPN
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp
để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN
Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mã
chung.Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật
để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầu bạn phảibiết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được
Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng
Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của
