Giải pháp VPN ứng dụng thực tế

Giải pháp VPN - Ứng dụng thực tế Slide giới thiệu ứng dụng thực tế của mạng riêng ảo VPN.

VPN VPN – – GIẢI PHÁP KẾT NỐI TIẾT KIỆM VÀ HIỆU QUẢ GIẢI PHÁP KẾT NỐI TIẾT KIỆM VÀ HIỆU QUẢ

VPN có thể giúp bạn tiết kiệm được từ 50 đến 70% chi phí

đầu tư vào các kết nối leased line và remote access truyền

thống Hơn nữa VPN còn giúp hệ thống mạng doanh nghiệp

trở nên mạnh mẽ và linh hoạt, đáp ứng được yêu cầu ngày

càng cao trong thời đại bùng nổ về Internet và

E-Commerce

VPN LÀ GÌ

VPN là tên gọi chung của những kết nối “riêng” và bảo

mật dựa trên một hệ thống kết nối chung, thường là

internet, cho phép mở rộng hệ thống mạng tới các văn

phòng ở xa (remote office), các người dùng làm việc tại

nhà (Home user, home telecommuter), các người dùng di

động (mobile user) và cả các đối tác thương mại (Business

Partner).

Central Site

Site-to-Site Remote Office

Extranet Business Partner

POP

DSL Cable

Mobile User

Home Telecommuter

VPN Internet

Sơ đồ tổng quát của giải pháp VPN

Frame Relay

PTSN ISDN

Leased line

 Chi phí thuê bao leased line, frame relay, ATM đường

dài đối với các kết nối site-to-site.

 Chi phí cước viễn thông đường dài dành cho các kết nối

truy cập từ xa.

VPN không yêu cầu những kết nối cố định giữa hai điểm.

Thay vào đó VPN sử dụng những kết nối chung như là

Internet để tạo các kênh liên kết ảo Dữ liệu lưu chuyển

trên liên kết ảo này sẽ được mã hóa để bảo đảm độ an

toàn trên các đường truyền chung Việc khởi tạo các kênh

truyền được thực hiện bởi các thiết bị phần cứng và phần

mềm chuyên biệt và được áp dụng các cơ chế bảo mật tối

ưu nhất hiện nay.

LỢI ÍCH CỦA VPN

Tiết kiệm chi phí

Với việc sử dụng VPN, doanh nghiệp có thể giảm đáng kể các chi phí đầu tư cho cơ sở hạ tầng truyền thông và các chi phí hàng tháng:

Ngoài ra triển khai VPN còn giúp doanh nghiệp tiết kiệm được chi phí cho việc vận hành và bảo

Các chi phí này lớn gấp nhiều lần chi phí sử dụng kết nối Internet nội hạt khi sử dụng VPN.

trì hệ thống, giảm chi phí cho đội ngũ nhân viên tin học của minh.

Các phân tích cụ thể về chi phí sẽ được trình bày ở phần sau.

Bảo mật

VPN cung cấp mức bảo mật cao nhất nhờ sử dụng những protocol bảo mật tiêu chuẩn và mở rộng như 3DES, IPSec… Các giải pháp kết nối truyền thống như quay số, frame

2 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

2

Linh hoạt

VPN giúp cho việc bổ sung các kết nối cho các văn phòng

hay người dùng được thực hiện rất nhanh chóng và dễ

dàng mà không cần phải thay đổi lớn về cơ sở hạ tầng và

thiết bị Thời gian chờ đợi bổ sung thiết bị (tăng cổng vật

lý hay bổ sung router), kéo hay đăng ký đường truyền (đặc

biệt là đối với các đường truyền liên tỉnh hay quốc tế) sẽ

được loại bỏ.

Hiệu quả

Việc kết nối nhanh chóng, dễ dàng với chi phí thấp giúp doanh nghiệp nâng cao được hiệu quả công việc của mình Người dùng có thể kết nối và làm việc mọi lúc, mọi nơi, thông tin luôn liên tục Ngoài ra doanh nghiệp còn có thể phát triển mô hình “làm việc từ xa” để giảm chi phí thuê mặt bằng, tăng thời gian làm việc nhờ giảm thời gian

di chuyển của nhân viên.

CÁC MÔ HÌNH KẾT NỐI

Remote Access

Mô hình kết nối Remote Access là mô hình được áp dụng

nhiều nhất Trong đó các người dùng sẽ sử dụng các

chương trình hay thiết bị VPN client để khởi tạo kênh

truyền VPN.

Kết nối vào Internet có thể là quay số, ISDN hay DSL Tại

trung tâm, thiết bị VPN có thể là thiết bị VPN chuyên dùng,

router có hỗ trợ VPN hay là PIX Firewall Tuy nhiên VPN

chuyên dụng là thích hợp hơn cả.

Thông thường Aùp dụng VPN

Chi phí Remote Acces

100 user, 2h/ngày, 25% là điện thoại đường dài Chi phí điện thoại đường dài: $6000 Không có

Chi phí internet: Không có $1500

Chi phí kết nối site-to-site

10 đường Frame relay 56K, 01 đường T1 Chi phí thuê bao Frame relay $7000 Không có

Chi phí internet $2000 S8000

Tổng chi phí hàng tháng $15000 $9500

Chi phí trang bị VPN

Thiết bị Remote Access VPN S15000

Nâng cấp router $20000

Thời gian hoàn vốn là khoảng 7 tháng

Sử dụng Firewall

Site-to-site

Mô hình kết nối site-to-site đang ngày càng được sử dụng

nhiều hơn thay thế cho các kết nối leased line, frame relay,

ATM truyền thống.

Kết nối được khởi tạo giữa hai thiết bị hỗ trợ VPN, có thể là

hai thiết bị bất kỳ trong số: VPN chuyên dùng, router hay

PIX firewall Tuy nhiên router được sử dụng nhiều hơn cả.

Mô hình kết nối sử dụng firewall áp dụng cho các doanh nghiệp đã triển khai firewall muốn mở rộng phục vụ cho VPN Mô hình này có thể áp dụng cho cả remote access hay site-to-site VPN.

PHÂN TÍCH BÀI TOÁN CHI PHÍ CHO VPN

Ví dụ sau mô tả chi tiết bài toán chi phí để minh họa cho

tính năng tiết kiệm của VPN

Mô hình áp dụng là mô hình chung gồm cả remote access

và site-to-site VPN.

Site-to-Site VPN Remote Access VPN

IOS VPN Routers • Tính năng chủ yếu

• Đầy đủ tất cả các tính năng cần có của mô hình site-to-site

• Cung cấp tính năng routing, QoS, WAN interfaces, hỗ trợ multicast và multiprotocol

• Thực hiện các chức năng remote access cơ bản

PIX Firewalls • Dành cho các hệ thống đã có firewall

• Cung cấp đầy đủ mọi tính năng firewall

• Thực hiện các chức năng kết nối site-to-site cơ bản

• Cung cấp hầu hết các tính năng cần có của remote acess.

• Dành cho các hệ thống đã có firewall

• Cung cấp đầy đủ mọi tính năng firewall

VPN 3000 Concentrators • Thực hiện các chức năng kết nối site-to-site cơ bản • Tính năng chủ yếu

THIẾT BỊ CỦA CISCO CHO CÁC KẾT NỐI VPN

VPN Concentrator

Đây là loại thiết bị VPN chuyên dụng của Cisco, được thiết

kế dành riêng cho các ứng dụng VPN, đặc biệt là chức

năng Remote Access

Dòng sản phẩm VPN Concentrator 3000 bao gồm VPN 3005,

3015, 3030, 3060, 3080 có khả năng đáp ứng được các nhu

cầu từ nhỏ đến lớn của doanh nghiệp nhờ các tính năng sau:

 Số lượng user kết nối tối đa: từ 100 đến 10000.

 Số tunnel hỗ trợ tối đa: từ 100 đến 1000

 Băng thông kết nối: từ 4Mbps đến 100Mbps.

 Có khả năng bổ sung các card mã hóa DSP *

 Có khả năng gắn thêm bộ nguồn dự phòng *

 Có khả năng nâng cấp dễ dàng*

(*): không áp dụng cho VPN 3005

VPN-Enabled Router

Hầu như tất cả các loại router của Cisco hiện nay trừ các loại đã được thiết kế và sản xuất cách đây đã lâu (như dòng sản phẩm 7xx, 10xx, 16xx 25xx) đều có khả năng hỗ trợ cho VPN bằng cách nâng cấp IOS để hỗ trợ chức năng IPSec Các VPN router này thích hợp cho mô hình VPN site-to-site với nhiều cấp độ về tính năng và khả năng mở rộng khác

nhau.

Một số dòng sản phẩm router 26xx, 36xx, 7xxx còn có khả năng tăng hiệu suất VPN bằng cách bổ sung các loại card

mã hóa DSP chuyên dụng.

Tùy loại router mà khả năng hỗ trợ từ 50 (router 806) đến

5000 tunnel (router 7200)

PIX-FireWall

Các loại PIX-FireWall hiện nay với loại IOS version từ 5.2 trở lên đều có khả năng hỗ trợ VPN Giải pháp dùng PIX-Firewall có khả năng hỗ trợ từ 4 (PIX-506) đến 2000 tunnel (PIX-535) và thích hợp cho các doanh nghiệp muốn triển khai thêm các tính năng firewall mở rộng khác.

4 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

GIẢI PHÁP MẠNG RIÊNG ẢO

7/2007

Ý tưởng

Sản phẩm Giải pháp

TỔNG QUAN

MỤC TIÊU:

 Phân tích và đưa ra giải pháp về kết nối mạng trong điều kiện phức hợp

CƠ SỞ KỸ THUẬT:

 Giải pháp VPN (Virtual Private Network) của Cisco

ĐỐI TƯỢNG:

 Các nhà cung cấp dịch vụ thông tin

 Các doanh nghiệp mà hạ tầng thông tin phải đáp ứng cho nhiều dạng người dùng phân bố khác nhau

Phân tán - Kinh tế – Bảo mật

6 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

NỘI DUNG

PHẦN 1: THỰC TRẠNG VÀ NHU CẦU PHẦN 2: GIỚI THIỆU GIẢI PHÁP VPN PHẦN 3: ỨNG DỤNG GIẢI PHÁP VPN.

PHẦN 4: KẾT LUẬN

Phần 1

Hiện trạng và yêu cầu

Phần 1

Hiện trạng và yêu cầu

8 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

MẠNG CỦA DOANH NGHIỆP

MÔ HÌNH HIỆN TẠI

Regional Office

Private Lines

Frame Relay

Remote

Office

Main Office

Mobile Workers

Home Offices Internet

Main Office

Mobile Workers

Regional Office

Home Offices

Private Lines

Frame Relay

Remote

Office

Internet







 KẾT NỐI LIÊN THÔNG TRONG NỘI BỘ KẾT NỐI LIÊN THÔNG TRONG NỘI BỘ (INTRA (INTRA CORPORATE CORE CONNECTIVITY) CORPORATE CORE CONNECTIVITY)









MẠNG CỦA DOANH NGHIỆP

CÁC DỊCH VỤ

10 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

MẠNG CỦA DOANH NGHIỆP

NHỮNG THÁCH THỨC MỚI

Business Partners

?

?

1000s of Remote

Workers

Main Office

Mobile Workers

Home Offices

Regional Office

Classic WAN

Remote Office

Internet

?

Very Remote/Int’l

Office

MẠNG CỦA DOANH NGHIỆP

NHỮNG THÁCH THỨC MỚI

Main Office

Business Partners

?

Regional Office

Classic WAN

Remote Office

?

?

1000s of Remote

Workers

Very Remote/Int’l

Office

Internet











12 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

MẠNG CỦA DOANH NGHIỆP

NHỮNG THÁCH THỨC MỚI

Main Office

Mobile Workers

Business Partners

?

Home Offices

Regional Office

Classic WAN

Remote Office

?

?

1000s of Remote

Workers

Very Remote/Int’l

Office

Internet









LOGICAL VIEW)

BÀI TOÁN 1 TELECOMMUTER

?

Telecommuter

Existing Corporate

LAN/WAN

Internet

14 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

?

Telecommuter

Existing Corporate

LAN/WAN

Internet

BÀI TOÁN 1 TELECOMMUTER

– DIAL DIAL UP TRỰC TIẾP UP TRỰC TIẾP

– WEB ACCESS: ỨNG DỤNG WEB ACCESS: ỨNG DỤNG – – MỐI ĐE DỌA MỐI ĐE DỌA

BÀI TOÁN 2 NHÀ CUNG CẤP DỊCH VỤ THÔNG TIN

TP.Ho Chi Minh

Hanoi Internet

Client 1

Nhà CCDVTT

VP chính

VP Đại diện

Cty 1

CN Cty 1

16 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

TP.Ho Chi Minh

Hanoi Internet

Client 1

Nhà CCDVTT

VP chính

VP Đại diện

Cty 1

CN Cty 1

BÀI TOÁN 2 NHÀ CUNG CẤP DỊCH VỤ THÔNG TIN







BÀI TOÁN 2 CÁC VẤN ĐỀ CỤ THỂ CẦN GIẢI QUYẾT

TP.Ho Chi Minh

Hanoi

Client 1

VP chính

VP Đại diện

Cty 1

CN Cty 1



 SỬ DỤNG TỐI ƯU HẠ TẦNG ĐANG CÓ SỬ DỤNG TỐI ƯU HẠ TẦNG ĐANG CÓ



 TỔ CHỨC THÔNG TIN: CHO NHIỀU LAN TỔ CHỨC THÔNG TIN: CHO NHIỀU LAN

RIÊNG BIỆT



 QUẢN TRỊ TẬP TRUNG QUẢN TRỊ TẬP TRUNG

18 Giải pháp Mạng riêng ảo (VPN) Hội nghị Ý tưởng – Giải pháp 7/2007

BÀI TOÁN 2 CÁC VẤN ĐỀ CỤ THỂ CẦN GIẢI QUYẾT

TP.Ho Chi Minh

Internet

Nhà CCDVTT

Client 1

Hanoi

VP chính

VP Đại diện

Cty 1

CN Cty 1



 KHÔNG YÊU CẦU THAY ĐỔI LỚN HẠ KHÔNG YÊU CẦU THAY ĐỔI LỚN HẠ TẦNG KẾT NỐI



 CUNG CẤP CHO CTY 1 THÔNG TIN AN CUNG CẤP CHO CTY 1 THÔNG TIN AN TOÀN

TOÀN – – BẢO MẬT BẢO MẬT



 KHÔNG PUBLIC HÓA HỆ THỐNG THÔNG KHÔNG PUBLIC HÓA HỆ THỐNG THÔNG TIN CỦA MÌNH



 CUNG CẤP KẾT NỐI AN TOÀN CUNG CẤP KẾT NỐI AN TOÀN – –

BẢO MẬT



 KHÔNG DÙNG LIÊN KẾT TRỰC TIẾP KHÔNG DÙNG LIÊN KẾT TRỰC TIẾP

TRUYỀN THỐNG



 KHÔNG PUBLIC HÓA HỆ THỐNG KHÔNG PUBLIC HÓA HỆ THỐNG

THÔNG TIN CỦA MÌNH

Phần 2

Giới thiệu giải pháp VPN