Virtual Private Network-Finish

Do Internet cóthể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sửdụng cũng có thể kết nối dễ dàng với mạng intranet chính  Bảo mật: Bởi vì VPNs sử dụng kĩ thu

Chương 1: Giới thiệu VPNs

Tổng quan

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặttrên toàn thế giới cả về số lượng và về kĩ thuật Và sự phát triển đó không códấu hiệu sẽ dừng lại Sự phát triển không chỉ đơn giản là số lượng lớn thànhviên mới kết nối vào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nóvào các khía cạnh cuộc sống hiện đại, vào các hoạt động thương mại với quy

mô lớn nhỏ khác nhau

Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sảnphẩm và dịch vụ bằng các website của mình Cùng với thời gian, nó sẽ pháttriển thành thương mại điện tử, mọi hoạt động kinh doanh, các giao dịch đượcthực hiện qua mạng internet

Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồnthông tin quan trọng được lưu trên hệ thống được coi trọng hơn Hơn nữa, cùngvới sự phát triển toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải

dữ liệu giữa các chi nhánh trên khắp nơi tăng cao Người ta thấy rằng có thểgiảm chi phí này bằng cách sử dụng mạng internet, từ đó có thể tăng lợi nhuậncủa tổ chức

Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải

dữ liệu quan mạng trung gian công công không an toàn như Internet Để giảiquyết vấn đề này, một giải pháp đưa ra là mạng riêng ảo (VPNs) Chính điềunày là động lực cho sự phát triển mạnh mẽ của VPNs như ngày nay

Trong chương này, chúng ta sẽ đề cập đến những vấn đề cơ bản của kĩthuật VPN

I Giới thiệu VPNs:

1 Một số khái niệm VPNs

Đáp ứng nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính đểtrao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự pháttriển của VPNs Tuy nhiên vì lý do mạng Internet là một mạng công cộng chia

sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời gian nào nênxuất hiện nhiều nguy cơ thông tin trao đổi có thể bị truy cập trái phép Mụcđích đầu tiên của VPNs là đáp ứng các yêu cầu bảo mật, khả năng truyền tảithông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý

Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force(IETF), VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng

IP chia sẻ và công cộng như mạng Internet hay IP backbones riêng

Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sangmạng công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bịthông tin đầu cuối Sự mở rộng được thực hiện bởi các “đường hầm” logic(private logical "tunnels") Những đường hầm này giúp trao đổi dữ liệu giữa 2điểm đầu cuối như là giao thức thông tin point-to-point

Kĩ thuật đường hầm là lõi cơ bản của VPNs Bên cạnh đó do vấn đề bảomật của mốt số thông tin quan trọng, người ta cũng sử dụng một số phươngpháp sau:

 Mã hóa (encryption): Là quá trình làm thay đổi định dạng của dữliệu sao cho nó chỉ có thể được đọc bởi người nhận cần gửi Để đọc thông tinđược gửi, người nhận dữ liệu đó cần phải có chính xác khóa giải mã(decryption key) Trong phương pháp mã hóa truyền thống thì người gửi vàngười nhận cần phải có cùng một khóa cho mã hóa và giải mã Ngược lại,phương pháp mã hóa công cộng hiện nay thì sử dụng 2 khóa:

 Khóa chung (public key): được tất cả mọi người sử dụng trong cả 2

quá trình mã hóa và giải mã Mã chung này là riêng biệt cho những thựcthể khác nhau, khóa chung này có thể được cung cấp cho bất cứ thực thểnào muốn giao tiếp một cách an toàn với thực thể đó

 Khóa riêng (private key): Khóa riêng này là cá nhân với mỗi thực

thể, tăng phần bảo mật cho thông tin Với khóa mã chung của một thựcthể thì bất cứ ai cũng có thể sử dụng để mã hóa và gửi dữ liệu, tuy nhiênchỉ có thực thể có khóa riêng phù hợp mới có thể giải mã dữ liệu nhậnđược này Trong giao tiếp, thì người gửi có khóa chung để mã hóa dữliêu còn người nhận thì sử dụng khóa riêng để giải mã dữ liệu đó

Có hai ứng dụng mã hóa sử dụng phổ biến là Pretty Good Privacy (PGP)and Data Encryption Standard (DES)

 Xác nhận (authentication): Là quá trình để đảm bảo dữ liệu gửi điđến được đúng nơi cần nhận và người nhận dữ liệu nhận được thông tin đầy đủ.Một dạng đơn giản của nó là yêu cầu xác nhận ít nhất là username và password

để truy cập tài nguyên Một dạng phức tạp hơn là sự xác nhận có thể dựa trên

cơ sở là một khóa bí mật mã hóa (secret-key encryption) hay khóa chung mãhóa (public-key encryption)

 Ủy quyền (authorization): là sự cho phép hay từ chối truy cập tàinguyên trên mạng sau khi người sử dụng đã xác nhận thành công.

2 Sự phát triển của VPNs

VPNs không thực sự là kĩ thuật mới Trái với suy nghĩ của nhiều người,

mô hình VPNs đã phát triển được khoảng 15 năm và trải qua một số thế hệ đểtrở thành như hiện nay

Mô hình VPNs đầu tiên được đề xuất bởi AT&T cuối những năm 80 và

được biết đến với tên Software Defined Networks (SDNs) SDNs là mạng

WANs, các kết nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi có kết nốicục bộ hay bên ngoài Dựa trên thông tin này, gói dữ liệu được định tuyếnđường đi đến đích thông qua hệ thống chuyển mạch chia sẻ công cộng

Thế hệ thứ hai của VPNs đến từ sự xuất hiện của X.25 và kĩ thuật

Integrated Services Digital Network (ISDN) trong đầu những năm 90 Hai kĩ

thuật này cho phép truyền dữ liệu gói qua mạng công cộng phổ biến với tốc độnhanh Và giao thức X.25 và ISDN được xem là nguồn gốc của giao thứcVPNs Tuy nhiên do hạn chế về tốc độ truyền tải thông tin để đáp ứng các nhucầu càng tăng của con người nên thời gian tồn tại của nó khá ngắn

Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của

cell-based Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM) Thế

hệ thứ 3 của VPN dựa trên cơ sở kĩ thuật ATM và FR này Hai kĩ thuật này dựatrên mô hình chuyển mạch ảo (virtual circuit switching) Trong đó các gói tinkhông chứa dữ liệu nguồn hay địa chỉ gửi đến mà thay vào đó là chúng mangcác con trỏ đến mạch ảo nơi mà nguồn và điểm đến được xác định Với kĩ thuậtnày thì tốc độ truyền dữ liệu được cải thiện (160 Mbps hoặc hơn) so với trước

đó là SDN, X.25 hay ISDN

Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên

90, người sử dụng và các tổ chức muốn một giải pháp có cấu hình dễ dàng, cókhả năng quản lý, truy cập toàn cầu và có tính bảo mật cao hơn Thế hệ VPNshiện tại đã đáp ứng được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đườnghầm” (tunneling technology) Kĩ thuật này dựa trên giao thức gói dữ liệu truyền

trên một tuyến xác định gọi là tunneling, như IP Security (IPSec),

Point-to-Point Tunneling Protocol (PPTP), hay Layer 2 Tunneling Protocol (L2TP).

Tuyến đường đi xác định bởi thông tin IP Vì dữ liệu được tạo bởi nhiều dạngkhác nhau nên “đường hầm” phải có thể hỗ trợ nhiều giao thức truyền tải khácnhau bao gồm IP, ISDN, FR, và ATM

3 Giao thức đường hầmVPN:

Có 3 giao thức đường hầm chính được sử dụng trong VPNs:

a IP Security (IPSec): Được phát triển bởi IETF, IPSec là tiêu chuẩn

mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công

cộng Không giống như các kỹ thuật mã hóa khác, IPSec thi hành ở phân lớpNetwork trong mô hình OSI (Open System Interconnect) Do đó nó có thể thựcthi độc lập với ứng dụng mạng

b Point-to-Point Tunneling Protocol (PPTP) Được phát triển bởi

Microsoft, 3COM và Ascend Communications Nó được đề xuất để thay thếcho IPSec PPTP thi hành ở phân lớp 2 (Data Link) trong mô hình OSI vàthường được sử dụng trong truyền thông tin hệ điều hảnh Windows

c Layer 2 Tunneling Protocol (L2TP) Được phát triển bởi hệ thống

Cisco nhằm thay thế IPSec Tiền thân của nó là Layer 2 Forwarding (L2F),

được phát triển để truyền thông tin an toàn trên mạng Internet nhưng bị thaythế bởi L2TP vì LT2P có khả năng mã hóa dữ liệu tốt hơn và có khả năng giaotiếp với Windown L2TP là sự phối hợp của L2F) và PPTP Thường được sử

dụng để mã hóa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng

 Giảm chi phí thiết lập: VPNs có giá thành thấp hơn rất nhiều so với

các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý

do là VPNs đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng

bằng các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of

Presence (POP).

 Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông

khoảng cách xa, VPNs cũng giảm chi phí vận hành mạng WAN một cách đáng

kể Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết

bị mạng WAN dử dụng trong VPNs được quản lý bởi ISP Một nguyên nhânnữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí đểđào tạo và trả cho nhiều người người quản lý mạng

 Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng

Internet cho kết nối nội bộ giữa các phần xa nhau của intranet Do Internet cóthể được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sửdụng cũng có thể kết nối dễ dàng với mạng intranet chính

 Bảo mật: Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu

thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện Thêmvào đó, VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa,xác nhận và ủy quyền Do đó VPNs được đánh giá cao bảo mật trong truyềntin

 Hiệu xuất băng thông: Sự lãng phí băng thông khi không có kết nối

Internet nào được kích hoạt Trong kĩ thuật VPNs thì các “đường hầm” chỉđược hình thành khi có yêu cầu truyền tải thông tin Băng thông mạng chỉ được

sử dụng khi có kích hoạt kết nối Internet Do đó hạn chế rất nhiều sự lãng phíbăng thông

 Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa trên cơ sở Internet nên

động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sungthêm vào tối thiểu Điều này làm mạng intranet có khả năng nâng cấp dễ dàngtheo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạtầng

b Khuyết điểm:

 Phụ thuộc nhiều vào chất lượng mạng Internet Sự quá tải hay tắtnghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máytrong mạng VPNs

 Thiếu các giao thức kế thừa hỗ trợ: VPNs hiện nay dựa hoàn toàntrên cơ sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn(mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày.Kết quả là VPNs không phù hợp được với các thiết bị và giao thức này Vấn đềnày có thể được giải quyết một cách chừng mực bởi các “tunnelingmechanisms” Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh cácgói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng

5 Đánh giá VPNs:

Đánh giá các mạng sử dụng giải pháp VPN, người ta thường sử dụngcác tiêu chí sau:

Bảo mật: Do truyền nhạy cảm và quan trọng của công ty được truyền

qua mạng thiếu an toàn như mạng Internet, thì bảo mật chính là yêu cầu quantrọng nhất giữa tổ chức và quản trị mạng Để đảm bảo rằng dữ liệu không thể bịchặn hay truy xuất trái phép hoặc có khả năng mất mát khi truyền tải Có cơchế mã hóa dữ liệu đủ khả năng mã hóa dữ liệu an toàn

Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạngdoanh nghiệp của bạn là giải pháp chọn lựa phải phù hợp với cơ sở hạ tầngmạng hiện có và giải pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phầnmềm chống vius hay các hệ thống bảo mật khác Một điểm nữa cần chú ý làtoàn thể giải pháp cần được quản lý bởi chỉ một ứng dụng

Sự thích nghi giữa (interoperablility) các thiết bị từ nhiều nhà cung cấp: Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm

bảo chất lượng dịch vụ (Quality of Service - QoS) rất khó đạt được Do đó thiết

bị cần được kiểm tra thích nghi trước khi lắp đặt chúng vào mạng VPN Cácnhà chuyên môn khuyến cáo để đạt chất lượng tốt truyền tin thì các thiết bị nên

từ 1 nhà cung cấp Điều này đảm bảo sự thích nghi các thiết bi và đảm bảo chấtlượng dịch vụ tốt nhất

Quản lý VPN tập trung: Điều này giúp dễ dàng cấu hình, quản lý và

khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng.Một điều quan trọng là phần mềm quản lý luôn ghi lai các hoạt động hệ thống(logs), điều này giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khigây ảnh hưởng đến chất lượng toàn bộ hệ thống

Dễ dàng bổ sung các thành phần khác: Giải pháp VPN có thể dễ

dàng bổ sung và cấu hình Nếu thành phần bổ sung có kích thước lớn thì bạnphải chắc chắn rằng phần mềm quản lý đủ khả năng ghi và theo dõi số lượnglớn tunnel bổ sung của hệ thống

Sử dụng dễ dàng: Phần mềm VPN, đặc biệt là các phần mềm VPN

cho khách hàng phải đơn giản và không phức tạp đối để người dùng cuối có thể

bổ sung nếu cần thiết Thêm vào đó qusa trình xác nhận và giao diện phải dễhiểu và sử dụng

Khả năng nâng cấp (Scalability) Mạng VPN đang tồn tại phải có

khả năng nâng cấp, thêm vào các thành phần mới mà không thay đổi nhiều cơ

sở hạ tầng hiện tại

Performance: Mã hóa, mặt rất quan trọng của của VPNs, được thực

hiện chủ yếu nhờ CPU Do đó, điều cần thiết là lựa chọn thiết bị sao cho nókhông chỉ đơn thuần là thích nghi với nhau mà nó còn có thể thi hành nhiệm vụnhư mã hóa dữ liệu nhanh chóng và hiệu quả Nếu không thì chất lương thấpmột bộ phận có thể làm giảm chất lượng của toàn bộ hệ thống VPN

Quản lý băng thông: Để đảm bảo truyền tin, luôn sẵn sàng và đảm

bảo QoS thì việc quản lý băng thông hiệu quả là điều vô cùng quan trọng Việcquản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người

sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng,theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty

Chọn nhà cung cấp dịch vụ internet (ISP): ISP được chọn phải

đáng tin cậy và có khả năng cung cấp và hỗ trợ cho người sử dụng VPN vàquản trị mạng bất cứ khi nào Điều này thực sự quan trọng nếu ISP của bạn chophép bạn quản lý dịch vụ Bạn cũng phải chắc chắn rằng hướng phát triển tươnlai của ISP sẽ cho ra các dịch vụ mà bạn tìm kiếm và quan trọng hơn là nó cóthể cung cấp các dịch vụ phi vật thể về phân vùng địa lý(services immaterial togeographic location.)

 Bảo vệ mạng khỏi các dữ liệu không mong muốn: Bằng cách kết

nối trực tiếp Internet, VPNs có thể bị cản trở bởi các dữ liệu không mong muốn

là cản trở truyền tin của mạng Trong truơng hợp khẩn cấp, dữ liệu này có thểlàm tràn ngập mạng intranet dẫn đến sự ngưng kết nối và dịch vụ Do dó,tunnel VPN cần được cung cấp một cơ chế lọc các thành phần non-VPN Cơchế này có thể bao gồm dịch vụ hạn chế băng thông hay chính sách (Thesemechanisms might include bandwidth reservation services or a policy of notassigning global IP addresses to the nodes located within the network, thusblocking the unauthorized access to these nodes from the public network.)

II Các dạng của VPNs:

Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:

+ Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất

kỳ thời gian nào

+ Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

+ Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhàcung cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơquan

Dựa trên tiêu chí đó có thể phân loại VPNs thành 3 nhóm chính:

 Remote Access VPNs

 Intranet VPNs

Extranet VPNs

1 Remote Access VPNs:

Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống Hệ thống baogồm các thành phần chính:

 Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác

nhận và ủy quyền của yêu cầu truy cập từ xa

 Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối

 Ưu khuyết điểm của Remote Access VPNs so với Remote Accesstruyền thống:

 Không có thành phần RAS và các thành phần modem liên quan

 Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiệnbởi ISP

 Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kếtnối địa phương Do đó chi phí vận hành giảm rất nhiều

 Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc

độ cao hơn so với phải truyền dữ liệu đi xa

 VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi

vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thờitruy cập mạng tăng cao Khi số người sử dụng trong hệ thống VPN tăng, thìmặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toànmất

Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểmcòn tồn tại của Remote Access truyền thống:

 Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS

 Khả năng mất dữ liệu là rất cao Thêm vào đó, gói tin có thể bịphân mảnh và mất trật tự

 Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tănglên khá nhiều Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn Thêmvào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt

 Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữliệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậmđường truyền

2/ Intranet VPNs:

Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánhcủa tổ chức với mạng intranet trung tâm Trong hệ thống intranet không sửdụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng

campus router Mô hình được mô tả như hình 1-4:

Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cầnthiết để kết nối Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone

có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng

và diện tích địa lý của mạng intranet

Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backboneđược thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí chomạng intranet sẽ giảm xuống Giải pháp VPNs được mô tả như hình 1-5:

 Ưu điểm :

 Giảm chi phí cho router được sử dụng ở WAN backbone

 Giảm số nhân sự hỗ trợ ở các nơi, các trạm

 Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kếtnối peer-to-peer mới

 Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPNkết hợp với kĩ thuật chuyển mạch nhanh như FR

 Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn

và tốt hơn Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chiphí vận hành intranet rất nhiều

 Khuyết điểm :

 Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet mạng chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểmnhư tấn công từ chối dịch vụ (denial-of-service)

- Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao

 Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quátải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạngInternet

 Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thểkhông ổn đinh và QoS không thể đảm bảo

3/ Extraner VPNs:

Không giống như giải pháp của intranet VPNs và remote access VPNs,extranet VPNs không tách riêng với thế giới ngoài Extranet VPNs cho phépđiều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức nhưcác các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quantrọng trong hoạt động thương mại của tổ chức

Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ởhình1-6

Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia củaintranet phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài Do đó

sẽ vận hành và quản lý rất phức tạp các mạng khác nhau Ngoài ra yêu cầunhân sự để bảo trì và quản lý hệ thống phức tạp này trình độ cao Ngoài ra, vớithiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộintranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác

Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trởnên dễ dàng hơn và giảm chi phí Thiết lập extraner VPNs được mô tả như hình1-7:

 Ưu điểm :

 Giảm chi phí rất nhiều so với phương pháp truyền thống

 Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn

 Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụcho giải pháp tailoring phù hợp với nhu cầu tổ chức

 Do các thành phần kết nối internet được bảo trì bởi ISP, giảm đượcchi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống

 Khuyết điểm:

 Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại

 Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức

 Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quátải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạngInternet

 Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thểkhông ổn đinh và QoS không thể đảm bảo

Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm củaVPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp

 Tổng kết chương 1:

Trong chương này, bạn đã được giơi thiệu khái quát về kỹ thuật VPN.Bên cạnh những kỹ thuật cơ bản, chúng ta cũng đã biết được các ưu điểm cũngnhư nhược điểm của VPN Chương một này cũng đề cập đến các dạng củamạng VPN hiện tại Đối với người dùng phổ thông thì vai quan trọng nhất củaVPN chính là khả năng bảo mật cao và chi phí đầu tư hợp lý

Chương 2 : Các yêu cầu, các khối

Và kiến trúc của mạng riêng ảo

Các bạn đã biết ở chương trước rằng một mạng riêng ảo là một phươngpháp tương đối an toàn và bảo mật bằng việc thiết lập kết nối nội bộ trongmạng công cộng.Mạng riêng ảo không chỉ làm giảm giá thành của việc thực thimột môi trường mạng có độ an toàn rất cao, mà còn làm giảm giá thành quản lý

và nhân viên.Thêm nữa, nó cung cấp một cách sử dụng băng thông mạng mộtcác hiệu quả và có độ uyển chuyển, độ sẵn sàng cao

Cái gì dẫn đến việc đưa ra giải pháp dựa trên mạng riêng ảo ? Các thànhphần và các yêu cầu của mạng riêng ảo là gì ? Các khối được xây dựng củamạng riêng ảo là gì? Các kiến trúc mạng riêng ảo có thể có ? Đó là các câu hỏi

mà chúng ta sẽ giải quyết trong chương này

I/ Các yêu cầu của Mạng riêng ảo:

Một mạng riêng ảo là một phiên bản đã được cải tiến và chỉnh sửa củamạng cá nhân, nó cho phép bạn nâng cấp mạng LAN hoặc mạng nội bộ đượcthiết lập cùng với Internet và các mạng công cộng khác để truyền thông mộtcách an toàn và kinh tế.Vì thế, hầu hết các yêu cầu của mạng riêng ảo và cácyêu cầu của mạng cá nhân truyền thống thì gần như là giống nhau Tuy nhiên,các yêu cầu sau là các yêu cầu nổi bật trong trường hợp VPNs

sẽ tạo cho các hacker và cracker một cơ hội thuận lợi để truy cập vào mạng cánhân và dữ liệu chạy tới nó thông qua mạng công cộng.Điều đó dẫn đến kếtquả là, độ an toàn và tin cậy là không có Do đó các phương pháp bảo mật caocấp và toàn diện phải được thực hiện một cách nghiêm ngặt

Dữ liệu và tài nguyên trong mạng có thể được bảo mật bằng các cáchsau :

 Sự hiện thực của ngoại vi phụ thuộc vào các kỹ thuật mà chỉ chophép luồng giao thông được phép từ các nguồn tin cậy vào mạng và khóa tất cảcác luồng giao thông khác.Tường lửa và Sự dịch chuyển địa chỉ mạng là các ví

dụ của cơ chế bảo vệ, được hiện thực tại điểm mà tại đó mạng cá nhân haymạng nội bộ được kết nối vào mạng công cộng Các bức tường lửa không chỉxem xét kỹ luồng giao thông đi vào mà còn cả luồng giao thông đi ra, do đóđảm bảo được một mức an toàn cao Mặt khác NATs không cho thấy địa chỉ IPthực của các nguồn trong mạng Và kết quả là, hacker và các attacker kháckhông thể nhắm vào một nguồn xác định nào trong mạng nội bộ bởi vậy chonên dữ liệu được lưu trữ ở đó

 Việc hiện thực sự xác nhận user và packet để thiết lập định danh củangười sử dụng và xác định anh ấy hoặc cô ấy có quyền truy cập vào các tàinguyên của VPN trong mạng Mô hình AAA ( Authentication AuthorizationAccounting) là một ví dụ của một hệ thống xác nhận người sử dụng một cáchtoàn diện Đầu tiên, nó xác nhận người dùng truy cập vào mạng Sau khi ngườidùng được xác nhận thành công, người dùng chỉ có thể truy cập vào các nguồntài nguyên được cấp phép Thêm vào đó, một nhật ký hoạt động chi tiết của tất

cả các users trong mạng được lưu trữ, điều này sẽ cho phép quản trị mạng biếtđược các hành vi trái phép

 Việc thực thi kỹ thuật mã hóa dữ liệu để bảo đảm tính xác thực, tínhtoàn vẹn, và tính tin cậy của dữ liệu trong khi dữ liệu được truyền qua mộtmạng tương tác không tin cậy IPSec ( Internet Protocol Security) xuất hiệnnhư một trong những kỹ thuật mã hóa dữ liệu mạnh mẻ Nó không những mãhóa dữ liệu được truyền, mà còn cho phép xác thực mỗi user và mỗi packet mộtcách riêng rẽ

Các phương pháp bảo mật VPN nên được chọn với sự quan tâm đặcbiệt Chúng nên không những dễ thực hiện và quản lý mà còn phải chịu đượcbất cứ sự vi phạm truy cập từ các người sử dụng trong mạng Thêm vào đó, quátrình đăng nhập của người dùng phải nên nhanh và dễ dàng để mà người dùngkhông gặp bất cứ trở ngại nào khi truy cập vào VPN

2 Sự sẵn sàng và Sự tin cậy

Sự sẵn sàng liên quan đến tổng thời gian thiết lập mạng Trong cácmạng cá nhân và mạng nội bộ uptime thì tương đối cao bởi vì kiến trúc hạ tầngtổng thể thì thuộc quyền sở hữu và kiểm soát hoàn toàn của tồ chức Tuy nhiên,VPNs sử dụng các mạng nội bộ trung gian dưới dạng Internet và PSTNs Vìthế, Các thiết lập dựa trên VPNs thì phụ thuộc cao vào mạng internet trunggian Trong trường hợp này, hệ số sẵn sàng phụ thuộc cao vào ISP ( InternetService Provider) bạn dùng

Tổng quát, ISPs bảo đảm tính sẵn sàng dưới dạng của một SLA( Servicelevel Agreement) Một SLA là một sự thoả thuận được ký giữa ISP và người sử

dụng để bảo đảm uptime của mạng Mặc dù hơi đắt, một vài ISPs cung cấpuptime mạng cao tới 99 phần trăm

Nếu tổ chức của bạn mong đợi sự sẵn sàng cao, và tìm kiếm một nhàcung cấp dịch vụ mà cung cấp một cơ sở hạ tầng chuyển mạch xương sống.Điều này bao gồm :

 Khả năng định tuyến mạnh mẽ, cho phép định tuyến lại luồng giaothông qua một đường thay thế trong trường hợp đường truyền chính hư hoặc bịnghẽn mạch Để bảo đảm hiệu suất tối đa, khả năng định tuyến này cũng phải

hỗ trợ các chức năng để chỉ rõ các tuyến ưu tiên khi cần

 Sự dư thừa các đường truy cập, được sử dụng để cung cấp nhu cầutăng cao về băng thông của mạng

 Sự tin cậy là một yêu cầu chính khác của VPNs và nó được kết hợpchặt chẽ với hệ số sẵn sàng Độ tin cậy của các giao dịch của VPNs bảo đảm sựcấp phát dữ liệu 2 đầu trong tất cả các trường hợp Giống như hầu hết các thiếtlập của các mạng khác, độ tin cậy của môi trường dựa trên VPN có thể đạtđược bằng các gói chuyển mạch tới các đường khác, nếu một đường kết nốicho trước hay thiết bị trong đường truyền hư hỏng Toàn bộ quá trình này thì rõràng cho người sử dụng cuối cùng và có thể đạt được bằng cách thực thi dưthừa trong các kết nối cũng như phần cứng

QoS bao gồm 2 tiêu chuẩn latacy và throughput Latency là sự trễ trongmột truyền thông và cực kỳ quan trọng với các ứng dụng âm thanh vàvideo.Throughput liên quan tới sự sẵn sàng của băng thông thích hợp với tất cảcác ứng dụng, đặc biệt là các nhiệm vụ tới hạn và các ứng dụng đòi hỏi nhiềubăng thông

Giống như tính sẵn sàng, QoS cũng phụ thuộc vào một SLA Với sựgiúp đỡ của một SLA, một nhà cung cấp dịch vụ thoả hiệp một mức độ nào đócủa latency và throughput tới người đăng ký.Nếu bất cứ thời gian nào mức độlatency và throughput được cung cấp bởi nhà cung cấp dịch vụ thấp hơn đượchứa trong SLA, sự thoả thuận đã bị xâm phạm Trong cách này, một tổ chức cóthể bảo đảm rằng nó nhận được với mức độ mà nhà dịch vụ đã hứa

Phụ thuộc vào mức độ latency và throughput được hứa bởi nhà cung cấpdịch vụ và có hể được chia thành 3 loại sau :

 Best Effort QoS : lớp dịch vụ này, chỉ ra sự không có QoS bởi vì

nhà cung cấp dịch vụ không bảo đảm cả về latency cả throughput Bởi vì điềunày, Best Effort QoS là lớp dịch vụ rẻ nhất và không được sử dụng cho cácluồng giao thông cần nhiều băng thông hoặc nhạy với trễ

 Relative QoS : Lớp dịch vụ này có khả năng ưu tiên luồng dữ liệu.

Vì thế, ít nhất throughput được đảm bảo Tuy nhiên, việc đảm bảo này thìkhông tuyệt đối và phụ thuộc vào tải trên mạng và phần trăm của luồng cầnđược ưu tiên tại một điểm thời gian xác định Đây là lớp có chi phí vừa phải và

là trung gian cho các ứng dụng cần nhiều băng thông

 Absolute QoS : Lớp này đảm bảo cả throughput lẫn latency Vì thế,

nó là lớp dịch vụ mắc nhất và cung cấp cho các ứng dụng cần nhiều băng thông

và nhạy với trễ

 Best effort QoS được cung cấp cho các người sử dụng Internet riêng

rẽ mà cần kết nối để lướt web Mặt khác Absolute QoS được dùng cho các giaodịch audio và video thời gian thực Relative QoS thì thích hợp cho extranet vàtruy cập từ xa mà không yêu cầu throughput cực cao hoặc tối thiểu Trong thếgiới thực, các tổ chức tổng quát thường sử dụng một sự kết hợp của 3 lớp dịch

vụ để thỏa nhu cầu của mạng công ty theo một cách hiệu quả nhất

Trong VPNs, QoS cung cấp hiệu suất đoán được và sự thực thi chínhsách với các ứng dụng khác nhau mà chạy trên VPN Trong cấu trúc VPN, mộtchính sách được sử dụng để phân loại các ứng dụng, mỗi người dùng riêng rẽ,hoặc các nhóm người sử dụng trên nền tảng quyền ưu tiên được chỉ rõ

4 Có thể quản lý được :

Việc điều khiển hoàn toàn của các tài nguyên mạng và các hoạt động,cùng với sự quản lý phù hợp, là các vấn đề rất quan trọng cho tất cả các tổ chứcvới mạng trải rộng ra toàn cầu Trong tình huống này, hầu hết các tổ chức đượckết nồi với nguồn tài nguyên khắp nơi của họ với sự giúp đỡ của các nhà cungcấp dịch vụ Và kết quả là, điều khiển 2 đầu cuối của một mạng nội bộ của một

tổ chức là không thể bởi vì có sự hiện diện trung gian của mạng nội bộ của ISP.Trong trường hợp này, các tổ chức quản lý nguồn tài nguyên của họ cho tậnđến các mạng của công ty, trong khi các nhà cung cấp dịch vụ quản lý các thiếtlập mạng riêng của họ

Với sự sẵn sàng của các thiết bị VPN hiện có và sự thỏa thuận giữa ISP

và tổ chức, nó có thể loại bỏ các giới hạn truyền thống của sự quản lý tàinguyên, và quản lý toàn bộ các phần công công và riêng của VPN 2 đầu Một

nó như trong mô hình truyền thống Tổ chức có sự điều khiển hoàn toàn của sựtruy cập mạng và có quyền để giám sát trạng thái thời gian thực, hiệu suất củaviệc thiết lập VPN, và ngân quỹ được cấp Thêm vào đó, một tổ chức cũng cóthể giám sát phần công cộng của VPN Trong một cách thông thường, một nhàcung cấp dịch vụ quản lý và điều khiển phần sở hữu của cơ sở hạ tầng của nó.Tuy nhiên, nếu cần thiết, ISP có thể quản lý toàn bộ cơ sở hạ tầng, bao gồm cơ

sở hạ tầng VPN của tổ chức đăng ký

5 Sự tương thích:

Như các bạn đã biết trước đây, VPNs sử dụng mạng công cộng cho cáckết nối khoảng cách dài Các mạng nội bộ trung gian có thể vừa dựa trên IP,như là Internet, và có thể dựa trên các kỹ thuật chuyển mạch khác, như FrameRelay (FR) và Aynchronous Mode (ATM) Vì thế VPNs nên có thể lợi dụngcác loại giao thức và kỹ thuật cơ bản

Trong trường hợp mạng nội bộ trung gian dựa trên IP, VPNs phải có khảnăng sử dụng địa chỉ IP và các ứng dụng của IP Để đảm bảo sự tương thíchvới một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể tích hợp vàoVPNs :

 Sử dụng IP gateways : IP gateway chuyển các giao thức không IP

thành IP và ngược lại Các thiết bị có thể hoặc là các thiết bị chuyên dụng hoặc

có thể là các giải pháp dựa trên phần mềm Như các thiết bị phần cứng, các IPgateway được hiện thực tại các cạnh của mạng nội bộ của tổ chức.Như các giảipháp dựa trên phần mềm, các IP gateway được cài đặt trên mỗi server vàthường chuyển luồng giao thông từ giao thức không IP thành IP và ngược lại.Novell’s IP Gateway của NetWare la một ví dụ Nó chuyển luồng IPX thành IP

và ngược lại

 Use of Tunneling : đường hầm, như đã biết ở chương trước, là một

kỹ thuật bao đóng các gói dữ liệu không IP thành các gói IP cho việc truyềnxuyên qua cơ hở hạ tầng dựa trên IP Ở đầu kia, khi nhận các gói này từ đườnghầm, xử lý và loại bỏ IP header để chiết xuất lại được thông tin gốc

 Use of Virtual IP Routing (VIPR) : như thấy ở hình 2.1, VIPR hoạt

động bằng cách phân chia logic một router vật lý đặt ở cuối của nhà cung cấpdịch vụ ( như là một bộ phận của cơ sở hạ tầng của ISP ) Mỗi phần được cấuhình và quản lý như là một router vật lý và có thể hỗ trợ một VPN riêng Nóimột cách đơn giản hơn, mỗi phần logic được xử lý như là một router hoànchỉnh với đầy đủ các chức năng của một router Vì thế, các phần router logicnày có thể hỗ trợ nhiều giao thức và có khả năng xử lý các địa chỉ IP riêng

Trong trường hợp giao thức và kỹ thuật không IP như Frame Delay vàATM, kỹ thuật Virtual Private Trunking ( VPT) được sử dụng Kỹ thuật VPTđược miêu tả ở hình 2-2 VPT tương thích với một khoảng rông các giao thức

và dựa vào kỹ thuật chuyển mạch gói Vì thế, nó lợi dụng Permanent VirtualCircuits (PVCs) và Switched Virtual Circuits (SVCs) cho việc truyền dữ liệu.Đối với một giao dịch thành công, VPT cần một thiết bị WAN, như là router,cũng là để hỗ trợ khả năng FR và ATM Để đảm bảo giao dịch hiệu quả vế mặtchi phí, PVCs thường được dùng để kết nối các nơi trong một mạng riêng hoặcmột mạng nội bộ SVCs, mặt khác, cũng được sử dụng để kết nối các điểmtrong mạng nội bộ mở rộng

II/ Cấu trúc khối VPN

Như ở hình 2-3, sáu thành phần cơ bản tạo thành một giải pháp dựa trênVPN hoàn chỉnh Các khối xây dựng VPN được liệt kê dưới đây

 Phần cứng VPN bao gồm các sever VPN, khách hàng, và các thiết bịphần cứng khác như VPN routers, gateways và concentrator

 Phần mềm VPN bao gồm các phần mềm server và client và các công

 Mạng công cộng bao gồm mạng Internet, mạng chuyển mạch điệnthoại công cộng và Plain Old Services (POTS)

 Đường hầm, có thể được dựa trên PPTP, L2TP hoặc L2F

Trong tất cả các khối được đề cập ở trên, bạn đã được giới thiệu đườnghầm và kỹ thuật đường hầm trong chương 1 “ giới thiệu về VPNs” Kỹ thuậtđường hầm sẽ được thảo luận chi tiết ở chương 4 “ Tìm hiểu về kỹ thuật đườnghầm” Vì thế để tránh các khái niệm lập lại không cần thiết, các đường hầmkhông được thảo luận ở đây

1 Phần cứng VPN:

Như đã đề cập ở trên, phần cứng VPN thì được tạo thành các serverVPN, các client VPN và các thiết bị phần cứng khác, như là routers vàconcentrators

a VPN Servers:

Tổng quát, VPN servers là các thiết bị mạng chuyên dụng chạy phầnmềm server Phụ thuộc vào các yêu ầu của tổ chức, có thể có một hay nhiềuVPN server Bởi vì một server VPN phải cung cấp các dịch vụ cho các kháchhàng VPN ở xa cũng như ở địa phương, chúng luôn sẵn sàng và sẵn sàng chấpnhận các yêu cầu

Chức năng chính của các VPN server bao gồm các nhiệm vụ sau :

 Lắng nghe các yêu cầu kết nối cho VPN

 Dàn xếp các yêu cầu và thông số kết nối, như là kỹ thuật mật mã và

 Lưu ý Một VPN Server có thể hoạt động như một gateway hay một

router chỉ nếu số lượng yêu cầu hoặc số người sử dụng thấp ( cho tới 20) NếuVPN server phải hỗ trợ một lượng lớn các users và hoạt động như là một routerhoặc một gateway, gánh nặng của đường hầm, mã hóa, xác nhận, tường lửa vàđịnh tuyến sẽ làm cho server chạy chậm, kéo theo hiệu suất của toàn hệ thốnggiảm Thêm vào đó, rất khó để bảo vệ thông tin được lưu trữ trên server Vì thếVPN Sever phải thật chuyên nghiệp để chỉ phục vụ khách VPN và các yêu cầu

b VPN Clients

VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN vớiVPN Server và vào mạng từ xa sau khi chúng đã được xác nhận tại cuối củamạng từ xa Chỉ sau khi đăng nhập thành công VPN server và client có thể giaotiếp với nhau Tổng quát, một VPN Client là một phần mềm Tuy nhiên nócũng có thể là phần cứng chuyên dụng Một router phần cứng VPN với khảnăng định tuyến cuộc gọi theo yêu cầu, cái mà quay số tới router phần cứngVPN khác, là một ví dụ của thiết bị phần cứng chuyên dụng

Với sự gia tăng lực lượng lao động của một tổ chức, rất nhiều ngườidùng (VPN clients) có các dữ liệu không đồng bộ Các người dùng này có thể

sử dụng VPN để trao đổi một cách an toàn tới mạng nội bộ của tổ chức Các

mô tả tiểu biểu của một VPN client bao gồm các phần sau ( hình 2-4)

 Các người giao tiếp từ xa sử dụng Internet hoặc mạng công cộng đểkết nối nguồn tài nguyên của tổ chức từ nhà

 Những người sử dụng laptops, palmyops và notebooks, những người

mà sử dụng mạng công cộng để kết nối với mạng nội bộ của tổ chức để truycập mail và các tài nguyên nội bộ khác

 Các nhà quản trị từ xa, những người sử dụng mạng công cộng trunggian, như là internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục

sự cố, hoặc cấu hình các dịch vụ và thiết bị

c VPN Routers, Concentrators và gateways

Trong trường hợp các thiết lập VPN nhỏ, VPN server có thể thực hiệnnhiệm vụ định tuyến Tuy nhiên, kiểu làm này không hiệu quả trong trườnghợp các thiết lập VPN lớn bao gồm số lượng khổng lồ các yêu cầu Trong cáctrường hợp như vậy, một thiết bị định tuyến VPN riêng được sử dụng Tổngquát một router là một điểm cuối của mạng cá nhân nếu nó không có tường lửaphía sau Nhiệm vụ của VPN router là làm cho các phần ở xa trong mạng nội

bộ có thể liên lạc được với nhau Vì thế, các router có nhiệm vụ chính là tìm tất

cả các đường đi có thể đến điểm đích trong mạng và chọn đường ngắn nhấttrong tập các đường có thể như trong trường hợp của mạng truyền thống

Mặc dù các routers thông thường có thể được sử dụng trong VPN, cácchuyên gia đề nghị nên sử dụng các router tối ưu cho VPN Các router này,khác với các router thường ở chỗ, cung cấp luôn các giải pháp bảo mật, tínhkhả chuyển và chất lượng dịch vụ dưới dạng dư thừa các đường đi RouterCisco 1750 Modular Access là một ví dụ tiêu biểu

 Lưu ý : Các đặc tính thêm vào router thì khá phổ biến trong VPN.

Routers với các đặc tính thêm vào không phải là các router thật sự nhưng làmột sự cải tiến các router truyền thống làm cho chúng làm việc trong môitrường VPN Router add-ons được cài đặt hoặc tại giao diện của LAN hoặc tạigiao diện của WAN của một router thông thường và cung cấp các khả năng xácnhận, mã hóa và đường hầm cho router Sử dụng các đặc tính thêm vào này cóthể giảm giá thành của VPN đáng kể bởi vì tổ chức có thể năng cấp các routerhiện có của họ Tuy nhiên, ban đầu có một ít khó khăn và tốn nhiều thời gian

để cài đặt, cấu hình và kiểm tra lỗi

Giống như hubs được sử dụng trong các mạng truyền thống, VPNconcentrator được sử dụng để thiết lập các truy cập từ xa quy mô nhỏ vào VPN.Bên cạnh việc gia tăng dung lượng và throughput của VPN, các thiết bị nàythường cung cấp một hiệu suất sẵn sàng cao, và khả năng mật mã tiên tiến vàkhả năng xác nhận Concentrator Cisco Series 3000 và 5000 và VPN Altiga làmột vài các concentrator thông dụng

IP gateways, như đã thảo luận ở phần đầu, chuyển các giao thức không

IP thành các giao thức IP và ngược lại Kết quả là các gateways này cho phépcác mạng cá nhân hỗ trợ các giao dịch dựa trên IP Các thiết bị này có thể hoặc

là các thiết bị chuyên dụng hoặc là các giải pháp dựa trên phần mềm.Nếu sửdụng các thiết bị phần cứng, IP gateways được thực hiện ở rìa mạng nội bộ của

tổ chức Nếu sử dụng giải pháp dựa trên phần mềm, IP gateways được cài đặttrên mỗi server và được sử dụng để chuyển các luồng lưu thông từ không IPthành IP IP gateways Novell Border Manager là các ví dụ tiêu biểu

 VPN client software : tất cả các máy trong mạng mà gởi một yêu cầutới một VPN server thì được xem như là một VPN client Các hệ điều hành như

là Windows 95/98 hoặc các hệ điều hành khác được sử dụng trên một VPNclient thì được gọi là VPN client software Có một lưu ý khá thú vị là các VPNclient không sẵn sàng như là các thốêt bị phần cứng như các VPN server Tuynhiên trong trường hợp định tuyến cuộc gọi theo yêu cầu, phần cứng VPN cóthể có một VPN client gắn liền

 Các công cụ và ứng dụng quản lý VPN : chúng là các ứng dụng vàcông cụ được sử dụng để quản lý các thiết lập dựa trên VPN các ứng dụng nàyđường sử dụng để quản lý, kiểm tra giám sát, và khắc phục lỗi Novell’BorderManagement và Cisco Policy manager là các ví dụ tiểu biểu cho các công cụquản lý VPN Microsoft ‘s Window 2000 cũng cung cấp một số công cụ khácnhau như RRAS snapin cho MMC cho mục đích quản lý VPN

 Lưu ý : Theo thời gian, các giải pháp VPN dựa trên phần mềm trở nên

rẻ hơn và dễ dàng cấu hình hoặc tinh chỉnh Tuy nhiên chúng rất khó để thiếtlập và quản lý lúc ban đầu Ngày nay các giải pháp dựa trên phần cứng cũng đã

có sẵn “ Các hộp giải pháp” cung cấp tấc cả các chức năng trong một vì thế rấtđắt Tuy nhiên, chúng lại dễ dàng để cài đặt và cung cấp một hiệu suấtcao.Nortell’s Contivity là một ví dụ điển hình của hộp giải pháp dựa trên phầncứng

3 Cơ sở hạ tầng an ninh của tổ chức

Cở sở hạ tầng an ninh của tổ chức là một thành phần quan trọng của

kế hoạch tốt có thể bảo vệ mạng nội bộ của tổ chức từ các thảm hoạ trongtương lai Cơ sở hạ tầng an ninh VPN thường là một sự kết hợp các kỹ thuậtbảo mật sau :

cá nhân từ các đe dọa bên ngoài, các bức tường lửa cũng có nhiệm vụ ngănchặn tất cả các tác động xảy ra sau một sự tấn công nghiêm trọng ảnh hưởngđến toàn bộ mạng nội bộ Các bức tường lửa có thể hoạt động trên nền tảng củacác địa chỉ IP xác định, các ports được sử dụng, các loại gói, các loại ứng dụng,

và thậm chí nội dung của dữ liệu

Hình 2-5 miêu tả vị trí của các bức tường lửa trong toàn bộ hệ thống

Sự dịch chuyển địa chỉ mạng

Các thiết bị dựa trên NAT cho phép bạn kết nối tới các mạng và các tàinguyên ở xa mà không cần cho thấy địa chỉ IP của các máy chủ nội bộ trongmột mạng cá nhân hoặc mạng nội bộ Như thấy trên hình 2-6, NATs cũng đượchiện thực tại ngoại vi của một mạng nội bộ và sự liên lạc được định tuyến quachúng Thêm vào việc cung cấp các cách bảo mật cơ bản, NATs cũng cho phépbạn tiết kiệm các địa chỉ IP

Sự xác thực của server và cơ sở dữ liệu

 Dịch vụ quay số truy cập từ xa (RADIUS) và hệ thống điều khiểncác truy cập ở đầu cuối ( TACACS), như trên hình 2-7, là một số cách hiệnthực thường thấy của server và database xác thực.Chúng cung cấp một cơ chếxác thực và cấp quyền mạnh mẽ Các thiết bị này hiệu quả nhất khi chúng đượcđặt trong nhà của một mạng nội bộ của tổ chức và nhận mỗi yêu cầu xác thực

từ đầu nhà cung cấp dịch vụ

 TACACS thuộc quyền sở hữu của Cisco, nhưng cũng có giao thứcAAA cung cấp một sự tương thích với RADIUS Giao thức này được gọi làDiameter

 Khi một server dựa trên kỹ thuật RADIUS hoặc TACACS nhận mộtyêu cầu xác thực nó chỉ được xác nhận chỉ nếu thông tin liên quan được lưu trữcục bộ.Mặt khác, truy vấn được chuyển đến một cơ sở dữ liệu trung tâm, đượcthiết kế chuyên dụng để lưu trữ thông tin liên quan của các người dùng ở xa.Nhờ vào nhận được sự trả lời, các server dựa trên RADIUS hay TACACS liênlạc tương tự với Network Access Server (NAS) tại đầu ISP để thiết lập một kếtnối VPN hoặc không chấp nhận yêu cầu kết nối Trong cách thực hiện này, một

tổ chức có thể sử dụng toàn quyền đối với các cố gắng truy cập từ xa mặc dù sựhiện diện của mạng nội bộ của nhà cung cấp dịch vụ trung gian

b Kiến trúc AAA

Authentication Authorization Accounting là một cơ chế xác thực đượcthực hiện phổ biến và được thực thi trong hầu hết các truy cập từ xa cũng nhưcác truy cập địa phương Cơ chế bảo mật này có thể được thực hiện như là một

kỹ thuật bổ phụ cho RADIUS/TACACS, do đó thêm vào một lớp khác của việcxác thực

AAA cung cấp các gỉai pháp cho hầu hết các vần đề cơ bản liên quanđến truy cập từ xa Chúng bao gồm

 Ai đang truy cập vào mạng ?

 Các dịch vụ và tài nguyên nào người sử dụng được phép truy cập ?

 Các hoạt động của người dùng là gì và hiệu suất của chúng như thếnào ?

Khi một NAS đặt tại ISP và nhận một yêu cầu kết nối từ xa, nó ủynhiệm yầu cầu tới server AAA tại đầu của tổ chức Server này xác thực kháchhàng và khi xác thực thành công thì quyết định các tài nguyên và dịch vụ nào

vào dịch vụ hay tài nguyên mà bị cấm, cơ chế AAA ngăn chặn truy cập vàthông báo cho người sử dụng AAA cũng theo dõi các nỗ lực của người dùngtruy cập vào các nguồn tài nguyên khác nhau

c Giao thức IPSec

IPSec là kỹ thuật bảo mật mới nhất trong lĩnh vực VPN không giốngnhư các kỹ thuật đã thảo luận ở trên, IPSec không nên là một giải pháp tuỳchọn Nó phải là một phần tích hợp của VPN bởi vì nó cung cấp một cơ chếbảo mật có độ an toàn cao và tiên tiến, cung cấp các kỹ thuật mật mã có độ đànhồi cao và sự xác thực các gói dữ liệu riêng rẽ Tuy nhiên, các hệ thống tại haiđầu của quá trình liên lạc phải tuân theo IPSecs để hỗ trợ các kỹ thuật xác thực

và mật mã.Thêm vào đó, nêú các thiết lập VPN dùng các bức tường lửa như làmột kỹ thuật bảo mật bổ phụ, các hoạt động an ninh được thiết lập trên tườnglửa phải giống như IPSec Security Associations (Sas)

IPSecs cung cấp sự mật mã dữ liệu và sự xác thực giữa các thành phầnsau của một thiết lập VPN

 Client tới server

 Client tới router

 Firewall tới router

 Router tới router

4 Cơ sở hạ tầng hổ trợ bởi nhà cung cấp dịch vụ

Một khối quan trọng khác trong các thiết kế VPN là cơ sở hạ tầng củanhà cung cấp dịch vụ bởi vì cơ sở hạ tầng của nhà cung cấp dịch vụ là điểmtruy cập giữa mạng nội bộ của tổ chức và mạng công cộng không an toàn Nếu

cơ sở hạ tầng tại đầu của nhà cung cấp dịch vụ không có tính đàn hồi, có hiệusuất cao và an toàn, nó có thể gây ra các nút cổ chai quan trọng Nếu cácphương pháp bảo mật không nghiêm ngặt tại đầu của nhà cung cấp dịch vụ,người đăng ký mạng nội bộ của tổ chức có thể dễ bị tấn công với tất cả các loại

đe dọa về an ninh, như là sự giả mạo hay sự từ chối dịch vụ Bởi vì điều này,

cơ sở hạ tầng của nhà cung cấp dịch vụ không những có hiệu suất và độ sẵnsàng cao mà còn phải cực kỳ an toàn

 Độ tin cậy của cơ sở hạ tầng của nhà cung cấp dịch vụ phụ thuộc vàohai thành phần xương sống chuyển mạch truy cập mạng và xương sống Internetcủa ISP

 Các đặc tính mà bạn nên tìm kiếm trong một xương sống chuyểnmạch của nhà cung cấp dịch vụ, cái dựa trên lõi của Pint Of Presence (POP)của nhà cung cấp dịch vụ :

 Nó nên có khả năng hỗ trợ một tầm rộng các kỹ thuật như FrameRelay, ATM,IP, IP multicast, Voice oiver IP (VoIP),v.v…Để phục vụ mục đíchnày, xương sống chuyển mạch của nhà cung cấp dịch vụ phải hỗ trợ cả Virtual

IP Routing (VIPR) và Virtual Private Trunking (VPT)

 Nó nên có khả năng hỗ trợ tất cả các tùy chọn phổ biến của đườnghầm như là PPTP,L2TP và L2F

 Nó nên uyển chuyển và thích nghi với mạng chuyển mạchnhanh.Thêm vào đó, nó nên hỗ trợ các tiêu chuẩn an toàn và sự xuất hiện củađường hầm

 Nó nên cung cấp chất lượng dịch vụ cao với giá cả hợp lý Để cựcđại mức QoS, xương sống chuyển mạch truy cập mạng của nhà cung cấp dịch

vụ phải cung cấp khả năng quản lý băng thông linh hoạt, gắn liền với sự nén đểtăng tổng throughput và độ đàn hồi cao để chống lại các thảm hoạ ưới dạng cáckết nối, nguồn cung cấp, và các thiết bị dự phòng

 Nó nên đảm bảo các phương pháp bảo mật ở mức độ cao như IPSec,RADIUS và sự chứng nhận của vật mang địa phương

Các đặc tính cần tìm ở thành phần thứ hai của cơ sở hạ tầng của nhàcung cấp dịch vụ, xương sống WAN (hay Internet), bao gồm các yếu tố sau :

 Nó nên cung cấp một tầm rộng các tùy chọn truy cập WAN nhưđường dây IDSL,X.25, dây thuê bao, và dây T1.E1

 Nó nên có khả năng xử lý các router truyền thống và các thiết bịchuyển mạch thêm vào VPN routers, switches, gateways, concentrators, và cácthiết bị phần cứng VPN khác

 Nó nên có khả năng xử lý một lượng lớn các cổng LAN và WAN

 Nó nên cung cấp throughput cao, trễ thấp và uptime cao

 Nó nên có khả năng hỗ trợ sự phát triển tiên đoán cũa VPN cũng nhưInternet

 Nó nên phụ thuộc vào tất cả các tiêu chuẩn định tuyến công nghiệpnhư Routing Information Protocol(RIP), Open Shortest Path First(OSPF),Exterior Gateway Protocol(EGP) và Border Gateway Protocol(BGP)

5 Các mạng công cộng

Một ý kiến thông dụng cho là Internet là một mạng công công Kháiniệm này không đúng bởi vì con rất nhiều loại mạng công cộng đa dạng tồn tạihôm nay Có thể phân thành các loại chính sau :

 POST ( Plain Old Telephone Service) : POTS liên quan đến các dịch

vụ điện thoại chuẩn bạn sử dụng ở nhà và ờ công ty.Sự khác biệt chính giữacác dịch vụ POTS và không POTS là dựa trên tốc độ của truyền thông tinPOST hỗ trợ tốc độ lên tới 56kpbs Chú ý rằng các dịch vụ điện thọai tốc độcao như Frame Relay, ATM, FDDI v.v không thuộc vào loại POTS

 PSTN (Public Switched Telephone Network) PSTN liên quan tớimạng dịch vụ điện thoại công cộng hướng tới âm thanh có kết nối với nhau, cái

mà có thể được sử dụng cho mục đích thương mại hoặc thuộc về chínhphủ.Mặc dù họ bắt đầu như là một hệ thống âm tần dựa trên dây đồng để mangtín hiệu analog, chúng đã được phát triển thành kỹ thuật số tốc độ cao như

điện và kỹ thuật chuyển mạch gói PSTN cung cấp cơ sở chính của sự kết nốivới Internet

 Internet có lẻ là mạng công cộng nổi tiếng nhất ngày nay Nó liênquan tới sự kết nối toàn cầu của mạng máy tính và các máy tính cá nhân banđầu là một sự kết nối của 4 máy Ngày nay Internet là một hiện tượng tự duy trì

ầa không được khống chế bởi bất cứ ai – thương mại hoặc chính phủ - và có thểđược truy cập bởi tất cả mọi người ở khắp mọi nơi trên thế giới Intrenet dựatrên những cái có sẵn của POTS và PSTN, nhưng hơi khác so với 2 cái trên vì

nó sử dụng cả 2 protocol TCP/IP để điều khiển và quản lý sự liên lạc

Các mạng công cộng sử dụng các kỹ thuật đa dạng cho các giao dịchthành công và nhanh Kỹ thuật chính bao gồm :

 Asymetric Digital Subscriber Line (ADSL) ADSL cho phép sự

truyền số tốc độ cao trong khi sử dụng cơ sở hạ tầng của PSTN có sẵn ADSLcung cấp các đường dây thuê bao giống các kết nối có thể thích hợp với tínhiệu tương tự và số đồng thời ADSL cung cấp tốc độ dữ liệu khoảng 64Kbps,128Kbps, 512Kbps, và 6Mbps

 Fiber Distributed Data Interface (FDDI) : FDDI là một kỹ thuật

LAN sử dụng cho truyền tín hiệu số qua cáp quang FDDI là một kỹ thuậttoken-passing, nơi mà một token frame đặc biệt được sử dụng để truyền dữliệu Nó có thể là vòng đơn như là Token ring cũng như vòng đôi Một mạngdựa trên vòng đơn FDDI tiêu biểu hỗ trợ tốc độ dữ liệu lên tới 100Mbps,truyền xa tới 124 dặm và có thể hỗ trợ vài ngàn người dùng Một cơ sở hạ tầngvòng kép thì ổn định hơn và có thể truyền xa tới 62 dặm Bởi vì các lý do này,FDDI thường được sử dụng cho xương sống truy cập WAN.Phiên bản mới nhấtcủa FDDI gọi là FDDI -2 có thể hỗ trợ dữ liệu cũng như tín hiệu audio và videotrên cùng cơ sở hạ tầng Một phiên bản khác của FDDI, gọi là FDDI FullDuplex Technology (FFDT), có thể hỗ trợ tốc độ dữ liệu lên tới 200Mbps

 Các dịch vụ tích hợp mạng số (ISDN) ISDN là kỹ thuật truyền cho

phép truyền tín hiệu voice, video và dữ liệu qua cáp đồng và cáp quang Sựthực hiện dựa trên ISDN sử dụng một ISDN adapter ( gọi là CSU/DSU) tại cảhai đầu thay vì modem truyền thống ISDN sử dụng hai loại dịch vụ - BasicRate Interface ( BRI) và Primary Rate Interface(PRI) BRI được sử dụng chocác người sử dụng làm việc tại nhà, trong khi PRI được sử dụng cho các tổchức và xí nghiệp Một giải pháp dựa trên ISDN hoàn chỉnh bao gồm cả hailoại kênh truyền : các kênh truyền B và các kênh truyền D Các kênh truyền Bdùng để mang dữ liệu voice và các tín hiệu khác Các kênh truyền D mangthông tin tín hiệu và thông tin điều khiển Phiên bản gốc của ISDN là baseband,cho phép một tín hiệu đơn truyền qua kênh B Ngày nay, một phiên bản mởrộng của ISDN gọi là B-ISDN cho phép rất nhiều tín hiệu được trộn trên cùngmột kênh truyền và hỗ trợ tốc độ dữ liệu lên đến 1.5Mbps

 Frame Relay : Dựa trên kỹ thuật chuyển mạch gói X25, Frame

Delay là một kỹ thuật có giá cạnh tranh, chuyển dữ liệu từ LAN tới WAN.Trong Frame Delay, các frame được sử dụng cho việc giao dịch dữ liệu có kíchthước khác nhau Thêm vào đó, mọi cơ chế kiểm soát lỗi là trách nhiệm của chỉ

người gửi và người nhận, dẫn đến kết quả là sự truyển dữ liệu tốc độ cao.Frame Dealy sử dụng 2 loại mạch để truyền dữ liệu : Permanent VirtualCircuits (PVCs) và Switched Virtual Circuits (SVCx) PVCs, thường được sửdụng phổ biến cho phép người sử dụng cuối sử dụng các kết nối chuyên biệt

mà không cần phải đầu tư các tùy chọn đắt tiền như đường dây thuê bao ỞMỹ,,mạng Frame Delay hoạt động ở T1 (1.544Mbps) và T3(45Mbps) Các nhàcung cấp dịch vụ như là AT&T cung cấp các dịch vụ Frame Delay Tuy nhiênmột số công ty điện thoại cũng cung cấp tốc độ thấp cỡ 56Kbps Ở Châu Âu,tốc độ truyền Frame Delay từ 64Kbps đến 2 Mbps

 Asynchronous Transfer Mode (ATM) ATM là một kỹ thuật

chuyển mạch số dựa trên PVC có thể hỗ trợ tín hiệu audio, video và dữ liệu quamôi trường truyền số với tốc độ 155.5Mbps,622Mbps và lên tới 10Gbps ATM

sử dụng các frame hoặc các gói có kích thước cố định cho mục đích này Cácgói này được biết đến như là các cell, có chiều dài là 53 byte Bởi vì các cell cókích thước nhỏ và sự thật là mỗi loại tín hiệu được đóng khung trong một cell

có kích thước cố định, không có tín hiệu audio, video hay dữ liệu nào có thểlàm nghẽn đường truyền., Thêm nữa, tất cả các cell đều được sắp hàng trướckhi truyền và xử lý không đồng bộ bất chấp các cell khác có liên quan, điều nàylàm cho ATM nhanh hơn các kỹ thuật chuyển mạch khác ATM cung cấp 3loại dịch vụ : Constant Bit Rate(CBR), Available Bit Rate ( ABR), Variable BitRate ( VBR) và Unspecified Bit Rate (UBR) CBR cung cấp tốc độ bit cố định

và tương tự với các đường dây thuê bao.ABR cung cấp một khả năng tối thiểuđảm bảo kể cả trong trường hợp nghẽn mạch.VBR đảm bảo các throughput xácđịnh và thường được sử dụng cho các buổi hội thảo video UBR không đảmbảo throughput và được sử dụng để truyền dữ liệu thông thường

 Lưu ý : Dịch vụ BRI ISDN hỗ trợ 2 kênh truyền B 64Kbps, và một

kênh truyền D – 16 Kbps Vì thế, Trong dịch v5 tổng hợp Basic Rate cho phépdịch vụ tới 128Kbps Primary Rate, mặt khác, bao gồm 23 kênh B và một kênh

D 64Kbps ở Mỹ Ở Châu Âu, dịch vụ Primary Rate bao gồm 30 kênh B và 1kênh D

Phần cứng, phần mềm, đương hầm, cơ sở hạ tầng an ninh VPN của tổchức đăng ký, cơ sở hạ tầng của nhà cung cấp dịch vụ, và mạng công côngtrung gian,tất cả đều là các phần rất quan trọng trong thiết kế VPN Bạn có thểkiểm soát được tất cả các thành phần ngoại trừ mạng công cộng trung gian vàInternet Vì thế, bạn phải rất cẩn thận khi chọn các khối VPN Bạn cũng phảithiết lập một sự cân bằng giữa hai vấn đề rất nhạy cảm của bất kỳ sự thực hiệnmạng nào – giá thành của sự triển khai và độ an toàn Vì lý do này, bạn nênphân tích cẩn thận và thấu đáo các yêu cầu của tổ chức và ràng buộc tài chính

mà bạn gặp phải Giải pháp tốt nhất là trộn lẫn và hoà hợp các kỹ thuật có sẵn.Điều này sẽ giúp bạn giảm chi phí tổng cộng của việc triển khai VPN, đặc biệtnếu tài chính của bạn ít Bạn cũng phải rất cẩn thận khi chọn nhà cung cấp dịch

vụ và phân tích SLA kỹ lưỡng trước khi bạn chấp nhận hợp đồng

Bây giờ bạn đã biết các khối xây dựng sẵn của VPN, bạn có thể bây giờnghĩ về các cách khác nhau và các kiến trúc để triển khai VPN sử dụng cácthành phần này

1 Các cấu trúc VPN phụ thuộc vào sự thực thi

Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, vàquan tâm đến các yêu cầu an toàn, VPNs có thể được phân loại theo 3 loại sau:

Bởi vì sự hiện thực và quản lý VPN hoàn chỉnh được thực hiện bởi nhàcung cấp dịch vụ, phương pháp đường hầm là rõ ràng với người sử dụng Khimột người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS đượcđặt tại ISP’s POP xác nhận người dùng Nếu NAS lưu trữ thông tin liên quanđến thông tin thành viên, đặc quyền, và các thông số đường hầm Nó có thể tự

xác nhận các người sử dụng Tuy nhiên NAS có thể truy vấn một serverRADIUS, AAA, hoặc TACACS về các thông tin liên quan Sau khi được xácnhận, người sử dụng cuối cùng ( người đã khởi tạo một phiên VPN) gởi vànhận các gói dữ liệu không đường hầm Các gói này được tạo đường hầm hoặcđược lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp dịch vụ

Rõ ràng như trong miêu tả, một cấu trúc phụ thuộc thì không an toàn từgóc nhìn của tổ chức Vì thế các phương pháp phức tạp phải được thực hiện bởi

tổ chức để bảo đảm độ an toàn của nguồn tại nguyên nội bộ Như thế thìRADIUS, AAA, và TACACS không phải là tuỳ chọn trong ngữ cảnh này Rấtcần thiết để thực hiện các phương pháp an toàn này và tốt nhất là thực hiện nótại mạng nội bộ của tổ chức, cho dù độ tin cậy của nhà cung cấp dịch vụ đếnđâu đi nữa Việc thực thi các bức tường lửa ở đây cũng rất quan trọng, vì chúng

có chức năng ngăn chặn các truy cập không được phép từ mạng nội bộ của tổchức

b VPNs độc lập

VPNs độc lập thì ngược với VPNs phụ thuộc Ở đây, toàn bộ chức năngcủa việc thành lập VPN được xử lý bởi tổ chức đăng ký Vai trò của nhà cungcấp dịch vụ trong trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ

xử lý lưu thông trên internet Kỹ thuật tạo đường hầm, giải đường hầm và mật

mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức Hình 2-9 miêu tảcấu trúc của VPN độc lập

VPNs độc lập, như trên hình, cung cấp một mức độ an toàn cao và chophép tổ chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựatrên VPN Hầu hết các nhà quản trị xem cách tiếp cận này như là một cách tiếpcận lý tưởng về vấn đề độ an toàn bởi vì tồ chức không phải giao sự chịu tráchnhiệm của cấu trúc VPN cho một thực thể bên ngoài Thêm vào đó, giá thànhtổng cộng của VPNs trong nhà không lớn hơn nhiều so với VPNs phụ thuộc.Tuy nhiên các tiếp cận này thêm vào một nhiệm vụ và ở ngoài tầm kiểm soátcủa nhà quản lý mạng

c VPNs hỗn hợp

Cấu trúc VPN hỗn hợp cung cấp một sự kết hợp các cách tiếp cận VPNđộc lập và phụ thuộc Cách tiếp cận này được sử dụng khi tổ chức không giaogiải pháp VPN hoàn chỉnh cho nhà cung cấp dịch vụ Thay vào đó, một vàiphần của giải pháp VPN được thực hiện và điều khiển bởi tổ chức trong khiphần còn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như hình vẽ2-10

Một cách tiếp cận khác tới VPNs hỗn hợp như trên hình 2-11, tổ chứcgiao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấpdịch vụ kiểm soát toàn bộ thiết lập như trong cấu trúc phụ thuộc Như vậy thì,không có nhà cung cấp dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoànchỉnh và theo cách này, tổ chức có thể thực hiện một VPN phụ thuộc mà khôngcần thêm nhiệm vụ quản lý VPN Mặc dù cách tiếp cận này về mặt quản lý thìhơi phức tạp, nó cho phép tổ chức loại bỏ được sự độc quyền của một nhà cungcấp dịch vụ Lợi điểm lớn nhất của tách tiếp cận này là nó tạo nên sự sẵn sàng,nếu một kết nối ISP bị trục trặc, bạn vẫn còn những kết nối khác

2 Các cấu trúc VPN dựa trên độ an toàn

Mặc dù VPNs là các giải pháp an toàn, sự phân loại VPN sau cung cấpcho một mạng nội bộ của tổ chức độ an toàn cao hơn

 VPNs router tới router

 VPN tường lửa tới tường lửa

 VPNs được khởi tạo bởi khách hàng

 VPNs trực tiếp

a VPNs router tới router

VPNs router tới router cho phép một kết nối an toàn giữa các điểm tổchức qua Internet VPNs router tới router cho phép các sự hiện thực sau :

 VPN dựa trên yêu cầu các yêu cầu đường hầm : trong cách hiện

thực này của VPNs, một kênh truyền an toàn được thiết lập giữa các routerđược gắn với các kết nối bên khách hàng và bên server như hình 2-12 Các loạiđường hầm này có thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khikết nối cuối cùng đã xong Để thực hiện thành công đường hầm router tớirouter dựa theo yêu cầu, các routers tại cả hai đầu phải hỗ trợ các khả năngVPN, như là một giải thuật mật mã và chuyển khóa.Một bất lợi lớn của cáchtiếp cận này là các đường hầm router tới router này thì chuyên dụng cho mạngnội bộ của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm

 Các đường hầm đa giao thức dựa trên yêu cầu Các thực hiện này

là một sự mở rộng logic của các đường hầm VPNs dựa theo yêu cầu vì nó hỗtrợ nhiều giao thức đường hầm giữa 2 nơi qua internet Khi một khách hàngkhông IP đặt ra một yêu cầu cho một phiên VPN, một đường hầm “trong suốt”,cái mà không đặc biệt cho bất cứ giao thức đường hầm nào, được thiết lập giữacác routers tại 2 đầu cuối như hình2-13, dữ liệu không IP được tạo đường hầmxuyên qua Internet hoặc bất kỳ mạng công cộng nào đến tới router đích

 Các phiên mã hóa dựa trên yêu cầu Trong cách thực hiện này,

một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router vàgiữa hai đầu, mặc dù sự thật rằng nhiều yêu cầu kết nối được được phát ra ởcùng một nơi Hình 2-14 miêu tả các phiên được mật mã dựa trên yêu cầu giữa

2 router Như thế sự hiện diện của nhiều kênh đào riêng rẽ đồng thời giữa 2nơi, mỗi phiên được mã hóa riêng lẻ Bất lợi chính của cấu trúc VPN này là nótạo ra chi phí lớn

b VPNs tường lửa tới tường lửa

Không giống cấu trúc VPN router tới router, VPNs tường lửa tới tườnglửa được thiết lập giữa 2 bức tường lửa VPNs tường lửa tới tường lửa có thểđược thực hiện theo 2 cách sau :

 Các đường hầm dựa theo yêu cầu Như hình vẽ 2-15, cách thực

hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêucầu router tới router ngoại trừ rằng việc các bức tường lửa được sử dụng ở 2đầu, nó cung cấp một độ an toàn cao hơn Thêm vào đó các nhà quản trị mạngkhi cần có thể tác động các ràng buộc nghiêm ngặt hơn Với sự giúp đỡ của cácbức tường lửa, các luồng lưu thông có thể được kiểm tra ngặt nghèo hơn

 Các đường hầm đa giao thức dựa trên yêu cầu Cách thực hiện

tường lửa tới tường lửa chỉ ra các vần đề liên quan tới sự khác nhau giữa các

bức tường lửa được sử dụng ở 2 đầu giao tiếp ; các bức tường lửa khác nhaukhông thể truyền thông thành công trong môi trường VPN Các bức tường lửa

ở cả 2 đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thông thuộc

về các giao thức khác nhau Tổng quát, IPSec được sử dụng cho mục đích này

vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa Tuynhiên, yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên IPSec.Hình 2-16 mô tả các đường hầm tương lửa tới tường lửa đa giao thức dựa trênyêu cầu

c VPNs được khởi tạo bởi khách hàng :

Trong VPNs được khởi tạo bởi khách hàng, không giống như 2 loạiVPNs trước, kỹ thuật quản lý đường hầm và mã hóa được cài đặt khách hàngVPN Như vậy, các khách hàng VPNs đóng vai trò quan trọng trong việc thiếtlập các đường hầm, do đó được gọi là VPNs được khởi tạo bởi khách hàng.Các VPNs này có thể được phân nhỏ ra thành 2 loại sau :

 VPNs khách hàng tới tường lửa hoặc router Trong cách thực hiện

này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên hình

2-17 Bức tường lửa trong trường hợp này phải hỗ trợ việc xử lý các yêu cầuđược khởi tạo bởi khách hàng cho một phiên VPN Cách tiếp cận này tạo ramột gánh nặng xử lý khổng lồ lên khách hàng vì sự phân phối chính, sự quản lý

và độ an toàn đưa đến việc xử lý có độ phức tạp cao Thêm nữa, khách hàngphải đối mặt với nhiệm vụ được cộng thêm để có thể truyền thông với một sự

đa dạng các hệ điều hành

 VPNs khách hàng tới server Trong cách thực hiện tường lửa tới

tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt

ra yêu cầu và bộ xử lý yêu cầu như trên hình 2-18 Một lần nữa, cách tiếp cậnnày một nhiệm vụ xử lý khổng lồ cho khách hàng Tuy nhiên nó có độ an toànhơn nhiều so với VPN khách hàng tới tường lửa vì nhà cung cấp dịch vụ trunggian, mà các dịch vụ được khách hàng lợi dụng để kết nối đến các server ở xa,hoàn toàn không hề biết về đường hầm Điều này giảm nguy cơ của sự tấn côngđường hầm

d VPNs trực tiếp

Không giống các loại cấu trúc VPNs khác, VPNs trực tiếp không lợidụng các đường hầm 2 hướng cho việc truyền thông an toàn Thay vào đó mộtđường hầm một hướng truyền duy nhất được thiết lập giữa 2 đầu cuối truyềnthông như hình 2-19 VPNs trực tiếp thì khác so với các cấu trúc VPNs khác

Dữ liệu được mã hóa trong VPNs trực tiếp tại lớp thứ 5 của mô hình OSI - tứclớp phiên Giao thức hầu như được dùng chung cho mục đích này là SOCKSv5

Khi so sánh với đường hầm 2 chiều, cấu trúc VPN trực tiếp cung cấp độ

an toàn cao hơn theo các cách sau :

 Trong mối quan hệ tin cậy 2 chiều, khi một hacker thành công trongviệc truy cập vào một mạng, tất cả các mạng nối kết đều bị ảnh hưởng bởi vìhacker có thể truy cập vào các mạng nối kết này với sự giúp đỡ của đường hầm

2 chiều Điều này không thể thực hiện trong trường hợp VPNs trực tiếp Dựa

vào sự thật là dòng lưu thông chỉ có một hướng trong VPN trực tiếp, sự tin cậy

2 chiều là không có thật Như vậy thì, thậm chí khi một hacket đã có thể truycập vào một bên của truyền thông, xác suất của sự đe dọa độ an toàn chỉ cònmột nửa do việc sử dụng các đường hầm một chiều

 Sự điều khiển truy cập trong cách tiếp cận bằng đường hầm 2 chiều,được dựa trên địa chì nguồn và địa chỉ đích Trái lại, sự điều khiển truy cậptrong VPNs trực tiếp có thể dựa vào không những địa chỉ nguồn và địa chỉ đích

mà còn dựa vào các thông số cơ bản khác như ID người sử dụng, thời gian vàứng dụng VPNs trực tiếp có thể dựa trên nội dung của các gói dữ liệu để điềukhiển truy cập

Sự xác nhận người sử dụng thì nghiêm ngặt hơn trong trường hợp VPNstrực tiếp bởi vì có sự thêm vào của các server RADIUS, các router, cácgateways và các bức tường lửa mà xác nhận người dùng ở xa, VPN server cũngnhư khách hàng VPN cũng có khả năng xác nhận tại đầu kia Tuy nhiên điềunày là không có trong trường hợp các cấu trúc VPN khác Trong các trườnghợp khác, các yêu cầu VPN được cho qua đường hầm qua một chuỗi các thiết

bị trung gian như NASs, chuỗi các router, bức tường lửa, v.v - cái mà sự xácnhận của chúng dựa trên địa chỉ IP nguồn và đích cách tiếp cận 2 chiều nàyđược sử dụng trong các cấu trúc khác tlàm cho các hacker rất dễ dàng nhái mộtđịc chỉ IP

Mã hóa trong VPNs trực tiếp được dựa trên lớp phiên, lớp mà có thể hỗtrợ các kỹ thuật mã hóa đa dạng khác nhau, như vậy, mã hoá trong VPNs trựctiếp thì tinh vi hơn so với các cấu trúc VPN khác

3 Các cấu trúc VPN dựa theo lớp (Layer-based)

Phụ thuộc vào các lớp của mô hình OSI mà các thiết lập VPN hoạtđộng, VPNs có thể được xếp vào một trong hai loại lớn sau

Dựa trên kỹ thuật lớp liên kết, VPNs lớp liên kết có 4 loại sau :

 Các kết nối Frame Relay ảo : các kết nối ảo dựa trên Frame Delay

sử dụng cơ sở hạ tầng chuyển mạch của các mạng cá nhân, mà chúng kết nối

Sự khác biệt chính giữa các kết nối ảo và các kết nối chuyên dụng là trong cáckết nối ảo, hai đầu cuối sử dụng định thời thích nghi dữ liệu trong suốt quátrình giao dịch Như vậy thì, tốc độ giao dịch được chỉnh phù hợp với ứng dụng

và yêu cầu tín hiệu Thuận lợi chính của VPN loại này là nó không đắt và đảmbảo được CIR ( Committed Information Rate)

 Các kết nối ảo VPN Các kết nối ảo VPN thì tương tự như các kết

nối ảo dựa trên Frame Delay Tuy nhiên các kết nối này sử dụng cơ sở hạ tầngATM của mạng cá nhân Các kết nối ảo này cũng thiếu một sự đồng bộ clock

dữ liệu Các kết nối ảo ATM thì tương đối nhanh hơn và cho hiệu suất tốt hơn

Vì thế, Các kết nối ATM ảo, thì mắc hơn các kết nối ảo Frame Delay

 Đa giao thức trên ATM (MPOA) Các kết nối VPN dựa trên

MPOA hoàn toàn dựa trên cơ sở hạ tầng của ATM Tuy nhiên chúng có thể hỗtrợ đa giao thức bởi vì chúng phụ thuộc vào các router đặt tại cạnh của mạng cánhân để xác định đường truyền thuận trong mạng ATM Cách tiếp cận này thìkhông được phổ biến vì dựa trên cơ sở hạ tầng ATM, cái mà không thể chấpnhận một mạng nội bộ hỗn hợp sử dụng nhiều kỹ thuật mạng khác nhau

 Chuyển mạch đa giao thức (MPLS) MPLS cung cấp một phương

pháp hiệu quả để triển khai VPNs dựa trên IP qua ATM dựa trên backboneWAN Trong MPLS, router MPLS VPN tạo nên các bảng định tuyến chuyênbiệt VPN sử dụng các giao thức định tuyến VPN bao gồm BGP, v.v Mỗirouter được cấp phát một nhãn Thông tin định tuyến nhãn được chuyển tớirouter gắn vào Trong suốt quá trình truyền, thiết bị MPLS đều tiên nhận cácgói IP này bao đóng các gói IP sử dụng nhãn MPLS Rồi thì sau đó, nhãnMPLS, chứ ko phải là header IP, được sử dụng để định tuyến các gói qua cơ sở

hạ tầng ATM Trên khía cạnh cạnh của mạng nội bộ, khi các gói sắp truy cậpvào cơ sở hạ tầng dựa trên IP ( như internet) thì nhãn MPLS được bỏ đi Hình2-20 mô tả các hạot động của MPLS

b VPNs lớp mạng

VPNs lớp mạng, còn được gọi là VPNs lớp 3, sử dụng chức năng củalớp mạng và có thể được tổ chức theo 2 loại sau :

 Mô hình peer VPN Trong mô hình peer VPN đường truyền thuận

của lớp mạng được tính trên cơ sở các bước nhảy Một cách đơn giản hơn,đường truyền được xem xét tại mỗi router trên đường tới mạng đích Vì thế tất

cả các routers trong đường truyền dữ liệu được xem như ngang hàng, như tronghình 2-21 VPNs trong mạng định tuyến truyền thống là một ví dụ của mô hìnhVPN peer, vì mỗi router trong đường truyền thì ngang hàng với tất cả routersđược gắn trực tiếp tới nó

 Mô hình VPN che phủ Không giống mô hình VPN ngang hàng,

các mô hình VPN che phủ không tính đường truyền mạng tới mạng đích dựatrên bước nhảy Thay vào đó cơ sở hạ tầng mạng trung gian được sử dụng như

là “cut-through” tới router tới trên đường truyền dữ liệu VPNs dựa trên ATM,VPNs Frame Delay và kỹ thuật VPNs sử dụng đường hầm là các ví dụ của môhình VPN che phủ

Mạng VPN lớp 3 rất phổ biến và được xem như là mạng quay số riêng

ảo (VPDNs) VPNs lớp 3 thường sử dụng 2 kỹ thuật lớp 2 – PPTP và L2TPcho đường hầm Bạn sẽ bíêt thêm về các kỹ thuật đường hầm lớp 2 ở chương 5.VPDNs cũng sử dụng IPSecs, cái mà đã được thiết lập như là tiêu chẩn VPNtrong thực tế vì nó cung cấp khả năng mã hóa và xác nhận toàn diện

4 Cấu trúc VPN dựa trên lớp ( Class-based )

Phụ thuộc vào một sự phân loại được đề nghị bởi VPNet TechnologiesInc., VPNs có thể được chia thành năm lớp - lớp 0 đến lớp 4 - phụ thuộc vàomục đích, kích cỡ, phạm vi và độ phức tạp của thiết lập VPN

a VPNs lớp 0

VPNs thuộc về lớp 0 có ý nghĩa cho các tổ chức nhỏ với một mạng nội

bộ bị giới hạn ở một chỗ duy nhất Và số lượng người sử dụng truy cập vàomạng của tổ chức bị giới hạn khoảng 50 người hay ít hơn Như vậy thì VPNslớp 0 là cách thực hiện dễ nhất và ít tốn kém nhất

Những yêu cầu tối thiểu của một VPN lớp 0 bao gồm :

 Một VPN server với ít nhất là Windows 2000

 Một giao thức đường hầm như là PPTP

 Các khả năng lọc gói được cung cấp bởi router,gateway hoặcfirewall

 Một tùy chọn truy cập, như DSL hoặc T1

Bất lợi chính của cách tiếp cận này là VPNs thuộc về lớp này chỉ có ýnghĩa cho các đường hầm cục bộ và không thể hỗ trợ kết nối VPN từ nơi nàyđến nơi khác Thêm nữa, VPNs lớp 0 mất thời gian nhiều hơn để định vị và sửasai một vấn đề hơn các lớp khác

b VPNs lớp 1

VPNs lớp 1 thích hợp nhất cho các yêu cầu của các tổ chức có kíchthước từ nhỏ tới trung bình với một mạng nội bộ bao gồm từ hai đến hai mươimạng chi nhánh ở xa Thêm nữa, trung bình ít nhất khoảng 250 người sử dụng

ở xa có thể truy cập vào mạng Các VPNs này thì an toàn hơn VPNs lớp 0 vàcung cấp IPSec security cho dữ liệu trong đường hầm cũng như một cơ chế xácnhận người sử dụng ở xa hiệu quả

Các yêu cầu tối thiểu của VPNs lớp 1 bao gồm :

 Mã hóa dữ liệu dựa vào DES

 Quản lý khóa dựa vào IKE

 Cơ chế xác nhận người sử dụng

 Ít nhất một gateway VPN

 Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa

 Một tùy chọn truy cập nhanh, như là T1 hoặc T3

VPNs lớp này rất dễ dàng thiết lập và có giá vừa phải Chúng cũng cungcấp một sự an toàn cao hơn cho dữ liệu trong quá trình truyền Một thuận lợithêm vào của lớp tiếp cận này là có thể truy cập từ xa và có thể truy cập ởnhiều nơi Tuy nhiên, bởi vì VPNs lớp 1 phụ thuộc mạnh mẽ vào IPSec, các kếtnối của mạng nội bộ mở rộng có thể là một vấn đề bởi vì các mạng nội bộ mởrộng không hỗ trợ IPSec

từ nơi này đến nơi khác

Các yêu cầu chính của VPNs lớp 2 bao gồm :

 Mã hóa dữ liệu dựa vào IPSec và 3DES

 Quản lý khóa dựa vào IKE

 Một cơ chế xác nhận người dùng địa phương như các tokens mềm

 Ít nhất là từ 2 tới 5 gateways VPN, hoặc một gateway có thể hỗ trợđược tới 500 phiên đồng thời

 Các cơ chế an toàn thêm vào như AAA, RADIUS, TACACS, NAT

và hoặc tường lửa

 Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa

 Các tuỳ chọn truy cập tốc độ cao như T1hoặc T3

Mặc dù lớp này cho ta một sự kết nối và một độ an toàn cao hơn, nhưngbất lợi chính của nó là sự thiếu khả năng hỗ trợ mạng nội bộ mở rộng, vì chúngphải tương thích với IPSec Thêm nữa, Cơ sở hạ tầng không hỗ trợ các ứngdụng thời gian thực như audio và video Việc sử dụng các phương pháp bảomật thêm như AAA, RADIUS và NAT làm cho mạng nội bộ thêm an toàn,tuynhiên, nó đưa đến một nhiệm vụ quản lý thêm vào cho người quản trị mạng

d VPNs lớp 3

VPNs lớp 3 phù hợp nhất cho các tổ chức có quy mô từ trung bình đếnlớn với một mạng nội bộ trải rộng đến vài trăm nơi ở xa VPNs thuộc vào lớpnày có khả năng hỗ trợ tới vài ngàn người truy cập từ xa Sự bảo mật cung cấpbởi lớp này thì có thể so sánh được so với lớp 2 VPNs lớp 3 cũng hỗ trợ mạngnội bộ mở rộng thêm vào các kết nối từ xa và từ nơi này đến nơi khác.Lợi íchquan trọng nhất cung cấp bởi lớp này là luồng giao thông có độ nhạy với trễcao và có sứ mệnh then chốt và các ứng dụng như hội thảo bằng video VPNslớp này thì đắt

Các yêu cầu tối thiểu của VPNs lớp 3 bao gồm

 Một kết nối ISP với một SLA định nghĩa rõ ràng

 Dịch vụ thư mục tập trung như X 500 hay LDAP

 Mã hóa dữ liệu dựa vào IPSec và 3DES

 Quản lý khóa dựa vào IKE

 Một cơ chế xác nhận người sử dụng địa phương như các tokens mềm

và các cards thông minh

 Các cơ chế bảo mật thêm vào, như là AAA, RADIUS, TACACS,NAT và hoặc các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn

 Các dịch vụ trong nhà

 Một chính sách truy cập từ xa được định nghĩa rõ ràng

 Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa

 Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3Bất lợi chính của lớp này là VPNs lớp này thì rất khó để quản lý, kiểmtra, cấu hình và thực thi bởi vì nguồn tài nguyên của tổ chức được phân bố toàn