tìm hiểu về mạng riêng ảo VPN trên nền IPSec

Cũng cần lưu ýrằng những nguy cơ mất an toàn thông tin không chỉ do tấn công từ bên ngoài mà một phần lớn lại chính là từ nội bộ: nhân viên bất mãn, sai sót của người sử dụng, ý thức bảo

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA CÔNG NGHỆ THÔNG TIN

ĐỀ TÀI THỰC TẬP CƠ SỞ

TÌM HIỂU MẠNG RIÊNG ẢO VPN

SỬ DỤNG IPSEC ĐỂ BẢO MẬT

Nhận xét của giảng viên hướng dẫn :

MỤC LỤC

Lời nói đầu ……… 4

Phần 1: Tổng quan về an toàn mạng máy tính… 6

Chương1 Khái niệm chung về an toàn thông tin 6

Chương 2 Các nguy cơ đe doạ hệ thống thông tin 9

2.1 Các hiểm hoạ an toàn thông tin 9

2.2 Các mức bảo vệ an toàn mạng 11

2.2.1 Quyền truy nhập (Access Rights)……… 12

2.2.2 Đăng nhập/Mật khẩu (Login/Password) 12

2.2.3 Mã hóa dữ liệu (Data Encryption) 13

2.2.4 Bảo vệ vật lý (Physical Protection) 13

2.2.5 Bức tường lửa (Firewall) 14

Phần 2: Mạng riêng ảo VPN 15

(Virtual Private Network) 15

Chương I Giới thiệu chung về Mạng riêng ảo 15

1.1 Các khái niệm cơ bản về mạng riêng ảo 15

1.1.1 Định nghĩa về Mạng riêng ảo 15

1.1.2 Một số ví dụ về Mạng riêng ảo 16

1.1.3 Những lợi ích cơ bản của Mạng riêng ảo 17

1.2 Các mô hình kết nối VPN thông dụng 19

1.2.1.VPN Truy cập từ xa (Remote Access VPN) 19

1.2.2 VPN Cục bộ (Intranet VPN) 22

1.2.3 Mạng riêng ảo mở rộng (Extranet VPN) 24

1.3 Những yêu cầu đối với Mạng riêng ảo 27

1.3.1 Bảo mật 27

1.3.2 Tính sẵn sàng và tin cậy 28

1.3.3 Chất lượng dịch vụ 29

1.3.4 Khả năng quản trị 30

1.3.5 Khả năng tương thích 30

1.4 Các giao thức VPN 32

1.4.1 L2TP 32

1.4.2 GRE 33

1.4.3 IPSec 34

1.4.4 Point to Point Tunneling Protocol (PPTP) 34

Chương 2: VPN ứng dụng giao thức IPSec 36

2.1 Kiến trúc an toàn IP (IPSec) 36

2.1.1 Giới thiệu chung và các chuẩn 36

2.1.2 Liên kết bảo mật IPSec (SA-IPSec) 39

2.1.3 Các giao thức của IPSec 41

2.1.3.1 Giao thức xác thực tiêu đề (AH) 41

2.1.3.2 Giao thức đóng gói tải bảo mật(ESP) 46

2.1.4 Các chế độ IPSec 50

2.1.4.1 Chế độ Transport 51

2.1.4.2 Chế độ Tunnel 52

2.1.5 Sự kết hợp giữa các SA 53

2.1.5.1 Kết hợp giữa AH và ESP trong chế độ Transport 53

2.1.5.2 Kết hợp AH và ESP ở chế độ Tunnel 54

2.2 Giao thức trao đổi khoá Internet 54

2.2.1 Giới thiệu chung và các chuẩn 54

2.2.2 Các yêu cầu quản lý khoá đối với IPSec 54

2.2.3 Pha thứ nhất của IKE 56

2.2.4 Pha IKE thứ II 59

2.2.5 Các chế độ IKE 60

2.2.5.1 Main Mode 60

2.2.5.2 Aggressive mode 61

2.2.5.3 Quick Mode 63

2.2.5.4 Chế độ New Group 63

2.3 Quá trình hoạt động của IPSec 63

2.4 Xử lý hệ thống IPSec/IKE 64

2.4.1 Xử lý IPSec cho đầu ra với các hệ thống máy chủ 64

2.4.2 Xử lý đầu vào với các hệ thống máy chủ Host 65

2.4.3 Xử lý đầu ra với các hệ thống cổng kết nối 65

2.4.4 Xử lý đầu vào với các hệ thống cổng kết nối 66

Tài liệu tham khảo ……… .68

LỜI NÓI ĐẦU

Chúng ta đang sống trong một thời đại mới, thời đại phát triển rực rỡcủa công nghệ thông tin, đặc biệt là công nghệ máy vi tính và mạng internetvới sự bùng nổ của hàng ngàn cuộc cách mạng lớn nhỏ Sự ra đời của Internet

và những dịch vụ của nó đã mang lại cho con người rất nhiều những lợi ích tolớn, góp phần thúc đẩy nền kinh tế phát triển mạnh mẽ, đơn giản hóa nhữngthủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc và kết nối giữanhững vị trí, khoảng cách rất lớn một cách nhanh chóng, hiệu quả… và đã trởthành yếu tố không thể thiếu đối với sự phát triển của nền kinh tế, chính trịcũng như văn hóa, tư tưởng của bất kỳ quốc gia hay châu lục nào Con người

đã không còn bị giới hạn bởi những khoảng cách về địa lý, có đầy đủ quyềnnăng hơn để sáng tạo những giá trị mới vô giá về vật chất và tinh thần, thỏamãn những khát vọng lớn lao của chính họ và của toàn nhân loại

Tuy nhiên lượng thông tin được chia sẻ và trao đổi ngày càng lớn vàtrong đó cũng có rất có nhiều thông tin nhạy cảm quan trọng Do đó, môitrường kết nối mở internet vô hình chung lại là một môi trường dễ dàngnhững kẻ xấu lợi dụng để tấn công khai thác những dữ liệu quan trọng haythực hiện những mục đích phá hoại của chúng Nhu cầu đặt ra là phải tìm racác giải pháp tận dụng được những ưu điểm của cơ sở hạ tầng mạng côngcộng để truyền thông một cách an toàn và hiệu quả Mạng riêng ảo là mộttrong các giải pháp cho phép tạo ra các kết nối riêng an toàn trên mạng côngcộng.

Hiện nay, công nghệ mạng riêng ảo đã và đang được nghiên cứu và ứngdụng rất rộng rãi trong nước và trên thế giới Với mục đích nghiên cứu cáccông nghệ mạng riêng ảo và khả năng ứng dụng của nó trong bảo mật thông

tin trên mạng, nên nhóm chúng em chọn đề tài “tìm hiểu về mạng riêng ảo

VPN trên nền IPSec”.

Bản báo cáo này đề cập đến một vấn đề khá lớn và tương đối phức tạp,đòi hỏi nhiều thời gian và kiến thức về lý thuyết cũng như thực tế Do thờigian nghiên cứu chưa được nhiều và trình độ bản thân còn hạn chế, nên bàilàm của chúng em không tránh khỏi những khiếm khuyết Em rất mong nhậnđược sự hướng dẫn, chỉ bảo của các thầy, cô giáo và sự đóng góp nhiệt tìnhcủa các bạn để giúp em bổ sung vốn kiến thức và có thể tiếp tục nghiên cứu

đề tài nêu trên một cách tốt hơn, hoàn chỉnh hơn

Chúng em xin chân thành cám ơn!

Phần 1: Tổng quan về an toàn mạng máy tính

Chương1 Khái niệm chung về an toàn thông tin

An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ

có khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, cácthay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất Hệ thống có mộttrong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ thống

bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông tin bị ròrỉ) Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nộidung (thông tin bị xáo trộn)

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệthống chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năngcủa hệ thống đảm bảo hoạt động đúng đắn Một trong những mục tiêu của antoàn bảo mật trong công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn

mà ứng dụng các tiêu chuẩn an toàn này giúp loại trừ hoặc giảm bớt các nguyhiểm Do kỹ thuật truyền nhận và xử lý thông tin ngày càng phát triển đápứng cácyêu cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào

đó Quản lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng Khiđánh giá độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự

an toàn bằng cách giảm tối thiểu rủi ro Các đánh giá cần hài hoà với đặc tính,cấu trúc hệ thống và quá trình kiểm tra chất lượng

Trong những năm gần đây, vấn đề bảo vệ thông tin (BVTT) được quantâm rất lớn Thông tin được tích luỹ, lưu trữ, xử lý và chuyển tải trong các hệthống máy tính điện tử (MTĐT), ở đây thuật ngữ bảo vệ thông tin được hiểu

là sự tạo lập trong các hệ thống MTĐT một tổ hợp có tổ chức các công cụ,các phương pháp và các biện pháp nhằm đảm bảo tính toàn vẹn, tính bí mật

và tính sẵn sang dịch vụ của các thông tin được bảo vệ

Nội dung của vấn đề bảo vệ thong tin được hiểu như sau: Theo mức độphát triển và phức tạp của các công cụ, các phương pháp và các dạng tự động

xử lý, tính dễ tổn thương của thông tin không ngừng tăng lên Các nhân tố cơbản làm tăng tính dễ tổn thương này bao gồm:

1 Sự tăng lên đột biến lượng thông tin tích lũy lưu trữ và xử lý nhờ máytính điện tử và các phương tiện tự động khác (bùng nổ thông tin)

2 Sự tập trung trong những cơ sở dữ liệu thống nhất các thong tin vớimục đích khác nhau và thuộc các sở hữu khác nhau

3 Sự mở rộng không ngừng lớp khách hang sử dụng có tiếp cận trực tiếpvới các tài nguyên hệ thống và các mảng dữ liệu chứa trong hệ thống

4 Sự phức tạp của các chế độ hoạt động của các thiết bị tính toán trong

hệ thống đa phương tiện (multimedia), phân chia thời gian và thời gian thực

5 Tự động hoá sự trao đổi thong tin giữa các máy tính kể cả ở cáckhoảng cách xa (các mạng LAN, WAN, INTERNET…)

Trong điều kiện như vậy xuất hiện 2 dạng tổn thương: Một mặt là khảnăng làm biến dạng hoặc huỷ diệt thông tin một cách bất hợp pháp tức là tính

bí mật thông tin bị tổn thương (có nguy cơ rò rỉ thông tin - bị lấy cắp, chặn bắt, đánh tráo…) Dạng tổn thương thứ 2 này gây ra mối lo ngại lớn cho cácthuê bao và các nhà quản lý hệ thống

Người ta liệt kê các kênh của rò rỉ thong tin bao gồm:

- Ăn cắp trực tiếp các vật mang và các tài liệu được xử lý trong các hệthống

- Ghi nhớ hoặc sao chép các thông tin đang ở trong hệ thống hoặc ởtrong các vật mang thông tin (đĩa, băng, tài liệu…)

- Kết nối bất hợp pháp vào thiết bị hoặc đường truyền hoặc sử dụng bấthợp pháp các thiết bị của hệ thống (thường là các thiết bị đầu cuối vàcác máy trạm)

- Tiếp cận trái phép thong tin nhờ các thiết bị đặc biệt về bảo đảm toánhọc và chương trình (hacker, virut…)

- Chặn thu các sóng điện từ, bức xạ bởi các thiết bị của hệ thống trongquá trình xử lý và truyền dẫn thông tin

Như vậy, với nhiều kênh rò rỉ thông tin kể trên cần thiết phải có các công

cụ, các phương pháp và các biện pháp đặc biệt để bịt kín các kênh rò rỉ và

ngăn chặn sự sử dụng bất hợp pháp các thông tin Thiết lập và bảo đảm hoạtđộng cho các công cụ , các phương pháp à các biện pháp ấy chính là nội dung

cơ bản của bảo vệ thông tin Các hệ thông máy tính ngày càng trở nên phứctạp hơn về mặt kỹ thuật, do đó việc bảo đảm cho chúng hoạt động liên tục,sẵn sang phục vụ các yêu cầu của thuê bao ngày càng trở nên bức xúc Bảođảm tính sẵn sàng dịch vụ của thông tin cũng là nội dung quan trọng của bảo

vệ thông tin

Chương 2 Các nguy cơ đe doạ hệ thống thông tin

2.1 Các hiểm hoạ an toàn thông tin

Chúng ta hãy hình dung với một hệ thống thông tin (Mạng LAN, mạngIntranet ) đang hoạt động, bỗng đến một ngày nào đó nó bị tê liệt toàn bộ(điều này không phải là không thể xảy ra) bởi một kẻ phá hoại cố tình nào đó;hoặc nhẹ nhàng hơn là phát hiện thấy các dữ liệu quý báu của mình bị sai lạcmột cách cố ý, thậm chí bị mất mát Hoặc một ngày nào đó bạn nhận thấycông việc kinh doanh của mình bị thất bại thảm hại bởi vì thông tin trong hệthống của bạn bị kẻ khác xâm nhập và xem lén

Xử lý, phân tích, tổng hợp và bảo mật thông tin là hai mặt của một vấn đềkhông thể tách rời nhau Ngay từ khi máy tính ra đời, cùng với nó là sự pháttriển ngày càng lớn mạnh và đa dạng của các hệ thống xử lý thông tin người

ta đã nghĩ ngay đến các giải pháp đảm bảo an toàn cho hệ thống thông tin củamình

Với một mạng máy tính bạn sẽ có bao nhiêu nguy cơ bị xâm phạm ? Câutrả lời chính xác đó là ở mọi thời điểm, mọi vị trí trong hệ thống đều có khảnăng xuất hiện

Chúng ta phải kiểm soát các vấn đề an toàn mạng theo các mức khácnhau đó là :

 Mức mạng: Ngăn chặn kẻ xâm nhập bất hợp pháp vào hệ thống mạng

 Mức Server: Kiểm soát quyền truy cập, các cơ chế bảo mật, quá trìnhnhận dạng người dùng, phân quyền truy cập, cho phép các tác vụ

 Mức CSDL: Kiểm soát ai? được quyền như thế nào ? với mỗi cơ sở dữliệu

 Mức trường thông tin: Trong mỗi cơ sở dữ liệu kiểm soát được mỗitrường dữ liệu chứa thông tin khác nhau sẽ cho phép các đối tượng khác nhau

có quyền truy cập khác nhau

 Mức mật mã: Mã hoá toàn bộ file dữ liệu theo một phương pháp nào đó

và chỉ cho phép người có “ chìa khoá” mới có thể sử dụng được file dữ liệu Theo quan điểm hệ thống, một xí nghiệp (đơn vị kinh tế cơ sở) được thiếtlập từ ba hệ thống sau:

- Hệ thống thông tin quản lý

- Hệ thống trợ giúp quyết định

- Hệ thống các thông tin tác nghiệp

Trong đó hệ thống thông tin quản lý đóng vai trò trung gian giữa hệthống trợ giúp quyết định và hệ thống thông tin tác nghiệp với chức năng chủyếu là thu thập, xử lý và truyền tin

Trong thời gian gần đây, số vụ xâm nhập trái phép vào các hệ thống thôngtin qua mạng Internet và Intranet ngày càng tăng Có nhiều nguyên nhân dẫnđến việc các mạng bị tấn công nhiều hơn, trong số những nguyên chính có thể

kể đến xu hướng chuyển sang môi trường tính toán Client/Server (khách/chủ),các ứng dụng thương mại điện tử, việc hình thành các mạng Intranet của cáccông ty với việc ứng dụng công nghệ Internet vào các mạng kiểu này dẫn tớixoá nhoà ranh giới giữa phần bên ngoài (Internet) và phần bên trong (Intranet)của mạng, tạo nên những nguy cơ mới về an toàn thông tin Cũng cần lưu ýrằng những nguy cơ mất an toàn thông tin không chỉ do tấn công từ bên ngoài

mà một phần lớn lại chính là từ nội bộ: nhân viên bất mãn, sai sót của người

sử dụng, ý thức bảo mật kém,…

Qua sơ đồ tổng quan một hệ thống tin học (hình 34), ta có thể thấy các vịtrí có nguy cơ về an toàn dữ liệu Các phương pháp tấn công vào hệ thốngthông tin của những kẻ phá hoại (hacker) ngày càng trở nên tinh vi, lợi dụng

những điểm yếu cơ bản của môi trường tính toán phân tán Một số cácphương pháp tấn công thường gặp:

- Các thủ thuật quan hệ: Hacker mạo nhận là người trong cơ quan, ngườiphụ trách mạng hoặc nhân viên an ninh để hỏi mật khẩu của người sử dụng.Với những mạng có người sử dụng từ xa thì hacker lấy lý do quên mật khẩuhoặc bị hỏng đĩa cứng để yêu cầu cấp lại mật khẩu

- Bẻ mật khẩu: Hacker tìm cách lấy file mật khẩu và sau đó tấn côngbằng từ điển, dựa trên các thuật toán mã hoá mà các hệ điều hành sử dụng.Những mật khẩu yếu rất dễ bị phát hiện bằng cách này

- Virus và các chương trình tấn công từ bên trong Hacker có thể sử dụngchúng để thực hiện những việc như: bắt các ký tự gõ vào từ bàn phím để tìmmật khẩu, chép trộm file mật khẩu, thay đổi quyền của người sử dụng

- Các công cụ tấn công giả mạo địa chỉ (IP spoofing): hacker có thể dùngnhững công cụ này để làm hệ thống tưởng lầm máy tính của hacker là mộtmáy trong mạng nội bộ, hoặc để xoá dấu vết tránh bị phát hiện

- Phong toả dịch vụ (DoS – Denial of Service): kiểu tấn công này nhằmlàm gián đoạn hoạt động của mạng, Ví Dụ gây lỗi của chương trình ứng dụng

để làm treo máy, tạo những thông điệp giả trên mạng để chiếm đường truyềnhoặc làm cạn công suất xử lý của máy chủ

2.2 Các mức bảo vệ an toàn mạng

Vì không thể có một giải pháp an toàn tuyệt đối nên người ta phải sử dụngđồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều lớp “rào chắn” đối vớicác hoạt động xâm phạm Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệthông tin cất giữ trên các máy tính, đặc biệt là trong các Server của mạng Vìthế mọi cố gắng tập trung vào việc xây dựng các mức “rào chắn” từ ngoài vàotrong cho các hệ thống kết nối vào mạng

Các mức an toàn mạng

2.2.1 Quyền truy nhập (Access Rights)

Đây là lớp bảo vệ sâu nhất, nhằm kiểm soát các tài nguyên (thông tin) củamạng và quyền hạn (có thể thực hiện các thao tác gì) trên tài nguyên đó Dĩnhiên là kiểm soát được cấu trúc dữ liệu càng chi tiết càng tốt Hiện tại việckiểm soát thường ở mức tệp tin (file), và việc xác lập các quyền thường dongười quản trị mạng quyết định Quyền hạn trên tập tin là những thao tác màngười sử dụng có thể thực hiện được trên tệp tin đó: chỉ đọc, được phép thayđổi … Tuy nhiên, kiểm soát được cấu trúc dữ liệu càng chi tiết thì mức độ antoàn càng cao

2.2.2 Đăng nhập/Mật khẩu (Login/Password)

Lớp bảo vệ này thực ra cũng là kiểm soát quyền truy nhập nhưng khôngphải truy nhập ở mức thông tin mà ở mức hệ thống (tức là truy nhập vàomạng) Đây là phương pháp bảo vệ phổ biến nhất vì nó đơn giản ít phí tổn vàrất có hiệu quả Mỗi người sử dụng (kể cả người quản trị mạng) muốn đượcvào mạng để sử dụng các tài nguyên của mạng đều phải có tên đăng ký vàmật khẩu Người quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt

Bức tường lửa (Firewall)

Bảo vệ vật lý (Physical Protect)

Mã hóa dữ liệu(Data Encryption)

Đăng nhập/Mật khẩu (Login/Password)

Quyển truy nhập (Access Right)

Thông tin (Information)

động của mạng và xác định quyền truy nhập người sử dụng khác tuỳ theo thờigian và không gian Nghĩa là một người sử dụng trên mạng chỉ có thể đượcphép truy nhập vào mạng ở một thời gian và một vị trí nhất định.

Mật khẩu có thể có các dạng như: mật khẩu cho từng nhóm người sử dụng,mật khẩu cho từng cá nhân sử dụng riêng biệt, mật khẩu được thay đổi mỗilần truy cập hệ thống, … Một nhà quản trị khi tạo mật khẩu trên hệ thống vàcho từng người sử dụng phải tuân thủ những nguyên tắc sau để đảm bảo antoàn cho người sử dụng cũng như cho cả hệ thống

Mật khẩu không được là tên riêng hoặc sắp xếp theo dạng viết tên hay sựhoán vị của tên

Mật khẩu không thể giống như một từ, một ngữ mà phải là một tập hợpcác kí tự tùy ý và không được ít hơn 6 kí tự

Mật khẩu không được toàn là kí tự hay số mà phải kết hợp cả kí tự và số.Lớp bảo vệ này đạt hiệu quả rất cao, tránh được các truy nhập trái phépnếu mỗi người sử dụng đều giữ được bí mật về tên Đăng nhập và Mật khẩucủa mình Nhưng trên thực tế, do nhiều lý do không đảm bảo được bí mật củamật khẩu, do vậy làm giảm hiệu quả của nó rất nhiều

2.2.3 Mã hóa dữ liệu (Data Encryption)

Để bảo mật thông tin truyền trên mạng, người ta sử dụng các phương pháp

mã hoá (Encryption) Dữ liệu được biến đổi từ dạng nhận thức được sangdạng không nhận thức được theo một thuật toán nào đó (tạo mật mã) và sẽđược biến đổi ngược lại (giải mã) ở trạm nhận Đây là lớp bảo vệ thông tin rấtquan trọng và được sử dụng rộng rãi trong môi trường mạng

2.2.4 Bảo vệ vật lý (Physical Protection)

Đây là lớp bảo vệ rất quan trọng, nhằm ngăn cản các truy nhập vật lý bấthợp pháp vào hệ thống Thường dùng các biện pháp truyền thống như ngăn

cấm tuyệt đối người không phận sự vào phòng đặt máy mạng, dùng ổ khoámáy tính, hoặc cài đặt cơ chế báo động khi có truy nhập vào hệ thống

2.2.5 Bức tường lửa (Firewall)

Để bảo vệ từ xa một máy tính hay cho cả một mạng nội bộ (Intranet),người ta thường dùng các hệ thống đặc biệt là tường lửa (Firewall) Chứcnăng của tường lửa là ngăn chặn các truy nhập trái phép (theo danh sách truynhập đã xác định trước) và thậm chí có thể lọc các gói tin mà ta không muốngửi đi hoặc nhận vào vì một lý do nào đó Phương thức bảo vệ này được dùngnhiều trong môi trường liên mạng Internet

Phần 2: Mạng riêng ảo VPN (Virtual Private Network)

Chương I Giới thiệu chung về Mạng riêng ảo

1.1 Các khái niệm cơ bản về mạng riêng ảo

1.1.1 Định nghĩa về Mạng riêng ảo

Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN Sau này

ta thường gọi ngắn gọn theo tên viết tắt

Về căn bản, mỗi VPN là một mạng riêng lẻ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ

xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xalàm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet

Như trong hình 1.2, mạng riêng của các Công ty loại trừ được các đường Lease-Line chi phí cao Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng đường Dial-up để truy cập từ xa đến Công ty

Mạng riêng ảo đã thực sự chinh phục cuộc sống Việc kết nối các mạng máy tính củacác doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng, cũng

có thể là kết nối Frame Relay hay ATM Nhưng, rào cản lớn nhất đến với các doanh nghiệp tổ chức đó là chi phí Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành hạ tầng mạng, các thiết bị riêng của doanh nghiệp rất lớn Vì vậy, điều dễ

hiểu là trong thời gian dài, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng diện rộng WAN

Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh nghiệp có thêm sự lựa chọn mới Không phải vô cớ mà các chuyên gia viễn thông nhận định: “Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới”

1.1.2 Một số ví dụ về Mạng riêng ảo

Hình 1.1: Những người dùng di động, người dùng từ xa thiết lập kết nối VPN qua Internet đến mạng Công ty của họ để trao đổi dữ liệu, truy cập các tài nguyên giống như là họ đang ở trong Công ty

Hình 1.1: Kết nối VPN qua Internet

Hình 1.2: Là một ví dụ thiết lập VPN gồm một nhánh Văn phòng từ xa, một người dùng di động kết nối VPN đến mạng Văn phòng chính

Hình 1.2: Kết nối VPN từ xa

Nhân viên lưu động có thể quay số vào mạng của Công ty để truyền thông tin, cập nhật hệ thống đơn hàng

Người quản lý kết nối từ nhà để xem doanh thu và quản lý các báo cáo

Nhân viên tiếp thị kết nối từ văn phòng khách hàng để kiểm tra trạng thái đơn hàng Người quản lý bán hàng in đề xuất mới trên máy in, sẵn sàng nhận lại vào sáng sớm

Nhân viên lưu động có thể quay

số vào mạng của Công ty để in

ấn , thậm chí cả fax

Hình 1.3: Mạng VPN điển hình

Một mạng VPN điển hình đầy đủ bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, những đối tác kinh doanh, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài

1.1.3 Những lợi ích cơ bản của Mạng riêng ảo

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:

- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp

truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thếchúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP

- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền

thông đường dài VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách đáng kể Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP Vì lúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng cao cấp

- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở

xa của một Intranet Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới

Intranet của Công ty mình

- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua

mạng công cộng không an toàn Dữ liệu đang truyền được bảo mật ở một mức độ nhấtđịnh, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin

- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line,

băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động.Các VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng

- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet

của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai

Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém Với giải pháp mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là chi phí cho các kênh thuê riêngđường dài, các mạng riêng cũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ

sở hạ tầng mạng truyền số liệu công cộng)

Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet Các đường Lease-Line bảo đảm băng thông đượcxác định trong hợp đồng giữa nhà cung cấp và Công ty Tuy nhiên không có một đảm bảo về sự thực thi của Internet Một sự quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN

1.2 Các mô hình kết nối VPN thông dụng

Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:

- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một Công

ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào

- Có khả năng kết nối từ xa giữa các nhánh văn phòng

- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan trọng đốivới giao dịch thương mại của công ty

Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN)

1.2.1.VPN Truy cập từ xa (Remote Access VPN)

Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họđang kết nối trực tiếp vào mạng đó

Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công

ty Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty

Như trong hình 1.5, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng củaVPN bao gồm các thành phần chính như sau:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa

+ Kết nối Dialup tới mạng trung tâm

+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa

Hình 1.5 Thiết lập truy cập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet Thiết lập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.6

Hình 1.6 Thiết lập VPN truy cập từ xa Site - To – Site (Lan – To - Lan):

- Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ một vịtrí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnhnày thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người

sử dụng Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó cácthiết bị này đóng vai trò như là một Gateway, và đảm bảo rằng việc lưu thông

đã được dự tính trước cho các site khác Các router và Firewall tương thíchvới VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này

Hình 1.7 VPN Lan – to - Lan

- Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN(xem xét về mặt chính sách quản lý) Nếu chúng ta xem xét dướI góc độchứng thực nó có thể được xem như là một intranet VPN, ngược lạI chúngđược xem như là một extranet VPN Tính chặt chẽ trong việc truy cập giữacác site có thể được điều khiển bởi cả hai (intranet và extranet VPN) theo cácsite tương ứng của chúng Giải pháp Site to site VPN không là một remoteaccess VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó Lan-to-Lan VPN là sự kết nối hai mạng riêng lẻ thông qua một đườnghầm bảo mật đường hầm bảo mật này có thể sử dụng các giao thức PPTP,L2TP, hoặc IPSec, mục đích của Lan-to-Lan VPN là kết nối hai mạng không

có đường nối lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sựcẩn mật của dữ liệu bạn có thể thiết lập một Lan-to-Lan VPN thông qua sựkết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls.

Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp,hiệu quả bất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luânchuyển thông qua internet hoặc một mạng không được tin cậy.Bạn phải đảmbảo vấn đề bảo mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói

dữ liệu đang luân chuyển giữa các mạng đó

1.2.2 VPN Cục bộ (Intranet VPN)

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một

mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ

đa phương tiện (Multimedia) Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống

Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian Thiết lập này được mô tả như trong hình 1.8

Hình 1.8 Thiết lập Intranet sử dụng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém

Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.9

Hình 1.9 Thiết lập VPN dựa trên VPN

Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.9 là:

+ Loại trừ được các Router từ đường WAN xương sống

+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới

+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet

Tuy nhiên cũng có một số nhược điểm:

+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng

+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao

+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet

+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo

1.2.3 Mạng riêng ảo mở rộng (Extranet VPN)

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một

tổ chức như đảm bảo tính bảo mật, tính ổn định Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đốitác, khách hàng hay các nhà cung cấp sản phẩm Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống

Không giống như Intranet VPN và Remote Access VPN Extranet VPN không hẳn

có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp

Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1-10

Hình 1.10 Mạng Extranet truyền thống

Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng.Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể

Hình 1.11 Mạng Extranet dựa trên VPN

Ưu điểm chính của Extranet VPN là:

+ Chi phí rất nhỏ so với cách thức truyền thống

+ Dễ thực thi, duy trì và dễ thay đổi

+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn

+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống

Tuy nhiên cũng có một số nhược điểm:

+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại

+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức

+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia

+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm

Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫnvượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”

1.3 Những yêu cầu đối với Mạng riêng ảo

Như ta đã biết trong phần trước, VPN là một phương pháp để kết nối mạng Intranet tương đối đơn giản và bảo mật qua mạng công cộng như Internet Công nghệ VPN không chỉ làm giảm chi phí thực thi một môi trường mạng bảo mật cao mà còn giảm chi phí cho việc quản trị và tổ chức nhân viên Hơn nữa, nó mang lại sự sẵn sàng, sự tincậy và hiệu quả cao trong việc sử dụng băng thông mạng

Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầu của VPN

là gì? Tất cả sẽ được xem xét trong phần này

VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễ dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các mạng công cộng khác để truyền thông một cách bảo mật và kinh tế Và như vậy, hầu hết các yêu cầu của VPN và của mạng riêng truyền thống là rất giống nhau Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau:

Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năng tương thích, Khả năng quản trị

1.3.1 Bảo mật

Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài nguyên mạng không được truy cập bởi mạng công cộng Vì vậy, xác suất truy cập trái phép đến Intranet và các tài nguyên của nó là rất thấp Tuy nhiên, nhận định này rất có thể khôngđúng với VPN có sử dụng Internet và các mạng công cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Networks - PSTNs) cho truyền thông Thiết lập VPN mang lại cho các Hacker, Cracker cơ hội thuận lợi để truy cập tớimạng riêng và luồng dữ liệu của nó qua các mạng công cộng Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt chẽ

Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách như sau:

+ Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượng khác Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về kỹ thuật phòng thủ Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không để lộ

địa chỉ IP của nguồn tài nguyên cục bộ trong mạng Và như vậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet.

+ Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để thiết lập địnhdanh của người dùng và quyết định anh ta có được phép truy cập tới các tài nguyên trong mạng hay không Mô hình xác thực, cấp quyền, kiểm toán (AAA) là một ví dụ

về hệ thống xác thực người dùng toàn diện Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng Sau khi người dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì, cho phép người quản trị mạngghi lại những hoạt động trái phép, bất thường

+ Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyền qua mạng không tin cậy Bảo mật giao thức Internet(Internet Protocol Security - IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêng biệt.+ Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull) Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng

Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịch vụ” (Service Level Agreement - SLA) SLA là bản hợp đồng được ký kết giữa ISP và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy cập mạng Một số ISP đề xuất uptime rất cao, khoảng 99% Nếu một tổ chức muốn đảm bảo tính

sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạch xương sống có khả năng phục hồi cao Đó là:

+ Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn Để đảm bảo hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khi được yêu cầu

+ Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng giải thôngmạng

+ Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làm lạnhTính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quan mật thiết với nhân tố tính sẵn sàng Tính tin cậy của giao dịch trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh Cũng như hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo hoặc thiết

bị trong đường bị lỗi Toàn bộ quá trình này là hoàn toàn trong suốt với người dùng cuối

1.3.3 Chất lượng dịch vụ

Trong một mạng riêng ảo, cũng như trong một mạng thông thường Đều có mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác

Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất khó Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm bảo

Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng và các tài nguyên cho các ứng dụng Các ứng dụng như giao dịch tài chính, quá trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn để tránh hiện tượng chất lượng kém của giao dịch

1.3.4 Khả năng quản trị

Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết nối phạm vi toàn cầu Hầu hết các đơn vị được kết nối với các nguồn tài nguyên của thế giới bằng

sự trợ giúp của nhà cung cấp dịch vụ Kết quả là không thể kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng Intranet trung gian của nhà cung cấp dịch vụ Trong hoàn cảnh này, một đơn vị phải quản trị được tài nguyên cho đến cảmạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị các thiết lập mạng của họ Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việcquản trị tài nguyên và quản trị toàn bộ phần riêng và phần công cộng của các phần cuốiVPN Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như trong

mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng và có quyền giám sát trạng thái thời gian thực, sự thực thi của VPN Hơn nữa Công ty cũng có thể giám sát phần công cộng của VPN Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng

1.3.5 Khả năng tương thích

Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous Transfer Mode (ATM) Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và giao thức cơ sở

Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN

Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thức không dựa trên IP

thành IP Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc cũng có thể là các giải pháp dựa trên phần mềm Getway IP được cài đặt trên mọi Server và thường được dùng để chuyển đổi dòng lưu lượng

Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng gói các

gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng dựa trên IP Các

thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng gói này sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc “Đường hầm” bây giờ được xem như là một thiết

bị tryền tải

Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong hình vẽ 1.12,

VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà cung cấp dịch vụ sau cùng(như là một phần cơ sở hạ tầng của ISP) Mỗi một phân vùng được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN Theo cách gọi đơn giản, mỗi một phân vùng lôgic được xem như một Router với đầy đủ các chức năng của nó Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng

Hình 1.12 Mô tả chung của VIPR

Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ đường điện thoại riêng ảo(Virtual Private Trunking - VPT) được sử dụng Công nghệ VPT được mô tả như trong hình 1.13

Hình 1.13 Mô tả chung của VPT

VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyển mạch gói

Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits - PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu Để truyền

dữ liệu thành công, VPT yêu cầu một thiết bị WAN như một Router có khả năng hỗ trợ FR và ATM Để chắc chắn rằng các giao dịch thương mại có lợi nhuận, các PVC thường được dùng cho việc liên kết các Site trong một mạng riêng hoặc một Intranet SVC lại thường được dùng để liên kết các Site trong một Extranet

-L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling

Protocol (PPTP) Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản

WindowNT và 2000

- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như

là sự mở rộng của mạng nội bộ công ty

- L2TP không cung cấp mã hóa

Hình 1.14 Chuẩn L2TP

-L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2 Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạngtruy cập từ xa khác Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi những người sử dụng từ xa

- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính GRE tunneling cho phép các giao thức khác có thể thuận lợi trongviệc định tuyến cho gói IP

1.4.3 IPSec

- IPSec là sự lựa chọn cho việc bảo mật trên VPN IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu

- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức

và thuật toán trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa

và chứng thực được sử dụng trong IPSec