Đề tài Đánh giá hiệu quả của các loại mạng riêng ảo

ĐỒ ÁN MÔN HỌC : AN TOÀN HỆ THỐNG THÔNG TIN ĐỀ TÀI : ĐÁNH GIÁ HIỆU QUẢ CỦA CÁC LOẠI MẠNG RIÊNG ẢO Chương 1 : Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 1.1 Các tiêu chí để đánh giá hiệu quả mạng riêng ảo. Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng mạng riêng ảo là bảo mật. Do dữ liệu được truyền qua một mạng công cộng thiếu an toàn như mạng internet nên bảo mật chính là yêu cầu quan trọng nhất. Một yêu cầu quan trọng khác khi lựa chọn giải pháp mạng riêng ảo (Virtual Private Network - VPN) cho mạng doanh nghiệp là sự phù hợp với cơ sở hạ tầng mạng hiện có và giải pháp bảo mật ví dụ tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ thống bảo mật khác. Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp. Nếu không có sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ (QoS) rất khó đạt được. Do đó, khi xây dựng một mạng VPN cần phải lựa chọn các thiết bị của các hãng có khả năng thích nghi với nhau trước khi lắp đặt chúng vào mạng VPN. Môt vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN. Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là cần phải có một phần mềm quản lý luôn ghi lại các hoạt động hệ thống (logs), điều này sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến chất lượng toàn bộ hệ thống. Tiêu chí tiếp theo là giải pháp VPN có dễ dàng bổ sung, cấu hình các thành phần khác hay không. Nếu thành phần bổ sung có kích thước lớn thì hệ thống quản lý có đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay không. Tính tiện dụng cũng là một tiêu chí không kém phần quan trọng. Các phần mềm VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và không phức tạp đối để người dùng có thể sử dụng một cách dễ dàng. Thêm vào đó qua trình xác nhận và giáo diện phải dễ hiểu và dễ sử dụng. Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luôn được đặt ra, việc thêm vào các thành phần mới mà không thay đổi nhiều cơ sở hạ tầng hiện tại là một vấn đề bức thiết với những quản trị mạng. Vấn đề về việc quản lý băng thông luôn có một sự quan tâm đặc biệt để đảm bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo. Việc quản lý băng thông có nhiều khía cạnh bao gồm quản lý băng thông theo người sử dụng, theo nhóm, theo ứng dụng và có khả năng ưu tiên cho người sử dụng, theo nhóm hay ứng dụng tùy theo hợp đồng của các công ty. 2.2 Ưu điểm và khuyết điểm của VPN 2.2.1 Ưu điểm: Giảm chi phí thiết lập: VPN có giá thành thấp hơn rất nhiều so với các giải pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Khi sử dụng công nghệ VPN ta có thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet. Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cáo nhất. Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thông khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tố chức không mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng. Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập toàn cầu, do đó ở bất cứ các chi nhanh ở xa nào thì người sử dụng cũng có thể kết nối dễ dàng với mạng intranet chính Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN sử dụng thêm các phương pháp tàng cường bảo mật như mã hóa, xác nhận và üy quyền. Do đó VPN được đanh giá cáo bảo mật trong truyền tin. Có thể nâng cấp dễ dàng: VPN dựa trên cơ sở Internet nên các nó cho phép các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng. 2.2.2 Khuyết điểm: Phụ thuộc nhiều vào chất lượng mạng Internet. Sự qua tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các may trong mạng VPN. Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng may tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN không phù hợp được với các thiết bị và giao thức này. Chương 2 : Đánh giá hiệu quả sử dụng các loại VPN. 2.1 Đánh giá các loại VPN phân theo chức năng kết nối. 2.1.1 VPN truy nhập từ xa. VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sủ dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và các bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp, thường yêu cầu một vài kiểu phần mềm chạy trên máy tính người sử dụng. Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hãy xem xét sơ bộ về hệ thống truy nhập từ xa truyền thống. Hệ thống này bao gồm các thành phần chính : Máy chủ truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu truy nhập từ xa, máy chủ dữ liệu và trung tâm dữ liệu. Khi người dùng muốn truy nhập từ xa thì họ sẽ quay số kết nối đến trung tâm. Với cách làm này thì độ bảo mật không cao, tốc độ chậm và nếu người sử dụng ở rất xa trung tâm thì họ phải trả cước phí gọi đường dài. Hình 2.1 : Phương thức truy nhập từ xa truyền thống. Triển khai VPN truy nhập từ xa, người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP`s POP và kết nối đến tài nguyên thông qua internet. Điều này làm giảm cước phí gọi đường dài một cách đáng kể. Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn phòng chi nhánh cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP`s POP và kết nối với mạng trung tâm qua internet. Hình 2.2 : VPN truy nhập từ xa Ưu điểm : Không cần nhận sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP. Kết nối dial – up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương. Do đó chi phí vận hành giảm rất nhiều. Vì kết nối dial – up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. VPN cho phép truy cập địa chỉ trung tâm tốt hơn bởi vì nó có hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất. Khuyết điểm : VPN truy nhập từ xa không đảm bảo chất lượng của dịch vụ (QoS). Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự. Do tính phức tạp của thuật toán mã hóa nên quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP và hệ thống PPP based rất chậm và chất lượng không tốt. Sự truyền tải thông tin phụ thuộc vào mạng internet. Khi truyền tải dữ liệu đa phương tiện bằng VPN truy nhập từ xa có thể gây chậm đường truyền. 2.1.2 Intranet VPN Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN thì ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình như hình 2.3 Hình 2.3 : Mô hình intranet sử dụng mạng trục WAN Hệ thống có chi phí cao bởi có ít nhất là hai router cần thiết để kết nối. Sự vận hành, bảo trì và quản lý intranet backbone yêu cầu chi phí phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet. Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp này được mô tả như hình 2.4 Hình 2.4 : Mô hình intranet xây dựng trên VPN. Ưu điểm : Giảm chi phí cho router được sử dụng ở WAN backbone. Giảm số nhận sự hỗ trợ nơi các trạm. Bởi vì internet là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-to-peer mới. Hiệu quả kinh tế có thể đạt được bằng cách sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như Frame Relay. Do kết nối dial – up cục bộ với ISP nên sự truy xuất thông tin nhanh hơn và tốt hơn. Sự loại bỏ các kêt nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều. Khuyết điểm : Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên một mạng công cộng là internet nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ. Khả năng mất gói dữ liệu khi truyền đi vấn cao. Trong trường hợp truyền tải dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào internet. Do truyền dữ liệu dựa trên kết nối internet lên chất lượng có thể không ổn định và chất lượng dịch vụ không đảm bảo. 2.1.3 Extranet VPN Extranet VPN là một loại mạng riêng ảo. Nó không chỉ cho phép kết nối các người dùng trong cùng một công ty mà còn cho phép người dùng bên ngoài ( như các đối tác kinh doanh, khách hàng, nhà cung cấp…) truy nhập vào một tài nguyên nhất định của công ty. Hình 2.5 : Mô hình mạng Extranet truyền thống. Extranet truyền thống có rất nhiều đoạn kết nối với nhau nên chi phí xây dựng mạng rất tốn kém. Việc vận hành và quản lý mạng rất phức tạp và tốn kém, đòi hỏi nhà quản trị mạng phải có trình độ cao. Mặt khác việc mở rộng mạng rất khó khăn vì khi thêm hay bớt một nút mạng đỏi hỏi phải cài đặt lại toàn bộ mạng extranet. Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranet truyền thống. Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extranet VPN được mô tả như hình 2.6 Mô hình Extranet xây dựng trên VPN Ưu điểm : Giảm chi phí rất nhiều so với phương pháp truyền thống. Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. Do sử dụng đường truyền internet, bạn có nhiều lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức. Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống. Khuyết điểm : Nguy cơ bảo mật như tấn công từ chối dịch vụ vẫn còn tồn tại. Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng internet. Do truyền dữ liệu dựa trên kết nối trên internet nên chất lượng có thể không ổn định và chất lượng dịch vụ không đảm bảo. Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPN đã thỏa mãn rất tốt nhu cầu của các doanh nghiệp. 2.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi. Phụ thuộc vào đầu cuối giao tiếp nào chịu trách nhiệm thực thi VPN, và quan tâm đến các yêu cầu an toàn. VPN có thể được phân loại theo ba loại sau : VPN phụ thuộc, VPN độc lập, VPN hỗn hợp. 2.2.1 VPN phụ thuộc. Trong trường hợp VPN phụ thuộc, nhà cung cấp dịch vụ chịu trách nhiệm về việc cung cấp giải pháp VPN hoàn chỉnh. Vì thế nó là trách nhiệm của nhà cung cấp dịch vụ để thi hành cơ sở hạ tầng đường hầm và cung cấp tính an toàn và hiệu suất trong khi bảo đảm tính quản lý được của thiết lập. Như vậy thì tổ chức đăng ký có vai trò nhỏ nhất trong loại thực thi VPN này. Bởi vì điều này, tổ chức không cần phải thay đổi cơ sở hạ tầng hiện có của nó. Hình 2.7 miêu tả cấu trúc của VPN phụ thuộc. Hình 2.7 : Cấu trúc VPN phụ thuộc. Xây dựng và quản lý VPN được thực hiện bởi nhà cung cấp dịch vụ. Khi một người dùng cố truy cập vào một dịch vụ hay tài nguyên ở xa, NAS được đặt tại ISP `s POP xác nhận người dùng. Nếu NAS lưu trữ thông tin liên quan đến thông tin thành viên, đặc quyền và các thông số đường hầm, nó có thể tự xác nhận các người sử dụng. Tuy nhiên NAS có thể truy vấn một server RADIUS, AAA hoặc TACACS về các thông tin liên quan. Sau khi được xác nhận, người sử dụng cuối cùng (người đã khởi tạo một phiên VPN) gửi và nhận các gói dữ liệu không đường hầm. Các gói này được tạo đường hầm hoặc lấy ra khỏi đường hầm tại đầu cuối của nhà cung cấp. Cấu trúc phụ thuộc này cần có các phương pháp xác nhận người dùng sử dụng RADIUS, AAA hay TACACS và tốt nhất là thực hiện nó tại các mạng nổi bộ. Ta cũng cần sử dụng tường lửa để ngăn chặn truy cập trái phép từ các mạng nội bộ của tổ chức. 2.2.2 VPN độc lập. VPN độc lập thì ngược lại với VPN phụ thuộc. Ở đây toàn bộ chức năng của việc thành lập VPN được xử lý bởi tổ chức đăng kí. Vai trò của nhà cung cấp dịch vụ trong trường hợp này là có thể bỏ qua và được giao cho nhiệm vụ xử lý lưu thông trên internet. Kỹ thuật tạo đường hầm, giải đường hầm và mật mã dữ liệu, giải mã dữ liệu xảy ra ở mạng nội bộ của tổ chức. Hình 2.8 miêu tả cấu trúc của VPN độc lập. Hình 2.8 : Cấu trúc VPN độc lập. VPN độc lập như trên hình, cung cấp một mức độ an toàn cao và cho phép tổ chức có thể duy trì sự điều khiển hoàn toàn đối với các giao dịch dựa trên VPN. Hầu hết các nhà quản trị đánh giá VPN này có độ an toàn cao bởi vì tổ chức không phải giao sự chịu trách nhiệm của cấu trúc VPN cho một thực thể bên ngoài. Thêm vào đó, giá thành tổng cộng của VPN trong nhà không lớn hơn nhiều so với VPN phụ thuộc. Tuy nhiên, cách tiếp cận này thêm vào một nhiệm vụ và ở ngoài tầm kiểm soát của nhà quản lý mạng. 2.2.3 VPN hỗn hợp. Cấu trúc VPN hỗn hợp cung cấp một sự kết hợn các cách tiếp cận VPN độc lập và phụ thuộc. Cách tiếp cận này được sử dụng khi tổ chức không giao giải pháp VPN hoàn chỉnh cho nhà cung cấp dịch vụ. Thay vào đó, một vài phần của giải pháp VPN được thực hiện và điều khiển bởi tổ chức trong khi phần còn lại được thực hiện và quản lý bởi nhà cung cấp dịch vụ, như hình 2.9. Hình 2.9 : VPN hỗn hợp có sự tham gia điều khiển của người dùng và nhà cung cấp dịch vụ. Một cách tiếp cận khác với VPN hỗn hợp như trên hình 2.10. Tổ chức giao giải pháp VPN tới nhiều nhà cung cấp dịch vụ thay vì một nhà cung cấp dịch vụ kiểm soát toàn bộ thiết lập như trong cấu trúc phụ thuộc. Như vây, không có nhà cung cấp dịch vụ nào có thể kiểm soát hoàn toàn cấu trúc hoàn chỉnh và theo cách này, tổ chức có thể thực hiện một VPN phụ thuộc mà không cần thêm nhiệm vụ quản lý VPN. Mặc dù cách tiếp cận này về mặt quản lý thì hơi phức tạp, nó cho phép tổ chức loại bỏ được sự độc quyền của một nhà cung cấp dịch vụ. Lợi điểm lớn nhất của cách tiếp cận này là nó tạo nên sự sẵn sàng, nếu một kết nối ISP bị trục trặc, ta vẫn còn những kết nối khác. Hình 2.10 : Cấu trúc VPN hỗn hợp nhưng có sự điều khiển của nhiều nhà cung cấp. 2.3 Đánh giá các loại VPN dựa trên độ an toàn. Mặc dù VPN là các giải pháp an toàn dựa trên mức độ an toàn, ta có thể phân ra thành các loại VPN sau : VPN router tới router, VPN tường lửa tới tường lửa, VPN được tạo bởi khách hàng và VPN trực tiếp. 2.3.1 VPN router tới router. VPN router tới router cho phép tạo một kết nối an toàn giữa các văn phòng của một tổ chức lại với nhau thông qua mạng internet. VPN router tới router có thể thực hiện những việc sau. a. Đường hầm đơn giao thức theo yêu cầu Trong cách thực hiện này, một đường hầm an toàn được thiết lập giữa các router được ở bên phía khách hàng và bên kia trung tâm như hình 2.11. Các loại đường hầm này có thể hỗ trợ nhiều loại kết nối đồng thời và duy trì cho tới khi kết nối cuối cùng đã xong. Để kết nối thành công đường hầm theo yêu cầu router tới router, các router tại cả hai đầu phải hỗ trợ các tính năng VPN như thuật toán mã hóa và cách thức trao đổi khóa. Một bất lợi lớn của phương pháp này là các đường hầm router tới router này phụ thuộc vào mạng nội bộ của nhà cung cấp dịch vụ đã chọn hoặc giao thức đường hầm. Hình 2.11 : Đường hầm đơn giao thức theo yêu cầu router tới router. b. Đường hầm đa giao thức theo yêu cầu. Cách tạo đường hầm này là sự mở rộng logic của các đường hầm đơn giao thức theo yêu cầu vì nó hỗ trợ nhiều giao thức đường hầm giữa hai vùng thông qua internet. Khi một khách hàng không có IP yêu cầu thiết lập một phiên VPN, một đường hầm “trong suốt”. Đường hầm này được thiết lập giữa các router tại hai đầu cuối như hình 2.12. Sau đó các dữ liệu không IP được đóng gói trong đường hầm và truyền qua internet hoặc bất kỳ mạng công cộng nào để đến được router đích. Hình 2.12 : Đường hầm đa giao thức theo yêu cầu router tới router. c. Các phiên mã hóa theo yêu cầu. Với cách thực hiện này, một đường hầm riêng biệt cho mỗi yêu cầu được thiết lập giữa các router tại hai đầu, mặc dù nhiều yêu cầu kết nối được phát ra ở cùng một nơi. Hình 3.13 mô tả các phiên được mã hóa dựa trên yêu cầu giữa hai router. Kết quả là nhiều đường hầm riêng rẽ tồn tại đồng thời kết nối hai vùng lại với nhau. Mỗi phiên mã hóa khác nhau. Bất lợi của cấu trúc VPN này là nó cần chi phí khá lớn. Hình 2.13 : Các phiên VPN mã hóa theo yêu cầu. 2.3.2 VPN tường lửa tới tường lửa. VPN tường lửa tới tường lửa được chia theo hai cách sau: a. Đường hầm đơn giao thức theo yêu cầu. Như hình 2.14, cách thực hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router, ngoại trừ rằng việc các bức tường lửa được sử dụng ở hai đầu. Với cách làm này thì dữ liệu sẽ có một độ an toàn cao hơn. Khi cần, các nhà quản trị mạng có thể thêm vào các điều kiện bảo mật chặt chẽ hơn. Với sự hỗ trợ của tường lửa, lưu lượng có thể kiểm soát chặt chẽ hơn. Hình 2.14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa. b. Đường hầm đa giao thức theo yêu cầu. Cách thực hiện tường lửa tới tường lửa chỉ ra các vấn đề liên quan đến sự khác nhau giữa các bức tường lửa sử dụng ở hai đầu giao tiếp; các bức tường lửa khác nhau không thể truyền thông thành công trong môi trường VPN. Các bức tường lửa ở cả hai đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thông thuộc về các giao thức khác nhau. Giao thức IPSec được sử dụng cho mục đích này vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa. Tuy nhiên yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên IPSec. Hình 2.15 mô tả các đường hầm tường lửa tới tường lửa đa giao thức dựa trên yêu cầu. Hình 2.15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa. 2.3.3 VPN được khởi tạo bởi khách hàng. Đối với loại VPN được khởi tạo bởi khách hàng thì kĩ thuật mã hóa và quản lý đường hầm được thiết lập từ phía khách hàng VPN. Như vậy các khách hàng VPN đóng vai trò quan trọng trong việc khởi tạo các đường hầm. Loại VPN này có thể được phân nhỏ ra thành hai loại sau : a. VPN được khởi tạo từ khách hàng tới tường lửa hoặc router. Theo cách thực hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên hình 2.16. Tường lửa phải hỗ trợ việc xử lý các yêu cầu khởi tạo bởi khách hàng cho một phiên VPN. Cách làm này tạo ra một quá trình xử lý khổng lồ lên khách hàng vì sự quản lý, phân phối khóa và độ an toàn đưa đến việc xử lý có độ phức tạp cao. Thêm vào đó, khách hàng phải đối mặt với các vấn đề khác để có thích ứng với các hệ điều hành và các nền cấu trúc khác nhau của hệ thống. Hình 3.16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router. b. VPN được khởi tạo từ khách hàng tới máy chủ. Với cách thực hiện tường lửa tới tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt ra yêu cầu và bộ xử lý yêu cầu như trên hình 2.17. Phương thức này tạo ra một nhiệm vụ xử lý khổng lồ ở phía khách hàng nhưng nó có độ an toàn hơn nhiều so với VPN khởi tạo từ khách hàng tới tường lửa vì nhà cung cấp dịch vụ trung gian hoàn toàn không hề biết sự tồn tại của đường hầm. Điều này giảm nguy cơ của sự tấn công đường hầm. 2.3.4 VPN trực tiếp. VPN trực tiếp không tạo ra các đường hầm truyền hai hướng. Thay vào đó một đường hầm một hướng truyền duy nhất được thiết lập giữa hai đầu cuối truyền thông như hình 2.18. Dữ liệu được mã hóa trong VPN trực tiếp tại lớp thứ 5 của mô hình OSI. Hình 3.18 : Kiến trúc VPN trực tiếp. Khi so sánh với đường hầm hai chiều, cấu trúc VPN trực tiếp cung cấp độ an toàn cao hơn theo các cách sau : Trong mối quan hệ tin cậy hai chiều, khi một hacker thành công trong việc truy cập vào một mạng, tất cả các mạng kết nối đều bị ảnh hưởng bởi hacker có thể truy cập vào các mạng kết nối này với các lỗ hổng bảo mật trong đường hầm hai chiều. Nếu hacker đã lấy được thông tin của một chiều thì nó có thể mạo danh để lấy thông tin của chiều còn lại. Nhưng điều này không thể thực hiện được trong trường hợp VPN trực tiếp . Do dòng lưu thông chỉ có một hướng trong VPN trực tiếp nên khi một hacker đã có thể truy cập vào một bên của truyền thông, xác suất của sự đe dọa sự an toàn chỉ còn một nửa do việc sử dụng các đường hầm một chiều. Điều khiển truy nhập trong cách tiếp cận bằng đường hầm hai chiều được dựa trên địa chỉ nguồn và địa chỉ đích. Trái lại, sự điều khiển truy cập trong VPN trực tiếp còn có thể dựa vào địa chỉ nguồn và đích, dựa vào các thông số cơ bản khác như ID người sử dụng, thời gian và ứng dụng. VPN trực tiếp có thể dựa trên nội dung của các gói dữ liệu để điều khiển truy nhập. Sự chứng thực người sử dụng thì chặt chẽ hơn trong trường hợp VPN trực tiếp bởi có sự thêm vào của các máy chủ RADIUS, các router, gateway và các tường lửa để chứng thực người dùng ở xa, máy chủ VPN cũng như khách hàng VPN cũng có khả năng chứng thực cho đầu kia. Điều này không có trong trường hợp các cấu trúc VPN khác. Trong các trường hợp khác, các yêu cầu VPN được cho qua đường hầm qua một chuỗi các thiết bị trung gian như NAS, chuỗi các router, tường lửa…. Các thiết bị này sẽ chứng thực cho đầu cuối VPN dựa trên địa chỉ IP nguồn và đích. Với phương pháp đường hầm hai chiều được sử dụng thì các hacker dễ dàng nhái một địa chỉ IP và chúng sẽ dùng địa chỉ này để xâm nhập vào hệ thống. Mã hóa VPN trực tiếp dựa trên lớp phiên. Lớp này được tổ chức các kỹ thuật mã hóa đa dạng khác nhau. Do đó, mã hóa trong VPN trực tiếp thì phức tạp hơn so với cấu trúc VPN khác. 2.4 Đánh giá VPN dựa theo lớp. Dựa trên mô hình OSI các loại VPN có thể được xếp vào một trong hai loại lớn sau : VPN lớp liên kết và VPN lớp mạng. 2.4.1 VPN lớp liên kết. VPN lớp liên kết sử dụng kết nối ở lớp liên kết. Các giao dịch ở VPN lớp liên kết bị giới hạn ở mạng cục bộ vì chúng sử dụng địa chỉ MAC. Vì vậy, lớp liên kết có chức năng tương tự như một mạng cá nhân. Dựa trên kỹ thuật lớp liên kết, VPN lớp liên kết có bốn loại sau : a. Các kết nối Frame Relay ảo Các kết nối ảo dựa trên Frame Relay sử dụng cơ sở hạ tầng chuyển mạch của các mạng cá nhân mà chúng kết nối. Sự khác biệt chính giữa các kết nối ảo và các kết nối chuyên dụng là trong các kết nối ảo, hai đầu cuối sử dụng định thời thích nghi dữ liệu trong suốt quá trình giao dịch. Như vậy tốc độ giao dịch được chỉnh phù hợp với ứng dụng và các yêu cầu tín hiệu. b. Các kết nối ảo VPN Các kết nối ảo VPN tương tự như các kết nối ảo dựa trên Frame Relay. Tuy nhiên các kết nối này sử dụng cơ sở hạ tầng ATM của mạng cá nhân. Các kết nối ảo này cũng thiếu sự đồng bộ thời gian dữ liệu. Các kết nối ảo ATM tương đối nhanh hơn và cho hiệu suất tốt hơn. Vì thế các kết nối ATM ảo thì giá thành cao hơn các kết nối ảo Frame Relay. c. Đa giao thức trên ATM (MPOA). Các kết nối VPN dựa trên MPOA hoàn toàn dựa trên cơ sở hạ tầng của ATM. Tuy nhiên chúng có thể hỗ trợ đa giao thức bởi vì chúng phụ thuộc vào các router đặt tại cạnh của mạng cá nhân để xác định đường truyền thuận lợi trong mạng ATM. Cách tiếp cận này không phổ biến vì dựa trên cơ sở hạ tầng ATM là hạ tâng không chấp nhận một mạng nội bộ hỗn hợp sử dụng nhiều kĩ thuật mạng khác nhau. Chuyển mạch đa giao thức (MPLS). MPLS cung cấp một phương pháp hiệu quả để triển khai VPNs dựa trên IP qua ATM dựa trên backbone WAN. Trong MPLS, router MPLS VPN tạo nên các bảng định tuyến chuyên biệt VPN sử dụng các giao thức định tuyến VPN bao gồm BGP, EIGRP…. Mỗi router được cấp một nhãn. Thông tin định tuyến nhãn được chuyển tới router gắn vào. Trong suốt quá trình truyền, thiết bị MPLS đều nhận các gói IP này bao đóng các gói IP sử dụng nhãn MPLS. Sau đó, nhãn MPLS chứ không phải là header IP sử dụng để định tuyến các gói qua cơ sở hạ tầng ATM. Trên khía cạnh của mạng nội bộ, khi các gói sắp truy cập vào cơ sở hạ tầng dựa trên IP (như Internet) thì nhãn MPLS được bỏ đi. Hình 2.19 mô tả hoạt động của các MPLS. Hình 2.19 : Kiến trúc MPLS VPN lớp liên kết. 2.4.2 VPN lớp mạng. VPN lớp mạng còn được gọi là VPN lớp 3, sử dụng chức năng của lớp mạng và có thể tổ chức theo hai loại sau : a. Mô hình peer VPN. Trong mô hình peer VPN, đường truyền thuận của lớp mạng được tính trên cơ sở các bước nhảy. Một cách đơn giản hơn, đường truyền được xem xét tại mỗi router trên đường tới mạng đích. Vì thế tất cả các routers trong đường truyền dữ liệu được xem ngang hàng như trong hình 2.20. VPN trong mạng định tuyến truyền thông là một ví dụ của mô hình VPN peer. Vì mỗi router trong đường truyền thì ngang hàng với tất cả các router được gắn trực tiếp với nó. Hình 2.20 : Kiến trúc VPN ngang hàng. b. Mô hình VPN che phủ. Không giống mô hình VPN ngang hàng, các mô hình VPN che phủ không tính đường truyền mạng tới mạng đích dựa trên bước nhảy. Thay vào đó cơ sở hạ tầng mạng trung gian được sử dụng như từ router tới đường truyền dữ liệu. VPN dựa trên ATM, VPN Frame Relay và kỹ thuật VPN sử dụng đường hầm là các ví dụ của mô hình VPN che phủ. Mạng VPN lớp ba rất phổ biến và xem như là mạng quay số riêng ảo (VPDNs). VPNs lớp 3 thường sử dụng 2 kĩ thuật lớp 2 – PPTP và L2TP cho đường hầm. VPDNs cũng sử dụng IPSec là tiêu chuẩn VPN trong thực tế vì nó cung cấp khả năng mã hóa và xác nhận toàn diện. 2.5 Đánh giá các loại VPN dựa trên quy mô lớp mạng. Dựa vào phạm vi, kích cỡ, mức độ phức tạp của thiết lập VPN, có thể chia thành năm mức : VPN của tổ chức có quy mô nhỏ, quy mô nhỏ tới trung bình, quy mô trung bình, quy mô trung bình tới lớn và quy mô lớn. 2.5.1 VPN có quy mô nhỏ. Đối với VPN này, số thành viên của mạng khoảng dưới năm mươi người và nằm gần nhau trong cùng một khu vực. Do phải phục vụ lượng truy cập nhỏ, địa bàn hẹp nên VPN loại này là dễ thiết lập nhất với chi phí không lớn. VPN loại này chỉ hỗ trợ người dùng trong phạm vi nhỏ, không hỗ trợ cho người dùng ở khoảng cách xa. Với cơ chế bảo mật đơn giản nên nó dễ bị tấn công. 2.5.2 VPN có quy mô nhỏ tới trung bình. Là VPN có quy mô mạng nội bộ từ 2 đến 20 mạng chi nhánh ở xa và khoảng 250 người dùng ở xa có thể truy cập vào mạng của tổ chức. Mạng có thể hỗ trợ 250 người truy cập cùng một lúc vào mạng. Với quy mô này, để đảm bảo tính an toàn, VPN cần thực hiện chứng thực người dùng và tạo đường hầm bảo mật IPSec khi truyền dữ liệu. Yêu cầu tối thiểu đối với loại VPN này là : Mã hóa dữ liệu sử dụng DES. Quản lý khóa sử dùng IKE. Cơ chế xác nhận người sử dụng. Ít nhất một gateway VPN. Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa. Một tùy chọn truy cập nhanh như T1 hay T3. Ưu điểm : VPN này rất dễ dàng thiết lập và có giá vừa phải. Chúng cũng cung cấp một sự an toàn nhất định cho dữ liệu trong quá trình truyền. Thêm vào đó nó cũng hỗ trợ người dùng truy cập từ xa ở bất kì nơi nào. Tuy nhiên loại VPN này chỉ sử dụng IPSec mà mạng nội bộ mở rộng không hỗ trợ IPSec. 2.5.3 VPN có quy mô trung bình. VPN có quy mô trung bình có từ 10 đến 100 mạng chi nhánh ở xa, có thể hỗ trợ 500 người dùng ở xa. VPN quy mô này cung cấp mức độ bảo mật cao hơn và là giải pháp hiệu quả về chi phí. Nó hỗ trợ kết nối từ xa của người dùng và kết nối điểm – điểm. Các yêu cầu chính của VPN này gồm : Mã hóa dữ liệu dùng IPSec và 3DES. Quản lý khóa dựa vào IKE. Một cơ chế xác nhận người dùng địa phương như các tokens mềm. Ít nhất là từ 2 tới 5 gateway VPN hoặc một gateway có thể hỗ trợ tới 500 kết nối đồng thời. Các cơ chế an toàn thêm vào AAA, RADIUS, TACACS, NAT hoặc tường lửa. Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa. Các tùy chọn truy cập tốc độ cao như T1 hay T3. VPN loại này hỗ trợ nhiều kết nối hơn và cung cấp độ an toàn cao hơn nhưng phải sử dụng IPSec mà mạng nội bộ lại không hỗ trợ IPSec. Thêm vào đó, cơ sở hạ tâng không hộ trợ các ứng dụng thời gian thực. Mặt khác, khi sử dụng cơ chế bảo mật như AAA, RADIUS, NAT làm tăng tính an toàn cho mạng nội bộ nhưng tăng sự phức tạp khi quản trị hệ thống. 2.5.4 VPN có quy mô trung bình đến lớn. VPN có quy mô đến vài trăm mạng chi nhánh trải dài trên phạm vi rộng, có khả năng hỗ trợ vài trăm ngàn người dùng truy cập từ xa. Nó có khả năng hỗ trợ kết nối điểm – điểm và kết nối từ mạng nội bộ đến người dùng từ xa. Nó có khả năng truyền dữ liệu thời gian thực, tốc độ cao nên VPN loại này có thể truyền hội nghị dùng video. Và do đó, chi phí thiết lập và duy trì hoạt động của mạng sẽ cao hơn VPN quy mô trung bình. Các yêu cầu tối thiểu của VPN này bao gồm : Một kết nối ISP với một SLA định nghĩa rõ ràng. Dịch vụ thư mục tập trung như X500 hay LDAP. Mã hóa dữ liệu dựa vào IPSec và 3DES. Quản lý khóa dựa vào IKE. Một cơ chế xác nhận người sử dụng địa phương như các tokens mềm và cards thông mình. Các chơ chế bảo mật thêm vào như là : AAA, RADIUS, TACACS, NAT và các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn. Các dịch vụ trong nhà. Một chính sách truy cập từ xa được định nghĩa rõ ràng. Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa. Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3. VPN quy mô này rất phức tạp trong việc quản lý, kiểm tra cấu hình và thực thi bởi nguồn tài nguyên của tổ chức được phân bố rộng và chi phí thiết lập, duy trì sự hoạt động của mạng là rất cao. 2.5.5 VPN có quy mô rất lớn. Quy mô của mạng có thể lên tới hàng ngàn chi nhánh ở xa, trải rộng trên nhiều nước, có thể hỗ trợ vài chục ngàn người dùng ở xa. Cơ chế bảo mật dùng trong mạng này là cao nhất và phức tạp nhất so với VPN có quy mô nhỏ hơn. Nó có khả năng đáp ứng nhiều loại dịch vụ phức tạp, tốc độ cao, yêu cầu thời gian thực, có thể hỗ trợ giao dịch thương mại điện tử, giao dịch audio, video… Khi xây dựng mạng cần dự phòng việc mở rộng trong tương lai. Do đó, chi phí xây dựng mạng này cũng cao. Các yêu cầu tối thiểu của mạng này bao gồm : Kết nối ISP với một SLA được định nghĩa rõ ràng. Dịch vụ thư mục tập trung như LDAP. Mã hóa dữ liệu dựa trên IPSec và 3DES. Quản lý khóa dựa trên IKE. Một cơ chế xác nhận người dùng gốc như các tokens mềm, các cards thông mình. Ít nhất từ 10 đến 20 VPN gateways hoặc một gateway có thể hỗ trợ 5000 giao dịch đồng thời. Khả năng quản lý dư thừa cao và băng thông rộng. Một chính sách truy cập từ xa được định nghĩa rõ ràng. Các cơ chế bảo mật thêm vào như AAA, RADIUS, TACACS, NAT và các bức tường lửa tại trụ sở chính và các chi nhánh lớn. Các dịch vụ trong nhà. Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa. Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3. 2.6 Đánh giá hiệu quả của VPN – MPLS. 2.6.1 Tổng quan về VPN – MPLS. MPLS là thuật ngữ viết tắt của Multi-Protocol label Switch (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp hai trong mạng như các thiết bị chuyển mạch thành các bộ định tuyến chuyển mạch nhãn LSR. LSR có thể được xem như một sự kết hợp giữa hai hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Công nghệ MPLS là một dạng phiên bản của công nghệ IpoA (IP over ATM) truyền thống nên MPLS có cả ưu điểm của ATM (tốc độ cao, QoS và điểu khiển luồng) của IP (độ mềm dẻo và khả năng mở rộng). Giải quyết được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ mạng trục IP lý tưởng. Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng theo mọi hướng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như leased line, X25, ATM không thể đáp ứng yêu cầu của các khách hàng. Sự xuất hiện của MPLS sẽ giúp xây dựng được một mạng mềm dẻo đa dịch vụ, có khả năng tích hợp các dịch vụ của intranet, extranet, internet và hỗ trợ VPN đa dịch vụ. Với mạng sử dụng MPLS, rất nhiều dịch vụ chất lượng cao được cung cấp như : Tải tin cho các mạng số liệu, internet và thoại. Lưu lượng thoại được chuyển dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục truyền thống đang hoạt động. Cung cấp dịch vụ truy nhập internet tốc độ cao tại một số địa phượng trọng điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ gói. Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp, tổ chức như ngân hàng, các hãng thông tấn báo chí. Cung cấp dịch vụ VPN cho các công ty xuyên quốc gia và các doanh nghiệp, tổ chức lớn. Đây được coi là một dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh doanh và tăng khả năng cạnh tranh của các nhà khai thác. Cung cấp dịch vụ video. Hình 2.21 : Mô hình mạng MPLS VPN đơn giản. 2.6.2 Nhược điểm của VPN truyền thống. Giao thức phổ biến trong hầu hết các mạng VPN truyền thống hiện nay là giao thức IPSec. Chúng sử dụng các giao thức đường hầm, mã hóa dữ liệu, nhận thức để đạt khả năng bảo mật dữ liệu khi truyền giữa hai điểm đầu cuối. Sau đây là ví dụ truyền dữ liệu trong mạng VPN sử dụng đường hầm IPSec thông qua một nhà cung cấp dịch vụ hay mạng internet công cộng sử dụng mã hóa 3DES. Hình 2.22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN. Dễ nhận thấy nhất ở mạng IPSec là mạng có hiệu năng thấp. Việc các thiết bị đầu cuối thuê bao (Customer Premise Equipment - CPE) ở hai đầu thiết bị cuối tiến hành kiểm tra gói tin, sau đó mã hóa và đóng gói các gói tin IP gây tốn thời gian và gây trễ cho gói tin. Nếu gói tin được truyền đi trong mạng có kích thước lớn hơn kích thước tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kết nào giữa CPE thì các gói tin đó phải phân thành các gói tin nhỏ hơn. Điều này chỉ xảy ra trường hợp bit DF (don`t fragment) không được thiết lập. Còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát. Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng IPSec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện IPSec bằng phần cứng có tốc độ xử lý gói tin cao hơn những chi phí cho ác thiết bị này rất đắt. Điều này dẫn đến chi phí triển khai một IPSec VPN là rất tốn kém. Từ ví dụ này, ta thấy IPSec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. Điều này sẽ được làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo ra cấu hình mạng không tối ưu. Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa khác. Trong cấu hình này CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng các site ở xa cần kết nối. Mỗi site này sẽ thiết lập một đường hầm IPSec đến site trung tâm. Cấu hình mạng này không phù hợp cho truyền thông giữa các site ở xa nhau vì gói tin từ site này đến site khác phải đi qua site trung tâm và tại site trung tâm sẽ lặp lại các tác vụ như đóng gói tin, xác định đường truyền, mã hóa và giải mã đối với các gói tin đi qua nó. Do đó, mỗi gói tin phải đi qua hai đường hầm IPSec đẫn đến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai site ở xa có thể trao đổi thông tin trực tiếp. Hình 2.23 : Mạng hình sao. Giải pháo tối ưu nhất khắc phục hiện tượng trên là thiết lập mạng mắt lưới, tuy nhiên cấu hình này có nhiều hạn chế về điểm hạn chết lớn nhất là khả năng mở rộng mạng. Số lượng tunnel cần thiết để hỗ trợ một mạng mắt lưới IPSec sẽ tăng cùng với số lượng site. Ví dụ một mạng có 20 site thì cần 210 đường hầm IPSec. Cấu hình mạng như vậy sẽ phải cần CPE phức tạp và đắt tiền, thậm chí có thể không thực hiện được cấu hình mạng mắt lưới. Hình 2.24 : Mạng mắt lưới. Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng. Tuy nhiên điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Ngày nay sự tương thích không phải làm một vấn đề lớn nhưng nó vẫn cần được quan tâm khi hoạch định một giải pháp mạng IPSec VPN. Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ tunneling. Những CPE với chức năng bổ sung này đỏi hỏi phải có giá thành rất cao nên cách duy nhất để triển khai IPSec tỏng một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu. Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn trong quản lý mạng. 2.6.3 Ưu điểm của MPLS VPN. MPLS VPN khác biệt với các VPN trước đó là không đóng gói và mã hóa gói tin để đạt mức bảo mật cao. MPLS VPN sử dụng băng chuyển tiếp và các nhãn để tạo tính bảo mật cho mạng VPN. Kiến trúc mạng này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN và cơ chế xử lý thông minh của MPLS VPN hoàn toàn trong phần lõi mạng. Trước tiên ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS VPN chính xác là các Custormer Edge (CE) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các Provider Edge (PE) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không nhận thấy những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng. Mỗi VPN được kết hợp với một bảng định tuyến – chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ bên trong VPN của một site khách hàng khi được nối với PE router. Bằng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến, các quy tắc, các tham số của giao thức định tuyến. Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các tuyến có sẵn từ site tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra bên ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. Đây chính là cơ sở bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm. Tham số phân biệt tuyến RD (Router distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình 3.25, có 3 VPN khách nhau và được xác định bởi các RD 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp tới các CE router. Các chức năng VPN của một mạng MPLS- VPN sẽ được thực hiên bởi các PE router bao quanh mạng lõi này. Cả P và PE router đều là các bộ định tuyến chuyển mạch nhãn Label Switch Router (LSR) trong mạng MPLS. Các site khách hàng có thể kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, ….. Hình 3.25 : Mô hình mạng MPLS. Một trong những ưu điểm lớn nhất của các MPLS VPN là không đỏi hỏi các thiết bị CPE thông mình bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. Điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE. Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn trong mạng MPLS IP sử dụng chuyển mạch nhãn. Việc tạo một mạng đầy đủ (mạng mắt lưới) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là các mắt lưới, trong đó các site được nối trực tiếp với PE. Vì vậy các site bất kì có thể trao đổi thông tin với nhau trong VPN. Thậm chí nếu site trung tâm gặp trục trặc, các site ở xa vẫn có thể liên lạc với nhau. Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một tường lửa sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một tường lửa duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN. Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đang kể. 2.6.4 Đánh giá hiệu quả của VPN MPLS Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN theo công nghệ mới, khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thông tin DN. Sử dụng công nghệ tiên tiến Chi phí đầu tư hiệu quả : Tận dụng khả năng xử lý của các thiết bị trong mạng lõi MPLS của nhà cung cấp dịch vụ. Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng. Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống Bảo mật an toàn : Bảo mật tuyệt đối trên mạng lõi MPLS. MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Khả năng mở rộng đơn giản : Đơn giản hóa quản trị mạng: MPLS-VPN không yêu cầu các thiết bị CPE thông minh. Vì các yêu cầu định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi. Với qua trình quản trị và thiết lập VPN tại mạng lõi MPLS của nhà cung cấp dịch vụ sẽ giúp đơn giản hóa tối đa công việc quản trị mạng trong hoạt động của doanh nghiệp. Nhận được nhiều hỗ trợ từ nhà cung cấp. Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp. Tốc độ cao, đa ứng dụng và cam kết QoS VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang. Cung cấp các khả năng cam kết tốc độ và bằng thông tối thiểu (QoS). Độc lập với khách hàng: MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả cac địa chỉ kiểm tra hoặc cac địa chỉ không được đăng ký) hoặc có thể sử dụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng cac dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IPSec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP. Linh hoạt và khả năng phát triển: Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lần. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang hàng giữa cac LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm cac VPN hoặc site mâi (chỉ cần thực hiện tại router của site mâi). Trễ trong mạng MPLS-VPN: Rất thấp, sở dĩ như vậy là do MPLS-VPN không yêu cầu mã hóa dữ liệu vì đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngoài không có khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với Frame Relay). Ngoài ra việc định tuyến trong MPLS chỉ làm việc ở giữa lớp 2 và lớp 3 chứ không phải hoàn toàn ở lớp 3 vì thế giảm được một thời gian trễ đang kể. Các thiết bị định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy tốc độ cao hơn phần mềm như ở các router khác. Chương 3 : Triển khai mạng riêng ảo VPN cho trung tâm giao dịch CNTT Hà Nội. Giới thiệu về trung tâm giao dịch CNTT Hà Nội. Trung tâm Giao dịch CNTT Hà Nội là đơn vị sự nghiệp Khoa học trực thuộc Sở Bưu chính, Viễn thông thành phố Hà Nội.