Cấu trúc và phân loại mạng riêng ảo (Virtual Private Network)
I. Giới Thiệu VPN
1. Khái niệm
- Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.
- VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm.
Mục lục
I. Giới Thiệu VPN 3
1. Khái niệm 3
2. Lợi ích 3
II. Phân Loại VPN 4
1. VPN Remote Access 4
2. VPN Site-to-Site 6
III. Kiến Trúc VPN 7
1. Đường hầm (tunnel) 7
2. Giao thức (Protocol) 8
IV. Kết Luận 12
12 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 6406 | Lượt tải: 1
Bạn đang xem nội dung tài liệu Cấu trúc và phân loại mạng riêng ảo (Virtual Private Network), để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
VIRTUAL PRIVATE NETWORK (VPN)
_________________________________________________________________________
Nhóm 18
Lớp: DHTH3
GV: Th.s Nguyễn Hòa
Danh sách:
Đặng Hồng Hải
Hồ Thanh Phong
Huỳnh Văn Trận
Nguyễn Thanh Tú
Phụ lục Trang
I. Giới Thiệu VPN
Khái niệm
Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một mạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.
VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho các kết nối điểm-điểm.
Mô hình VPN
Lợi ích
VPN cho phép tiết kiệm chi phí thuê đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP(Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp dẫn đến giá thành cho việc kết nối Lan - to - Lan giảm đi đáng kể so với việc thuê đường Leased-Line.
Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng. Đồng thời tận dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ từ đó công ty có thể tập trung vào các đối tượng kinh doanh.
Dữ liệu truyền trên mạng được mã hoá bằng các thuật toán, đồng thời được truyền trong các đường hầm(Tunnel) nên thông tin có độ an toàn cao.
Với xu thế toàn cầu hoá, một công ty có thể có nhiều chi nhành tại nhiều quốc gia khác nhau. Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ dàng kết nối hệ thống mạng giữa các chi nhành và văn phòng trung tâm thành một mạng LAN với chi phí thấp.
Bảo mật địa chỉ IP : thông tin được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài internet.
II. Phân Loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access ) và VPN điểm-nối-điểm (site-to-site).
VPN Remote Access
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức.
Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng của họ.
VPN client to gateway
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…).
VPN Site-to-Site
VPN site to site
Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết nốI VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các router và Firewall tương thích vớI VPN, và các bộ tập trung VPN chuyên dụng đều cung cấp chức năng này.
Lan-to-Lan VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảo mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec, mục đích của Lan-to-Lan VPN là kết nốI hai mạng không có đường nốI lại với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. bạn có thể thiết lập một Lan-to-Lan VPN thông qua sự kết hợp của các thiết bị VPN Concentrators, Routers, and Firewalls.
Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân chuyển thông qua internet hoặc một mạng không được tin cậy.Bạn phải đảm bảo vấn đề bảo mật bằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữa các mạng đó.
¶ VPN Site - to - Site được chia làm hai loại nhỏ là VPN Intranet và VPN Extranet.
Intranet VPN: Kết nối văn phòng trung tâm, các chi nhánh và văn phòng ở xa vào mạng nội bộ của công ty dựa trên hạ tầng mạng được chia sẻ.
Extranet VPN: Kết nối bộ phận khách hàng của công ty, bộ phận tư vấn, hoặc các đối tác của công ty thành một hệ thống mạng dựa trên hạ tầng được chia sẻ. Extranet VPN khác với Intranet VPN ở chỗ cho phép các user ngoài công ty truy cập vào hệ thống.
III. Kiến Trúc VPN
Đường hầm (tunnel)
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống" riêng (tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng chung một giao thức (tunnel protocol).
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (tunnel interface), nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling trong mạng VPN site-to-site:
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đóng gói" giao thức gói tin (Passenger Protocol) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đnag mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec trong cơ chế Tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hóa. IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối-điểm. Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính của văn phòng từ xa.
Kỹ thuật Tunneling trong mạng VPN remote access:
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa.
Giao thức (Protocol)
GRE (Generic Route Encapsulation)
Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên trong đường ống IP (IP tunnel).
Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra.
Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong việc định tuyến cho gói IP.
L2F (Layer 2 Forward)
Là giao thức lớp 2 được phát triển bởi Cisco System. L2F được thiết kế cho phép tạo đường hầm giữa NAS và một thiết bị VPN Getway để truyền các Frame, người sử dụng từ xa có thể kết nối đến NAS và truyền Frame PPP từ remote user đến VPN Getway trong đường hầm được tạo ra.
L2TP (Layer 2 Tunnel Protocol)
Là chuẩn giao thức do IETF đề xuất, L2TP tích hợp cả hai điểm mạnh là truy nhập từ xa của L2F(Layer 2 Forwarding của Cisco System) và tính kết nối nhanh Point - to Point của PPTP (Point to Point Tunnling Protocol của Microsoft). Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm cho các frame và sử dụng giao thức PPP truyền dữ liệu trong đường hầm.
L2TP không cung cấp mã hóa.
Một số ưu điểm của L2TP
L2TP hỗ trợ đa giao thức
Không yêu cầu các phần mềm mở rộng hay sự hỗ trợ của HĐH. Vì vậy những người dùng từ xa cũng như trong mạng Intranet không cần cài thêm các phần mềm đặc biệt.
L2TP cho phép nhiều Mobile user truy cập vào Remote Network thông qua hệ thống mạng công cộng
L2TP không có tình bảo mật cao tuy nhiên L2TP có thể kết hợp với cơ chế bảo mật IPSec để bảo vệ dữ liệu.
Với L2TP sự xác thực tài khoản dựa trên Host Getway Network do vậy phía nhà cung cấp dịch vụ không phải duy trì một Database để thẩm định quyền truy cập.
Ipsec (Internet Protocol Security)
IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu.
IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec.
PPTP (Point to Point Tunneling Protocol)
Được sử dụng trên các máy client chạy HĐH Microsoft for NT4.0 và Windows 95+. Giao thức này được sử dụng để mã hóa dữ liệu trên lưu thông trên mạng LAN. Giống như giao thức NETBEUI và IPX trong một packet gửi lên Internet. PPTP dựa trên chuẩn RSA RC4 và hỗ trợ bởi sự mã hóa 40-bits hoặc 128-bits.
Nó không được phát triển trên dạng kết nối LAN-to-LAN và giới hạn 255 kết nối tới một Server chỉ có một đường hầm VPN trên một kết nối. Nó không cưng cấp sự mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giải pháp truy cập từ xa chỉ có thể làm được trên mạng MS. Giao thức này được dùng tốt trong Windows 2000.
¶ Chú ý:
PPTP là giải pháp tối ưu khi khách hàng muốn có cơ chế bảo mật không tốn kém và phức tạp. Giao thức này cũng tỏ ra hữu hiệu khi các luồng dữ liệu phải truyền qua NAT. Khách hàng nếu muốn có NAT và độ bảo mật cao hơn có thể định cấu hình cho các quy tắc IPSec trên Windows 2000.
L2TP là giải pháp tốt nhất khi khách hàng coi bảo mật là vấn đề quan trọng hàng đầu và cam kết khai thác cấu trúc mã khóa chung PKI. Nếu bạn cần một thiết bị NAT trong đường truyền VPN thì giải pháp này có thể không phát huy hiệu quả.
IPSec Tunnel Mode lại tỏ ra hữu hiệu hơn với VPN điểm-nối-điểm (site to site). Mặc dù giao thức này hiện nay cũng được áp dụng cho VPN truy cập từ xa nhưng các hoạt động của nó không "liên thông" với nhau. IPSec Tunnel Mode sẽ được đề cập kỹ hơn trong phần VPN điểm-nối-điểm kỳ sau.
IV. Kết Luận
Hiện nay xu hướng các công ty có nhiều chi nhánh là phổ biến, do nhu cầu trao đổi thông tin giữa các chi nhánh là cần thiết và cấp bách. Do vậy trong tương lai, nhu cầu triển khai hệ thống mạng VPN giữa các chi nhánh trong một công ty là nhu cầu tất yếu.
Các file đính kèm theo tài liệu này:
- Tieu luan VPN.doc