Đề tài Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo

thời kết nối hai vùng lại với nhau. Mỗi phiên được mã hóa khác nhau. Bất lợi chính của cấu trúc VPN này là nó tạo ra chi phí khá lớn. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 37 Hình 3-13 : Các phiên VPN mã hóa theo yêu cầu 3.3.2 VPN tường lửa tới tường lửa Không giống cấu trúc VPN router tới router, VPN tường lửa tới tường lửa được thiết lập giữa 2 tường lửa. VPN tường lửa tới tường lửa có thể được thực hiện theo 2 cách sau : Đường hầm đơn giao thức theo yêu cầu. Như Hình 3-14, cách thực hiện tường lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router ngoại trừ rằng việc các bức tường lửa được sử dụng ở hai đầu. Với cách làm này thì dữ liệu sẽ có một độ an toàn cao hơn. Khi cần, các nhà quản trị mạng có thể thêm vào các điều kiện bảo mật chặt chẽ hơn. Với sự hỗ trợ của tường lửa, lưu lượng có thể được kiểm soát chặt chẽ hơn. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 38 Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa Đường hầm đa giao thức theo yêu cầu. Cách thực hiện tường lửa tới tường lửa chỉ ra các vấn đề liên quan tới sự khác nhau giữa các bức tường lửa được sử dụng ở hai đầu giao tiếp; các bức tường lửa khác nhau không thể truyền thông thành công trong môi trường VPN. Các bức tường lửa ở cả 2 đầu phải hỗ trợ các giao thức giống nhau để lọc luồng lưu thông thuộc về các giao thức khác nhau. Giao thức IPSec được sử dụng cho mục đích này vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức tường lửa. Tuy nhiên, yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên IPSec. Hình 3-15 mô tả các đường hầm tương lửa tới tường lửa đa giao thức dựa trên yêu cầu. Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 39 3.3.3 VPN được khởi tạo bởi khách hàng : Đối với loại VPN được khởi tạo bởi khách hàng thì kỹ thuật mã hóa và quản lý đường hầm được thiết lập từ phía khách hàng VPN. Như vậy, các khách hàng VPN đóng vai trò quan trọng trong việc khởi tạo các đường hầm. Loại VPN này có thể được phân nhỏ ra thành hai loại sau: VPN được khởi tạo từ khách hàng tới tường lửa hoặc router. Theo cách thực hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên Hình 3-16. Tường lửa trong trường hợp này phải hỗ trợ việc xử lý các yêu cầu khởi tạo bởi khách hàng cho một phiên VPN. Cách làm này tạo ra một quá trình xử lý khổng lồ lên khách hàng vì sự quản lý, phân phối khóa và độ an toàn đưa đến việc xử lý có độ phức tạp cao. Thêm vào đó, khách hàng phải đối mặt với các vấn đề khác để có thích ứng với các hệ điều hành và các nền cấu trúc khác nhau của hệ thống. Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router VPN được khởi tạo từ khách hàng tới máy chủ. Với cách thực hiện tường lửa tới tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt ra yêu cầu và bộ xử lý yêu cầu như trên Hình 3-17. Phương thức này tạo ra một nhiệm vụ xử lý khổng lồ ở phía khách hàng. Tuy nhiên nó có độ an toàn hơn nhiều so với VPN khởi tạo từ khách hàng tới tường lửa vì nhà cung cấp dịch vụ trung gian hoàn toàn không hề biết về sự tồn tại của đường hầm. Điều này giảm nguy cơ của sự tấn công đường hầm. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 40 Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ 3.3.4 VPN trực tiếp Không giống các loại cấu trúc VPN khác, VPN trực tiếp không tạo ra các đường hầm truyền hai hướng. Thay vào đó một đường hầm một hướng truyền duy nhất được thiết lập giữa hai đầu cuối truyền thông như Hình 3-18. Dữ liệu được mã hóa trong VPN trực tiếp tại lớp thứ 5 của mô hình OSI - tức lớp phiên. Giao thức thường được dùng cho mục đích này là SOCKS v5. Hình 3-18 : Kiến trúc VPN trực tiếp Khi so sánh với đường hầm hai chiều, cấu trúc VPN trực tiếp cung cấp độ an toàn cao hơn theo các cách sau: Trong mối quan hệ tin cậy hai chiều, khi một hacker thành công trong việc truy cập vào một mạng, tất cả các mạng nối kết đều bị ảnh hưởng, bởi vì hacker có thể truy DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 41 cập vào các mạng nối kết này với các lỗ hỏng bảo mật trong đường hầm hai chiều. Nếu hacker đã lấy đuợc thông tin của một chiều thì nó có thể mạo danh để lấy thông tin của chiều còn lại. Nhưng điều này không thể thực hiện trong trường hợp VPN trực tiếp. Do dòng lưu thông chỉ có một hướng trong VPN trực tiếp nên khi một hacker đã có thể truy cập vào một bên của truyền thông, xác suất của sự đe dọa sự an toàn chỉ còn một nửa do việc sử dụng các đường hầm một chiều. Điều khiển truy nhập trong cách tiếp cận bằng đường hầm hai chiều được dựa trên địa chì nguồn và địa chỉ đích. Trái lại, sự điều khiển truy cập trong VPN trực tiếp có thể dựa vào không những địa chỉ nguồn và địa chỉ đích mà còn dựa vào các thông số cơ bản khác như ID người sử dụng, thời gian và ứng dụng. VPN trực tiếp có thể dựa trên nội dung của các gói dữ liệu để điều khiển truy nhập. Sự chứng thực người sử dụng thì chặt chẽ hơn trong trường hợp VPN trực tiếp bởi vì có sự thêm vào của các máy chủ RADIUS, các router, các gateway và các tường lửa để chứng thực người dùng ở xa, máy chủ VPN cũng như khách hàng VPN cũng có khả năng chứng thực cho đầu kia. Điều này thì không có trong trường hợp các cấu trúc VPN khác. Trong các trường hợp khác, các yêu cầu VPN được cho qua đường hầm qua một chuỗi các thiết bị trung gian như NAS, chuỗi các router, bức tường lửa, v.v.. cái thiết bị này sẽ chứng thực cho đầu cuối VPN dựa trên địa chỉ IP nguồn và đích. Với phương pháp đường hầm hai chiều được sử dụng thì các hacker rất dễ dàng nhái một địa chỉ IP và chúng sẽ dùng địa chỉ này để thâm nhập vào hệ thống. Mã hóa trong VPN trực tiếp được dựa trên lớp phiên, lớp này được hỗ trợ các kỹ thuật mã hóa đa dạng khác nhau. Do đó, mã hoá trong VPN trực tiếp thì phức tạp hơn so với các cấu trúc VPN khác. 3.4 Đánh giá VPN dựa theo lớp Dựa trên mô hình OSI các loại VPN có thể được xếp vào một trong hai loại lớn sau: VPN lớp liên kết, VPN lớp mạng. 3.4.1 VPN lớp liên kết VPN lớp liên kết sử dụng kết nối ở lớp liên kết. Các giao dịch ở VPN lớp liên kết bị giới hạn ở mạng cục bộ vì chúng sử dụng địa chỉ MAC; vì vậy VPN lớp liên kết có chức năng tương tự như một mạng cá nhân. Dựa trên kỹ thuật lớp liên kết, VPN lớp liên kết có 4 loại sau : Các kết nối Frame Relay ảo: các kết nối ảo dựa trên Frame Delay sử dụng cơ sở hạ tầng chuyển mạch của các mạng cá nhân, mà chúng kết nối. Sự khác biệt chính giữa các kết nối ảo và các kết nối chuyên dụng là trong các kết nối ảo, hai đầu cuối sử dụng định thời thích nghi dữ liệu trong suốt quá trình giao dịch. Như vậy thì, tốc độ giao DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 42 dịch được chỉnh phù hợp với ứng dụng và yêu cầu tín hiệu. Thuận lợi chính của VPN loại này là nó không đắt và đảm bảo được CIR(Committed Information Rate). Các kết nối ảo VPN. Các kết nối ảo VPN thì tương tự như các kết nối ảo dựa trên Frame Delay. Tuy nhiên các kết nối này sử dụng cơ sở hạ tầng ATM của mạng cá nhân. Các kết nối ảo này cũng thiếu một sự đồng bộ clock dữ liệu. Các kết nối ảo ATM thì tương đối nhanh hơn và cho hiệu suất tốt hơn. Vì thế, Các kết nối ATM ảo, thì mắc hơn các kết nối ảo Frame Delay. Đa giao thức trên ATM (MPOA). Các kết nối VPN dựa trên MPOA hoàn toàn dựa trên cơ sở hạ tầng của ATM. Tuy nhiên chúng có thể hỗ trợ đa giao thức bởi vì chúng phụ thuộc vào các router đặt tại cạnh của mạng cá nhân để xác định đường truyền thuận trong mạng ATM. Cách tiếp cận này thì không được phổ biến vì dựa trên cơ sở hạ tầng ATM, cái mà không thể chấp nhận một mạng nội bộ hỗn hợp sử dụng nhiều kỹ thuật mạng khác nhau . Chuyển mạch đa giao thức (MPLS). MPLS cung cấp một phương pháp hiệu quả để triển khai VPNs dựa trên IP qua ATM dựa trên backbone WAN. Trong MPLS, router MPLS VPN tạo nên các bảng định tuyến chuyên biệt VPN sử dụng các giao thức định tuyến VPN bao gồm BGP, v.v... Mỗi router được cấp phát một nhãn. Thông tin định tuyến nhãn được chuyển tới router gắn vào. Trong suốt quá trình truyền, thiết bị MPLS đều tiên nhận các gói IP này bao đóng các gói IP sử dụng nhãn MPLS. Rồi thì sau đó, nhãn MPLS, chứ không phải là header IP, được sử dụng để định tuyến các gói qua cơ sở hạ tầng ATM. Trên khía cạnh cạnh của mạng nội bộ, khi các gói sắp truy cập vào cơ sở hạ tầng dựa trên IP (như internet) thì nhãn MPLS được bỏ đi. Hình 3-19 mô tả các hoạt động của MPLS. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 43 Nhãn MPLS Gói IP Gói IPGói IP Gói MPLS Gói IPGói IP Router MPLS Router IP Bảng định tuyến Chú thích: Cơ sở hạ tầng ATM Hình 3-19: Kiến trúc MPLS VPN lớp liên kết 3.4.2 VPN lớp mạng VPN lớp mạng, còn được gọi là VPN lớp 3, sử dụng chức năng của lớp mạng và có thể được tổ chức theo 2 loại sau : Mô hình peer VPN. Trong mô hình peer VPN đường truyền thuận của lớp mạng được tính trên cơ sở các bước nhảy. Một cách đơn giản hơn, đường truyền được xem xét tại mỗi router trên đường tới mạng đích. Vì thế tất cả các routers trong đường truyền dữ liệu được xem như ngang hàng, như trong Hình 3-20. VPN trong mạng định tuyến truyền thống là một ví dụ của mô hình VPN peer, vì mỗi router trong đường truyền thì ngang hàng với tất cả routers được gắn trực tiếp tới nó. Hình 3-20 : Kiến trúc VPN ngang hàng DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 44 Mô hình VPN che phủ. Không giống mô hình VPN ngang hàng, các mô hình VPN che phủ không tính đường truyền mạng tới mạng đích dựa trên bước nhảy. Thay vào đó cơ sở hạ tầng mạng trung gian được sử dụng như là “cut-through” tới router tới trên đường truyền dữ liệu. VPN dựa trên ATM, VPN Frame Delay và kỹ thuật VPN sử dụng đường hầm là các ví dụ của mô hình VPN che phủ. Mạng VPN lớp 3 rất phổ biến và được xem như là mạng quay số riêng ảo (VPDNs). VPNs lớp 3 thường sử dụng 2 kỹ thuật lớp 2 – PPTP và L2TP cho đường hầm. VPDNs cũng sử dụng IPSecs, cái mà đã được thiết lập như là tiêu chẩn VPN trong thực tế vì nó cung cấp khả năng mã hóa và xác nhận toàn diện. 3.5 Đánh giá các loại VPN dựa trên qui mô mạng Dựa vào phạm vi, kích cỡ, mức độ phức tạp của thiết lập VPN, có thể chia thành 5 mức: VPN của tổ chức có quy mô nhỏ, quy mô nhỏ tới trung bình, quy mô trung bình, quy mô trung bình tới lớn, quy mô rất lớn. 3.5.1 VPN có quy mô nhỏ Đối với VPN này, số thành viên của mạng khoảng dưới 50 người và nằm gần nhau trong cùng một khu vực. Do phải phục vụ lượng truy cập nhỏ, địa bàn hẹp nên VPN loại này là dễ thiết lập nhất với chi phí không lớn. Chỉ cần một vài linh kiện sau là có thể thiết lập được một mạng VPN này: - Một VPN server với ít nhất là Windows 2000. - Một VPN client với tệ nhất là Windows 95/98. - Một giao thức đường hầm như là PPTP. - Các khả năng lọc gói được cung cấp bởi router, gateway hoặc firewall. - Một tùy chọn truy cập, như DSL hoặc T1. VPN loại này chỉ hỗ trợ người dùng trong phạm vi nhỏ, không hỗ trợ cho người dùng ở khoảng cách xa. Với cơ chế bảo mật đơn giản nên nó dễ bị tấn công. 3.5.2 VPN có quy mô nhỏ tới trung bình Là VPN với quy mô mạng nội bộ từ 2 đến 20 mạng chi nhánh ở xa và khoảng 250 người dùng ở xa có thể truy cập vào mạng của tổ chức, mạng có thể hỗ trợ 250 người truy cập cùng một lúc vào mạng. Với quy mô này, để đảm bảo an toàn, VPN cần thực hiện chứng thực người dùng và tạo đường hầm bảo mật IPSec khi truyền dữ liệu. Yêu cầu tối thiểu đối với VPN loại này là : - Mã hóa dữ liệu sử dụng DES. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 45 - Quản lý khóa dùng IKE. - Cơ chế xác nhận người sử dụng. - Ít nhất một gateway VPN. - Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa. - Một tùy chọn truy cập nhanh, như là T1 hoặc T3. Ưu điểm : VPN này rất dễ dàng thiết lập và có giá vừa phải. Chúng cũng cung cấp một sự an toàn nhất định cho dữ liệu trong quá trình truyền. Thêm vào đó nó cũng hỗ trợ người dùng truy cập từ xa ở bất kỳ nơi nào. Tuy nhiên loại này chỉ sử dụng IPSec, mà mạng nội bộ mở rộng không hỗ trợ IPSec. 3.5.3 VPN có quy mô trung bình VPN quy mô trung bình có từ 10 đến 100 mạng chi nhánh ở xa, có thể hỗ trợ 500 người dùng ở xa.VPN quy mô này cung cấp mức độ bảo mật cao hơn và là giải pháp hiệu quả về chi phí, nó hỗ trợ kết nối từ xa của người dùng và kết nối điểm - điểm. Các yêu cầu chính của VPNs mức này gồm : - Mã hóa dữ liệu dùng IPSec và 3DES. - Quản lý khóa dựa vào IKE. - Một cơ chế xác nhận người dùng địa phương như các tokens mềm. - Ít nhất là từ 2 tới 5 gateways VPN, hoặc một gateway có thể hỗ trợ được tới 500 kết nối đồng thời. - Các cơ chế an toàn thêm vào như AAA, RADIUS, TACACS, NAT và hoặc tường lửa. - Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa. - Các tuỳ chọn truy cập tốc độ cao như T1 hoặc T3. VPN loại này hỗ trợ nhiều kết nối hơn và cung cấp độ an toàn cao hơn nhưng phải sử dụng IPSec mà mạng nội bộ lại không hỗ trợ IPSec. Thêm vào đó, cơ sở hạ tầng không hỗ trợ các ứng dụng thời gian thực. Mặt khác, khi sử dụng cơ chế bảo mật như AAA, RADIUS, NAT... làm tăng tính an toàn cho mạng nội bộ nhưng tăng sự phứa tạp khi quản trị hệ thống. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 46 3.5.4 VPN có quy mô trung bình đến lớn. VPN có quy mô đến vài trăm mạng chi nhánh trãi dài trên phạm vi rộng, có khả năng hỗ trợ vài ngàn người truy nhập từ xa. Nó có khả năng hỗ trợ kết nối điểm - điểm và kết nối từ mạng nội bộ tới người dùng ở xa. Nó có khả năng truyền dữ liệu thời gian thực, tốc độ cao nên VPN loại này có thể truyền hội nghị dùng video. Và do đó chi phí thiết lập và duy trì hoạt động của mạng sẽ cao hơn VPN quy mô trung bình. Các yêu cầu tối thiểu của VPN này bao gồm: - Một kết nối ISP với một SLA định nghĩa rõ ràng. - Dịch vụ thư mục tập trung như X500 hay LDAP. - Mã hóa dữ liệu dựa vào IPSec và 3DES. - Quản lý khóa dựa vào IKE. - Một cơ chế xác nhận người sử dụng địa phương như các tokens mềm và các cards thông minh. - Các cơ chế bảo mật thêm vào như là: AAA, RADIUS, TACACS, NAT và các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn. - Các dịch vụ trong nhà. - Một chính sách truy cập từ xa được định nghĩa rõ ràng. - Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa. - Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3. VPN quy mô này rất phức tạp trong việc quản lý, kiểm tra, cấu hình và thực thi bởi vì nguồn tài nguyên của tổ chức được phân bố rộng. Và chi phí thiết lập, duy trì sự hoạt động của mạng rất cao. 3.5.5 VPN có quy mô rất lớn. Quy mô của mạng có thể lên tới hàng ngàn chi nhánh ở xa, trãi rộng trên nhiều nước, có thể hỗ trợ vài chục ngàn người sử dụng ở xa. Cơ chế bảo mật dùng trong mạng này là cao nhất và phức tạp nhất so với VPN có quy mô nhỏ hơn. Nó có khả năng đáp ứng nhiều loại dịch vụ phức tạp, tốc độ cao, yêu cầu thời gian thực, có thể hỗ trợ giao dịch thương mại điện tử, giao dịch audio, video.... Khi xây dựng mạng cần dự phòng việc mở rộng mạng trong tương lai. Do đó, chi phí cho mạng này cũng rất cao. Các yêu cầu tối thiểu của mạng bao gồm : - Kết nối ISP với một SLA được định nghĩa rõ ràng. - Dịch vụ thư mục tập trung, như LDAP. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 47 - Mã hóa dữ liệu dựa trên IPSec và 3DES. - Quản lý khóa dựa trên IKE. - Một cơ chế xác nhận người dùng gốc như các tokens mềm, và các cards thông minh. - Ít nhất từ 10 đến 20 VPN gateways, hoặc một gateway có thể hỗ trợ 5000 giao dịch đồng thời. - Khả năng quản lý dư thừa cao và băng thông rộng. - Một chính sách truy cập từ xa được định nghĩa rõ ràng. - Các cơ chế bảo mật thêm vào như: AAA, RADIUS, TACACS, NAT và các bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn. - Các dịch vụ trong nhà. - Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa. - Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và OC3. 3.6 Đánh giá hiệu quả của VPN - MPLS 3.6.1 Tổng quan về VPN - MPLS MPLS là thuật ngữ viết tắt của Multi-Protocol Label Switching (chuyển mạch nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong mạng như các thiết bị chuyển mạch thành các bộ định tuyến chuyển mạch nhãn LSR. LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các bộ định tuyến truyền thống. Công nghệ MPLS là một dạng phiên bản của công nghệ IPoA (IP over ATM) truyền thống, nên MPLS có cả ưu điểm của ATM (tốc độ cao, QoS và điều khiển luồng) và của IP (độ mềm dẻo và khả năng mở rộng). Giải quyết được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được cho là công nghệ mạng trục IP lý tưởng. Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải được tỏa rộng theo mọi hướng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng ảo truyền thống dựa trên các công nghệ cũ như leased line, X25, ATM không thể đáp ứng yêu cầu của các khách hàng. Sự xuất hiện của MPLS sẽ giúp xây dựng được một mạng mềm dẻo và đa dịch vụ, có khả năng tích hợp các dịch vụ của Intranet, Extranet, Internet và hỗ trợ mô hình VPN đa dịch vụ. Với mạng sử dụng MPLS, rất nhiều dịch vụ chất lượng cao được cung cấp như: DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 48 - Tải tin cho các mạng số liệu, Internet và thoại. Lưu lượng thoại được chuyển dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục truyền thống đang hoạt động. - Cung cấp dịch vụ truy nhập Internet tốc độ cao tại một số địa phương trọng điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ gói. - Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp/ tổ chức (DN/TC) như ngân hàng, các hãng thông tấn báo chí. - Cung cấp dịch vụ VPN cho các công ty xuyên quốc gia và các DN/TC lớn. Đây đang được coi như dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh doanh và tăng khả năng cạnh tranh của các nhà khai thác. - Cung cấp dịch vụ Video. Hình 3-21 : Mô hình mạng MPLS VPN đơn giản 3.6.2 Nhược điểm của VPN truyền thống. Giao thức phổ biến trong hầu hết các mạng VPN truyền thống hiện nay là giao thức IPSec, chúng sử dụng các giao thức tạo đường hầm, mã hóa dữ liệu, nhận thực để đạt khả năng bảo mật dữ liệu khi truyền giữa 2 điểm đầu cuối. Sau đây là ví dụ về truyền dữ liệu trong mạng VPN sử dụng đường hầm IPSec thông qua một nhà cung cấp dịch vụ hay mạng internet công cộng sử dụng mã hóa 3DES. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 49 Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN Dễ nhận thấy nhất ở mạng IPsec là mạng có hiệu năng thấp. Việc Các CPE thiết bị đầu cuối thuê bao (Customer Premise Equipment) ở hai thiết bị đầu cuối tiến hành kiểm tra gói tin, sau đó mã hóa và đóng gói và các gói IP gây tốn thời gian và gây trễ cho gói tin. Nếu gói tin được truyền đi trong mạng có kích thước lớn hơn kích thước tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kế nào giữa CPE thì các gói tin đó phải được phân thành các gói nhỏ hơn, điều này chỉ xảy ra trường hợp bit DF (don’t fragment) không được thiết lập. Còn trong trường hợp bit DF được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát. Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng Ipsec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện Ipsec bằng phần cứng có tốc tốc độ xử lý gói tin cao hơn nhưng chi phí cho các thiết bị này rất đắt. điều này dẫn đến chi phí triển khai một Ipsec VPN là rất tốn kém. Từ ví dụ này, ta thấy IPsec VPN là mạng lớp trên của mạng IP và sự trao đổi thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site. Điều này sẽ được làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo ra cấu hình mạng không tối ưu. Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa khác. Trong cấu hình này CPE của site trung tâm thường là một thiết bị rất đắt tiền và phụ thuộc vào số lượng các site ở xa cần kết nối, mỗi site này sẽ thiết lập một đường hầm Ipsec đến site trung tâm. Cấu hình mạng này không phù hợp cho truyền thông giữa các site ở xa với nhau vì gói tin từ site này tới site khác phải đi qua site trung tâm và tại site trung tâm sẽ lặp lại các tác vụ như đóng gói tin, xác định đường truyền, mã hóa và giải mã đối với các gói tin đi qua nó. Do đó mỗi gói tin phải đi qua hai đường hầm Ipsec dẫn đến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai site ở xa có thể trao đổi thông tin trực tiếp. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 50 Hình 3-23 : Mạng hình sao Giải pháp tối ưu nhất khắc phục hiện tượng trên là thiết lập mạng mắt lưới. tuy nhiên cấu hình này có nhiều hạn chế và điểm hạn chế lớn nhất là khả năng mở rộng mạng. số lượng tunnel cần thiết để hỗ trợ một mạng mắt lưới Ipsec sẽ tăng cùng với số lượng site. Ví dụ một mạng có 20 site thì cần 210 đường hầm IPsec. Cấu hình mạng như vậy sẽ phải cần CPE phức tạp và đắt tiền. thậm trí có thể không thực hiện được cấu hình mạng mắt lưới. Hình 3-24 : mạng mắt lưới Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích không phải là một vấn đề lớn nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN. Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ tunneling. Những CPE với chức năng bổ sung này đòi có giá thành rất cao nên cách duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào tất cả các PC phía sau cầu. Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến những khó khăn trong quản lý mạng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 51 3.6.3 Ưu điểm của MPLS VPN. MPLS VPN khác biệt với các VPN trước đó là không đóng gói và mã hóa gói tin để đạt mức bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn (tags) để tạo tính bảo mật cho mạng VPN. Kiến trúc mạng này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN và cơ chế xử lý thông minh của MPLS VPN hoàn toàn trong phần lõi mạng. Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm. Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như Hình 3-25, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 52 trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v... Hình 3-25 : Mô hình mạng MPLS Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE. Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo một mạng đầy đủ (mạng mắt lưới) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là mạng mắt lưới, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các site ở xa vẫn có thể liên lạc với nhau. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 53 Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng lõi mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới. Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một tường lửa sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một tường lửa duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN. Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể. 3.6.4 Đánh giá hiệu quả của VPN MPLS Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN theo công nghệ mới, khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thông tin DN. Ø Sử dụng công nghệ tiên tiến - Công nghệ chuyển mạch nhãn đa giao thức MPLS là công nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn như: Nhật, Mỹ, Singapore... Ø Chi phí đầu tư hiệu quả - Tận dụng khả năng xử lý của các thiết bị trong mạng lõi MPLS của nhà cung cấp dịch vụ. Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng. - Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất - Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống Ø Bảo mật an toàn - Bảo mật tuyệt đối trên mạng lõi MPLS DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 54 - MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN của mình. Ø Khả năng mở rộng đơn giản - Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng kí thêm điểm kết nối với nhà cung cấp dịch vụ mà không cần bất cứ một đầu tư lại gì trên mạng hiện có - Mọi cầu hình kết nối đều thực hiện tại mạng lõi MPLS, thành viên mạng không cần bất kì một cầu hình nào. Ø Đơn giản hóa quản trị mạng - MPLS-VPN không yêu cầu các thiết bị CPE thông minh. Vì các yêu cầu định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi. -Với quá trình quản trị và thiết lập VPN tại mạng lõi MPLS của nhà cung cấp dịch vụ sẽ giúp đơn giản hóa tối đa công việc quản trị mạng trong hoạt động của doanh nghiệp. - Nhận được nhiều hỗ trợ từ nhà cung cấp. - Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp. Ø Tốc độ cao, đa ứng dụng và cam kết QoS - VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang. - Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS). Ø Độc lập với khách hàng: - MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT (Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP. Ø Linh hoạt và khả năng phát triển: - Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 55 hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần thực hiện tại router của site mới). Ø Trễ trong mạng MPLS-VPN - Rất thấp, sở dĩ như vậy là do MPLS-VPN không yêu cầu mã hóa dữ liệu vì đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngoài không có khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với FR). Ngoài ra việc định tuyến trong MPLS chỉ làm việc ở giữa lớp 2 và lớp 3 chứ không phải hoàn toàn ở lớp 3 vì thế giảm được một thời gian trễ đáng kể. Các thiết bị định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy tốc độ cao hơn phần mềm như ở các router khác. 3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số nhà cung cấp dịch vụ tại Việt Nam 3.7.1 Leased lines Leased Lines là thế mạnh của FPT.FPT Telecom hiện đã thiết lập các kênh quốc tế kết nối đi Hồng Kông, Singapore, Trung Quốc, Nhật, Hàn Quốc, Úc và Mỹ đạt tổng dung lượng 2,6 Gbps. Với dung lượng này, FPT Telecom đã triển khai nhiều dịch vụ truyền dữ liệu tốc độ cao dành cho đối tượng doanh nghiệp. Leased lines (gồm có leased lines Internet và leased lines “điểm nối điểm”) là một trong những dịch vụ mạnh của FPT Telecom hiện nay. Ưu điểm của Leased lines là tốc độ ổn định và dễ dàng kết nối tới mọi địa điểm theo yêu cầu của khách hàng. Sử dụng dịch vụ Leased lines, khách hàng truy nhập vào Internet 24/24 thông qua đường truyền số riêng biệt, do đó sẽ loại bỏ được việc phải thuê bao hàng chục đường dây điện thoại dành để kết nối Internet. Ngoài ra, việc nâng cấp lên tốc độ cao hay thay đổi cấu hình hệ thống sẽ trở nên dễ dàng hơn bởi khách hàng không cần phải đầu tư vào thiết bị mới hay lắp đặt một hệ thống dây cáp mới. Khi sử dụng dịch vụ Leased line, khách hàng sẽ được cung cấp không hạn chế địa chỉ e-mail dùng tên miền riêng. Hiện nay, ở FPT gói dịch vụ Leased lines tốc độ 64Kbps là 6 triệu đồng/tháng, còn gói 2Mbps là 53 triệu đồng/tháng. Ngoài ra, FPT còn có một dịch vụ khá hấp dẫn với doanh nghiệp là dịch vụ truyền số liệu Leased lines “điểm nối điểm” giữa các chi nhánh của cùng công ty tại khu vực TP.HCM và Hà Nội với gói 2Mbps có giá 6 triệu đồng/tháng. Dịch vụ này có tốc độ từ 10-100Mbps. Chi phí sẽ căn cứ vào khoảng cách giữa hai điểm. Dịch vụ VPN MPLS kênh Bắc-Nam cũng là dịch vụ dùng để truyền dữ liệu giữa hai điểm, không thông qua môi trường Internet. Giá cước của dịch vụ này với gói tốc độ từ 512Kbps là 14 triệu đồng/tháng, còn gói 2Mbps là 30 triệu đồng/tháng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 56 Leased lines của VDC có nhiều tốc độ, từ 128 Kbps cho đến 155Mbps với phí cài đặt ban đầu là 3,5 triệu đồng (gói tốc độ 64 Kbps bao gồm kênh truyền dẫn nội hạt và hòa mạng cổng kết nối Internet trực tiếp) cho đến 25 triệu đồng (gói tốc độ từ 2-155 Mbps), còn cước thuê bao hằng tháng : với tốc độ 64Kbps có cước thuê kênh truyền dẫn nội hạt là 676.000 đồng ; 1,5 triệu đồng là cước thuê cổng, dùng thêm sẽ được tính 540 đồng/MB, khống chế cước tối đa là 6,4 triệu đồng. Riêng gói có tốc độ 45 Mpbs sẽ có giá cước là 645,9 triệu đồng. 3.7.2 Frame Relay Frame Relay là dịch vụ truyền dữ liệu theo phương thức chuyển mạch khung với tốc độ cao, tạo ra băng thông lớn thích hợp với các ứng dụng phức tạp. Dịch vụ này cho phép thiết lập nhiều đường kết nối ảo thông qua một kênh duy nhất. Công nghệ này sẽ làm giảm thiểu chi phí mua sắm thiết bị cho doanh nghiệp. Khi sử dụng Frame Relay, khách hàng sẽ kiểm soát được chất lượng dịch vụ và tốc độ đã đăng ký. Để sử dụng dịch vụ này, khách hàng phải trả những khoản phí : hòa mạng, thuê cổng hằng tháng và cước tốc độ (nhà cung cấp cam kết tốc độ tối thiểu). Hiện nay giá cước hòa mạng của Frame Relay thấp nhất là hai triệu đồng (cổng tốc độ 64–128 Kbps), ba triệu đồng (192-1.024 Kbps), bốn triệu đồng (1.024-2.048 Kbps); còn cước thuê cổng tốc độ 64 Kbps (nội tỉnh là 69.000 đồng, liên tỉnh 486.000 đồng), 128 Kbps (nội tỉnh 112.000 đồng, liên tỉnh 787.000 đồng), gói tốc độ 2048 Kbps có mức cước nội tỉnh là 621.000 đồng, còn liên tỉnh là 4,59 triệu đồng... Cước dịch vụ Frame Relay đi quốc tế thấp nhất là 335 đô-la Mỹ/tháng, cao nhất là 1.953 đô-la/tháng. 3.7.3 VPN VDC còn có dịch vụ mạng riêng ảo VPN. Giá hòa mạng dịch vụ VPN là 2 triệu đồng cho gói tốc độ cổng từ 64-896 Kbps, gói từ 1.024-2 Mbps là 3 triệu đồng, còn gói từ 34-155 Mbps là 10 triệu đồng. Có giá khai thác thấp nhất là gói 64 Kbps – 1,59 triệu đồng/tháng, còn gói cao nhất 155 Mbps sẽ có giá 370,9 triệu đồng (gói dịch vụ này ít người sử dụng vì giá cước quá cao). Giá cước nói trên chưa có 5 % thuế giá trị gia tăng. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 57 Giá cước dịch vụ VPN/VNN A- Cước cài đặt ban đầu: Tốc độ cổng Đơn giá Trong nước (VNĐ/lần/cổng) Quốc tế (USD/lần/cổng) Từ 64Kbps đến 896 Kbps 2.000.000 300 Từ 1024 Kbps đến 2Mbps 3.000.000 350 Từ trên 2Mbps đến 10Mbps 5.000.000 450 Từ trên 34Mbps, 45Mbps, 155 Mbps 10.000.000 1.000 B- Cước thuê cổng hàng tháng: Tốc độ cổng Đơn giá Trong nước(VNĐ) Quốc tế(USD) 64Kbps 1.597.000 894 128Kbps 2.584.000 1.256 192Kbps 3.258.000 1.505 256Kbps 4.043.000 1.801 384Kbps 5.031.000 2.186 512Kbps 6.238.000 2.691 768Kbps 6.842.000 3.336 896Kbps 7.080.000 3.589 1024Kbps 7.554.000 4.142 1536Kbps 9.071.000 2048Kbps 9.964.000 6.164 4 Mbps 18.060.000 9.734 6 Mbps 23.174.000 14.105 8 Mbps 27.604.000 18.158 10 Mbps 32.480.000 22.370 34 Mbps 70.660.000 48.563 45 Mbps 129.542.000 71.226 155 Mbps 370.962.000 159.348 Viettel cũng là nhà cung cấp có nhiều dịch vụ truyền dữ liệu dành cho đối tượng doanh nghiệp nhất hiện nay trong các nhà khai thác dịch vụ mạng: dịch vụ VPN/MPLS, truyền dẫn tín hiệu truyền hình liên tỉnh, dịch vụ thuê kênh riêng liên tỉnh, thuê kênh riêng nội tỉnh để kết nối kênh thuê riêng liên tỉnh, thuê kênh riêng trong nước, dịch vụ thuê kênh riêng quốc tế (áp dụng cho các doanh nghiệp cung cấp DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 58 dịch vụ kết nối internet (IXP) thuê để kết nối Internet quốc tế) và dịch vụ thuê kênh riêng quốc tế. Cước gói dịch vụ truyền dẫn dữ liệu VPN tốc độ từ 64 Kbps đến 1024 Kbps là 1,5 triệu đồng/lần/cổng, tốc độ từ 4-10 Mbps: ba triệu đồng/lần/cổng; cước thuê dịch vụ có tốc độ 64 Kbps là 1,36 triệu đồng, tốc độ 4 Mbps là 12,21 triệu đồng; cước thuê kênh tốc độ 64 Kbps là 1,08 triệu đồng/tháng, gói có tốc độ 2Mbps là chín triệu đồng/tháng. Gói thuê kênh liên tỉnh (tùy thuộc vào vùng) sẽ có các mức cước khác nhau, như gói cước 64 Kbps có giá từ 1,7-6,9 triệu đồng/tháng, gói 128 Kbps có mức cước dao động từ 2,4 đến 8,7 triệu đồng... 3.7.4 Dịch vụ MegaWAN Là dịch vụ mạng riêng ảo của Tổng công ty BCVT Việt Nam Cho phép kết nối các mạng máy tính của doanh nghiệp (như các văn phòng, chi nhánh, cộng tác viên từ xa, v.v... ) thuộc các vị trí địa lý khác nhau tạo thành một mạng duy nhất và tin cậy thông qua việc sử dụng các liên kết băng rộng xDSL MegaWAN sử dụng phương thức chuyển mạch nhãn đa giao thức giao thức của mạng thế hệ tiếp theo. Là dịch vụ cung cấp kết nối mạng riêng cho khách hàng trên nền mạng IP/MPLS. Dịch vụ VPN/MPLS cho phép triển khai các kết nối nhanh chóng, đơn giản, thuận tiện với chi phí thấp cho phép vừa truy nhập mạng riêng ảo vừa truy cập Internet nếu khách hàng có nhu cầu. Công nghệ: sử dụng đường dây thuê bao số xDSL kết hợp công nghệ VPN/MPLS. Tốc độ kết nối: cung cấp các tốc độ linh hoạt mềm dẻo tuỳ theo nhu cầu của khách hàng. Khả năng đáp ứng: tại các tỉnh và thành phố trên cả nước có dịch vụ ADSL, SHDSL do VNPT cung cấp. Giá cước: giá cước mềm dẻo theo từng loại tốc độ. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 59 BẢNG CƯỚC DỊCH VỤ MEGAWAN (áp dụng từ ngày 19/12/2007) Ø CƯỚC PHÍ TRẢ MỘT LẦN +Cước đấu nối hoà mạng Bảng 3-1 Loại cước Lắp đặt với đường dây điện thoại mới Lắp đặt với đường dây điện thoại có sẵn Cước thuê cổng ADSL (2M/640K) 600.000 VNĐ/cổng 300.000 VNĐ/cổng Cước thuê cổng SHDSL (2M/640K) 1.000.000 VNĐ/cổng 700.000 VNĐ/cổng Cước thuê kênh tốc độ dưới 512kbps 150.000 VNĐ/lần/kênh đường lên Cước thuê kênh tốc độ từ 512Kbps đến 2Mbps 500.000 VNĐ/lần/kênh đường lên +Cước chuyển đổi Bảng 3-2 Cước chuyển đổi tốc độ cổng Cước chuyển đổi tốc độ kênh Từ cổng ADSL sang cổng SHDSL Từ cổng SHDSL sang cổng ADSL Từ dưới 512kbps lên bằng hoặc trên 512 kbps Các trường hợp khác 400.000 VNĐ/lần/cổng Không thu cước 400.000 VNĐ/lần/kênh 100.000 VNĐ/lần/kênh Ø Cước phí trả hàng tháng Cước thuê cổng + Cổng ADSL (2M/640K): 181.818 VNĐ/cổng/tháng + Cổng SHDSL (2M/640k): 272.727 VNĐ/cổng/tháng Cước thuê kênh đường lên (Up-link) nội tỉnh Đơn vị tính: 1000 đồng/tháng DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 60 Bảng 3-3 Tốc độ (kbps) Cước (Up-link) Tốc độ (kbps) Cước (Up-link) Tốc độ (kbps) Cước (Up-link) 64 128 768 799 1.472 1.411 128 224 832 851 1.536 1.445 192 306 896 902 1.544 1.445 256 402 960 954 1.600 1.478 320 462 1.024 1.005 1.664 1.510 384 523 1.088 1.123 1.728 1.542 448 596 1.152 1.240 1.792 1.575 512 670 1.216 1.274 1.856 1.607 576 714 1.280 1.309 1.920 1.639 640 756 1.344 1.343 1.984 1.672 704 757 1.408 1.377 2.048 1.704 Ø Cước thuê ngắn ngày Cước đấu nối hoà mạng: thu như bình thường Cước thuê cổng và thuê kênh: (Tổng cước thuê bao ngày không lớn hơn cước thuê tháng) Bảng 3-4 Thời gian sử dụng Cước thuê theo ngày 2 ngày đầu Bằng 1/10 cước thuê cổng, thuê kênh tháng Ngày thứ 3 đến ngày thứ 10 Bằng 1/20 cước thuê cổng, thuê kênh tháng Ngày thứ 11 trở đi Bằng 1/25 cước thuê cổng, thuê kênh tháng Ø CƯỚC TẠM NGƯNG SỬ DỤNG Áp dụng trong thời gian tạm ngưng sử dụng dịch vụ (tối thiểu là 1 tháng, tối đa là 3 tháng) Cước tạm ngưng = 30% cước thuê hàng tháng thông thường. Tạm ngưng dưới 30 ngày vẫn tính cước tròn tháng như thông thường. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 61 Bảng 3-5 : Bảng so sánh chi phi VPN và Leased Line Tốc độ cổng Giá cước VPN Giá cước Leased line Quốc tế (USD) Trong nước (VNĐ) 256Kbps 1.801 4.043.000 9.200.000 384Kbps 2.186 5.031.000 9.876.720 512Kbps 2.691 6.238.000 11.200.000 768Kbps 3.336 6.842.000 15.808.000 896Kbps 3.589 7.080.000 14.700.000 1024Kbps 4.142 7.554.000 16.000.000 1536Kbps 9.071.000 20.400.000 2048Kbps 6.164 9.964.000 24.000.000 4 Mbps 9.734 18.060.000 44.800.000 6 Mbps 14.105 23.174.000 8 Mbps 18.158 27.604.000 83.200.000 10 Mbps 22.370 32.480.000 34 Mbps 48.563 70.660.000 299.200.000 45 Mbps 71.226 129.542.000 324.000.000 155 Mbps 159.348 370.962.000 3.7.5 Đánh giá chung Sau khi khảo sát một vài giá cước của một số nhà cung cấp dịch vụ, ta nhận thấy, cước phí để thiết lập mạng riêng ảo thì rẻ hơn rất nhiều lần so với các dịch vụ Frame Relay, ATM, leased line. Tuy nhiên, giữa giá cả và chất luợng dịch vụ có mối quan hệ tỉ lệ nghịch với nhau. Chi phí thiết lập mạng VPN tuy rẻ nhưng chất lượng vẫn không cao bằng các đường leased line nhưng vẫn có thể chấp nhận được. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 62 KẾT LUẬN Mạng VPN đã đưa ra một giải pháp kết nối các mạng riêng lại với nhau thông qua việc một mạng công cộng bằng cách sử dụng các đường hầm để đảm bảo sự riêng tư và toàn vẹn dữ liệu. Thay vì dùng kết nối phức tạp, đắt tiền như các kênh thuê riêng(leased line), VPN đã tạo ra các liên kết ảo thông qua mạng công cộng để kết nối các mạng riêng lại với nhau mà vẫn đảm bảo các yêu cầu về bảo mật, khả năng truyền tải thông tin và độ tin cậy của mạng với chi phí thấp. Chi phí để thiết lập một mạng VPN là rất rẻ, nhưng chất lượng VPN phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN. Qua đề tài này, chúng em đã hiểu sâu hơn về công nghệ mạng riêng ảo và nhận ra các ưu, nhược điểm cũng như đánh giá đuợc hiệu quả sử dụng của từng loại VPN. Khả năng ứng dụng vào thực tế của đề tài này là nó làm nền tản cho việc lựa chọn cấu trúc trong việc thiết kế một mạng VPN trong thực tế. Khi thiết kế một mạng VPN thì người thiết kế phải căn cứ vào chi phí đầu tư của doanh nghiệp, mức độ bảo mật dữ liệu, quy mô của mạng và các nhu cầu thực tế của cơ quan mà lựa chọn phương án, cấu trúc cũng như loại VPN nào để xây dựng một mạng VPN tối ưu nhất. DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 63 THUẬT NGỮ VIẾT TẮT AAA Authentication, Authorization and Accounting Chứng thực, trao quyền và thanh toán AH Authentication Header Xác thực tiêu đề ATM Asynchronous Transfer Mode Chế độ Truyền tải Bất đồng bộ BGP Border Gateway Protocol Giao thức cổng biên CBC Cipher Block Chain Khối mật mã CHAP Challenge Handshake Authentication Protocol Giao thức nhận thực bắt tay thách thức DES Data Encryption Standard Chuẩn mã dữ liệu DSL Digital Subscriber Line Đường dây thuê bao số EAP Extensible Authentication Protocol Giao thức chứng thực mở rộng ESP Encapsulating Security Payload Bọc gói bảo mật tải FR Frame Relay Chuyển tiếp khung FTP File Transfer Protocol Giao thức truyền tập tin GRE Generic Routing Encapsulation Sự đóng gói định tuyến tổng quát IETF Internet Engineering Task Force Lực lượng đặc trách kỹ thuật Internet IKE Internet Key Exchange Trao đổi khóa Internet IPsec IP Security An ninh IP (IETF) ISDN Integrated Service Digital Network Mạng số liên kết đa dịch vụ ISP Internet Service Provider Nhà cung cấp dịch vụ Internet L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2 L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2 LAC L2TP Access Concentrator Bộ tập trung truy nhập L2TP LCP L2TP Control Protocol Giao thức điều khiển L2TP LNS L2TP Network Server Máy phục vụ mạng L2TP MAC Media Access Control Điều khiển truy nhập phương tiện MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức MPOA MultiProtocol Over ATM Đa giao thức qua ATM NAS Network Access Server Máy chủ truy nhập mạng OSI Open System Interconnection Kết nối các hệ thống mở PAP Password Authentication Protocol Giao thức xác thực mật khẩu PPP Point-to-Point Protocol Giao thức liên kết điểm-điểm PPTP Point-to-Point Tunneling Protocol Giao thức tạo đường hầm điểm nối điểm QoS Quality of Service Chất lượng dịch vụ DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 64 RADIUS Remote Authentication Dial in User Sevice Dịch vụ qua số kết nối chứng thực từ xa RAS Remote Access Server Máy chủ truy cập từ xa SA Structured Analysis phân tích theo cấu trúc SMLI Stateful Multi - Layer Inspection Kiểm tra đa lớp trạng thái TACACS Terminal Access Controller Access Control System Hệ thống điều khiển truy nhập bộ điều khiển truy nhập đầu cuối TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn UDP User Datagtam Protocol Giao thức gói tin người dùng VPDNs Virtual Private Dial Network Mạng quay số riêng ảo WAN Wide Area Network Mạng diện rộng DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo GVHD: Th.s Võ Trường Sơn Trang 65 TÀI LIỆU THAM KHẢO [1] Meeta Gupta, “Building a Virtual Private Network”, Premier Press © 2003 [2] Michael H. Behringer, Monique J. Morrow, “MPLS VPN Security”,Cisco Press, 2005 [2] Ths.Trần Công Hùng, “Kỹ thuật mạng riêng ảo”, Nhà xuất bản bưu điện,2002 [3] [4] [5] [6] [7] DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM