MỤC LỤC i
LỜI MỞ ĐẦU . 1
Chương 1 Khái quát về VPN 2
1.1 Sự phát triển của các loại VPN .2
1.2 Khái niệm mạng riêng ảo. .3
1.3 Các thành phần cơ bản của VPN .4
1.3.1 Máy chủ VPN. .4
1.3.2 Máy khách VPN .5
1.3.3 Bộ định tuyến VPN. .5
1.3.4 Bộ tập trung VPN .7
1.3.5 Cổng nối VPN 7
1.3.6 Tường lửa 7
1.4 Các giao thức xây dựng IP-VPN .10
1.4.1 IP Security .10
1.4.2 Giao thức đường hầm điểm-điểm PPTP .13
1.4.3 Giao thức đường hầm lớp 2 L2TP 16
Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo 23
2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN .23
2.2 Ưu điểm và khuyết điểm của VPN 24
2.2.1 Ưu điểm: 24
2.2.2 Khuyết điểm: .25
Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN 26
3.1 Đánh giá các loại VPN phân theo chức năng kết nối .26
3.1.1 VPN truy cập từ xa: 26
3.1.2 Intranet VPN: .28
3.1.3 Extraner VPN: 30
3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi .32
3.2.1 VPN phụ thuộc .32
3.2.2 VPN độc lập .33
3.2.3 VPN hỗn hợp .33
3.3 Đánh giá các loại VPN dựa trên độ an toàn .35
3.3.1 VPN router tới router .35
3.3.2 VPN tường lửa tới tường lửa 37
3.3.3 VPN được khởi tạo bởi khách hàng : 39
3.3.4 VPN trực tiếp .40
3.4 Đánh giá VPN dựa theo lớp 41
3.4.1 VPN lớp liên kết 41
3.4.2 VPN lớp mạng .43
3.5 Đánh giá các loại VPN dựa trên qui mô mạng 44
3.5.1 VPN có quy mô nhỏ .44 3.5.2 VPN có quy mô nhỏ tới trung bình .44
3.5.3 VPN có quy mô trung bình .45
3.5.4 VPN có quy mô trung bình đến lớn. .46
3.5.5 VPN có quy mô rất lớn .46
Kết luận
70 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2467 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
thời kết nối hai vùng lại với nhau. Mỗi phiên được mã hóa khác nhau. Bất lợi
chính của cấu trúc VPN này là nó tạo ra chi phí khá lớn.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 37
Hình 3-13 : Các phiên VPN mã hóa theo yêu cầu
3.3.2 VPN tường lửa tới tường lửa
Không giống cấu trúc VPN router tới router, VPN tường lửa tới tường lửa được
thiết lập giữa 2 tường lửa. VPN tường lửa tới tường lửa có thể được thực hiện theo 2
cách sau :
Đường hầm đơn giao thức theo yêu cầu. Như Hình 3-14, cách thực hiện tường
lửa tới tường lửa rất giống với cách thực hiện đường hầm theo yêu cầu router tới router
ngoại trừ rằng việc các bức tường lửa được sử dụng ở hai đầu. Với cách làm này thì dữ
liệu sẽ có một độ an toàn cao hơn. Khi cần, các nhà quản trị mạng có thể thêm vào các
điều kiện bảo mật chặt chẽ hơn. Với sự hỗ trợ của tường lửa, lưu lượng có thể được
kiểm soát chặt chẽ hơn.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 38
Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa
Đường hầm đa giao thức theo yêu cầu. Cách thực hiện tường lửa tới tường lửa
chỉ ra các vấn đề liên quan tới sự khác nhau giữa các bức tường lửa được sử dụng ở hai
đầu giao tiếp; các bức tường lửa khác nhau không thể truyền thông thành công trong
môi trường VPN. Các bức tường lửa ở cả 2 đầu phải hỗ trợ các giao thức giống nhau
để lọc luồng lưu thông thuộc về các giao thức khác nhau. Giao thức IPSec được sử
dụng cho mục đích này vì nó hỗ trợ các đường hầm đa giao thức cũng như các bức
tường lửa. Tuy nhiên, yêu cầu trong trường hợp này là đầu còn lại cũng phải dựa trên
IPSec. Hình 3-15 mô tả các đường hầm tương lửa tới tường lửa đa giao thức dựa trên
yêu cầu.
Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 39
3.3.3 VPN được khởi tạo bởi khách hàng :
Đối với loại VPN được khởi tạo bởi khách hàng thì kỹ thuật mã hóa và quản lý
đường hầm được thiết lập từ phía khách hàng VPN. Như vậy, các khách hàng VPN
đóng vai trò quan trọng trong việc khởi tạo các đường hầm. Loại VPN này có thể được
phân nhỏ ra thành hai loại sau:
VPN được khởi tạo từ khách hàng tới tường lửa hoặc router. Theo cách thực
hiện này, phiên VPN được dàn xếp giữa khách hàng và tường lửa như trên Hình 3-16.
Tường lửa trong trường hợp này phải hỗ trợ việc xử lý các yêu cầu khởi tạo bởi khách
hàng cho một phiên VPN. Cách làm này tạo ra một quá trình xử lý khổng lồ lên khách
hàng vì sự quản lý, phân phối khóa và độ an toàn đưa đến việc xử lý có độ phức tạp
cao. Thêm vào đó, khách hàng phải đối mặt với các vấn đề khác để có thích ứng với
các hệ điều hành và các nền cấu trúc khác nhau của hệ thống.
Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router
VPN được khởi tạo từ khách hàng tới máy chủ. Với cách thực hiện tường lửa
tới tường lửa, một phiên VPN từ đầu này đến đầu kia được thiết lập giữa người đặt ra
yêu cầu và bộ xử lý yêu cầu như trên Hình 3-17. Phương thức này tạo ra một nhiệm vụ
xử lý khổng lồ ở phía khách hàng. Tuy nhiên nó có độ an toàn hơn nhiều so với VPN
khởi tạo từ khách hàng tới tường lửa vì nhà cung cấp dịch vụ trung gian hoàn toàn
không hề biết về sự tồn tại của đường hầm. Điều này giảm nguy cơ của sự tấn công
đường hầm.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 40
Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ
3.3.4 VPN trực tiếp
Không giống các loại cấu trúc VPN khác, VPN trực tiếp không tạo ra các
đường hầm truyền hai hướng. Thay vào đó một đường hầm một hướng truyền duy nhất
được thiết lập giữa hai đầu cuối truyền thông như Hình 3-18. Dữ liệu được mã hóa
trong VPN trực tiếp tại lớp thứ 5 của mô hình OSI - tức lớp phiên. Giao thức thường
được dùng cho mục đích này là SOCKS v5.
Hình 3-18 : Kiến trúc VPN trực tiếp
Khi so sánh với đường hầm hai chiều, cấu trúc VPN trực tiếp cung cấp độ an
toàn cao hơn theo các cách sau:
Trong mối quan hệ tin cậy hai chiều, khi một hacker thành công trong việc truy
cập vào một mạng, tất cả các mạng nối kết đều bị ảnh hưởng, bởi vì hacker có thể truy
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 41
cập vào các mạng nối kết này với các lỗ hỏng bảo mật trong đường hầm hai chiều. Nếu
hacker đã lấy đuợc thông tin của một chiều thì nó có thể mạo danh để lấy thông tin của
chiều còn lại. Nhưng điều này không thể thực hiện trong trường hợp VPN trực tiếp. Do
dòng lưu thông chỉ có một hướng trong VPN trực tiếp nên khi một hacker đã có thể
truy cập vào một bên của truyền thông, xác suất của sự đe dọa sự an toàn chỉ còn một
nửa do việc sử dụng các đường hầm một chiều.
Điều khiển truy nhập trong cách tiếp cận bằng đường hầm hai chiều được dựa
trên địa chì nguồn và địa chỉ đích. Trái lại, sự điều khiển truy cập trong VPN trực tiếp
có thể dựa vào không những địa chỉ nguồn và địa chỉ đích mà còn dựa vào các thông
số cơ bản khác như ID người sử dụng, thời gian và ứng dụng. VPN trực tiếp có thể dựa
trên nội dung của các gói dữ liệu để điều khiển truy nhập.
Sự chứng thực người sử dụng thì chặt chẽ hơn trong trường hợp VPN trực tiếp
bởi vì có sự thêm vào của các máy chủ RADIUS, các router, các gateway và các tường
lửa để chứng thực người dùng ở xa, máy chủ VPN cũng như khách hàng VPN cũng có
khả năng chứng thực cho đầu kia. Điều này thì không có trong trường hợp các cấu trúc
VPN khác. Trong các trường hợp khác, các yêu cầu VPN được cho qua đường hầm
qua một chuỗi các thiết bị trung gian như NAS, chuỗi các router, bức tường lửa, v.v..
cái thiết bị này sẽ chứng thực cho đầu cuối VPN dựa trên địa chỉ IP nguồn và đích.
Với phương pháp đường hầm hai chiều được sử dụng thì các hacker rất dễ dàng nhái
một địa chỉ IP và chúng sẽ dùng địa chỉ này để thâm nhập vào hệ thống.
Mã hóa trong VPN trực tiếp được dựa trên lớp phiên, lớp này được hỗ trợ các
kỹ thuật mã hóa đa dạng khác nhau. Do đó, mã hoá trong VPN trực tiếp thì phức tạp
hơn so với các cấu trúc VPN khác.
3.4 Đánh giá VPN dựa theo lớp
Dựa trên mô hình OSI các loại VPN có thể được xếp vào một trong hai loại lớn
sau: VPN lớp liên kết, VPN lớp mạng.
3.4.1 VPN lớp liên kết
VPN lớp liên kết sử dụng kết nối ở lớp liên kết. Các giao dịch ở VPN lớp liên
kết bị giới hạn ở mạng cục bộ vì chúng sử dụng địa chỉ MAC; vì vậy VPN lớp liên kết
có chức năng tương tự như một mạng cá nhân.
Dựa trên kỹ thuật lớp liên kết, VPN lớp liên kết có 4 loại sau :
Các kết nối Frame Relay ảo: các kết nối ảo dựa trên Frame Delay sử dụng cơ sở
hạ tầng chuyển mạch của các mạng cá nhân, mà chúng kết nối. Sự khác biệt chính giữa
các kết nối ảo và các kết nối chuyên dụng là trong các kết nối ảo, hai đầu cuối sử dụng
định thời thích nghi dữ liệu trong suốt quá trình giao dịch. Như vậy thì, tốc độ giao
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 42
dịch được chỉnh phù hợp với ứng dụng và yêu cầu tín hiệu. Thuận lợi chính của VPN
loại này là nó không đắt và đảm bảo được CIR(Committed Information Rate).
Các kết nối ảo VPN. Các kết nối ảo VPN thì tương tự như các kết nối ảo dựa
trên Frame Delay. Tuy nhiên các kết nối này sử dụng cơ sở hạ tầng ATM của mạng cá
nhân. Các kết nối ảo này cũng thiếu một sự đồng bộ clock dữ liệu. Các kết nối ảo
ATM thì tương đối nhanh hơn và cho hiệu suất tốt hơn. Vì thế, Các kết nối ATM ảo,
thì mắc hơn các kết nối ảo Frame Delay.
Đa giao thức trên ATM (MPOA). Các kết nối VPN dựa trên MPOA hoàn toàn
dựa trên cơ sở hạ tầng của ATM. Tuy nhiên chúng có thể hỗ trợ đa giao thức bởi vì
chúng phụ thuộc vào các router đặt tại cạnh của mạng cá nhân để xác định đường
truyền thuận trong mạng ATM. Cách tiếp cận này thì không được phổ biến vì dựa trên
cơ sở hạ tầng ATM, cái mà không thể chấp nhận một mạng nội bộ hỗn hợp sử dụng
nhiều kỹ thuật mạng khác nhau .
Chuyển mạch đa giao thức (MPLS). MPLS cung cấp một phương pháp hiệu
quả để triển khai VPNs dựa trên IP qua ATM dựa trên backbone WAN. Trong MPLS,
router MPLS VPN tạo nên các bảng định tuyến chuyên biệt VPN sử dụng các giao
thức định tuyến VPN bao gồm BGP, v.v... Mỗi router được cấp phát một nhãn. Thông
tin định tuyến nhãn được chuyển tới router gắn vào. Trong suốt quá trình truyền, thiết
bị MPLS đều tiên nhận các gói IP này bao đóng các gói IP sử dụng nhãn MPLS. Rồi
thì sau đó, nhãn MPLS, chứ không phải là header IP, được sử dụng để định tuyến các
gói qua cơ sở hạ tầng ATM. Trên khía cạnh cạnh của mạng nội bộ, khi các gói sắp truy
cập vào cơ sở hạ tầng dựa trên IP (như internet) thì nhãn MPLS được bỏ đi. Hình 3-19
mô tả các hoạt động của MPLS.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 43
Nhãn MPLS Gói IP Gói IPGói IP
Gói MPLS Gói IPGói IP
Router MPLS
Router IP
Bảng định tuyến
Chú thích:
Cơ sở hạ tầng ATM
Hình 3-19: Kiến trúc MPLS VPN lớp liên kết
3.4.2 VPN lớp mạng
VPN lớp mạng, còn được gọi là VPN lớp 3, sử dụng chức năng của lớp mạng
và có thể được tổ chức theo 2 loại sau :
Mô hình peer VPN. Trong mô hình peer VPN đường truyền thuận của lớp
mạng được tính trên cơ sở các bước nhảy. Một cách đơn giản hơn, đường truyền được
xem xét tại mỗi router trên đường tới mạng đích. Vì thế tất cả các routers trong đường
truyền dữ liệu được xem như ngang hàng, như trong Hình 3-20. VPN trong mạng định
tuyến truyền thống là một ví dụ của mô hình VPN peer, vì mỗi router trong đường
truyền thì ngang hàng với tất cả routers được gắn trực tiếp tới nó.
Hình 3-20 : Kiến trúc VPN ngang hàng
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 44
Mô hình VPN che phủ. Không giống mô hình VPN ngang hàng, các mô hình
VPN che phủ không tính đường truyền mạng tới mạng đích dựa trên bước nhảy. Thay
vào đó cơ sở hạ tầng mạng trung gian được sử dụng như là “cut-through” tới router tới
trên đường truyền dữ liệu. VPN dựa trên ATM, VPN Frame Delay và kỹ thuật VPN sử
dụng đường hầm là các ví dụ của mô hình VPN che phủ.
Mạng VPN lớp 3 rất phổ biến và được xem như là mạng quay số riêng ảo
(VPDNs). VPNs lớp 3 thường sử dụng 2 kỹ thuật lớp 2 – PPTP và L2TP cho đường
hầm. VPDNs cũng sử dụng IPSecs, cái mà đã được thiết lập như là tiêu chẩn VPN
trong thực tế vì nó cung cấp khả năng mã hóa và xác nhận toàn diện.
3.5 Đánh giá các loại VPN dựa trên qui mô mạng
Dựa vào phạm vi, kích cỡ, mức độ phức tạp của thiết lập VPN, có thể chia
thành 5 mức: VPN của tổ chức có quy mô nhỏ, quy mô nhỏ tới trung bình, quy mô
trung bình, quy mô trung bình tới lớn, quy mô rất lớn.
3.5.1 VPN có quy mô nhỏ
Đối với VPN này, số thành viên của mạng khoảng dưới 50 người và nằm gần
nhau trong cùng một khu vực. Do phải phục vụ lượng truy cập nhỏ, địa bàn hẹp nên
VPN loại này là dễ thiết lập nhất với chi phí không lớn.
Chỉ cần một vài linh kiện sau là có thể thiết lập được một mạng VPN này:
- Một VPN server với ít nhất là Windows 2000.
- Một VPN client với tệ nhất là Windows 95/98.
- Một giao thức đường hầm như là PPTP.
- Các khả năng lọc gói được cung cấp bởi router, gateway hoặc firewall.
- Một tùy chọn truy cập, như DSL hoặc T1.
VPN loại này chỉ hỗ trợ người dùng trong phạm vi nhỏ, không hỗ trợ cho người
dùng ở khoảng cách xa. Với cơ chế bảo mật đơn giản nên nó dễ bị tấn công.
3.5.2 VPN có quy mô nhỏ tới trung bình
Là VPN với quy mô mạng nội bộ từ 2 đến 20 mạng chi nhánh ở xa và khoảng
250 người dùng ở xa có thể truy cập vào mạng của tổ chức, mạng có thể hỗ trợ 250
người truy cập cùng một lúc vào mạng. Với quy mô này, để đảm bảo an toàn, VPN cần
thực hiện chứng thực người dùng và tạo đường hầm bảo mật IPSec khi truyền dữ liệu.
Yêu cầu tối thiểu đối với VPN loại này là :
- Mã hóa dữ liệu sử dụng DES.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 45
- Quản lý khóa dùng IKE.
- Cơ chế xác nhận người sử dụng.
- Ít nhất một gateway VPN.
- Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa.
- Một tùy chọn truy cập nhanh, như là T1 hoặc T3.
Ưu điểm : VPN này rất dễ dàng thiết lập và có giá vừa phải. Chúng cũng cung
cấp một sự an toàn nhất định cho dữ liệu trong quá trình truyền. Thêm vào đó nó cũng
hỗ trợ người dùng truy cập từ xa ở bất kỳ nơi nào.
Tuy nhiên loại này chỉ sử dụng IPSec, mà mạng nội bộ mở rộng không hỗ trợ
IPSec.
3.5.3 VPN có quy mô trung bình
VPN quy mô trung bình có từ 10 đến 100 mạng chi nhánh ở xa, có thể hỗ trợ
500 người dùng ở xa.VPN quy mô này cung cấp mức độ bảo mật cao hơn và là giải
pháp hiệu quả về chi phí, nó hỗ trợ kết nối từ xa của người dùng và kết nối điểm -
điểm.
Các yêu cầu chính của VPNs mức này gồm :
- Mã hóa dữ liệu dùng IPSec và 3DES.
- Quản lý khóa dựa vào IKE.
- Một cơ chế xác nhận người dùng địa phương như các tokens mềm.
- Ít nhất là từ 2 tới 5 gateways VPN, hoặc một gateway có thể hỗ trợ được tới
500 kết nối đồng thời.
- Các cơ chế an toàn thêm vào như AAA, RADIUS, TACACS, NAT và hoặc
tường lửa.
- Sự truy cập quay số từ xa và phần mềm khách hàng truy cập từ xa.
- Các tuỳ chọn truy cập tốc độ cao như T1 hoặc T3.
VPN loại này hỗ trợ nhiều kết nối hơn và cung cấp độ an toàn cao hơn nhưng
phải sử dụng IPSec mà mạng nội bộ lại không hỗ trợ IPSec. Thêm vào đó, cơ sở hạ
tầng không hỗ trợ các ứng dụng thời gian thực.
Mặt khác, khi sử dụng cơ chế bảo mật như AAA, RADIUS, NAT... làm tăng
tính an toàn cho mạng nội bộ nhưng tăng sự phứa tạp khi quản trị hệ thống.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 46
3.5.4 VPN có quy mô trung bình đến lớn.
VPN có quy mô đến vài trăm mạng chi nhánh trãi dài trên phạm vi rộng, có khả
năng hỗ trợ vài ngàn người truy nhập từ xa. Nó có khả năng hỗ trợ kết nối điểm - điểm
và kết nối từ mạng nội bộ tới người dùng ở xa. Nó có khả năng truyền dữ liệu thời gian
thực, tốc độ cao nên VPN loại này có thể truyền hội nghị dùng video. Và do đó chi phí
thiết lập và duy trì hoạt động của mạng sẽ cao hơn VPN quy mô trung bình.
Các yêu cầu tối thiểu của VPN này bao gồm:
- Một kết nối ISP với một SLA định nghĩa rõ ràng.
- Dịch vụ thư mục tập trung như X500 hay LDAP.
- Mã hóa dữ liệu dựa vào IPSec và 3DES.
- Quản lý khóa dựa vào IKE.
- Một cơ chế xác nhận người sử dụng địa phương như các tokens mềm và các
cards thông minh.
- Các cơ chế bảo mật thêm vào như là: AAA, RADIUS, TACACS, NAT và các
bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn.
- Các dịch vụ trong nhà.
- Một chính sách truy cập từ xa được định nghĩa rõ ràng.
- Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa.
- Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và T3.
VPN quy mô này rất phức tạp trong việc quản lý, kiểm tra, cấu hình và thực thi
bởi vì nguồn tài nguyên của tổ chức được phân bố rộng. Và chi phí thiết lập, duy trì sự
hoạt động của mạng rất cao.
3.5.5 VPN có quy mô rất lớn.
Quy mô của mạng có thể lên tới hàng ngàn chi nhánh ở xa, trãi rộng trên nhiều
nước, có thể hỗ trợ vài chục ngàn người sử dụng ở xa. Cơ chế bảo mật dùng trong
mạng này là cao nhất và phức tạp nhất so với VPN có quy mô nhỏ hơn. Nó có khả
năng đáp ứng nhiều loại dịch vụ phức tạp, tốc độ cao, yêu cầu thời gian thực, có thể hỗ
trợ giao dịch thương mại điện tử, giao dịch audio, video.... Khi xây dựng mạng cần dự
phòng việc mở rộng mạng trong tương lai. Do đó, chi phí cho mạng này cũng rất cao.
Các yêu cầu tối thiểu của mạng bao gồm :
- Kết nối ISP với một SLA được định nghĩa rõ ràng.
- Dịch vụ thư mục tập trung, như LDAP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 47
- Mã hóa dữ liệu dựa trên IPSec và 3DES.
- Quản lý khóa dựa trên IKE.
- Một cơ chế xác nhận người dùng gốc như các tokens mềm, và các cards thông
minh.
- Ít nhất từ 10 đến 20 VPN gateways, hoặc một gateway có thể hỗ trợ 5000 giao
dịch đồng thời.
- Khả năng quản lý dư thừa cao và băng thông rộng.
- Một chính sách truy cập từ xa được định nghĩa rõ ràng.
- Các cơ chế bảo mật thêm vào như: AAA, RADIUS, TACACS, NAT và các
bức tường lửa tại trụ sở chính và tất cả các chi nhánh lớn.
- Các dịch vụ trong nhà.
- Phần mềm truy cập quay số từ xa và khách hàng truy cập từ xa.
- Các tùy chọn truy cập nhanh như ISDN và xDSL cùng với T1 và OC3.
3.6 Đánh giá hiệu quả của VPN - MPLS
3.6.1 Tổng quan về VPN - MPLS
MPLS là thuật ngữ viết tắt của Multi-Protocol Label Switching (chuyển mạch
nhãn đa giao thức). Nguyên tắc cơ bản của MPLS là thay đổi các thiết bị lớp 2 trong
mạng như các thiết bị chuyển mạch thành các bộ định tuyến chuyển mạch nhãn LSR.
LSR có thể được xem như một sự kết hợp giữa hệ thống chuyển mạch ATM với các
bộ định tuyến truyền thống. Công nghệ MPLS là một dạng phiên bản của công nghệ
IPoA (IP over ATM) truyền thống, nên MPLS có cả ưu điểm của ATM (tốc độ cao,
QoS và điều khiển luồng) và của IP (độ mềm dẻo và khả năng mở rộng). Giải quyết
được nhiều vấn đề của mạng hiện tại và hỗ trợ được nhiều chức năng mới, MPLS được
cho là công nghệ mạng trục IP lý tưởng.
Để một công ty đạt được các mục tiêu kinh doanh, hạ tầng mạng riêng phải
được tỏa rộng theo mọi hướng. Xét về khả năng hỗ trợ VPN, các hạ tầng mạng riêng
ảo truyền thống dựa trên các công nghệ cũ như leased line, X25, ATM không thể đáp
ứng yêu cầu của các khách hàng. Sự xuất hiện của MPLS sẽ giúp xây dựng được một
mạng mềm dẻo và đa dịch vụ, có khả năng tích hợp các dịch vụ của Intranet, Extranet,
Internet và hỗ trợ mô hình VPN đa dịch vụ. Với mạng sử dụng MPLS, rất nhiều dịch
vụ chất lượng cao được cung cấp như:
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 48
- Tải tin cho các mạng số liệu, Internet và thoại. Lưu lượng thoại được chuyển
dần sang mạng trục MPLS quốc gia. Mạng này sẽ thay thế dần mạng trục truyền thống
đang hoạt động.
- Cung cấp dịch vụ truy nhập Internet tốc độ cao tại một số địa phương trọng
điểm trên toàn quốc. Bước đầu hình thành mạng trục quốc gia trên cơ sở công nghệ
gói.
- Cung cấp dịch vụ truyền số liệu tốc độ cao cho các doanh nghiệp/ tổ chức
(DN/TC) như ngân hàng, các hãng thông tấn báo chí.
- Cung cấp dịch vụ VPN cho các công ty xuyên quốc gia và các DN/TC lớn.
Đây đang được coi như dịch vụ quan trọng nhất tác động đến việc thay đổi cơ cấu kinh
doanh và tăng khả năng cạnh tranh của các nhà khai thác.
- Cung cấp dịch vụ Video.
Hình 3-21 : Mô hình mạng MPLS VPN đơn giản
3.6.2 Nhược điểm của VPN truyền thống.
Giao thức phổ biến trong hầu hết các mạng VPN truyền thống hiện nay là giao
thức IPSec, chúng sử dụng các giao thức tạo đường hầm, mã hóa dữ liệu, nhận thực để
đạt khả năng bảo mật dữ liệu khi truyền giữa 2 điểm đầu cuối.
Sau đây là ví dụ về truyền dữ liệu trong mạng VPN sử dụng đường hầm IPSec
thông qua một nhà cung cấp dịch vụ hay mạng internet công cộng sử dụng mã hóa
3DES.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 49
Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN
Dễ nhận thấy nhất ở mạng IPsec là mạng có hiệu năng thấp. Việc Các CPE thiết
bị đầu cuối thuê bao (Customer Premise Equipment) ở hai thiết bị đầu cuối tiến hành
kiểm tra gói tin, sau đó mã hóa và đóng gói và các gói IP gây tốn thời gian và gây trễ
cho gói tin. Nếu gói tin được truyền đi trong mạng có kích thước lớn hơn kích thước
tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kế nào giữa
CPE thì các gói tin đó phải được phân thành các gói nhỏ hơn, điều này chỉ xảy ra
trường hợp bit DF (don’t fragment) không được thiết lập. Còn trong trường hợp bit DF
được thiết lập thì gói tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các
CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng
Ipsec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện Ipsec
bằng phần cứng có tốc tốc độ xử lý gói tin cao hơn nhưng chi phí cho các thiết bị này
rất đắt. điều này dẫn đến chi phí triển khai một Ipsec VPN là rất tốn kém.
Từ ví dụ này, ta thấy IPsec VPN là mạng lớp trên của mạng IP và sự trao đổi
thông tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site.
Điều này sẽ được làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo
ra cấu hình mạng không tối ưu.
Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa
khác. Trong cấu hình này CPE của site trung tâm thường là một thiết bị rất đắt tiền và
phụ thuộc vào số lượng các site ở xa cần kết nối, mỗi site này sẽ thiết lập một đường
hầm Ipsec đến site trung tâm. Cấu hình mạng này không phù hợp cho truyền thông
giữa các site ở xa với nhau vì gói tin từ site này tới site khác phải đi qua site trung tâm
và tại site trung tâm sẽ lặp lại các tác vụ như đóng gói tin, xác định đường truyền, mã
hóa và giải mã đối với các gói tin đi qua nó. Do đó mỗi gói tin phải đi qua hai đường
hầm Ipsec dẫn đến trễ xử lý cho mỗi gói tin sẽ tăng gấp đôi so với trường hợp hai site
ở xa có thể trao đổi thông tin trực tiếp.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 50
Hình 3-23 : Mạng hình sao
Giải pháp tối ưu nhất khắc phục hiện tượng trên là thiết lập mạng mắt lưới. tuy
nhiên cấu hình này có nhiều hạn chế và điểm hạn chế lớn nhất là khả năng mở rộng
mạng. số lượng tunnel cần thiết để hỗ trợ một mạng mắt lưới Ipsec sẽ tăng cùng với số
lượng site. Ví dụ một mạng có 20 site thì cần 210 đường hầm IPsec. Cấu hình mạng
như vậy sẽ phải cần CPE phức tạp và đắt tiền. thậm trí có thể không thực hiện được
cấu hình mạng mắt lưới.
Hình 3-24 : mạng mắt lưới
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đó là các
thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động
tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại
CPE trong mỗi vùng, tuy nhiên, điều này không phải bao giờ cũng thực hiện được do
nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích không phải là một vấn đề lớn
nhưng nó vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
Mỗi một CPE phải đóng vai trò như là một router và có khả năng hỗ trợ
tunneling. Những CPE với chức năng bổ sung này đòi có giá thành rất cao nên cách
duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào
tất cả các PC phía sau cầu. Giải pháp này đòi hỏi sự hỗ trợ khách hàng cao dẫn đến
những khó khăn trong quản lý mạng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 51
3.6.3 Ưu điểm của MPLS VPN.
MPLS VPN khác biệt với các VPN trước đó là không đóng gói và mã hóa gói
tin để đạt mức bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn (tags)
để tạo tính bảo mật cho mạng VPN. Kiến trúc mạng này sử dụng các tuyến mạng xác
định để phân phối các dịch vụ VPN và cơ chế xử lý thông minh của MPLS VPN hoàn
toàn trong phần lõi mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS
VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các
CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE
(Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối
với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có
khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra
bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với
nhau thông qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF)
riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách
hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP
routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định
tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp
với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các
“tuyến” có sẵn từ site tới VPN mà nó là thành viên.
Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong
các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng
VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN
cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên
trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một
MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông
tin trực tiếp cho nhau mà không cần thông qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP
thuộc VPN riêng biệt nào. Xét mô hình mạng như Hình 3-25, có 3 VPN khác nhau và
được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến
hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các
thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và
không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng
MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router
và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router)
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 52
trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng
nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 3-25 : Mô hình mạng MPLS
Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các
thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía
trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE.
Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách
hàng không phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng
không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức
năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần
giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp
hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (mạng mắt lưới) VPN là hoàn toàn đơn giản vì các
MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các
mạng MPLS VPN là mạng mắt lưới, trong đó các site được nối trực tiếp với PE vì vậy
các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site
trung tâm gặp trục trặc, các site ở xa vẫn có thể liên lạc với nhau.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 53
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN.
Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng lõi mà không cần phải
tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng
chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về
cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới.
Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do
không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một
tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một tường lửa sẽ
được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN.
Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ
cần duy trì các chính sách bảo mật cho một tường lửa duy nhất mà vẫn đảm bảo an
toàn cho toàn bộ VPN.
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho
mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10
remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm
(hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất
một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
3.6.4 Đánh giá hiệu quả của VPN MPLS
Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án
triển khai VPN theo công nghệ mới, khắc phục được nhiều vấn đề mà các công nghệ
ra đời trước nó chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong
triển khai hạ tầng thông tin DN.
Ø Sử dụng công nghệ tiên tiến
- Công nghệ chuyển mạch nhãn đa giao thức MPLS là công nghệ mới nhất
đang được ứng dụng tại đa số các quốc gia lớn như: Nhật, Mỹ, Singapore...
Ø Chi phí đầu tư hiệu quả
- Tận dụng khả năng xử lý của các thiết bị trong mạng lõi MPLS của nhà
cung cấp dịch vụ. Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng.
- Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1
đường kênh vật lý duy nhất
- Chi phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống
Ø Bảo mật an toàn
- Bảo mật tuyệt đối trên mạng lõi MPLS
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 54
- MPLS VPN giữ các thông tin định tuyến riêng biệt cho mỗi VPN, đảm bảo
người dùng chỉ có thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN
của mình.
Ø Khả năng mở rộng đơn giản
- Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng
chỉ cần đăng kí thêm điểm kết nối với nhà cung cấp dịch vụ mà không cần bất
cứ một đầu tư lại gì trên mạng hiện có
- Mọi cầu hình kết nối đều thực hiện tại mạng lõi MPLS, thành viên mạng
không cần bất kì một cầu hình nào.
Ø Đơn giản hóa quản trị mạng
- MPLS-VPN không yêu cầu các thiết bị CPE thông minh. Vì các yêu cầu
định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo
dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi.
-Với quá trình quản trị và thiết lập VPN tại mạng lõi MPLS của nhà cung
cấp dịch vụ sẽ giúp đơn giản hóa tối đa công việc quản trị mạng trong hoạt
động của doanh nghiệp.
- Nhận được nhiều hỗ trợ từ nhà cung cấp.
- Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp.
Ø Tốc độ cao, đa ứng dụng và cam kết QoS
- VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống
truyền dẫn cáp quang.
- Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS).
Ø Độc lập với khách hàng:
- MPLS VPN có cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức
linh hoạt, người dùng có thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ
kiểm tra hoặc các địa chỉ không được đăng ký) hoặc có thể sử sụng NAT
(Network Address Translation). Mặt khác, người dùng còn có thể sử dụng các
dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người
dùng không yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN
Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngoài IP.
Ø Linh hoạt và khả năng phát triển:
- Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh
chóng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một
lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 55
hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN không hạn chế
và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần
thực hiện tại router của site mới).
Ø Trễ trong mạng MPLS-VPN
- Rất thấp, sở dĩ như vậy là do MPLS-VPN không yêu cầu mã hóa dữ liệu vì
đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngoài
không có khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với FR). Ngoài
ra việc định tuyến trong MPLS chỉ làm việc ở giữa lớp 2 và lớp 3 chứ không
phải hoàn toàn ở lớp 3 vì thế giảm được một thời gian trễ đáng kể. Các thiết bị
định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy
tốc độ cao hơn phần mềm như ở các router khác.
3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số
nhà cung cấp dịch vụ tại Việt Nam
3.7.1 Leased lines
Leased Lines là thế mạnh của FPT.FPT Telecom hiện đã thiết lập các kênh
quốc tế kết nối đi Hồng Kông, Singapore, Trung Quốc, Nhật, Hàn Quốc, Úc và Mỹ đạt
tổng dung lượng 2,6 Gbps. Với dung lượng này, FPT Telecom đã triển khai nhiều dịch
vụ truyền dữ liệu tốc độ cao dành cho đối tượng doanh nghiệp. Leased lines (gồm có
leased lines Internet và leased lines “điểm nối điểm”) là một trong những dịch vụ
mạnh của FPT Telecom hiện nay. Ưu điểm của Leased lines là tốc độ ổn định và dễ
dàng kết nối tới mọi địa điểm theo yêu cầu của khách hàng. Sử dụng dịch vụ Leased
lines, khách hàng truy nhập vào Internet 24/24 thông qua đường truyền số riêng biệt,
do đó sẽ loại bỏ được việc phải thuê bao hàng chục đường dây điện thoại dành để kết
nối Internet. Ngoài ra, việc nâng cấp lên tốc độ cao hay thay đổi cấu hình hệ thống sẽ
trở nên dễ dàng hơn bởi khách hàng không cần phải đầu tư vào thiết bị mới hay lắp đặt
một hệ thống dây cáp mới. Khi sử dụng dịch vụ Leased line, khách hàng sẽ được cung
cấp không hạn chế địa chỉ e-mail dùng tên miền riêng.
Hiện nay, ở FPT gói dịch vụ Leased lines tốc độ 64Kbps là 6 triệu đồng/tháng,
còn gói 2Mbps là 53 triệu đồng/tháng. Ngoài ra, FPT còn có một dịch vụ khá hấp dẫn
với doanh nghiệp là dịch vụ truyền số liệu Leased lines “điểm nối điểm” giữa các chi
nhánh của cùng công ty tại khu vực TP.HCM và Hà Nội với gói 2Mbps có giá 6 triệu
đồng/tháng. Dịch vụ này có tốc độ từ 10-100Mbps. Chi phí sẽ căn cứ vào khoảng cách
giữa hai điểm. Dịch vụ VPN MPLS kênh Bắc-Nam cũng là dịch vụ dùng để truyền dữ
liệu giữa hai điểm, không thông qua môi trường Internet. Giá cước của dịch vụ này với
gói tốc độ từ 512Kbps là 14 triệu đồng/tháng, còn gói 2Mbps là 30 triệu đồng/tháng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 56
Leased lines của VDC có nhiều tốc độ, từ 128 Kbps cho đến 155Mbps với phí
cài đặt ban đầu là 3,5 triệu đồng (gói tốc độ 64 Kbps bao gồm kênh truyền dẫn nội hạt
và hòa mạng cổng kết nối Internet trực tiếp) cho đến 25 triệu đồng (gói tốc độ từ 2-155
Mbps), còn cước thuê bao hằng tháng : với tốc độ 64Kbps có cước thuê kênh truyền
dẫn nội hạt là 676.000 đồng ; 1,5 triệu đồng là cước thuê cổng, dùng thêm sẽ được tính
540 đồng/MB, khống chế cước tối đa là 6,4 triệu đồng. Riêng gói có tốc độ 45 Mpbs
sẽ có giá cước là 645,9 triệu đồng.
3.7.2 Frame Relay
Frame Relay là dịch vụ truyền dữ liệu theo phương thức chuyển mạch khung
với tốc độ cao, tạo ra băng thông lớn thích hợp với các ứng dụng phức tạp. Dịch vụ
này cho phép thiết lập nhiều đường kết nối ảo thông qua một kênh duy nhất. Công
nghệ này sẽ làm giảm thiểu chi phí mua sắm thiết bị cho doanh nghiệp. Khi sử dụng
Frame Relay, khách hàng sẽ kiểm soát được chất lượng dịch vụ và tốc độ đã đăng ký.
Để sử dụng dịch vụ này, khách hàng phải trả những khoản phí : hòa mạng, thuê cổng
hằng tháng và cước tốc độ (nhà cung cấp cam kết tốc độ tối thiểu). Hiện nay giá cước
hòa mạng của Frame Relay thấp nhất là hai triệu đồng (cổng tốc độ 64–128 Kbps), ba
triệu đồng (192-1.024 Kbps), bốn triệu đồng (1.024-2.048 Kbps); còn cước thuê cổng
tốc độ 64 Kbps (nội tỉnh là 69.000 đồng, liên tỉnh 486.000 đồng), 128 Kbps (nội tỉnh
112.000 đồng, liên tỉnh 787.000 đồng), gói tốc độ 2048 Kbps có mức cước nội tỉnh là
621.000 đồng, còn liên tỉnh là 4,59 triệu đồng... Cước dịch vụ Frame Relay đi quốc tế
thấp nhất là 335 đô-la Mỹ/tháng, cao nhất là 1.953 đô-la/tháng.
3.7.3 VPN
VDC còn có dịch vụ mạng riêng ảo VPN. Giá hòa mạng dịch vụ VPN là 2 triệu
đồng cho gói tốc độ cổng từ 64-896 Kbps, gói từ 1.024-2 Mbps là 3 triệu đồng, còn gói
từ 34-155 Mbps là 10 triệu đồng. Có giá khai thác thấp nhất là gói 64 Kbps – 1,59 triệu
đồng/tháng, còn gói cao nhất 155 Mbps sẽ có giá 370,9 triệu đồng (gói dịch vụ này ít
người sử dụng vì giá cước quá cao). Giá cước nói trên chưa có 5 % thuế giá trị gia
tăng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 57
Giá cước dịch vụ VPN/VNN
A- Cước cài đặt ban đầu:
Tốc độ cổng
Đơn giá
Trong nước
(VNĐ/lần/cổng)
Quốc tế
(USD/lần/cổng)
Từ 64Kbps đến 896 Kbps 2.000.000 300
Từ 1024 Kbps đến 2Mbps 3.000.000 350
Từ trên 2Mbps đến 10Mbps 5.000.000 450
Từ trên 34Mbps, 45Mbps, 155 Mbps 10.000.000 1.000
B- Cước thuê cổng hàng tháng:
Tốc độ cổng
Đơn giá
Trong nước(VNĐ) Quốc tế(USD)
64Kbps 1.597.000 894
128Kbps 2.584.000 1.256
192Kbps 3.258.000 1.505
256Kbps 4.043.000 1.801
384Kbps 5.031.000 2.186
512Kbps 6.238.000 2.691
768Kbps 6.842.000 3.336
896Kbps 7.080.000 3.589
1024Kbps 7.554.000 4.142
1536Kbps 9.071.000
2048Kbps 9.964.000 6.164
4 Mbps 18.060.000 9.734
6 Mbps 23.174.000 14.105
8 Mbps 27.604.000 18.158
10 Mbps 32.480.000 22.370
34 Mbps 70.660.000 48.563
45 Mbps 129.542.000 71.226
155 Mbps 370.962.000 159.348
Viettel cũng là nhà cung cấp có nhiều dịch vụ truyền dữ liệu dành cho đối
tượng doanh nghiệp nhất hiện nay trong các nhà khai thác dịch vụ mạng: dịch vụ
VPN/MPLS, truyền dẫn tín hiệu truyền hình liên tỉnh, dịch vụ thuê kênh riêng liên
tỉnh, thuê kênh riêng nội tỉnh để kết nối kênh thuê riêng liên tỉnh, thuê kênh riêng
trong nước, dịch vụ thuê kênh riêng quốc tế (áp dụng cho các doanh nghiệp cung cấp
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 58
dịch vụ kết nối internet (IXP) thuê để kết nối Internet quốc tế) và dịch vụ thuê kênh
riêng quốc tế. Cước gói dịch vụ truyền dẫn dữ liệu VPN tốc độ từ 64 Kbps đến 1024
Kbps là 1,5 triệu đồng/lần/cổng, tốc độ từ 4-10 Mbps: ba triệu đồng/lần/cổng; cước
thuê dịch vụ có tốc độ 64 Kbps là 1,36 triệu đồng, tốc độ 4 Mbps là 12,21 triệu đồng;
cước thuê kênh tốc độ 64 Kbps là 1,08 triệu đồng/tháng, gói có tốc độ 2Mbps là chín
triệu đồng/tháng. Gói thuê kênh liên tỉnh (tùy thuộc vào vùng) sẽ có các mức cước
khác nhau, như gói cước 64 Kbps có giá từ 1,7-6,9 triệu đồng/tháng, gói 128 Kbps có
mức cước dao động từ 2,4 đến 8,7 triệu đồng...
3.7.4 Dịch vụ MegaWAN
Là dịch vụ mạng riêng ảo của Tổng công ty BCVT Việt Nam Cho phép kết nối
các mạng máy tính của doanh nghiệp (như các văn phòng, chi nhánh, cộng tác viên từ
xa, v.v... ) thuộc các vị trí địa lý khác nhau tạo thành một mạng duy nhất và tin cậy
thông qua việc sử dụng các liên kết băng rộng xDSL MegaWAN sử dụng phương thức
chuyển mạch nhãn đa giao thức giao thức của mạng thế hệ tiếp theo.
Là dịch vụ cung cấp kết nối mạng riêng cho khách hàng trên nền mạng
IP/MPLS. Dịch vụ VPN/MPLS cho phép triển khai các kết nối nhanh chóng, đơn giản,
thuận tiện với chi phí thấp cho phép vừa truy nhập mạng riêng ảo vừa truy cập Internet
nếu khách hàng có nhu cầu.
Công nghệ: sử dụng đường dây thuê bao số xDSL kết hợp công nghệ
VPN/MPLS.
Tốc độ kết nối: cung cấp các tốc độ linh hoạt mềm dẻo tuỳ theo nhu cầu của
khách hàng.
Khả năng đáp ứng: tại các tỉnh và thành phố trên cả nước có dịch vụ ADSL,
SHDSL do VNPT cung cấp.
Giá cước: giá cước mềm dẻo theo từng loại tốc độ.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 59
BẢNG CƯỚC DỊCH VỤ MEGAWAN
(áp dụng từ ngày 19/12/2007)
Ø CƯỚC PHÍ TRẢ MỘT LẦN
+Cước đấu nối hoà mạng
Bảng 3-1
Loại cước Lắp đặt với đường dây điện thoại mới
Lắp đặt với đường dây
điện thoại có sẵn
Cước thuê cổng ADSL
(2M/640K) 600.000 VNĐ/cổng 300.000 VNĐ/cổng
Cước thuê cổng SHDSL
(2M/640K) 1.000.000 VNĐ/cổng 700.000 VNĐ/cổng
Cước thuê kênh tốc độ
dưới 512kbps 150.000 VNĐ/lần/kênh đường lên
Cước thuê kênh tốc độ từ
512Kbps đến 2Mbps 500.000 VNĐ/lần/kênh đường lên
+Cước chuyển đổi
Bảng 3-2
Cước chuyển đổi tốc độ cổng Cước chuyển đổi tốc độ kênh
Từ cổng ADSL
sang cổng SHDSL
Từ cổng SHDSL
sang cổng ADSL
Từ dưới 512kbps
lên bằng hoặc trên
512 kbps
Các trường hợp
khác
400.000
VNĐ/lần/cổng Không thu cước
400.000
VNĐ/lần/kênh
100.000
VNĐ/lần/kênh
Ø Cước phí trả hàng tháng
Cước thuê cổng
+ Cổng ADSL (2M/640K): 181.818 VNĐ/cổng/tháng
+ Cổng SHDSL (2M/640k): 272.727 VNĐ/cổng/tháng
Cước thuê kênh đường lên (Up-link) nội tỉnh Đơn vị tính: 1000 đồng/tháng
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 60
Bảng 3-3
Tốc độ
(kbps)
Cước
(Up-link)
Tốc độ
(kbps)
Cước
(Up-link)
Tốc độ
(kbps)
Cước
(Up-link)
64 128 768 799 1.472 1.411
128 224 832 851 1.536 1.445
192 306 896 902 1.544 1.445
256 402 960 954 1.600 1.478
320 462 1.024 1.005 1.664 1.510
384 523 1.088 1.123 1.728 1.542
448 596 1.152 1.240 1.792 1.575
512 670 1.216 1.274 1.856 1.607
576 714 1.280 1.309 1.920 1.639
640 756 1.344 1.343 1.984 1.672
704 757 1.408 1.377 2.048 1.704
Ø Cước thuê ngắn ngày
Cước đấu nối hoà mạng: thu như bình thường
Cước thuê cổng và thuê kênh: (Tổng cước thuê bao ngày không lớn hơn cước
thuê tháng)
Bảng 3-4
Thời gian sử dụng Cước thuê theo ngày
2 ngày đầu Bằng 1/10 cước thuê cổng, thuê kênh tháng
Ngày thứ 3 đến ngày thứ 10 Bằng 1/20 cước thuê cổng, thuê kênh tháng
Ngày thứ 11 trở đi Bằng 1/25 cước thuê cổng, thuê kênh tháng
Ø CƯỚC TẠM NGƯNG SỬ DỤNG
Áp dụng trong thời gian tạm ngưng sử dụng dịch vụ (tối thiểu là 1 tháng, tối đa
là 3 tháng)
Cước tạm ngưng = 30% cước thuê hàng tháng thông thường.
Tạm ngưng dưới 30 ngày vẫn tính cước tròn tháng như thông thường.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 61
Bảng 3-5 : Bảng so sánh chi phi VPN và Leased Line
Tốc độ cổng Giá cước VPN Giá cước Leased
line Quốc tế (USD)
Trong nước
(VNĐ)
256Kbps 1.801 4.043.000 9.200.000
384Kbps 2.186 5.031.000 9.876.720
512Kbps 2.691 6.238.000 11.200.000
768Kbps 3.336 6.842.000 15.808.000
896Kbps 3.589 7.080.000 14.700.000
1024Kbps 4.142 7.554.000 16.000.000
1536Kbps 9.071.000 20.400.000
2048Kbps 6.164 9.964.000 24.000.000
4 Mbps 9.734 18.060.000 44.800.000
6 Mbps 14.105 23.174.000
8 Mbps 18.158 27.604.000 83.200.000
10 Mbps 22.370 32.480.000
34 Mbps 48.563 70.660.000 299.200.000
45 Mbps 71.226 129.542.000 324.000.000
155 Mbps 159.348 370.962.000
3.7.5 Đánh giá chung
Sau khi khảo sát một vài giá cước của một số nhà cung cấp dịch vụ, ta nhận
thấy, cước phí để thiết lập mạng riêng ảo thì rẻ hơn rất nhiều lần so với các dịch vụ
Frame Relay, ATM, leased line. Tuy nhiên, giữa giá cả và chất luợng dịch vụ có mối
quan hệ tỉ lệ nghịch với nhau. Chi phí thiết lập mạng VPN tuy rẻ nhưng chất lượng vẫn
không cao bằng các đường leased line nhưng vẫn có thể chấp nhận được.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 62
KẾT LUẬN
Mạng VPN đã đưa ra một giải pháp kết nối các mạng riêng lại với nhau thông
qua việc một mạng công cộng bằng cách sử dụng các đường hầm để đảm bảo sự riêng
tư và toàn vẹn dữ liệu. Thay vì dùng kết nối phức tạp, đắt tiền như các kênh thuê
riêng(leased line), VPN đã tạo ra các liên kết ảo thông qua mạng công cộng để kết nối
các mạng riêng lại với nhau mà vẫn đảm bảo các yêu cầu về bảo mật, khả năng truyền
tải thông tin và độ tin cậy của mạng với chi phí thấp. Chi phí để thiết lập một mạng
VPN là rất rẻ, nhưng chất lượng VPN phụ thuộc nhiều vào chất lượng mạng Internet.
Sự quá tải hay tắt nghẽn mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của
các máy trong mạng VPN.
Qua đề tài này, chúng em đã hiểu sâu hơn về công nghệ mạng riêng ảo và nhận
ra các ưu, nhược điểm cũng như đánh giá đuợc hiệu quả sử dụng của từng loại VPN.
Khả năng ứng dụng vào thực tế của đề tài này là nó làm nền tản cho việc lựa
chọn cấu trúc trong việc thiết kế một mạng VPN trong thực tế. Khi thiết kế một mạng
VPN thì người thiết kế phải căn cứ vào chi phí đầu tư của doanh nghiệp, mức độ bảo
mật dữ liệu, quy mô của mạng và các nhu cầu thực tế của cơ quan mà lựa chọn phương
án, cấu trúc cũng như loại VPN nào để xây dựng một mạng VPN tối ưu nhất.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 63
THUẬT NGỮ VIẾT TẮT
AAA Authentication, Authorization and
Accounting
Chứng thực, trao quyền và thanh toán
AH Authentication Header Xác thực tiêu đề
ATM Asynchronous Transfer Mode Chế độ Truyền tải Bất đồng bộ
BGP Border Gateway Protocol Giao thức cổng biên
CBC Cipher Block Chain Khối mật mã
CHAP Challenge Handshake Authentication
Protocol
Giao thức nhận thực bắt tay thách thức
DES Data Encryption Standard Chuẩn mã dữ liệu
DSL Digital Subscriber Line Đường dây thuê bao số
EAP Extensible Authentication Protocol Giao thức chứng thực mở rộng
ESP Encapsulating Security Payload Bọc gói bảo mật tải
FR Frame Relay Chuyển tiếp khung
FTP File Transfer Protocol Giao thức truyền tập tin
GRE Generic Routing Encapsulation Sự đóng gói định tuyến tổng quát
IETF Internet Engineering Task Force Lực lượng đặc trách kỹ thuật Internet
IKE Internet Key Exchange Trao đổi khóa Internet
IPsec IP Security An ninh IP (IETF)
ISDN Integrated Service Digital Network Mạng số liên kết đa dịch vụ
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
LAC L2TP Access Concentrator Bộ tập trung truy nhập L2TP
LCP L2TP Control Protocol Giao thức điều khiển L2TP
LNS L2TP Network Server Máy phục vụ mạng L2TP
MAC Media Access Control Điều khiển truy nhập phương tiện
MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức
MPOA MultiProtocol Over ATM Đa giao thức qua ATM
NAS Network Access Server Máy chủ truy nhập mạng
OSI Open System Interconnection Kết nối các hệ thống mở
PAP Password Authentication Protocol Giao thức xác thực mật khẩu
PPP Point-to-Point Protocol Giao thức liên kết điểm-điểm
PPTP Point-to-Point Tunneling Protocol Giao thức tạo đường hầm điểm nối
điểm
QoS Quality of Service Chất lượng dịch vụ
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 64
RADIUS Remote Authentication Dial in User
Sevice
Dịch vụ qua số kết nối chứng thực từ
xa
RAS Remote Access Server Máy chủ truy cập từ xa
SA Structured Analysis phân tích theo cấu trúc
SMLI Stateful Multi - Layer Inspection Kiểm tra đa lớp trạng thái
TACACS Terminal Access Controller Access
Control System
Hệ thống điều khiển truy nhập bộ điều
khiển truy nhập đầu cuối
TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn
UDP User Datagtam Protocol Giao thức gói tin người dùng
VPDNs Virtual Private Dial Network Mạng quay số riêng ảo
WAN Wide Area Network Mạng diện rộng
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 65
TÀI LIỆU THAM KHẢO
[1] Meeta Gupta, “Building a Virtual Private Network”, Premier Press © 2003
[2] Michael H. Behringer, Monique J. Morrow, “MPLS VPN Security”,Cisco Press,
2005
[2] Ths.Trần Công Hùng, “Kỹ thuật mạng riêng ảo”, Nhà xuất bản bưu điện,2002
[3]
[4]
[5]
[6]
[7]
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Các file đính kèm theo tài liệu này:
- Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo.pdf