Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ
bản sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặcdi động
vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch
vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
- Mạng VPN truy nhập từ xa (Re mote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Ext ranet VPN)
40 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 3080 | Lượt tải: 2
Bạn đang xem trước 20 trang tài liệu Tiểu luận Công nghệ truyền dữ liệu trên nền tảng B2B, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
hoặc giao thức ZENGIN
(Liên đoàn các hiệp hội ngân hàng Nhật Bản), dựa trên TCP/IP… Giao thức ZENGIN chỉ
được dùng trong nội đia của Nhật.
2. Kiểu WWW:
Bằng cách chuyển đổi thông điệp EDI sang định dạng HTML và đăng ký trên máy
phục vụ WWW, thông điệp EDI có thể đọc được và nhập vào dễ dàng từ trình duyệt
WWW. HTTP được sử dụng như giao thức truyền thông.
12
IV. LỢI ÍCH
Internet cũng làm một cuộc cách mạng hoá nền thương mại điện tử doanh nghiệp
đến doanh nghiệp. EDI thông qua Internet đã rẻ hơn rất nhiều so với VANs và những
người sử dụng EDI ở qui mô lớn đã phát triển những hệ thống giao dịch trực tuyến của họ
dựa trên web dựa trên những ngôn ngữ đánh dấu tương thích với Web thay cho những tài
liệu EDI cứng nhắc. Nǎm 2001, một phiên bản của XML được thiết kế cho thương mại
điện tử, được gọi là ebXML, đã chính thức được chuẩn hoá và những người sử dụng ngày
nay đang tiến hành kết hợp những yếu tố tốt nhất của EDI và ebXML để tạo ra một loại
hình thương mại điện tử hoàn hảo hơn.
Những lợi ích mà EDI trên cơ sở internet đem lại:
- Giảm chi phí giao dịch cho việc trao đổi thông tin, chi phí giấy tờ, thư tín
- Tiết kiệm thời gian vì không cần phải nhập lại thông tin nhiều lần
- Giảm chi phí xử lý dữ liệu bằng tay
- Tang tính chính xác của thông tin, giảm lỗi sai sót do không phải nhập lại
số liệu nhiều lần
- Hệ thống lưu trữ thông điệp khẳng định văn bản đã được giao đến cho đối
tác và có thể theo dõi đường đi của hàng hóa trong từng giai đoạn
- Được sử dụng cùng với hệ thống lưu kho tự động, EDI giúp giảm thời gian
lưu kho, giảm số lượng hàng tồn kho
- Chu trình giao dịch thương mại nhanh hơn có nghĩa đáp ứng nhu cầu của
khách hàng hiệu quả hơn
- Có cơ hội thúc đẩy các hoạt động cung cấp và sản xuất nhằm tăng tính cạnh
tranh của công ty và của cả ngành công nghiệp
- Cải thiện mối quan hệ thương mại, củng cố quan hệ giữa khách hàng và nhà
cung cấp
- Giữ được các khách hàng quan trọng và có thể sử dụng như một công cụ
tiếp thị nhằm thu hút các khách hàng mới
- Giúp các doanh nghiệp đứng vững trên thị trường. Một số công ty lớn yêu
cầu các công ty đối tác phải sử dụng EDI mới tiến hành kinh doanh
- Không những vậy, trong các giao dịch thương mại của các công ty chúng ta
nên sử dụng EDI vì khi sử dụng EDI, các phần mềm ứng dụng của công ty bạn có thể gửi
chứng từ giao dịch trực tiếp đến hệ thống máy tính của đối tác mà không cần sự can thiệp
của con người. EDI giúp giảm thiểu công sức của nhân viên và hạn chế những chậm trễ
hay lỗi thường đi kèm với việc xử lý chứng từ bằng tay. Bằng cách đơn giản hóa và tinh
giảm các quy trình giao dịch, EDI có thể giúp công ty bạn kiểm soát được chi phí, tăng
tính hiệu quả và cải thiện trình độ phục vụ khách hàng.
13
V. GIAO THỨC TRUYỀN THÔNG DÙNG CHO INTERNET EDI
1. FTP (File Transfer Protocol)
FTP là giao thức truyền file phổ biến nhất được sử dụng qua mạng TCP/IP.
Các phương pháp xác nhận truyền như kiểm tra kích cỡ file được yêu cầu để
kiểm tra dữ liệu được gửi và nhận không bị rò rỉ. Khi kết nối máy phục vụ FTP tới
Internet, phải có các biện pháp an ninh mạng như cài đặt bức tường lửa trong mạng
LAN nội bộ.
2. SMTP/MIME (Simple Mail Transfer Protocol/Multi-purpose Internet
Mail Extension)
SMTP/MIME là giao thức truyền thư được sử dụng bởi mạng TCP/IP. Chỉ các
chuỗi ký tự mới có thể truyền hoặc nhận bởi SMTP và việc chuyển đổi (mã hóa)
thành các chuỗi ký tự bằng phương pháp MIME sẽ cho phép truyền các file có chứa
các dữliệu nhị phân.
3. HTTP (Hyper-Text Transmission Protocol)
Giao thức được sử dụng để truyền và nhận dữ liệu HTML giữa máy phục vụ
WWW và trình duyệt.
4. Địa chỉ IP (Internet Protocol)
VI. CÁC PHƯƠNG PHẤP KỸ THUẬT ĐẢM BẢO AN NINH
Nói chung bảo mật là một vấn đề quan trọng trong Internet. Vùng bảo mật rất
rộng. Trong EDI, hiểm họa quan trọng là sự giả mạo người dùng, việc sử dụng trái
phép và nghe trộm. Đặc biệt trong sử dụng Internet, vì những thuê bao cá nhân tồn tại
và không bị hạn chế như trong mạng VAN hiện tại, nên việc đảm bảo an ninh Internet
sẽ bị giới hạn.
Do vậy vấn đề an ninh tại đầu dùng cuối hết sức quan trọng. Để hiện thực hoá,
cần có các biện pháp ở mức truyền thông và mức ứng dụng với quy mô đáng kể.Sau
đây là các biện pháp ở mức truyền thông.
Các biện pháp ở mức phương pháp truyền thông bao gồm mức IP và mức
phương pháp truyền thông.Cũng cần chọn phương pháp bảo mật nào được chấp nhận
hoặc phần nào trong hệ thống EDI cần áp dụng, khi xem xét tốc độ xử lý và tính dễ
dàng thực hiện mức bảo mật cần thiết cho Internet EDI.
14
Các hiểm họa gặp phải trong EDI:
- Giả mạo người dùng: Một người nào đó giả mạo là một người dùng máy
tính A để truy cập một máy phục vụ nhằm lừa đảo máy phục vụ và người dùng máy
A. Khi người dùng máy A bị giả mạo, thông tin trên máy A sẽ bị đánh cắp, thông tin
liên quan đến A trên mạng cũng bị đánh cắp và chúng có thể bị thay đổi hoặc bị phá
hủy. Phạm vi phá hoại của việc giả mạo trong trương mục trên mạng nằm trong khu
vực có thể với tới được của máy tính đó. Vì vậy nếu người quản trị mạng bị giả mạo
thì sự thiệt hại có thể rất nghiêm trọng. Thông tin trên máy phục vụ sẽ bị đánh cắp.
Hơn nữa, kẻ tội phạm máy tính có thể truy cập máy phục vụ khác thông qua việc sử
dụng thông tin có được từ máy tính này.
- Sử dụng trái phép PC hoặc máy phục vụ: Kẻ tội phạm máy tính truy cập
trái phép một tập tin hoặc một chương trình trên một PC hoặc một máy phục vụ để lấy
thông tin, sửa đổi và cuối cùng phá hủy chúng. Hơn nữa chúng có thể dùng để phá
hủy chức truyền thông.
- Mắc trộm để nghe lén, nhìn trộm một cách phi pháp những thông tin
truyền qua mạng và sửa đổi chúng.
- Nặc danh những dữ liệu truyền.
1. Mức IP (phương pháp kiểm tra truy nhập).
Khái niệm: Là phương pháp cho phép tất cả các gói IP, và kiểm soát gói
nào thì phải hạn chế (loc). Thông thường, bằng cách giới hạn các dịch vụ cần thiết ở
mức tối thiểu sẽ ngăn chặn được việc truyền bất hợp pháp.
Ý tưởng cơ bản của việc lọc như sau:
- Chỉ cho qua các gói dịch vụ được yêu cầu
- Không cho qua các gói dịch vụ không sử dụng
- Cho qua một cách có chọn lọc các gói trong mạng của người dùng.
Các phương pháp đảm bảo an ninh như sau:
a. Chức năng lọc dữ liệu của gói định đường.
Chức năng này cho phép truy cập tới ứng dụng ở lớp cao hơn theo địa chỉ IP
của nguồn truyền hoặc đích truyền tại mức của một gói hoặc số hiệu của cổng TCP
trong tiêu đề gói IP. Gói IP được cho phép qua hay bị ngăn lại tùy theo sự tổ hợp giữa
“địa chỉ nguồn truyền, số hiệu của cổng” và “địa chỉ đích truyền, số hiệu của cổng”.
Các gói được phép sẽ trực tiếp tới được máy tính có địa chỉ gửi đến.
15
Ví dụ có thể lọc dữ liệu bằng máy tính hoặc mạng con.Mặc dầu có thể thực
hiện lọc với hiệu năng cao, vẫn không có chức năng xác thực và việc lọc đó bị giới
hạn. Mặt hạn chế nữa là từ bên ngoài có thể nhìn thấy địa chỉ IP ở bên trong
b. Bức tường lửa
Nói chung, bức tường lửa được thực hiện bằng thiết bị máy phục vụ với chức
năng cổng ứng dụng. Chức năng này quản lý việc cho phép hoặc ngăn chặn các địa
chỉ và dịch vụ đặc biệt không cho đi tiếp (HTTP, FTP, Telnet, v.v...).
Thông thường, tùy theo người sử dụng có yêu cầu dịch vụ hay không, việc kết
nối với ứng dụng mạng (Telnet, FTP, SMTP, v.v...) bao gồm cả nguồn truyền và đích
truyền, đều bị kiểm soát. Vì mọi kết nối đều được truyền từ ngoài bức tường lửa,
thông tin về kiến trúc của mạng riêng sẽ không bị truyền ra ngoài.
Hơn nữa, do không thể truyền gói và trao đổi thông tin về đường dẫn giữa
mạng bên trong và bên ngoài nên những nhược điểm trong việc tấn công vào trong bộ
định tuyến nguồn có thể được khắc phục tốt hơn. Để làm cho những phương pháp này
có hiệu lực, đòi hỏi phải có các biện pháp sau trong việc xây dựng mạng:
o Đặt máy phục vụ dịch vụ trên một segment ở bên trong bức tường lửa
o Tách biệt với mạng của tổ chức bằng cách dùng một địa chỉ IP riêng
(quy định trong RFC 1597 – RFC là viết tắt của Request For Comments)
o Những phát triển khác của công nghệ bảo mật ở mức IP được trình bày ở
các phần sau đây.
c. IP phiên bản 6 (IPv6).
Địa chỉ IP thế hệ mới của Internet IPv6 (IP Address Version 6) được Nhóm
chuyên trách về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội
Internet đề xuất thực hiện kế thừa trên cấu trúc và tổ chức của IPv4.
IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian
địa chỉ là 232 = 4 294 967 296 địa chỉ. Còn IPv6 có 128 bit địa chỉ dài hơn 4 lần so
với IPv4 nhưng khả nǎng lý thuyết có thể cung cấp một không gian địa chỉ là 2128 =
340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian
địa chỉ của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.10 9 còn 2128 lấy tròn
số là 340. 10 36 (khoảng 340 tỷ tỷ tỷ tỷ địa chỉ).
Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet mà
còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm
chí cho từng vật dụng trong gia đình. Nhu cầu hiện tại chỉ cần 15% không gian địa chỉ
IPv6 còn 85% dự phòng cho tương lai.
16
Với cấu trúc của IPv6, các vấn đề cần quan tâm không còn là việc thiếu địa chỉ
hoặc giới hạn (mật mã hoá, xác thực, cấu hình động…) nữa.
d. IPsec (Mật mã hóa giao thức IP)
Khái niệm mở đầu về IPsec
IPsec (RFC1825 đến RFC1828, RFC – Request For Comments) được đề xuất
như một khung về mật mã hoá và xác thực có thể ứng dụng được cả cho IPv4 và IPv6.
Bằng cách đưa ra cơ chế xác thực mã hoá cho chính việc trao đổi bằng IP, sẽ giải
quyết đuợc các vấn đề như nghe trộm, và giả mạo dữ liệu.
Ipsec là khái niệm chung cho hai hoặc nhiều giao thức thực thi các truyền thông
mật mã hóa ở lớp mạng. Nó chỉ định các hệ thống như chứng thực, mật mã hóa các
gói và một quy trình quản lý khóa. Chức năng của IPsec là: mật mã hóa các gói IP
bằng các khóa chung của máy phục vụ gửi và nhận, và chứng thực máy phục vụ
truyền tin được đặt ở phần đầu của IPsec.
Đặc tính của IPsec là thuật toán chứng thực và mật mã hóa và cấu trúc quản lý
mật mã hóa được tách khỏi giao thức của IPsec.
Mối quan hệ trong đó một cặp máy phục vụ liên lạc sử dụng giao thức IPsec
dùng chung thuật toán chứng thực và mật mã hóa và chung khóa mật mã được gọi là
liên kết an ninh (SA-security association). Nó được chỉ định bởi con trỏ chỉ số tham
biến an ninh (SPI-Security Parameters Index) được chứa ở phần đầu của IPsec, trong
đó SA tương ứng với một gói IP cụ thể.
Trong IPsec, phần đầu chứng thực (AH-Authentication Header) được dùng để
chứng thực phần đầu IP, địa chỉ IP (đích và nguồn) của cùng một gói. Kiểm tra tổng
của phần đầu IP được chứa ở AH, và nó giúp phát hiện sự sửa đổi phần đầu IP.
Phần đầu của khối an ninh gói gọn (ESP-Encapsulating Security Payload) được
dùng khi mã hóa dữ liệu một gói IP. Khối đã mã hóa được lưu trong phần chính của
phần đầu ESP.
Quản lý mã hóa trong IPsec
Trong truyền thông IPsec, cần thiết lập một SA để chia sẻ thông tin về một mã
khóa trước khi bắt đầu liên lạc.Tuy nhiên trong một hệ thống mà mã khóa được thiết
lập thủ công, việc quản lý sẽ phức tạp và sẽ không linh hoạt khi mở rộng các chức
năng.Vì vậy cần thiết phải có một giao thức quản lý mã khóa nhằm có thể trao đổi
thông tin về mã khóa một cách năng động. IKE (Internet Key ExchangeTrao đổi mã
khóa Internet) do hãng Sysco đề xuất đã được sử dụng thành chuẩn giao thức quản lý
mã khóa của IP sec. Việc trao đổi mã khóa phiên được tiến hành dựa trên phương
17
pháp mã hóa khóa chung của Diffie-Hellman. Đầu tiên xác định thuật toán mã hóa
dùng cho giai đoạn sau đó và tạo ra một mã khóa theo hệ thống “DiffieHellman”. Sau
đó, thực hiện thỏa thuận các thông tin khác nhau cần thiết cho liên lạc IPsec, như một
số tuần tự cho truyền thông mã hóa và xác định thuật toán mã hóa và trao đổi một mã
khóa.
Có 3 giao thức chủ yếu là:
- IKE (Internet Key Exchange): trao đổi mã khóa Internet.
- ESP (Encapsulating Security Payload): Khối an ninh gói gọn.
Một gói IP được mã hóa, gắn thêm 3 thông tin SPI, số tuần tự và thông tin chứng thực
và gói thành một khối gọi là ESP, sau đó được truyền tới nơi nhận.
- SPI (Security Parameters Index-Chỉ số tham biến an ninh). Đây là định
danh của SA tương ứng. Ở phía nhận ESP, giá trị này chỉ định thuật toán mã hóa và
mã khóa cho giải mã.
Số tuần tự: Đây là con số tuần tự được gắn thêm vào các gói IPsec dùng để chống lại
các “tấn công gửi lại”, đó là gửi lặp lại một gói nào đó bị theo dõi và bị bắt giữ rồi
khống chế liên lạc. Bên nhận sẽ loại trừ một gói sai lệch dựa trên kiểm tra con số tuần
tự này.
Thông tin chứng thực: Chức năng của nó là đảm bảo tính toàn vẹn của dữ liệu được
truyền và chứng thực các máy phục vụ gửi và nhận. Đây là kết quả của phép tính hàm
phân tách gọi là MAC (Message Authentication Code-Mã chứng thực thông điệp),
cho dữ liệu truyền và mật khẩu.
AH (Authentication Header-Phần đầu chứng thực)
AH được dùng để thực hiện “đảm bảo toàn vẹn” và “chứng thực của cả máy phục vụ
gửi và nhận” trong trường hợp xấu nhất.
Một gói IP không được mật mã hóa mà gắn thêm AH với 3 thông tin SPI, số tuần tự,
thông tin chứng thực tạo thành một gói IP và được truyền tới nơi nhận.
2. Mức phương pháp truyền thông.
a. SSL (Secure Socket Layer)
18
Giao thức bảo mật cho Internet đối với các ứng dụng TCP được phát triển bởi
Netscape được lắp vào giữa giao thức TCP và các giao thức ứng dụng như HTTP và
FTP Các gói ứng dụng HTTP, FTP, v.v..được mã hóa bằng phương pháp mã hóa được
mô tả trước bởi SSL và được truyền như dữ liệu SSL. Do đó, SSL có thể được sử
dụng không chỉ cho việc mã hóa đường truyền thông giữa máy phục vụ WWW và
máy khách WWW, mà còn cho việc mã hóa đường truyền dữ liệu theo FTP, Telnet,
v.v…
SSL được thực hiện giữa lớp truyền tải và lớp ứng dụng và bao gồm hai lớp
phụ:
- Lớp phụ dưới chịu trách nhiệm truyền và nén dữ liệu.
- Lớp phụ trên thực hiện các thỏa thuận về xác nhận một chữ ký số và việc
mã hóa Ở SLL thực hiện việc thỏa thuận về thuận toán cho chứng thực, mã hóa và
chữ ký số, v.v..sẽ được các bên sử dụng, sau đó nó các bên xác nhận và truyền dữ liệu
ứng dụng.
Chức năng của SSL:
- Xác nhận một máy phục vụ: Khách dùng có thể thẩm tra chứng nhận của
máy phục vụ. Một CA (Certification Authority) ủy thác sẽ cấp chứng nhận cho máy
phục vụ trong đó công nghệ mã hóa khóa chung sẽ được dùng khi khách hàng gửi yêu
cầu tới CA.
- Chứng thực một khách hàng: Máy phục vụ có thể kiểm tra tên và mật
khẩu của người dùng. Máy phục vụ có thể thẩm tra chứng nhận của người dùng. Một
CA ủy thác sẽ cấp chứng nhận cho người dùng và công nghệ mã hóa khóa chung sẽ
được dùng khi người dùng gửi yêu cầu tới CA .
- Truyền dữ liệu mã hóa: Máy phục vụ và máy khách có thể kiểm tra xem
dữ liệu truyền có bị sửa đổi không. Người thứ ba không thể can thiệp vào dữ liệu
trong quá trình truyền. Việc mã hóa được thực hiện bằng hệ thống khóa thông thường.
b. Sự xuyên qua đường hầm (Tunneling)
Để các gói theo giao thức A có thể xuyên qua được các mạng với môi trường
giao thức B khác, các gói giao thức A được chèn vào trong các gói giao thức B, và các
gói A được gửi tới phía đối tác như thể chúng là các gói giao thức B. Bằng cách kết
hợp với mật mã hóa, các mạng riêng đã được xây dựng bằng cách sử dụng đường
riêng hiện có, bây giờ có thể xây dựng thành VPN (Virtual Private Network mạng
riêng ảo) với chi phí thấp sử dụng mạng công cộng như Internet, v.v..
c. Tổng quan về các biện pháp bảo mật ở mức phương pháp truyền thông
Bảo mật liên quan tới phương pháp quản lý thông tin.
19
Mật khẩu
Phương pháp thực hiện việc xác thực nhận dạng riêng của phía khác theo các
chuỗi ký tự và chuỗi số được đăng ký trước. Nó được sử dụng rất rộng rãi vì đơn giản
và dễ dùng, tuy nhiên có hạn chế là dễ bị giải mã. Vì vậy đòi hỏi phải có sự quản lý và
vận hành cẩn thận, tránh mật khẩu dễ quá hoặc thay đổi mật khẩu theo định kỳ.
Phương pháp mật mã hóa và khoá
Mật mã hóa là kỹ thuật có hiệu quả để đảm bảo sự cẩn mật và ngăn chặn sự giả
mạo của bên thứ ba.Vùng áp dụng được kỹ thuật này rất rộng, từ các ứng dụng ở mức
truyền thông tới việc mật mã hóa của các tập tin người sử dụng. Phương pháp mật mã
hóa phổ biến bao gồm “phương pháp khóa chung” và “phương pháp khóa công khai”.
Phương pháp khóa chung: khoá để mật mã hóa và khoá để giải mật mã là
giống nhau, có thể dễ dàng giải quyết. Các ví dụ được biết đến nhiều là “DES” được
sử dụng như một tiêu chuẩn ở Mỹ. Tính chất của phương pháp này là thời gian mật
mã hóa nhanh. Trong khi truyền mật mã hóa, cần gửi khóa giải mật mã tới đích truyền
tương ứng với khoá mật mã hóa.
Phương pháp khóa công khai: khóa mật mã hóa và khoá giải mật mã phải
tương ứng 1: 1, nhưng vì nội dung của chúng là hoàn toàn khác nhau, nên không có
khả năng suy luận từ khóa này sang khóa khác. Phương pháp khóa công khai được
phổ biến rộng rãi là “RSA” được phát triển ở Mỹ. Với phương pháp khóa công khai,
như khóa mật mã hóa và khoá giải mật mã khác nhau, một khóa có thể mở đối với tất
cả mọi người, đó là khóa công khai, tạo điều kiện cho việc quản lý các khóa. Bằng
cách áp dụng ưu thế của sự khác biệt giữa khóa mật mã hóa và khoá giải mật mã, có
thể thực hiện được chức năng chữ ký điện tử.
3. Các biện pháp trực tiếp ngăn ngừa các hành động bất hợp pháp của
người giao dịch.
Để ngăn chặn các vấn đề nảy sinh trong giao dịch qua mạng thông tin, đòi hỏi
phải có chức năng xác thực mang lại bằng chứng là người giao dịch đã thực sự thực
hiện các giao dịch được yêu cầu. Một giải pháp được đề xuất là kỹ thuật chữ ký điện
tử với các chức năng xác thực bằng cách sử dụng mã hóa khóa công khai, v.v..Bộ
phận xác nhận (CA-Certificate Authority) ngăn chặn sự mạo danh để “giả vờ” khóa
công khai là đúng và được trang bị với các chức năng đăng ký dấu và chứng nhận
dấu.
4. Dịch vụ chỉ dẫn.
Một phương pháp dẫn tới các thông tin quản lý bảo mật là sử dụng các dịch vụ
chỉ dẫn dựa trên LDAP (Light Weight Directory Access Protocol) được mô tả bởi
nhóm công tác IETF (The Internet Engineering Task Force). Nó rất hữu dụng để làm
20
tăng hiệu quả quản lý và các thao tác chứng nhận và các thông tin người sử dụng cá
nhân.
5. Các biện pháp đối phó với Virus
Cần xem xét các rủi ro xâm nhập của virus trong các trao đổi tệp qua Internet.
Khi trao đổi các tệp bằng thư điện tử và FTP trong môi trường Internet, việc truyền và
nhận các tệp đã bị nhiễm virus sẽ là nguyên nhân gây lan truyền virus. Vì vậy cần
phải chú ý rằng chỉ một lần bị nhiễm virus, thì vùng bị ảnh hưởng cũng sẽ lan ra các
máy khách. Để đối phó lại, cần kiểm tra trước khi truyền tệp và thực hiện việc kiểm
tra tại phía nhận.Sự kiểm tra/tiêu diệt virus bao gồm phương pháp kiểm tra bức tường
lửa cùng với máy phục vụ và phương pháp kiểm tra thiết bị khách của người sử dụng.
Vấn đề này luôn được giải quyết bằng phần mềm kiểm tra virus mới nhất
21
VPN
I. KHÁI NIỆM
Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết
nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham
gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area
Network).
Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư thông
qua Internet là cực kỳ nguy hiểm vì những dữ liệu đó có thể dễ dàng bị rò rỉ, bị ăn cắp...
Mạng riêng ảo là giao thức trợ giúp việc kết nối các máy tính lại với nhau thông qua một
kênh truyền dẫn dữ liệu (tunel) riêng đã được mã hóa.
Để dễ hiểu VPN, Bạn cứ tưởng tượng như trên xa lộ có những đoạn chạy xuyên
qua một dãy núi.Ở đoạn này thông thường người ta làm một đường hầm. Khi xe bạn
(tưởng tượng như những gói dữ liệu) chạy vào đường hầm thì xe màu xanh, xe màu đỏ,
xe to, xe nhỏ, có bao nhiêu người ngồi trong xe.v.v.v. bạn đứng bên ngoài sẽ không cách
gì biết được nữa. Bởi vì cái ống hầm bê tông kiên cố này đã che chở và "giấu" tung tích
của tất cả những chiếc xe chạy qua đường hầmrồi.
Bạn có thể hiểu phương thức VPN dễ dàng là như thế.Đường xa lộ là DSL, và ống
hầm xuyên núi là phương thức bảo mật VPN. Và để bảo mật có hiệu quả, đường hầm có
"đầu vào" và "lối ra" tức là hai điểm nhà và công ty .
II. CÁCH THỨC HOẠT ĐỘNG
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng
trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp
header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian
theo những đường ống riêng( tunnel).
Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các
máy chạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy
chủ pahir sử dụng chung giao thức ( tunnel protocol).
22
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai
điểm đầu cuối này được gọi là giao diện Tunnel, nơi nhận gói tin đi vào và đi ra trong
mạng.
Kĩ thuật Tunneling yêu cầu 3 giao thức khác nhau:
Giao thức truyền tải là giao thức được sử dụng bởi mạng có thông tin đang đi
ngang qua.
Giao thức mã hoá dữ liệu là giao thức được bọc quanh gói dữ liệu gốc.
Giao thức gói tin là giao thức dữ liệu gốc được truyền đi.
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên
internet bên trong một gói IP và gửi đó an toàn qua internet. Hoặc họ coá thể đặt một gói
tin dùng địa chỉ IP riêng bên trong một gói khác dùng địa chỉ IP chung để mở rộng một
mạng riêng trên internet.
Kĩ thuật Tunneling trong mạng VPN điểm- nối điểm.
Trong VPN loại này, giao thức mã hoá định tuyến GRE cugn cấp cơ cấu “đóng
gói” giao thức gói tin để truyền đi trên giao thức truyền tải . Nó bao gồm thông tin về loại
gói tin mà bạn đang mã hoá và thông tin về kết nối giữa máy chủ với máy khách.Nhưng
IPSec trong cơ chế tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã
hoá.IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối điểm.Tất
nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel.
Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua
máy chủ truy cập, tới router( tại đây giao thức mã hoá GRE diễn ra), qua Tunnel để tới
máy tính của văn phong từ xa.
Kĩ thuật tunneling trong mạng VPN truy cập từ xa
Với loại VPN này, Tunnelng thường dùng giao thức điểm nối điểm PPP.Là một
phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức khác khi liên hệ trên
mạng giữa máy chủ và máy truy cập từ xa.Nói tóm lại, lỹ thuật Tunnel cho mạng VPN
truy cập từ xa phụ thuộc vào PPP.
Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng
trong mạng VPN truy cập từ xa.
23
L2F được Ciscophats triển.L2F dùng bất lì cơ chế thẩm định quyền truy cập nào
được PPP hỗ trợ.
PPTP được tập đoàn PPTP forum phát triển. Giao thức này hỗ trợ mã hoá 40 bit và
128 bit, dùng bất cứ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.
L2TP là sản phẩm của sự hợp tác giữa các thành viên PPTP forum, cisco và
IETF.Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP
có thể được sử dụng là giao thức Tunneling cho mạng VPN điểm nối điểm và VNP truy
cập từ xa.So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.
Để hiểu rõ hơn về mô hình hoạt động của VPN ta có 2 mô hình dưới đây:
24
III. LỢI ÍCH CỦA VNP
Mở rộng vùng địa lý có thể kết nối được
Tăng cường bảo mật cho hệ thống mạng
Giảm chi phí vận hành so với mạng WAN truyền thống
Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
Tăng cường năng suất
Giảm đơn giản hoá cấu trúc mạng
Cung cấp thêm một phương thức mạng toàn cầu
25
Cung cấp khả năng hỗ trợ thông tin từ xa
Cung cấp khả năng tương thích cho mạng băng thông rộng
Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống
Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
Bảo mật (Security)
Tin cậy (Reliability)
Dễ mở rộng, nâng cấp (Scalability)
Quản trị mạng thuận tiện (Network management)
Quản trị chính sách mạng tốt (Policy management).
IV. PHÂN LOẠI MẠNG VNP
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ
bản sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặcdi động
vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch
vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba
loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
1. Mạng VPN truy nhập từ xa
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa.Tại mọi thời điểm,
các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng
của công ty.Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất.Bởi vì, những VPN
này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua
cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng
có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử
dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,
quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm
client chạy trên máy tính của người sử dụng.
26
POPDSL
cable
Mobile
POP
Extranet
kh¸ ch hµng tíi c«ng ty
Router
Internet
or
or
Hình 1.2 : Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ
xa truyền thống như:
- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá
trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng
cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ
cao hơn so với các truy nhập khoảng cách xa.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược
điểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát
không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể.
2. Mạng VPN cục bộ
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác
nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên
một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho
27
phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn
bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở
rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng
vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site-
to- Site.
v¨n phßng ë xa
Router
Internet
POP
Remote site
Central site
or
Hình 1.3: Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông
qua một hay nhiều nhà cung cấp dịch vụ).
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có
thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường
ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví
dụ như công nghệ Frame Relay, ATM.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng
như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho
nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất
lượng dịch vụ (QoS).
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
28
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu
cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi
trường Internet.
3. Mạng VPN mở rộng
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN
mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp
khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng
những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… .
Intranet
DSL
cable
Extranet
Business-to-business
Router
Internet
POP
Remote site
Central site
or
Hình 1.4: Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các
nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng.Kiểu VPN này sử dụng các
kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site.Sự khác
nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận
ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ
hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu
của mỗi công ty hơn.
29
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm
được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận
hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những
nhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng
vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền
dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường
Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
V. NHÀ CUNG CẤP
Hiện nay có rất nhiều nhà cung cấp dịch vụ mạng riêng ảo trong đó có một số nhà
cung cấp lớn đó là:
1. Viettel IDC của viettel
Là dịch vụ mạng riêng ảo của Viettel IDC cho phép kết nối các mạng máy tính của
doanh nghiệp (như các văn phòng, chi nhánh, cộng tác viên từ xa, v.v... ) thuộc các vị trí
địa lý khác nhau tạo thành một mạng duy nhất và tin cậy thông qua việc sử dụng các liên
kết băng rộng , sử dụng phương thức chuyển mạch nhãn đa giao thức (Multil Protocol
Label Switching), giao thức của mạng thế hệ tiếp theo.
Là dịch vụ cung cấp kết nối mạng riêng cho khách hàng trên nền mạng
IP/MPLS.Dịch vụ VPN/MPLS cho phép triển khai các kết nối nhanh chóng, đơn giản,
thuận tiện với chi phí thấp.
Cho phép vừa truy nhập mạng riêng ảo vừa truy cập Internet (nếu khách hàng có
nhu cầu)
- Công nghệ: Sử dụng đường dây thuê bao số xDSL kết hợp công nghệ
VPN/MPLS.
- Tốc độ kết nối: Cung cấp các tốc độ linh hoạt mềm dẻo tuỳ theo nhu cầu của
khách hàng.
- Khả năng đáp ứng: Tại các tỉnh và thành phố trên cả nước có dịch vụ ADSL,
SHDSL, FTTH do Viettel cung cấp.
2. Mạng riêng ảo GigaWan của CMC TI
2.1. Giới thiệu chung
30
DỊCH VỤ KÊNH THUÊ RIÊNG TRUYỀN SỐ LIỆU NỘI HẠT, LIÊN
TỈNH VPN/MPLS (GIGAWAN)
DỊCH VỤ TRUYỀN SỐ LIỆU NỘI HẠT LIÊN TỈNH GIGAWAN dựa
trên công nghệ chuyển mạch nhãn đa giao thức MPLS (Multiprotocol Label Switching)
đảm bảo việc truyền dữ liệu tốc độ cao, chất lượng, dễ dàng nâng cấp mở rộng phù hợp
với các khách hàng có nhu cầu truyền dữ liệu đa điểm, tốc độ cao.
GIGAWAN là thương hiệu của CMC TI, tương tự như các dịch chất lượng cao
Metronet của VNPT, E-metro của FPT…
GIGAWAN với chất lượng cao trên đường truyền hoàn toàn bằng cáp quang đáp
ứng nhu cầu kết nối các mạng LAN, Video Conference, file transfer…
GIGAWAN được cung cấp trên nền công nghệ hiện đại và đồng bộ GPON, quản
lý đến tận thiết bị đầu cuối bảo việc chẩn đoán và xử lý sự cố nhanh chóng, vận hành ổn
định.
GIGAWAN đảm bảo các yêu cầu về bảo mật và quản lý chất lượng.
31
GIGAWAN phù hợp với các cơ quan tổ chức có quy mô hoạt động trên nhiều địa
bàn với các chi nhánh cần kết nối với nhau.
2.2. Xu hướng sử dụng:
Dịch vụ GIGAWANđược các Doanh nghiệp trong khối ngân hàng, doanh nghiệp,
bảo hiểm tài chính, tập đoàn xuyên quốc gia, Doanh nghiệp, tổ chức lớn có nhiều chi
nhánh, văn phòng giao dịch ưa chuộng để truyền số liệu và chất lượng đường truyền ổn
định, chi phí sử dụng thấp, đặc biệt là hỗ trợ khả năng support rất nhanh khi xảy ra sự cố
kỹ thuật hay lỗi cáp… Hiện trên thị trường các ISP cung cấp với nhiều tốc độ khác nhau
từ 128k, 256k, 1Mbps…Còn CMC TI chỉ cung cấp cho các đối tác có nhu cầu sử dụng từ
tốc độ 1Mbps đến 450Mbps nội hạt hay liên tỉnh với giá thành phù hợp nhất.
2.3. Hạ tầng mạng của CMC TI hiện nay gồm có: Hà Nội; Bắc Ninh; Đà Nẵng;
HCM…
Với hạ tầng mạng hiện đại được đầu tư đồng bộ trên các công nghệ GPON, NG-
SDH, WDM… CMC TI cung cấp các dịch vụ chất lượng đảm bảo, độ ổn định cao-Mạng
truy nhập 100%cáp quang dựa trên thiết bị đồng bộ, công nghệ GPON của Alcatel-
Lucent, mạng CoreIP đồng bộ của hãng Juniper, hệ thống quản lý mạng tiên tiến có khả
năng quản lý, giám sát cảnh báo đến tận thiết bị đầu cuối đặt tại nhà khách hàng.
- Mạng truyền dẫn SDH (Alcatel, Fujitsu) Ring cấp I 10Gbps, Ring cấp II
2.5Gbps, Ring cấp III STM1/4.
- CMC TI sở hữu trực tiếp hơn 18500 km cáp quang tại Hà Nội, TP Hồ Chí Minh
và Đà Nẵng. Ngoài ra, tại các tỉnh thành trên cả nước CMC TI cũng có những hợp tác
chia sẻ hạ tầng cung cấp dịch vụ với các đối tác lớn trong ngành viễn thông, an ninh và
truyền hình.
- Tốc độ mạng trục Backbone Bắc – Nam có khả năng cung cấp 10Gbps , kết nối
trực tiếp Internet quốc tế qua tuyến cáp quang biển hiện đại nhất với dung lượng
2,5Gbps.
2.4. Hệ thống giám sát,cảnh báo từ xa ( AMS Alcatel)
*Quản lý các dịch vụ truy nhập thông minh đến tận thiết bị đầu cuối khách
hàng:
- Phát hiện sự cố lỗi đứt cáp
- Phát hiện mất nguồn tại thiết bị đầu cuối
32
- Phát hiện lỗi bit (BER) của đường truyền cho từng khách hàng
- Giám sát việc cắm đúng/sai cổng tại phía khách hàng
- Phát hiện và cảnh bảo mức tín hiệu quang cho từng kênh của khách hàng
- Giám sát nhiệt độ thiết bị tại phía khách hàng
*Hệ thống quản lý giám sát băng thông:
- Giám sát băng thông tại các kênh kết nối
- Hiệu quả sử dụng băng thông
- Quản lý QoS
*Syslog:
- Ghi lại tình trạnh hoạt động, các cảnh báo, các hành động can thiệp đến hệ
thống.
- Ngăn cản các trường hợp truy cập không được phép
- Hệ thống báo cáo truy xuất lưu lượng sử dụng theo ngày, tháng, năm
- Báo cáo được gửi qua mail, fax hoặc trực tiếp
2.5. Khách hàng và đối tác tiêu biểu
Ngân hàng Agribank, Techcombank, Vietinbank, Vietcombank, BIDV, Việt Nga
Bank, Bắc Á, Habubank, HD bank, CK Thiên Việt, Artex, TVSI, SSI…
2.6. Chế độ CSKH VIP
- Hỗ trợ kỹ thuật 24/7 qua hotline VIP, kỹ thuật có mặt trong vòng 30 phút sau khi
nhận được yêu cầu
- Giám sát 24/24h hoạt động của đường truyền để kịp thời thông báo và xử lý sự
cố kỹ thuật
- Cung cấp các báo cáo về tình trạng sử dụng băng thông, lịch sử các sự cố diễn ra.
2.7. Cam kết
- Độ ổn định 99,95%
- Đảm bảo 100% băng thông
- Triển khai trong vòng 3-5 ngày
- Cam kết thời gian khắc phục sự cố: Dưới 02h đối với lỗi kỹ thuật, Dưới 04h đối
với lỗi đứt cáp.
3. Dịch vụ MPLS/VPN của FPT Telecom
3.1. Giới thiệu
33
VPN/MPLS là d ịch vụ cho phép khách hàng thiết lập các mạng ảo dùng riêng
thông qua mạng MPLS VPN của FPT với các tính năng tương đương như một mạng
riêng xét trên phương diện chất lượng, độ an toàn, ổn định và khả năng kiểm soát.
3.2. Mục đích sử dụng:
Thiết lập các mạng dùng riêng dựa trên cơ sở hạ tầng của mạng MPLS VPN do
công ty FPT quản lý đồng thời giảm thiếu chi phí so với các công nghệ tương
đồng
Tự tạo các ứng dụng riêng trên các kênh VPN như: truyền file, dịch vụ thư điện
tử, chia sẻ tài nguyên mạng, cơ sở dữ liệu, web nội bộ, truyền ảnh, các ứng
dụng ERP, các ứng dụng thiết kế mỹ thuật, truy nhập Internet, hội thảo qua
mạng VPN, hosting…
3.3. Đối tượng sử dụng
Thích hợp với các doanh nghiệp, tổ chức trong nước và nước ngoài đang hoạt động tại
Việt Nam như:
Các đơn vị hoạt động trong lĩnh vực ngân hàng, bảo hiểm, hàng hải....
Các văn phòng đại diện các công ty nước ngoài được đặt tại Việt Nam, đặc biệt
liên quan đến viễn thông, tin học, sản xuất
Các doanh nghiệp sản xuất có chi nhánh kết nối ở nước ngoài trong các khu
công nghiệp, khu chế xuất, doanh nghiệp sản xuất
Các khu công nghệ phần mềm các đơn vị sản xuất phần mềm
Các cơ quan Chính phủ, các Bộ, các Tổng công ty
Dịch vụ VPN/MPLS đáp ứng các nhu cầu đặc thù sau của khách hàng:
Cần kết nối tới các chi nhánh bằng kênh thuê riêng phục vụ mục đích truyền số
liệu
Cần thiết lập mạng diện rộng của riêng tổ chức (mạng WAN)
Cần triển khai các ứng dụng đòi hỏi băng thông lớn, độ ổn định cao như Voice,
Data, Video…
Cần sử dụng tốc độ cao cho các ứng dụng chuyên biệt
Yêu cầu có cam kết chất lượng dịch vụ cao nhất từ nhà cung cấp
Cần có hệ thống giám sát và cảnh báo khi kênh truyền có sự cố
Cần hỗ trợ kỹ thuật 24x7x365
3.4. Lợi ích mang lại cho khách hàng
Chi phí thấp, tốc độ ổn định, đáp ứng được yêu cầu về bảo mật thông tin, đơn giản trong
việc quản lý và dễ dàng trong việc chuyển đổi.
34
Giảm thiểu chi phí so với các công nghệ tương đồng trong việc quản lý, xây
dựng, triển khai một mạng diện rộng
Tính ổn định và khả năng mở: Đáp ứng nhu cầu mở rộng một cách nhanh
chóng, có thể kết nối nhanh chóng với các mạng khác
Thích ứng với nhiều loại công nghệ khác nhau và không thay thế hệ thống
mạng hiện tại của khách hàng: Với khả năng hỗ trợ nhiều loại công nghệ khác
nhau do đó MPLS có thể hỗ trợ nhiều kiểu truy nhập khác nhau: Frame Relay,
IP, X.25 làm giảm thiểu chi phí cho khách hàng hoặc có thể tận dụng thiết bị
mạng sẵn có của mạng
An toàn mạng: Với t ính năng mã hoá và tạo đường hầm của công nghệ VPN
giúp MPLS đạt được mức độ an toàn cao như trong môi trường mạng riêng
Đảm bảo băng thông cam kết: giống như tính năng CIR trong Frame Relay
Chất lượng dịch vụ: Đảm bảo phân biệt thứ tự ưu tiên cho các loại dữ liệu khác
nhau như: Số liệu, hình ảnh, âm thanh, giúp cho phép phân biệt các mức dịch
vụ cung cấp
Quản lý đơn giản, khả năng lựa chọn tốc độ tối đa từ T1/E1, hoặc STM1, hỗ trợ
truy nhập qua xDSL
Sử dụng được giao thức IP được coi là giao thức được chuẩn hóa để sử dụng
rộng rãi trên thế giới cho các nhu cầu về trao đổi dữ liệu. Tích hợp dễ dàng với
các thiết bị và ứng dụng đã có sẵn nếu chúng hỗ trợ giao thức IP
Tích hợp khả năng sử dụng Internet tốc độ cao
Phạm vi cung cấp trên toàn quốc và hơn 150 nước trên thế giới
Cung cấp khả năng truy nhập gián tiếp từ xa
3.5. Mô tả kỹ thuật
Công nghệ MPLS VPN được phát triển dựa trên ý tưởng đơn giản hoá quá trình
định tuyến lưu lượng truyền trên mạng Internet có thể dựa trên nện thiết bị mạng
(hardware) so với dùng phần mềm như trước đây. Điều này có thể làm cho quá trình định
tuyến và chuyển dữ liệu được nhanh hơn nhiều so với các công nghệ khác. Công nghệ
MPLS đã trở thành một công nghệ lý tưởng cho việc quản lý dữ liệu trên mạng công
cộng và trở thành một phần cốt lõi trong một mạng riêng ảo
3.6. Các loại hình dịch vụ cung cấp:
BRONZE: MPLS t iêu chuẩn (Standard services): Đây là dịch vụ MPLS VPN cho phép
khách hàng tạo các liên kết VPN với nhau và sử dụng các dịch vụ trên nền IP đơn giản,
không có các cam kết về chất lượng dịch vụ cung cấp
35
SILVER: Là dịch vụ MPLS VPN cho phép bảo đảm chất lượng dịch vụ cung
cấp (QoS) cho phép phân loại dữ liệu khác nhau đảm bảo tính ưu tiên của từng
loại dữ liệu (CoS) thông qua việc quản lý phân bổ dung lượng kênh trong
trường hợp có nghẽn mạng. Khách hàng có khả năng định dạng thứ tự ưu tiên
của dữ liệu, ví dụ 1, 2, 3 và có liên kết trực tiếp tới phần quản lý CoS của FPT
với các mức độ ưu tiên khác nhau. Cam kết SLA
GOLD: Dịch vụ MPLS VPN cho phép khách hàng sử dụng các ứng dụng về
âm thanh và hình ảnh trên nền giao thức IP và các ứng dụng liên quan đến các
tính năng này như: cung cấp kênh dùng cho voice riêng có thể nén trên CPE
router, có kết nối tới PSTN, kênh kết nối riêng cho tín hiệu video. Cam kết
SLA
3.7. Các thiết bị cần thiết để xử dụng dịch vụ
Modem NTU
Router
Đường kết nối truyền dẫn trực tiếp với mạng MPLS VPN
Modem gián tiếp, line thoại, máy tính đối với các truy nhập gián tiếp
3.8. Những cam kết phục vụ của FPT Telecom:
Hạ tầng truyền dẫn bằng cáp quang được thiết kế chuyên nghiệp và riêng biệt
Băng thông mạng Backbone lớn
Chính sách bán hàng, tư vấn, chăm sóc khách hàng và hỗ trợ kỹ thuật tốt nhất
tại Việt nam
Cam kết chất lượng dịch vụ (SLAs)
Cung cấp các công cụ giám sát kênh truyền 24/24
Hỗ trợ kỹ thuật 24x7x365
Chính sách “one stop shop”
4. Dịch vụ mạng riêng ảo VPN/MPLS của VNPT
Công nghệ VPN MPLS chính thức được VDC đưa vào triển khai ứng dụng thử
nghiệm thành công và đưa vào khai thác từ năm 2003. Năm 2004, giải pháp VPN MPLS
của VDC đã dành Cúp vàng Công nghệ thông tin IT Week 14 và được mở rộng khai thác
trên khắp 64 tỉnh thành trên cả nước với thương hiệu VPN/VNN
Giải pháp VPN/VNN MPLS của VDC được ứng dụng triển khai dựa trên công
nghệ chuyển giao và thiết bị của Cisco, với mục tiêu tạo ra một giải pháp mạng an toàn
36
bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu như Data, Voice,
Video..
VPN/VNN – ưu điểm vượt trội
- Công nghệ tiên tiến
Công nghệ chuyển mạch nhãn đa giao thức MPLS (Multi Protocol Label
Switching) là công nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn ( Nhật,
Mỹ, Singapore..)
- Chi phí đầu tư hiệu quả
• Tận dụng khả năng xử lý của các thiết bị trong mạng core MPLS của VDC.Giảm
các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng.
• Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường
kênh vật lý duy nhất
• Ch i phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống.
- Bảo mật an toàn
Riêng biệt hoàn toàn với sự kết hợp của :
• Bảo mật tuyệt đối trên mạng core MPLS của VDC
•Bảo mật tối ưu trên kênh Leased Line riêng (local loop)
- Khả năng mở rộng đơn giản
• Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ
cần đăng kí thêm điểm kết nối với VDC mà không cần bất cứ một đầu tư lại gì
trên mạng hiện có
• Mọi cầu hình kết nối đều thực hiện tại mạng core MPLS của VDC, thành viên
mạng không cần bất kì một cầu hình nào.
- Đơn giản hóa quản trị IT
• Với quá trình quản trị và thiết lập VPN tại mạng core MPLS của VDC sẽ giúp
đơn giản hóa tối đa công việc quản trị IT trong hoạt động của doanh nghiệp.
• Nhận được nhiều hỗ trợ từ nhà cung cấp.
• Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp.
- Tốc độ cao, đa ứng dụng và cam kết QoS
• VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống
truyền dẫn cáp quang.
• Không chỉ là Data, VPN MPLS tại VDC có thể triển khai đầy đủ các ứng dụng
về thời gian thực như VoIP, Video Conferencing với độ trễ thấp nhất.
• Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS)
VI. CHI PHÍ SỬ DỤNG VPN
37
1. Chi phí thấp
VPN có thể giảm chi phí cho tổ chức trong các trường hợp sau: Hạn chế thuê các
đường liên lạc đường dài rất đắt; Giảm chi phí đàm thoại đường dài; Hỗ trợ dỡ bỏ gánh
nặng chi phí.
Công ty cần thuê dung lượng mạng, với kênh T1 họ phải sử dụng hết, kết nối giữa
các văn phòng công ty phải được bảo mật. Với VPN chúng ta sử dụng cơ sở hạ tầng công
cộng ví dụ Internet để tạo ra các kết nối vào mạng ảo chắc chắn rẻ hơn kênh thuê riêng,
đối với các kết nối băng rộng chi phí không khác so với dịch vụ của các ISP.
2. Giảm chi phí đàm thoại đường dài
VPN cũng có thể thay thế các máy chủ ở xa và mạng dial-up đường dài trước đây
thường dùng cho các nhân viên đi lưu động liên tục cần truy cập vào Intranet của công
ty. Chi phí hỗ trợ bảo trì do đối tác thứ 3 cung cấp nhưng rất thấp vì đây là đối tác chuyên
nghiệp cung cấp dịch vụ này cho rất nhiều khách hàng.
38
VAN
I. KHÁI NIỆM
Một mạng lưới giá trị gia tăng (VAN) là một tổ chức cung cấp dịch vụ hoạt động
như một trung gian giữa các đối tác kinh doanh chia sẻ các tiêu chuẩn dựa trên dữ liệu
hoặc độc quyền thông qua chia sẻ quy trình kinh doanh . Các dịch vụ được cung cấp được
gọi là "Mạng lưới dịch vụ giá trị gia tăng".
VAN, một mạng giá trị gia tăng là một loại của nhà cung cấp tư nhân được tham
gia bởi một công ty để quản lý các quá trình trao đổi dữ liệu điện tử (EDI) cho việc kinh
doanh. Trong nhiều trường hợp, các mạng cũng sẽ phục vụ như là phương tiện quản lý
một số các dịch vụ mạng khác nhau, bao gồm cả các giải pháp thương mại trực
tuyến. Đôi khi được gọi là truyền thông chìa khóa trao tay, mạng giá trị gia tăng cho phép
ngay cả các doanh nghiệp nhỏ sử dụng các dịch vụ như truyền email an toàn , mã hóa tập
tin và nhiều hình thức khác nhau của các báo cáo quản lý giữa các điểm khác nhau trong
một cơ cấu công ty hoặc với một đối tác kinh doanh
II. CÁCH THỨC HOẠT ĐỘNG
- Thay cho kết nối trực tiếp đến các đối tác thương mại, công ty có thể quyết
định sử dụng dịch vụ của mạng giá trị gia tăng VAN để kết nối gián tiếp các đối tác
thương mại.
Kho
hàng
Ngân
hàng
Nhà v n t i
hàng không
Nhà phân
ph i
Nhà bán
buôn
Nhà s n xu t bán
thành ph m
Nhà s n xu t
thành ph m
Nhà v n
t i ôtô
VAN
Nhà
bán l
39
- VAN là hệ thống mạng của một công ty chuyên cung ứng các thiết bị viễn
thong, các phần mềm và các kỹ năng cần thiết để nhận, bảo quản và gửi các thông điệp
điện tử có chứa các set giao dịch EDI.
- Để sử dụng các dịch vụ của VAN, công ty cần phải lắp đặt một phần mềm
phiên dịch EDI sao cho tương thích với VAN. Thông thường, VAN cung cấp luôn phần
mềm này như một bộ phận trong thỏa thuận vận hành của mình.
- Để gửi một set giao dịch EDI đến đối tác, khách hàng của VAN kết nối với
VAN bằng cách sử dụng đường dây thuê bao riêng hoặc đường dây điện thoại sau đó gửi
thông điệp đã được định dạng EDI đến VAN.
- Kết nối gián tiếp các đối tác thương mại: VAN sẽ log thông điệp và chuyển
thông điệp đến hòm thư nằm trong máy tính VAN của đối tác. Đối tác sẽ kết nối với
VAN để nhận thông điệp gửi dến mình từ hòm thư. Cách tiếp cận này gọi là kết nối gián
tiếp vì các đối tác gửi thông điệp qua VAN thay vì kết nối các máy tính của họ trực tiếp
với nhau.,
III. ƯU, NHƯỢC ĐIỂM
1. Ưu điểm
- Người sử dụng chỉ cần duy trì một giao thức truyền thống thay vì phải sử dụng
nhiều giao thức như trong trường hợp sử dụng EDI.
- VAN ghi nhận các hoạt động thông điệp trong một audit log. Audit log ( nhật
ký kiểm tra) VAN này trở thành một bản ghi các giao dịch và điều này rất có
ích kkhi phải giải quyết các tranh cãi nảy sinh giữa các đối tác.
- VAN có thể cung cấp việc phiên dịch giữa các set giao dịch khác nhau (ví dụ
dịch từ set ASC X 12 sang set UN/EDIFACT.
- VAN có thể kiểm tra tính tự động tương thích để đảm bảo rằng set giao dịch có
định dạng EDI riêng biệt.
2. Nhược điểm:
- Chi phí lớn: Phần lớn các mạng VAN đòi hỏi đóng phí vận hành, phí bảo trì
hàng tháng và phí giao dịch. Phí giao dich dựa trên khối lượng giao dịch, độ
dài giao dich hoặc cả hai. Những đối tác thương mại có lượng giao dịch ít
thường thấy khó khăn khi phải chi trả phí vận hành và phí bảo trì cố định hàng
tháng.
Ví dụ: Chi phí ban đầu cho việc triển khai EDI, bao gồm phần mềm, phí vận
hành và phần cứng có thể vượt quá 50000$.
- Các công ty có thể sử dung các mạng VAN khác nhau, không phải khi nào
cũng dễ giao dịch với nhau. Mặc dù một số mạng VAN thực hiện dịch vụ trao
40
đổi thông điệp với các mạng VAN khác thì chi phí cho dịch vụ này là không
thể dự đoán trước được.
- Lưu chuyển thông tin giữa các VAN không phải luôn luôn cho phép việc kiểm
tra theo dõi một cách minh bạch các giao dịch làm cơ sở cho việc giải quyết
các bất đồng
IV. NHÀ CUNG CẤP
Các VAN chính:
- CompuServe Information Services: có thể truy cập đến hàng trăm điểm trên nước Mỹ
với nhiều dịch vụ VAN.
Xem website
- GE Information Services: cung cấp các dịch vụ chuyển mạch gói và tốc độ cao, cũng
như các dịch vụ đồng bộ và không đồng bộ.
Địa chỉ website:
- Infonet Services Corp. Cung cấp các dịch vụ quốc tế. Website
VII. CHI PHÍ
Chi phí liên quan cho một mạng giá trị gia tăng thường dựa trên phạm vi các dịch
vụ theo yêu cầu của khách hàng. Các nhà cung cấp thường cung cấp các gói dịch vụ khác
nhau được thiết kế cho các công ty có các kích cỡ và các loại hình kinh doanh khác nhau,
với một mức độ tuỳ chỉnh cho khách hàng nằm trong chi phí cơ bản. Nhiều nhà cung cấp
cũng cung cấp một loạt các dịch vụ bên ngoài phạm vi của từng cung cấp Hợp đồng cá
nhân, làm cho nó dễ dàng hơn cho khách hàng khi cần một dịch vụ được đưa ra trên cơ sở
không thường xuyên để mua nó trên một cơ sở cần thiết, thay vì mua một gói tốn kém
bao gồm các dịch vụ trong gói cơ bản.
Các file đính kèm theo tài liệu này:
- tl_kinh_doanh_9788.pdf