Tiểu luận Công nghệ truyền dữ liệu trên nền tảng B2B

hoặc giao thức ZENGIN (Liên đoàn các hiệp hội ngân hàng Nhật Bản), dựa trên TCP/IP… Giao thức ZENGIN chỉ được dùng trong nội đia của Nhật. 2. Kiểu WWW: Bằng cách chuyển đổi thông điệp EDI sang định dạng HTML và đăng ký trên máy phục vụ WWW, thông điệp EDI có thể đọc được và nhập vào dễ dàng từ trình duyệt WWW. HTTP được sử dụng như giao thức truyền thông. 12 IV. LỢI ÍCH Internet cũng làm một cuộc cách mạng hoá nền thương mại điện tử doanh nghiệp đến doanh nghiệp. EDI thông qua Internet đã rẻ hơn rất nhiều so với VANs và những người sử dụng EDI ở qui mô lớn đã phát triển những hệ thống giao dịch trực tuyến của họ dựa trên web dựa trên những ngôn ngữ đánh dấu tương thích với Web thay cho những tài liệu EDI cứng nhắc. Nǎm 2001, một phiên bản của XML được thiết kế cho thương mại điện tử, được gọi là ebXML, đã chính thức được chuẩn hoá và những người sử dụng ngày nay đang tiến hành kết hợp những yếu tố tốt nhất của EDI và ebXML để tạo ra một loại hình thương mại điện tử hoàn hảo hơn. Những lợi ích mà EDI trên cơ sở internet đem lại: - Giảm chi phí giao dịch cho việc trao đổi thông tin, chi phí giấy tờ, thư tín - Tiết kiệm thời gian vì không cần phải nhập lại thông tin nhiều lần - Giảm chi phí xử lý dữ liệu bằng tay - Tang tính chính xác của thông tin, giảm lỗi sai sót do không phải nhập lại số liệu nhiều lần - Hệ thống lưu trữ thông điệp khẳng định văn bản đã được giao đến cho đối tác và có thể theo dõi đường đi của hàng hóa trong từng giai đoạn - Được sử dụng cùng với hệ thống lưu kho tự động, EDI giúp giảm thời gian lưu kho, giảm số lượng hàng tồn kho - Chu trình giao dịch thương mại nhanh hơn có nghĩa đáp ứng nhu cầu của khách hàng hiệu quả hơn - Có cơ hội thúc đẩy các hoạt động cung cấp và sản xuất nhằm tăng tính cạnh tranh của công ty và của cả ngành công nghiệp - Cải thiện mối quan hệ thương mại, củng cố quan hệ giữa khách hàng và nhà cung cấp - Giữ được các khách hàng quan trọng và có thể sử dụng như một công cụ tiếp thị nhằm thu hút các khách hàng mới - Giúp các doanh nghiệp đứng vững trên thị trường. Một số công ty lớn yêu cầu các công ty đối tác phải sử dụng EDI mới tiến hành kinh doanh - Không những vậy, trong các giao dịch thương mại của các công ty chúng ta nên sử dụng EDI vì khi sử dụng EDI, các phần mềm ứng dụng của công ty bạn có thể gửi chứng từ giao dịch trực tiếp đến hệ thống máy tính của đối tác mà không cần sự can thiệp của con người. EDI giúp giảm thiểu công sức của nhân viên và hạn chế những chậm trễ hay lỗi thường đi kèm với việc xử lý chứng từ bằng tay. Bằng cách đơn giản hóa và tinh giảm các quy trình giao dịch, EDI có thể giúp công ty bạn kiểm soát được chi phí, tăng tính hiệu quả và cải thiện trình độ phục vụ khách hàng. 13 V. GIAO THỨC TRUYỀN THÔNG DÙNG CHO INTERNET EDI 1. FTP (File Transfer Protocol) FTP là giao thức truyền file phổ biến nhất được sử dụng qua mạng TCP/IP. Các phương pháp xác nhận truyền như kiểm tra kích cỡ file được yêu cầu để kiểm tra dữ liệu được gửi và nhận không bị rò rỉ. Khi kết nối máy phục vụ FTP tới Internet, phải có các biện pháp an ninh mạng như cài đặt bức tường lửa trong mạng LAN nội bộ. 2. SMTP/MIME (Simple Mail Transfer Protocol/Multi-purpose Internet Mail Extension) SMTP/MIME là giao thức truyền thư được sử dụng bởi mạng TCP/IP. Chỉ các chuỗi ký tự mới có thể truyền hoặc nhận bởi SMTP và việc chuyển đổi (mã hóa) thành các chuỗi ký tự bằng phương pháp MIME sẽ cho phép truyền các file có chứa các dữliệu nhị phân. 3. HTTP (Hyper-Text Transmission Protocol) Giao thức được sử dụng để truyền và nhận dữ liệu HTML giữa máy phục vụ WWW và trình duyệt. 4. Địa chỉ IP (Internet Protocol) VI. CÁC PHƯƠNG PHẤP KỸ THUẬT ĐẢM BẢO AN NINH Nói chung bảo mật là một vấn đề quan trọng trong Internet. Vùng bảo mật rất rộng. Trong EDI, hiểm họa quan trọng là sự giả mạo người dùng, việc sử dụng trái phép và nghe trộm. Đặc biệt trong sử dụng Internet, vì những thuê bao cá nhân tồn tại và không bị hạn chế như trong mạng VAN hiện tại, nên việc đảm bảo an ninh Internet sẽ bị giới hạn. Do vậy vấn đề an ninh tại đầu dùng cuối hết sức quan trọng. Để hiện thực hoá, cần có các biện pháp ở mức truyền thông và mức ứng dụng với quy mô đáng kể.Sau đây là các biện pháp ở mức truyền thông. Các biện pháp ở mức phương pháp truyền thông bao gồm mức IP và mức phương pháp truyền thông.Cũng cần chọn phương pháp bảo mật nào được chấp nhận hoặc phần nào trong hệ thống EDI cần áp dụng, khi xem xét tốc độ xử lý và tính dễ dàng thực hiện mức bảo mật cần thiết cho Internet EDI. 14  Các hiểm họa gặp phải trong EDI: - Giả mạo người dùng: Một người nào đó giả mạo là một người dùng máy tính A để truy cập một máy phục vụ nhằm lừa đảo máy phục vụ và người dùng máy A. Khi người dùng máy A bị giả mạo, thông tin trên máy A sẽ bị đánh cắp, thông tin liên quan đến A trên mạng cũng bị đánh cắp và chúng có thể bị thay đổi hoặc bị phá hủy. Phạm vi phá hoại của việc giả mạo trong trương mục trên mạng nằm trong khu vực có thể với tới được của máy tính đó. Vì vậy nếu người quản trị mạng bị giả mạo thì sự thiệt hại có thể rất nghiêm trọng. Thông tin trên máy phục vụ sẽ bị đánh cắp. Hơn nữa, kẻ tội phạm máy tính có thể truy cập máy phục vụ khác thông qua việc sử dụng thông tin có được từ máy tính này. - Sử dụng trái phép PC hoặc máy phục vụ: Kẻ tội phạm máy tính truy cập trái phép một tập tin hoặc một chương trình trên một PC hoặc một máy phục vụ để lấy thông tin, sửa đổi và cuối cùng phá hủy chúng. Hơn nữa chúng có thể dùng để phá hủy chức truyền thông. - Mắc trộm để nghe lén, nhìn trộm một cách phi pháp những thông tin truyền qua mạng và sửa đổi chúng. - Nặc danh những dữ liệu truyền. 1. Mức IP (phương pháp kiểm tra truy nhập).  Khái niệm: Là phương pháp cho phép tất cả các gói IP, và kiểm soát gói nào thì phải hạn chế (loc). Thông thường, bằng cách giới hạn các dịch vụ cần thiết ở mức tối thiểu sẽ ngăn chặn được việc truyền bất hợp pháp.  Ý tưởng cơ bản của việc lọc như sau: - Chỉ cho qua các gói dịch vụ được yêu cầu - Không cho qua các gói dịch vụ không sử dụng - Cho qua một cách có chọn lọc các gói trong mạng của người dùng.  Các phương pháp đảm bảo an ninh như sau: a. Chức năng lọc dữ liệu của gói định đường. Chức năng này cho phép truy cập tới ứng dụng ở lớp cao hơn theo địa chỉ IP của nguồn truyền hoặc đích truyền tại mức của một gói hoặc số hiệu của cổng TCP trong tiêu đề gói IP. Gói IP được cho phép qua hay bị ngăn lại tùy theo sự tổ hợp giữa “địa chỉ nguồn truyền, số hiệu của cổng” và “địa chỉ đích truyền, số hiệu của cổng”. Các gói được phép sẽ trực tiếp tới được máy tính có địa chỉ gửi đến. 15 Ví dụ có thể lọc dữ liệu bằng máy tính hoặc mạng con.Mặc dầu có thể thực hiện lọc với hiệu năng cao, vẫn không có chức năng xác thực và việc lọc đó bị giới hạn. Mặt hạn chế nữa là từ bên ngoài có thể nhìn thấy địa chỉ IP ở bên trong b. Bức tường lửa Nói chung, bức tường lửa được thực hiện bằng thiết bị máy phục vụ với chức năng cổng ứng dụng. Chức năng này quản lý việc cho phép hoặc ngăn chặn các địa chỉ và dịch vụ đặc biệt không cho đi tiếp (HTTP, FTP, Telnet, v.v...). Thông thường, tùy theo người sử dụng có yêu cầu dịch vụ hay không, việc kết nối với ứng dụng mạng (Telnet, FTP, SMTP, v.v...) bao gồm cả nguồn truyền và đích truyền, đều bị kiểm soát. Vì mọi kết nối đều được truyền từ ngoài bức tường lửa, thông tin về kiến trúc của mạng riêng sẽ không bị truyền ra ngoài. Hơn nữa, do không thể truyền gói và trao đổi thông tin về đường dẫn giữa mạng bên trong và bên ngoài nên những nhược điểm trong việc tấn công vào trong bộ định tuyến nguồn có thể được khắc phục tốt hơn. Để làm cho những phương pháp này có hiệu lực, đòi hỏi phải có các biện pháp sau trong việc xây dựng mạng: o Đặt máy phục vụ dịch vụ trên một segment ở bên trong bức tường lửa o Tách biệt với mạng của tổ chức bằng cách dùng một địa chỉ IP riêng (quy định trong RFC 1597 – RFC là viết tắt của Request For Comments) o Những phát triển khác của công nghệ bảo mật ở mức IP được trình bày ở các phần sau đây. c. IP phiên bản 6 (IPv6). Địa chỉ IP thế hệ mới của Internet IPv6 (IP Address Version 6) được Nhóm chuyên trách về kỹ thuật IETF (Internet Engineering Task Force) của Hiệp hội Internet đề xuất thực hiện kế thừa trên cấu trúc và tổ chức của IPv4. IPv4 có 32 bít địa chỉ với khả năng lý thuyết có thể cung cấp một không gian địa chỉ là 232 = 4 294 967 296 địa chỉ. Còn IPv6 có 128 bit địa chỉ dài hơn 4 lần so với IPv4 nhưng khả nǎng lý thuyết có thể cung cấp một không gian địa chỉ là 2128 = 340 282 366 920 938 463 463 374 607 431 768 211 456 địa chỉ, nhiều hơn không gian địa chỉ của IPv4 là khoảng 8 tỷ tỷ tỷ lần vì 232 lấy tròn số là 4.10 9 còn 2128 lấy tròn số là 340. 10 36 (khoảng 340 tỷ tỷ tỷ tỷ địa chỉ). Đây là một không gian địa chỉ cực lớn với mục đích không chỉ cho Internet mà còn cho tất cả các mạng máy tính, hệ thống viễn thông, hệ thống điều khiển và thậm chí cho từng vật dụng trong gia đình. Nhu cầu hiện tại chỉ cần 15% không gian địa chỉ IPv6 còn 85% dự phòng cho tương lai. 16 Với cấu trúc của IPv6, các vấn đề cần quan tâm không còn là việc thiếu địa chỉ hoặc giới hạn (mật mã hoá, xác thực, cấu hình động…) nữa. d. IPsec (Mật mã hóa giao thức IP)  Khái niệm mở đầu về IPsec IPsec (RFC1825 đến RFC1828, RFC – Request For Comments) được đề xuất như một khung về mật mã hoá và xác thực có thể ứng dụng được cả cho IPv4 và IPv6. Bằng cách đưa ra cơ chế xác thực mã hoá cho chính việc trao đổi bằng IP, sẽ giải quyết đuợc các vấn đề như nghe trộm, và giả mạo dữ liệu. Ipsec là khái niệm chung cho hai hoặc nhiều giao thức thực thi các truyền thông mật mã hóa ở lớp mạng. Nó chỉ định các hệ thống như chứng thực, mật mã hóa các gói và một quy trình quản lý khóa. Chức năng của IPsec là: mật mã hóa các gói IP bằng các khóa chung của máy phục vụ gửi và nhận, và chứng thực máy phục vụ truyền tin được đặt ở phần đầu của IPsec. Đặc tính của IPsec là thuật toán chứng thực và mật mã hóa và cấu trúc quản lý mật mã hóa được tách khỏi giao thức của IPsec. Mối quan hệ trong đó một cặp máy phục vụ liên lạc sử dụng giao thức IPsec dùng chung thuật toán chứng thực và mật mã hóa và chung khóa mật mã được gọi là liên kết an ninh (SA-security association). Nó được chỉ định bởi con trỏ chỉ số tham biến an ninh (SPI-Security Parameters Index) được chứa ở phần đầu của IPsec, trong đó SA tương ứng với một gói IP cụ thể. Trong IPsec, phần đầu chứng thực (AH-Authentication Header) được dùng để chứng thực phần đầu IP, địa chỉ IP (đích và nguồn) của cùng một gói. Kiểm tra tổng của phần đầu IP được chứa ở AH, và nó giúp phát hiện sự sửa đổi phần đầu IP. Phần đầu của khối an ninh gói gọn (ESP-Encapsulating Security Payload) được dùng khi mã hóa dữ liệu một gói IP. Khối đã mã hóa được lưu trong phần chính của phần đầu ESP.  Quản lý mã hóa trong IPsec Trong truyền thông IPsec, cần thiết lập một SA để chia sẻ thông tin về một mã khóa trước khi bắt đầu liên lạc.Tuy nhiên trong một hệ thống mà mã khóa được thiết lập thủ công, việc quản lý sẽ phức tạp và sẽ không linh hoạt khi mở rộng các chức năng.Vì vậy cần thiết phải có một giao thức quản lý mã khóa nhằm có thể trao đổi thông tin về mã khóa một cách năng động. IKE (Internet Key ExchangeTrao đổi mã khóa Internet) do hãng Sysco đề xuất đã được sử dụng thành chuẩn giao thức quản lý mã khóa của IP sec. Việc trao đổi mã khóa phiên được tiến hành dựa trên phương 17 pháp mã hóa khóa chung của Diffie-Hellman. Đầu tiên xác định thuật toán mã hóa dùng cho giai đoạn sau đó và tạo ra một mã khóa theo hệ thống “DiffieHellman”. Sau đó, thực hiện thỏa thuận các thông tin khác nhau cần thiết cho liên lạc IPsec, như một số tuần tự cho truyền thông mã hóa và xác định thuật toán mã hóa và trao đổi một mã khóa.  Có 3 giao thức chủ yếu là: - IKE (Internet Key Exchange): trao đổi mã khóa Internet. - ESP (Encapsulating Security Payload): Khối an ninh gói gọn. Một gói IP được mã hóa, gắn thêm 3 thông tin SPI, số tuần tự và thông tin chứng thực và gói thành một khối gọi là ESP, sau đó được truyền tới nơi nhận. - SPI (Security Parameters Index-Chỉ số tham biến an ninh). Đây là định danh của SA tương ứng. Ở phía nhận ESP, giá trị này chỉ định thuật toán mã hóa và mã khóa cho giải mã. Số tuần tự: Đây là con số tuần tự được gắn thêm vào các gói IPsec dùng để chống lại các “tấn công gửi lại”, đó là gửi lặp lại một gói nào đó bị theo dõi và bị bắt giữ rồi khống chế liên lạc. Bên nhận sẽ loại trừ một gói sai lệch dựa trên kiểm tra con số tuần tự này. Thông tin chứng thực: Chức năng của nó là đảm bảo tính toàn vẹn của dữ liệu được truyền và chứng thực các máy phục vụ gửi và nhận. Đây là kết quả của phép tính hàm phân tách gọi là MAC (Message Authentication Code-Mã chứng thực thông điệp), cho dữ liệu truyền và mật khẩu. AH (Authentication Header-Phần đầu chứng thực) AH được dùng để thực hiện “đảm bảo toàn vẹn” và “chứng thực của cả máy phục vụ gửi và nhận” trong trường hợp xấu nhất. Một gói IP không được mật mã hóa mà gắn thêm AH với 3 thông tin SPI, số tuần tự, thông tin chứng thực tạo thành một gói IP và được truyền tới nơi nhận. 2. Mức phương pháp truyền thông. a. SSL (Secure Socket Layer) 18 Giao thức bảo mật cho Internet đối với các ứng dụng TCP được phát triển bởi Netscape được lắp vào giữa giao thức TCP và các giao thức ứng dụng như HTTP và FTP Các gói ứng dụng HTTP, FTP, v.v..được mã hóa bằng phương pháp mã hóa được mô tả trước bởi SSL và được truyền như dữ liệu SSL. Do đó, SSL có thể được sử dụng không chỉ cho việc mã hóa đường truyền thông giữa máy phục vụ WWW và máy khách WWW, mà còn cho việc mã hóa đường truyền dữ liệu theo FTP, Telnet, v.v… SSL được thực hiện giữa lớp truyền tải và lớp ứng dụng và bao gồm hai lớp phụ: - Lớp phụ dưới chịu trách nhiệm truyền và nén dữ liệu. - Lớp phụ trên thực hiện các thỏa thuận về xác nhận một chữ ký số và việc mã hóa Ở SLL thực hiện việc thỏa thuận về thuận toán cho chứng thực, mã hóa và chữ ký số, v.v..sẽ được các bên sử dụng, sau đó nó các bên xác nhận và truyền dữ liệu ứng dụng.  Chức năng của SSL: - Xác nhận một máy phục vụ: Khách dùng có thể thẩm tra chứng nhận của máy phục vụ. Một CA (Certification Authority) ủy thác sẽ cấp chứng nhận cho máy phục vụ trong đó công nghệ mã hóa khóa chung sẽ được dùng khi khách hàng gửi yêu cầu tới CA. - Chứng thực một khách hàng: Máy phục vụ có thể kiểm tra tên và mật khẩu của người dùng. Máy phục vụ có thể thẩm tra chứng nhận của người dùng. Một CA ủy thác sẽ cấp chứng nhận cho người dùng và công nghệ mã hóa khóa chung sẽ được dùng khi người dùng gửi yêu cầu tới CA . - Truyền dữ liệu mã hóa: Máy phục vụ và máy khách có thể kiểm tra xem dữ liệu truyền có bị sửa đổi không. Người thứ ba không thể can thiệp vào dữ liệu trong quá trình truyền. Việc mã hóa được thực hiện bằng hệ thống khóa thông thường. b. Sự xuyên qua đường hầm (Tunneling) Để các gói theo giao thức A có thể xuyên qua được các mạng với môi trường giao thức B khác, các gói giao thức A được chèn vào trong các gói giao thức B, và các gói A được gửi tới phía đối tác như thể chúng là các gói giao thức B. Bằng cách kết hợp với mật mã hóa, các mạng riêng đã được xây dựng bằng cách sử dụng đường riêng hiện có, bây giờ có thể xây dựng thành VPN (Virtual Private Network mạng riêng ảo) với chi phí thấp sử dụng mạng công cộng như Internet, v.v.. c. Tổng quan về các biện pháp bảo mật ở mức phương pháp truyền thông  Bảo mật liên quan tới phương pháp quản lý thông tin. 19  Mật khẩu Phương pháp thực hiện việc xác thực nhận dạng riêng của phía khác theo các chuỗi ký tự và chuỗi số được đăng ký trước. Nó được sử dụng rất rộng rãi vì đơn giản và dễ dùng, tuy nhiên có hạn chế là dễ bị giải mã. Vì vậy đòi hỏi phải có sự quản lý và vận hành cẩn thận, tránh mật khẩu dễ quá hoặc thay đổi mật khẩu theo định kỳ.  Phương pháp mật mã hóa và khoá Mật mã hóa là kỹ thuật có hiệu quả để đảm bảo sự cẩn mật và ngăn chặn sự giả mạo của bên thứ ba.Vùng áp dụng được kỹ thuật này rất rộng, từ các ứng dụng ở mức truyền thông tới việc mật mã hóa của các tập tin người sử dụng. Phương pháp mật mã hóa phổ biến bao gồm “phương pháp khóa chung” và “phương pháp khóa công khai”. Phương pháp khóa chung: khoá để mật mã hóa và khoá để giải mật mã là giống nhau, có thể dễ dàng giải quyết. Các ví dụ được biết đến nhiều là “DES” được sử dụng như một tiêu chuẩn ở Mỹ. Tính chất của phương pháp này là thời gian mật mã hóa nhanh. Trong khi truyền mật mã hóa, cần gửi khóa giải mật mã tới đích truyền tương ứng với khoá mật mã hóa. Phương pháp khóa công khai: khóa mật mã hóa và khoá giải mật mã phải tương ứng 1: 1, nhưng vì nội dung của chúng là hoàn toàn khác nhau, nên không có khả năng suy luận từ khóa này sang khóa khác. Phương pháp khóa công khai được phổ biến rộng rãi là “RSA” được phát triển ở Mỹ. Với phương pháp khóa công khai, như khóa mật mã hóa và khoá giải mật mã khác nhau, một khóa có thể mở đối với tất cả mọi người, đó là khóa công khai, tạo điều kiện cho việc quản lý các khóa. Bằng cách áp dụng ưu thế của sự khác biệt giữa khóa mật mã hóa và khoá giải mật mã, có thể thực hiện được chức năng chữ ký điện tử. 3. Các biện pháp trực tiếp ngăn ngừa các hành động bất hợp pháp của người giao dịch. Để ngăn chặn các vấn đề nảy sinh trong giao dịch qua mạng thông tin, đòi hỏi phải có chức năng xác thực mang lại bằng chứng là người giao dịch đã thực sự thực hiện các giao dịch được yêu cầu. Một giải pháp được đề xuất là kỹ thuật chữ ký điện tử với các chức năng xác thực bằng cách sử dụng mã hóa khóa công khai, v.v..Bộ phận xác nhận (CA-Certificate Authority) ngăn chặn sự mạo danh để “giả vờ” khóa công khai là đúng và được trang bị với các chức năng đăng ký dấu và chứng nhận dấu. 4. Dịch vụ chỉ dẫn. Một phương pháp dẫn tới các thông tin quản lý bảo mật là sử dụng các dịch vụ chỉ dẫn dựa trên LDAP (Light Weight Directory Access Protocol) được mô tả bởi nhóm công tác IETF (The Internet Engineering Task Force). Nó rất hữu dụng để làm 20 tăng hiệu quả quản lý và các thao tác chứng nhận và các thông tin người sử dụng cá nhân. 5. Các biện pháp đối phó với Virus Cần xem xét các rủi ro xâm nhập của virus trong các trao đổi tệp qua Internet. Khi trao đổi các tệp bằng thư điện tử và FTP trong môi trường Internet, việc truyền và nhận các tệp đã bị nhiễm virus sẽ là nguyên nhân gây lan truyền virus. Vì vậy cần phải chú ý rằng chỉ một lần bị nhiễm virus, thì vùng bị ảnh hưởng cũng sẽ lan ra các máy khách. Để đối phó lại, cần kiểm tra trước khi truyền tệp và thực hiện việc kiểm tra tại phía nhận.Sự kiểm tra/tiêu diệt virus bao gồm phương pháp kiểm tra bức tường lửa cùng với máy phục vụ và phương pháp kiểm tra thiết bị khách của người sử dụng. Vấn đề này luôn được giải quyết bằng phần mềm kiểm tra virus mới nhất 21  VPN I. KHÁI NIỆM Mạng riêng ảo hay VPN (Virtual Private Network) là một mạng dành riêng để kết nối các máy tính lại với nhau thông qua mạng Internet công cộng. Những máy tính tham gia mạng riêng ảo sẽ "nhìn thấy nhau" như trong một mạng nội bộ - LAN (Local Area Network). Internet là một môi trường công cộng, việc chia sẻ dữ liệu có tính riêng tư thông qua Internet là cực kỳ nguy hiểm vì những dữ liệu đó có thể dễ dàng bị rò rỉ, bị ăn cắp... Mạng riêng ảo là giao thức trợ giúp việc kết nối các máy tính lại với nhau thông qua một kênh truyền dẫn dữ liệu (tunel) riêng đã được mã hóa. Để dễ hiểu VPN, Bạn cứ tưởng tượng như trên xa lộ có những đoạn chạy xuyên qua một dãy núi.Ở đoạn này thông thường người ta làm một đường hầm. Khi xe bạn (tưởng tượng như những gói dữ liệu) chạy vào đường hầm thì xe màu xanh, xe màu đỏ, xe to, xe nhỏ, có bao nhiêu người ngồi trong xe.v.v.v. bạn đứng bên ngoài sẽ không cách gì biết được nữa. Bởi vì cái ống hầm bê tông kiên cố này đã che chở và "giấu" tung tích của tất cả những chiếc xe chạy qua đường hầmrồi. Bạn có thể hiểu phương thức VPN dễ dàng là như thế.Đường xa lộ là DSL, và ống hầm xuyên núi là phương thức bảo mật VPN. Và để bảo mật có hiệu quả, đường hầm có "đầu vào" và "lối ra" tức là hai điểm nhà và công ty . II. CÁCH THỨC HOẠT ĐỘNG Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những đường ống riêng( tunnel). Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy chạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ pahir sử dụng chung giao thức ( tunnel protocol). 22 Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết.Hai điểm đầu cuối này được gọi là giao diện Tunnel, nơi nhận gói tin đi vào và đi ra trong mạng.  Kĩ thuật Tunneling yêu cầu 3 giao thức khác nhau:  Giao thức truyền tải là giao thức được sử dụng bởi mạng có thông tin đang đi ngang qua.  Giao thức mã hoá dữ liệu là giao thức được bọc quanh gói dữ liệu gốc.  Giao thức gói tin là giao thức dữ liệu gốc được truyền đi. Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên internet bên trong một gói IP và gửi đó an toàn qua internet. Hoặc họ coá thể đặt một gói tin dùng địa chỉ IP riêng bên trong một gói khác dùng địa chỉ IP chung để mở rộng một mạng riêng trên internet.  Kĩ thuật Tunneling trong mạng VPN điểm- nối điểm. Trong VPN loại này, giao thức mã hoá định tuyến GRE cugn cấp cơ cấu “đóng gói” giao thức gói tin để truyền đi trên giao thức truyền tải . Nó bao gồm thông tin về loại gói tin mà bạn đang mã hoá và thông tin về kết nối giữa máy chủ với máy khách.Nhưng IPSec trong cơ chế tunnel, thay vì dùng GRE, đôi khi lại đóng vai trò là giao thức mã hoá.IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm- nối điểm.Tất nhiên, nó phải được hỗ trợ ở cả hai giao diện Tunnel. Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính qua máy chủ truy cập, tới router( tại đây giao thức mã hoá GRE diễn ra), qua Tunnel để tới máy tính của văn phong từ xa.  Kĩ thuật tunneling trong mạng VPN truy cập từ xa Với loại VPN này, Tunnelng thường dùng giao thức điểm nối điểm PPP.Là một phần của TCP/IP, PPP đóng vai trò truyền tải cho các giao thức khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa.Nói tóm lại, lỹ thuật Tunnel cho mạng VPN truy cập từ xa phụ thuộc vào PPP. Các giao thức dưới đây được thiết lập dựa trên cấu trúc cơ bản của PPP và dùng trong mạng VPN truy cập từ xa. 23 L2F được Ciscophats triển.L2F dùng bất lì cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ. PPTP được tập đoàn PPTP forum phát triển. Giao thức này hỗ trợ mã hoá 40 bit và 128 bit, dùng bất cứ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ. L2TP là sản phẩm của sự hợp tác giữa các thành viên PPTP forum, cisco và IETF.Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng là giao thức Tunneling cho mạng VPN điểm nối điểm và VNP truy cập từ xa.So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn. Để hiểu rõ hơn về mô hình hoạt động của VPN ta có 2 mô hình dưới đây: 24 III. LỢI ÍCH CỦA VNP  Mở rộng vùng địa lý có thể kết nối được  Tăng cường bảo mật cho hệ thống mạng  Giảm chi phí vận hành so với mạng WAN truyền thống  Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa  Tăng cường năng suất  Giảm đơn giản hoá cấu trúc mạng  Cung cấp thêm một phương thức mạng toàn cầu 25  Cung cấp khả năng hỗ trợ thông tin từ xa  Cung cấp khả năng tương thích cho mạng băng thông rộng  Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:  Bảo mật (Security)  Tin cậy (Reliability)  Dễ mở rộng, nâng cấp (Scalability)  Quản trị mạng thuận tiện (Network management)  Quản trị chính sách mạng tốt (Policy management). IV. PHÂN LOẠI MẠNG VNP  Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau: - Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặcdi động vào mạng nội bộ của công ty. - Nối liền các chi nhánh, văn phòng di động. - Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.  Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại: - Mạng VPN truy nhập từ xa (Remote Access VPN) - Mạng VPN cục bộ (Intranet VPN) - Mạng VPN mở rộng (Extranet VPN) 1. Mạng VPN truy nhập từ xa Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa.Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty.Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất.Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet. VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng. 26 POPDSL cable Mobile POP Extranet kh¸ ch hµng tíi c«ng ty Router Internet or or Hình 1.2 : Mô hình mạng VPN truy nhập từ xa Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống như: - Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện. - Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet. - Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa. - Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao hơn so với các truy nhập khoảng cách xa. - VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối. Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm cố hữu đi cùng như: - Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS. - Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói. - Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. 2. Mạng VPN cục bộ Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho 27 phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site. v¨n phßng ë xa Router Internet POP Remote site Central site or Hình 1.3: Mô hình mạng VPN cục bộ Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm: - Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ). - Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa. - Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới. - Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví dụ như công nghệ Frame Relay, ATM. Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như: - Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS). - Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao. 28 - Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường Internet. 3. Mạng VPN mở rộng Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… . Intranet DSL cable Extranet Business-to-business Router Internet POP Remote site Central site or Hình 1.4: Mô hình mạng VPN mở rộng Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng.Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site.Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN. Những ưu điểm chính của mạng VPN mở rộng: - Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống. - Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động. - Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công ty hơn. 29 - Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn mạng. Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những nhược điểm đi cùng như: - Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại. - Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet. - Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty. V. NHÀ CUNG CẤP Hiện nay có rất nhiều nhà cung cấp dịch vụ mạng riêng ảo trong đó có một số nhà cung cấp lớn đó là: 1. Viettel IDC của viettel Là dịch vụ mạng riêng ảo của Viettel IDC cho phép kết nối các mạng máy tính của doanh nghiệp (như các văn phòng, chi nhánh, cộng tác viên từ xa, v.v... ) thuộc các vị trí địa lý khác nhau tạo thành một mạng duy nhất và tin cậy thông qua việc sử dụng các liên kết băng rộng , sử dụng phương thức chuyển mạch nhãn đa giao thức (Multil Protocol Label Switching), giao thức của mạng thế hệ tiếp theo. Là dịch vụ cung cấp kết nối mạng riêng cho khách hàng trên nền mạng IP/MPLS.Dịch vụ VPN/MPLS cho phép triển khai các kết nối nhanh chóng, đơn giản, thuận tiện với chi phí thấp. Cho phép vừa truy nhập mạng riêng ảo vừa truy cập Internet (nếu khách hàng có nhu cầu) - Công nghệ: Sử dụng đường dây thuê bao số xDSL kết hợp công nghệ VPN/MPLS. - Tốc độ kết nối: Cung cấp các tốc độ linh hoạt mềm dẻo tuỳ theo nhu cầu của khách hàng. - Khả năng đáp ứng: Tại các tỉnh và thành phố trên cả nước có dịch vụ ADSL, SHDSL, FTTH do Viettel cung cấp. 2. Mạng riêng ảo GigaWan của CMC TI 2.1. Giới thiệu chung 30 DỊCH VỤ KÊNH THUÊ RIÊNG TRUYỀN SỐ LIỆU NỘI HẠT, LIÊN TỈNH VPN/MPLS (GIGAWAN) DỊCH VỤ TRUYỀN SỐ LIỆU NỘI HẠT LIÊN TỈNH GIGAWAN dựa trên công nghệ chuyển mạch nhãn đa giao thức MPLS (Multiprotocol Label Switching) đảm bảo việc truyền dữ liệu tốc độ cao, chất lượng, dễ dàng nâng cấp mở rộng phù hợp với các khách hàng có nhu cầu truyền dữ liệu đa điểm, tốc độ cao. GIGAWAN là thương hiệu của CMC TI, tương tự như các dịch chất lượng cao Metronet của VNPT, E-metro của FPT… GIGAWAN với chất lượng cao trên đường truyền hoàn toàn bằng cáp quang đáp ứng nhu cầu kết nối các mạng LAN, Video Conference, file transfer… GIGAWAN được cung cấp trên nền công nghệ hiện đại và đồng bộ GPON, quản lý đến tận thiết bị đầu cuối bảo việc chẩn đoán và xử lý sự cố nhanh chóng, vận hành ổn định. GIGAWAN đảm bảo các yêu cầu về bảo mật và quản lý chất lượng. 31 GIGAWAN phù hợp với các cơ quan tổ chức có quy mô hoạt động trên nhiều địa bàn với các chi nhánh cần kết nối với nhau. 2.2. Xu hướng sử dụng: Dịch vụ GIGAWANđược các Doanh nghiệp trong khối ngân hàng, doanh nghiệp, bảo hiểm tài chính, tập đoàn xuyên quốc gia, Doanh nghiệp, tổ chức lớn có nhiều chi nhánh, văn phòng giao dịch ưa chuộng để truyền số liệu và chất lượng đường truyền ổn định, chi phí sử dụng thấp, đặc biệt là hỗ trợ khả năng support rất nhanh khi xảy ra sự cố kỹ thuật hay lỗi cáp… Hiện trên thị trường các ISP cung cấp với nhiều tốc độ khác nhau từ 128k, 256k, 1Mbps…Còn CMC TI chỉ cung cấp cho các đối tác có nhu cầu sử dụng từ tốc độ 1Mbps đến 450Mbps nội hạt hay liên tỉnh với giá thành phù hợp nhất. 2.3. Hạ tầng mạng của CMC TI hiện nay gồm có: Hà Nội; Bắc Ninh; Đà Nẵng; HCM… Với hạ tầng mạng hiện đại được đầu tư đồng bộ trên các công nghệ GPON, NG- SDH, WDM… CMC TI cung cấp các dịch vụ chất lượng đảm bảo, độ ổn định cao-Mạng truy nhập 100%cáp quang dựa trên thiết bị đồng bộ, công nghệ GPON của Alcatel- Lucent, mạng CoreIP đồng bộ của hãng Juniper, hệ thống quản lý mạng tiên tiến có khả năng quản lý, giám sát cảnh báo đến tận thiết bị đầu cuối đặt tại nhà khách hàng. - Mạng truyền dẫn SDH (Alcatel, Fujitsu) Ring cấp I 10Gbps, Ring cấp II 2.5Gbps, Ring cấp III STM1/4. - CMC TI sở hữu trực tiếp hơn 18500 km cáp quang tại Hà Nội, TP Hồ Chí Minh và Đà Nẵng. Ngoài ra, tại các tỉnh thành trên cả nước CMC TI cũng có những hợp tác chia sẻ hạ tầng cung cấp dịch vụ với các đối tác lớn trong ngành viễn thông, an ninh và truyền hình. - Tốc độ mạng trục Backbone Bắc – Nam có khả năng cung cấp 10Gbps , kết nối trực tiếp Internet quốc tế qua tuyến cáp quang biển hiện đại nhất với dung lượng 2,5Gbps. 2.4. Hệ thống giám sát,cảnh báo từ xa ( AMS Alcatel) *Quản lý các dịch vụ truy nhập thông minh đến tận thiết bị đầu cuối khách hàng: - Phát hiện sự cố lỗi đứt cáp - Phát hiện mất nguồn tại thiết bị đầu cuối 32 - Phát hiện lỗi bit (BER) của đường truyền cho từng khách hàng - Giám sát việc cắm đúng/sai cổng tại phía khách hàng - Phát hiện và cảnh bảo mức tín hiệu quang cho từng kênh của khách hàng - Giám sát nhiệt độ thiết bị tại phía khách hàng *Hệ thống quản lý giám sát băng thông: - Giám sát băng thông tại các kênh kết nối - Hiệu quả sử dụng băng thông - Quản lý QoS *Syslog: - Ghi lại tình trạnh hoạt động, các cảnh báo, các hành động can thiệp đến hệ thống. - Ngăn cản các trường hợp truy cập không được phép - Hệ thống báo cáo truy xuất lưu lượng sử dụng theo ngày, tháng, năm - Báo cáo được gửi qua mail, fax hoặc trực tiếp 2.5. Khách hàng và đối tác tiêu biểu Ngân hàng Agribank, Techcombank, Vietinbank, Vietcombank, BIDV, Việt Nga Bank, Bắc Á, Habubank, HD bank, CK Thiên Việt, Artex, TVSI, SSI… 2.6. Chế độ CSKH VIP - Hỗ trợ kỹ thuật 24/7 qua hotline VIP, kỹ thuật có mặt trong vòng 30 phút sau khi nhận được yêu cầu - Giám sát 24/24h hoạt động của đường truyền để kịp thời thông báo và xử lý sự cố kỹ thuật - Cung cấp các báo cáo về tình trạng sử dụng băng thông, lịch sử các sự cố diễn ra. 2.7. Cam kết - Độ ổn định 99,95% - Đảm bảo 100% băng thông - Triển khai trong vòng 3-5 ngày - Cam kết thời gian khắc phục sự cố: Dưới 02h đối với lỗi kỹ thuật, Dưới 04h đối với lỗi đứt cáp. 3. Dịch vụ MPLS/VPN của FPT Telecom 3.1. Giới thiệu 33 VPN/MPLS là d ịch vụ cho phép khách hàng thiết lập các mạng ảo dùng riêng thông qua mạng MPLS VPN của FPT với các tính năng tương đương như một mạng riêng xét trên phương diện chất lượng, độ an toàn, ổn định và khả năng kiểm soát. 3.2. Mục đích sử dụng:  Thiết lập các mạng dùng riêng dựa trên cơ sở hạ tầng của mạng MPLS VPN do công ty FPT quản lý đồng thời giảm thiếu chi phí so với các công nghệ tương đồng  Tự tạo các ứng dụng riêng trên các kênh VPN như: truyền file, dịch vụ thư điện tử, chia sẻ tài nguyên mạng, cơ sở dữ liệu, web nội bộ, truyền ảnh, các ứng dụng ERP, các ứng dụng thiết kế mỹ thuật, truy nhập Internet, hội thảo qua mạng VPN, hosting… 3.3. Đối tượng sử dụng Thích hợp với các doanh nghiệp, tổ chức trong nước và nước ngoài đang hoạt động tại Việt Nam như:  Các đơn vị hoạt động trong lĩnh vực ngân hàng, bảo hiểm, hàng hải....  Các văn phòng đại diện các công ty nước ngoài được đặt tại Việt Nam, đặc biệt liên quan đến viễn thông, tin học, sản xuất  Các doanh nghiệp sản xuất có chi nhánh kết nối ở nước ngoài trong các khu công nghiệp, khu chế xuất, doanh nghiệp sản xuất  Các khu công nghệ phần mềm các đơn vị sản xuất phần mềm  Các cơ quan Chính phủ, các Bộ, các Tổng công ty Dịch vụ VPN/MPLS đáp ứng các nhu cầu đặc thù sau của khách hàng:  Cần kết nối tới các chi nhánh bằng kênh thuê riêng phục vụ mục đích truyền số liệu  Cần thiết lập mạng diện rộng của riêng tổ chức (mạng WAN)  Cần triển khai các ứng dụng đòi hỏi băng thông lớn, độ ổn định cao như Voice, Data, Video…  Cần sử dụng tốc độ cao cho các ứng dụng chuyên biệt  Yêu cầu có cam kết chất lượng dịch vụ cao nhất từ nhà cung cấp  Cần có hệ thống giám sát và cảnh báo khi kênh truyền có sự cố  Cần hỗ trợ kỹ thuật 24x7x365 3.4. Lợi ích mang lại cho khách hàng Chi phí thấp, tốc độ ổn định, đáp ứng được yêu cầu về bảo mật thông tin, đơn giản trong việc quản lý và dễ dàng trong việc chuyển đổi. 34  Giảm thiểu chi phí so với các công nghệ tương đồng trong việc quản lý, xây dựng, triển khai một mạng diện rộng  Tính ổn định và khả năng mở: Đáp ứng nhu cầu mở rộng một cách nhanh chóng, có thể kết nối nhanh chóng với các mạng khác  Thích ứng với nhiều loại công nghệ khác nhau và không thay thế hệ thống mạng hiện tại của khách hàng: Với khả năng hỗ trợ nhiều loại công nghệ khác nhau do đó MPLS có thể hỗ trợ nhiều kiểu truy nhập khác nhau: Frame Relay, IP, X.25 làm giảm thiểu chi phí cho khách hàng hoặc có thể tận dụng thiết bị mạng sẵn có của mạng  An toàn mạng: Với t ính năng mã hoá và tạo đường hầm của công nghệ VPN giúp MPLS đạt được mức độ an toàn cao như trong môi trường mạng riêng  Đảm bảo băng thông cam kết: giống như tính năng CIR trong Frame Relay  Chất lượng dịch vụ: Đảm bảo phân biệt thứ tự ưu tiên cho các loại dữ liệu khác nhau như: Số liệu, hình ảnh, âm thanh, giúp cho phép phân biệt các mức dịch vụ cung cấp  Quản lý đơn giản, khả năng lựa chọn tốc độ tối đa từ T1/E1, hoặc STM1, hỗ trợ truy nhập qua xDSL  Sử dụng được giao thức IP được coi là giao thức được chuẩn hóa để sử dụng rộng rãi trên thế giới cho các nhu cầu về trao đổi dữ liệu. Tích hợp dễ dàng với các thiết bị và ứng dụng đã có sẵn nếu chúng hỗ trợ giao thức IP  Tích hợp khả năng sử dụng Internet tốc độ cao  Phạm vi cung cấp trên toàn quốc và hơn 150 nước trên thế giới  Cung cấp khả năng truy nhập gián tiếp từ xa 3.5. Mô tả kỹ thuật Công nghệ MPLS VPN được phát triển dựa trên ý tưởng đơn giản hoá quá trình định tuyến lưu lượng truyền trên mạng Internet có thể dựa trên nện thiết bị mạng (hardware) so với dùng phần mềm như trước đây. Điều này có thể làm cho quá trình định tuyến và chuyển dữ liệu được nhanh hơn nhiều so với các công nghệ khác. Công nghệ MPLS đã trở thành một công nghệ lý tưởng cho việc quản lý dữ liệu trên mạng công cộng và trở thành một phần cốt lõi trong một mạng riêng ảo 3.6. Các loại hình dịch vụ cung cấp: BRONZE: MPLS t iêu chuẩn (Standard services): Đây là dịch vụ MPLS VPN cho phép khách hàng tạo các liên kết VPN với nhau và sử dụng các dịch vụ trên nền IP đơn giản, không có các cam kết về chất lượng dịch vụ cung cấp 35  SILVER: Là dịch vụ MPLS VPN cho phép bảo đảm chất lượng dịch vụ cung cấp (QoS) cho phép phân loại dữ liệu khác nhau đảm bảo tính ưu tiên của từng loại dữ liệu (CoS) thông qua việc quản lý phân bổ dung lượng kênh trong trường hợp có nghẽn mạng. Khách hàng có khả năng định dạng thứ tự ưu tiên của dữ liệu, ví dụ 1, 2, 3 và có liên kết trực tiếp tới phần quản lý CoS của FPT với các mức độ ưu tiên khác nhau. Cam kết SLA  GOLD: Dịch vụ MPLS VPN cho phép khách hàng sử dụng các ứng dụng về âm thanh và hình ảnh trên nền giao thức IP và các ứng dụng liên quan đến các tính năng này như: cung cấp kênh dùng cho voice riêng có thể nén trên CPE router, có kết nối tới PSTN, kênh kết nối riêng cho tín hiệu video. Cam kết SLA 3.7. Các thiết bị cần thiết để xử dụng dịch vụ  Modem NTU  Router  Đường kết nối truyền dẫn trực tiếp với mạng MPLS VPN  Modem gián tiếp, line thoại, máy tính đối với các truy nhập gián tiếp 3.8. Những cam kết phục vụ của FPT Telecom:  Hạ tầng truyền dẫn bằng cáp quang được thiết kế chuyên nghiệp và riêng biệt  Băng thông mạng Backbone lớn  Chính sách bán hàng, tư vấn, chăm sóc khách hàng và hỗ trợ kỹ thuật tốt nhất tại Việt nam  Cam kết chất lượng dịch vụ (SLAs)  Cung cấp các công cụ giám sát kênh truyền 24/24  Hỗ trợ kỹ thuật 24x7x365  Chính sách “one stop shop” 4. Dịch vụ mạng riêng ảo VPN/MPLS của VNPT Công nghệ VPN MPLS chính thức được VDC đưa vào triển khai ứng dụng thử nghiệm thành công và đưa vào khai thác từ năm 2003. Năm 2004, giải pháp VPN MPLS của VDC đã dành Cúp vàng Công nghệ thông tin IT Week 14 và được mở rộng khai thác trên khắp 64 tỉnh thành trên cả nước với thương hiệu VPN/VNN Giải pháp VPN/VNN MPLS của VDC được ứng dụng triển khai dựa trên công nghệ chuyển giao và thiết bị của Cisco, với mục tiêu tạo ra một giải pháp mạng an toàn 36 bảo mật tối ưu, độ trễ thấp, và tích hợp với mọi ứng dụng dữ liệu như Data, Voice, Video..  VPN/VNN – ưu điểm vượt trội - Công nghệ tiên tiến Công nghệ chuyển mạch nhãn đa giao thức MPLS (Multi Protocol Label Switching) là công nghệ mới nhất đang được ứng dụng tại đa số các quốc gia lớn ( Nhật, Mỹ, Singapore..) - Chi phí đầu tư hiệu quả • Tận dụng khả năng xử lý của các thiết bị trong mạng core MPLS của VDC.Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng. • Đáp ứng mô hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1 đường kênh vật lý duy nhất • Ch i phí sử dụng rẻ hơn tới 50% so với công nghệ truyền thống. - Bảo mật an toàn Riêng biệt hoàn toàn với sự kết hợp của : • Bảo mật tuyệt đối trên mạng core MPLS của VDC •Bảo mật tối ưu trên kênh Leased Line riêng (local loop) - Khả năng mở rộng đơn giản • Khi có nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng chỉ cần đăng kí thêm điểm kết nối với VDC mà không cần bất cứ một đầu tư lại gì trên mạng hiện có • Mọi cầu hình kết nối đều thực hiện tại mạng core MPLS của VDC, thành viên mạng không cần bất kì một cầu hình nào. - Đơn giản hóa quản trị IT • Với quá trình quản trị và thiết lập VPN tại mạng core MPLS của VDC sẽ giúp đơn giản hóa tối đa công việc quản trị IT trong hoạt động của doanh nghiệp. • Nhận được nhiều hỗ trợ từ nhà cung cấp. • Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp. - Tốc độ cao, đa ứng dụng và cam kết QoS • VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống truyền dẫn cáp quang. • Không chỉ là Data, VPN MPLS tại VDC có thể triển khai đầy đủ các ứng dụng về thời gian thực như VoIP, Video Conferencing với độ trễ thấp nhất. • Cung cấp các khả năng cam kết tốc độ và băng thông tối thiểu (QoS) VI. CHI PHÍ SỬ DỤNG VPN 37 1. Chi phí thấp VPN có thể giảm chi phí cho tổ chức trong các trường hợp sau: Hạn chế thuê các đường liên lạc đường dài rất đắt; Giảm chi phí đàm thoại đường dài; Hỗ trợ dỡ bỏ gánh nặng chi phí. Công ty cần thuê dung lượng mạng, với kênh T1 họ phải sử dụng hết, kết nối giữa các văn phòng công ty phải được bảo mật. Với VPN chúng ta sử dụng cơ sở hạ tầng công cộng ví dụ Internet để tạo ra các kết nối vào mạng ảo chắc chắn rẻ hơn kênh thuê riêng, đối với các kết nối băng rộng chi phí không khác so với dịch vụ của các ISP. 2. Giảm chi phí đàm thoại đường dài VPN cũng có thể thay thế các máy chủ ở xa và mạng dial-up đường dài trước đây thường dùng cho các nhân viên đi lưu động liên tục cần truy cập vào Intranet của công ty. Chi phí hỗ trợ bảo trì do đối tác thứ 3 cung cấp nhưng rất thấp vì đây là đối tác chuyên nghiệp cung cấp dịch vụ này cho rất nhiều khách hàng. 38 VAN I. KHÁI NIỆM  Một mạng lưới giá trị gia tăng (VAN) là một tổ chức cung cấp dịch vụ hoạt động như một trung gian giữa các đối tác kinh doanh chia sẻ các tiêu chuẩn dựa trên dữ liệu hoặc độc quyền thông qua chia sẻ quy trình kinh doanh . Các dịch vụ được cung cấp được gọi là "Mạng lưới dịch vụ giá trị gia tăng".  VAN, một mạng giá trị gia tăng là một loại của nhà cung cấp tư nhân được tham gia bởi một công ty để quản lý các quá trình trao đổi dữ liệu điện tử (EDI) cho việc kinh doanh. Trong nhiều trường hợp, các mạng cũng sẽ phục vụ như là phương tiện quản lý một số các dịch vụ mạng khác nhau, bao gồm cả các giải pháp thương mại trực tuyến. Đôi khi được gọi là truyền thông chìa khóa trao tay, mạng giá trị gia tăng cho phép ngay cả các doanh nghiệp nhỏ sử dụng các dịch vụ như truyền email an toàn , mã hóa tập tin và nhiều hình thức khác nhau của các báo cáo quản lý giữa các điểm khác nhau trong một cơ cấu công ty hoặc với một đối tác kinh doanh II. CÁCH THỨC HOẠT ĐỘNG - Thay cho kết nối trực tiếp đến các đối tác thương mại, công ty có thể quyết định sử dụng dịch vụ của mạng giá trị gia tăng VAN để kết nối gián tiếp các đối tác thương mại. Kho hàng Ngân hàng Nhà vn ti hàng không Nhà phân phi Nhà bán buôn Nhà sn xut bán thành phm Nhà sn xut thành phm Nhà vn ti ôtô VAN Nhà bán l 39 - VAN là hệ thống mạng của một công ty chuyên cung ứng các thiết bị viễn thong, các phần mềm và các kỹ năng cần thiết để nhận, bảo quản và gửi các thông điệp điện tử có chứa các set giao dịch EDI. - Để sử dụng các dịch vụ của VAN, công ty cần phải lắp đặt một phần mềm phiên dịch EDI sao cho tương thích với VAN. Thông thường, VAN cung cấp luôn phần mềm này như một bộ phận trong thỏa thuận vận hành của mình. - Để gửi một set giao dịch EDI đến đối tác, khách hàng của VAN kết nối với VAN bằng cách sử dụng đường dây thuê bao riêng hoặc đường dây điện thoại sau đó gửi thông điệp đã được định dạng EDI đến VAN. - Kết nối gián tiếp các đối tác thương mại: VAN sẽ log thông điệp và chuyển thông điệp đến hòm thư nằm trong máy tính VAN của đối tác. Đối tác sẽ kết nối với VAN để nhận thông điệp gửi dến mình từ hòm thư. Cách tiếp cận này gọi là kết nối gián tiếp vì các đối tác gửi thông điệp qua VAN thay vì kết nối các máy tính của họ trực tiếp với nhau., III. ƯU, NHƯỢC ĐIỂM 1. Ưu điểm - Người sử dụng chỉ cần duy trì một giao thức truyền thống thay vì phải sử dụng nhiều giao thức như trong trường hợp sử dụng EDI. - VAN ghi nhận các hoạt động thông điệp trong một audit log. Audit log ( nhật ký kiểm tra) VAN này trở thành một bản ghi các giao dịch và điều này rất có ích kkhi phải giải quyết các tranh cãi nảy sinh giữa các đối tác. - VAN có thể cung cấp việc phiên dịch giữa các set giao dịch khác nhau (ví dụ dịch từ set ASC X 12 sang set UN/EDIFACT. - VAN có thể kiểm tra tính tự động tương thích để đảm bảo rằng set giao dịch có định dạng EDI riêng biệt. 2. Nhược điểm: - Chi phí lớn: Phần lớn các mạng VAN đòi hỏi đóng phí vận hành, phí bảo trì hàng tháng và phí giao dịch. Phí giao dich dựa trên khối lượng giao dịch, độ dài giao dich hoặc cả hai. Những đối tác thương mại có lượng giao dịch ít thường thấy khó khăn khi phải chi trả phí vận hành và phí bảo trì cố định hàng tháng. Ví dụ: Chi phí ban đầu cho việc triển khai EDI, bao gồm phần mềm, phí vận hành và phần cứng có thể vượt quá 50000$. - Các công ty có thể sử dung các mạng VAN khác nhau, không phải khi nào cũng dễ giao dịch với nhau. Mặc dù một số mạng VAN thực hiện dịch vụ trao 40 đổi thông điệp với các mạng VAN khác thì chi phí cho dịch vụ này là không thể dự đoán trước được. - Lưu chuyển thông tin giữa các VAN không phải luôn luôn cho phép việc kiểm tra theo dõi một cách minh bạch các giao dịch làm cơ sở cho việc giải quyết các bất đồng IV. NHÀ CUNG CẤP Các VAN chính: - CompuServe Information Services: có thể truy cập đến hàng trăm điểm trên nước Mỹ với nhiều dịch vụ VAN. Xem website - GE Information Services: cung cấp các dịch vụ chuyển mạch gói và tốc độ cao, cũng như các dịch vụ đồng bộ và không đồng bộ. Địa chỉ website: - Infonet Services Corp. Cung cấp các dịch vụ quốc tế. Website VII. CHI PHÍ Chi phí liên quan cho một mạng giá trị gia tăng thường dựa trên phạm vi các dịch vụ theo yêu cầu của khách hàng. Các nhà cung cấp thường cung cấp các gói dịch vụ khác nhau được thiết kế cho các công ty có các kích cỡ và các loại hình kinh doanh khác nhau, với một mức độ tuỳ chỉnh cho khách hàng nằm trong chi phí cơ bản. Nhiều nhà cung cấp cũng cung cấp một loạt các dịch vụ bên ngoài phạm vi của từng cung cấp Hợp đồng cá nhân, làm cho nó dễ dàng hơn cho khách hàng khi cần một dịch vụ được đưa ra trên cơ sở không thường xuyên để mua nó trên một cơ sở cần thiết, thay vì mua một gói tốn kém bao gồm các dịch vụ trong gói cơ bản.