MẠNG RIÊNG ẢO Giới thiệu chung VPN 1.1 Khái niệm VPN hiểu đơn giản mở rộng mạng riêng (private network) thông qua mạng công cộng Về bản, VPN mạng riêng rẽ sử dụng mạng chung (thường internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường leased line, VPN sử dụng kết nối ảo dẫn đường qua Internet từ mạng riêng công ty tới site hay nhân viên từ xa Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tịan bảo mật VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật người nhận người gửi (Tunnel) giống kết nối point-to-point mạng riêng Để tạo đường ống bảo mật đó, liệu phải mã hóa hay che giấu cung cấp phần đầu gói liệu (header) thơng tin đường cho phép đến đích thơng qua mạng cơng cộng cách nhanh chóng Dữ liệu mã hóa cách cẩn thận packet bị bắt lại đường truyền công cộng khơng thể đọc nội dung khơng có khóa để giải mã Liên kết với liệu mã hóa đóng gói gọi kết nối VPN Các đường kết nối VPN thường gọi đường ống VPN (VPN Tunnel) Để đảm bảo vấn đề bảo mật mốt số thông tin quan trọng, người ta sử dụng số phương pháp sau:  Mã hóa (encryption): Là q trình làm thay đổi định dạng liệu cho đọc người nhận cần gửi Để đọc thông tin gửi, người nhận liệu cần phải có xác khóa giải mã (decryption key) Trong phương pháp mã hóa truyền thống người gửi người nhận cần phải có khóa cho mã hóa giải mã Ngược lại, phương pháp mã hóa cơng cộng sử dụng khóa:  Khóa chung (public key): tất người sử dụng q trình mã hóa giải mã Mã chung riêng biệt cho thực thể khác nhau, khóa chung cung cấp cho thực thể muốn giao tiếp cách an tồn với thực thể  Khóa riêng (private key): Khóa riêng cá nhân với thực thể, tăng phần bảo mật cho thơng tin Với khóa mã chung thực thể sử dụng để mã hóa gửi liệu, nhiên có thực thể có khóa riêng phù hợp giải mã liệu nhận Trong giao tiếp, người gửi có khóa chung để mã hóa liêu cịn người nhận sử dụng khóa riêng để giải mã liệu Có hai ứng dụng mã hóa sử dụng phổ biến Pretty Good Privacy (PGP) and Data Encryption Standard (DES)  Xác nhận (authentication): Là trình để đảm bảo liệu gửi đến nơi cần nhận người nhận liệu nhận thông tin đầy đủ Một dạng đơn giản yêu cầu xác nhận username password để truy cập tài nguyên Một dạng phức tạp xác nhận dựa sở khóa bí mật mã hóa (secret-key encryption) hay khóa chung mã hóa (public-key encryption)  Ủy quyền (authorization): cho phép hay từ chối truy cập tài nguyên mạng sau người sử dụng xác nhận thành công 1.2 Ưu nhược điểm a Ưu điểm:  Giảm chi phí thiết lập: VPNs có giá thành thấp nhiều so với giải pháp truyền tin truyền thống Frame Relay, ATM, hay ISDN Lý VPNs loại bỏ kết nối khoảng cách xa cách thay chúng kết nối nội mạng truyền tải ISP, hay ISP's Point of Presence (POP)  Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thơng khoảng cách xa, VPNs giảm chi phí vận hành mạng WAN cách đáng kể Ngoài tổ chức giảm tổng chi phí thêm thiết bị mạng WAN dử dụng VPNs quản lý ISP Một nguyên nhân giúp làm giảm chi phí vận hành nhân sự, tố chức khơng chi phí để đào tạo trả cho nhiều người người quản lý mạng  Nâng cao kết nối (Enhanced connectivity): VPNs sử dụng mạng Internet cho kết nối nội phần xa intranet Do Internet truy cập tồn cầu, chi nhánh xa người sử dụng kết nối dễ dàng với mạng intranet  Bảo mật: Bởi VPNs sử dụng kĩ thuật tunneling để truyền liệu thơng qua mạng cơng cộng tính bảo mật cải thiện Thêm vào đó, VPNs sử dụng thêm phương pháp tăng cường bảo mật mã hóa, xác nhận ủy quyền Do VPNs đánh giá cao bảo mật truyền tin  Hiệu xuất băng thơng: Sự lãng phí băng thơng khơng có kết nối Internet kích hoạt Trong kĩ thuật VPNs “đường hầm” hình thành có u cầu truyền tải thơng tin Băng thơng mạng sử dụng có kích hoạt kết nối Internet Do hạn chế nhiều lãng phí băng thơng  Có thể nâng cấp dễ dàng: Bởi bì VPNs dựa sở Internet nên cho phép các mạng intranet tổ chức phát triển mà hoạt động kinh doanh phát triển hơn, mà yêu cầu nâng cấp, thành phần bổ sung thêm vào tối thiểu Điều làm mạng intranet có khả nâng cấp dễ dàng theo phát triển tương lai mà không cần đầu tư lại nhiều cho sở hạ tầng b Khuyết điểm:  Phụ thuộc nhiều vào chất lượng mạng Internet Sự tải hay tắt nghẽn mạng làm ảnh hưởng xấu đến chất lượng truyền tin máy mạng VPNs  Thiếu giao thức kế thừa hỗ trợ: VPNs dựa hoàn toàn sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) thiết bị giao thức kế thừa cho việc truyền tin ngày Kết VPNs không phù hợp với thiết bị giao thức Vấn đề giải cách chừng mực “tunneling mechanisms” Nhưng gói tin SNA lưu lượng non-IP bên cạnh gói tin IP làm chậm hiệu suất làm việc mạng Phân loại VPN Phân loại kỹ thuật VPNs dựa yêu cầu bản: + Người sử dụng xa truy cập vào tài nguyên mạng đoàn thể thời gian + Kết nối nội chi nhánh văn phòng xa + Quản lý truy cập tài nguyên mạng quan trọng khách hàng, nhà cung cấp hay thực thể khác điều quan trọng tổ chức hay quan Dựa tiêu chí phân loại VPNs thành nhóm chính:  Remote Access VPNs  Intranet VPNs  Extranet VPNs 2.1 Remote Access VPNs: Hình 1.2 mơ tả phương pháp truy cập từ xa truyền thống Hệ thống bao gồm thành phần chính:  Remote Access Server (RAS), xác định địa kiểm tra xác nhận ủy quyền yêu cầu truy cập từ xa  Kết nối Dial-up với văn phòng trung tâm trường hợp kết nối với mà khoảng cách xa  Nhân sự: người có trách nhiệm cấu hình hệ thống, bảo trì quản lý RAS hỗ trợ người dùng xa Để nâng cấp Remote Access VPNs, người dùng xa văn phòng chi nhánh cần thiết lập kết nối dial-up địa phương với ISP ISP's POP kết nối với mạng trung tâm thơng qua Internet Mơ hình thiết lập Remote Access VPN mơ tả hình 1-3  Ưu điểm :  Khơng có thành phần RAS thành phần modem liên quan  Không cần nhân hỗ trợ hệ thống kết nối từ xa thực ISP  Kết nối dial-up khoảng cách xa loại bỏ, thay vào kết nối địa phương Do chi phí vận hành giảm nhiều  Vì kết nối dial-up cục nên modem vận hành truyền liệu tốc độ cao so với phải truyền liệu xa  VPNs cho phép truy địa trung tâm (corporate site) tốt hỗ trợ mức thấp truy cập dịch vụ số người sử dụng đồng thời truy cập mạng tăng cao Khi số người sử dụng hệ thống VPN tăng, chất lượng dịch vụ có giảm khả truy cập khơng hồn tồn  Khuyết điểm :  Remote Access VPNs không đảm bảo chất lượng dịch vụ QoS  Khả liệu cao Thêm vào đó, gói tin bị phân mảnh trật tự  Do tính phức tạp thuật tốn mã hóa, giao thức từ mã tăng lên nhiều Điều đưa đến trình xác nhận phức tạp Thêm vào đó, liệu nén IP- and PPP-based chậm chất lượng không tốt  Sự truyền tải thông tin phụ thuộc vào Internet, truyền tải liệu đa phương tiện “đường hầm” Remote Access VPN gây chậm đường truyền 2.2 Intranet VPNs: Intranet VPNs thường sử dụng để kết nối văn phòng chi nhánh tổ chức với mạng intranet trung tâm Trong hệ thống intranet khơng sử dụng kĩ thuật VPN, site xa kết nối intranet trung tâm phải sử dụng campus router Mơ hình mơ tả hình 1-4: Hệ thống mơ tả có chi phí cao có router cần thiết để kết nối Thêm vào đó, vận hành, bảo trì quản lý intranet backbone yêu cầu chi phí cao phụ thuộc vào lưu lượng truyền tải tin mạng diện tích địa lý mạng intranet Với bổ sung giải pháp VPN, chi phí đắt đỏ WAN backbone thay chi phí thấp kết nối Internet, qua tổng chi phí cho mạng intranet giảm xuống Giải pháp VPNs mơ tả hình 1-5:  Ưu điểm:  Giảm chi phí cho router sử dụng WAN backbone  Giảm số nhân hỗ trợ nơi, trạm  Bởi Internet kết nối trung gian nên dễ dàng thiết lập kết nối peerto-peer  Hiệu kinh tế đạt sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh FR  Do kết nối dial-up cục với ISP, truy xuất thông tin nhanh tốt Sự loại bỏ kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet nhiều  Khuyết điểm:  Mặc dù liệu truyền tunnel truyền Internet - mạng chia sẻ công cộng- nên tồn nguy bảo mật nguy hiểm công từ chối dịch vụ (denial-of-service)  Khả gói liệu truyền cao  Trong trường hợp truyền tải liệu đa phương tiện gây tải, chậm hệ thống tốc độ truyền chậm phụ thuộc vào mạng Internet  Do truyền liệu dựa kết nối Internet nên chất lượng khơng ổn đinh QoS đảm bảo 2.3 Extraner VPNs: Không giống giải pháp intranet VPNs remote access VPNs, extranet VPNs khơng tách riêng với giới ngồi Extranet VPNs cho phép điều khiển truy xuất tài nguyên mạng cho thực thể tổ chức các đối tác, khách hàng hay nhà cung cấp người đóng vai trị quan trọng hoạt động thương mại tổ chức Mạng kết nối (extranet connectivity) truyền thống mơ tả hình1-6 Mơ hình truyền thống có chi phí cao mạng phân chia intranet phải có phận kết nối (tailoring) tương xứng mạng ngồi Do vận hành quản lý phức tạp mạng khác Ngồi u cầu nhân để bảo trì quản lý hệ thống phức tạp trình độ cao Ngồi ra, với thiết lập dạng khơng dễ mở rộng mạng phải cài đặt lạu cho tồn intranet gây ảnh hưởng đến kết nối mạng khác Sự bổ sung VPNs giúp cho nhiệm vụ cài đặt cho mạng ngồi trở nên dễ dàng giảm chi phí Thiết lập extraner VPNs mơ tả hình 1-7:  Ưu điểm:  Giảm chi phí nhiều so với phương pháp truyền thống  Dễ dàng cài đặt, bảo trì chỉnh sửa thiết lập có sẵn  Do sử dụng đường truyền Internet, bạn có nhiều lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức  Do thành phần kết nối internet bảo trì ISP, giảm chi phí nhân giảm chi phí vận hành toàn hệ thống  Khuyết điểm:  Nguy bảo mật công từ chối dịch vụ tồn  Tăng rủi ro cho xâm nhập vào intranet tổ chức  Trong trường hợp truyền tải liệu đa phương tiện gây tải, chậm hệ thống tốc độ truyền chậm phụ thuộc vào mạng Internet  Do truyền liệu dựa kết nối Internet nên chất lượng khơng ổn đinh QoS đảm bảo Mặc dù giải pháp VPN số hạn chế ưu điểm VPNs thõa mãn tốt nhu cầu doanh nghiệp 3 Thực trạng VPN Việt Nam  Trong tình hình Việt Nam với việc phổ cập Internet tốc độ cao ( ADSL tới Cable Internet) ngày rộng với giá rẻ, xuất nhiều thiết bị mạng hỗ trợ VPN với chức tích hợp đa dạng, giao diện dễ sử dụng giá hợp lý điều kiện tốt để doanh nghiệp tổ chức tăng cường sử dụng mạng riêng ảo VPN phương thức kết nối từ xa an toàn, tiện dụng nhanh chóng với chi phí thấp  Hiện VN sử dụng số loại VPN tiêu biểu mơ hình MPLS Tại Việt nam, MPLS xúc tiến xây dựng mạng truyền tải Tổng công ty BCVT Việt nam (VNPT) Với dự án VoIP triển khai, VNPT thiết lập mạng trục MPLS với LSR lõi Các LSR biên tiếp tục đầu tư mở rộng địa điểm có nhu cầu lớn Hải Phịng, Quảng Ninh phía Bắc, Đà Nẵng, Khánh Hồ miền Trung, Bình Dương, Đồng Nai, Bà Rịa - Vũng Tàu miền Nam  MPLS VPN lớp với đặc trưng kết nối point – point với lớp truyền ATM, Ethernet, FR Triển khai dịch vụ ADSL, G.SHDSL kéo từ mạng VNPT tới CE khách hàng tự quản lý việc định tuyến Ưu điểm VPN lớp là: không yêu cầu thay đổi từ phía mạng có khách hàng; Mức độ riêng tư phụ thuộc vào policy khách hàng; Khách hàng tự quản lý việc định tuyến từ PCE – PCE; Các giao thức hỗ trợ cho Unicast Multicast Loại phù hợp với doanh nghiệp vừa nhỏ, có mơ hình mạng khơng phức tạp Ít khả mở rộng công nghệ lớp (ATM, FR, Ethernet suốt MPLS)  MPLS VPN lớp 3: Công nghệ truyền dẫn ADSL G.SHDSL qua DSLAM Topo mạng Full-Mesh Trong dịch vụ VNPT quản lý việc định tuyến, cịn người dùng việc phó mặc việc cho VNPT VPN lớp VNPT sử dụng giao thức định tuyến tĩnh, RIPv2, OSPF, BGP Dịch vụ có chi phí thấp cần thiết bị định tuyến khơng cần trình độ quản lý cao, nhà cung cấp dịch vụ quản lý hộ người dùng Tuy nhiên dịch vụ có số giới hạn người dùng khơng có khả tự quản lý định tuyến dịch vụ Wan lớp Các sách bảo mật firewall mã hoá đặt CPE khơng phải PE, người dùng phải có kiến thức bảo mật 4 Cấu hình VPN đơn giản 4.1 Cấu hình máy chủ Server  Bước 1:  Bước 2:  Bước 3:  Bước  Bước  Bước  Bước  Bước  Bước 4.2 Cấu hình máy khách Client  Bước 1:  Bước 2:  Bước 3:  Bước 4:  Bước  Bước 6:  Bước 7:  Bước 8:  Bước 9: