Hình 1.5 Mô tả chung của VPT VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyển mạch gói. Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits - PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu. Để truyền dữ liệu thành công, VPT yêu cầu một thiết bị WAN như một Router có khả năng hỗ trợ FR và ATM. Để chắc chắn rằng các giao dịch thương mại có lợi nhuận, các PVC thường được dùng cho việc liên kết các Site trong một mạng riêng hoặc một Intranet. SVC lại thường được dùng để liên kết các Site trong một Extranet 1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiết lập một mạng. Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việc phân tích các yêu cầu của tổ chức sẽ kéo theo thiếu sót trong lập kế hoạch và ta sẽ thấy ảnh hưởng rất nhiều về sau. Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo ý tưởng tối ưu hoá mọi thứ. Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt VPN bao gồm: + Mô hình VPN nào được chọn để thực hiện? + Bảo mật + VPN sẽ được quản trị như thế nào? + Đánh địa chỉ và định tuyến + Các vấn đề liên quan đến DNS + Các vấn đề Router/Getway, firewall, NAT + Hiệu suất + Khả năng mở rộng và tương thích trong tương lai. 1.5. Các mô hình kết nối VPN thông dụng Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau: - Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào - Có khả năng kết nối từ xa giữa các nhánh văn phòng. - Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan trọng đối với giao dịch thương mại của công ty. Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN) 1.5.1.VPN Truy cập từ xa (Remote Access VPN): Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó. Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty. Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng của VPN bao gồm các thành phần chính như sau: + Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa. + Kết nối Dialup tới mạng trung tâm + Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa Hình 1.6 Thiết lập truy cập từ xa không có VPN Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.7. Hình 1.7 Thiết lập VPN truy cập từ xa 1.5.2. VPN Cục bộ (Intranet VPN) Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống. Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Thiết lập này được mô tả như trong hình 1.8. Hình 1.8 Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí càng cao. Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet. Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.9. . gói. Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits - PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu. Để truyền dữ liệu thành công, VPT. nhuận, các PVC thường được dùng cho việc liên kết các Site trong một mạng riêng hoặc một Intranet. SVC lại thường được dùng để liên kết các Site trong một Extranet 1.4. Cách tiếp cận cơ bản thiết. yêu cầu cơ bản sau: - Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào - Có khả năng kết nối