báo cáo thực tập tìm hiểu mạng riêng ảo vpn

Mạng riêng ảo là mạng hạ tầng thông tin dựa trên cồng nghệ chuyển mạchgói cho phép triển khai các dịch vụ một cách đa dạng và nhanh chóng, giữ cốđịnh và di động với chi phí thấp nhất,giả

Trờng cao đảng hàng hải I

Bỏo cỏo thực tập

Tỡm hiểu mạng riờng ảo VPN

Giỏo viờn hướng dẫn : Cụ Trần Thuỷ Sinh viờn thực hiện : Nguyễn Thị Nhài Ngày sinh : 10/12/1988

Khoỏ học : 2007- 2010

3 Phân loại trong VPN 26

4 Giao thức internet đường hầm 31

5 Cách cài đặt VPN theo kiểu LAN nối LAN theo giao

Một trong những phần quan trọng nhất trong công nghệ thông tin là mạngmáy tính và lập trình trong mô hình mạng phân tán Trong quá trình thực tập vàlàm luận văn tốt nghiệp này em đã tìm hiểu, trình bày về đề tài mạng riêng ảoVPN Mạng riêng ảo là mạng hạ tầng thông tin dựa trên cồng nghệ chuyển mạchgói cho phép triển khai các dịch vụ một cách đa dạng và nhanh chóng, giữ cốđịnh và di động với chi phí thấp nhất,giảm thiểu thời gian đưa dịch vụ mới ra thịtrường, nâng cao hiệu suất sử dụng truyền dẫn, tăng cường khả năng kiểmsoát ,an toàn và bảo mật

Vì thời gian ngắn và khả năng còn nhiều hạn chế nên đồ án của em còn

có nhiều thiếu sót Em mong được sự chỉ bảo của thầy giáo hướng dẫn và cácthầy cô trong khoa đã giúp em hoàn thành đề tài tốt nghiệp này

Cuối cùng em xin chân thành cảm ơn các thầy cô giáo trong khoa, đặcbiệt là sự hướng dẫn nhiệt tình của thầy giáo hướng dẫn của cô Trần Thuỷ đã

giúp đỡ em trong suốt quá trình thực tập và làm luận văn tốt nghiệp.

Hải Phòng ngày 25 tháng 06 năm 2010

thể nhìn thấy, hoặc là gói gọn từ, lưu lượng mạng nằm bên dưới Điều này đượcthực hiện với mã hóa mạnh mẽ, như của VPN thường được triển khai để đượccao an ninh "mạng lưới các đường hầm" Tương tự, giao thông trong VPN xuấthiện với mạng cơ bản như dòng giao thông khác chỉ được thông qua Một kếtnối VPN có thể được hình dung như một đường ống "an toàn trong một đườngống" với ống bên ngoài được kết nối internet của bạn.

Khi Internet trở thành nhiều hơn và dễ tiếp cận hơn và băng thông dunglượng, công ty bắt đầu offload Intranets của họ lên web và tạo ra những gì đang

có bây giờ được gọi là: Extranet để liên kết người dùng nội bộ và bên ngoài Tuy nhiên, như chi phí-hiệu quả và nhanh chóng- triển khai như Internet là, cómột vấn đề cơ bản - an ninh

Hôm nay đã có giải pháp khắc phục của VPN là yếu tố an ninh Sử dụngđường hầm giao thức đặc biệt và mã hóa các thủ tục phức tạp, toàn vẹn dữ liệu

và sự riêng tư là đạt được trong những gì có vẻ, cho hầu hết các phần, giống nhưmột điểm topoint-chuyên dụng kết nối, bởi vì các hoạt động này xảy ra trên mộtmạng công cộng, mạng riêng ảo có thể có giá ít hơn đáng kể để thực hiện hơn tưnhân, cho thuê dịch vụ

Sử dụng Internet, các công ty có thể kết nối văn phòng chi nhánh từ xacủa họ, các đội dự án,đối tác kinh doanh, và e-khách hàng vào mạng của công tychính Điện thoại di động và người lao động telecommuters có thể nhận đượckết nối an toàn bằng cách bấm vào POP (Point-of-Presence) của một ISP địaphương (Internet Service Provider) Với một VPN, các tập đoàn nhìn thấy ngaylập tức chi phí, giảm cơ hội trong chi phí đường dài của họ (đặc biệt quan trọngđối với toàn cầu công ty), phí thuê hàng, hàng tồn kho thiết bị (như ngân hànglớn của modem), và yêu cầu hỗ trợ mạng

3.1 DES và 3DES

Chuẩn mã hóa dữ liệu (DES) sử dụng 56-bit để mã hóa khóa đối xứng

bit dữ liệu trong khối 64 The 56-bit chính cung cấp 72.057.594.037.927.900kết hợp có thể Điều này âm thanh ấn tượng, và nó sẽ mất đến 20 năm đối vớimáy tính điển hình để kinh doanh chạy nhiều kết hợp này Tuy nhiên, tập trunghơn, cũng như các hacker tài trợ tổ chức với một hàng tồn kho lớn hơn của cácmáy tính mạnh mẽ có thể phá vỡ nó trong khoảng 12 giây DES đã được pháttriển hơn nữa với 3DES của nó

("Triple-DES") hệ thống mã hóa thông tin nhiều lần

Ví dụ:

Với 3DES, dữ liệu được mã hóa một lần bằng cách sử dụng một khóa bit Kết quả -Text mật mã sau đó được giải mã bằng cách sử dụng một khóa 56-bit thứ hai Kết quả là rõ ràng văn bản mà không xem xét bất cứ điều gì giốngnhư những gì ban đầu được mã hóa Cuối cùng,dữ liệu được mã hóa lại bằngcách sử dụng một khóa 56-bít thứ 3

3.2 Đường hầm

Điều đó làm cho một mạng riêng ảo "hầu như tư nhân" là một đường hầm

Ngay cả mặc dù bạn truy cập mạng của bạn thông qua Internet, bạn không thực

sự "trên" trên Internet, bạn thực sự "vào" mạng công ty của bạn Mặc dù thuật ngữ "đường hầm" cảm thấy như nó mô tả một con đường cố định thông qua

Internet, đây không phải là trường hợp Như với bất kỳ Internet giao thông, gói

dữ liệu của bạn đường hầm VPN có thể mất con đường khác nhau giữa hai thiết

3.3 Mật mã.

Mã hóa là một kỹ thuật cho các xáo trộn và unscrambling thông tin Cácunscrambled thông tin được gọi là rõ ràng, văn bản, và các thông tin được gọi làscrambled thuật toán mã hóa-văn bản Ở hai đầu đường hầm VPN của bạn ngồimột cổng VPN trong phần cứng của phần mềm mẫu Các cổng tại vị trí mã hóagửi thông tin vào bản mã trước khi gửi các thông tin được mã hóa thông qua đường hầm qua Internet Các cổng VPN tại địa điểm tiếp nhận giải mã thôngtin trở lại vào văn bản rõ ràng

Trong những ngày đầu của VPN đường hầm, các công ty giữ bí mật cácthuật toán mã hóa của họ

Thật không may, một khi nó đã bị nứt, tất cả các thông tin bao giờ được mãhóa với công thức đã trở thành dễ bị tổn thương Vì vậy, ngành công nghiệp bắtđầu xuất bản nổi tiếng và cũng như các thử nghiệm

Các thuật toán mã hoá, như mã hóa dữ liệu phổ biến Standard (DES) Nhưng,nếu mọi người đều biết thuật toán mã hóa, làm thế nào là dữ liệu lưu giữ antoàn? Câu trả lời: phím

3.4 Keys

Phím A là mã bí mật mà các thuật toán mã hóa sử dụng để tạo ra một phiênbản duy nhất của thuật toán mã hóa-văn bản Để đặt nó trong điều kiện đơngiản, hai người có thể đi đến các cửa hàng phần cứng và mua cùng một khóa rakhỏi kệ, nhưng sự kết hợp của họ khác nhau Tất nhiên, VPN ổ khóa có nhiềuhơn ba con số vào quay số kết hợp Là một vấn đề của thực tế, an ninh, sứcmạnh truyền tải phụ thuộc vào độ dài của các phím mà bạn sử dụng

Đây là công thức:

• 8-bit phím = 256 kết hợp hoặc hai cho quyền lực thứ tám (28)

• 16-bit phím = 65.536 kết hợp hoặc hai cho quyền lực thứ 16 (216)

• 56-bit phím = 72.057.594.037.927.900 hoặc hai đến sức mạnh 56

• Và như vậy

Nói cách khác, nếu bạn sử dụng một khóa 16-bit, một kẻ xâm nhập có thểphải cố gắng làm cho 65.536 tại bể kết hợp của bạn Rõ ràng, đây sẽ là mộtnhiệm vụ khá đơn giản và nhanh chóng cho máy tính Đó là lý do tại sao rấtnhiều sản phẩm VPN trên thị trường hiện nay đang sử dụng 168-bit phím

Có một số doanh nghiệp ra khỏi đó thậm chí sẽ cao hơn Ngay cả máytính nhanh nhất hiện nay cần gia hạn thời gian để crack một mã phức tạp Bạn

có thể bị cám dỗ để thực hiện một chính sách luôn luôn sử dụng phương pháp

mã hóa bit cao nhất có sẵn, nhưng phải ghi nhớ rằng chế biến như vậy phức text sẽ yêu cầu mật mã đáng kể, dành riêng cho CPU xử lý điện năng Có cáchkhác để sử dụng các phím đến an ninh tối đa cho phù hợp với nhu cầu của bạn

tạp-4 Tầm quan trọng của vpn.

Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là mộtmạng dành riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổchức với nhau thông quan mạng Internet công cộng

NGN (Next Generation Network) là mạng hạ tầng thông tin dựa trêncông nghệ chuyển mạch gói, cho phép triển khai các dịch vụ một cách đa dạng

và nhanh chóng, đáp ứng sự hội tụ giữa thoại và dữ liệu, giữa cố định và di độngvới chi phí thấp nhất, giảm thiểu thời gian đưa dịch vụ mới ra thị trường, nângcao hiệu suất sử dụng truyền dẫn, tăng cường khả năng kiểm soát, bảo mật thôngtin của khách hàng

Mạng viễn thông thế hệ mới NGN là một mạng có hạ tầng thông tin duynhất dựa trên công nghệ chuyển mạch gói, cho phép triển khai các dịch vụ mộtcách đa dạng và nhanh chóng NGN cũng đáp ứng được xu hướng hội tụ giữathoại và số liệu, giữa cố định và di động

Việc quyết định chuyển toàn bộ hạ tầng viễn thông sang mạng thế hệ mớiNGN được xem là một quyết sách táo bạo và mang tính cách mạng GS.TSKH

Đỗ Trung Tá, Bộ trưởng Bộ Bưu chính Viễn thông nhận xét: "NGN có mấyđiểm hết sức ưu việt Thứ nhất là về công nghệ Nó tích hợp giữa cố định và diđộng, tích hợp giữa các dịch vụ truyền thoại, truyền hình ảnh với các cơ sở dữliệu" Còn ông Hà Huy Hào, Tổng giám đốc Juniper Networks Việt Nam chorằng: "Hiện nay, mọi người đã biết được mạng hội tụ NGN bởi vì nó đã trởthành sự thật và đã đưa rất nhiều dịch vụ cho khách hàng tại Việt Nam Đặc biệt

là tất cả các khách hàng doanh nghiệp

Đối với người khai thác quản lý, thuận lợi ở chỗ là nó giúp bảo dưỡngmột cách hết sức kịp thời và tạo ra rất nhiều các loại dịch vụ trên nền NGN".Hàng loạt các dịch vụ viễn thông thực sự bùng nổ sau cuộc cách mạng NGN Cóthể kể đến dịch vụ thông tin, giải trí, thương mại 1900, dịch vụ thoại miễn phí,dịch vụ điện thoại cố định trả trước, dịch vụ thoại miễn phí từ trang web, dịch vụcuộc gọi thương mại miễn phí Và không thể không kể đến dịch vụ mạng riêng

ảo Megawan, một dịch vụ thể hiện tính ưu việt cũng như khả năng mềm dẻo củamạng thế hệ mới NGN

GS.TSKH Đỗ Trung Tá chia sẻ: "Bây giờ, doanh nghiệp cần tiếp xúc với

khách hàng Khách hàng muốn gọi điện cho doanh nghiệp, muốn hỏi không mấttiền Trên mạng NGN này mình cung cấp thông tin không phải trả tiền Khách

hàng nói thoải mái với doanh nghiệp mà không phải trả tiền" "Việc mềm dẻo vàlinh hoạt ở đây thể hiện từ khâu thiết bị đầu cuối của khách hàng cho đến mạnglưới, khâu ứng dụng chạy trên mạng

Toàn bộ phần thiết bị cho khách hàng rất sẵn có trên thị trường, khôngphụ thuộc vào bất kể nhà cung cấp nào Như vậy giá cả rất cạnh tranh và họ có

thể tuỳ chọn", ông Trần Mạnh Hùng, Phó Tổng giám đốc VNPT cho biết thêm.

Mạng riêng ảo chinh phục cuộc sống thật Việc kết nối các mạng máy tính củacác doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng,cũng có thể là kết nối Frame Relay hay ATM

Nhưng, rào cản lớn nhất đến với các doanh nghiệp tổ chức đó là chi phí.Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành các hạ tầng

mạng, thiết bị riêng của doanh nghiệp rất lớn Vì vậy, điều dễ hiểu là thời gianqua, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trênmạng diện rộng WAN

5 Bảo mật trong VPN.

Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet.Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin vàgiao thức được chuyển qua Một số sản phẩm dùng cho VPN như router 1700của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy

hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốttrước khi thiết lập VPN

Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máytính khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng vàmật mã chung

Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bímật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêucầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên

đó, để máy tính của người nhận có thể giải mã được

Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã côngcộng Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy củabạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mãmột message, máy tính phải dùng mã chung được máy tính nguồn cung cấp,đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại này được dùng rấtphổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứgì

Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng anninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăngnhập toàn diện hơn

IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉnhững hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoài

ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi

hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệugiữa nhiều thiết bị khác nhau như router với router, firewall với router, PC vớirouter, PC với máy chủ

6 Mục đích.

Công nghệ VPN chỉ rõ 3 yêu cầu cơ bản:

 Cung cấp truy nhập từ xa tới tài nguyên của tổ chức mọi lúc, mọi nơi

 Kết nối các chi nhánh văn phòng với nhau

 Kiểm soát truy nhập của khách hàng, nhà cung cấp và các thực thể bênngoài tới những tài nguyên của tổ chức

7 Các Mô hình VPN.

Các mô hình VPN bao gồm:Truy Cập từ xa (remote-Access),hay cũngđược gọi là Mạng quay số riêng ảo (Virtual Private Dial-up Network) hayVPDN, đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhânviên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa

Khởi tạo bởi phía khách (Client-Initiated) – Người dùng từ xa sử dụngphần mềm VPN client để thiết lập một đường hầm an toàn tới mạng riêng thôngqua một ISP trung gian

Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ởnhà chỉ phải trả chi phí cho cuộc gọi nội bộ để kết nối tới ISP và kết nối tớimạng riêng của công ty, tổ chức Các thiết bị phía máy chủ VPN có thể là CiscoRouters, PIX Firewalls hoặc VPN Concentrators, phía client là các phần mềmVPN hoặc Cisco Routers

Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảomật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua mộtmạng công cộng như Internet.

Site-to-site VPN có thể thuộc một trong hai dạng sau:

 A: Intranet VPN : Áp dụng trong trường hợp công ty có một hoặc nhiềuđịa điểm ở xa, mỗi địa điểm đều đã có một mạng cục bộ LAN Khi đó họ có thểxây dựng một mạng riêng ảo để kết nối các mạng cục bộ vào một mạng riêngthống nhất

 B:Extranet VPN :

Giải pháp VPN (Vỉtual Private netwỏk) được thiết kế cho những tổ chức có

xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốchay toàn cầu).tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiếtkiệm chi phí và thời gian

Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòngchính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối

(như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cậpđến từ bên ngoài.

8 CƠ CHẾ AN NINH

Secure VPN sử dụng mã hóa giao thức đường hầm để cung cấp các dựđịnh bảo mật (chặn đánh chặn và vì vậy gói sniffing ), người gửi xácthực (chặn nhận dạng giả mạo ), và tin nhắn toàn vẹn (chặn thông điệp thay đổi)

để đạt được sự riêng tư

Secure VPN giao thức bao gồm:

 IPsec (Internet Protocol Security) - Một giao thức bảo mật dựa trên cáctiêu chuẩn phát triển ban đầu-cho IPv6 , trong đó hỗ trợ là bắt buộc, mà còn sửdụng rộng rãi với IPv4 Đối với VPN L2TP thường được sử dụng trên IPsec

 Transport Layer Security (SSL / TLS) được sử dụng hoặc cho đườnghầm của toàn bộ mạng lưới giao thông một ( SSL / TLS VPN ), nhưtrong OpenVPN dự án, hoặc để đảm bảo kết nối cá nhân SSL đã được nền tảngcủa một số nhà cung cấp để cung cấp khả năng truy cập từ xa VPN Một lợi thếthực tế của một SSL VPN là nó có thể được truy cập từ các địa điểm mà giớihạn truy cập bên ngoài để thương mại điện tử dựa trên SSL các trang web màkhông cần triển khai IPsec Dựa trên SSL VPN có thể dễ bị -of-dịch vụ tấn công

từ chối gắn kết với các kết nối TCP bởi vì sau này của họ vốn đã không đượcthẩm định

 Datagram Transport Layer Security (DTLS), được sử dụng bởi Cisco chomột thế hệ sản phẩm tiếp theo được gọi là VPN Cisco AnyConnect VPN DTLSgiải quyết các vấn đề được tìm thấy khi đường hầm TCP qua TCP như là trườnghợp với SSL / TLS

 Microsoft Point-to-Point Encryption (MPPE) của Microsoft được sử dụngvới họ PPTP Một số triển khai tương thích trên các nền tảng khác cũng tồn tại.

 Secure Socket Tunneling Protocol (SSTP) của Microsoft được giới thiệutrong Windows Server 2008 và Windows Vista Service Pack 1 Đường hầmSSTP PPPhoặc L2TP giao thông thông qua một SSL kênh 3.0

 MPVPN (Multi Path Virtual Private Network) Công ty Phát triển Hệthống Ragula sở hữu đăng ký nhãn hiệu hàng hoá "MPVPN" [6]

 SSH VPN - OpenSSH cung cấp VPN đường hầm để bảo đảm kết nối từ

xa tới hệ thống mạng (hoặc mạng lưới liên kết) Tính năng này (tùy chọn-w)không nên nhầm lẫn với cổng chuyển tiếp (tùy chọn -L/-R/-D) OpenSSH servercung cấp số lượng hạn chế các đường hầm VPN đồng thời và các tính năng củachính nó không hỗ trợ chứng thực cá nhân

Xác thực thiết bị đầu cuối đường hầm được yêu cầu xác thực trước khi tự

an toàn đường hầm VPN có thể được thành lập Cuối đường hầm người dùng tạo

ra, chẳng hạn như VPN truy cập từ xa có thể sử dụng mật khẩu , sinh trắc

học , xác thực hai yếu tố hoặc các mật mã phương pháp Cho-to-mạng đường

hầm mạng, mật khẩu hoặc giấy chứng nhận kỹ thuật số thường được sử dụng,

là khoá phải được lưu trữ vĩnh viễn và không yêu cầu can thiệp bằng tay chođường hầm được thiết lập tự động

Xây dựng khối Tuỳ thuộc vào việc PPVPN chạy trong lớp 2 hay lớp 3,

các khối xây dựng được mô tả dưới đây có thể chỉ L2, L3 chỉ, hoặc sự kết hợp

của hai Multiprotocol Label Switching (MPLS) chức năng làm mờ các-L3 sắc L2.

Trong khi RFC 4.026 tổng quát các điều khoản này để trang trải và L3VPN L2, họ đã được giới thiệu trong RFC 2547

PE là một thiết bị hoặc thiết lập các thiết bị, ở rìa của mạng lưới nhà cungcấp, cung cấp quan điểm của nhà cung cấp của các trang web khách hàng PES

là nhận thức của các mạng riêng ảo kết nối thông qua họ, và đó duy trì VPN nhànước

Nhà cung cấp thiết bị (P) AP hoạt động bên trong thiết bị mạng lõi của nhàcung cấp, và không trực tiếp giao diện cho bất kỳ thiết bị đầu cuối kháchhàng Nó có thể, ví dụ, cung cấp định tuyến cho các đường hầm vận hành nhiềunhà cung cấp thuộc về PPVPNs khách hàng khác nhau Trong khi các thiết bị P

là một phần quan trọng của việc thực hiện PPVPNs, nó không phải là chính nóVPN-nhận thức và không duy trì VPN nhà nước vai trò chủ yếu của nó là chophép các nhà cung cấp dịch vụ cho quy mô của các dịch vụ PPVPN, như là, ví

dụ, bởi hành động như một điểm tập hợp cho PES nhiều P-to-P kết nối, trongvai trò như vậy, thường là cao năng lực liên kết quang học giữa các địa điểmchính của nhà cung cấp.người dùng có thể nhìn thấy PPVPN dịch vụ

Trong cả hai của các dịch vụ này, các nhà cung cấp không cung cấp đầy đủđịnh tuyến hoặc cầu nối mạng, nhưng các thành phần mà từ đó khách hàng cóthể xây dựng mạng lưới khách hàng quản lý VPWS là điểm-điểm, trong khiVPLS có thể được point-to-multipoint Chúng có thể được mô phỏng mạchLayer 1 không có cấu trúc liên kết dữ liệu

Khách hàng xác định tổng thể của khách hàng dịch vụ VPN, mà cũng cóthể liên quan đến việc định tuyến, bắc cầu, hoặc các yếu tố mạng lưới chủ nhà Một sự nhầm lẫn đáng tiếc có thể xảy ra từ viết tắt giữa Virtual PrivateLine Dịch vụ và dịch vụ riêng ảo LAN; bối cảnh nên làm cho nó rõ ràng cho dù

"VPLS" có nghĩa là lớp 1 riêng ảo trực tuyến hoặc lớp 2 riêng ảo LAN

OSI Layer 2 dịch vụ:

Virtual LAN: một Layer 2 kỹ thuật mà cho phép cùng tồn tại của lĩnh vựcphát sóng nhiều LAN, kết nối với nhau thông qua trung kế bằng cách sửdụng IEEE 802.1Q giao thức trunking giao thức trunking khác đã được sử dụngnhưng đã trở nên lỗi thời, kể cả Inter-Switch Link (ISL), IEEE 802,10 (ban đầu

là một giao thức bảo mật, nhưng một nhóm nhỏ đã được giới thiệu chotrunking), và thi đua ATM LAN (LANE).

Dịch vụ LAN riêng ảo (VPLS): phát triển bởi IEEE, VLAN cho phépnhiều mạng LAN được gắn thẻ để chia sẻ trunking chung VLAN thường chỉbao gồm các cơ sở khách hàng doanh Các là một lớp 1 công nghệ hỗ trợ thi đuacủa cả hai điểm point-to và điểm-tới-đa topo Phương pháp thảo luận ở đây mởrộng công nghệ lớp 2 như802.1d và 802.1q trunking LAN để chạy trên tàu vậntải như Metro Ethernet

Một tập hợp con của VPLS, các thiết bị điện tử phải có khả năng L3; IPLScác gói dữ liệu hơn là trình bày các khung Nó có thể hỗ trợ IPv4 hoặc IP

II Ứng dụng vpn

Hiện nay, sự ra đời của các công nghệ mới dường như không làm chongười tiêu dùng quá choáng ngợp Điều đó đúng không chỉ trên thế giới màngay cả Việt Nam Một câu hỏi thường được đặt ra là liệu công nghệ đó manglại ích lợi gì cho cuộc sống, trong sinh hoạt, trong giải trí, sản xuất, kinh doanh.Công nghệ mạng riêng ảo trên nền NGN không phải ngoại lệ NGN-cuộc cáchmạng Viễn thông thế hệ mới Nếu chiến lược đi thẳng vào công nghệ số cách đâygần 20 năm được xem là cuộc cách mạng thứ nhất, thì việc áp dụng công nghệmạng thế hệ mới NGN hay IP hoá hạ tầng viễn thông Việt Nam là cuộc cáchmạng thứ hai

1 Ứng dụng trong bệnh viện.

Sự ra đời của mạng riêng ảo trên nền NGN đã cho phép các tổ chức, doanhnghiệp có thêm sự lựa chọn mới Không phải vô cớ mà các chuyên gia viễnthông nhận định, mạng riêng ảo trên nền NGN chính là công nghệ mạng WANthế hệ mới Mới đây, bệnh viện Nhi trung ương đã thử nghiệm thành công dịch

vụ này

Một ca chẩn đoán bệnh từ xa được thực hiện tại bệnh viên Nhi trungương, đầu bên kia là bệnh viện Nghệ An và bệnh viện Hoà Bình Thông quadịch vụ truyền hình hội nghị conferencing sử dụng công nghệ mạng riêng ảo,

các chuyên gia y tế đầu ngành có thể cùng hội chẩn các ca bệnh "khó" tại bệnhviện tuyến dưới, từ đó đưa ra các chẩn đoán, phác đồ điều trị phù hợp cho ngườibệnh Đây là một việc đã cũ với thế giới nhưng hoàn toàn mới với Việt Nam

Dù mới nhưng là một việc rất cần với các bệnh viện tuyến xa ở các địaphương PGS.TS Nguyễn Thanh Liêm, Giám đốc Bệnh viện nhi Trung ương chobiết: "Vấn đề chuẩn đoán bệnh từ xa ở một số nước trên thế giới đã áp dụng từlâu ở nước ta, chúng tôi có ý tưởng này khá lâu rồi, nhưng chưa thực hiện được

vì nhiều điều kiện

Nhưng càng ngày càng trở nên bức xúc, bởi vì như chúng ta đã biết là hệthống nhi khoa ở tuyến tỉnh còn rất thiếu ít có điều kiện cập nhật kiến thức liêntục Bệnh viện Nhi Trung ương được thành lập năm 1969, lúc đầu, chỉ có 100giường bệnh nhưng hiện nay, quy mô đã lên đến 560 giường bệnh với gần 1000cán bộ và trở thành một bệnh viên đầu ngành của cả nước Nhi Trung Uơng cótất cả các chuyên khoa liên quan đến sức khoẻ trẻ em Những kinh nghiệm chẩnđoán bệnh, chữa trị bệnh từ các chuyên gia đầu ngành của Nhi Trung ương là sự

hỗ trợ rất thiết thực với các bệnh viện tuyến dưới

PGS.TS Nguyễn Thanh Liêm cho rằng: "Việc đào tạo, cung cấp kiến thức

giúp các đồng nghiệp có thể chẩn đoán và điều trị được bệnh nhân là một nhucầu bức xúc Hơn nữa, chúng ta biết rằng điều kiện giao thông nước ta hiện nayrất khó khăn, một bệnh nhân phải chuyển 300 cây số về thì tử vong trên dọcđường xảy ra rất nhiều

Vì vậy, làm thế nào để tránh được tử vong dọc đường, tránh tốn kém chobệnh nhân phải chuyển từ các tỉnh xa về là ý tưởng thôi thúc chúng tôi làm saotriển khai sớm được chương trình chẩn đoán và điều trị bệnh từ xa" Những kếtquả ban đầu của chẩn đoán từ xa đã vượt quá mong đợi của những người trongcuộc

Tuy nhiên, ngoài tác dụng về vấn đề điều trị, tác dụng to lớn hơn nữa là

vấn đề đào tạo và nâng cao kiến thức Bởi, theo PGS.TS Nguyễn Thanh Liêm,

"qua một cuộc hội chẩn như vậy thì các đồng nghiệp ở các tuyến trước học đượcrất nhiều Bây giờ họ đã hiểu thế nào là bệnh thiếu men D6BD, thế nào là bệnh

hẹp, kít van 2 lá Họ cũng biết cần phải phẫu thuật, cần phải điều trị như thế nào

và quan trọng, không phải chỉ có một người được học mà một cầu truyền hìnhnhư vậy có cả một bệnh viện học Nếu chúng ta làm 5 bệnh viện một lúc thìtrong một buổi có hàng trăm người có thể được đào tạo, nâng cao kiến thứctrong cùng một lúc"

Với các kênh thuê riêng, các doanh nghiệp, tổ chức đã có thể triển khai cácứng dụng hữu ích như truyền hình hội nghị, chẩn đoán bệnh từ xa Một câu hỏiđặt ra là tại sao chỉ khi có dịch vụ mạng riêng ảo, các ứng dụng thoại, dữ liệu,hội nghị truyền hình mới được nhiều tổ chức, doanh nghiệp quan tâm? Mạngriêng ảo-ưu thế của công nghệ, chi phí và bảo mật Theo PGS.TS

Như vậy, chúng ta hoàn toàn làm được, bởi so với tiền xăng xe và mọi chiphí cho bệnh nhân về Trung ương còn đắt hơn rất nhiều So với đuờng thuêriêng leased line cùng tốc độ, chi phí cho một đường kết nối mạng riêng ảo VPNchỉ bằng 1/3 Một cách dễ hình dung, kênh thuê riêng có nghĩa là các tổ chức,doanh nghiệp thiết lập một hạ tầng kết nối riêng giữa các chi nhánh thông quanhà cung cấp dịch vụ

Còn với kết nối mạng riêng ảo, các tổ chức doanh nghiệp chỉ cần một hạtầng xDSL trên mạng thoại thông thường, dịch vụ được thiết lập một cách nhanh

chóng và đơn giản Ông Phạm Anh Tuấn, Kỹ sư viễn thông VTN giải thích:

"Có thể thấy một sự khác biệt rất lớn về công nghệ Trước đây, các dịch vụ nhưFrame Relay, Leasedline các nhà cung cấp dịch vụ chỉ biết cung cấp một đườngtruyền vật lý trên đó còn khách hàng phải tự đầu tư tất cả, cả thiết bị đầu cuối,khách hàng quản lý định tuyến và bảo mật cũng như tất cả các vấn đề khác Ngoài ra, khách hàng còn kiêm thêm việc phát hiện khi mà xảy ra sự cố

để báo cho nhà cung cấp để phối hợp xử lý" Trên thực tế, công nghệ VPNkhông phải là một công nghệ mới mẻ gì VPN trước đây dựa trên công nghệ mãhoá đường truyền, có thể là Ipsec hoặc SSL dựa trên thiết bị hoàn toàn củakhách hàng Điều này cũng đồng nghĩa với bất lợi là khách hàng sẽ phải đầu tưrất nhiều cả về thiết bị cũng như nhân lực vận hành và duy trì hệ thống Trong khi đó, dịch vụ mạng riêng ảo Megawan lại chạy trên nền mạng

thế hệ mới NGN Đó chính là sự khác biệt Với dịch vụ mạng riêng ảo này, các

tổ chức, doanh nghiệp có thể triển khai ứng dụng VPN tại bất kỳ điểm kết nốinào mình muốn Toàn bộ việc thiết lập kết nối, thiết bị mạng và an ninh bảo mậtđều do nhà cung cấp dịch vụ đảm trách

Đương nhiên, các đơn vị ứng dụng đều có thể thiết lập thêm các giải pháp

bảo mật của riêng mình trên hạ tầng VPN sẵn có PGS.TS Nguyễn Thanh Liêm

tỏ ra rất hài lòng với việc ứng dụng mạng riêng ảo này: "Chúng tôi hoàn toànthoả mãn về mặt kỹ thuật, vượt qua sự mong đợi cuả chúng tôi qua hai cuộc thửnghiệm Một số chuyên gia nước ngoài đã được tham gia hoặc chứng kiến họcũng rất ngạc nhiên về bước phát triển của chúng ta, cả vấn đề y tế và vấn đềbưu chính viễn thông"

"Muốn làm một ca về chẩn đoán bệnh từ xa, công nghệ phải tích hợp cảhình ảnh động, có tiếng nói chỉ đạo của các bác sỹ, các giáo sư bác sỹ giỏi, nóphải có các số liệu đảm bảo tính chính xác Cho nên có thể nói, chính mạngNGN này hoà hợp tất cả: nghe, nhìn, ghi chép, thành ra rất thuận lợi cho dịch vụ

mới, GS TSKH Đỗ Trung Tá nhấn mạnh

Theo lộ trình phát triển của ngành viễn thông, đến cuối năm 2005 này, cả64/64 tỉnh thành trên cả nước đều có thể triển khai dịch vụ mạng riêng ảoMegawan trên nền mạng thế hệ mới NGN Với cách tiếp cận cuộc sống hợp lý:chi phí hợp lý và cách thức vận hành đơn giản, chắc chắn, các ứng dụng, giảipháp chạy trên nền mạng riêng ảo sẽ bùng nổ ở nước ta

2 Kỹ thuật Tunneling

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra mộtmạng riêng trên nền Internet Về bản chất, đây là quá trình đặt toàn bộ gói tinvào trong một lớp header (tiêu đề) chứa thông tin định tuyến có thể truyền qua

hệ thống mạng trung gian

Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyểnđến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối Tunnel, máykhách và máy chủ phải sử dụng chung một giao thức (tunnel protocol)

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng cóthông tin đang đi qua.

- Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức (như GRE,IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc

- Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền

đi (như IPX, NetBeui, IP)

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet (như NetBeui) bên trong một gói IP và gửi nó an toàn qua Internet Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng (không định tuyến) bên trong một gói khác dùng địa chỉ IP chung (định tuyến) để mở rộng một mạng riêng trên Internet

Trong mô hình này, gói tin được chuyển từ một máy tính ở văn phòng chính quamáy chủ truy cập, tới router (tại đây giao thức mã hóa GRE diễn ra), qua Tunnel

để tới máy tính của văn phòng từ xa

Kỹ thuật Tunneling trong mạng VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP(Point-to-Point Protocol) Là một phần của TCP/IP, PPP đóng vai trò truyền tảicho các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập

từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộcvào PPP

3 Phân loại vpn

* Công nghệ VPN không phải là dễ dàng so sánh, do vô số các giao thức, thuật ngữ và các ảnh hưởng tiếp thị mà đã xác định chúng Ví dụ, công nghệ VPN có thể khác nhau:

 Trong các giao thức chúng sử dụng để đường hầm giao thông qua mạng

cơ bản

 Bởi vị trí của đường hầm chấm dứt, như cạnh khách hàng hoặc cạnh nhà cung cấp mạng;

 Cho dù họ cung cấp kết nối truy cập trang web-to-site hoặc từ xa;

 Trong mức độ an ninh cung cấp;

 Đến lớp OSI mà họ hiện tại với mạng kết nối, chẳng hạn như lớp 2 hoặc lớp 3 mạch kết nối mạng

Một số đề án phân loại được thảo luận trong các phần sau đây

vs Trusted VPN Secure VPN

Nhóm ngành công nghiệp 'Virtual Private Networking Consortium' đãxác định hai loại VPN phân loại, Secure VPN và Trusted VPN [1] tập đoàn nàybao gồm các thành viên như Cisco , D-Link , Juniper và nhiều người khác

Secure VPN cung cấp một cách rõ ràng cơ chế xác thực của các thiết bịđầu cuối đường hầm trong thời gian thiết lập đường hầm, và mã hóa của lưulượng truy cập quá cảnh Thông thường VPN an toàn được sử dụng để bảo vệgiao thông khi sử dụng Internet như là xương sống cơ bản, nhưng không kémkhi họ có thể được sử dụng trong bất kỳ môi trường khi mức độ bảo mật củamạng lưới cơ bản khác với lưu lượng truy cập trong VPN

VPN IPSec , L2TP (với IPsec để mã hóa giao thông), SSL / TLSVPN (với SSL / TLS ) hoặc PPTP (với MPPE ).

Trusted VPN VPN an toàn khác biệt ở chỗ chúng không cung cấp tínhnăng bảo mật như bảo mật dữ liệu thông qua mã hóa Secure VPN tuy nhiênkhông cung cấp mức độ kiểm soát các luồng dữ liệu đáng tin cậy rằng một VPN

có thể cung cấp băng thông như bảo lãnh hoặc định tuyến

Khi một doanh nghiệp liên kết nối một tập các nút, tất cả đều dưới sựkiểm soát hành chính của mình, thông qua mạng LAN, mà được gọi làmột mạng nội bộ [4]Khi các nút liên kết đang được nhiều cơ quan hành chínhnhưng ẩn từ Internet công cộng, các kết quả thiết lập các nút được gọi là extranet

5 Cách cài đặt VPN kiểu LAN nối LAN theo giao thức L2TP/IPSec.

Đây là giao thức có mức độ bảo mật cao nhất dành cho mạng riêng ảo vì

cả người sử dụng và máy tính đều phải qua giai đoạn kiểm định quyền truy cập Các công cụ kiểm định là Microsoft Challenge Handshake Authentication

Protocol (MS-CHAP) Version 2 hoặc Extensible Authentication Protocol

(EAP)

Cơ chế này có mức độ bảo mật cao hơn PPTP hay IPSec Tunnel Mode vìchúng không có phần thẩm định quyền truy cập đối với người sử dụng.

- Tất cả các máy khách và gateway phải dùng một mã chia sẻ duy nhất

- Nếu mật khẩu này được thay đổi để đảm bảo bí mật (thường thì các mật khẩunên thay thường xuyên), bạn phải đổi bằng tay trên mỗi máy tính sử dụng nó đểkết nối tới gateway VPN

6.1: Tình huống thực nghiệm

Ví dụ: Công ty XYZ có văn phòng chính ở Hà Nội và chi nhánh tại TPHCM, muốn liên kết với nhau bằng mạng riêng ảo theo giao thức L2TP, dùngmật khẩu chung Giao thức L2TP cũng yêu cầu đầy đủ các máy tính như khi kếtnối VPN điểm-nối-điểm PPTP, nhưng các công đoạn có sự khác biệt

6.2: Quy trình tạo lập mạng VPN bao gồm 7 bước như sau:

- Tạo mạng LAN kết nối ở xa (TP HCM) tại văn phòng chính (Hà Nội)

- Tạo tài khoản gọi ở Gateway VPN tại văn phòng Hà Nội.

- Tạo mạng LAN kết nối ở xa tại văn phòng TP HCM

- Tạo Network Rule ở văn phòng TP HCM

- Tạo Access Rules ở văn phòng TP HCM

- Tạo tài khoản gọi ở Gateway VPN tại văn phòng TP HCM

- Kích hoạt kết nối giữa các LAN

Kỳ 1: Tạo mạng LAN TP HCM tại ISA Firewall ở văn phòng Hà Nội

1 Trên ISA Firewall tại văn phòng Hà Nội, mở cây chương trình MicrosoftInternet Security and Acceleration Server 2006 và mở đến tên máy chủ Chọnbiểu tượng Virtual Private Networks

2 Nhấn vào thẻ Remote Sites trong ô Details > chọn thẻ Tasks trong ôTask > nhấn vào Add Remote Site Network

3 Trên trang Welcome to the Create VPN Site to Site Connection Wizard,

gõ tên của mạng khách trong ô Site to site network name Ở ví dụ này, gõVPN_TPHCM Nhấn Next

4 Trên trang VPN Protocol, bạn có 3 lựa chọn về giao thức, chọn LayerTwo Tunneling Protocol (L2TP) over IPSec Nhấn Next

5 Một hộp thoại xuất hiện, thông báo rằng bạn cần phải tạo một tài khoảnngười sử dụng trên firewall của ISA tại văn phòng Hà Nội Tài khoản này sẽđược firewall của ISA tại TP HCM sử dụng để thẩm định quyền truy cập chofirewall của trụ sở

Tài khoản này phải trùng tên với mạng khách đã tạo ra trong bước 3 ởtrên Vì vậy, bạn cũng nhập tên VPN_TPHCM Nhấn OK

6 Trên trang Connection Owner, chọn máy trong danh sách làm địnhdanh kết nối Lựa chọn này chỉ có thể thấy trong bản ISA Enterprise Edition chứkhông có trong Standard Edition Nếu có cân bằng tải (NLB) trên dãy máy, bạnkhông cần tự chỉ định máy kết nối vì quá trình NLB sẽ tự động chọn

7 Trên trang Remote Site Gateway, gõ địa chỉ IP hoặc tên miền đầy đủcho máy chủ VPN mạng khách Chú ý đây là tính năng mới trong ISA firewall2006; ở bản cũ bạn chỉ có thể nhập địa chỉ IP