Header Page of 126 ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN XUÂN DUẨN NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN VÀ IPSEC LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Chuyên ngành: Khoa học máy tính Mã số: 60480101 NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS NGUYỄN VĂN TAM Thái Nguyên - 2013 Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page of 126 LỜI CẢM ƠN Trước hết, xin gửi lời cảm ơn chân thành tới PGS.TS Nguyễn Văn Tam, người thầy cho định hướng ý kiến quý báu công nghệ VPN cách để triển khai ứng dụng Tôi xin tỏ lòng biết ơn sâu sắc tới thầy cô, bạn bè khoá quan tâm, giúp đỡ tiến suốt thời gian qua Tôi xin cảm ơn trường Đại học Thái Nguyên trường Đại học Kinh Doanh Công nghệ Hà Nội tạo điều kiện cho trình học làm luận văn Luận văn hoàn thành thời gian hạn hẹp, chắn nhiều khiếm khuyết cần bổ sung thêm Tôi xin cảm ơn thầy cô, bạn bè người thân có góp ý chân tình cho nội dung luận văn này, để tiếp tục sâu tìm hiểu VPN Security hy vọng đưa vào ứng dụng thức tiễn công tác Nguyễn Xuân Duẩn Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page of 126 LỜI CAM ĐOAN Tôi xin cam đoan luận văn kết nghiên cứu tôi, không chép Nội dung luận văn có tham khảo sử dụng tài liệu liên quan, thông tin tài liệu đăng tải tạp chí trang website theo danh mục tài liệu luận văn Tác giả luận văn Nguyễn Xuân Duẩn Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page of 126 MỤC LỤC CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu mạng VPN 1.2Phân loại mạng mô hình VPN 12 1.2.1 Công nghệ mạng riêng ảo an toàn (Secure VPN) 12 1.2.2Công nghệ mạng riêng ảo tin cậy (Trusted VPN) 12 1.3.1 Giải pháp tích hợp VPN nhóm công nghệ 13 1.3.2 Giải pháp tích hợp VPN không nhóm công nghệ 15 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN IPSEC 18 2.1 Mạng riêng ảo MPLS-VPN 18 2.1.1 Công nghệ chuyển mạch MPLS 18 2.1.2 Ứng dụng VPN mạng MPLS 25 2.2 Mạng riêng ảo IPSec 34 2.2.1 Kiến trúc IPSec 34 2.2.2 Mạng riêng ảo IPSec 41 2.3 MPLS- VPN kết hợp IPSec 43 2.3.1 Vị trí điểm kết thúc IPSec 43 2.3.2 IPsec MPLS 51 CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 53 3.1Điều kiện triển khai Ipsec VPN MPLS-VPN: 53 3.2 Cấu hình Ipsec VPN mạng lưới (Giải pháp dùng cho điểm triển khai kết nối cố định đòi hỏi tính liên tục kết nối sở): 54 3.3.Kết thực nghiệm : 56 KẾT LUẬN 61 Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page of 126 BẢNG PHỤ LỤC I CÁC THUẬT NGỮ VIẾT TẮT THUẬT NGỮ, VIẾT TẮT SNMP VPN VPDN ESP NAS LAN PPTP L2TP IPSec PIX MPLS GRE L2F PPTP IPX IP CPE ATM ICT LDP LSP FEC LSR LER NHLFE FTN LIB IGP TDP BGP IETF AH CE PE DMVPN Số hóa Trung tâm Học liệu Footer Page of 126 MÔ TẢ Ý NGHĨA Simple Network Management Protocol Virtual Private Network Virtual Private Data Network Encapsulating Security Payload Network Access Server Local Area Network Program Performance Test Procedure Layer Tunneling Protocol Internet Protocol Security Property Information Exchange Multi-Protocol Label Switching Generic Routing Encapsulation Layer Forwarding Program Performance Test Procedure Packet Exchange/Sequenced Packet Exchange Internet Protocol Customer Premises Equipment Asynchronous Transfer Mode Information Communication Technology Label Distribution Protocol Label Switched Path Forwarding Equivalence Class Label Switching Router Label Edge Router Next Hop Label Forwarding Entry (FEC to NHLFE): Ánh xạ FEC sang NHLFE Label Information Base Interior Gateway Protocol Tag Distribution Protocol Border Gateway Protocol Internet Engineering Task Force Authentication Header customer edge Provider Edge Dynamic multipoint Virtual Private Network http://www.lrc-tnu.edu.vn/ Header Page of 126 II DANH MỤC CÁC HÌNH STT 10 11 12 13 14 Tên hình Trang Hình 1.1: Mô hình mạng VPN Hình 2: Bộ xử lý trung tâm VPN số hiệu 3000 hãng Cisco Hình 1.3: Mô hình Tunneling Hình 2- Cấu trúc nút MPLS Hình 2.2: LSP nested (ghép) Hình 2.3: Kiến trúc MPLS- VPN Hình 2.4: Vị trí nhãn MPLS khung lớp Hình 2.5 Định dạng nhãn MPLS kiểu khung 23 Hình 2.6 Dùng OSPF để quảng cáo mạng Hình 2.7 Trao đổi nhãn giao thức TDP Hình 2.8: RouterA Hình 9: Điểm kết thúc IPsec môi trường MPLS VPN Hình 10: Mô hình CE-CE IPsec trƣờng MPLS VPN Hình 2.11: IPsecMPLS từ PE đến môi trường VPNPE 34 12 15 26 31 32 32 34 35 44 45 48 15 Hình 12: Đóng gói IPsec bảo mật PE-PE 48 16 Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN Hình 3.1: Sơ đồ mạng Đại học Kinh Doanh Công Nghệ Hà Nội Hình 3.2.1: IP VPN server admin Hình 3.2.2: Tạo domain controler Hình 3.2.3: Đưa SRV-1 (VPN Server) vào domain Hình 3.2.4: Cài đặt VPN Server SRV-1 Hình 3.2.5: Thiết lập VPN Client kết nối đến VPN Server Hình 3.2.6: Yêu cầu cấp phát chứng điện tử Hình 3.2.7: Thiết lập kết nối VPN Hình 3.2.8: Các gói tin VPN không sử dụng IPSEC Hình 3.2.9: Gói tin dùng Follow TCP Stream Wireshark Hình 3.2.10: Gói tin dùng Follow TCP Stream mã hóa 50 17 18 19 20 21 15 16 17 18 19 19 Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ 53 54 54 55 55 55 56 56 57 57 58 Header Page of 126 ĐẶT VẤN ĐỀ Trong thời đại ngày nay, Internet phát triển mạnh mặt mô hình công nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà không xem xét đến máy mạng mà người sử dụng dùng Tuy nhiên, Internet có phạm vi toàn cầu không tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an toàn liệu việc quản lý dịch vụ Từ người ta đưa mô hình mạng nhằm thoả mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mô hình mạng riêng ảo (Virtual Private Network VPN) Với mô hình này, người ta đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nơi khác kết nối an toàn đến máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an toàn thông tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Mạng VPN ứng dụng quan trọng mạng MPLS MPLS-VPN đơn giản hóa trình tạo “đường hầm” mạng riêng ảo chế gán nhãn gói tin (Label) thiết bị mạng nhà cung cấp Để nâng cao tính bảo mật thông tin nhà công nghệ nghiên cứu triển khai MPLS-VPN kết hợp với IPSEC Trong khuôn khổ kiến thức có qua trình đào tạo trường công việc thực tế, chọn hướng nghiên cứu đề tài mong muốn đóng góp, xây dựng thử nghiệm vào mô hình cụ thể qua đánh giá khả triển khai thực tế hệ thống quản trị mạng có độ an ninh cao Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page of 126 Tên đề tài: Nâng cao khả bảo mật hệ thống thông tin giải pháp tích hợp mạng riêng ảo MPLS-VPN IPSec CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu mạng VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Hình 1.1: Mô hình mạng VPN Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Các loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access ) VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page of 126 công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an toàn, có mật mã Hình minh họa cho thấy kết nối Văn phòng "Văn phòng" gia nhân viên di động loại VPN truy cập từ xa) VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng công cộng Internet Loại dựa Intranet Extranet Loại dựa Intranet: Nếu công ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với công ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung Trong hình minh họa trên, kết nối Văn phòng Văn phòng từ xa loại VPN Intranet, kết nối Văn phòng với Đối tác kinh doanh VPN Extranet Bảo mật VPN Tường lửa (firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Số hóa Trung tâm Học liệu Footer Page of 126 http://www.lrc-tnu.edu.vn/ Header Page 10 of 126 10 Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã công cộng Mã riêng có máy bạn nhận biết, mã chung máy bạn cấp cho máy muốn liên hệ (một cách an toàn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật toán mã hóa tốt hơn, trình thẩm định quyền đăng nhập toàn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn Sản phẩm công nghệ dành cho VPN Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: Số hóa Trung tâm Học liệu Footer Page 10 of 126 http://www.lrc-tnu.edu.vn/ 50 Header Page 50 of 126 Trong mạng doanh nghiệp, công nhân kết nối với mạng nhà thông qua VPN: sử dụng để quay số Tuy nhiên, nhân viên du lịch sử dụng IPsec để để kết nối từ điểm phát mạng không dây, khách sạn, tòa nhà hội nghị đến văn phòng họ Trong thiết lập truyền thống, doanh nghiệp qui định tập trung VPN mạng riêng Nếu công ty khách hàng dịch vụ MPLS, việc truy cập truy cập từ xa IPsec đến nhà cung cấp dịch vụ dễ dàng Thiết lập thể hình -20 Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN Đường hầm IPsec từ người dùng từ xa kết thúc định tuyến PE, dựa nhận dạng người dùng, ánh xạ vào VPN Do đó, định tuyến PE thực đầy đủ nhiệm vụ: điểm cuối truy cập từ xa IPsec PE MPLS Trong ứng dụng này, IPsec phục vụ chủ yếu phương pháp truy cập an toàn vào VPN người dùng, điểm truy cập không dây công cộng hay mang internet Tất lựa chọn sử dụng IPsec có ứng dụng đặc biệt Các cách khác để áp dụng IPsec tóm tắt bảng sau Số hóa Trung tâm Học liệu Footer Page 50 of 126 http://www.lrc-tnu.edu.vn/ 51 Header Page 51 of 126 Bảng - 2: Tóm tắt ứng dụng IPsec MPLS Bảo vệ CE-CE PE-PE Truy cập từ xa Nghe lõi Có Có ? Nghe lến đường dây truy cập Có Không ? Nhận lưu lượng bên VPN Có Không ? Truyền lưu lượng bên VPN Có Không ? Xâm nhập thông qua giả CE Có Không ? Bảo mật truy cập ? ? Có DoS chống lại VPN Không Không ? Bảng mô tả mô hình IPsec có khả ứng dụng hoàn toàn khác chúng thay lẫn được: IPsec CE-CE bảo vệ VPN chống lại mối hiểm họa từ bên ngoài; IPsec PE-PE có ứng dụng đặc biệt giới hạn ứng dụng, mô tả phần trước; IPsec truy cập từ xa việc sử dụng đặc biệt IPsec, giải pháp bảo mật tổng quát truy cập vào VPN lưu lượng chung Xem xét vị trí để thực thi điểm cuối IPsec Tiếp theo xem xét cách thức thiết lập đường hầm IPsec 2.3.2 IPsec MPLS Các mô hình xem xét phần trước mô tả đường hầm IPsec thiết lập (ví dụ PE-PE), không xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế thứ triển khai mạng IPsec Các lựa chọn để thiết lập đường hầm IPsec: IPsec tĩnh: mô hình này, nút IPsec cấu hình tĩnh với tất IPsec đồng cấp nó, thông tin nhận thực sách bảo mật Đây cách cổ điển việc cấu hình IPsec Khó để cấu hình nút IPsec đồi hỏi cấu hình quan trọng; cách cổ điển việc cấu hình IPsec, nên Số hóa Trung tâm Học liệu Footer Page 51 of 126 http://www.lrc-tnu.edu.vn/ Header Page 52 of 126 52 hỗ trợ hầu hết tảng IPsec tĩnh mô tả RFC 2401, 2412 Nó áp dụng CE-CE PE-PE IPsec động: môi trường hub- và-spoke, hub cấu hình mà không cần thông tin đặc điểm spoke; spoke biết cách đến hub, đường hầm IPsec thiết lập spoke xác thực IPsec truy cập từ xa sử dụng ý tưởng tương tự, xác thực thường thực máy chủ AAA IPsec động sử dụng cho CE-CE PE-PE VPN đa điểm động (DMVPN): mô hình làm việc theo nguyên lý giao thức phân giải chặng (NHRP): nút IPsec chứa thông tin cách thức đến máy chủ chặng tiếp theo, trả địa nút IPsec đích đến nút gốc Đây cách có khả thay đổi để thiết lập đường hầm IPsec theo yêu cầu DMVPN làm việc CE-CE PE-PE Group Domain of interpretation (GDOI): Tất mô hình trước trì liên kết bảo mật IPsec đồng cấp, điểm tìm thấy động Điều thiết lập giới hạn số nút miền IPsec nút phải giữ trạng thái cho cấp tích cực GDOI trì liên kết bảo mật đơn cho toàn nhóm nút IPsec, chẳng hạn toàn nút VPN Điều có nghĩa toàn nút IPsec nhóm phải chia sẻ khóa mã hóa/ xác thực Khóa quản lý máy chủ khóa bảo mật Mỗi nút thiết lập kết nối IPsec tĩnh đến máy chủ khóa; phần lại nhóm động không yêu cầu trạng thái GDOI mô tả RFC 3547 Các thiết kế IPsec khác phức tạp, với nhiều tùy chọn phụ cho mô hình Số hóa Trung tâm Học liệu Footer Page 52 of 126 http://www.lrc-tnu.edu.vn/ 53 Header Page 53 of 126 CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 3.1 Điều kiện triển khai Ipsec VPN MPLS-VPN: - Tại trung tâm Vĩnh Tuy phải đăng ký 01 đường MegaVNN FTTH - Phải có Firewall router layer3 làm VPN Server - Tại điểm triển khai kết nối phải có 01 đường MegaVNN - Có phần mềm Forticlient điểm triển khai IPSec VPN Internet Explorer điểm triển khai MPLS VPN - Có phần mềm Wireshark để giám sát gói tin mạng Sơ đồ mạng Đại học Kinh Doanh Công Nghệ Hà Nội sau triển khai kết nối sở (Vĩnh Tuy Từ Sơn Bắc Ninh) theo giải pháp ( IPSEC VPN VÀ MPLS VPN ): Hình 3-1: Sơ đồ mạng Đại Học Kinh Doanh Công Nghệ Hà Nội Số hóa Trung tâm Học liệu Footer Page 53 of 126 http://www.lrc-tnu.edu.vn/ 54 Header Page 54 of 126 3.2 Cấu hình Ipsec VPN mạng lƣới (Giải pháp dùng cho điểm triển khai kết nối cố định đòi hỏi tính liên tục kết nối nhƣ sở): Triển khai hệ thống IPSec/VPN Windows Server 2003 Để quản lý người dùng hệ thống tài nguyên cần có domain controler cài đặt Windows Server 2003 tên SRV-1 (IP: 192.168.0.11) Hình 3.2.1: IP VPN server Bước 1: Tạo domain controler Hình3.2.2 : Tạo domain controler Số hóa Trung tâm Học liệu Footer Page 54 of 126 http://www.lrc-tnu.edu.vn/ 55 Header Page 55 of 126 Bƣớc 2: Đưa SRV-1 (VPN Server) vào domain Hình3.2.3: Đưa SRV-1 (VPN Server) vào domain Bƣớc 3: cài đặt VPN Server SRV-1 Hình3.2.4: Cài đặt VPN Server SRV-1 Bƣớc 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server Hình3.2.5: Thiết lập VPN Client kết nối đến VPN Server Số hóa Trung tâm Học liệu Footer Page 55 of 126 http://www.lrc-tnu.edu.vn/ 56 Header Page 56 of 126 Bƣớc 5: Kết nối VPN Client Client-1 vào domain Bƣớc 6: Yêu cầu cấp phát chứng điện tử (certificate) cho VPN Server Client dùng để chứng thực mã hóa Hình3.2.6: Yêu cầu cấp phát chứng điện tử Bƣớc 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC Hình3.2.7: Thiết lập kết nối VPN 3.3 Kết thực nghiệm : Thực nghiệm 1: Tôi dùng phần mềm Wireshark phân tích liệu gói tin VPN Số hóa Trung tâm Học liệu Footer Page 56 of 126 http://www.lrc-tnu.edu.vn/ Header Page 57 of 126 57 - Các gói tin thấy đƣợc không kết hợp VPN IPSEC Thông tin giao thức POP qua Wireshark Hình3.2.8: Các gói tin VPN không sử dụng IPSEC Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm nhận thấy sau: Hình3.2.9: Gói tin dùng Follow TCP Stream Wireshark Số hóa Trung tâm Học liệu Footer Page 57 of 126 http://www.lrc-tnu.edu.vn/ Header Page 58 of 126 58 - Các gói tin thấy đƣợc kết hợp VPN IPSEC Rõ ràng sử dụng Follow TCP Stream Wireshark gói tin mã hóa, xem Hình3.2.10: Gói tin dùng Follow TCP Stream mã hóa Số hóa Trung tâm Học liệu Footer Page 58 of 126 http://www.lrc-tnu.edu.vn/ 59 Header Page 59 of 126 Thực nghiệm Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối dùng hình thức Megawan nội tỉnh T Đơn vị T Băng Hình Chi phí thông thức toán (DOW kết nối thƣờng N/UP) Ghi xuyên VNĐ (VAT 10%) Các điểm triển 4.096K Megaw khai thực tế (Trung bps/64 an Nội tâm liệu 0Kbps tỉnh 10 điểm BC2 + 512Kb Megaw BC3 ps an 1.818.181 + Cơ sở Vĩnh Tuy + Cơ sở Từ Sơn 15.912.000 điểm = 936.999 VNĐ/thán g Bảng 3-2 : Danh sách dự kiến triển khai mở rộng kết nối Số hóa Trung tâm Học liệu Footer Page 59 of 126 http://www.lrc-tnu.edu.vn/ 60 Header Page 60 of 126 dùng hình thức VPN T Đơn vị T Băng Hình Chi phí thông thức toán (DOW kết nối thƣờng Ghi xuyên VNĐ N/UP) (VAT 10%) Các điểm triển 8Mbps/ khai thực tế Trung 8Mbps FTTH 2.200.000 4.675.000 tâm liệu + Cơ sở Vĩnh Tuy + Cơ sở Từ Sơn 10 điểm BC2 + 2.048K IPSEC BC3 bps/51 VPN điểm = 275.000 VNĐ/thán 2Kbps g So sánh triển khai theo hình thức VPN so với hình MegaWan nội tỉnh tháng chi phí toán thường xuyên chênh 10.855.181 VNĐ/tháng (VAT 10%) chi phí thuê kênh hình thức kết nối VPN giảm 130.262.172 VNĐ/năm (VAT 10%) so với megawan Số hóa Trung tâm Học liệu Footer Page 60 of 126 http://www.lrc-tnu.edu.vn/ 61 Header Page 61 of 126 KẾT LUẬN Khả đáp ứng bảo mật liệu mạng lưới: Giải pháp kết nối nội tỉnh IPSec VPN MPSL VPN đáp ứng yêu cầu bảo mật, kết nối, truyền nhận sở Vĩnh Tuy Từ Sơn Bắc Ninh Tương thích tốt với dịch vụ chạy IP, đảm bảo hoạt động thông suốt hoạt động sản xuất kinh doanh Giải pháp đảm bảo việc kết nối bảo mật liệu gói tin từ điểm trung tâm, phòng thi văn phòng ban v.v… tới mạng liên tỉnh Post*net, phục vụ việc triển khai dịch vụ E office, Thi cuối kỳ, trao đổi liêu, In điểm v.v… giúp tăng cường khả phục vụ sinh viên toàn trường Giải pháp triển khai không phát sinh thêm việc đầu tư thiết bị phần cứng, đảm bảo triển khai tốt hệ thống phần cứng sẵn có (Firewall Fortigate 300A, modem Linksys AG241 Bưu điện huyện/thị, Bưu cục 3, điểm BĐVHX tận dụng modem khuyến mại nhà cung cấp dịch vụ để thực kết nối Internet…) Việc triển khai việc xử lý cố đường truyền đơn giản so với hình thức kết nối Megawan nội tỉnh (chỉ cần Viễn thông huyện xử lý đường truyền ADSL điểm trung tâm kết nối thông mạng bình Số hóa Trung tâm Học liệu Footer Page 61 of 126 http://www.lrc-tnu.edu.vn/ 62 Header Page 62 of 126 thường không cần phối hợp với VTN hình thức Megawan), giảm thiểu thời gian trễ cho việc khai thác dịch vụ mạng lưới Khả mở rộng mạng lưới dễ dàng, tận dụng điểm Phòng ban triển khai ADSL cho mục đích triển khai viễn thông công ích kinh doanh Internet để triển khai kết nối với trung tâm Vĩnh Tuy mà không cần kéo đường truyền ADSL Đồng thời triển khai theo hình thức đăng ký gói cước ADSL theo lưu lượng nhằm giảm chi phí tối đa mà thực kết nối từ điểm kết nối có sản lượng doanh thu thấp Trung tâm Hiệu kinh tế : Đối với chi phí thuê kênh hàng tháng chi phí lắp đặt ban đầu giải pháp IPSec VPN MPSL VPN giảm thiểu nhiều so với giải pháp Megawan nội tỉnh, cụ thể sau: Số hóa Trung tâm Học liệu Footer Page 62 of 126 http://www.lrc-tnu.edu.vn/ 63 Header Page 63 of 126 Chi phí đấu nối thuê kênh MegaWan nội tỉnh, gồm có: Chi phí toán lần sau lắp đặt: Cước đấu nối hoà mạng ADSL = hoà mạng kênh mạng = = 600.000đ/cổng Cước đấu nối 500.000đ/kênh Tổng cước đấu nối hoà 1.100.000đ VAT 10% Tổng tiền phải toán = 110.000đ = 1.210.000đ Chi phí toán thường xuyên : Cước thuê cổng ADSL = 181.818đ/tháng Cước thuê kênh nội tỉnh = 670.000đ/tháng Tổng cước thuê cổng+kênh = 851.818đ/tháng VAT 10% Tổng tiền phải toán 85.181đ = = 936.999đ/tháng = 80.000đ/cổng = 8.000đ/cổng Chi phí đấu nối hoà mạng ADSL, gồm có: Chi phí toán lần sau lắp đặt: Cước đấu nối hoà mạng ADSL VAT 10% Tổng tiền phải toán 88.000đ = Được miễn phí 01 modem ADSL Chi phí toán thường xuyên (gói cước Easy – triển khai điểm khu vực thi, văn phòng ban , khu vực ký túc xá có sản lượng doanh thu cao): Cước thuê cổng ADSL = VAT 10% Tổng tiền phải toán Số hóa Trung tâm Học liệu Footer Page 63 of 126 250.000đ/tháng = = 25.000đ 275.000đ/tháng http://www.lrc-tnu.edu.vn/ Header Page 64 of 126 62 Như thấy việc triển khai giải pháp kết nối nội tỉnh IPSec VPN MPSL VPN giảm chi phí đáng kể so với triển khai kết nối nội tỉnh theo hình thức Megawan Tính tương lai giải pháp: Khả mở rộng ứng dụng tảng truyền dẫn lớn, triển khai dịch vụ ứng dụng Web, hệ thống điều hành nội bộ, Website trường, VoIP (điện thoại internet)… Tương lai mở rộng, người dùng di động nhằm khai thác tài nguyên nội bộ, phục vụ việc chăm sóc Sinh viên tốt nhất, tiếp cận khách hàng thường xuyên Tài liệu tham khảo: [1] Cisco Systems 2003,USA,Implementting Cisco (MPLS) v2.0 [2] Jim Guichard, Ivan Pepelnjak, Jeff Apcar (June 06,2003), MPLS and VPN Architectures, Volumer II, Cisco Press [3] Rosel et al (March 2000), Multiprotocol Label Switching Architechture [4] MPLS VPN, http://www.cisco.com Web Technology Document, [5] Santiago Alvarez, QoS for IP/MPLS Networks, Cisco Press, USA, June, 02, 2006 [6] Vivek Alwayn, Advanced MPLS Design and Implementation, Cisco Press, USA, 2002 Thái Nguyên, tháng năm 2013 Xác nhận giáo viên hƣớng dẫn PGS.TS Nguyễn Văn Tam Footer Page 64 of 126 Học viên Nguyễn Xuân Duẩn ... tài: Nâng cao khả bảo mật hệ thống thông tin giải pháp tích hợp mạng riêng ảo MPLS-VPN IPSec CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu mạng VPN VPN mạng riêng sử dụng hệ thống mạng. .. mạng riêng ảo tin cậy (Trusted VPN) 12 1.3.1 Giải pháp tích hợp VPN nhóm công nghệ 13 1.3.2 Giải pháp tích hợp VPN không nhóm công nghệ 15 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG... - Dựa môi trường truyền thông công cộng Mạng riêng ảo an toàn mạng riêng ảo có sử dụng mật mã để bảo mật liệu Dữ liệu đầu mạng mật mã chuyển vào mạng công cộng (ví dụ: mạng Internet) liệu khác