Để nâng cao chất lượng chương trình học gắn vớithực tiễn, đề tài: Thiết kế hệ thống mạng ảo VPN cho Công ty TNHH Hùng Anh và sửdụng một số chính sách bảo mật, cơ sở mang tính cấp thiết v
Trang 1
Hà Nội, ngày …… tháng …… năm 2018
GIÁO VIÊN
Trang 2CHƯƠNG I CƠ SỞ LÝ THUYẾT 5
1.1 Mạng máy tính 5
1.1.1 Định nghĩa 5
1.1.2 Phương tiện và giao thức truyền thông của mạng máy tính 6
1.1.3 Phân loại mạng máy tính 7
1.1.4 Các mô hình mạng 8
1.2 Kỹ thuật thiết kế mạng 8
1.2.1 Tổng quan về bài toán thiết kế mạng 8
1.2.2 Thiết kế mạng nội bộ 9
CHƯƠNG II NGHIÊN CỨU VỀ MẠNG RIÊNG ẢO VPN 21
2.1 Khái niệm mạng riêng ảo VPN 21
2.2 Kiến trúc của mạng riêngảo 22
2.3 Phân loại 23
2.4 Lợi ích của VPN 25
2.5 Mỗi một mạng LAN là một hòn đảo (IsLANd) 26
2.6 Tính bảo mật của VPN 27
2.7 Các kỹ thuật sử dụng trong VPN 30
2.8 Kỹ thuật Tunneling 32
CHƯƠNG III KHẢO SÁT VÀ PHÂN TÍCH THIẾT KẾ HẠ TẦNG MẠNG CHO CÔNG TY TNHH HÙNG ANH 34
3.1 Khảo sát và phân tích nhu cầu sử dụng mạng tại Công Ty TNHH Hùng Anh 34
3.1.1 Giới thiệu về Công ty TNHH Hùng Anh 34
3.1.2 Khảo sát nhu cầu sử dụng mạng tại Công ty TNHH Hùng Anh 37
3.1.3 Yêu cầu đối với hệ thống mạng 39
3.2 Thiết kế mạng VPN cho Công ty TNHH Hùng Anh 39
3.2.1 Mô hình logic hệ thống mạng 39
3.2.2 Sơ đồ vật lý hệ thống mạng 41
3.2.3 Mục tiêu cấu hình 43
3.3 Hạch toán chi phí 44
3.4 Bảo mật 45
3.4.1 Firewall 46
3.4.2 Các loại firewall 46
3.4.3 Kỹ thuật Proxy 48
CHƯƠNG IV XÂY DỰNG DEMO 49
4.1 Mô hình thiết kế hệ thống mạng của Công ty TNHH Hùng Anh 49
4.2 Demo hệ thống mạng của Công ty 51
KẾT LUẬN 53
TÀI LIỆU THAM KHẢO 54
Trang 3Cùng với sự ra đời và phát triển của máy tính và mạng máy tính là vấn đề bảo mật thông tin, ngăn chặn sự xâm phạm và đánh cắp thông tin trong máy tính và thông tin cá nhân trên mạng máy tính khi mà ngày càng có nhiều hacker xâm nhập và phá huỷ dữ liệu quan trọng làm thiệt hại đến kinh tế của công ty nhà nước
Đối với mỗi mạng và thiết bị mạng việc tìm hiểu cụ thể về kiến trúc, nguyên
lý hoạt động của mạng và thiết kê một hệ thống mạng là một trong những nhiệm vụquan trọng đối với người đang học Để nâng cao chất lượng chương trình học gắn vớithực tiễn, đề tài: Thiết kế hệ thống mạng ảo VPN cho Công ty TNHH Hùng Anh và sửdụng một số chính sách bảo mật, cơ sở mang tính cấp thiết và có tính ứng dụng cao.Nhằm giúp sinh viên có thể khảo sát các tính năng hệ thống mạng riêng ảo,giúp ngườihọc có kiến thức liên kết giữa lý thuyết với thực hành, thực tế
Nội dung đồ án gồm 4 chương:
Chương I: Cơ sở lý thuyết
Chương II: Nghiên cứu về mạng riêng cảo VPN
Chương III: Khảo sát và phân tích thiết kế hạ tầng mạng cho Công ty TNHH HùngAnh
Chương IV: Xây dựng demo
Trang 4CHƯƠNG I CƠ SỞ LÝ THUYẾT 1.1 Mạng máy tính
1.1.1 Định nghĩa
-Mạng máy tính là một tập hợp các máy tính được nối với nhau bởi đường truyền theomột cấu trúc nào đó và thông qua đó các máy tính trao đổi thông tin qua lại cho nhau.-Mạng máy tính gồm ba thành phần:
Các máy tính
Các thiết bị đảm bảo kết nối các máy tính với nhau
Phần mềm cho phép thực hiện việc giao tiếp giữa các máy tính
-Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng để chuyểncác tín hiệu điện tử từ máy tính này đến máy tính khác Các tín hiệu điện tử đó biểu thịcác giá trị dưới dạng các xung nhị phân (on - off) Tất cả các tín hiệu được truyền giữacác máy tính đều thuộc một dạng song điện từ Tùy theo tần số của sóng điện từ có thểdùng các đường truyền vật lý khác nhau để truyền các tín hiệu Ở đây đường truyền đượckết nối cos thể là dây cáp đồng trục, cáp xoắn, cáp quang, dây điện thoại, sóng vô tuyến
… Các đường truyền tạo nên cấu trúc của mạng Hai khái niệm đường truyền và cấu trúc
là những đặc trưng cơ bản của mạng máy tính
Trang 5Hình 1 Một mô hình liên kết các máy tính trong mạngVới sự trao đổi qua lại giữa máy tính này với máy tính khác đã phân biệt mạng với các hệthống thu phát một chiều như truyền hình, phát thông tin từ vệ tinh xuống các trạm thu thụ động,…vì taị đây chỉ có thông tin một chiều từ nới phát đến nơi thu mà không quan tâm đến bao nhiêu nơi thu, chất lượng ra sao.
1.1.2 Phương tiện và giao thức truyền thông của mạng máy tính
-Phương tiện truyền thông
+ Kết nối có dây
Cáp truyền thông có thế là cáp xoắn đôi, cáp đồng trục, cáp quang, …
Để tham gia vào mạng, máy tính cần có vỉ mạng được kết nối với cáp mạng nhờ giắc
Trang 6Một số thiết bị kết nối có dây: Hub, Bridge, Switch, Router …
Kiểu bố trí các máy tính trong mạng: có 3 kiểu cơ bản là đường thẳng, vòng, hình sao + Kết nối không dây
Dùng sóng radio, bức xạ hồng ngoại, truyền thông qua vệ tinh …
Các thiết bị kết nối mạng không dây:
- Thiết bị WAP (Wireless Access Point): có chức năng kết nối các máy tính trong mạng và kết nối với mạng có dây
- Mỗi máy tính phải có vỉ mạng không dây (Wireless Network Card)
- Người ta còn dùng bộ định tuyến không dây (Wireless Router) ngoài chức năng như điểm truy cập không dây còn có chức năng định tuyến đường truyền
Các yếu tố cần quan tâm khi thiết kế mạng
- Số lượng máy tính tham gia mạng
- Tốc độ truyền thông trong mạng
- Bộ giao thức trong mạng toàn cầu Internet là: TCP/IP
1.1.3 Phân loại mạng máy tính
Theo phân bố địa lí
- Mạng cục bộ (LAN – Local Area Network): Là mạng kết nối các máy tính gần nhau Ví dụ: máy tính trong một phòng, một tòa nhà, xí nghiệp …
- Mạng diện rộng (WAN – Wide Area Network): Là các máy tính ở cách nhau một khoảng cách lớn, mạng diện rộng thường liên kết các mạng cục bộ
Theo môi trường truyền thông
- Mạng có dây và không dây
Trang 7 Theo chức năng
- Mạng ngang hang và mạng khách – chủ
1.1.4 Các mô hình mạng
Xét theo chức năng có thể phân mạng thành hai mô hình chủ yếu sau:
Mô hình ngang hành (Peer to Peer):
- Trong mô hình này tất cả các máy bình đẳng với nhau, nghĩa là mỗi máy có thể cung cấp tài nguyên cho máy khác, vừa có thể sử dụng tài nguyên của máy khác trong mạng
- Mô hình này có ưu điểm là xây dựng và bảo trì đơn giản, song chỉ thích hợp với các mạng có quy mô nhỏ, dữ liệu phân tán
Mô hình khách – chủ (Client – Server):
- Client – Máy khách là máy sử dụng tài nguyên do máy chủ cung cấp
- Server – Máy chủ là máy tính đảm bảo phục vụ cho các máy khác bằng cách điều khiển việc phân bố tài nuyên
- Mô hình này có ưu điểm dữ kiêuj được quản lí tập trung, chế độ bảo mật tốt, thích hợp với các mạng có quy mô trung bình và lớn
1.2 Kỹ thuật thiết kế mạng
1.2.1 Tổng quan về bài toán thiết kế mạng
Mạng cục bộ (LAN- Local Area Network) là một nhóm máy tính và các thiết bịtruyền thông mạng được tương kết trong một khu vực địa lý hạn chế Mạng nội bộ cókhuynh hướng sử dụng chỉ một kiểu vận tải đó là hệ đấu cáp
Các mạng nội bộ thường có đặc tính sau:
- Phạm vi kết nối địa lý hẹp
- Chuyển giao dữ liệu với tốc độ nhanh, từ 1 Mbit/s đến 100 Mbit/s
Trang 8- Bình đẳng, độc lập truy nhập trong một môi trường truyền dẫn chung.
- Không hướng nối, dữ liệu truyền trong mạng ở dạng quảng bá
1.2.2 Thiết kế mạng nội bộ
1.2.2.1 Các mục tiêu thiết kế mạng nội bộ
Bước đầu tiên trong thiết kế mạng nội bộ là thiết lập và ghi lại các mục tiêu củaviệc thiết kế Mỗi trường hợp hay mỗi tổ chức sẽ có những mục tiêu riêng Những yêucầu sau là những yêu cầu thường gặp trong hầu hết các thiết kế mạng:
Khả năng hoạt động được: Yêu cầu trước tiên là mạng phải hoạt động được và nó
phải đáp ứng những yêu cầu riêng của người dùng, cung cấp kết nối giữa User và User,giữa User với ứng dụng
Khả năng mở rộng: Mạng phải có khả năng lớn hơn nữa nếu có nhu cầu trong
tương lai mà không cần phải thay đổi thiết kế ban đầu
Khả năng thích ứng: Mạng phải được thiết kế để tương thích với hầu hết các chuẩn
công nghệ hiện có cũng như trong tương lai gần, không nên thiết kế một hệ thống mạnglàm cản trở sự phát triển hay triển khai những công nghệ và kỹ thuật mới sau này
Khả năng quản lý: Hệ thống phải dễ dàng theo dõi và quản lý nhằm đảm bảo sự
hoạt động ổn định của hệ thống
Ngoài ra chúng ta có thể xem xét, đánh giá trên những phương diện sau:
Trên phương diện công nghệ:
Các máy tính tham gia mạng có thể chia sẻ dữ liệu, tài nguyên hay gửi thông tin chonhau
Các máy tính tham gia mạng có thể khác kiểu, khác loại
Kết nối dễ dàng với các cơ sở dữ liệu sẵn có, các văn bản đã được soạn thảo trênmáy tính
Trang 9Trên phương diện kinh tế:
Mạng nội bộ là cơ sở để tiến tới một mô hình cơ quan mới “Cơ quan không giấy tờcông văn “(Paperless Office), có nghĩa các thông tin trao đổi cho nhau chỉ thông qua máytính Hiện tại chúng ta đang làm việc trong môi trường mà hầu như mọi thông tin văn bảnpháp quy đều được trao đổi bằng giấy tờ kéo theo sự chậm trế, sai lệch và phiền phức
1.2.2.2 Các vấn đề cần xem xét khi thiết kế mạng nội bộ
Có rất nhiều vấn đề cần quan tâm xem xét khi tiến hành thiết kế một hệ thống mạngnội bộ nhằm tối đa hóa hoạt động và dung lượng băng thông khả dụng như:
Sever có thể được phân thành hai loại: Sever toàn hệ thống và Sever nhóm
Sever toàn hệ thống cung cấp dịch vụ để nó phục vụ cho mọi người dùng trong hệthống mạng
Sever nhóm thì cung cấp dịch vụ để phục vụ nhóm người dùng cụ thể
Ethernet Node sử dụng CSMA Mỗi Node đều phải chú ý đến tất cả các Node kháckhi truy nhập vào môi trường chia sẻ hay còn gọi là miền đụng độ Nếu hai Node truyền
dữ liệu cùng lúc thì sẽ xảy ra đụng độ, lúc đó dữ liệu truyền trên mạng sẽ bị hủy bỏ, mộttín hiệu báo nghẽn được phát ra cho các máy năm trong miền đụng độ Sau đó các Nodephải chờ trong khoảng thời gian ngẫu nhiên rồi mới truyền lại dữ liệu của mình Đụng độ
Trang 10nếu xảy ra nhiều sẽ làm giảm dung lượng băng thông khả dụng xuống Vì vậy ta phảichia nhỏ miền đụng độ làm nhiều miền con nhằm làm tăng băng thông khả dụng để tránhnghẽn mạch.
1.2.2.3 Phương pháp thiết kế mạng nội bộ
Một mạng nội bộ hoạt động hiệu quả và đáp ứng được nhu cầu của người sử dụng,cần được thiết kế và triển khai theo một kế hoạch với đầy đủ các bước sau:
- Thu thập các yêu cầu và mong đợi của người sử dụng mạng
- Phân tích dữ liệu và các yêu cầu thu thập được
- Thiết kế cấu trúc mạng nội bộ lớp 1,2
- Ghi nhận lại các bước triển khai mạng vật lý và logic
Sau đó quá trình thu thập thông tin qua hệ thống những câu hỏi sẽ giúp cho ta xácđịnh và làm sáng tỏ những vấn đề hiện tại của hệ thống mạng
Hệ thống câu hỏi khi thu thập thông tin:
- Những người nào sẽ sử dụng hệ thống mạng?
- Kỹ năng cảu họ ở mức nào?
- Quan điểm của họ về máy tính và các ứng dụng về máy tính là gì?
- Các văn bản chính sách về tổ chức được phát triển như thế nào?
- Có dữ liệu nào cần công bố trong phạm vi giới hạn không?
- Có hoạt động cần giới hạn không?
- Những giao thức nào được chạy trên mạng?
- Cần hỗ trợ các máy tính để bàn không?
Trang 11- Ai là người chịu trách nhiệm về địa chỉ mạng nội bộ, đặt tên, thiết kế cấu trúc vàcấu hình?
- Tài nguyên về nhân lực, phần cứng và phần mềm của tổ chức hay cơ quan lànhững gì?
- Những nguồn tài nguyên này hiện đang được liên kết và chia sẻ như thế nào?
- Nguồn tài chính của tổ chức hay cơ quan dành cho mạng là bao nhiêu?
Những yêu cầu trên cho phép ta ước lượng được chi phí và khoảng thời gian đểtriển khai dự án thiết kế mạng nội bộ
Tính khả dụng đo lường mức độ hữu ích của hệ thống mạng Có nhiều yếu tố ảnhhưởng đến tính khả dụng, gồm những yếu tố sau:
- Thông lượng
- Thời gian đáp ứng
- Khả năng truy cập vào tài nguyên mạng
Các yêu cầu về hệ thống mạng nội bộ phải đáp ứng yêu cầu khi ngườ sử dụng cónhiều nhu cầu về các ứng dụng mạng, về thoại và video thì yêu cầu về băng thông càngtăng lên
Một thành phần nữa trong phân tích đánh giá yêu cầu về mạng nội bộ là một mạngnội bộ không cung cấp thông tin nhanh chóng và chính xác cho người sử dụng thì mạng
Trang 12SƠ ĐỒ MẠNG THEO LỚP OSI CỦA MỘT HỆ THỐNG MẠNG LAN
Hồ sơ thiết kế mạng nội bộ bao gồm những thành phần quan trọng sau:
- Sơ đồ cấu trúc theo lớp OSI
- Sơ đồ mạng nội bộ luận lý
- Sơ đồ mạng nội bộ vật lý
- Bảng ánh xạ vị trí tình trạng sử dụng từng thiết bị trong mạng nội bộ
- Sơ đồ WLAN luận lý
- Sơ đồ luận lý lớp 3
Trang 1312 strand-filber (2used10 spare) Link speed=100Mbps
- Sơ dồ địa chỉ
Trang 14al ca
Vertical cable
Internet
Hình 4 - Sơ đồ vật lý
Trang 15Triển khai cấu trúc LAN lớp 1
Điều quan tâm khi thiết kế mạng là cáp vật lý Hiện nay, cáp sử dụng cho mạng nội
bộ hầu hết đều dựa trên công nghệ Fast Ethernet là Ethernet được nâng cấp từ 10Mb/s và
có khả năng hoạt động song công
Những vấn đề trong thiết kế lớp 1 bao gồm các loại cáp sử dụng thường là cáp đồnghay cáp quang Môi trường cáp lớp 1 có nhiều loại như 10/100BASE-TX CAT5, 5e hoặc
6 UTP, STP, 10 BASE-FX cáp quang và chuẩn TIA-568-A về cách bố trí và kết nối dây
Trang 16Tầng 3
Tầng 2
Tầng 1
Data Rate
Signaling Method
Length
Bảng 1 - Các chuẩn cáp Ethernet và Fast Ethernet
Một hệ thống mạng tồn tại với chính hệ thống cáp bên dưới của nó Do vậy hầu hếtcác sự cố mạng đều sảy ra ở Lớp 1 nên khi có dự định thay đổi quan trọng nào thì cầnphải kiểm tra toàn bộ hệ thống cáp để xác định khu vực cần nâng cấp hoặc đi dây lại Khi
có sự cố xảy ra, có thể sử dụng đồng hồ đo cáp chúng ta sẽ xác định đoạn cáp này có bị
hư hỏng về vật lý hay không
1.2.2.5 Thiết kế tầng 2
Hình 6 - Thiết kế tầng 2
Trang 17Thiết bị lớp 2 sẽ quyết định kích thước của miền đụng độ.
Đụng độ và kích thước của miền đụng độ là hai yếu tố ảnh hưởng xấu đến hiệu quảhoạt động của mạng Ta có thể sử dụng Switch kết hợp với Hub để cung cấp mức độ hoạtđộng hợp lý cho mỗi nhóm User và server khác nhau
Một đặc điểm quan trọng của LAN switch là có thể phân bố băng thông hơn chođường vertical, uplink hoặc đường kết nôi vào server
Đường vertical kết nối IDF đến MDF để truyền dữ liệu giữa MDF và IDF Dunglượng đường vertical thường lớn hơn đường horizontal Đường horizontal nối giưa IDF
và máy trạm thường sử dụng cap CAT 5e UTP và dài không quá 100m Trong môitrường mạng thông thường, đường horizontal có băng thông 10Mb/s và 100Mb/s
1.2.2.6 Thiết kế tầng 3
Trang 18Hình 8 - Sơ đồ đi dây giữa các lớpTrong cấu trúc tầng 3, Router là thiết bị lớp 3 và được coi là một trong những thiết
bị mạnh nhất trong cấu trúc mạng
Trang 19Thiết bị lớp 3 được sử dụng để chia mạng nội bộ thành nhiều mạng riêng biệt Thiết
bị lớp 3 cho phép thông tin liên lạc giữa 2 mạng thông qua địa chỉ lớp 3, ví dụ như địachỉ IP Router còn có thể kết nối WAN như nối ra Internet
Định tuyến lớp 3 phân luồng giao thông giữa các mạng vật lý dựa trên địa chỉ lớp 3.Router không chuyển tiếp các gói quảng bá ví dụ như gói yêu cầu ARP
Do đó mỗi cổng trên router được xem là cửa vào của mạng và cửa ra của một miềnquảng bá, là nơi kết thúc của quảng bá, ngăn không cho quảng bá sang các mạng khác.Trong sơ đồ đi dây cáp lớp 1, mỗi mạng vật lý được tạo ra một cách dễ dàng bằngcách kết nối cáp horizontal và vertcal vào switch lớp 2 sau đó các mạng vật lý này đượckết nối vào router làm tăng khả năng bảo mật hơn vì mọi giao thông đi vào hoặc ra mộtmạng nội bộ đều phải qua router
Trang 20CHƯƠNG II NGHIÊN CỨU VỀ MẠNG RIÊNG ẢO VPN 2.1 Khái niệm mạng riêng ảo VPN
Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng (LeasedLine) cho các kết nối cố định và đường quay số (Dial-up) cho các kết nối không thườngxuyên Các mạng này có tính bảo mật cao, nhưng khi lưu lượng thay đổi và đòi hỏi tốc độcao nên đã thúc đẩy hình thành một kiểu mạng dữ liệu mới, mạng riêng ảo Mạng riêng
ảo được xây dựng trên các kênh lôgích có tính “ảo” Xu hướng hội tụ của các mạng trênnền NGN tạo điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạngriêngảo
Mạng riêng ảo là một mạng máy tính, trong đó các điểm của khách hàng được kết nốivới nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính sách truy nhập và bảo mậtnhư trong mạng riêng Có 2 dạng chính mạng riêng ảo VPN là: Remote Access VPN ,Site - to - Site VPN (Intranet VPN và ExtranetVPN)
Site- to - Site VPN dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết
nối VPN Có thể chia loại này ra 2 loại khác: Intranet VPN và Extranet VPN IntranetVPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau.Extranet VPN là khi Intranet VPN của một khách hàng mở rộng kết nối với mộtIntranet VPN khác
Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt động an toàn và hiệuquả Kết hợp với các thủ tục xác thực ngưòi dùng, dữ liệu được bảo mật thông qua cáckết nối đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu Tunnel là kết nối ảođiểm - điểm (Point to Point) và làm cho mạng VPN hoạt động như một mạng riêng Dữliệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau với các độbảo mật khác nhau Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo mật vàtốc độ truyền dẫn Giải pháp VPN được thiết kế phù hợp cho những tổ chức có xuhướng tăng khả năng thông tin từ xa, các hoạt động phân bố trên phạm vi địa lý rộng và
Trang 21Security Gateway 1
Security Gateway 2
lý đối với các ISP Tất cả các giao thức sử dụng trong mạng VPN, các gói dữ liệu IPđược mã hoá (RSA RC-4 trong PPTP hoặc mã khóa công khai khác trong L2TP, IPSec)
và sau đó đóng gói (ESP), thêm tiêu đề IP mới để tạo đường hầm trên mạng IP côngcộng Như vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng thì thông tin trong đó
đã được mã hoá nên kẻ phá hoại khó có thể dò tìm thông tin thực sự chứa trong bảntin Trong các giao thức PPTP và L2TP, mã hoá gói tin đã được thực hiện từ người dùngcho đến máy chủ của VPN Việc mất mát gói tin dẫn đến việc phải truyền lại toàn bộgói tin, điều này gây nên độ trễ chung đối với VPN và ảnh hưởng đến QoS củamạngVPN
2.2 Kiến trúc của mạng riêngảo
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:
- Đường hầm (Tunnelling) cho phép làm “ảo” một mạngriêng
- Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêngtư
Trang 22này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các
kết nối khác Kết nối này mang tính lôgích “ảo” không phụ thuộc vào cấu
Trang 23Service Provider) ESP cài đặt một một công nghệ Network Access Server
(NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ.Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theochuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của
họ Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhânviên thương mại Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoágiữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch
vụ thứ ba (third-party)
Site-to-Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện
rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng côngcộng như Internet Các mạng Site-to-site VPN có thể thuộc một trong hai dạngsau:
o Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địađiểm ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN Khi đó họ có thểxây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1mạng riêng thống nhất
o Extranet-based: Khi một công ty có một mối quan hệ mật thiết với mộtcông ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ
có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan vớimạng Lan và cho phép các công ty đó có thể làm việc trong một môitrường có chia sẻ tài nguyên
Trang 24Hình 8 - Ba loại mạng riêng ảo
2.4 Lợi ích của VPN
Mở rộng vùng địa lý có thể kết nối được
Tăng cường bảo mật cho hệ thống mạng
Giảm chi phí vận hành so với mạng WAN truyền thống
Giảm thời gian và chi phí truyền dữ liệu đến người dùng ở xa
Tăng cường năng suất
Giảm đơn giản hoá cấu trúc mạng
Cung cấp thêm một phương thức mạng toàn cầu
Cung cấp khả năng hỗ trợ thông tin từ xa
Cung cấp khả năng tương thích cho mạng băng thông rộng
Cung cấp khả năng sinh lợi nhuận cao hơn mạng WAN truyền thống Một mạng VPN được thiết kế tốt sẽ đáp ứng được các yêu cầu sau:
Bảo mật (Security)
Trang 25 Tin cậy (Reliability)
Dễ mở rộng, nâng cấp (Scalability)
Quản trị mạng thuận tiện (Network management)
Quản trị chính sách mạng tốt (Policy management)
2.5 Mỗi một mạng LAN là một hòn đảo (IsLANd)
Hình dung bạn đang sống trên một hòn đảo trong lòng biển rộng Có hàng ngànhòn đảo khác xung quanh bạn Một vài hòn đảo gần bạn, nhưng còn rất nhiều hòn đảocách xa bạn rất nhiều Cách thức thông thường để đi đến các hòn đảo khác là sử dụngthuyền đi từ bảo của bạn sang hòn đảo bạn muốn đến thăm Đương nhiên, du lịch trênthuyền có nghĩa là bạn không có sự riêng tư Tất cả những gì bạn làm thì những ngườikhác đều có thể nhìn thấy
Có thể nói rằng mỗi hòn đảo đại diện cho một mạng LAN riêng biệt và biển cả làInternet Du lịch bằng thuyền thì giống như kết nối đến một Web server hay một tàinguyên mạng khác thông qua Internet Bạn không có quyền điều khiển đường truyền vàcác bộ định tuyến trên Internet, cũng như bạn không có quyền điều khiển những ngườikhác trên các con thuyền Điều này có thể làm cho bạn có thể gặp phải vấn đề về bảo mậtkhi bạn muốn kết nối hai mạng riêng sử dụng tài nguyên mạng Internet công cộng Tiếp tục so sánh, hòn đảo của bạn sẽ xây dựng một cây cầu (bridge) đến các hòn đảokhác, như vậy giao thông sẽ dễ dàng hơn, bảo mật an toàn hơn và tạo nên đường giaothông trực tiếp cho mọi người giữa hai đảo Giá thành để xây dựng và bảo dưỡng cây cầu
sẽ đắt, dù cho khoảng cách giữa hai hòn đảo là rất gần Nhưng việc này cần thiết cho việcđảm bảo tính tin cậy, bảo mật an toàn của đường đi, đó là lý do tốt để bạn thực hiện xâydựng cầu Hòn đảo của bạn muón xây tiếp một cây cầu đến một hòn đảo thứ hai sẽ nhanhhơn nhưng giá thành khó có thể chấp nhận được
Điều này giống như bạn sử dụng một đường truyền trực tiếp Cây cầu (leased line)tách độc lập ra khỏi đại dương (Internet), nhưng bạn vẫn có thể kết nối các đảo (LAN)với nhau Rất nhiều công ty lựa chọn giải pháp này bởi vì nó cần thiết cho an toàn thông
Trang 26tin và tính tin cậy khi kết nối giữa các văn phòng Tuy nhiên, nếu các văn phòng rất cách
xa nhau, giá thành có thể sẽ rất lớn cũng như khi xây một cây cầu thật dài
Sử dụng VPN sẽ có lợi như thế nào? trong so sánh, chúng ta có thể cung cấp cho mỗingười dân trên đảo một con tàu ngầm nhỏ (submarine) Giả thiết rằng con tàu ngầm nhỏ
đó có các ưu điểm như sau:
Tốc độ nhanh
Dễ dàng đưa bạn đi đến nơi bạn muốn
Cho phép bạn trốn khỏi bất kỹ một con thuyền hay tàu ngầm nào khác
Độ an toàn cao
Giá thành sản xuất nhỏ hơn so với các con thuyền truyền thống khi bạn hạ thuỷlần đầu tiên
Trong phép so sánh, mỗi người có một tàu ngầm - tương tự như một người dùng
ở đầu xa có quyền truy cập vào mạng riêng của công ty sử dụng VPN
Mặc dù chúng ta đang đi trên biển cùng với những người khác, mỗi người dân cóthể đi lại bất cứ khi nào họ muốn một cách riêng tư và tin cậy Đó là điều cơ bản khi sử
dụng VPN Mỗi thành viên của mạng ở cách xa có thể trao đổi thông tin với sự an toàn
và tin cậy khi sử dụng Internet làm phương tiện kết nối đến mạng LAN Một VPN có thể
mở rộng để phục vụ cho nhiều người dùng và nhiều điểm truy cập khác nhau một cách dễdàng hơn so với sử dụng đường truyền trực tiếp Trong thực tế, tính dễ mở rộng là 1 ưuđiểm chính của các VPN so với các đường truyền trực tiếp Không giống với đườngtruyền trực tiếp là giá thành sẽ cao khi kéo dài, khi sử dụng VPN giá thành sẽ thấp hơnnhiều
2.6 Tính bảo mật của VPN
Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ antoàn khi truyền dữ liệu:
Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả
giữa mạng riêng của bạn với Internet Bạn có thể sử dụng tường lửa ngăn chặn các