ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG NGUYỄN XUÂN DUẨN NÂNG CAO KHẢ NĂNG BẢO MẬT CỦA HỆ THỐNG THÔNG TIN BẰNG GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN VÀ IPSEC LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Chuyên ngành: Khoa học máy tính Mã số: 60480101 NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS, TS NGUYỄN VĂN TAM Thái Nguyên - 2013 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CẢM ƠN Trước hết, xin gửi lời cảm ơn chân thành tới PGS.TS Nguyễn Văn Tam, người thầy cho định hướng ý kiến quý báu công nghệ VPN cách để triển khai ứng dụng Tơi xin tỏ lịng biết ơn sâu sắc tới thầy cơ, bạn bè khố quan tâm, giúp đỡ tơi tiến suốt thời gian qua Tôi xin cảm ơn trường Đại học Thái Nguyên trường Đại học Kinh Doanh Công nghệ Hà Nội tạo điều kiện cho tơi q trình học làm luận văn Luận văn hoàn thành thời gian hạn hẹp, chắn nhiều khiếm khuyết cần bổ sung thêm Tôi xin cảm ơn thầy cô, bạn bè người thân có góp ý chân tình cho nội dung luận văn này, để tơi tiếp tục sâu tìm hiểu VPN Security hy vọng đưa vào ứng dụng thức tiễn cơng tác Nguyễn Xuân Duẩn Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ LỜI CAM ĐOAN Tôi xin cam đoan luận văn kết nghiên cứu tôi, không chép Nội dung luận văn có tham khảo sử dụng tài liệu liên quan, thông tin tài liệu đăng tải tạp chí trang website theo danh mục tài liệu luận văn Tác giả luận văn Nguyễn Xuân Duẩn Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ MỤC LỤC CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu mạng VPN 1.2Phân loại mạng mô hình VPN 12 1.2.1 Cơng nghệ mạng riêng ảo an tồn (Secure VPN) 12 1.2.2Công nghệ mạng riêng ảo tin cậy (Trusted VPN) 12 1.3.1 Giải pháp tích hợp VPN nhóm cơng nghệ 13 1.3.2 Giải pháp tích hợp VPN khơng nhóm cơng nghệ 15 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS-VPN IPSEC 18 2.1 Mạng riêng ảo MPLS-VPN 18 2.1.1 Công nghệ chuyển mạch MPLS 18 2.1.2 Ứng dụng VPN mạng MPLS 25 2.2 Mạng riêng ảo IPSec 34 2.2.1 Kiến trúc IPSec 34 2.2.2 Mạng riêng ảo IPSec 41 2.3 MPLS- VPN kết hợp IPSec 43 2.3.1 Vị trí điểm kết thúc IPSec 43 2.3.2 IPsec MPLS 51 CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 53 3.1Điều kiện triển khai Ipsec VPN MPLS-VPN: 53 3.2 Cấu hình Ipsec VPN mạng lưới (Giải pháp dùng cho điểm triển khai kết nối cố định địi hỏi tính liên tục kết nối sở): 54 3.3.Kết thực nghiệm : 56 KẾT LUẬN 61 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ BẢNG PHỤ LỤC I CÁC THUẬT NGỮ VIẾT TẮT THUẬT NGỮ, VIẾT TẮT SNMP VPN VPDN ESP NAS LAN PPTP L2TP IPSec PIX MPLS GRE L2F PPTP IPX IP CPE ATM ICT LDP LSP FEC LSR LER NHLFE FTN LIB IGP TDP BGP IETF AH CE PE DMVPN Số hóa Trung tâm Học liệu MƠ TẢ Ý NGHĨA Simple Network Management Protocol Virtual Private Network Virtual Private Data Network Encapsulating Security Payload Network Access Server Local Area Network Program Performance Test Procedure Layer Tunneling Protocol Internet Protocol Security Property Information Exchange Multi-Protocol Label Switching Generic Routing Encapsulation Layer Forwarding Program Performance Test Procedure Packet Exchange/Sequenced Packet Exchange Internet Protocol Customer Premises Equipment Asynchronous Transfer Mode Information Communication Technology Label Distribution Protocol Label Switched Path Forwarding Equivalence Class Label Switching Router Label Edge Router Next Hop Label Forwarding Entry (FEC to NHLFE): Ánh xạ FEC sang NHLFE Label Information Base Interior Gateway Protocol Tag Distribution Protocol Border Gateway Protocol Internet Engineering Task Force Authentication Header customer edge Provider Edge Dynamic multipoint Virtual Private Network http://www.lrc-tnu.edu.vn/ II DANH MỤC CÁC HÌNH STT 10 11 12 13 14 Tên hình Trang Hình 1.1: Mơ hình mạng VPN Hình 2: Bộ xử lý trung tâm VPN số hiệu 3000 hãng Cisco Hình 1.3: Mơ hình Tunneling Hình 2- Cấu trúc nút MPLS Hình 2.2: LSP nested (ghép) Hình 2.3: Kiến trúc MPLS- VPN Hình 2.4: Vị trí nhãn MPLS khung lớp Hình 2.5 Định dạng nhãn MPLS kiểu khung 23 Hình 2.6 Dùng OSPF để quảng cáo mạng Hình 2.7 Trao đổi nhãn giao thức TDP Hình 2.8: RouterA Hình 9: Điểm kết thúc IPsec mơi trường MPLS VPN Hình 10: Mơ hình CE-CE IPsec trƣờng MPLS VPN Hình 2.11: IPsecMPLS từ PE đến môi trường VPNPE 34 12 15 26 31 32 32 34 35 44 45 48 15 Hình 12: Đóng gói IPsec bảo mật PE-PE 48 16 Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN Hình 3.1: Sơ đồ mạng Đại học Kinh Doanh Công Nghệ Hà Nội Hình 3.2.1: IP VPN server admin Hình 3.2.2: Tạo domain controler Hình 3.2.3: Đưa SRV-1 (VPN Server) vào domain Hình 3.2.4: Cài đặt VPN Server SRV-1 Hình 3.2.5: Thiết lập VPN Client kết nối đến VPN Server Hình 3.2.6: Yêu cầu cấp phát chứng điện tử Hình 3.2.7: Thiết lập kết nối VPN Hình 3.2.8: Các gói tin VPN khơng sử dụng IPSEC Hình 3.2.9: Gói tin dùng Follow TCP Stream Wireshark Hình 3.2.10: Gói tin dùng Follow TCP Stream mã hóa 50 17 18 19 20 21 15 16 17 18 19 19 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 53 54 54 55 55 55 56 56 57 57 58 ĐẶT VẤN ĐỀ Trong thời đại ngày nay, Internet phát triển mạnh mặt mô hình cơng nghệ, đáp ứng nhu cầu người sử dụng Internet thiết kế để kết nối nhiều mạng khác cho phép thông tin chuyển đến người sử dụng cách tự nhanh chóng mà khơng xem xét đến máy mạng mà người sử dụng dùng Tuy nhiên, Internet có phạm vi tồn cầu khơng tổ chức, phủ cụ thể quản lý nên khó khăn việc bảo mật an tồn liệu việc quản lý dịch vụ Từ người ta đưa mơ hình mạng nhằm thoả mãn yêu cầu mà tận dụng lại sở hạ tầng có Internet, mơ hình mạng riêng ảo (Virtual Private Network VPN) Với mơ hình này, người ta khơng phải đầu tư thêm nhiều sở hạ tầng mà tính bảo mật, độ tin cậy đảm bảo, đồng thời quản lý riêng hoạt động mạng VPN cho phép người sử dụng làm việc nơi khác kết nối an tồn đến máy chủ tổ chức sở hạ tầng cung cấp mạng công cộng Nó đảm bảo an tồn thơng tin đại lý, người cung cấp, đối tác kinh doanh với môi trường truyền thông rộng lớn Mạng VPN ứng dụng quan trọng mạng MPLS MPLS-VPN đơn giản hóa q trình tạo “đường hầm” mạng riêng ảo chế gán nhãn gói tin (Label) thiết bị mạng nhà cung cấp Để nâng cao tính bảo mật thông tin nhà công nghệ nghiên cứu triển khai MPLS-VPN kết hợp với IPSEC Trong khn khổ kiến thức có qua q trình đào tạo trường cơng việc thực tế, chọn hướng nghiên cứu đề tài mong muốn đóng góp, xây dựng thử nghiệm vào mơ hình cụ thể qua đánh giá khả triển khai thực tế hệ thống quản trị mạng có độ an ninh cao Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ Tên đề tài: Nâng cao khả bảo mật hệ thống thông tin giải pháp tích hợp mạng riêng ảo MPLS-VPN IPSec CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu mạng VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Hình 1.1: Mơ hình mạng VPN Về bản, VPN mạng riêng sử dụng hệ thống mạng công cộng (thường Internet) để kết nối địa điểm người sử dụng từ xa với mạng LAN trụ sở trung tâm Thay dùng kết nối thật phức tạp đường dây thuê bao số, VPN tạo liên kết ảo truyền qua Internet mạng riêng tổ chức với địa điểm người sử dụng xa Các loại VPN Có hai loại phổ biến VPN truy cập từ xa (Remote-Access ) VPN điểm-nối-điểm (site-to-site) VPN truy cập từ xa gọi mạng Dial-up riêng ảo (VPDN), kết nối người dùng-đến-LAN, thường nhu cầu tổ chức có nhiều nhân viên cần liên hệ với mạng riêng từ nhiều địa điểm xa Ví dụ Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ công ty muốn thiết lập VPN lớn phải cần đến nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP tạo máy chủ truy cập mạng (NAS) cung cấp cho người sử dụng từ xa phần mềm máy khách cho máy tính họ Sau đó, người sử dụng gọi số miễn phí để liên hệ với NAS dùng phần mềm VPN máy khách để truy cập vào mạng riêng công ty Loại VPN cho phép kết nối an tồn, có mật mã Hình minh họa cho thấy kết nối Văn phịng "Văn phòng" gia nhân viên di động loại VPN truy cập từ xa) VPN điểm-nối-điểm việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với thông qua mạng cơng cộng Internet Loại dựa Intranet Extranet Loại dựa Intranet: Nếu cơng ty có vài địa điểm từ xa muốn tham gia vào mạng riêng nhất, họ tạo VPN intranet (VPN nội bộ) để nối LAN với LAN Loại dựa Extranet: Khi công ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc mơi trường chung Trong hình minh họa trên, kết nối Văn phịng Văn phịng từ xa loại VPN Intranet, kết nối Văn phịng với Đối tác kinh doanh VPN Extranet Bảo mật VPN Tường lửa (firewall) rào chắn vững mạng riêng Internet Bạn thiết lập tường lửa để hạn chế số lượng cổng mở, loại gói tin giao thức chuyển qua Một số sản phẩm dùng cho VPN router 1700 Cisco nâng cấp để gộp tính tường lửa cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt cài tường lửa thật tốt trước thiết lập VPN Mật mã truy cập máy tính mã hóa liệu gửi tới máy tính khác có máy giải mã Có hai loại mật mã riêng mật mã chung Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 10 Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính có mã bí mật để mã hóa gói tin trước gửi tới máy tính khác mạng Mã riêng yêu cầu bạn phải biết liên hệ với máy tính để cài mã lên đó, để máy tính người nhận giải mã Mật mã chung (Public-Key Encryption) kết hợp mã riêng mã cơng cộng Mã riêng có máy bạn nhận biết, cịn mã chung máy bạn cấp cho máy muốn liên hệ (một cách an tồn) với Để giải mã message, máy tính phải dùng mã chung máy tính nguồn cung cấp, đồng thời cần đến mã riêng Có ứng dụng loại dùng phổ biến Pretty Good Privacy (PGP), cho phép bạn mã hóa thứ Giao thức bảo mật giao thức Internet (IPSec) cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin cịn Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngoài ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an tồn Sản phẩm cơng nghệ dành cho VPN Tùy vào loại VPN (truy cập từ xa hay điểm-nối-điểm), bạn cần phải cài đặt phận hợp thành để thiết lập mạng riêng ảo Đó là: Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 50 Trong mạng doanh nghiệp, công nhân kết nối với mạng nhà thông qua VPN: sử dụng để quay số Tuy nhiên, nhân viên du lịch sử dụng IPsec để để kết nối từ điểm phát mạng không dây, khách sạn, tòa nhà hội nghị đến văn phòng họ Trong thiết lập truyền thống, doanh nghiệp qui định tập trung VPN mạng riêng Nếu cơng ty khách hàng dịch vụ MPLS, việc truy cập truy cập từ xa IPsec đến nhà cung cấp dịch vụ dễ dàng Thiết lập thể hình -20 Hình 2.13: Truy cập từ xa IPsec vào MPLS VPN Đường hầm IPsec từ người dùng từ xa kết thúc định tuyến PE, dựa nhận dạng người dùng, ánh xạ vào VPN Do đó, định tuyến PE thực đầy đủ nhiệm vụ: điểm cuối truy cập từ xa IPsec PE MPLS Trong ứng dụng này, IPsec phục vụ chủ yếu phương pháp truy cập an toàn vào VPN người dùng, điểm truy cập không dây công cộng hay mang internet Tất lựa chọn sử dụng IPsec có ứng dụng đặc biệt Các cách khác để áp dụng IPsec tóm tắt bảng sau Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 51 Bảng - 2: Tóm tắt ứng dụng IPsec MPLS Bảo vệ CE-CE PE-PE Truy cập từ xa Nghe lõi Có Có ? Nghe lến đường dây truy cập Có Khơng ? Nhận lưu lượng bên ngồi VPN Có Khơng ? Truyền lưu lượng bên ngồi VPN Có Khơng ? Xâm nhập thơng qua giả CE Có Khơng ? Bảo mật truy cập ? ? Có DoS chống lại VPN Khơng Khơng ? Bảng mơ tả mơ hình IPsec có khả ứng dụng hồn tồn khác chúng thay lẫn được: IPsec CE-CE bảo vệ VPN chống lại mối hiểm họa từ bên ngồi; IPsec PE-PE có ứng dụng đặc biệt giới hạn ứng dụng, mô tả phần trước; IPsec truy cập từ xa việc sử dụng đặc biệt IPsec, giải pháp bảo mật tổng quát truy cập vào VPN khơng có lưu lượng chung Xem xét vị trí để thực thi điểm cuối IPsec Tiếp theo xem xét cách thức thiết lập đường hầm IPsec 2.3.2 IPsec MPLS Các mơ hình xem xét phần trước mơ tả đường hầm IPsec thiết lập (ví dụ PE-PE), không xem xét cách thức thiết lập đường hầm, việc xem xét thiết kế thứ triển khai mạng IPsec Các lựa chọn để thiết lập đường hầm IPsec: IPsec tĩnh: mơ hình này, nút IPsec cấu hình tĩnh với tất IPsec đồng cấp nó, thơng tin nhận thực sách bảo mật Đây cách cổ điển việc cấu hình IPsec Khó để cấu hình nút IPsec đồi hỏi cấu hình quan trọng; cách cổ điển việc cấu hình IPsec, nên Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 52 hỗ trợ hầu hết tảng IPsec tĩnh mô tả RFC 2401, 2412 Nó áp dụng CE-CE PE-PE IPsec động: môi trường hub- và-spoke, hub cấu hình mà khơng cần thơng tin đặc điểm spoke; spoke biết cách đến hub, đường hầm IPsec thiết lập spoke xác thực IPsec truy cập từ xa sử dụng ý tưởng tương tự, xác thực thường thực máy chủ AAA IPsec động sử dụng cho CE-CE PE-PE VPN đa điểm động (DMVPN): mơ hình làm việc theo ngun lý giao thức phân giải chặng (NHRP): nút IPsec chứa thông tin cách thức đến máy chủ chặng tiếp theo, trả địa nút IPsec đích đến nút gốc Đây cách có khả thay đổi để thiết lập đường hầm IPsec theo yêu cầu DMVPN làm việc CE-CE PE-PE Group Domain of interpretation (GDOI): Tất mơ hình trước trì liên kết bảo mật IPsec đồng cấp, điểm tìm thấy động Điều thiết lập giới hạn số nút miền IPsec nút phải giữ trạng thái cho cấp tích cực GDOI trì liên kết bảo mật đơn cho tồn nhóm nút IPsec, chẳng hạn toàn nút VPN Điều có nghĩa tồn nút IPsec nhóm phải chia sẻ khóa mã hóa/ xác thực Khóa quản lý máy chủ khóa bảo mật Mỗi nút thiết lập kết nối IPsec tĩnh đến máy chủ khóa; phần cịn lại nhóm động không yêu cầu trạng thái GDOI mô tả RFC 3547 Các thiết kế IPsec khác phức tạp, với nhiều tùy chọn phụ cho mơ hình Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 53 CHƢƠNG III: TRIỂN KHAI VÀ CÀI ĐẶT 3.1 Điều kiện triển khai Ipsec VPN MPLS-VPN: - Tại trung tâm Vĩnh Tuy phải đăng ký 01 đường MegaVNN FTTH - Phải có Firewall router layer3 làm VPN Server - Tại điểm triển khai kết nối phải có 01 đường MegaVNN - Có phần mềm Forticlient điểm triển khai IPSec VPN Internet Explorer điểm triển khai MPLS VPN - Có phần mềm Wireshark để giám sát gói tin mạng Sơ đồ mạng Đại học Kinh Doanh Công Nghệ Hà Nội sau triển khai kết nối sở (Vĩnh Tuy Từ Sơn Bắc Ninh) theo giải pháp ( IPSEC VPN VÀ MPLS VPN ): Hình 3-1: Sơ đồ mạng Đại Học Kinh Doanh Cơng Nghệ Hà Nội Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 54 3.2 Cấu hình Ipsec VPN mạng lƣới (Giải pháp dùng cho điểm triển khai kết nối cố định địi hỏi tính liên tục kết nối nhƣ sở): Triển khai hệ thống IPSec/VPN Windows Server 2003 Để quản lý người dùng hệ thống tài nguyên cần có domain controler cài đặt Windows Server 2003 tên SRV-1 (IP: 192.168.0.11) Hình 3.2.1: IP VPN server Bước 1: Tạo domain controler Hình3.2.2 : Tạo domain controler Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 55 Bƣớc 2: Đưa SRV-1 (VPN Server) vào domain Hình3.2.3: Đưa SRV-1 (VPN Server) vào domain Bƣớc 3: cài đặt VPN Server SRV-1 Hình3.2.4: Cài đặt VPN Server SRV-1 Bƣớc 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server Hình3.2.5: Thiết lập VPN Client kết nối đến VPN Server Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 56 Bƣớc 5: Kết nối VPN Client Client-1 vào domain Bƣớc 6: Yêu cầu cấp phát chứng điện tử (certificate) cho VPN Server Client dùng để chứng thực mã hóa Hình3.2.6: u cầu cấp phát chứng điện tử Bƣớc 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC Hình3.2.7: Thiết lập kết nối VPN 3.3 Kết thực nghiệm : Thực nghiệm 1: Tôi dùng phần mềm Wireshark phân tích liệu gói tin VPN Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 57 - Các gói tin thấy đƣợc khơng kết hợp VPN IPSEC Thông tin giao thức POP qua Wireshark Hình3.2.8: Các gói tin VPN khơng sử dụng IPSEC Sử dụng Follow TCP Stream để xem nội dung thư có file đính kèm nhận thấy sau: Hình3.2.9: Gói tin dùng Follow TCP Stream Wireshark Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 58 - Các gói tin thấy đƣợc kết hợp VPN IPSEC Rõ ràng sử dụng Follow TCP Stream Wireshark gói tin mã hóa, khơng thể xem Hình3.2.10: Gói tin dùng Follow TCP Stream mã hóa Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 59 Thực nghiệm Bảng 3-1 : Danh sách dự kiến triển khai mở rộng kết nối dùng hình thức Megawan nội tỉnh T Đơn vị T Băng Hình Chi phí thơng thức toán (DOW kết nối thƣờng N/UP) Ghi xuyên VNĐ (VAT 10%) Các điểm triển 4.096K Megaw khai thực tế (Trung bps/64 an Nội tâm liệu 0Kbps tỉnh 10 điểm BC2 + 512Kb Megaw BC3 ps an 1.818.181 + Cơ sở Vĩnh Tuy + Cơ sở Từ Sơn 15.912.000 điểm = 936.999 VNĐ/thán g Bảng 3-2 : Danh sách dự kiến triển khai mở rộng kết nối Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 60 dùng hình thức VPN T Đơn vị T Băng Hình Chi phí thơng thức tốn (DOW kết nối thƣờng Ghi xuyên VNĐ N/UP) (VAT 10%) Các điểm triển 8Mbps/ khai thực tế Trung 8Mbps FTTH 2.200.000 4.675.000 tâm liệu + Cơ sở Vĩnh Tuy + Cơ sở Từ Sơn 10 điểm BC2 + 2.048K IPSEC BC3 bps/51 VPN điểm = 275.000 VNĐ/thán 2Kbps g So sánh triển khai theo hình thức VPN so với hình MegaWan nội tỉnh tháng chi phí tốn thường xun chênh 10.855.181 VNĐ/tháng (VAT 10%) chi phí thuê kênh hình thức kết nối VPN giảm 130.262.172 VNĐ/năm (VAT 10%) so với megawan Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 61 KẾT LUẬN Khả đáp ứng bảo mật liệu mạng lưới: Giải pháp kết nối nội tỉnh IPSec VPN MPSL VPN đáp ứng yêu cầu bảo mật, kết nối, truyền nhận sở Vĩnh Tuy Từ Sơn Bắc Ninh Tương thích tốt với dịch vụ chạy IP, đảm bảo hoạt động thông suốt hoạt động sản xuất kinh doanh Giải pháp đảm bảo việc kết nối bảo mật liệu gói tin từ điểm trung tâm, phòng thi văn phòng ban v.v… tới mạng liên tỉnh Post*net, phục vụ việc triển khai dịch vụ E office, Thi cuối kỳ, trao đổi liêu, In điểm v.v… giúp tăng cường khả phục vụ sinh viên toàn trường Giải pháp triển khai không phát sinh thêm việc đầu tư thiết bị phần cứng, đảm bảo triển khai tốt hệ thống phần cứng sẵn có (Firewall Fortigate 300A, modem Linksys AG241 Bưu điện huyện/thị, Bưu cục 3, điểm BĐVHX tận dụng modem khuyến mại nhà cung cấp dịch vụ để thực kết nối Internet…) Việc triển khai việc xử lý cố đường truyền đơn giản so với hình thức kết nối Megawan nội tỉnh (chỉ cần Viễn thông huyện xử lý đường truyền ADSL điểm trung tâm kết nối thông mạng bình Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 62 thường không cần phối hợp với VTN hình thức Megawan), giảm thiểu thời gian trễ cho việc khai thác dịch vụ mạng lưới Khả mở rộng mạng lưới dễ dàng, tận dụng điểm Phòng ban triển khai ADSL cho mục đích triển khai viễn thơng cơng ích kinh doanh Internet để triển khai kết nối với trung tâm Vĩnh Tuy mà không cần kéo đường truyền ADSL Đồng thời triển khai theo hình thức đăng ký gói cước ADSL theo lưu lượng nhằm giảm chi phí tối đa mà thực kết nối từ điểm kết nối có sản lượng doanh thu thấp Trung tâm Hiệu kinh tế : Đối với chi phí thuê kênh hàng tháng chi phí lắp đặt ban đầu giải pháp IPSec VPN MPSL VPN giảm thiểu nhiều so với giải pháp Megawan nội tỉnh, cụ thể sau: Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 63 Chi phí đấu nối thuê kênh MegaWan nội tỉnh, gồm có: Chi phí tốn lần sau lắp đặt: Cước đấu nối hoà mạng ADSL = hoà mạng kênh mạng = = 600.000đ/cổng Cước đấu nối 500.000đ/kênh Tổng cước đấu nối hoà 1.100.000đ VAT 10% Tổng tiền phải tốn = 110.000đ = 1.210.000đ Chi phí tốn thường xuyên : Cước thuê cổng ADSL = 181.818đ/tháng Cước thuê kênh nội tỉnh = 670.000đ/tháng Tổng cước thuê cổng+kênh = 851.818đ/tháng VAT 10% Tổng tiền phải toán 85.181đ = = 936.999đ/tháng = 80.000đ/cổng = 8.000đ/cổng Chi phí đấu nối hồ mạng ADSL, gồm có: Chi phí tốn lần sau lắp đặt: Cước đấu nối hoà mạng ADSL VAT 10% Tổng tiền phải toán 88.000đ = Được miễn phí 01 modem ADSL Chi phí tốn thường xun (gói cước Easy – triển khai điểm khu vực thi, văn phòng ban , khu vực ký túc xá có sản lượng doanh thu cao): Cước thuê cổng ADSL = VAT 10% Tổng tiền phải tốn Số hóa Trung tâm Học liệu 250.000đ/tháng = = 25.000đ 275.000đ/tháng http://www.lrc-tnu.edu.vn/ 62 Như thấy việc triển khai giải pháp kết nối nội tỉnh IPSec VPN MPSL VPN giảm chi phí đáng kể so với triển khai kết nối nội tỉnh theo hình thức Megawan Tính tương lai giải pháp: Khả mở rộng ứng dụng tảng truyền dẫn lớn, triển khai dịch vụ ứng dụng Web, hệ thống điều hành nội bộ, Website trường, VoIP (điện thoại internet)… Tương lai mở rộng, người dùng di động nhằm khai thác tài nguyên nội bộ, phục vụ việc chăm sóc Sinh viên tốt nhất, tiếp cận khách hàng thường xuyên Tài liệu tham khảo: [1] Cisco Systems 2003,USA,Implementting Cisco (MPLS) v2.0 [2] Jim Guichard, Ivan Pepelnjak, Jeff Apcar (June 06,2003), MPLS and VPN Architectures, Volumer II, Cisco Press [3] Rosel et al (March 2000), Multiprotocol Label Switching Architechture [4] MPLS VPN, http://www.cisco.com Web Technology Document, [5] Santiago Alvarez, QoS for IP/MPLS Networks, Cisco Press, USA, June, 02, 2006 [6] Vivek Alwayn, Advanced MPLS Design and Implementation, Cisco Press, USA, 2002 Thái Nguyên, tháng năm 2013 Xác nhận giáo viên hƣớng dẫn PGS.TS Nguyễn Văn Tam Học viên Nguyễn Xuân Duẩn ... bảo mật hệ thống thông tin giải pháp tích hợp mạng riêng ảo MPLS- VPN IPSec CHƢƠNG I: MẠNG RIÊNG ẢO VÀ NHU CẦU TÍCH HỢP 1.1 Giới thiệu mạng VPN VPN mạng riêng sử dụng hệ thống mạng công cộng (thường... mạng riêng ảo tin cậy (Trusted VPN) 12 1.3.1 Giải pháp tích hợp VPN nhóm cơng nghệ 13 1.3.2 Giải pháp tích hợp VPN khơng nhóm công nghệ 15 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG... mà đảm bảo an toàn cho toàn VPN Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ 18 CHƢƠNG II: GIẢI PHÁP TÍCH HỢP MẠNG RIÊNG ẢO MPLS- VPN IPSEC 2.1 Mạng riêng ảo MPLS- VPN 2.1.1 Công nghệ chuyển