Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 2'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả tương thích, Khả quản trị 1.3.1 Bảo mật Các mạng riêng Intranet mang lại mơi trường bảo mật cao tài ngun mạng khơng truy cập mạng cơng cộng Vì vậy, xác suất truy cập trái phép đến Intranet tài nguyên thấp Tuy nhiên, nhận định khơng với VPN có sử dụng Internet mạng cơng cộng khác mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Networks - PSTNs) cho truyền thông Thiết lập VPN mang lại cho Hacker, Cracker hội thuận lợi để truy cập tới mạng riêng luồng liệu qua mạng cơng cộng Vì vậy, mức độ bảo mật cao toàn diện cần phải thực thi cách chặt chẽ Dữ liệu tài nguyên cục mạng bảo mật theo cách sau: + Thực thi kỹ thuật phịng thủ vịng ngồi, cho phép dòng lưu lượng cấp quyền từ nguồn tin cậy vào mạng từ chối tất lưu lượng khác Các Firewall dịch chuyển địa mạng(NAT) ví dụ kỹ thuật phịng thủ Firewall không kiểm tra kỹ lưu lượng vào mà cịn với lưu lượng ra, vậy, đảm bảo mức bảo mật cao Bộ dịch chuyển địa ví dụ khác, khơng để lộ địa IP nguồn tài nguyên cục mạng Và vậy, kẻ cơng khơng biết đích tài nguyên mạng Intranet + Xác thực(Authentication): Xác thực người dùng gói liệu để thiết lập định danh người dùng định có phép truy cập tới tài ngun mạng hay khơng Mơ hình xác thực, cấp quyền, kiểm tốn (AAA) ví dụ hệ thống xác thực người dùng toàn diện Đầu tiên hệ thống xác nhận người dùng truy cập vào mạng Sau người dùng xác thực thành cơng, họ truy cập đến tài nguyên cấp quyền Hơn nữa, nhật ký chi tiết hoạt động tất người dùng mạng trì, cho phép người quản trị mạng ghi lại hoạt động trái phép, bất thường + Mã hoá liệu(Data Encryption): Thực thi chế mã hố liệu để đảm bảo tính xác thực, tính tồn vẹn tính tin cậy liệu truyền qua mạng không tin cậy Bảo mật giao thức Internet(Internet Protocol Security IPSec) bật lên chế mã hoá liệu mạnh Nó khơng mã hố liệu truyền mà cho phép xác thực người dùng gói liệu riêng biệt + Quản lý khoá (Key Management): Để mã hoá liệu, VPN cần cung cấp khoá mật mã để tạo đường hầm phiên (session tunnull) Vì vậy, cần phải tạo khoá, phân phối cập nhật, làm tươi chúng 1.3.2 Tính sẵn sàng tin cậy Tính sẵn sàng tổng thời gian mà người dùng truy cập vào mạng (uptime) Trong mạng riêng mạng Intranet, thời gian tương đối cao tồn sở hạ tầng mạng thuộc quyền sở hữu riêng kiểm soát đầy đủ tổ chức Tuy nhiên, VPN sử dụng mạng tương tác trung gian Internet PSTN thiết lập dựa VPN phụ thuộc nhiều vào mạng trung gian Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP) Thông thường, ISP đảm bảo tính sẵn sàng “hợp đồng mức dịch vụ” (Service Level Agreement - SLA) SLA hợp đồng ký kết ISP người dùng (một tổ chức công ty) để cam kết thời gian truy cập mạng Một số ISP đề xuất uptime cao, khoảng 99% Nếu tổ chức muốn đảm bảo tính sẵn sàng cao, tìm ISP có sở hạ tầng chuyển mạch xương sống có khả phục hồi cao Đó là: + Khả định tuyến mạnh, cho phép định tuyến lại qua đường thay trường hợp đường bị lỗi bị tắc nghẽn Để đảm bảo hiệu suất cực đại, khả định tuyến hỗ trợ nhiều lựa chọn ưu tiên định tuyến yêu cầu + Dư thừa đường truy cập, thường dùng để đáp ứng yêu cầu tăng giải thơng mạng + Các thiết bị dự phịng hồn toàn tự động vượt qua lỗi, thiết bị khơng gồm thiết bị thay nóng mà nguồn cung cấp điện hệ thống làm lạnh Tính tin cậy yêu cầu quan trọng VPN liên quan mật thiết với nhân tố tính sẵn sàng Tính tin cậy giao dịch VPN đảm bảo người dùng cuối phân phối liệu hoàn cảnh Cũng hầu hết thiết lập mạng khác, tính tin cậy mơi trường dựa VPN đạt việc chuyển mạch gói liệu tới đường dẫn khác liên kết tạo thiết bị đường bị lỗi Toàn trình hồn tồn suốt với người dùng cuối 1.3.3 Chất lượng dịch vụ Trong mạng riêng ảo, mạng thơng thường Đều có mong muốn mang lại tính suốt cho gói liệu chúng truyền từ nguồn đến đích đảm bảo chất lượng dịch vụ khác Vấn đề với QoS xác định nào? có đảm bảo hay khơng? khó Trừ có tắc nghẽn mạng, khó để chứng minh QoS đảm bảo Chất lượng dịch vụ khả phản hồi hoàn cảnh tới hạn cách gán tỷ lệ để xác định giới hạn lỗi việc sử dụng băng thông mạng tài nguyên cho ứng dụng Các ứng dụng giao dịch tài chính, q trình đặt hàng từ đối tác thương mại tương đối nhạy cảm với băng thông Các ứng dụng truyền video nhạy cảm với độ trễ đòi hỏi băng thông lớn để tránh tượng chất lượng giao dịch 1.3.4 Khả quản trị Việc kiểm soát hoàn toàn hoạt động tài nguyên mạng, với việc quản trị thích hợp quan trọng đặt với tất đơn vị có mạng kết nối phạm vi toàn cầu Hầu hết đơn vị kết nối với nguồn tài nguyên giới trợ giúp nhà cung cấp dịch vụ Kết khơng thể kiểm sốt đầu cuối mạng Intranet đơn vị phải qua mạng Intranet trung gian nhà cung cấp dịch vụ Trong hoàn cảnh này, đơn vị phải quản trị tài nguyên mạng kinh doanh họ, nhà cung cấp dịch vụ quản trị thiết lập mạng họ Với sẵn có thiết bị VPN hãng sản xuất bên hợp đồng tổ chức với nhà cung cấp dịch vụ loại trừ ranh giới vốn có việc quản trị tài nguyên quản trị toàn phần riêng phần công cộng phần cuối VPN Một Cơng ty quản trị, giám sát, hỗ trợ trì mạng họ mơ hình truyền thống, kiểm sốt tồn truy cập mạng có quyền giám sát trạng thái thời gian thực, thực thi VPN Hơn Công ty giám sát phần cơng cộng VPN Tương tự, ISP quản trị kiểm soát phần sở hạ tầng thuộc quyền kiểm soát họ Tuy nhiên, yêu cầu, nhà cung cấp dịch vụ quản trị tồn sở hạ tầng, bao gồm sở hạ tầng VPN người dùng 1.3.5 Khả tương thích Như biết VPN sử dụng mạng công cộng kết nối đường dài, mạng trung gian dựa IP Internet dựa cơng nghệ mạng khác Frame Relay (FR), Asynchronous Transfer Mode (ATM) Kết VPN sử dụng tất kiểu cơng nghệ giao thức sở Trong trường hợp mạng tương tác trung gian dựa IP, VPN phải có khả dùng địa IP ứng dụng IP, để đảm bảo tương thích với sở hạ tầng dựa IP, phương pháp sau tích hợp vào VPN Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) giao thức không dựa IP thành IP Các thiết bị thiết bị mạng chuyên dụng giải pháp dựa phần mềm Getway IP cài đặt Server thường dùng để chuyển đổi dòng lưu lượng Sử dụng đường hầm: Đường hầm, biết, kỹ thuật đóng gói gói liệu khơng IP thành gói IP để truyền qua sở hạ tầng dựa IP Các thiết bị cuối khác, nhận gói liệu đóng gói sẻ xử lý loại bỏ phần tiêu đề IP để lấy lại liệu gốc “Đường hầm” xem thiết bị tryền tải Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): hình vẽ 1.4, VIPR làm việc cách phân vùng lôgic Router vật lý vị trí nhà cung cấp dịch vụ sau cùng(như phần sở hạ tầng ISP) Mỗi phân vùng cấu hình quản trị Router vật lý hỗ trợ VPN Theo cách gọi đơn giản, phân vùng lôgic xem Router với đầy đủ chức Kết là, phân vùng Router lơgic hỗ trợ nhiều giao thức có khả chứa địa IP riêng Hình 1.4 Mơ tả chung VIPR Với công nghệ giao thức không dựa IP FR, ATM, công nghệ đường điện thoại riêng ảo(Virtual Private Trunking - VPT) sử dụng Công nghệ VPT mơ tả hình 1.5 Hình 1.5 Mơ tả chung VPT VPT tương thích với nhiều giao thức dựa cơng nghệ chuyển mạch gói Vì sử dụng kênh cố định ảo(Permanent Virtual Circuits PVC) kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền liệu Để truyền liệu thành công, VPT yêu cầu thiết bị WAN Router có khả hỗ trợ FR ATM Để chắn giao dịch thương mại có lợi nhuận, PVC thường dùng cho việc liên kết Site mạng riêng Intranet SVC lại thường dùng để liên kết Site Extranet 1.4 Cách tiếp cận thiết kế cài đặt VPN ... khả chứa địa IP riêng Hình 1.4 Mơ tả chung VIPR Với cơng nghệ giao thức không dựa IP FR, ATM, công nghệ đường điện thoại riêng ảo( Virtual Private Trunking - VPT) sử dụng Công nghệ VPT mô tả hình... VPN sử dụng mạng công cộng kết nối đường dài, mạng trung gian dựa IP Internet dựa công nghệ mạng khác Frame Relay (FR), Asynchronous Transfer Mode (ATM) Kết VPN sử dụng tất kiểu công nghệ giao... 1.3 .2 Tính sẵn sàng tin cậy Tính sẵn sàng tổng thời gian mà người dùng truy cập vào mạng (uptime) Trong mạng riêng mạng Intranet, thời gian tương đối cao tồn sở hạ tầng mạng thuộc quyền sở hữu riêng