đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.
14. Extranet VPN: kết nối với khách hàng, đối tác với một phần mạng trung tâm thông qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng. qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.
5.2.1 Access VPN
Có rất nhiều lựa chọn để thực hiện Access VPN, do vậy cần cân nhắc thận trọng trước khi quyết định lựa chọn phương án nào. Như liệt kê ở đây, có nhiều công nghệ truy nhập, từ các công nghệ quay số hoặc ISDN truyền thông tới các công nghệ mới như truy nhập sử dụng
DSL. Thêm vào đó phải lực chọn một kiến trúc VPN: kiến trúc khởi tạo từ máy khách (client inititated) hay kiến trúc khởi tạo từ máy chủ truy nhập (network access server initiated architure).
5.2.1.1 Kiến trúc khởi tạo từ máy khách
Đối với Access IP-VPN khởi tạo từ phia máy khách, mỗi PC của người sử dụng từ xa phải cài đặt phần mềm IPSec. Khi người sử dụng quay số tới POP (Point of Presence) của ISP, phần mềm này sẽ khởi tạo một đường ngầm IP-VPN và thực hiện mật mã. Kiến trúc này rất an toàn vì dữ liệu được bảo vệ trên toàn bộ đường ngầm PC của người sử dụng đến mạng trung tâm. Trong phương án này có thể sử dụng bất kỳ công nghệ truy nhập nào để kết nối tới Internet. Thêm vào đó, phương án này là trong suốt đối với nhà cung cấp dịch vụ ISP, nghĩa là có thể thực hiện IP-VPN mà không cần thực hiện bất cứ thay đổi nào đối với ISP, chẳng hạn như mật mã dữ liệu. Nhược điểm của mô hình này là phải cài đặt và quản trị phần mềm IPSec client trên tất cả các PC truy nhập từ xa.
Hình 5.2: Truy nhập IP-VPN từ xa khởi tạo từ phía người sử dụng 5.2.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS
Đối với truy nhập IP-VPN khởi tạo từ máy chủ truy nhập thì NAS (tại POP) sẽ khởi tạo đường ngầm và thực hiện mật mã thay cho người sử dụng. Sẽ có một phần kết nối không được bảo vệ giữa người sử dụng và POP. Phần kết nối còn lại được bảo đảm an toàn bởi một đường ngầm và mật mã dữ lệu. Mô hình này dễ quản lí hơn, vì không phải kiểm soát tất cả phần mềm IPSec client tại các PC truy nhập từ xa. Mô hình này cũng dể dàng mở rộng hơn so với mô hình truy nhập khởi tạo từ người sử dụng vì chỉ cần cấu hình máy chủ NAS, thay vì cấu hình tất cả các PC.
Hình 5.3: Truy nhập IP-VPN khởi tạo từ máy chủ 5.2.2 Intranet IP-VPN và Extranet IP-VPN
Ở chương 2 đã trình bày về mô hình Intranet và Extranet IP-VPN. Chương này sẽ trình bày một ví dụ về mô hình triển khai Intranet và Extranet IP-VPN khởi tạo từ raouter. Hình 5.4 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đường ngầm sử dụng IPSec sau đó thỏa thuận việc mật mã.
Hình 5.4: IP-VPN khởi tạo từ routers
Mô hình này có một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, còn bản thân tổ chức phải quản lý tất cả các vấn đề như an toàn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mô hình lai (hybrid model). Trong mô hình này, tổ chức và nhà cung cấp dịch vụ chia sẻ các công việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, còn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ trợ giúp và an toàn dữ liệu. Trường hợp thứ ba,
nhà quản trị mạng chỉ quản lý các máy chủ an ninh, còn ISP cung cấp toàn bộ giải pháp VPN, dịch vụ trợ giúp, huấn luyện…
5.2.3 Một số sản phẩm thực hiện VPN
như ta đã biết, có nhiều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dòng sản phẩm. Các hãng khác nhau có cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và có thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau. Bảng 5.1: Ví dụ về các sản phẩm của Cisco và Netsreen
Loại khách hàng Cisco Netsreen
Remote Access Site-to-Site
ISP/ Central Site Central Site