Hai mô hình triển khai VPN, dự trên các yêu cầu của người dùng và dựa trên mạng. Mô hình dựa trên khách hàng còn được gọi là mô hình chồng lấn, trong đó VPN được cấu hình trên các thiết bị của người dùng và sử dụng giao thức đường hầm qua mạng công cộng. Nhà cung cấp dịch vụ sẽ đưa các mạng riêng ảo giữa các site của người dùng như là các đường kết nối riêng. Mô hình dựa trên mạng được gọi là mô hình ngang hàng, trong đó VPN được cấu hình trên các thiết bị của nhà cung cấp dịch vụ và được quản lý bởi nhà cung cấp dịch vụ. Các nhà cung cấp dịch vụ và người dùng trao đổi thông tin dữ liệu qua định tuyến lớp 3, các nhà cung cấp dịch vụ sẽ sắp đặt dữ liệu từ các site người dùng vào đường đi tối ưu nhất mà không cần phải có sự tham gia của người dùng.
2.4.1 Mô hình VPN chồng lấn
Mô hình chồng lấn VPN ra đời rất sớm và được triển khai dưới nhiều công nghệ khác nhau. Lúc đầu VPN được xây dựng bằng cách sử dụng các đường thuê riêng để cung cấp và kết nối giữa các người dùng ở các vị trí khác nhau. Người dùng sử dụng dịch vụ kênh thuê riêng của nhà cung cấp dịch vụ. Các đường thuê riêng này được thiết lập giữa các site của người dùng cần kết nối. Đường này là đường dùng riêng cho người dùng khi có nhu cầu sử dụng.
Frame Relay được xem như là một công nghệ VPN được đua ra trong những năm 1990, vì nó có thể đáp ứng kết nối cho người dùng như dịch vụ thuê kênh riêng (leased line), ở đây người dùng không được cung cấp các đường dành riêng cho mỗi người dùng, người dùng sử dụng một đường chung nhưng được chỉ định các mạch ảo. Các mạch ảo này sẽ đảm bảo lưu lượng cho mỗi người dùng là riêng biệt.
Cung cấp mạch ảo cho người dùng nghĩa là nhà cung cấp dịch vụ đã xây dựng một đường hầm riêng cho dữ liệu người dùng đi qua mạng dùng chung của nhà cung cấp dịch vụ. Sau này công nghệ ATM ra đời, về cơ bản ATM cũng hoạt động giống như Frame Relay nhưng đáp ứng tốc độ truyền dẫn cao hơn.
Người dùng thiết lập việc kết nối giữa các thiết bị đầu phía người dùng CE với nhau qua kênh ảo. Giao thức định tuyến chạy trực tiếp giữa các Router người dùng thiết lập mối quan hệ cận kề và trao đổi thông tin định tuyến với nhau. Nhà cung cấp dịch vụ không thể biết đến thông tin định tuyến của người dùng trao đổi. Nhiệm vụ của nhà cung cấp dịch vụ trong mô hình này chỉ là đảm bảo truyền dữ liệu điểm - điểm giữa các site của người dùng.
VPN chồng lấn còn được triển khai dưới dạng đường hầm (Tunneling). Việc triển khai thành công các công nghệ gắn với IP nên một vài nhà cung cấp dịch vụ bắt đầu triển khai VPN qua IP. Nếu người dùng nào muốn xây dựng mạng riêng của họ qua mạng công cộng thì có thể dùng giải pháp này là hợp lý nhất vì chi phí thấp. Bên cạnh lý do kinh tế, mô hình đường hầm còn đáp ứng cho người dùng việc bảo mật dữ liệu và thông tin trên đường truyền. Hai công nghệ VPN đường hầm phổ biến là IPSec và Gói định tuyến chung (GRE).
Các nhà cung cấp dịch vụ cam kết về QoS trong mô hình overlay VPN thường là cam kết về băng thông trên một mạch ảo (VC), giá trị này được gọi là tốc độ thông tin ràng buộc (CIR). Băng thông có thể sử dụng được tối đa trên một kênh ảo đó, giá trị này được gọi là tốc độ thông tin tối đa (PIR). Việc cam kết này được thực hiện thông qua các thống kê tự nhiên của dịch vụ lớp 2 nhưng lại phụ thuộc vào chiến lược của nhà cung cấp. Điều này có nghĩa là tốc độ cam kết không thật sự được bảo đảm mặc dù nhà cung cấp có thể đảm bảo tốc độ lớn nhất. Cam kết về băng thông cũng chỉ là cam kết về hai điểm trong mạng người dùng. Nếu không có ma trận lưu lượng đầy đủ cho tất cả các lớp lưu lượng thì
thật khó có thể thực hiện cam kết này cho người dùng trong mô hình overlay. Để làm được việc này bằng cách tạo ra nhiều kết nối, như trong công nghệ chuyển mạch khung Frame Relay hay chuyển mạch không đồng bộ ATM là có các mạch ảo cố định (PVC) giữa các site người dùng. Tuy nhiên, kết nối mạng lưới rộng thì chỉ làm tăng thêm chi phí của mạng. Nên để cam kết theo lời hứa của mình thì việc tính toán lưu lượng đường truyền phải cẩn thận, và chính xác nhất.
Hình 2.1: Mô hình VPN chồng lấn
Một số ưu điểm của VPN chồng lấn
• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà cung cấp dịch vụ.
• Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình VPN chồng lấn
• VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác nhau.
• Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải có sự đầu tư lớn trong việc này.
2.4.2 Mô hình VPN ngang cấp
Với những nhược điểm của VPN chồng lấn thì việc đưa ra mô hình VPN ngang cấp để khắc phục những nhược điểm đó và chuẩn hoá việc truyền dữ liệu qua mạng đường trục. Với mô hình này các nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến của người dùng. Tức là Router biên mạng nhà cung cấp (Provider Edge - PE) thực hiện trao đổi thông tin định tuyến trực tiếp với Router CE của người dùng.
Hình 2.2: Mô hình VPN ngang cấp
Vùng ở giữa bao gồm tập hợp một hay nhiều nhà cung cấp dịch vụ VPN. Xung quanh là các site tạo nên các kết nối mạng VPN. Trong hình này thể hiện hai mạng VPN là A và B. Mỗi site của VPN A kết nối với nhà cung cấp dịch vụ VPN thông qua một bộ định tuyến biên khách hàng (CE). Mỗi site có thể có một hay nhiều bộ định tuyến CE ví dụ như site 1 trong VPN B có hai CE là CE1
B1 và CE2
B1 còn site 3 trong VPN B chỉ có 1 CE đó là CEB3. Hình vẽ còn thể hiện các đích có thể truy nhập đến trong mỗi site Về phía nhà sử dụng dịch vụ, mỗi bộ định tuyến CE được kết nối đến một bộ định tuyến biên nhà cung cấp dịch vụ
(PE). Lưu ý cùng một bộ định tuyến PE có thể kết nối các site thuộc nhiều VPN khác nhau, hơn nữa các site này có thể sử dụng cùng địa chỉ IP cho các đích trong các site (địa chỉ IP phải là duy nhất trong một VPN, tuy nhiên nó không nhất thiết phải là duy nhất trong nhiều VPN). Ví dụ như PE2 được kết nối tới các site thuộc VPN A (site 2) và VPN B (site 2). Hơn nữa cả hai site này đều sử dụng cùng một miền địa chỉ là 192.168.2.12 cho các đích bên trong chúng. Một site có thể được kết nối tới một hoặc nhiều bộ định tuyến PE, như site 1 của VPN B được kết nối tới PE1 và PE2.
Bộ định tuyến loại thứ 3 được thể hiện trên hình là bộ định tuyến nhà cung cấp dịch vụ (P). Các bộ định tuyến loại này không kết nối các site của người dùng. Việc cung cấp băng thông cũng đơn giản hơn bởi vì người dùng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần quan tâm đến toàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình VPN chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo từ site này đến site khác của site của VPN người dùng. Nhà cung cấp dịch vụ có thể triển khai hai hiệu ứng dụng VPN ngang hàng là chia sẽ bộ định tuyến dành riêng cho mỗi kênh thuê bao.
Mô hình VPN ngang cấp đã giải quyết được các hạn chế của VPN chồng lấn: Việc định tuyến đơn giản hơn khi Router người dùng chỉ trao đổi thông tin định tuyến với một hoặc một vài Router PE. Trong khi ở mô hình chồng lấn VPN, số lượng Router láng giềng có thể phát triển với số lượng lớn.
Định tuyến giữa các site người dùng luôn luôn được tối ưu vì nhà cung cấp dịch vụ biết Topology mạng người dùng và do đó có thể thiết lập định tuyến tối ưu cho các Route của họ.
Nhà cung cấp dịch vụ triển khai hai ứng dụng khác sử dụng VPN ngang cấp: Phương pháp chia sẻ Router: Router dùng chung, tức là người dùng VPN chia sẽ cùng Router biên mạng nhà cung cấp. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng Router PE.
Phương pháp chia sẽ bộ định tuyến
Trong mạng VPN các người dùng sử dụng và cùng chia sẽ một bộ định tuyến biên mạng nhà cung cấp PE. Ở phương pháp này, nhiều người dùng có thể kết nối đến cùng một bộ định tuyến PE. Do đó, trên bộ định tuyến này phải cấu hình một dang sách truy cập mạng (Access List) cho mỗi giao diện PE-CE để đảm bảo chắc chắn sự cách ly giữa các người dùng VPN. Đồng thời ngăn chặn VPN của người dùng này thực hiện các tấn công từ chối dịch vụ DoS (Denial of Serverce) vào VPN của người dùng khác. Nhà cung cấp dịch vụ chia các phần trong không gian địa chỉ của nó cho người dùng và quản lý việc chọn lọc gói tin trên bộ định tuyến PE. Nên việc các nhà cung cấp dịch vụ phải quan tâm và đầu tư vào vấn để bảo mất dữ liệu của mỗi người dùng.
Phương pháp sử dụng bộ định tuyến dành riêng
Là phương pháp mà mỗi người dùng VPN có bộ định tuyến PE riêng biệt dành riêng. Trong phương pháp này, người dùng VPN chỉ truy cập đến các bộ định tuyến trong bảng định tuyến PE dành riêng mà không ảnh hưởng đến các bộ định tuyến khác trong mạng. Mỗi bộ định tuyến sử dụng một giao thức định tuyến riêng để tạo ra bảng định tuyến cho mỗi VPN. Các bảng định tuyến này được tạo ra riêng biệt khác nhau để có sự phân biệt giữa các VPN.
Phương pháp dùng chung bộ định tuyến rất khó duy trì vì nó cần phải có dải truy nhập dài và phức tạp trên mỗi giao diện của bộ định tuyến. Còn trong phương pháp này dùng bộ định tuyến riêng, mặc dù không phức tạp về cấu hình
và dễ duy trì, nhưng nhà cung cấp dịch vụ phải đầu tư lớn để có thể hoạt động tốt hệ thống của mình và phục vụ tốt nhu cầu của người dùng.
Nhưng hạn chế của mô hình VPN ngang hàng là nhà cung cấp dịch vụ phải đáp ứng được định tuyến người dùng cho đúng và bảo đảm việc hội tụ của mạng người dùng khi có lỗi liên kết. Ngoài ra bộ định tuyến PE của nhà cung cấp dịch vụ phải mang tất cả các tuyến của người dùng.
2.5 Phân loại VPN
VPN là một công nghệ mà nhà sản xuất đưa ra nhằm đáp ứng được một số nhu cầu cơ bản sau đây:
• Cung cấp được nhiều ứng dụng khác nhau trong cùng một dịch vụ khi người dùng yêu cầu.
• Có thể điều khiển được quyền truy cập của người dùng, các nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác.
Dựa vào các ứng dụng cũng như nhưng đặc điểm của VPN mà người ta chia thành ba loại VPN cơ bản.
• VPN truy nhập từ xa • VPN cục bộ
• VPN mở rộng
2.5.1 VPN truy nhập từ xa
Những thành phần chính trong mô hình VPN truy nhập từ xa :
• Máy chủ của hệ thống truy nhập từ xa (RAS) được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Nó chịu trách nhiệm điều hành toàn bộ hệ thống thông tin và dữ liệu nhận và gửi qua mạng này. • Kết nối nhanh chóng thuận tiện đến trung tâm để lấy dữ liệu một cách
nhanh chóng nhằm giảm được một phần chi phí khi người dùng ở xa trung tâm máy chủ
• Hỗ trợ nhân viên kĩ thuật một phần trong việc cấu hình, bảo trì hệ thống và quản lý bộ xử lý trung tâm. Và hỗ trợ truy cập từ xa bởi người dùng.
Khi triển khai VPN truy nhập từ xa, những người dùng truy nhập từ xa hoặc các văn phòng đại diện chỉ cần kết nội nội bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua mạng Internet. Hệ thống VPN truy nhập từ xa có mô hình dưới đây.
Hình 2.4: Cấu hình VPN truy nhập từ xa
Một hướng phát triển mới trong VPN truy nhập từ xa là dùng VPN sử dụng sóng vô tuyến, trong đó một người dùng có thể truy nhập về mạng của mình thông qua kết nối không dây. Việc thiết kế kết nối không dây phải cần một bộ thu phát không dây về mạng của mình. Trong cả hai trường hợp có dây và không dây, phần mềm máy khách PC đều cho phép khởi tạo các kết nối bảo mật, còn gọi là đường hầm. Trong việc thiết kế quá trình xác thực ban đầu để đảm bảo yêu cầu thông tin được xuất phát từ một nguồn tin đáng tin cậy.
Hình 2.5: Mô hình VPN truy nhập từ xa
Một số ưu điểm của VPN truy nhập từ xa so với một số phương pháp truy nhâp truyền thống.
• VPN truy nhập từ xa không cần hỗ trợ nhân viên mạng bởi vì quá trình kết nối từ xa được các nhà cung cấp dịch vụ thực hiện.
• Các khoản chi phí cho các kết nối từ xa bởi các kết nối khoảng cách được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
• Cung cấp các dịch vụ giá rẻ cho người dùng ở xa, tạo sự thuận lợi cho việc phát triển mạng.
• VPN cung cấp khả năng truy nhập tốt hơn đến các site của các công ty vì chúng hỗ trợ mức thấp nhất chi phí dịch kết nối.
• Một số nhược điểm của mang VPN truy nhập từ xa:
• VPN truy nhập từ xa không hỗ trợ các dịch vụ bảo đảm chất lượng dịch vụ điều đó rất bất lợi cho người dùng mỗi khi có nhưng thông tin quan trọng muốn gửi đi, không được đảm bảo an toàn. Nên việc mất cắp dữ liệu và các gói dữ liệu không đến đích là có thể xẩy ra.
• Khi sử dụng các loại thuật toán mã hoá phức tạp nên tiêu đề giao thức tăng một cách đáng kể. Điều đó bất lợi cho việc giải mã và truyền đi trên mạng. • Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
2.5.2 VPN cục bộ
VPN cục bộ (Intranet VPN) là một dạng cấu hình của VPN điểm tới điểm, được sử dụng để bảo mật các kết nối giữa các điểm khác nhau của một công ty. VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối truy nhập luôn được mã hoá bảo mật. Cách này cho