Luận văn đã giải quyết các vấn đề đặt là triển khai mạng VPN-MPLS dùng kỹ thuật GET VPN để bảo mật các gói tin. Giữ liệu được mã hóa trong trong toàn bộ đường đi của mình, kể cả trong phần mạng lõi. Hệ thống mạng sử dụng phương pháp xác thực PKI mang lại sự linh hoạt trong việc quản lý, mở rộng và có độ tin cậy cao.
Hệ thống được triển khai với Key Server chính (Primary KS) và Key Server phụ (Secondary KS) đảm bảo hoạt động mạng được liên tục. Nếu KS chính bị hỏng thì KS phụ được bầu làm KS chính để duy trì hoạt động của hệ thống.
Xây dựng hệ thống CA phân cấp để cấp chứng thực cho các client tham gia PKI. Hệ thống này cho phép root-CA cấp chứng thực qua sub-CA, do đó giảm lưu lượng đăng ký đến root-CA khi trong mạng có nhiều client và nâng cao khả năng mở rộng cho hệ thống.
Qua các kết quả thực hiện ở trên, ta thấy được các ưu điểm của kỹ thuật bảo mật GET VPN sử dụng phương pháp xác thực PKI như sau:
So với mô hình IPsec thì GET VPN tạo ra mô hình kết nối full-mesh mà không sử dụng đường hầm. Điều này làm cho việc quản lý và hiệu suất hoạt động của thiết được nâng cao.
Chương 6: Tổng kết và đánh giá kết quả
Khả năng quản lý tập trung việc trao đổi key và chính sách bảo mật tại Key Server. Vì vậy, khả năng mở rộng hệ thống sẽ tốt hơn. Khi có node mới tham gia thì chỉ cần cấu hình đơn giản trên node mới và Key Server, không phải thay đổi nhiều trên hệ thống.
Doanh nghiệp có thể xây dựng một hệ sử dụng PKI cho riêng mình để xác thực các thành phần trong mạng, giúp tiết kiệm chi phí cho các dịch vụ chứng thực.
Tuy nhiên, GET VPN phải hoạt động trên các thiết bị của Cisco vì đây là một kỹ thuật của Cisco đề xuất. Giải pháp này cũng khó triển khai trên mạng Internet vì nó đòi hỏi các địa chỉ tham gia phải có khả năng định tuyến.
6.2 Hƣớng phát triển luận văn.
Luận văn cơ bản đã giải quyết được vấn đề đặt ra ban đẩu. Nhưng do thời gian thực hiện còn hạn chế nên có nhiều vấn đề mà đề tài vẫn thực hiện được để hệ thống được thiết kế hoàn thiện hơn nữa. Vì vậy, đề tài nếu tiếp tục thực hiện được thì sẽ giải quyết các vấn đề như:
Thực hiện quá trình trao đổi key bằng địa chỉ multicast làm giảm lưu lượng cho mạng. Điều này đòi hỏi phải cấu hình ở hai mạng của doanh nghiệp và ISP. Để giảm lưu lượng đăng ký trên KS chính, việc load-balancing trên các KS phụ.
Kết hợp các chính sách phân loại, chất lượng dịch vụ và điều hòa lưu lượng với kỹ thuật GET VPN để khai thác hiệu quả khả năng và hoàn thiện hệ thống thông tin cho các doanh nghiệp với trung tâm dữ liệu và nhiều chi nhánh phụ với quy mô lớn.
Đối với hệ thống CA, kết hợp với các server bên ngoài lưu trữ và quản lý các key thì hệ thống trở nên dễ dàng quản lý, các key được bảo mật tốt hơn và nếu cố xảy ra sự cố thì việc phục hồi hệ thống cũng nhanh chóng đảm bảo mạng hoạt động liên tục.
TÀI LIỆU THAM KHẢO.
[1] Haseeb Niazi, Nipul Shah, Biao Zhou, Varun Sethi. Group Encrypted Transport VPN (GET VPN) Design and Implementation Guide. (2010) Cisco Press.
[2] Luc De Ghein. MPLS Fundamentals. (2006) Cisco Press. ISBN: 1-58705-197-4 [3] Andre Karamanian, Srinivas Tenneti, Francois Dessart. PKI Uncovered,
Certificate - Based Security Solutions for Next-Generation Networks. (2011) Cisco Press. ISBN: 1- 58705-916-9.
[4] Yusuf Bhaiji. CCIE Professional Development Series Network Security Technologies and Solutions. (2008). Cisco Press. ISBN: 1-58705-246-6.
[5] Sean Wilkins, Franklin H. Smith III. CCNP Security SECURE 642-637 Official Cert Guide. (2011) Cisco Press. ISBN: 1-58714-280-5.
[6] Scott Wainner. Lecture Advanced Site-to-Site with GET VPN. (2008)
[7] Nguyễn Trung Thông, Nguyễn Tấn Nhật. Các giải pháp liên mạng và bảo mật VPN trên MPLS. (2011)
[8] http://www.cisco.com/en/US/products/ps7180/index.html [9] http://www.gns3.net