Các nhà cung cấp dịch vụ luôn cố gắng đa ra các công nghệ mới để đáp ứng các nhu cầu dịch vụ ngày càng đa dạng của khách hàng. Điều này khiến cho khái niệm VPN ngày càng trở nên phức tạp. Việc phân loại VPN có thể dựa theo một số nguyên tắc sau:
• Phân loại theo mơ hình cơng việc
• Phân loại theo mơ hình thực hiện
• Phân loại theo công nghệ lớp
Phần này sẽ lần lợt trình bày từng mơ hình VPN kể trên.
4.2.1. Phân loại mạng VPN theo mơ hình cơng việc
Có 2 giải pháp mạng riêng ảo dựa theo tính chất cơng việc mà một tổ chức cần phải cân nhắc lựa chọn:
• Mạng VPN site to site:– – đợc triển khai cho các kết nối giữa các vùng khác nhau của một tập đồn hay tổ chức. Nói cách khác, mạng ở một địa điểm này đợc kết nối với mạng ở một địa điểm khác thông qua VPN. Các thiết bị mạng nhận thực lẫn nhau và thiết lập kết nối VPN giữa 2 điểm. Sau đó, thiết bị đóng vai trị gateway, đảm bảo lu lợng đi qua là dành cho đúng site đó. Router hay firewall có hỗ trợ VPN, và bộ tập trung VPN dành riêng đều cung cấp chức năng này. VPN site – to – site có thể là một mạng intranet hoặc extranet. Mạng intranet chỉ thiết lập kết nối giữa các site của cùng một công ty, cho phép trao đổi thông tin trong nội bộ tổ chức. Do vậy, dịch vụ VPN cho giải pháp này phải có mức cách biệt và bảo mật cao, địi hỏi chất lợng dịch vụ đảm bảo. VPN extranet dùng để kết nối giữa các công ty và đối tác kinh doanh của nó, ngời dùng truy nhập giữa các vị trí này đợc kiểm sốt chặt chẽ hơn. Trao đổi thông tin kiểu này yêu cầu chất lợng dịch
vụ thấp hơn. Mạng Internet có thể đáp ứng đợc tiêu chí này, do đó ngày càng có nhiều mạng extranet đợc thiết lập dựa trên Internet.
• VPN truy nhập từ xa: hay mạng riêng ảo quay số ( Virtual Private Dialup
Network – VPDN) đợc triển khai cho những khách hàng riêng lẻ ở xa nh những ngời sử dụng di động truy cập vào mạng trung tâm qua máy tính cá nhân của họ. Trớc đây, các tổ chức phải hỗ trợ cho những khách hàng ở xa theo những hệ thống quay số riêng. Đây không phải là một giải pháp kinh tế, nhất là khi ngời gọi là theo đờng truyền quốc tế. Với VPDN, khách hàng/nhân viên ở xa có thể quay số đến một nhà cung cấp dịch vụ địa phơng và sau đó thiết lập một kênh kết nối tới trụ sở công ty chỉ với một máy tính cá nhân có kết nối Internet cho dù họ đang ở bất cứ đâu. VPDN chính là sự mở rộng của những mạng quay số truyền thống. Trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn – gọi là đờng hầm, đến trụ sở tổ chức. Vì ngời sử dụng chỉ thực hiện cuộc gọi nội hạt nên chi phí giảm.
4.2.2. Phân loại mạng VPN theo mơ hình triển khai
Hiện nay có 2 mơ hình triển khai VPN đợc sử dụng rộng rãi:
4.2.2.1. Mơ hình Overlay
Là mơ hình mà các ISP cung cấp các kết nối điểm – tới – điểm giữa các vị trí khác nhau của khách hàng dựa trên một mạng lõi chung. Mơ hình này phân tách rất rõ ràng trách nhiệm của khách hàng và nhà cung cấp. Nhà cung cấp dịch vụ chỉ cung cấp cho khách hàng một tập các đờng thuê riêng mô phỏng – gọi là VC (kênh ảo) để kết nối các vị trí khác nhau. Cịn khách hàng tiến hành trao đổi thông tin bằng các thiết bị CPE qua các VC đợc cung cấp. Các thông tin định tuyến trong mạng khách hàng là trong suốt đối với ISP, nhà cung cấp không hề biết về cấu trúc đầu cuối của mạng khách hàng.
Hình 4.3: Mơ hình VPN overlay
VPN này có thể thực hiện tại lớp 1 sử dụng kênh thuê riêng hoặc đờng quay số. Trong hệ thống này, ISP định ra các ống và tạo liên kết tầng vật lý giữa các vị trí khác nhau của công ty bởi ISDN, T1, E1, SONET, SDH và công ty chịu trách nhiệm triển khai các tầng cao hơn nh IPX, HDLC, IP.
Quá trình hình thành VPN overlay ở lớp 2 sử dụng giải pháp chuyển mạch WAN truyền thống. Trong hệ thống này, ISP chịu trách nhiệm thiết lập các kết nối ở tầng 2 giữa các vị trí khác nhau của cơng ty bằng cơng nghệ X.25, FR hoặc ATM, và công ty chịu trách nhiệm đối với tầng IP trở lên.
VPN overlay ở tầng 3 hình thành bằng các đờng hầm IP điểm - điểm. Đờng hầm IP là nơi mà đích có thể đợc tìm thấy nhanh chóng và trong suốt mà phía nguồn không cần phải biết các chi tiết cụ thể topo mạng. Nhờ đó mà ngời ta có thể tạo ra các mạng ảo. Đờng hầm cũng cho phép sử dụng các địa chỉ mạng riêng trên mạng công cộng mà không cần cơ chế phiên dịch địa chỉ NAT thông thờng. Các công nghệ hay đợc sử dụng ở lớp 3 là GRE và IPSec.
Mặc dù mơ hình VPN overlay lớp 2 tơng đối dễ hiểu nhng lại có hạn chế sau:
Nó chỉ phù hợp để cấu hình “ khơng dự phịng” kết nối một vài site trung tâm và nhiều site ở xa, việc triển khai cấu hình mạng lới đầy đủ (full – meshed) khiến cho việc quản lý rất khó.
Việc cung cấp chính xác băng thơng của các VC địi hỏi phải am hiểu chi tiết về thông tin lu lợng site – to site, điều này thờng không dễ.
Các công nghệ GRE hoặc IPSec đợc triển khai ở lớp 3 cho VPN overlay có - u điểm là rất linh động trong triển khai nhng cũng có một số hạn chế sau:
Lu lợng mạng tăng vì phải thêm phần mào đầu để mã hố gói tin.
Độ trễ trong mạng tăng do phải mã hoá và giải mã đến lớp 3.
Nếu mạng trục của ISP khơng bảo đảm thì việc sử dụng cơng nghệ này rất khó khăn.
4.2.2.2. VPN ngang hàng (peer VPN)
VPN ngang hàng đa ra phơng pháp định tuyến đơn giản cho khách hàng. Cả mạng của ISP và của khách hàng đều sử dụng chung một giao thức mạng và tất cả lu lợng của khách hàng đều vận chuyển trong một mạng lõi của ISP.
Trong VPN ngang hàng, thiết bị PE là một router trao đổi thông tin định tuyến với router CPE của mạng khách hàng và đờng chuyển tiếp lớp 3 đợc thiết lập giữa các CE và PE ở mỗi phía.
Hình 4.4: Mơ hình ngang hàng
Mơ hình ngang hàng có một số u điểm so với mơ hình overlay truyền thống:
Định tuyến (theo quan điểm của phía khách hàng) trở nên cực kì đơn giản, vì router CPE của khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài PE. Trong mơ hình overlay, số router PE trao đổi với CPE có thể rất lớn.
Định tuyến giữa các site của khách hàng ln đợc tối u, vì nhà cung cấp có thể nhận biết đợc sơ đồ mạng của khách hàng, từ đó có thể định tuyến tối u giữa các site.
Việc bổ sung một site mới đơn giản hơn vì ISP chỉ cần thay đổi cấu hình trên router PE đấu nối vào site mới. Trong mơ hình overlay, nhà cung cấp phải cấu hình một tập các VC từ site mới thêm vào đến các site khác của mạng VPN.
4.2.3. Phân loại VPN theo công nghệ
Nhìn từ quan điểm cơng nghệ, VPN có thể phân chia tuỳ theo chúng hoạt động ở lớp 2 hay lớp 3.
• VPN lớp 2 cung cấp cho khách hàng các dịch vụ dựa trên các công nghệ sử dụng nh: Ethernet, ATM/FR VC hay leased – line. Giải pháp VPN lớp 2 t- ơng đối mềm dẻo đối với các giao thức lớp trên, nó có thể chấp nhận IPv4 hay IPv6 ở lớp 3. Tuy nhiên, nhợc điểm là yêu cầu tất cả các VPN site phải sử dụng thống nhất giao thức lớp 2, mà điều này không phải lúc nào cũng khả thi.
• VPN lớp 3 đợc thết kế để hoạt động trên phân lớp 3 của mơ hình OSI, thờng sử dụng các giao thức nh GRE, IPSec, và mới nhất hiện nay là MPLS. VPN lớp 3 có u điểm hơn về phơng diện quản lý. Ví dụ: trong VPN lớp 2, khách hàng phải đảm nhiệm việc định tuyến IP giữa các site, trong khi đó, ở VPN lớp 3 việc này là của nhà cung cấp SP.
4.3. Kĩ thuật đờng hầm trong VPN
4.3.1. Khái niệm chung
Có thể nhận thấy rõ ràng rằng các mạng VPN truyền thống đều thực hiện thiết lập đờng hầm để trao đổi dữ liệu. Một đờng hầm đợc sử dụng để chuyển dữ liệu từ điểm này đến điểm kia qua hạ tầng liên mạng nh thể là chúng kết nối trực tiếp với nhau. Điều này có thể đạt đợc bằng cách bọc các khung vào gói và thêm một extra header cho gói đó. Nhờ thơng tin trong extra header này mà các node trung gian chỉ việc chuyển tiếp dữ liệu trên đờng hầm mà khơng cần phân tích gói gốc.
Xét ví dụ minh hoạ trong hình dới đây, dữ liệu từ A gửi đến B thông qua đ- ờng hầm giữa X và Z. Node trung gian Z, khơng cần biết đến đích đến cuối cùng là B, mà chỉ việc forward dữ liệu đến đầu Z của đờng hầm.
Hình 4.5: Cơ chế đờng hầm Một số đặc tính của đờng hầm:
Thứ nhất là phải bảo mật, khách hàng VPN cần đợc đảm bảo rằng dữ liệu của họ truyền trên mạng phải an tồn. Sẽ là khơng tốt nếu nh các tài liệu về chiến lợc kinh doanh của một công ty lại bị đối thủ cạnh tranh của họ lấy đ- ợc.
Thứ hai là khả năng mở rộng, đó là số lợng đờng hầm phải cung cấp trên mạng lõi và lợng tài nguyên mạng mà các đờng hầm này tiêu thụ. Đặc biệt, một số công nghệ đờng hầm cho phép ghép kênh – ghép các dòng dữ liệu thành một luồng để truyền trên cùng một đờng hầm, và sau đó tách ra tại cuối đờng để đa đến đích.
Cơng nghệ đờng hầm có thể dựa trên các giao thức lập đờng hầm lớp 2 nh: PPTP, L2TP...hoặc các giao thức lập đờng hầm lớp 3 nh: GRE, IPSec...
Phần dới đây sẽ trình bày về một số giao thức kể trên.
4.3.2. Các giao thức đ ờng hầm
4.3.2.1. L2TP
L2TPv3(Layer 2 Tunnelling Protocol Version 3) đợc thiết kế ban đầu nhằm hợp nhất 2 giao thức truy nhập từ xa là PPTP (Point – to – Point Protocol) và L2F (Layer 2 Forwarding). Các giao thức này sử dụng trong các mạng quay số truyền thống và đợc phát triển để hỗ trợ thiết lập các đờng hầm cho các luồng thông tin lớp 2 qua một mạng lớp 3.
L2TP có cơ chế đánh địa chỉ riêng, chạy trên hạ tầng IP và kết nối các thuê bao với nhau. L2TP chỉ mang các khung PPP, cho nên có thể nói nó thật sự là cơng nghệ VPN lớp 2.
Xét một ví dụ cụ thể dới đây: các PE1 và PE2 đã kết nối với nhau thông qua mạng IP. L2TPv3 có thể cung cấp dịch vụ VPN lớp 2 giữa CE1 và CE2 dựa trên kết nối này.
Hình 4.6: Đờng hầm L2TP
Trên PE1, ở giao diện kết nối với CE1 sẽ đợc cấu hình là một bộ phận của đờng hầm L2TP, tơng tự nh vậy ở bên giao diện PE2 – CE2. Lu lợng từ CE1 đến CE2 sẽ đến giao diện S1/0, đợc đóng gói vào đờng hầm L2TP và chuyển tiếp đến PE2. PE2, khi nhận đợc gói, sẽ bóc gói và truyền trên S1/0 - đã đợc cấu hình là điểm cuối của đờng hầm. Các router trong mạng lõi IP chỉ chuyển tiếp gói này nh gói IP thơng thờng. Phần dữ liệu chỉ đợc phân tích tại PE2.
Các cơ chế hoạt động của L2TP:
Raw mode: các giao diện hỗ trợ chế độ này gồm: Serial, SONET, Ethernet.
Ethernet
Frame Relay
ATM
4.3.2.2. GRE (Generic Routing Encapsulation)
GRE cho phép thực hiện đóng gói một giao thức này trong một giao thức khác, ứng dụng chủ yếu là IP trong IP. GRE cho phép ghép kênh dữ liệu. GRE có mức bảo mật không cao, nhng dễ hiểu và sử dụng.
4.3.2.3. IPSec
Hiện nay, hầu hết các mạng VPN truyền thống sử dụng cơ chế đờng hầm IPSec vì nó có nhiều điểm u việt hơn so với các giao thức khác. IPSec đợc phát triển xuất phát từ các yêu cầu về bảo mật dữ liệu trên VPN. Bản chất của IPSec là
một cơng nghệ mã hố dữ liệu và tạo kết nối ảo, cho phép nâng cao tính bảo mật cho các kết nối trên mạng công cộng nh Internet.
IPSec cung cấp các dịch vụ đảm bảo an toàn cho lớp IP, đáp ứng đợc 3 yêu cầu về bảo mật, đó là: khả năng nhận thực, tính bảo mật và tính tồn vẹn dữ liệu.
Các dịch vụ an ninh trong IPSec đợc cung cấp bởi 3 cơng nghệ khố mới, có thể loại bỏ các mối đe doạ đối với mạng IP:
Giao thức nhận thực AH (Authentication Header): giúp các bên kiểm tra xem dữ liệu gốc có bị sửa đổi trong q trình chuyển tiếp hay khơng và kiểm tra nguồn dữ liệu. Cơng nghệ này gắn vào mỗi gói dữ liệu trờng checksum cho phép kiểm tra số nhận dạng của ngời gửi và tính tồn vẹn của dữ liệu.
Giao thức đóng gói an toàn cho IP (ESP – Encapsulating Security Payload): trong đó dữ liệu đợc mã hố để đảm bảo khơng bị “nghe trộm” trong suốt quá trình truyền tin. Cơng nghệ này thực hiện việc giả ngẫu nhiên hố dữ liệu ( có thể cả phần địa chỉ IP ) trong mỗi gói. Vì thế một kẻ nghe lén tại một nơi nào đó trên mạng dù có bắt đợc cũng sẽ khơng hiểu đợc nội dung gói tin.
Có 2 cách để đóng gói một gói IPSec. Cách thứ nhất, gọi là kiểu “đờng hầm”, mã hố tồn bộ gói IP, kể cả phần header. Sau đó, một IP header mới sẽ đợc gắn vào cho gói đã mã hố. Cách làm này sẽ làm tăng lu lợng tải trên mạng.
Hình 4.7: Gói IPSec kiểu đờng hầm
Để khắc phục, ngời ta đa ra cách thứ 2, gọi là kiểu “truyền tải”, sử dụng khi cần dùng IPSec để mã hố các gói GRE.
Hình 4.8: Gói IPSec kiểu truyền tải
Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoá Internet (IKE – Internet Key exchange) cho phép các bên thoả thuận các phơng pháp truyền thơng an tồn. Đây là một thủ tục đàm phán linh hoạt cho phép ngời sử dụng đồng ý phơng pháp nhận thực, phơng pháp mã hoá, các khoá sẽ dùng để mã hố và giải mã dữ liệu. Q trình này đợc thực hiện trên một kênh điều khiển riêng biệt.
Mạng riêng ảo an tồn trên mạng IP:
Vì IPSec có thể tơng thích với các chuẩn IP nên chúng ta có thể sử dụng IPSec để xây dựng các mạng riêng ảo trên các mạng IP thông thờng, đảm bảo truyền dữ liệu một cách an tồn qua mơi trờng liên mạng. Chỉ cần thiết bị ở biên mạng (kết nối vào Internet) có hỗ trợ IPSec, phần cịn lại trong mạng riêng của bạn vẫn hoạt động nh cũ dựa trên nền IP. Sức mạnh của IPSec chính là cơ chế bảo mật của nó hoạt động ở mức mạng thấp. Giao thức IPSec cung cấp tất cả các chức năng cần thiết cho việc trao đổi thơng tin an tồn: khả năng nhận thực, tính tồn vẹn, tính bảo mật và làm cho việc trao đổi khố có thể thực hiện an tồn trong các mạng lớn.
4.4. Các cơ chế bảo mật của VPN
Vấn đề thiếu an tồn thơng tin trên Internet đang là một vấn đề nổi cộm hiện nay. Ln có một sự lo lắng rằng ai đó có thể biết đợc các thơng tin cá nhân (nh số thẻ tín dụng ngân hàng) của chúng ta trên Internet.
Đối với các cơng ty thì cịn nguy hại hơn. Khi xây dựng một mạng riêng trên nền Internet cơng cộng thì vấn đề đầu tiên phải quan tâm là thông tin cần phải đến đúng ngời cần nó một cách an tồn. Dữ liệu bị xố hay bị ăn cắp sẽ gây ra tổn thất cho công ty. Chẳng hạn nh trờng hợp chiến lợc kinh doanh của công ty nếu bị
đối thủ cạnh tranh lấy đợc thì tác hại về kinh tế là vơ cùng lớn. Do đó, trớc khi đa dữ liệu lên mạng, cần phải đảm bảo rằng VPN có khả năng bảo vệ dữ liệu.