ỨNG DỤNG VPN CHO KHỐI CƠ QUAN HCSN TỈNH NINH BÌNH
5.1.1. Lựa chọn phương án
Hiện nay kết nối mạng chuyên dùng giữa UBND tỉnh, các Sở, Ban, Ngành của tỉnh qua đường “Dial Up” hầu như đã không còn được sử dụng do những bất cập liên quan đến tốc độ, tính sẵn sàng hệ thống, ... Để thay đổi phương thức kết nối có 4 giải pháp:
- Kênh thuê riêng (ví dụ: Leased line n x 64Kbps) - Mạng riêng ảo (ví dụ: MegaWan, IPSec)
- Cáp hữu tuyến (cáp quang, cáp đồng) - Mạng không dây cố định.
Với mỗi giải pháp kết nối WAN được liệt kê ở trên thì mỗi công nghệ đều có những ưu và nhược điểm riêng. Để chọn lựa được công nghệ phù hợp với quy mô đầu tư của địa phương, chúng ta dựa vào bảng so sánh mức độ đáp ứng của các giải pháp:
Bảng 5.1. So sánh chi tiết giữa các giải pháp mạng WAN
Tiêu chí
đánh giá Kênh thuê riêng
Mạng riêng ảo (VPN) Cáp hữu tuyến (cáp quang) Mạng không dây cố định Băng thông
Băng thông không cao, là bội số của kênh cơ sở 64 Kbps.
Băng thông rộng hơn, tuy nhiên không ổn định. Băng thông rất rộng. Từ 10 Mbps trở lên. Băng thông rộng. Khoảng 512 Kbps trở lên. Tính ổn định Ổn định, do băng thông được cam kết bởi nhà cung cấp dịch vụ, QoS tốt.
Ổn định, do hệ thống được xây dựng trên nền mạng công cộng, tuy nhiên tính ổn định không được cam kết bởi ISP.
Ổn định, tránh được nhiễu điện từ, QoS tốt.
Ổn định, có bị tác động bởi nhiễu điện từ nên phải có phương pháp điều chế tín hiệu riêng. Khả năng kết nối Không phụ thuộc khoảng cách. Chỉ phụ thuộc khoảng cách đến nhà cung cấp dịch vụ để tùy chọn cáp quang hoặc cáp đồng. Không phụ thuộc khoảng cách. Chỉ cần có dịch vụ Internet công cộng hoặc thuê bao Internet ADSL hoặc kênh truyền khác tương đương .
Có phụ thuộc vào khoảng cách, điều này sẽ quyết định việc lựa chọn trang thiết bị và băng thông cơ sở. Có phụ thuộc vào khoảng cách, và chỉ đảm bảo tiêu chí kỹ thuật trong phạm vi dưới 10 km. Xếp loại, đánh giá (3) Trung bình (2) Khá (1) Tốt (2) Khá
Tiêu chí
đánh giá Kênh thuê riêng
Mạng riêng ảo (VPN) Cáp hữu tuyến (cáp quang) Mạng không dây cố định Bảo trì hệ thống định kỳ Là trách nhiệm của nhà cung cấp dịch vụ. Định kỳ theo dõi các luồng và định tuyến.
Kiểm tra đường dây, các mối hàn quang, hệ thống trợ lực treo, hố ga.
Kiểm tra thiết bị đầu cuối. Sửa chữa, phục hồi sự cố Là trách nhiệm của nhà cung cấp dịch vụ. Đơn giản, dễ xử lý và phục hồi từ xa. Khó khắc phục và đánh giá thiệt hại, trong nhiều trường hợp thì sự cố là không thể khắc phục.
Sự cố nếu có chỉ xảy ra với thiết bị đầu cuối. Có thể đề phòng sự cố bằng dự phòng thiết bị.
Mở rộng hệ thống
Đơn giản là thuê thêm kênh, mở rộng băng thông. Dễ dàng, tuy nhiên khó mở rộng băng thông do bị giới hạn bởi tốc độ truy nhập Internet tại đơn vị.
Khó thêm các điểm truy nhập mới vào hệ thống. Vấn đề mở rộng băng thông hầu như ít được đặt ra do đây là giải pháp băng thông rộng nhất. Dễ dàng thêm các điểm truy nhập mới vào hệ thống. Băng thông truy nhập gia tăng bởi việc ghép chồng. Xếp loại, đánh giá (1) Tốt (2) Khá (3) Trung bình (2) Khá Đầu tư ban đầu Phải đóng phí khởi tạo dịch vụ và cài đặt hệ thống ban đầu cho nhà cung cấp dịch vụ viễn thông.
Thấp, triển khai trên nền dịch vụ viễn thông có sẵn. Chỉ phải đầu tư thiết bị hoặc hệ thống hỗ trợ VPN.
Mức đầu tư rất cao. Phải có thiết kế kỹ thuật hoàn chỉnh, và thỏa thuận hoặc thuê hạ tầng của nhiều đơn vị trong đô thị.
Mức đầu tư trung bình thấp, phải đóng phí khởi tạo và đăng ký sử dụng dải tần số với cơ quan quản lý tần số vùng miền.
Kinh phí thường niên
Phí thuê bao rất cao Chỉ phải chịu phí truy nhập Internet nội hạt (thấp). Thấp Thấp, phí duy trì tần số theo năm Kinh phí dự phòng
Không cần Không cần Không dự đoán trước được sự cố nên không lập được kế hoạch dự phòng.
Dự phòng ở mức dư thừa thiết bị (thấp).
Xếp loại,
Bảng 5.2. So sánh tóm tắt về các giải pháp
Tiêu chí đánh giá chung
Kênh thuê bao Mạng riêng ảo VPN Cáp hữu tuyến(cáp quang) Mạng khôngdây cố định
Kỹ thuật Trung bình Khá Tốt Khá
Vận hành Tốt Khá Trung bình Khá
Kinh tế Trung bình Tốt Trung bình Khá
Như vậy, có thể thấy từ bảng đánh giá ở trên, giải pháp mạng riêng ảo là giải pháp tiên tiến, cho băng thông tương đối cao. Giải pháp này được chọn là giải pháp kết nối chính giữa UBND tỉnh và các sở, ban, ngành trên cơ sở cân đối kinh phí đầu tư và kinh phí duy trì hệ thống. Giải pháp mạng riêng ảo có nhiều lợi điểm vượt trội như sau:
- Chi phí: Sử dụng mã hóa và bảo mật thông tin trên đường truyền Internet băng rộng có mức kinh phí đầu tư và duy trì là rất thấp so với triển khai kênh thuê riêng.
- Vận hành: Giải pháp mạng riêng ảo dễ dàng phân cấp quyền quản trị và theo dõi hệ thống cho các người dùng cục bộ hoặc từ xa. Đây là một lợi điểm do các điểm đầu mối quản lý hành chính trong tỉnh chưa có quản trị mạng chuyên biệt.
- Người dùng: Mạng diện rộng là trong suốt đối với người dùng
Lợi điểm lớn nhất của giải pháp này là chi phí thuê đường truyền thấp nhất, đó chính là vì giải pháp đã sử dụng môi trường Internet làm môi trường truyền dẫn để xây dựng các đường hầm đã được mã hóa cho việc truyền tải dữ liệu giữa các điểm kết nối. Lợi điểm này rất quan trọng vì thực tế là nguồn chi từ ngân sách cho công nghệ thông tin của tỉnh là rất hạn chế. Một cách tóm tắt nếu so sánh chi phí cho việc thuê kênh leased line tốc độ 1 Mbps và kênh Internet cũng tốc độ 1 Mbps thì chi phí thuê kênh Internet chưa bằng 1/100 so với thuê kênh leased line (tiết kiệm 60-80% chi phí vận hành).
Với chi phí rất hấp dẫn như vậy, đồng thời công nghệ này cũng đảm bảo được các tính năng khác để tạo thành một điều kiện đủ để xây dựng một mạng dùng riêng với các tính năng như: Tính bảo mật, riêng tư của kênh truyền dẫn giữa các điểm kết nối. Chất lượng (tốc độ, delay, jitter, QoS, ...) của các kênh truyền dẫn kết nối được đảm bảo và khả năng quản lý cũng như khả năng dự phòng kết nối tốt.
Hiện nay trên thế giới có nhiều nhà cung cấp giải pháp mạng riêng ảo. Tuy nhiên về góc độ người dùng Việt Nam thì có 2 loại giải pháp mạng riêng ảo, đó là:
- MegaWAN: Giải pháp kết nối mạng riêng ảo dựa trên công nghệ mạng NGN. Đây là giải pháp mạng tiên tiến dựa trên công nghệ mới, ở Việt Nam được biết đến dưới thương hiệu MegaWAN. Qua đánh giá kỹ thuật thì giải pháp này phù hợp với mạng
ngang hàng - P2P; chưa thực sự tối ưu cho mô hình 1-n là mô hình các điểm đầu mối quản lý hành chính kết nối và truyền dữ liệu tới Trung tâm Tích hợp dữ liệu của tỉnh.
- IPSec VPN: Giải pháp kết nối mạng riêng ảo do người dùng tự triển khai. Người dùng thiết lập kênh truyền thông được mã hóa ở lớp mạng. Trong đó giao thức thường được dùng là IPSec. IPSec được áp dụng cho IPv4 và IPv6 trong tương lai (như đã chỉ ra trong phần giới thiệu lý thuyết ở chương II), định nghĩa ra một phương thức trao đổi thông tin bí mật và được kiểm soát qua mạng có độ tin cậy thấp (ví dụ như Internet).
Công nghệ được đề xuất sử dụng để xây dựng mạng dùng riêng cho các tổ chức cơ quan trên nền Internet đó là IPSec VPN. Giao thức IPSec là một giao thức tiêu chuẩn của IETF định nghĩa ra một phương thức trao đổi thông tin bí mật và được kiểm soát qua mạng có độ tin cậy thấp (thường là Internet). Giao thức IPSec định nghĩa cấu trúc gói cơ bản (kênh dẫn), phương thức mã hoá tín hiệu, và kiểm soát dữ liệu.
Mạng riêng ảo IPSec đảm bảo rằng dữ liệu được bảo mật và do đó ngay cả khi các gói dữ liệu bị sao chép trộm hoặc bị truyền tải không đúng đích nhận thì thông tin vẫn không bị giải mã, bởi vì chỉ có duy nhất người nhận hợp pháp mới có thể có khả năng giải mã các gói tin đó. Thủ tục xác thực của giao thức IPSec sẽ tạo nên tính tin cậy của tin báo, đảm bảo rằng dữ liệu không bị điều khiển hoặc thay đổi nội dung trong quá trình truyền tải trên mạng Internet (Các nội dung này cũng như các điểm ưu việt của IPSec đã được trình bày kỹ trong phần lý thuyết ở chương II và chương III của luận văn).
Các kênh truyền dẫn IPSec VPN được thiết lập riêng cho mục đích truyền tải dữ liệu giữa các cặp cổng VPN (điểm-điểm). Một tổ chức cơ quan có thể sử dụng địa chỉ IP riêng để truyền tải dữ liệu thông qua các kênh này, bởi vì dữ liệu của mạng VPN không bao giờ pha trộn với dữ liệu trong mạng công cộng. Điều đó cho phép các tổ chức có thể kết nối các chi nhánh văn phòng và nhân viên làm việc từ xa mà không phải hoạch định lại địa chỉ IP của họ hoặc phải trả phí cho việc sử dụng địa chỉ IP công cộng. Đây là điều mà người ta thường phải làm khi thiết kế mạng Internet.
Giải pháp IPSec VPN là giải pháp ở lớp mạng, nó thiết lập kênh truyền thông ở lớp 3, do đó phiên làm việc của IPSec VPN vẫn tồn tại trong suốt quá trình kết nối, điều đó rất phù hợp cho những sites cố định, tin tưởng và cần kết nối on-line với mạng LAN.
Trên cơ sở đó học viên đề xuất UBND tỉnh xây dựng một mạng diện rộng VPN trên nền Intenet sử dụng công nghệ IPSec VPN với các lý do và điều kiện thực tế sau:
- Chọn môi trường truyền dẫn là môi trường Internet vì chi phí thuê đường truyền thấp, đặc biệt với sự bùng nổ của Internet băng thông rộng trên thị trường Việt Nam hiện nay. Ví dụ, một kênh ADSL 4M/640Kbps chỉ có chi phí tối đa 2 triệu/tháng, tức là chúng ta có thể xây dựng một kênh VPN tốc độ 640 Kbps với chi phí dưới 2 triệu đồng/tháng.
Internet. Do đó, việc triển khai mạng VPN trên nền tảng Internet sẽ tận dụng được các thiết bị và kết nối sẵn có. Đồng thời, mở ra khả năng kiểm soát luôn truy cập Internet của các sở, ban, ngành một cách thống nhất, tập trung và linh động bằng cách cho phép và không cho phép truy cập Internet của các đơn vị thành viên mà không phải xây dựng thêm đường kết nối, chỉ đơn giản chỉnh sửa lại các chính sách và cấu hình thiết bị.
- Chọn công nghệ IPSec VPN là vì Trung tâm Tích hợp dữ liệu của tỉnh và các sở, ban, ngành là các sites cố định, quản lý tập trung được, do đó việc triển khai công nghệ IPSec VPN là phù hợp nhất. Trong tương lai, khi các UBND có yêu cầu mở rộng việc truy cập cho các nhân viên di động để thực hiện các ứng dụng giao dịch và điều hành thì lúc đấy giải pháp SSL VPN nên được lựa chọn bổ sung cho phần truy cập linh động này.
Một chú ý nữa trong giải pháp này là giải pháp không phụ thuộc môi trường truyền dẫn. Tức là, UBND có thể sử dụng môi trường Internet hay môi trường NGN-VPN hay là bất cứ mạng truyền dẫn nào khác, nhưng giải pháp vẫn không thay đổi thiết bị, cách thức cấu hình và quản lý mạng. Trên cơ sở phân tích chi tiết về tính năng cũng như hiệu quả khi sử dụng mạng diện rộng với công nghệ IPSec, học viên đề xuất UBND tỉnh xây dựng một mạng diện rộng VPN trên nền mạng Intenet sử dụng công nghệ IPSec VPN.