VPN cung cấp ba chức năng chính đĩ là: tính xác thực (Authentication), tính
tồn vẹn (Integrity) và tính bảo mật (Confidentiality).
a) Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin với người
mình mong muốn chứ khơng phải là một người khác.
b) Tính tồn vẹn : Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng cĩ
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
c) Tính bảo mật : Người gửi cĩ thể mã hố các gĩi dữ liệu trước khi truyền qua
mạng cơng cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, khơng một ai cĩ thể truy nhập thơng tin mà khơng được phép. Thậm chí nếu cĩ lấy được thì cũng khơng đọc được.
1.1.3.2 Ưu điểm:
a) Tiết kiệm chi phí : Việc sử dụng một VPN sẽ giúp các cơng ty giảm được chi phí đầu tư và chi phí thường xuyên. Tổng giá thành của việc sở hữu một mạng
VPN sẽ được thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thơng đường truyền,
các thiết bị mạng đường trục và duy trì hoạt động của hệ thống. Giá thành cho việc
kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống. Cịn đối với việc truy cập từ xa giảm từ 60 tới 80%.
b) Tính linh hoạt : Tính linh hoạt ở đây khơng chỉ là linh hoạt trong quá
trình vận hành và khai thác mà nĩ cịn thực sự mềm dẻo đối với yêu cầu sử dụng.
Khách hàng cĩ thể sử dụng kết nối T1, T3 giữa các văn phịng và nhiều kiểu kết nối
khác cũng cĩ thể được sử dụng để kết nối các văn phịng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ VPN cĩ thể cung cấp nhiều lựa chọn cho khách hàng, cĩ thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng : Do VPN được xây dựng dựa trên cơ sở hạ tầng
mạng cơng cộng (Internet), bất cứ ở nơi nào cĩ mạng cơng cộng là đều cĩ thể triển
khai VPN. Mà mạng cơng cộng cĩ mặt ở khắp mọi nơi nên khả năng mở rộng của
VPN là rất linh động. Một cơ quan ở xa cĩ thể kết nối một cách dễ dàng đến mạng
của cơng ty bằng cách sử dụng đường dây điện thoại hay DSL…Và mạng VPN dễ
dàng gỡ bỏ khi cĩ nhu cầu.
Khả năng mở rộng băng thơng là khi một văn phịng, chi nhánh yêu cầu băng thơng
lớn hơn thì nĩ cĩ thể được nâng cấp dễ dàng.
d) Giảm thiểu các yêu cầu về thiết bị : VPN dựa trên cơ sở hạ tầng của mạng
cơng cộng nên khơng cần phải đầu tư nhiều về các thiết bị modem chuyên biệt, các card tương thích (adapter) , chi phí bảo trì các thiết bị chuyên biệt đĩ.
e) Tính bảo mật : Bởi vì VPNs sử dụng kĩ thuật tunneling để truyền dữ liệu
thơng qua mạng cơng cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đĩ, (adsbygoogle = window.adsbygoogle || []).push({});
VPNs sử dụng thêm các phương pháp tăng cường bảo mật như mã hĩa, xác nhận và
ủy quyền. Do đĩ VPNs được đánh giá cao bảo mật trong truyền tin.
a) Phụ thuộc nhiều vào chất lượng của mạng Internet. Sự quá tải hay tắc nghẽn
mạng làm ảnh hưởng đến chất lượng truyền thơng tin.
b) Thiếu các giao thức kế thừa hỗ trợ : VPN hiện nay dựa hồn tồn trên cơ sở
kỹ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPNs khơng phù hợp được với các thiết bị và giao thức này.
1.2. Các dạng của VPN :
Phân loại kỹ thuật VPNs dựa trên 3 yêu cầu cơ bản:
- Người sử dụng ở xa cĩ thể truy cập vào tài nguyên mạng đoàn thể bất kỳ
thời gian nào.
- Kết nối nội bộ giữa các chi nhánh văn phịng ở xa nhau
- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp hay các thực thể ngồi khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa vào những yêu cầu cơ bản trên VPN được chia thành : - Mạng VPN truy cập từ xa (Remote Access VPN).
- Mạng VPN cục bộ (Intranet VPN).
- Mạng VPN mở rộng (Extranet VPN).
1.2.1. Remote Access VPN :
Remote Access cịn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng đến LAN , thường là nhu cầu của một tổ chức cĩ nhiều nhân viên cần
kiên hệ đến mạng riêng của cơng ty từ nhiều địa điểm rất xa.
VD: cơng ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ
doanh nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS)
và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính
của họ. sau đĩ, người sử dụng cĩ thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của cơng ty. Loại
Hình 32 : Remote Access VPN.
1.2.1.1. Các thành phần chính của Remote Access Network:
-Remote Access Server (RAS): được đặt tại trung tâm cĩ nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
-Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm. (adsbygoogle = window.adsbygoogle || []).push({});
-Hỗ trợ cho những người cĩ nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng.
-Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phịng chỉ cần đặt một kết nối cục bộ đến nhà cung cấp dịch vụ
ISP hoặc ISP’s POP và kết nối đến tài nguyên thơng qua internet.
Hình 33 : Remote Access VPN setup.
1.2.1.2. Ưu và khuyết điểm của Remote Access VPN :
Các ưu và khuyết điểm của mạng VPN truy nhập từ xa so với các
phương pháp truy nhập từ xa truyền thống:
a) Ưu điểm :
- Mạng VPN truy nhập từ xa khơng cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện.
- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thơng qua mạng
Internet.
- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của cơng ty bởi vì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.
b) Khuyết điểm :
- Mạng VPN truy nhập từ xa khơng hỗ trợ các dịch vụ đảm bảo chất lượng
dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gĩi cĩ thể bị phân phát khơng đến nơi hoặc mất gĩi.
- Bởi vì thuật tốn mã hố phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. Thêm vào đĩ việc nén dữ liệu IP xảy ra chậm.
- Do phải truyền dữ liệu thơng qua internet, nên khi trao đổi các dữ liệu lớn
thì sẽ rất chậm.
1.2.2. VPN Site to Site (LAN to LAN ):
LAN-to-LAN VPN là sự kết nối hai mạng riêng lẻ thơng qua một đường hầm
bảo mật. đường hầm bảo mật này cĩ thể sử dụng các giao thức PPTP, L2TP, hoặc
IPsec. Mục đích chính của LAN-to-LAN là kết nối hai mạng khơng cĩ đường nối
lại với nhau, khơng cĩ việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. (adsbygoogle = window.adsbygoogle || []).push({});
1.2.2.1. Intranet VPN ( Mạng VPN cục bộ ) :
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một cơng ty. Mạng VPN liên kết trụ sở chính, các văn phịng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luơn được mã hố bảo mật. Điều này cho phép tất cả các địa điểm cĩ thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của cơng ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí
thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như
là một VPN Site- to- Site.
v¨n phßng ë xa Router Internet Internet POP POP
Remote site Central site
or
Hình 35 : Mơ hình Intranet VPN Những ưu điểm của mạng VPN cục bộ :
-Các mạng lưới cục bộ hay tồn bộ cĩ thể được thiết lập (với điều kiện mạng
thơng qua một hay nhiều nhà cung cấp dịch vụ).
-Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
-Bởi vì những kết nối trung gian được thực hiện thơng qua mạng Internet,
-Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường
ngầm VPN thơng qua Internet kết hợp với cơng nghệ chuyển mạch tốc độ cao. Ví
dụ như cơng nghệ Frame Relay, ATM. Các nhược điểm đi cùng:
- Khả năng bị mất gĩi khi truyền dữ liệu vẫn rất cao.
- Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ
thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet.
- Bởi vì dữ liệu được truyền “ngầm” qua mạng cơng cộng – mạng Internet
cho nên vẫn cịn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS).
1.2.2.2. Extranet VPN (Mạng VPN mở rộng ):
Khơng giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN
mở rộng khơng bị cơ lập với “thế giới bên ngồi”. Thực tế mạng VPN mở rộng
cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… Intranet DSL cable Extranet Business-to-business Router Internet Internet POP POP
Remote site Central site (adsbygoogle = window.adsbygoogle || []).push({});
or
.
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng cơng cộng. Kiểu VPN này sử
dụng các kết nối luơn luơn được bảo mật và được cấu hình như một VPN Site–to– Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đĩ là sự truy cập
mạng được cơng nhận ở một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên cĩ nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu
cầu của mỗi cơng ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí
vận hành của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng cịn những nhược điểm đi cùng như:
- Khả năng bảo mật thơng tin, mất dữ liệu trong khi truyền qua mạng cơng
cộng vẫn tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền
dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong mơi trường
Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của cơng ty.
1.3. Cơ sở kỹ thuật đường hầm:
Kỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nĩ cho
phép các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng cơng cộng
khác. Mạng riêng ảo này khơng bị xâm nhập bởi “người lạ”, những cá nhân, máy
Đường hầm là kỹ thuật đĩng gĩi tịan bộ dữ liệu của bất kỳ một định dạng
giao thức nào khác. Header (hoặc cĩ thêm Trailer) của Đường hầm sẽ được đính vào gĩi tin ban đầu sau đĩ đựơc truyền thơng qua một cơ sở hạ tầng trung gian đến điểm đích.
1.3.1. Các thành phần của kỹ thuật đường hầm : (adsbygoogle = window.adsbygoogle || []).push({});
Để triển khai một đường hầm giữa hai điểm, chúng ta cần cĩ bốn thành phần cho đường hầm :
- Mạng đích : Mạng chứa những tài nguyên được sử dụng từ xa bởi các máy
khách ( nĩ cĩ tên gọi khác là home network )
- Nút initiator: Là máy khách từ xa hoặc máy chủ khởi tạo một phiên làm việc VPN. Initiator cĩ thể là một phần của mạng nội bộ hoặc là một người dùng di
động, ví dụ laptop.
- Home agent : Phần mềm nằm ở một điểm truy cập ở target network. HA sẽ
nhận yêu cầu và kiểm tra xem máy chủ yêu cầu cĩ thẩm quyền truy cập khơng. Nếu
kiểm tra thành cơng, nĩ sẽ bắt đầu thiết lập đường hầm.
- Foreign agent : Phần mềm nằm trong initiator hoặc một điểm truy cập
mạng chứa initiator. Initiator sử dụng FA để yêu cầu một phiên làm việc VPN từ
HA tại mạng đích.
1.3.2. Phân loại đường hầm :
Dựa trên cách thức đường hầm thơng tin được tạo ra ta chia làm hai lọai
voluntary hay compulsory.
1.3.2.1. Voluntary Tunnels (Đường hầm tùy ý) :
Voluntary Tunnels là lọai đường hầm xuyên suốt từ đầu đến cuối. Voluntary Tunnels được tạo ra theo yêu cầu của máy khách. Kết quả là inititor sẽ
trở thành một đầu cuối của đường hầm. Bởi vậy một đường hầm riêng biệt được tạo
ra cho mỗi cặp máy trao đổi thơng tin. Sau khi quá trình truyền thơng giữa hai máy
Hình 37 : Minh họa đường hầm tùy ý.
1.3.2.2. Compulsory Tunnels (Đường hầm cưỡng bức ) :
Khơng giống như đường hầm voluntary được tạo ra theo yêu cầu của máy khách. Đường hầm compulsory được tạo ra và định cấu hình bởi một thiết bị trung
gian. Initiator phải sử dụng đường hầm được tạo ra bởi thiết bị trung gian nên nĩ mới cĩ tên là đường hầm cưỡng bức.
Ghi chú: Các giao thức đường hầm khác nhau sử dụng các thiết bị trung gian
hịan tịan khác nhau. Ví dụ đối với L2TP sử dụg L2TP Access Concentrator (LAC). Tương tự giao thức PPTP sử dụng thiết bị trung gian là Front End Processor (FEP). Cịn cài đặt IPSec, thiết bị trung gian sử dụng trong phiên truyền thơng VPN là IP Security Gateway.
Trong trường hợp đường hầm compulsory , cả máy khách từ xa cũng như
máy khách kết nối cục bộ đều phải kết nối với thiết bị trung gian, được đặt tại ISP's
POP. Sau khi kết nối thành cơng, thiết bị trung gian sẽ tao ra đường hầm.
Hình 38 : Minh họa đường hầm cưỡng bức. (adsbygoogle = window.adsbygoogle || []).push({});
Bảng so sánh hai loại đường hầm.
Đường hầm voluntary Đường hầm compulsory
initiator là điểm cuối của đường hầm. Thiết bị trung gian là điểm cuối của đườn hầm
Một đường hầm riêng biệt cho mỗi
quá trình truyền thơng
Một đường hầm được dùng chung cho nhiều quá trình truyền thơng
Đường hầm kết thúc khi quá trình truyền dữ liệu giữa hai máy kết thúc
Đường hầm sẽ khơng kết thúc cho đến
khi cặp truyền thơng cuối cùng dừng trao đổi dữ liệu
Dữ liệu được trao đổi nhanh Dữ liệu trao đổi chậm hơn do nhiều
quá trình truyền thơng dùng chung một đường hầm
Đường hầm ngắn Đường hầm dài
1.3.3. Giao thức đường hầm :
Kỹ thuật đường hầm sử dụng 3 giao thức :
- Carrier protocol (giao thức truyền tải). Giao thức được dùng để gửi gĩi tin đường hầm đến đích thơng qua mạng tương tác. Gĩi tin đường hầm được