Ban đầu các mạng máy tính được triển khai với hai công nghệ chính: leased-lines cho các kết nối lâu dài và dial-up lines cho các kết nối không liên tục, chỉ khi có yêu cầu.
Ban đầu mạng máy tính được triển khai cho khách hàng với tính bảo mật khá tốt, nhưng giá cả lại khá cao bởi hai lý do sau:
Lưu lượng trao đổi giữa hai vùng trong mạng thay đổi theo từng thời điểm trong ngày, từng ngày trong tháng, thậm chí là theo mùa (ví dụ, lưu lượng trong đợt có sự kiện quan trọng tăng lên đáng kể)
Người sử dụng đầu cuối luôn luôn yêu cầu được đáp ứng nhanh, kết quả là yêu cầu băng thông cao giữa các site, nhưng băng
thông thuê đó chỉ được sử dụng trong một khoảng thời gian khi các users ở trạng thái active.
Hai lý do trên đã thúc đẩy các nhà cung cấp dịch vụ phát triển và triển khai một công nghệ cung cấp cho khách hàng với chất lượng dịch vụ tương đương với đường lised lines. Công nghệ mạng riêng ảo đầu tiên dựa trên các công nghệnhư X. 25 và Frame-relay, sau này có SMDS và ATM.
Hình 4. 2: Mạng Frame-relay đặc trưng
Giải pháp VPN bao gồm các yếu tố sau:
Nhà cung cấp dịch vụ là một tổ chức sở hữu cơ sở hạ tầng (Các thiết bị và môi trường truyền) cung cấp đường leased line cho khách hàng. Theo kiểu này thì nhà cung cấp dịch vụ giới thiệu tới khách hang một Dịch vụ mạng riêng ảo (Virtual Private Network Service)
Khách hàng kết nối tới nhà cung cấp dịch vụ qua thiết bị CPE (Customer Premises Equipment). CPE thường là một thiết bị
cung cấp kết nối đầu cuối, có thể là một bridge hoặc một router. Thiết bị CPE đôi lúc được gọi là thiết bị Khách hàng biên (Customer Edge)
Thiết bị CPE được kết nối qua môi trường truyền (thường là leased line, nhưng không thể là kết nối dial-up) tới thiết bị của nhà cung cấp dịch vụ, có thể là X. 25, Frame-relay hoặc chuyển mạch ATM, hoặc thậm chí là router. Thiết bị của nhà cung cấp dịch vụ biên này đôi khi được gọi là thiết bị Cung cấp dịch vụ biên (Provider Edge)
Nhà cung cấp dịch vụ thường có thêm các thiết bị trong mạng lõi (cũng được gọi là P-network). Các thiết bịnày được gọi là thiết bị
P (P-devices) ví dụnhư: P-switches hoặc P-router.
Một mạng liên tục nào đấy của khách hàng được gọi là site. Một site có thể kết nối tới P-network thông qua một hoặc nhiều được truyền, sử dụng một hoặc nhiều thiết bị CPE hoặc PE
Nhà cung cấp dịch vụ có thể tính tiền thông qua hoặc là tỉ lệ cố định cho dịch vụ VPN, thường dựa trên băng thông cung cấp cho khách hàng, hoặc là tỉ lệ sử dụng, thường dựa vào dung lượng của dữ liệu được trao đổi hoặc thời gian trao đổi dữ liệu
4. 3. Phân loại VPN
Có 3 loại mạng riêng ảo, đó là:
Intranet VPN: VPN kết nối hai mạng với nhau (site-to-site). Được sử dụng để kết nối các văn phòng, chi nhánh trong một công ty. Với loại này thì người dùng nội bộ được tin cậy hơn nên sẽ có mức độ bảo mật thấp hơn, nghĩa là sẽ được truy cập vào nhiều nguồn tài nguyên mạng hơn.
Extranet VPN: Được sử dụng khi có nhu cầu trao đổi thông tin giữa mạng của công ty với mạng của các đối tác bên ngoài. Với loại mô hình này đòi hỏi các chính sách bảo mật phải tốt hơn so
với intranet để hạn chế việc truy cập vào các nguồn tài nguyên của công ty.
Hình 4. 3: Mô hình mạng Extranet
Remote acces VPN (VPN truy cập từ xa): Được dùng cho những
người làm việc di động, cần phải truy cập an toàn với mạng tới mạng riêng của công ty từ bất kỳ vị trí địa lý nào thông qua một
môi trường chia sẻ (như mạng điện thoại công cộng). Một số văn
phòng nhỏ cũng có thể sử dụng kiểu truy cập này để nối với mạng riêng của công ty mình.
Thực tế, người dùng từ xa sẽ kết nối tới nhà cung cấp dịch vụ
Internet (ISP) và ISP sẽ thiết lập kết nối tới mạng riêng của công ty. Sau khi đã tạo được kết nối giữa hai máy tính của người dùng ở xa với mạng riêng của công ty, một đường hầm sẽ được thiết lập giữa
hai đầu cuối và dữ liệu được trao đổi qua đường hầm đó.
4. 4. Chức năng của VPN
VPN có các chức năng cơ bản sau:
Sự tin cậy: Người gửi có thể mã hóa các gói dữ liệu trước khi
chúng được truyền qua mạng. Bằng cách này thì người khác không thể truy cập thông tin mà không được sự cho phép. Nếu có lấy được thì cũng không đọc được
Tính toàn vẹn: Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet mà không có sựthay đổi nào
Xác thực nguồn gốc: Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và xác thực nguồn thông tin.
Chức năng của VPN đó là cung cấp sự bảo mật bằng cách mã hóa qua một
đường hầm. Đường hầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối. Điều này giúp cho việc sử dụng các ưu điểm, các tính năng bảo mật. Các giải pháp đường hầm cho VPN là sử dụng mã hóa để bảo vệ dữ liệu không bị xem trộm bởi bất kỳ ai không được phép
và để thực hiện đóng gói đa giao thức nếu cần thiết. Mã hóa (encryption) dùng
đểđảm bảo dữ liệu không đọc được với bất kỳ ai, nhưng có thể đọc được bởi
người nhận. Khi mà có nhiều thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trở nên quan trọng. Mã hóa sẽ biến đổi nội dung tin thành dạng vô nghĩa trong dạng mật mã của nó. Tại người nhận sẽ
sử dụng chức năng giải mã được cung cấp để giải mã nội dung của thông
điệp.
4. 6. Các giao thức dùng cho VPN
Có 3 giao thức tạo đường hầm chính để tạo nên một VPN
4. 6. 1. Giao thức đường hầm lớp 2 L2TP
Tháng 8/1999, Cisco cho ra đời giao thức tạo đường hầm độc quyền L2F (Layer 2 Forwarding) trước khi chuẩn L2TP ra đời. L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
PPTP(Point-to-Point Tunneling Protocol) được PPTP Forum phát triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ
L2TP là dự án kết hợp của Cisco L2F và Microsoft PPTP. Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy
đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN point-to-point (Intranet VPN và Extranet VPN) và VPN truy cập từ xa ( Remote Access VPN). Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router (NAS - Network Access Server – Là thiết bị quản lý RAS (Remote Access Server) cho phép khách hàng thực hiện cuộc gọi, thực hiện quá trình khởi tạo sự xác nhận và chuyển tiếp cuộc gọi (qua L2F hoặc L2TP) tới gateway của khách hàng) và giữa router với router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn
L2TP được sử dụng để tạo ra một môi trường độc lập, mạng quay số riêng ảo VPDN ( Virtual Private Dial Network). L2TP cho
phép người dùng yêu cầu một chính sách bảo mật tổng thể qua bất kỳ một tuyến VPN hay VPDN nào giống như là một sự mở
rộng mạng nội bộ của họ.
L2TP không cung cấp sự mã hóa và có thể được giám sát thông qua công cụ phân tích giao thức
Giống như PPTP, L2F sử dụng giao thức PPP để cung cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một đường hầm thông qua
Internet để đến đích. Tuy nhiên L2TP định nghĩa giao thức tạo đường hầm riêng của nó dựa trên cơ cấu của L2F. Cơ cấu này cho phép triển khai đường hầm L2TP không chỉ trên mạng IP mà còn trên các mạng chuyển mạch gói
khác như X25, Frame Relay và ATM.
L2TP sử dụng PPP để thiết lập kết nối vật lý. Khi PPP thiết lập kết nối xong, đầu tiên L2TP sẽ xác định xem máy phục vụ mạng tại phía công ty có nhận ra người sử dụng đầu cuối hay không và có sẵn sàng phục vụ như là
một điểm đầu cuối của đường hầm hay không. Nếu đường hầm có thể được tạo ra L2TP sẽ thực hiện vai trò đóng gói các gói tin để truyền đi.
Khi L2TP tạo ra các đường hầm giữa bộ tập trung truy cập mạng của ISP và máy phục vụ mạng phía công ty, nó có thể gán một hoặc nhiều phiên làm việc trong một đường hầm. L2TP tạo ra một số nhận dạng cuộc gọi (call ID) và chèn Call ID này vào phần đầu của L2TP trong mỗi một gói tin để chỉ ra gói
tin đó thuộc phiên làm việc nào.
L2TP cho phép giảm lưu lượng mạng và cho phép các máy phục vụ điều khiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều khiển luồng giữa máy phục vụ truy cập mạng của ISP , còn được gọi là bộ tập trung truy cập L2TP (L2TP Access Connector – LAC), và máy phục vụ mạng phía công ty, còn được gọi là máy phục vụ mạng L2TP (L2TP Network Server – LNS). Các bản tin điều khiển được sử dụng đểxác định tỷ lệ đường truyền và các thông số bộ đệm để điều khiển luồng các gói tin PPP của một phiên làm việc trong một đường hầm.