Trong phần này, chỳng ta sẽ xem xột việc phõn loại VPN từ quan điểm kiến trỳc chứ khụng phải từ quan điểm truyền tunnel. Chỳng ta cũng phõn tớch phõn loại IP VPN hữu tuyến và khả năng ứng dụng nú cho mụi trường di động. Cỏc kiến trỳc IP VPN cú thể được phõn loại thành hai kiểu chớnh: cỏc Site-to-Site VPN (cũn được gọi là LAN đến LAN hay POP đến POP ) và cỏc VPN truy nhập từ xa. Cỏc Site-to-Site VPN bao gồm cỏc cỏc phương ỏn như: Extranet VPN và Intranet VPN, cỏc phương ỏn này đều cú chung cỏc thuộc tớnh nhưng được thiết kế để giải quyết tập cỏc vấn đề khỏc nhau. VPN truy nhập từ xa bao gồm cỏc phương phỏp truy nhập quay số và truy nhập gúi trực tiếp, cỏc phương phỏp này cũng sẽ được đề cập ở dạng khung kiến trỳc chớnh. Tất cả cỏc kiểu VPN này đều cú thể được ỏp dụng (ớt nhất là lý thuyết) trờn cỏc mạng thụng tin di động, tuy nhiờn nghiờn cứu sẽ tập trung lờn cỏc vấn đề liờn quan đến cỏc MVPN đối với kiểu truy nhập từ xa, vỡ thụng thường mạng vụ tuyến nối một mỏy trạm ở xa đến một mạng mà nú muốn truy nhập.
2.4.2.1. Site-to-site VPN
Site-to-Site VPN được sử dụng để nối cỏc site của cỏc hóng phõn tỏn về mặt địa lý, trong đú mỗi site cú cỏc địa chỉ mạng riờng được quản lý sao cho bỡnh thường khụng xẩy ra sự va chạm. Trong cỏch nối mạng thụng thường, cỏc văn phũng hóng ở xa cú thể kết nối với nhau bằng cỏc mạng cấu hỡnh lưới trờn cơ sở cỏc đường thuờ riờng T1/E1 hay cỏc kờnh lớp liờn kết như cỏc PVC ATM hay chuyển tiếp khung trong nối mạng của nhà cung cấp dịch vụ. Một cỏch khỏc là sử dụng mạng định tuyến riờng hay cỏc tuyến chuyển mạch theo nhón MPLS. Cỏc mạng định tuyến riờng đũi hỏi cỏc router cú khả năng phõn biệt lưu lượng từ cỏc Intranet khỏc dựa trờn cỏc bảng định tuyến dẫn đến cỏc vấn đề về khả năng định lại cỡ. Cấu trỳc này được gọi là intranet.
Cũng cú thể đạt được cỏc kết quả tương tự bằng cỏch cung cấp cỏc IP VPN tunnel an ninh trờn mạng internet cụng cộng hay cỏc mạng IP của nhà cung cấp dịch vụ. IP VPN cú cỏc ưu điểm lớn về giỏ cả và sự đơn giản. Giỏ thành thụng tin giảm vỡ khỏch hàng chỉ phải trả cho truy nhập vào mạng IP của mạng nhà cung cấp dịch vụ hay truy nhập internet. Cỏc văn phũng ở xa được nối với nhau qua cỏc tunnel được cung cấp trờn mạng IP dựng chung, chẳng hạn internet hay mạng IP thương mại dựng chung được cỏc nhà cung cấp dịch vụ cung cấp như WorldCom hay AT&T. Cựng với truy nhập mạng IP cụng cộng, ỏp dụng VPN đũi hỏi CPE ở dạng cỏc cổng VPN cú khả năng hỗ trợ số lượng khỏ lớn cỏc đoạn tunnel riờng tại từng site.
Cỏc Site-to-Site VPN vẫn cú thể thực hiện trong mụi trường di động, nhưng giỏ trị của cỏc mụ hỡnh này từ quan điểm thuờ bao vụ tuyến vẫn chưa rừ ràng và nú nằm ngoài nghiờn cứu của đề tài này. Tuy nhiờn kiểu VPN này cú thể được triển khai trong cỏc mạng lừi vụ tuyến như GPRS PLMN và GRX, khi nhà cung cấp dịch vụ muốn phỏt triển kết nối lựa chọn đến cỏc đối tỏc chuyển mạng của nú. Ngoài ra, một điểm
truy nhập GPRS đến một mạng hóng cú thể được xem như là trường hợp Site-to-Site VPN. Thực chất, một nhà cung cấp dịch vụ cú thể đảm bảo kết nối đầy đủ đến tất cả cỏc site của hóng và thậm chớ cỏc gúi của tuyến trực tiếp đến site khỏch hàng tương ứng qua cỏc IP tunnel nối chỳng đến một điểm truy nhập.
Extranet VPN
Extranet (truyền thụng giữa cỏc hóng) là một thuật ngữ mới cú trong nối mạng vụ tuyến. Nú thường được sử dụng khi một hóng cần tương tỏc khụng chỉ với cỏc văn phũng ở xa của mỡnh mà cả với cỏc site trực thuộc cỏc khỏch hàng của nú, cỏc nguồn cung cấp và cỏc thực thể khỏc liờn quan đến cỏc giao dịch hay trao đổi thụng tin. Cỏc thực thể này thường được gọi là cỏcmạng đối tỏc. Để hỗ trợ cỏc loại truyền thụng này, cỏc tunnel VPN cú thể được thiết lập giữa cỏc mạng riờng trực thuộc cỏc thực thể riờng khỏc nhau. Cỏc chức năng VPN như điều khiển truy nhập, nhận thực và cỏc dịch vụ an ninh cú thể được sử dụng để từ chối hay cho phộp truy nhập đến cỏc tài nguyờn cần thiết cho kinh doanh. Cỏc vấn đề an ninh đối với extranet (bao gồm cả tuy nhập tài nguyờn trỏi phộp) lớn hơn trong intranet, vỡ thế VPN và extranet phải được thiết kế cẩn thận với cỏc chớnh sỏch điều khiển truy nhập đa lớp và cỏc sắp xếp an ninh duy nhất giữa cỏc thành viờn extranet.
. Khả năng IP VPN cung cấp động cỏc tunnel và cỏc ưu tiờn điều khiển truy nhập trong vài phỳt, thậm chớ vài giõy và thường khụng cần thụng bỏo cho nhà cung cấp truy nhập (nếu cỏc cho phộp này là bộ phận của SLA trong trường hợp VPN bắt buộc) là đặc biệt hữu ớch trong mụi trường extranet. Hiện nay, cung cấp động là tối quan khi cỏc nhu cầu và tỡnh trạng kinh doanh cú thể thay đổi nhanh chúng, đũi hỏi nhanh chúng thiết lập lại cỏc sắp đặt nối mạng mới. Khả năng này khắc phục cỏc nhược điểm của cỏc cụng nghệ nối mạng: thời gian cung cấp khỏ lõu và cỏc thủ tục cung cấp phức tạp. Hỡnh 2.7 cho thấy một hóng chớnh thiết lập quan hệ động với cỏc nguồn cung cấp và cỏc đối tỏc kinh doanh khỏc
Lưu ý rằng sử dụng cỏc mạng đối tỏc kết nối IP VPN chỉ cú nghĩa khi cần trao đổi một khối lượng lớn thụng tin giữa cỏc mạng. Khi tương tỏc giữa cỏc đối tỏc cú thể thực hiện qua cỏc ứng dụng dựa trờn Web, tốt nhất là nờn thiết lập cỏc giao diện Web được bảo vệ bởi TLS hay SSL cho cỏc ứng dụng và cỏc kho lưu thụng tin. Hiện nay cỏc tương tỏc kinh doanh dựa trờn cỏc cổng chớnh của khỏch hàng và của nhà cung cấp hàng cũng phổ biến.
Intranet VPN
Một hóng cú thể quyết định thiết lập một VPN khụng chỉ để kết nối cỏc site trực thuộc hóng mà cũn để định nghĩa cỏc mạng ảo ngay trong miền quản lý của mỡnh. Khụng phải hầu hết thời gian đều cần đến điều này, vỡ cú thể định nghĩa cỏc vựng an ninh bằng trang bị thớch hợp lọc tường lửa và cỏc chớnh sỏch điều khiển truy nhập tài nguyờn tại mức ứng dụng.
Hỡnh 2.7. Extranet VPN động
Tuy nhiờn trong cỏc mụi trường cụng tỏc quan trọng, cú thể cỏc tổ chức (đặc biệt là cỏc tổ chức lớn) quyết định thi hành cỏc biện phỏp an ninh bằng cỏch cỏch ly lưu lượng và cỏc vựng mạng đặc biệt quan trọng thụng qua cỏc tunnel được mật mó húa IPSec và thi hành cỏc chớnh sỏch nhận thực và điều khiển truy nhập bổ sung cho cỏc vựng này. Cỏc cụng ty cần đảm bảo bảo mật cho số liệu như cỏc bản ghi cỏ nhõn của nhõn viờn cũng như thụng tin về cỏc sự kiện sẽ xẩy ra chẳng hạn phỏt hành cỏc sản phẩm mới hay tổ chức lại. Mục đớch chớnh của intranet VPN trong mạng hóng là thiết lập và quản lý cỏc mức khỏc nhau của truy nhập bờn trong đến thụng tin đặc thự. Với khả năng này, Intranet VPN lại được sử dụng để tạo lập mụi trường giống như phõn chia vật lý cỏc nhúm người sử dụng vào cỏc mạng con LAN khỏc nhau được kết nối bởi cỏc cầu hay cỏc router.
2.4.2.2. VPN truy nhập từ xa
Nối mạng truy nhập từ xa ban đầu được coi là một cỏch đảm bảo cỏc mỏy trạm ở xa truy nhập cỏc tài nguyờn thụng tin và cỏc dịch vụ đặt trong mạng riờng. Truy nhập từ xa hữu ớch cho cả cỏc người tiờu dựng và cỏc nhõn viờn ở xa hoặc nhà kinh doanh
hay cỏc tổ chức khỏc. Cỏc hóng và cỏc thực thể khỏc từng phải duy trỡ cỏc phương tiện phự hợp, thụng thường gồm cỏc RAS (Remote Access Server: Server truy nhập từ xa) và thiết bị an ninh tương ứng để duy trỡ mức khả dụng và tin cậy dịch vụ cho cỏc người sử dụng ở xa. Kết nối quay số từng được xem là riờng tư và phự hợp cho tất cả cỏc ý đồ và mục đớch.
VPN truy nhập từ xa quay số
Truy nhập từ xa quay số đắt tiền và đũi hỏi sự hỗ trợ lớn từ cỏc phũng IT của hóng. Thụng thường, người sử dụng từ xa ở cỏch xa cỏc cơ quan đầu nóo của hóng hay cỏc trung tõm số liệu và đũi hỏi cuộc gọi đường dài. Cuộc gọi này trở nờn rất đắt đối với cỏc chủ gọi quốc tế khi họ định kết nối lõu. Cỏc hóng dựa trờn cụng nghệ này thường phải tạo ra (hay sử dụng phương tiện hóng khỏc) nhiều trung tõm số liệu vựng và duy trỡ hỗ trợ tại chỗ để trỏnh cước đường dài cao. Truy nhập quay số cũng đũi hỏi cỏc thiết bị RAS đắt tiền, phức tạp và đụi khi cũng bị sự cố.
Cỏc VPN truy nhập từ xa quay số cú thể được xõy dựng trờn cỏc phương phỏp truyền tunnel bắt buộc hay tự ý. Trong một kịch bản truy nhập quay số sử dụng phương tiện của hóng khỏc (là bắt buộc), người sử dụng quay số đến cỏc POP địa phương của cỏc nhà cung cấp dịch vụ Internet, thiết lập kết nối PPP. Sau khi người sử dụng đó được nhận thực và liờn kết PPP được thiết lập nhà cung cấp dịch vụ thiết lập theo cỏch bắt buộc (nghĩa là trong suốt đối với người sử dụng) một tunnel đến một cổng trong mạng riờng mà người sử dụng ở xa muốn truy nhập đến. Mạng riờng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối. Kiến trỳc này được mụ tả trờn hỡnh 2.8. IPSec Client ISDN Modem DSL Chuyển mạch DSLAM PSTN RAS Cổng SS7 RADIUS L2TP (bắt buộc) IPSec (tự ý) LNS ISP Cổng IPSec Hóng DNS DHCP RADIUS ACCT
LNS: L2TP Network Server- Server mạng L2TP
L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2 RAS: Remote Access Server- Server truy nhập xa
DSLAM: DSL Access Multiplex- Ghộp kờnh truy nhập DSL Internet
Hỡnh 2.8. Truy nhập từ xa hữu tuyến sử dụng phương tiện hóng khỏc
Trong quay số trực tiếp truyền thống buộc người sử dụng phải quay số đến một ngõn hàng modem, một RAS hay một bộ tập trung đặt tại trung tõm số liệu của hóng. Cụng nghệ truyền tunnel được lựa chọn cho VPN truy nhập quay số theo phương tiện
của hóng khỏc là L2TP. Cụng nghệ này được tiếp nhận rộng rói bởi cả cỏc nhà cung cấp dịch vụ hữu tuyến và cỏc hóng. Để chọn lựa VPN này cho cỏc nhõn viờn ở xa, cỏc hóng phải thiết lập cỏc SLA chi tiết (chẳng hạn, phải lập cấu hỡnh một danh sỏch cỏc LNS, cỏc đặc điểm an ninh và cỏc mức QoS), với một hay nhiều nhà cung cấp dịch vụ sẽ chịu trỏch nhiệm cho cỏc phương tiện kết cuối quay số địa phương.
VPN tự ý là một cụng nghệ truy nhập độc lập, vỡ thế nú cú thể dễ dàng được hỗ trợ trờn mọi kết nối quay số kể cả vụ tuyến. Tất cả cỏc người sử dụng đầu cuối phải thiết lập một kết nối quay số đến ISP theo lựa chọn của họ và sau đú thụng qua một VPN client thiết lập một tunnel lớp mạng đảm bảo an ninh đến một mạng riờng cụ thể. Cú cỏc ISP toàn cầu cung cấp khả năng này trong nối mạng số liệu hữu tuyến. VPN tự ý dựa trờn truyền tunnel đầu cuối- đầu cuối đũi hỏi đúng bao bổ sung trờn đoạn truyền của chặng vụ tuyến cuối cựng vỡ thế làm giảm hơn nữa thụng lượng vốn dĩ đó thấp và làm cho chọn lựa này thớch hợp cho cỏc ứng dụng đặc biệt chứ khụng để triển khai hàng loạt.
Truy nhập từ xa trực tiếp
Trong thập niờn vừa qua, cỏc cụng nghệ truy nhập mới như ISDN, DSL (Digital Subsscriber Line) và cỏp đó trở nờn khả dụng cho cỏc người làm việc ở xa là lưu động cú truyền thống sử dụng truy nhập quay số. Cả cỏc nhà cung cấp dịch vụ và cỏc hóng đó cú một tựy chọn cụng nghệ truy nhập từ xa cho phộp sử dụng hiệu quả hơn cả VPN bắt buộc lẫn tự ý để truy nhập mạng riờng an ninh. Cỏc hệ thống số liệu gúi vụ tuyến được thiết kế sỏt hơn với cỏc dịch vụ số liệu tốc độ cao như DSL và cỏp vỡ thế cung cấp cựng mức độ tiện lợi cho cỏc người sử dụng như cỏc khả năng luụn nối mạng tự động, cỏc tựy chon tớnh cước và loại bỏ đăng nhập thường xuyờn.