Các mơ hình thực hiện IP-VPN

Một phần của tài liệu CÔNG NGHỆMẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN (Trang 111)

Một cách tổng quát thì việc lựa chọn một phương án để thực hiện VPN phụ

thuộc vào mục đích và qui mơ của ứng dụng. Như đã biết, mục đích cơ bản của ứng dụng VPN là truy nhập từ xa (Remote Access) hoặc kết nối Site-to-Site. Cịn qui mơ của ứng dụng thể hiện ở số phiên trao đổi cĩ thể thực hiện đồng thời. Một đặc điểm quan trọng khác là vai trị của nhà cung cấp dịch vụ ISP. Một phương án thực hiện VPN cĩ thể dựa vào dịch vụ cung cấp bởi ISP hoặc trong suốt đối với ISP. Trong trường hợp thứ nhất, ISP được trang bị các thiết bị VPN và cĩ thể cung cấp dịch vụ

VPN cho các tổ chức, người sử dụng cĩ nhu cầu về dịch vụ này. Trong trường hợp thứ

hai, bản thân các tổ chức và người sử dụng tự trang bị lấy thiết bị VPN cho mình. Khi này họ cĩ thể thực hiện VPN mà khơng cần quan tâm đến việc ISP cĩ hỗ trợ dịch vụ

này hay khơng.

Về phương diện người sử dụng, cĩ 3 ứng dụng hay loại hình IP-VPN là: Access IP-VPN, Intranet VPN và Extranet IP-VPN.

Hình 5.1: Ba mơ hình IP-VPN

- Access IP-VPN: cung cấp truy nhập từ xa thơng qua Internet tới mạng trung tâm, với những đặc điểm của một mạng riêng, ví dụ như tín an tồn (sercurity), độổn

định. Access IP-VPN cho phép người sử dụng truy nhập các nguồn tài nguyên của tổ

chức ở bất kỳ nơi nào, lúc nào mà họ mong muốn. Các cơng nghệ truy nhập tương tự, quay số, ISDN, đường dây thuê bao số (DSL), điện thoại di động… đều cĩ thể dùng để

kết nối an tồn những người sử dụng lưu động tới mạng trung tâm.

- Intranet VPN: kết nối các mạng chi nhánh với mạng trung tâm thơng qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.

- Extranet VPN: kết nối với khách hàng, đối tác với một phần mạng trung tâm thơng qua Internet, đồng thời vẫn đảm bảo các đặc tính của một mạng riêng.

5.2.1 Access VPN

Cĩ rất nhiều lựa chọn để thực hiện Access VPN, do vậy cần cân nhắc thận trọng trước khi quyết định lựa chọn phương án nào. Như liệt kê ởđây, cĩ nhiều cơng nghệ

truy nhập, từ các cơng nghệ quay số hoặc ISDN truyền thơng tới các cơng nghệ mới như truy nhập sử dụng DSL. Thêm vào đĩ phải lực chọn một kiến trúc VPN: kiến trúc khởi tạo từ máy khách (client inititated) hay kiến trúc khởi tạo từ máy chủ truy nhập (network access server initiated architure).

5.2.1.1 Kiến trúc khi to t máy khách

Đối với Access IP-VPN khởi tạo từ phia máy khách, mỗi PC của người sử dụng từ xa phải cài đặt phần mềm IPSec. Khi người sử dụng quay số tới POP (Point of Presence) của ISP, phần mềm này sẽ khởi tạo một đường ngầm IP-VPN và thực hiện mật mã. Kiến trúc này rất an tồn vì dữ liệu được bảo vệ trên tồn bộđường ngầm PC của người sử dụng đến mạng trung tâm. Trong phương án này cĩ thể sử dụng bất kỳ

cơng nghệ truy nhập nào để kết nối tới Internet. Thêm vào đĩ, phương án này là trong suốt đối với nhà cung cấp dịch vụ ISP, nghĩa là cĩ thể thực hiện IP-VPN mà khơng cần thực hiện bất cứ thay đổi nào đối với ISP, chẳng hạn như mật mã dữ liệu. Nhược điểm của mơ hình này là phải cài đặt và quản trị phần mềm IPSec client trên tất cả các PC truy nhập từ xa.

5.2.1.2 Kiến trúc khi to t máy ch truy nhp NAS

Đối với truy nhập IP-VPN khởi tạo từ máy chủ truy nhập thì NAS (tại POP) sẽ

khởi tạo đường ngầm và thực hiện mật mã thay cho người sử dụng. Sẽ cĩ một phần kết nối khơng được bảo vệ giữa người sử dụng và POP. Phần kết nối cịn lại được bảo đảm an tồn bởi một đường ngầm và mật mã dữ lệu. Mơ hình này dễ quản lí hơn, vì khơng phải kiểm sốt tất cả phần mềm IPSec client tại các PC truy nhập từ xa. Mơ hình này cũng dể dàng mở rộng hơn so với mơ hình truy nhập khởi tạo từ người sử dụng vì chỉ

cần cấu hình máy chủ NAS, thay vì cấu hình tất cả các PC.

Hình 5.3: Truy nhp IP-VPN khi to t máy ch

5.2.2 Intranet IP-VPN và Extranet IP-VPN

Ở chương 2 đã trình bày về mơ hình Intranet và Extranet IP-VPN. Chương này sẽ trình bày một ví dụ về mơ hình triển khai Intranet và Extranet IP-VPN khởi tạo từ

raouter. Hình 5.4 ví dụ về hai router ở mỗi đầu của kết nối thiết lập một đường ngầm sử dụng IPSec sau đĩ thỏa thuận việc mật mã.

Mơ hình này cĩ một số lựa chọn thực hiện khác nhau. Trường hợp thứ nhất, ISP quản lý, cung cấp và duy trì kết nối Internet cơ sở, cịn bản thân tổ chức phải quản lý tất cả các vấn đề như an tồn dữ liệu, quản lý router, máy chủ, các nguồn tài nguyên như ngân hàng các modem quay số. Trường hợp thứ hai là mơ hình lai (hybrid model). Trong mơ hình này, tổ chức và nhà cung cấp dịch vụ chia sẻ các cơng việc tương đối ngang bằng, ISP cung cấp thiết bị VPN, đảm bảo QoS với mức băng tần thỏa thuận, cịn phía nhà quản trị mạng quản trị các ứng dụng và cấu hình, cung cấp các dịch vụ

trợ giúp và an tồn dữ liệu. Trường hợp thứ ba, nhà quản trị mạng chỉ quản lý các máy chủ an ninh, cịn ISP cung cấp tồn bộ giải pháp VPN, dịch vụ trợ giúp, huấn luyện…

5.2.3 Mt s sn phm thc hin VPN

như ta đã biết, cĩ nhiều hãng tham gia nghên cứu, phát triển các sản phẩm VPN, mỗi hãng lại đưa ra nhiều dịng sản phẩm. Các hãng khác nhau cĩ cách tiếp cận và ưu nhược điểm riêng. Sau đây ví dụ về các sản phẩm của Cisco và Netsreen. Sản phẩm của 2 hãng này tương đối đa dạng và cĩ thể phục vụ cho một phạm vi rộng các nhu cầu ứng dụng khác nhau.

Bng 5.1: Ví d v các sn phm ca Cisco và Netsreen

Loi khách hàng

Cisco Netsreen

Remote Access Site-to-Site

ISP/ Central Site 3080, 3060 Concentrators VPN routers 71x0 Netsreen-1000, Netsreen-500 Medium Site 3030 Concentrators Routers 7x00, 3600 Netsreen-208,

Netsreen-204 Small Office 3015, 3005 Concentrantors Routers 3600, 2600, 1700 Netsreen-50, Netsreen-20, Netsreen-XP Home Office/ Telecommuter Cisco VPN Software Client 3002 Hardware Client Router 800, 905 Netsreen-Remote 5.3 Ví d v thc hin IP-VPN

Để minh họa, ta xét 2 trường hợp: ứng dụng kết nối remote Access và ứng dụng Site-to-Site sử dụng thiết bị VPN 3000 Concentrantor của Cisco.

- Xác thực tính tồn vẹn dữ liệu: sử dụng thuật tốn HMAC-MD5 (128 bit), HMAC-SHA-1 (160 bit).

- Xác thực nguồn gốc dữ liệu: cĩ thể cấu hình để sử dụng mật khẩu (khĩa chia sẻ trước) hoặc chữ ký số.

- Trao đổi khĩa: sử dụng thuật tốn Diffie-Hellman, chứng thực số.

- Mật mã dữ liệu: sử dụng một trong các thuật tốn DES, 3DES ở chếđộ CBC. Trong tương lai, các thiết bị VPN cần hỗ trợ các thuật tốn tiên tiến hơn, chẳng hạn thuật tốn mật mã AES, xác thực SHA-2.

5.3.1 Kết ni Client-to-LAN

Trong trường hợp này, người sử dụng từ xa cần kết nối vào mạng trung tâm để

truy nhập thưđiện tử, các file cơ sở dữ liệu, trình diễn… Để thực hiện kết nối này, một phương án là sử dụng thiết bị VPN 3000 Concentrator ở mạng trung tâm của tổ chức, và phần mềm VPN 3000 Concentrantor Client tại máy tính của người sử dụng.

Hình 5.5: Các thành phn ca kết ni Client-to-LAN

Cĩ thể thấy trên hình 5.5, kết nối Client-to-LAN bao gồm 4 thành phần: IPSec client Software, Point-to-Point Protocol (PPP), IPSec Protocol, và VPN 3000 Concentrator.

- Phần mềm IPSec (IPSec Client Software) khơng cĩ sẵn trong hệ điều hành Windows nên phải được cài đặt trên máy tính cĩ yêu cầu truy nhập từ xa. Nĩ được sử dụng

để mật mã, xác thực và đĩng gĩi dữ liệu, đồng thời là một điểm cuối của đường ngầm. - Giao thức PPP được các ứng dụng truy nhập từ xa sử dụng để thiết lập một kết nối vật lí tới nhà cung cấp dịch vụ ISP.

- Sau khi được ISP xác thực, người sử dụng khởi động phần mềm IPSec Client để thiết lập một đường ngầm an tồn (secure tunnel), thơng qua Internet để tới VPN 3000 Concentrantor.

- Mạng trung tâm, VPN 3000 Concentrator là một điểm cuối cịn lại của

đường ngầm. Nĩ thực hiện giải mã, xác thực, và mở gĩi dữ liệu.

Hình 5.6: Đường ngm IPSec Client-to-LAN

Hình 5.6 cho thấy đường ngầm IPSec Client-to-LAN. Người sử dụng từ xa cần truy nhập thơng tin tại máy chủ của mạng trung tâm tại địa chỉ 192.168.1.10. Địa chỉ

nguồn thường là địa chỉảo của client, 192.168.1.20. Địa chỉ này thường được cấp cho client từ máy chủ DHCP hoặc chính VPN Concentrator. Địa chỉảo giúp cho client cĩ thể hoạt động nhưđang ở ngay mạng trung tâm.

Bất cứ dữ liệu nào khi truyền từ server tới client đều phải được bảo vệ. Do đĩ chúng được mật mã, xác thực và đĩng gĩi bằng giao thức ESP. Sau khi đĩng gĩi dữ

liệu bằng ESP thì một IP header mới được thêm vào gĩi dữ liệu (gọi là header ngồi)

để định tuyến gĩi tin qua mạng. Địa chỉ nguồn của outside IP header là địa chỉ card mạng (NIC) của client. Địa chỉ đích là giao diện cơng cộng của VPN 3000 Concentrator.

Ngồi thiết bị VPN 3000 Concentrator ở mạng trung tâm, mỗi máy tính truy nhập từ xa cần cài đặt phần mềm IPSec client. Phần mềm này làm việc với VPN 3000 Concentrator để tạo một đường ngầm an tồn giữa máy tính truy nhập từ xa và mạng trung tâm. IPSec client sử dụng IKE và giao thức đường ngầm IPSec để tạo và quản lý

đường ngầm.

Trong quá trình hoạt động, các bước sau thực hiện gần như tự động đối với người sử dụng.

- Thỏa thuận các thơng sốđường ngầm: địa chỉ, thuật tốn. - Thiết lập đường ngầm dựa trên các thơng sốđã thiết lập.

- Xác thực người sử dụng thơng qua username, groupname, password, digital certificate.

- Thiết lập các quyền truy nhập của người sử dụng: thời gian, số giờ truy nhập, các giao thức được phép…

- Quản trị các khĩa an ninh để mật mã va giải mã. - Thiết lập phiên trao đổi IPSec .

- Xác thực, mật mã và giải mã các dữ liệu đi qua đường ngầm.

Hình 5.7: Phn mm IPSec Client

5.3.2 Kết ni LAN-to-LAN

Trong trường hợp này, giả thiết người sử dụng từ mạng LAN ở xa muốn truy nhập vào máy chủ ứng dụng ở mạng trung tâm. Một phương án để thực hiện kết nối này là sử dụng hai VPN 3000 Concentrator, một ở mạng trung tâm, một ở mạng xa.

Một gĩi tin IP được xây dựng với địa chỉ nguồn là 192.168.1.20 và địa chỉđích là 192.168.1.10. Gĩi tin được định tuyến tới VPN Concentrantor, VPN Concentrator mật mã và đĩng gĩi IP ban đầu với ESP header. Gĩi tin này được bảo vệ nhưng khơng

được thêm vào. Các địa chỉ bên ngồi này (203.16.5.19, 172.26.26.1) giúp định tuyến gĩi tin qua Internet. Sau khi đã cĩ đường ngầm thì một phiên trao đổi được thiết lập cho phép truyền thơng giữa hai mạng riêng.

Hình 5.8: Đường ngm IPSec LAN-to-LAN

5.4 Tình hình trin khai VPN Vit Nam

Hiện nay, tại Viêt Nam cĩ rất nhiều hãng đang cung cấp giải pháp VPN cho các doanh nghiệp. Trong đĩ, đứng đầu thị trường VPN Việt Nam là hãng Juniper Networks. Juniper là hãng thiết bị hàng đầu của Mỹ trong các lĩnh vực bảo mật và an tồn cho các giao dịch truyền thơng trong mơi trường mạng IP đơn lẻ. Hiện tại Juniper

đang hợp tác với VNPT phát triển mạng thế hệ sau NGN. Theo như số liệu từ doanh nghiệp này thì thị trường SSL VPN (Secure Socket Layer) phát triển rất mạnh với tốc

độ tăng trưởng bình quân hàng năm là 67%. Hãng này đang cung cấp thiết bị cho nhiều cơng ty lớn của Viêt Nam, trong đĩ cĩ Bảo Việt. Bên cạnh đĩ, Juniper Network

đang tìm cách để liên kết với các ISP đểđưa ra sản phẩm SA 6000 SP cung cấp VPN như là dịch vụ gia tăng cho các doanh nghiệp vừa và nhỏ.

Bên cạnh đĩ, VDC cũng là một cơng ty hiện tại cung cấp dịch vụ VPN cho khách hàng ở Việt Nam. VDC đã liên kết với Singtel (Singapore Telecommunications Limited) và cĩ điểm kết nối IP-VPN tại Hà Nội, Đà Nẵng, TP.HCM, Vũng Tàu, Cần Thơ, Đồng Nai, Bình Dương. Dung lượng dịch vụ kết nối giữa VDC và Singtel đối với IP-VPN là 5MB. Đối tượng khách hàng hướng tới của VDC và Singtel là những cơng ty hoạt động phân bố trên địa bàn khác nhau và mong muốn tăng kết nối từ xa với chi phí giảm như bảo hiểm, ngân hàng, hàng hải, các doanh nghiệp hoạt động ở khu cơng nghiệp, các văn phịng đại diện của cơng ty nước ngồi.

KT LUN

Cơng ngh mng riêng o VPN cho phép tn dng mơi trường mng cơng cng Internet để xây dng các mng riêng đảm bo an ninh. Vi nhng ưu đim v mt giá thành, phm vi hot động khơng hn chế, linh hot trong trin khai và m rng, VPN là mt cơng ngh ha hn trin vng th trường rt ln.

Đồ án này đã đi sâu tìm hiu các vn đề k thut và mơ hình thc hin ca cơng ngh IP-VPN. Trong đĩ, đường ngm là nn tng ca IP-VPN, phm vi ca đồ án này

đã trình bày v các giao thc đường ngm: PPTP, L2TP và IPSec. PPTP và L2TP là nhng giao thc đường ngm được phát trin da trên giao thc PPP. Hai giao thc này là các chun đã hồn thin và các sn phm h tr chúng tương đối ph biến.

Đối vi nhng ng dng yêu cu an tồn d liu cao thì IPSec là giao thc thích hp. IPSec h tr các phương pháp xác thc và mt mã mnh nht, cĩ tính linh hot cao do khơng b ràng buc bi mt phương pháp xác thc cũng như mt mã nào.

Đây được xem là giao thc ti ưu nht cho IP-VPN và được tìm hiu mt cách chi tiết nht. Để thc hin đĩng gĩi d liu, IPSec cĩ hai giao thc đĩng gĩi AH và ESP. Liên kết an ninh SA sẽđịnh ra mt tp các tham s, thut tốn và giao thc đĩng gĩi (là AH hay ESP) cho d liu gia hai bên. Giao thc trao đổi khĩa IKE đảm bo vai trị nhn thc các bên tham gia và tha thun liên kết an ninh gia các bên. Bên cnh

đĩ, đồ án đã trình bày mt s thut tốn mt mã, xác thc, tồn vn d liu là nhng thut tốn được dùng kết hp vi IPSec.

Hin nay, ti Vit Nam cĩ rt nhiu hãng đang cung cp các gii pháp VPN cho các doanh nghip, mi hãng cĩ mt cu hình VPN riêng. Theo như đánh giá ca nhiu cơng ty thì th trường VPN Vit Nam cĩ tc độ phát trin mnh.

Trong giai đon hin nay, khi xu hướng ca mng vin thơng là IP hĩa hay chuyn sang mng thế h mi NGN. Mt trong nhng ưu vit ca NGN là tích hp gia cố định và di động. Vì vy, trong tương lai IP-VPN sẽ được ng dng cho đin thoi di động. Khi đĩ, các dch v vin thơng s rt linh hot, kết hp gia truyn hình

nh, s liu và thoi. Đây cũng chính là hướng phát trin tiếp theo ca để tài.

Mc dù đã c gng, nhưng do cơng ngh IP-VPN cĩ nhiu gii pháp để thc hin và liên quan đến nhiu giao thc và thut tốn phc tp, thi gian và trình độ cĩ hn nên

đồ án này khĩ tránh khi thiếu sĩt. Tơi rt mong nhn được ý kiến đĩng gĩp ca thy cơ và bn bè để cĩ th sa đổi, b sung cho nhng vn đề trình bày trong đồ án này.

Một phần của tài liệu CÔNG NGHỆMẠNG RIÊNG ẢO TRÊN INTERNET IP-VPN (Trang 111)

Tải bản đầy đủ (PDF)

(121 trang)