CHƯƠNG 1: CÔNG NGHỆ MPLS VÀ MẠNG MPLS-VPN
1.3. CÔNG NGHỆ MẠNG RIÊNG ẢO
Mạng riêng ảo VPN (Virture Private Network) có thể đƣợc hiểu nhƣ là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật nhƣ một mạng riêng. Tuy đƣợc xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhƣng VPN lại có đƣợc các tính chất của một mạng cục bộ nhƣ khi sử dụng các đường kênh thuê riêng.
1.3.1. Khái niệm mạng riêng ảo
Mạng riêng ảo đƣợc định nghĩa nhƣ là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng với các chính sách quản lý và bảo mật giống nhƣ mạng cục bộ. Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN mà không bị hạn chế về mặt địa lý. Các hãng thương mại có thể dùng VPN để cung cấp quyền truy nhập mạng cho người dùng di động và từ xa, kết nối các chi nhánh phân tán thành một mạng duy nhất và cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty.
Central site
Internet POP
Remote site
PIX Firewall
Văn phòng ở xa
Văn phòng trung tâm
Hình 1.15 Mô hình mạng VPN [2]
Hình 1.15 là một minh họa về một mạng VPN đƣợc thiết lập qua Internet.
Qua mạng VPN này, văn phòng ở xa có thể kết nối để truy xuất dữ liệu tại văn phòng trung tâm.
1.3.2. Chức năng cơ bản
VPN cung cấp ba chức năng chính là tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
a. Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác.
b. Tính toàn vẹn
Đảm bảo dữ liệu không bị thay đổi hay có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.
c. Tính bảo mật
Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ đƣợc giải mã ở phía thu. Bằng cách làm nhƣ vậy, không một ai có thể truy nhập thông tin mà không đƣợc phép. Thậm chí nếu có lấy đƣợc thì cũng không đọc đƣợc [2].
1.3.3. Các mô hình VPN
Có hai mô hình triển khai VPN là: dựa trên khách hàng (Customer-based) và dựa trên mạng (Network-based). Mô hình dựa trên khách hàng còn đƣợc gọi là mô hình chồng lấn (overlay), trong đó VPN đƣợc cấu hình trên các thiết bị của khách hàng và sử dụng các giao thức đường hầm xuyên qua mạng công cộng. Nhà cung cấp dịch vụ sẽ bán các mạch ảo giữa các site của khách hàng như là đường kết nối thuê riêng (leased line).
Mô hình dựa trên mạng còn đƣợc gọi là mô hình ngang hàng hay ngang cấp (peer-to-peer), trong đó VPN đƣợc cấu hình trên các thiết bị của nhà cung cấp dịch vụ và đƣợc quản lý bởi nhà cung cấp dịch vụ. Nhà cung cấp dịch vụ và khách hàng trao đổi thông tin định tuyến lớp 3, sau đó nhà cung cấp sẽ sắp
đặt dữ liệu từ các site khách hàng vào đường đi tối ưu nhất mà không cần có sự tham gia của khách hàng [2].
a. Mô hình chồng lấn (overlay VPN)
Mô hình VPN chồng lấn có ƣu điểm là dễ thực hiện, theo quan điểm của cả khách hàng và nhà cung cấp dịch vụ. Trong mô hình này nhà cung cấp dịch vụ không tham gia vào định tuyến lưu lượng khách hàng. Nhiệm vụ của họ là vận chuyển dữ liệu điểm-điểm giữa các site của khách hàng. Việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và khách hàng sẽ cho phép quản lý dễ dàng hơn.
Mô hình chồng lấn thích hợp cho các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhƣng lại khó quản lý nếu nhƣ cần nhiều kết nối mắt lưới. Hình 1.16 minh họa một mô hình thiết lập VPN dùng công nghệ Frame Relay.
Hình 1.16 Mô hình mạng overlay VPN trên Frame Relay [10]
Việc cung cấp nhiều VC đòi hỏi phải có sự hiểu biết cặn kẽ về loại lưu lượng giữa các site, mà điều này thường không thật sự thích hợp. Ngoài ra, khi thực hiện mô hình này với các công nghệ lớp 2 thì sẽ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, và nhƣ vậy làm tăng thêm chi phí hoạt động của mạng [2].
b. Mô hình ngang hàng (peer-to peer VPN)
Để khắc phục các hạn chế của mô hình VPN chồng lấn và tối ƣu hóa việc vận chuyển dữ liệu qua mạng đường trục, mô hình VPN ngang hàng đã ra đời. Với mô hình này nhà cung cấp dịch vụ sẽ tham gia vào hoạt động định tuyến của khách hàng. Bộ định tuyến biên mạng nhà cung cấp PE (Provider Edge) thực hiện trao đổi thông tin định tuyến trực tiếp với bộ định tuyến của khách hàng CE (Customer Edge).
Đối với mô hình VPN ngang hàng, việc định tuyến trở nên đơn giản hơn (nhìn từ phía khách hàng) khi bộ định tuyến khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài bộ định tuyến biên nhà cung cấp PE. Trong khi ở mô hình VPN chồng lấn, số lƣợng bộ định tuyến lân cận có thể gia tăng với số lƣợng lớn. Ngoài ra, do nhà cung cấp dịch vụ biết cấu hình mạng của khách hàng nên có thể thiết lập định tuyến tối ưu cho lưu lượng giữa các site khách hàng.
Việc cung cấp băng thông cũng đơn giản hơn bởi vì khách hàng chỉ phải quan tâm đến băng thông đầu vào và ra ở mỗi site mà không cần phải quan tâm đến toàn bộ lưu lượng từ site này đến site kia như trong mô hình VPN chồng lấn. Khả năng mở rộng trong mô hình VPN ngang hàng dễ dàng hơn vì nhà cung cấp dịch vụ chỉ cần thêm vào một site và thay đổi cấu hình trên bộ định tuyến PE. Trong mô hình chồng lấn, nhà cung cấp dịch vụ phải tham gia vào toàn bộ tập hợp các kênh ảo VC từ site này đến site khác của VPN khách hàng [2].
Hình 1.17 Mô hình mạng peer-to-peer VPN [10]
Nhà cung cấp dịch vụ có thể triển khai hai kiểu ứng dụng VPN ngang hàng là chia sẻ bộ định tuyến và sử dụng bộ định tuyến dành riêng.
1.3.4. Phân loại VPN
Hình 1.18 mô tả khái quát sự phân loại các giải pháp công nghệ VPN đã và đang đƣợc ứng dụng triển khai.
Hình 1.18 Phân loại mạng riêng ảo VPN [14]