THIẾT LẬP KẾT NỐI TUNNEL

Một phần của tài liệu Tìm hiểu và triển khai VPN cho mạng LAN luận văn tốt nghiệp đại học (Trang 37 - 45)

2.5.1 Cỏc loại giao thức

Hầu hết cỏc VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riờng trờn nền Internet. Về bản chất, đõy là quỏ trỡnh đặt toàn bộ gúi tin vào trong một lớp tiờu đề (header) chứa thụng tin định tuyến cú thể truyền qua hệ thống mạng trung gian theo những "đường ống" riờng (Tunnel).

Khi gúi tin được truyền đến đớch, chỳng được tỏch lớp tiờu đề và chuyển đến cỏc mỏy trạm cuối cựng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, mỏy khỏch và mỏy chủ phải sử dụng chung một giao thức (Tunnel Protocol).

Giao thức của gúi tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel (Tunnel Interface), nơi gúi tin đi vào và đi ra trong mạng.

Kỹ thuật Tunneling yờu cầu 3 giao thức khỏc nhau:

• Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng bởi mạng cú thụng tin đang đi qua.

• Giao thức mó húa dữ liệu (Encapsulating Protocol) là giao thức (như GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gúi dữ liệu gốc.

• Giao thức gúi tin (Passenger Protocol) là giao thức của dữ liệu gốc được truyền đi (như IPX, NetBeui, IP).

Người dựng cú thể đặt một gúi tin sử dụng giao thức khụng được hỗ trợ trờn Internet (như NetBeui) bờn trong một gúi IP và gửi nú an toàn qua Internet. Hoặc, họ cú thể đặt một gúi tin dựng địa chỉ IP riờng (khụng định tuyến) bờn trong một gúi khỏc dựng địa chỉ IP chung (định tuyến) để mở rộng một mạng riờng trờn Internet.

2.5.2 Kỹ thuật Tunneling trong mạng VPN

2.5.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từxa xa

Tunneling là một phần quan trọng trong việc xõy dựng một mạng VPN , nú thường dựng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đúng vai trũ truyền tải cho cỏc giao thức IP khỏc khi liờn hệ trờn mạng giữa mỏy chủ và mỏy truy cập từ xa. Cỏc chuẩn truyền thụng sử dụng để quản lý cỏc Tunnel và đúng gúi dữ liệu của VPN. Núi túm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.

Hỡnh 34 Mụ hỡnh Tunneling truy cập từ xa

2.5.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm điểm

Trong VPN loại này, giao thức mó húa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu "đúng gúi" giao thức gúi tin

Nú bao gồm thụng tin về loại gúi tin mà bạn đang mó húa và thụng tin về kết nối giữa mỏy chủ với mỏy khỏch. Nhưng IPSec trong cơ chế Tunnel, thay vỡ dựng GRE, đụi khi lại đúng vai trũ là giao thức mó húa. IPSec hoạt động tốt trờn cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiờn, nú phải được hỗ trợ ở cả hai giao diện Tunnel.

Hỡnh 35 Mụ hỡnh Tunneling điểm nối điểm

Trong mụ hỡnh này, gúi tin được chuyển từ một mỏy tớnh ở văn phũng chớnh qua mỏy chủ truy cập, tới Router (tại đõy giao thức mó húa GRE diễn ra), qua Tunnel để tới mỏy tớnh của văn phũng từ xa.

2.6 CÁC GIAO THỨC SỬ DỤNG TRONG VPN

Hiện nay cú ba giao thức chớnh dựng để xõy dựng VPN là:

2.6.1 Giao thức định đường hầm điểm nối điểm PPTP (Point to Point Tunneling Protocol) to Point Tunneling Protocol)

Đõy là giao thức định đường hầm phổ biến nhất hiện nay, PPTP (Point to Point Tunneling Protocol) được cung cấp như một phần của dịch vụ truy cập từ xa RAS (Remote Access Services) trong hệ điều hành Windows NT 4.0 và Window 2000, sử dụng cỏch mó hoỏ sẵn cú của Windows, xỏc thực người dựng và cơ sở cấu hỡnh của giao thức điểm - điểm PPP (Point to Point Protocol) để thiết lập cỏc khoỏ mó.

Giao thức định đường hầm điểm - điểm PPTP (Point – to – Point Tunneling Protocol) được đưa ra đầu tiờn bởi một nhúm cỏc cụng ty được gọi là PPTP forum. Nhúm này bao gồm 3Com, Ascend comm, Microsoft, ECI Telematicsunication và US robotic. í tưởng cơ sở cho giao thức này là tỏch cỏc chức năng chung và riờng của truy cập từ xa, lợi dụng lợi ớch của cơ sở hạ tầng Internet sẵn cú để tạo kết nối bảo mật giữa client và mạng riờng. Người

dựng ở xa chỉ việc quay số đến nhà cung cấp dịch cụ ISP địa phương là cú thể tạo một đường hầm bảo mật tới mạng riờng của họ.

Giao thức quay số truy cập vào Internet phổ biến nhất là giao thức điểm - điểm PPP (Point to Point Protocol). PPTP được xõy dựng dựa trờn chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thụng qua Internet đến site đớch. PPTP sử dụng giao thức bọc gúi định tuyến chung GRE (Generic Routing Encapsulation) được mụ tả lại để đúng và tỏch gúi PPP, giao thức này cho phộp PPTP mềm dẻo xử lý cỏc giao thức khỏc khụng phải là IP như IPX, NETBEUI chẳng hạn.

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp thứ 2 (lớp liờn kết dữ liệu) trong khi IPSec chạy ở lớp thứ 3. Bằng cỏch hỗ trợ việc truyền dữ liệu ở lớp 2, PPTP cú thể truyền trong đường hầm bằng cỏc giao thức khỏc IP trong khi IPSec chỉ cú thể truyền cỏc gúi IP trong đường hầm.

Hỡnh 36 Giao thức PPTP

2.6.2 Giao thức định đường hầm lớp 2 - L2TP ( Layer 2 Tunneling Protocol ) Tunneling Protocol )

Đõy là giao thức chuẩn của IETF (Internet Engineering Task Force) sử dụng kỹ thuật khoỏ cụng cộng (public key technology) để thực hiện việc xỏc thực người dựng và cú thể hoạt động thụng qua một mụi trường truyền thụng đa dạng hơn so với PPTP. Một điểm đỏng lưu ý là L2TP khụng thể sử dụng để thực hiện mó hoỏ. Microsoft bắt đầu cung cấp L2TP như một phần của RAS trong hệ điều hành Windows 2000.

Hỡnh 37 Giao th c L2TP 2.6.3 Giao thức bảo mật IP – Ipsec

Đõy là giao thức chuẩn của IETF dựng để cung cấp việc mó hoỏ. Lợi điểm lớn nhất của IPSec là giao thức này cú thể được sử dụng để thiết lập một VPN một cỏch tự động và thớch hợp với chớnh sỏch bảo mật tập trung và cú thể sử dụng để thiết lập một VPN dựa trờn cơ sở cỏc mỏy tớnh mà khụng phải là người dựng. IPSec được cung cấp như một phần trong hệ điều hành Windows NT 4.0 và Window 2000. (adsbygoogle = window.adsbygoogle || []).push({});

Hỡnh 38 Giao thức IPSec

Ngoài ra cũn cú giao thức chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) là cơ sở để xõy dựng nờn L2TP.

2.7 LỢI ÍCH CỦA VPN

2.7.1 Đối với khỏch hàng

• Giảm thiểu chi phớ sử dụng so với việc kết nối mạng diện rộng dựng cỏc kờnh thuờ riờng. Theo thống kờ thực tế chi phớ sử dụng cho mạng riờng ảo chỉ bằng 60% so với chi phớ của việc dựng kờnh kết nối riờng. éiều này đặc biệt cú ý nghĩa lớn đối

với cỏc cụng ty đa quốc gia, thụng qua mạng riờng ảo giỳp khỏch hàng giảm thiểu thời gian và đỏp ứng nhu cầu làm việc trực tuyến.

+ Giảm thiểu thiết bị sử dụng.

+ Giảm thiểu chi phớ kờnh kết nối đường dài. + Giảm thiểu việc thiết kế và quản lý mạng.

+ Giảm thiểu việc lóng phớ băng thụng, khỏch hàng cú khả năng trả theo cước lưu lượng sử dụng.

• Quản lý dễ dàng : Khỏch hàng cú khả năng quản lý số lượng người sử dụng (khả năng thờm, xoỏ kờnh kết nối liờn tục, nhanh chúng). Hiện nay nhu cầu sử dụng tư vấn từ bờn ngoài, cỏc nguổn lực từ bờn ngoài để phục vụ cho cụng tỏc kinh doanh đó trở thành một xu hướng. Tổ chức IDC dự đoỏn nhu cầu sử dụng cỏc dịch vụ quản lý mạng từ bờn ngoài tăng từ 2,4 tỷ trong năm 1998 lờn 4,7 tỷ trong năm 2002.

2.7.2 Đối với nhà cung cấp dịch vụ

• Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phỏt từ cỏc dịch vụ gia tăng giỏ trị khỏc kốm theo.

• Tăng hiệu quả sử dụng mạng Internet hiện tại.

• Kộo theo khả năng tư vấn thiết kết mạng cho khỏch hàng đõy là một yếu tố quan trọng tạo ra mối quan hệ gắn bú giữa nhà cung cấp dịch vụ với khỏch hàng đặc biệt là cỏc khỏch hàng lớn.

• éầu tư khụng lớn hiệu quả đem lại cao.

• Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN.

2.8 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM2.8.1 Ưu điểm 2.8.1 Ưu điểm

VPN mang lại lợi ớch thực sự và tức thời cho cụng ty. Cú thể dựng VPN để đơn giản húa việc truy cập đối VPN với cỏc nhõn viờn làm việc và người dựng lưu động, mở rộng Intranet đến từng văn phũng chi nhỏnh, thậm chớ triển khai Extranet đến tận khỏch hàng và cỏc đối tỏc chủ chốt và điều

quan trọng là những cụng việc trờn đều cú chi phớ thấp hơn nhiều so với việc mua thiết bị và đường dõy cho mạng WAN riờng.

Giảm chi phớ thường xuyờn : VPN cho phộp tiết kiệm 60% chi phớ so với thuờ đường truyền và giảm đỏng kể tiền cước gọi đến của cỏc nhõn viờn làm việc ở xa. Giảm được cước phớ đường dài khi truy cập VPN cho cỏc nhõn viờn di động và cỏc nhõn viờn làm việc ở xa nhờ vào việc họ truy cập vào mạng thụng qua cỏc điểm kết nối POP (Point of Presence) ở địa phương, hạn chế gọi đường dài đến cỏc modem tập trung

Giảm chi phớ đầu tư: Sẽ khụng tốn chi phớ đầu tư cho mỏy chủ, bộ định tuyến cho mạng đường trục và cỏc bộ chuyển mạch phục vụ cho việc truy cập bởi vỡ cỏc thiết bị này do cỏc nhà cung cấp dịch vụ quản lý và làm chủ. Cụng ty cũng khụng phải mua, thiết lập cấu hỡnh hoặc quản lý cỏc nhúm modem phức tạp.

Truy cập mọi lỳc, mọi nơi: Cỏc Client của VPN cũng cú thể truy cập tất cả cỏc dịch vụ như www, e-mail, FTP … cũng như cỏc ứng dụng thiết yếu khỏc mà khụng cần quan tõm đến những phần phức tạp bờn dưới.

Khả năng mở rộng : Do VPN sử dụng mụi trường và cỏc cụng nghệ tương tự Internet cho nờn với một Internet VPN, cỏc văn phũng, nhúm và cỏc đối tượng di động cú thể trở nờn một phần của mạng VPN ở bất kỳ nơi nào mà ISP cung cấp một điểm kết nối cục bộ POP

2.8.2 Nhược điểm

Với những ưu điểm như trờn thỡ VPN đang là lựa chọn số 1 cho cỏc doanh nghiệp. Tuy nhiờn VPN khụng phải khụng cú nhược điểm, mặc dự khụng ngừng được cải tiến, nõng cấp và hỗ trợ nhiều cụng cụ mới tăng tớnh bảo mật nhưng dường như đú vẫn là một vấn để khỏ lớn của VPN.

Vỡ sao vấn đề bảo mật lại lớn như vậy đối với VPN? Một lý do là VPN đưa cỏc thụng tin cú tớnh riờng tư và quan trọng qua một mạng chung cú độ bảo mật rất kộm ( thường là Internet). Lý do bị tấn cụng của VPN thỡ cú vài lý do sau : sự tranh đua giữa cỏc cụng ty, sự tham lam muốn chiếm nguồn thụng tin, sự trả thự, cảm giỏc mạnh…

QoS cho VPN cũng là một vấn đề đau đầu. Hai thụng số về QoS cho mạng là độ trễ và thụng lượng. Ta biết rằng VPN chạy trờn một mạng chung Internet. Mà đặc thự của mạng Internet là mạng cú cấu trỳc đơn giản, lưu lượng tin lớn, khú dự đoỏn cũng chớnh vỡ thế mà việc quản lý chất lượng cho từng dịch vụ là rất khú khăn. Thường QoS trờn Internet chỉ là best effort.

Khả năng quản lý cũng là vấn đề khú khăn của VPN. Cũng với lý do là chạy ngang qua mạng Internet nờn khả năng quản lý kết nối end to end từ phớa một nhà cung cấp đơn lẻ là điều khụng thể thực hiện được. Vỡ thế nhà cung cấp dịch vụ (ISP) khụng thể cung cấp chất lượng 100% như cam kết mà chỉ cú thể cố hết sức. Cũng cú một lối thoỏt là cỏc nhà cung cấp ký kết với nhau cỏc bản thoả thuận về cỏc thụng số mạng, đảm bảo chất lượng dịch vụ cho khỏch hàng. Tuy nhiờn cỏc cam kết này cũng khụng đảm bảo 100%.

CHƯƠNG 3

THIẾT KẾ VÀ TRIỂN KHAI CÀI ĐẶT Mễ HèNH VPN 3.1 THIẾT KẾ CLIIENT TO SITE (adsbygoogle = window.adsbygoogle || []).push({});

3.1.1 TèNH HUỐNG

Trung tõm Tin học VTC cú chi nhỏnh ở Vinh, tất cả cỏc dữ liệu, mỏy chủ như Web server, Mail server,… đều đặt tại đõy. Cỏc nhõn viờn làm việc trực tiếp tại trung tõm truy cập vào hệ thống mạng rất thuận lợi, cũn nếu những nhõn viờn đi cụng tỏc xa hay những nhõn viờn ở nhà muốn truy cập vào hệ thống mạng của trung tõm lấy dữ liệu thỡ sao? Lỳc này phải cú một giải phỏp nào đú để những nhõn viờn này truy cập vào hệ thống mạng một cỏch thuận lợi.

3.1.2 PHÂN TÍCH VÀ THIẾT KẾ Mễ HèNH CLIENT TO SITE3.1.2.1 Thiết bị sử dụng 3.1.2.1 Thiết bị sử dụng

• Đối với user bờn ngoài cú thể dựng mỏy PC hay laptop và kết nối Internet thụng qua cỏc đường truyền như Dial-up, ADSL…

• Trong cụng ty cú cỏc mỏy chủ như VPN server, Mail server, Web server…và kết nối Internet qua Router ADSL.

Một phần của tài liệu Tìm hiểu và triển khai VPN cho mạng LAN luận văn tốt nghiệp đại học (Trang 37 - 45)

(45 trang)