Phân loại mạng riêng ảo

Một phần của tài liệu CÔNG NGHỆ MPLS và ỨNG DỤNG MẠNG RIÊNG ảo VPN (Trang 65 - 104)

Các nhà cung cấp dịch vụ luôn cố gắng đa ra các công nghệ mới để đáp ứng các nhu cầu dịch vụ ngày càng đa dạng của khách hàng. Điều này khiến cho khái niệm VPN ngày càng trở nên phức tạp. Việc phân loại VPN có thể dựa theo một số nguyên tắc sau:

• Phân loại theo mô hình công việc

• Phân loại theo mô hình thực hiện

• Phân loại theo công nghệ lớp

Phần này sẽ lần lợt trình bày từng mô hình VPN kể trên.

4.2.1. Phân loại mạng VPN theo mô hình công việc

Có 2 giải pháp mạng riêng ảo dựa theo tính chất công việc mà một tổ chức cần phải cân nhắc lựa chọn:

Mạng VPN site to site:– – đợc triển khai cho các kết nối giữa các vùng khác nhau của một tập đoàn hay tổ chức. Nói cách khác, mạng ở một địa điểm này đợc kết nối với mạng ở một địa điểm khác thông qua VPN. Các thiết bị mạng nhận thực lẫn nhau và thiết lập kết nối VPN giữa 2 điểm. Sau đó, thiết bị đóng vai trò gateway, đảm bảo lu lợng đi qua là dành cho đúng site đó. Router hay firewall có hỗ trợ VPN, và bộ tập trung VPN dành riêng đều cung cấp chức năng này. VPN site – to – site có thể là một mạng intranet hoặc extranet. Mạng intranet chỉ thiết lập kết nối giữa các site của cùng một công ty, cho phép trao đổi thông tin trong nội bộ tổ chức. Do vậy, dịch vụ VPN cho giải pháp này phải có mức cách biệt và bảo mật cao, đòi hỏi chất lợng dịch vụ đảm bảo. VPN extranet dùng để kết nối giữa các công ty và đối tác kinh doanh của nó, ngời dùng truy nhập giữa các vị trí này đợc kiểm soát chặt chẽ hơn. Trao đổi thông tin kiểu này yêu cầu chất lợng dịch

vụ thấp hơn. Mạng Internet có thể đáp ứng đợc tiêu chí này, do đó ngày càng có nhiều mạng extranet đợc thiết lập dựa trên Internet.

VPN truy nhập từ xa: hay mạng riêng ảo quay số ( Virtual Private Dialup Network – VPDN) đợc triển khai cho những khách hàng riêng lẻ ở xa nh những ngời sử dụng di động truy cập vào mạng trung tâm qua máy tính cá nhân của họ. Trớc đây, các tổ chức phải hỗ trợ cho những khách hàng ở xa theo những hệ thống quay số riêng. Đây không phải là một giải pháp kinh tế, nhất là khi ngời gọi là theo đờng truyền quốc tế. Với VPDN, khách hàng/nhân viên ở xa có thể quay số đến một nhà cung cấp dịch vụ địa phơng và sau đó thiết lập một kênh kết nối tới trụ sở công ty chỉ với một máy tính cá nhân có kết nối Internet cho dù họ đang ở bất cứ đâu. VPDN chính là sự mở rộng của những mạng quay số truyền thống. Trong hệ thống này, phần mềm PC cung cấp một kết nối an toàn – gọi là đờng hầm, đến trụ sở tổ chức. Vì ngời sử dụng chỉ thực hiện cuộc gọi nội hạt nên chi phí giảm.

4.2.2. Phân loại mạng VPN theo mô hình triển khai

Hiện nay có 2 mô hình triển khai VPN đợc sử dụng rộng rãi:

4.2.2.1. Mô hình Overlay

Là mô hình mà các ISP cung cấp các kết nối điểm – tới – điểm giữa các vị trí khác nhau của khách hàng dựa trên một mạng lõi chung. Mô hình này phân tách rất rõ ràng trách nhiệm của khách hàng và nhà cung cấp. Nhà cung cấp dịch vụ chỉ cung cấp cho khách hàng một tập các đờng thuê riêng mô phỏng – gọi là VC (kênh ảo) để kết nối các vị trí khác nhau. Còn khách hàng tiến hành trao đổi thông tin bằng các thiết bị CPE qua các VC đợc cung cấp. Các thông tin định tuyến trong mạng khách hàng là trong suốt đối với ISP, nhà cung cấp không hề biết về cấu trúc đầu cuối của mạng khách hàng.

Hình 4.3: Mô hình VPN overlay

VPN này có thể thực hiện tại lớp 1 sử dụng kênh thuê riêng hoặc đờng quay số. Trong hệ thống này, ISP định ra các ống và tạo liên kết tầng vật lý giữa các vị trí khác nhau của công ty bởi ISDN, T1, E1, SONET, SDH và công ty chịu trách nhiệm triển khai các tầng cao hơn nh IPX, HDLC, IP.

Quá trình hình thành VPN overlay ở lớp 2 sử dụng giải pháp chuyển mạch WAN truyền thống. Trong hệ thống này, ISP chịu trách nhiệm thiết lập các kết nối ở tầng 2 giữa các vị trí khác nhau của công ty bằng công nghệ X.25, FR hoặc ATM, và công ty chịu trách nhiệm đối với tầng IP trở lên.

VPN overlay ở tầng 3 hình thành bằng các đờng hầm IP điểm - điểm. Đờng hầm IP là nơi mà đích có thể đợc tìm thấy nhanh chóng và trong suốt mà phía nguồn không cần phải biết các chi tiết cụ thể topo mạng. Nhờ đó mà ngời ta có thể tạo ra các mạng ảo. Đờng hầm cũng cho phép sử dụng các địa chỉ mạng riêng trên mạng công cộng mà không cần cơ chế phiên dịch địa chỉ NAT thông thờng. Các công nghệ hay đợc sử dụng ở lớp 3 là GRE và IPSec.

Mặc dù mô hình VPN overlay lớp 2 tơng đối dễ hiểu nhng lại có hạn chế sau:

 Nó chỉ phù hợp để cấu hình “ không dự phòng” kết nối một vài site trung tâm và nhiều site ở xa, việc triển khai cấu hình mạng lới đầy đủ (full – meshed) khiến cho việc quản lý rất khó.

 Việc cung cấp chính xác băng thông của các VC đòi hỏi phải am hiểu chi tiết về thông tin lu lợng site – to site, điều này thờng không dễ.

Các công nghệ GRE hoặc IPSec đợc triển khai ở lớp 3 cho VPN overlay có - u điểm là rất linh động trong triển khai nhng cũng có một số hạn chế sau:

 Lu lợng mạng tăng vì phải thêm phần mào đầu để mã hoá gói tin.

 Độ trễ trong mạng tăng do phải mã hoá và giải mã đến lớp 3.

 Nếu mạng trục của ISP không bảo đảm thì việc sử dụng công nghệ này rất khó khăn.

4.2.2.2. VPN ngang hàng (peer VPN)

VPN ngang hàng đa ra phơng pháp định tuyến đơn giản cho khách hàng. Cả mạng của ISP và của khách hàng đều sử dụng chung một giao thức mạng và tất cả lu lợng của khách hàng đều vận chuyển trong một mạng lõi của ISP.

Trong VPN ngang hàng, thiết bị PE là một router trao đổi thông tin định tuyến với router CPE của mạng khách hàng và đờng chuyển tiếp lớp 3 đợc thiết lập giữa các CE và PE ở mỗi phía.

Hình 4.4: Mô hình ngang hàng

Mô hình ngang hàng có một số u điểm so với mô hình overlay truyền thống:

 Định tuyến (theo quan điểm của phía khách hàng) trở nên cực kì đơn giản, vì router CPE của khách hàng chỉ trao đổi thông tin định tuyến với một hoặc một vài PE. Trong mô hình overlay, số router PE trao đổi với CPE có thể rất lớn.

 Định tuyến giữa các site của khách hàng luôn đợc tối u, vì nhà cung cấp có thể nhận biết đợc sơ đồ mạng của khách hàng, từ đó có thể định tuyến tối u giữa các site.

 Việc bổ sung một site mới đơn giản hơn vì ISP chỉ cần thay đổi cấu hình trên router PE đấu nối vào site mới. Trong mô hình overlay, nhà cung cấp phải cấu hình một tập các VC từ site mới thêm vào đến các site khác của mạng VPN.

4.2.3. Phân loại VPN theo công nghệ

Nhìn từ quan điểm công nghệ, VPN có thể phân chia tuỳ theo chúng hoạt động ở lớp 2 hay lớp 3.

• VPN lớp 2 cung cấp cho khách hàng các dịch vụ dựa trên các công nghệ sử dụng nh: Ethernet, ATM/FR VC hay leased – line. Giải pháp VPN lớp 2 t- ơng đối mềm dẻo đối với các giao thức lớp trên, nó có thể chấp nhận IPv4 hay IPv6 ở lớp 3. Tuy nhiên, nhợc điểm là yêu cầu tất cả các VPN site phải sử dụng thống nhất giao thức lớp 2, mà điều này không phải lúc nào cũng khả thi.

• VPN lớp 3 đợc thết kế để hoạt động trên phân lớp 3 của mô hình OSI, thờng sử dụng các giao thức nh GRE, IPSec, và mới nhất hiện nay là MPLS. VPN lớp 3 có u điểm hơn về phơng diện quản lý. Ví dụ: trong VPN lớp 2, khách hàng phải đảm nhiệm việc định tuyến IP giữa các site, trong khi đó, ở VPN lớp 3 việc này là của nhà cung cấp SP.

4.3. Kĩ thuật đờng hầm trong VPN

4.3.1. Khái niệm chung

Có thể nhận thấy rõ ràng rằng các mạng VPN truyền thống đều thực hiện thiết lập đờng hầm để trao đổi dữ liệu. Một đờng hầm đợc sử dụng để chuyển dữ liệu từ điểm này đến điểm kia qua hạ tầng liên mạng nh thể là chúng kết nối trực tiếp với nhau. Điều này có thể đạt đợc bằng cách bọc các khung vào gói và thêm một extra header cho gói đó. Nhờ thông tin trong extra header này mà các node trung gian chỉ việc chuyển tiếp dữ liệu trên đờng hầm mà không cần phân tích gói gốc.

Xét ví dụ minh hoạ trong hình dới đây, dữ liệu từ A gửi đến B thông qua đ- ờng hầm giữa X và Z. Node trung gian Z, không cần biết đến đích đến cuối cùng là B, mà chỉ việc forward dữ liệu đến đầu Z của đờng hầm.

Hình 4.5: Cơ chế đờng hầm Một số đặc tính của đờng hầm:

 Thứ nhất là phải bảo mật, khách hàng VPN cần đợc đảm bảo rằng dữ liệu của họ truyền trên mạng phải an toàn. Sẽ là không tốt nếu nh các tài liệu về chiến lợc kinh doanh của một công ty lại bị đối thủ cạnh tranh của họ lấy đ- ợc.

 Thứ hai là khả năng mở rộng, đó là số lợng đờng hầm phải cung cấp trên mạng lõi và lợng tài nguyên mạng mà các đờng hầm này tiêu thụ. Đặc biệt, một số công nghệ đờng hầm cho phép ghép kênh – ghép các dòng dữ liệu thành một luồng để truyền trên cùng một đờng hầm, và sau đó tách ra tại cuối đờng để đa đến đích.

Công nghệ đờng hầm có thể dựa trên các giao thức lập đờng hầm lớp 2 nh: PPTP, L2TP...hoặc các giao thức lập đờng hầm lớp 3 nh: GRE, IPSec...

Phần dới đây sẽ trình bày về một số giao thức kể trên.

4.3.2. Các giao thức đ ờng hầm

4.3.2.1. L2TP

L2TPv3(Layer 2 Tunnelling Protocol Version 3) đợc thiết kế ban đầu nhằm hợp nhất 2 giao thức truy nhập từ xa là PPTP (Point – to – Point Protocol) và L2F (Layer 2 Forwarding). Các giao thức này sử dụng trong các mạng quay số truyền thống và đợc phát triển để hỗ trợ thiết lập các đờng hầm cho các luồng thông tin lớp 2 qua một mạng lớp 3.

L2TP có cơ chế đánh địa chỉ riêng, chạy trên hạ tầng IP và kết nối các thuê bao với nhau. L2TP chỉ mang các khung PPP, cho nên có thể nói nó thật sự là công nghệ VPN lớp 2.

Xét một ví dụ cụ thể dới đây: các PE1 và PE2 đã kết nối với nhau thông qua mạng IP. L2TPv3 có thể cung cấp dịch vụ VPN lớp 2 giữa CE1 và CE2 dựa trên kết nối này.

Hình 4.6: Đờng hầm L2TP

Trên PE1, ở giao diện kết nối với CE1 sẽ đợc cấu hình là một bộ phận của đờng hầm L2TP, tơng tự nh vậy ở bên giao diện PE2 – CE2. Lu lợng từ CE1 đến CE2 sẽ đến giao diện S1/0, đợc đóng gói vào đờng hầm L2TP và chuyển tiếp đến PE2. PE2, khi nhận đợc gói, sẽ bóc gói và truyền trên S1/0 - đã đợc cấu hình là điểm cuối của đờng hầm. Các router trong mạng lõi IP chỉ chuyển tiếp gói này nh gói IP thông thờng. Phần dữ liệu chỉ đợc phân tích tại PE2.

Các cơ chế hoạt động của L2TP:

 Raw mode: các giao diện hỗ trợ chế độ này gồm: Serial, SONET, Ethernet.

 Ethernet

 Frame Relay

 ATM

4.3.2.2. GRE (Generic Routing Encapsulation)

GRE cho phép thực hiện đóng gói một giao thức này trong một giao thức khác, ứng dụng chủ yếu là IP trong IP. GRE cho phép ghép kênh dữ liệu. GRE có mức bảo mật không cao, nhng dễ hiểu và sử dụng.

4.3.2.3. IPSec

Hiện nay, hầu hết các mạng VPN truyền thống sử dụng cơ chế đờng hầm IPSec vì nó có nhiều điểm u việt hơn so với các giao thức khác. IPSec đợc phát triển xuất phát từ các yêu cầu về bảo mật dữ liệu trên VPN. Bản chất của IPSec là

một công nghệ mã hoá dữ liệu và tạo kết nối ảo, cho phép nâng cao tính bảo mật cho các kết nối trên mạng công cộng nh Internet.

IPSec cung cấp các dịch vụ đảm bảo an toàn cho lớp IP, đáp ứng đợc 3 yêu cầu về bảo mật, đó là: khả năng nhận thực, tính bảo mật và tính toàn vẹn dữ liệu.

Các dịch vụ an ninh trong IPSec đợc cung cấp bởi 3 công nghệ khoá mới, có thể loại bỏ các mối đe doạ đối với mạng IP:

 Giao thức nhận thực AH (Authentication Header): giúp các bên kiểm tra xem dữ liệu gốc có bị sửa đổi trong quá trình chuyển tiếp hay không và kiểm tra nguồn dữ liệu. Công nghệ này gắn vào mỗi gói dữ liệu trờng checksum cho phép kiểm tra số nhận dạng của ngời gửi và tính toàn vẹn của dữ liệu.

 Giao thức đóng gói an toàn cho IP (ESP – Encapsulating Security Payload): trong đó dữ liệu đợc mã hoá để đảm bảo không bị “nghe trộm” trong suốt quá trình truyền tin. Công nghệ này thực hiện việc giả ngẫu nhiên hoá dữ liệu ( có thể cả phần địa chỉ IP ) trong mỗi gói. Vì thế một kẻ nghe lén tại một nơi nào đó trên mạng dù có bắt đợc cũng sẽ không hiểu đợc nội dung gói tin.

Có 2 cách để đóng gói một gói IPSec. Cách thứ nhất, gọi là kiểu “đờng hầm”, mã hoá toàn bộ gói IP, kể cả phần header. Sau đó, một IP header mới sẽ đợc gắn vào cho gói đã mã hoá. Cách làm này sẽ làm tăng lu lợng tải trên mạng.

Hình 4.7: Gói IPSec kiểu đờng hầm

Để khắc phục, ngời ta đa ra cách thứ 2, gọi là kiểu “truyền tải”, sử dụng khi cần dùng IPSec để mã hoá các gói GRE.

Hình 4.8: Gói IPSec kiểu truyền tải

 Công nghệ thoả thuận giao thức (Protocol Negotiation) và trao đổi khoá Internet (IKE – Internet Key exchange) cho phép các bên thoả thuận các phơng pháp truyền thông an toàn. Đây là một thủ tục đàm phán linh hoạt cho phép ngời sử dụng đồng ý phơng pháp nhận thực, phơng pháp mã hoá, các khoá sẽ dùng để mã hoá và giải mã dữ liệu. Quá trình này đợc thực hiện trên một kênh điều khiển riêng biệt.

Mạng riêng ảo an toàn trên mạng IP:

Vì IPSec có thể tơng thích với các chuẩn IP nên chúng ta có thể sử dụng IPSec để xây dựng các mạng riêng ảo trên các mạng IP thông thờng, đảm bảo truyền dữ liệu một cách an toàn qua môi trờng liên mạng. Chỉ cần thiết bị ở biên mạng (kết nối vào Internet) có hỗ trợ IPSec, phần còn lại trong mạng riêng của bạn vẫn hoạt động nh cũ dựa trên nền IP. Sức mạnh của IPSec chính là cơ chế bảo mật của nó hoạt động ở mức mạng thấp. Giao thức IPSec cung cấp tất cả các chức năng cần thiết cho việc trao đổi thông tin an toàn: khả năng nhận thực, tính toàn vẹn, tính bảo mật và làm cho việc trao đổi khoá có thể thực hiện an toàn trong các mạng lớn.

4.4. Các cơ chế bảo mật của VPN

Vấn đề thiếu an toàn thông tin trên Internet đang là một vấn đề nổi cộm hiện nay. Luôn có một sự lo lắng rằng ai đó có thể biết đợc các thông tin cá nhân (nh số thẻ tín dụng ngân hàng) của chúng ta trên Internet.

Đối với các công ty thì còn nguy hại hơn. Khi xây dựng một mạng riêng trên nền Internet công cộng thì vấn đề đầu tiên phải quan tâm là thông tin cần phải đến đúng ngời cần nó một cách an toàn. Dữ liệu bị xoá hay bị ăn cắp sẽ gây ra tổn thất cho công ty. Chẳng hạn nh trờng hợp chiến lợc kinh doanh của công ty nếu bị

đối thủ cạnh tranh lấy đợc thì tác hại về kinh tế là vô cùng lớn. Do đó, trớc khi đa dữ liệu lên mạng, cần phải đảm bảo rằng VPN có khả năng bảo vệ dữ liệu.

Một phần của tài liệu CÔNG NGHỆ MPLS và ỨNG DỤNG MẠNG RIÊNG ảo VPN (Trang 65 - 104)

Tải bản đầy đủ (DOC)

(104 trang)
w