2.1 Khái niệm về VPN
Ngày nay, một công ty có trụ sở phân tán ở nhiều nơi. Để kết nối các máy tính tại các vị trí này, công ty đó cần có một mạng thông tin. Mạng đó là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng. Mạng đó là mạng riêng cũng với ý nghĩa là kế hoạch định tuyến và đánh địa chỉ trong mạng đó độc lập với việc định tuyến và đánh địa chỉ của các mạng khác. Mạng đó là một mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này có thể không dành riêng cho công ty đó mà có thể chia sẻ dùng chung với các công ty khác. Các phương tiện cần thiết để xây dựng mạng này được cung cấp bởi người thứ ba được gọi là nhà cung cấp dịch vụ VPN. Các công ty sử dụng mạng được gọi là các khách hàng VPN. Các công ty cung cấp dịch vụ VPN gọi là SP (services Provider).
VPN có thể được sử dụng để mở rộng phạm vi của một Intranet. Bởi vì, Intranet thường được sử dụng để trao đổi thông tin một cách độc quyển và ta không muốn những thông tin này được truyền bá trên Internet. Tuy nhiên trong nhiều trường hợp, các văn phòng công ty trên diện rộng có nhu cầu chia sẻ thông tin và những người sử dụng từ xa muốn truy cập vào Intranet thông qua Internet. VPN sẽ cho phép kết nối vào Intranet một cách an toàn và không lo ngại bị lộ thông tin. Có thể coi kết nối loại này như là Extranet. Điểm khác nhau giữa hai trường hợp Intranet và Extranet đó là câu hỏi ai là người đặt ra các chính sách của mạng VPN, trong trường hợp mạng Intranet thì đó là một công ty còn trong trường hợp mạng Extranet thì đó là một nhóm công ty.
Sử dụng ví dụ trên về cơ sở dữ liệu khách hàng, rất dễ hiểu là làm thế nào mà VPN có thể mở rộng khả năng ứng dụng của Intranet. Giả sử tất cả cá nhân viên bán hàng của công ty đang đi công tác hoặc là làm việc tại nhà. Họ có thể sử dụng Internet để truy cập vào các WebServer chứa những thông tin về khách hàng. VPN cung cấp kết nối đảm bảo an toàn giữa máy tính của nhân viên và WebServer chứa CSDL và mã hóa dữ liệu. VPN cho phép khả năng sử dụng linh hoạt đối với bất cứ dịch vụ mạng nào được sử dụng một cách an toàn thông qua Internet.
VPN là công nghệ cho phép kết nối các thành phần của một mạng riêng (private network) thông qua hạ tầng mạng công cộng (Internet). VPN hoạt động dựa trên kỹ thuật tunneling: gói tin trước khi được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trong một gói tin có thể chuyển đi được trên mạng công cộng. Gói tin được truyền đi đến đầu bên kia của kết nối VPN. Tại điểm đến bên kia của kết nối VPN, gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và được giải mã.
• Thế hệ VPN thứ nhất do AT&T phát triển có tên là SDN • Thế hệ thứ 2 là ISND và X25.
• Thế hệ thứ 3 là Frame relay và ATM. • Thế hệ thứ 4 là VPN trên nền mạng IP.
• Và thế hệ hiện nay là VPN trên nền mạng MPLS. 2.2 Chức năng và lợi ích của VPN.
2.2.1 Chức năng của mạng riêng ảo.
Tính xác thực
Thiết lập kết nối trong VPN cả hai phía của thiết bị đầu cuối phải xác thực lẫn nhau để khẳng định một điều là thông tin mình muốn trao đổi đúng với đối tượng mình mong muốn không phải là một người khác mà mình không mong muốn.
Tính Toàn vẹn
Khi truyền dữ liệu việc đảm bảo là dữ liệu không bị mất đi hoặc bị xáo trộn là một việc làm vô cùng quan trọng. Vì vậy VPN đã làm được điều đó một cách hoàn hảo.
Tính bảo mật
Việc mã hoá các dữ liệu trước khi đưa vào truyền trong mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, thì việc đánh cắp thông tin dữ liệu là vô cùng khó khăn đối với người khác.
2.2.2 Tiện ích của mạng riêng ảo.
VPN đem lại lợi ích thực sự và tức thời cho công ty và các doanh nghiệp trong công việc kinh doanh của mình. Có thể dùng VPN để đơn giản hoá việc truy cập đối với các nhân viên làm việc và người dùng lưu động, mở rộng mạng nội bộ đến từng văn phòng chi nhánh, thậm chí triển khai mạng mở rộng đến tận khách hàng và các đối tác chủ chốt và điều quan trọng là những công việc trên đều có chi phí thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích của VPN có thể được dẫn dưới đây.
Mặt kinh tế
Khi sử dụng mạng riêng ảo VPN các công ty có thể giảm chi phí được tới một cách tối đa trong việc đầu tư và vận hành chúng. Sử dụng VPN thì các công ty chỉ việc thuê các kênh riêng trên hạ tầng chung của các nhà cung cấp dịch vụ viễn thông không cần phải đầu tư thiết bị đầu cuối cũng như thiết bị truyền dẫn.
Các thiết bị truyền dẫn là tương đối đắt, nên việc giảm chí phí khi đầu tư khi sử dụng VPN là quá rõ ràng và thiết yếu. Giảm được các loại cước phí đường dài truy cập VPN cho các nhân viên di động và các nhân viên đi công tác xa công ty nhờ vào việc họ truy nhập vào mạng thông qua các điểm kết nối ở nơi mình cư trú, hạn chế gọi đường dài tới các modem tập trung.
Tính linh hoạt
Tính linh động ở đây không chỉ thể hiện trong quá trình vận hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng của người sử dụng. Người sử dụng
có thể sử dụng nhiều kết nối hay các đối tượng di chuyển do đặc thù công việc. Khách hàng của VPN qua mạng mở rộng này, cũng có quyền truy cập và khả năng như nhau đối với các dịch vụ trung tâm bao gồm. Cũng như các ứng dụng thiết yếu khác, khi truy cập chúng thông qua những phương tiện khác nhau như qua mạng cục bộ LAN, modem, modem cáp, đường dây thuê bao số v..v, mà không cần quan tâm đến những phần phức tạp bên dưới.
Mở rộng và phát triển
Như chúng ta đã biết mạng riêng ảo VPN được phát triển và hoạt động dựa trên mạng công cộng. Ngay nay mạng Internet có mặt khắp nơi nên việc đó tao cho việc xây dựng và phát triển mạng VPN ngày càng đơn giản. Việc kết nối giữa các chi nhánh ở xa với công ty là quá đơn giản thông qua đường dây điện thoại hoặc qua đường dây số DSL. Việc nâng cấp cũng qua đơn giản khi băng thông đường truyền lớn. Và việc gỡ bỏ VPN cũng quá đơn giản khi không cần thiết.
2.2.3 Nhược điểm và những giải pháp khắc phục.
Sự tin cậy và thực thi
Mạng riêng ảo sử dụng các phương pháp mã hoá để bảo mật dữ liệu, và sử dụng một số hàm mật mã phức tạp nên việc đó đã làm cho dụng lượng của máy chủ là khá nặng và việc ấy rất ảnh hưởng đến việc xử lý tốc độ của máy. Khi dữ liệu được truyền tải trong VPN quá lớn thì việc tắc nghẽn và có thể mất thông tin dữ liệu là chuyện thường xẩy ra. Việc thiết lập các dịch vụ proxy và một số dịch vụ khác để có thể hạn chế và điều chỉnh được lưu lượng truyền tải trong mạng một các hợp lý nhất.
Sự rủi ro về an ninh
Như chúng ta đã biết thì mạng riêng ảo là dùng chung đường truyền của mạng công cộng nên có thể bị tấn công và điều đó như là những điều được cảnh báo trước. Nên các nhà cung cấp dịch đã đưa ra nhưng giải pháp an toàn cho việc dùng mạng riêng ảo, nhưng vấn đề an toàn không bao giờ là tuyệt đối. Vấn đề càng đưa các giải pháp bảo mật vào bao nhiều thì nó cũng ảnh hưởng đến giá thành của dịch vụ, và điều đó là một điều không mong muốn từ nhà cung cấp dịch vụ cũng như người sử dụng dịch vụ. Nên việc sử nhưng giải pháp trong VPN cũng phải được cân nhắc làm sao tối ưu nhất.
2.3 Mô hình VPN.
VPN được giới thiệu như là một một mạng riêng mà sử dụng trên hạ tầng chung. Một mạng riêng yêu cầu tất cả các đầu cuối khách hàng có thể kết nối với nhau và hoàn toàn riêng biệt đối với các mạng VPN khác. Mạng VPN thường là một công ty và có một vài điểm kết cuối kết nối qua hạ tầng của nhà cung cấp dịch vụ chung.
Dựa vào sự tham gia của mình trong việc định tuyến cho khách hàng Nhà cung cấp dịch vụ có thể triển khai hai mô hình VPN chính để cung cấp dịch vụ VPN cho khách hàng.
• Mô hình Overlay VPN • Mô hình Peer to Peer VPN
2.3.1 Mô hình Overlay VPN (VPN chồng lấn).
Trong mô hình overlay VPN, nhà cung cấp dịch vụ cung cấp một kết nối điểm – điểm hoặc kênh ảo từ bên này sang bên kia mạng của họ giữa các bộ định tuyến của khách hàng. Như vậy, mô hình Overlay VPN cung cấp cho khách hàng các mạng riêng, nhà cung cấp không thể tham gia vào việc định tuyến khách hàng. Các nhà cung cấp dịch vụ chỉ vận chuyển dữ liệu qua các kết nối point-to-point ảo. Nếu mạch ảo là cố định, sẵn sàng cho khách hàng sử dụng mọi lúc thì được gọi là mạch ảo cố định PVC. Nếu mạch ảo được thiết lập theo yêu cầu (on-demand) thì được gọi là mạch ảo chuyển đổi SVC. Hạn chế chính của mô hình Overlay là các mạch ảo của các site khách hàng kết nối dạng full mesh (ngoại trừ triển khai dạng hub-and-spoke hay partial hub-andspoke). Nếu có N site khách hàng thì tổng số lượng mạch ảo cần thiết cho việc tối ưu định tuyến là N(N-1)/2.
Hình 2.1 : Mô hình VPN chồng lấn
Ban đầu Overlay VPN được thực thi bởi SP để cung cấp các kết nối lớp 1 (physical layer) như Ghép kênh phân chia theo thời gian (TDM), E1, E3, SONET, và đường kết nối SDH, hay mạch chuyển vận lớp 2 (dữ liệu dạng frame hoặc cell) giữa các site khách hàng bằng cách sử dụng các thiết bị Frame Relay hay ATM switch làm PE (ví dụ lớp 2 là các kênh ảo được tạo bởi X.25, ATM hoặc Frame Relay). Do đó nhà cung cấp dịch vụ không thể nhận biết được việc định tuyến ở phía khách hàng.
Overlay VPN còn thực thi các dịch vụ qua layer 3 với các giao thức tạo đường hầm như GRE, IPSec… Tuy nhiên, dù trong trường hợp nào thì mạng của nhà cung cấp vẫn trong suốt với khách hàng, và các giao thức định tuyến chạy trực tiếp giữa các router của khách hàng.
Một số ưu điểm của VPN chồng lấn
• Đó là mô hình dễ thực hiện, nhìn theo quan điểm của người dùng và của cả nhà cung cấp dịch vụ.
• Nhà cung cấp dịch vụ không tham gia vào định tuyến người dùng trong mạng VPN chồng lấn. Nhiệm vụ của họ là vận chuyển dữ liệu điểm - điểm giữa các site của người dùng, việc đánh dấu điểm tham chiếu giữa nhà cung cấp dịch vụ và người dùng sẽ quản lý dễ dàng hơn.
Hạn chế của mô hình VPN chồng lấn
• VPN thích hợp trong các mạng không cần độ dự phòng với ít site trung tâm và nhiều site ở đầu xa, nhưng lại khó quản lý nếu như cần nhiều cấu hình nút khác nhau.
• Việc cung cấp càng nhiều mạch ảo đòi hỏi phải có sự hiểu biết sâu sắc về loại lưu lượng giữa hai site với nhau mà điều này thường không thật sự thích hợp.
• Khi thực hiện mô hình này với các công nghệ lớp 2 thì chỉ tạo ra một lớp mới không cần thiết đối với các nhà cung cấp hầu hết chỉ dựa trên IP, dẫn đến sự phải có sự đầu tư lớn trong việc này.
2.3.2 Mô hình VPN ngang cấp (Peer to peer VPN).
Mô hình ngang cấp (peer-to-peer) được phát triển để khắc phục nhược điểm của mô hình Overlay và cung cấp cho khách hàng cơ chế vận chuyển tối ưu qua SP backbone. Trong mô hình này, những bộ định tuyến của nhà cung cấp dịch vụ vận chuyển dữ liệu của khách hàng qua mạng, nhưng nó cũng tham gia vào việc định tuyến của khách hàng. Nói một cách khác, những bộ định tuyến của nhà cung cấp dịch vụ sẽ ngang hàng với bộ định tuyến của khách hàng tại Lớp 3. Trong mô hình peer-to- peer, thông tin định tuyến được trao đổi giữa các router khách hàng và các router của nhà cung cấp dịch vụ, dữ liệu của khách hàng được vận chuyển qua mạng lõi của nhà cung cấp. Thông tin định tuyến của khách hàng được mang giữa các router trong mạng của nhà cung cấp (P và PE), và mạng khách hàng (các CE router). Mô hình này không yêu cầu tạo ra mạch ảo. Quan sát hình trên ta thấy, các CE router trao đổi tuyến với các router PE trong SP domain. Thông tin định tuyến của khách hàng được quảng bá qua SP backbone giữa các PE và P và xác định được đường đi tối ưu từ một site khách hàng đến một site khác. Việc phát hiện các thông tin định tuyến riêng của khác hàng
đạt được bằng cách thực hiện lọc gói tại các router kết nối với mạng khách hàng. Địa chỉ IP của khách hàng do nhà cung cấp kiểm soát. Tiến trình này xem như là thực thi các PE peer-topeer chia sẻ (shared PE peer-to-peer).
Hình 2.2 : Mô hình VPN ngang hàng
Trước khi MPLS ra đời, mô hình peer – to – peer VPN có thể thiết lập bằng cách tạo ra định tuyến ngang cấp IP giữa bộ định tuyến của khách hàng và của nhà cung cấp. Mô hình VPN cũng yêu cầu tính cá nhân (riêng biệt) và cách ly giữa các khách hàng khác nhau. Ta cũng có thể thiết lập bằng cách cấu hình bộ lọc gói (danh sách truy nhập) để điều khiển dữ liệu tới và đi từ bộ định tuyến của khách hàng. Một cách khác để thực hiện được định hình thức cá nhân là cấu hình những bộ lọc định tuyến để thông báo định tuyến hoặc dừng định tuyến từ việc thông báo tới bộ định tuyến của khách hàng. Hoặc ta có thể thực hiện tất cả các phương thức trên cùng một lúc.
Trước khi MPLS trở nên phổ biến, mô hình trùng lặp overlay VPN đã được triển khai nhiều hơn mô hình peer – to – peer VPN. Mô hình peer – to – peer VPN yêu cầu nhiều từ phía nhà cung cấp bởi vì khi thêm một khách hàng yêu cầu rất nhiều sự thay đổi cấu hình tại rất nhiều site. MPLS VPN là một ứng dụng của MPLS mà nó tạo ra mô hình peer – to – peer VPN dễ dàng hơn để thực hiện. Bây giờ việc thêm vào hoặc bỏ ra một điểm cuối khách hàng dễ dàng hơn trong việc cấu hình và do đó yêu cầu ít thời gian và sự cố gắng hơn. Với MPLS VPN, một bộ định tuyến khách hàng (được gọi là bộ định tuyến khách hàng biên - CE) ngang cấp với Lớp IP với ít nhất một bộ định tuyến của nhà cung cấp dịch vụ (được gọi là bộ định tuyến nhà cung cấp biên - PE).
Những nhược điểm của mô hình peer – to – peer VPN so với mô hình overlay VPN.:
• Khách hàng phải chia sẻ trách nhiệm định tuyến với nhà cung cấp dịch vụ. • Yêu cầu phải có thêm thiết bị biên của nhà cung cấp.
Nhược điểm đầu tiên là khách hàng phải có một định tuyến ngang hàng với nhà cung cấp dịch vụ. Khách hàng không thể kiểm soát (điều khiển) mạng end to end trên lớp 3 và theo định tuyến IP, như với mô hình overlay. Nhược điểm thứ hai là của nhà cung cấp dịch vụ. Gánh nặng của nhà cung cấp dịch vụ chính là việc phải trang bị thêm thiết bị biên – bộ định tuyến PE. Nhà cung cấp dịch vụ phải có trách nhiệm và định tuyến hội tụ của mạng khách hàng bởi vì các bộ định tuyến PE phải có khả năng mang tất cả bộ định tuyến của nhiều khách hàng trong khi cung cấp định tuyến hội tụ kịp thời.
2.4 Phân loại VPN.