BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC GIAO THÔNG VẬN TẢI - CƠ SỞ II
KHOA ĐIỆN- ĐIỆN TỬ
a ³³³ b
ĐỀ TÀI NGHIÊN CỨU KHOA HỌC
SINH VIÊN
“Nghiên cứu đánh giá hiệu
quả sử dụng của các loại
mạng riêng ảo”
Giáo viên hướng dẫn : Th.s Võ Trường Sơn
Nhóm sinh viên thực hiện : Nguyễn Hoàng Minh Thắng
Võ Ngọc Hân
Vũ Văn Trực
Bùi Thọ Trường
Lớp : Kỹ Thuật Viễn thông-khóa 44
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử
70 trang |
Chia sẻ: huyen82 | Lượt xem: 2402 | Lượt tải: 2
Tóm tắt tài liệu Nghiên cứu đánh giá hiệu quả sử dụng của các loại mạng riêng ảo, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang ii
Thành phố Hồ Chí Minh
Tháng 5/2008
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang i
MỤC LỤC
MỤC LỤC .................................................................................................................. i
LỜI MỞ ĐẦU ........................................................................................................... 1
Chương 1 Khái quát về VPN .................................................................................... 2
1.1 Sự phát triển của các loại VPN ...........................................................................2
1.2 Khái niệm mạng riêng ảo. ...................................................................................3
1.3 Các thành phần cơ bản của VPN .........................................................................4
1.3.1 Máy chủ VPN. .............................................................................................4
1.3.2 Máy khách VPN. ..........................................................................................5
1.3.3 Bộ định tuyến VPN. .....................................................................................5
1.3.4 Bộ tập trung VPN. ........................................................................................7
1.3.5 Cổng nối VPN. .............................................................................................7
1.3.6 Tường lửa ....................................................................................................7
1.4 Các giao thức xây dựng IP-VPN ....................................................................... 10
1.4.1 IP Security ................................................................................................. 10
1.4.2 Giao thức đường hầm điểm-điểm PPTP ..................................................... 13
1.4.3 Giao thức đường hầm lớp 2 L2TP .............................................................. 16
Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng riêng ảo .................... 23
2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN ........................... 23
2.2 Ưu điểm và khuyết điểm của VPN .................................................................... 24
2.2.1 Ưu điểm: .................................................................................................... 24
2.2.2 Khuyết điểm: ............................................................................................. 25
Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN ............................................ 26
3.1 Đánh giá các loại VPN phân theo chức năng kết nối ......................................... 26
3.1.1 VPN truy cập từ xa:.................................................................................... 26
3.1.2 Intranet VPN: ............................................................................................. 28
3.1.3 Extraner VPN:............................................................................................ 30
3.2 Đánh giá các loại VPN phụ thuộc vào sự thực thi ............................................. 32
3.2.1 VPN phụ thuộc........................................................................................... 32
3.2.2 VPN độc lập ............................................................................................... 33
3.2.3 VPN hỗn hợp ............................................................................................. 33
3.3 Đánh giá các loại VPN dựa trên độ an tồn ....................................................... 35
3.3.1 VPN router tới router ................................................................................. 35
3.3.2 VPN tường lửa tới tường lửa ...................................................................... 37
3.3.3 VPN được khởi tạo bởi khách hàng : .......................................................... 39
3.3.4 VPN trực tiếp ............................................................................................. 40
3.4 Đánh giá VPN dựa theo lớp .............................................................................. 41
3.4.1 VPN lớp liên kết ........................................................................................ 41
3.4.2 VPN lớp mạng ........................................................................................... 43
3.5 Đánh giá các loại VPN dựa trên qui mơ mạng .................................................. 44
3.5.1 VPN cĩ quy mơ nhỏ ................................................................................... 44
3.5.2 VPN cĩ quy mơ nhỏ tới trung bình ............................................................. 44
3.5.3 VPN cĩ quy mơ trung bình ......................................................................... 45
3.5.4 VPN cĩ quy mơ trung bình đến lớn. ........................................................... 46
3.5.5 VPN cĩ quy mơ rất lớn............................................................................... 46
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang ii
3.6 Đánh giá hiệu quả của VPN - MPLS ................................................................ 47
3.6.1 Tổng quan về VPN - MPLS ...................................................................... 47
3.6.2 Nhược điểm của VPN truyền thống. ........................................................... 48
3.6.3 Ưu điểm của MPLS VPN. .......................................................................... 51
3.6.4 Đánh giá hiệu quả của VPN MPLS ............................................................ 53
3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số nhà cung cấp dịch
vụ tại Việt Nam ...................................................................................................... 55
3.7.1 Leased lines ............................................................................................... 55
3.7.2 Frame Relay ............................................................................................... 56
3.7.3 VPN ........................................................................................................... 56
3.7.4 Dịch vụ MegaWAN ................................................................................... 58
3.7.5 Đánh giá chung .......................................................................................... 61
KẾT LUẬN ............................................................................................................. 62
THUẬT NGỮ VIẾT TẮT....................................................................................... 63
TÀI LIỆU THAM KHẢO ...................................................................................... 65
Mục lục hình:
Hình 1-1 : Mơ hình VPN ..............................................................................................3
Hình 1-2 : Các thành phần cơ bản của VPN .................................................................4
Hình 1-3: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý AH ................................... 11
Hình 1-4 : Khuơn dạng gĩi tin Ipv6 trước và sau khi xử lí AH ................................... 12
Hình 1-5: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP .................................. 12
Hình 1-6: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP .................................. 13
Hình 1-7 : Kiến trúc của PPTP ................................................................................... 14
Hình 1-8 : Đĩng gĩi PPTP/GRE ................................................................................ 14
Hình 1-9 : Cấu trúc gĩi dữ liệu trong đường hầm PPTP. ........................................... 15
Hình 1-10 : Đường hầm L2TP ................................................................................... 17
Hình 1-11 : Quá trình tạo đường hầm L2TP ............................................................... 19
Hình 1-12 : Quá trình đĩng gĩi dữ liệu trong đường hầm L2TP ................................. 20
Hình 1-13 : Quá trình mở gĩi dữ liệu trong đường hầm L2TP .................................... 21
Hình 3-1: Phương thức truy cập từ xa truyền thống .................................................... 26
Hình 3-2: VPN truy nhập từ xa .................................................................................. 27
Hình 3-3 : Mơ hình Intranet sử dụng mạng trục WAN ............................................... 28
Hình 3-4 : Mơ hình Intranet xây dựng dựa trên VPN.................................................. 29
Hình 3-5 : Mơ hình mạng Extranet truyền thống ........................................................ 30
Hình 3-6 : Mơ hình Extranet xây dựng dựa trên VPN ................................................ 31
Hình 3-7 : Cấu trúc VPN phụ thuộc ........................................................................... 32
Hình 3-8 : Cấu trúc VPN độc lập ............................................................................... 33
Hình 3-9 : VPN hỗn hợp, cĩ sự tham gia điều khiển của người dùng và nhà cung cấp
dịch vụ ................................................................................................................ 34
Hình 3-10 : Cấu trúc VPN hỗn hợp nhưng cĩ sự điều khiển của nhiều nhà cung cấp .. 34
Hình 3-11 : Đường hầm đơn giao thức theo yêu cầu router tới router ......................... 35
Hình 3-12 : Đường hầm đa giao thức theo yêu cầu router tới router ........................... 36
Hình 3-13 : Các phiên VPN mã hĩa theo yêu cầu ...................................................... 37
Hình 3-14 : Đường hầm đơn giao thức theo yêu cầu tường lửa tới tường lửa ............. 38
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang iii
Hình 3-15 : Đường hầm đa giao thức theo yêu cầu tường lửa tới tường lửa ................ 38
Hình 3-16 : Kiến trúc VPN khởi tạo từ khách hàng tới tường lửa hoặc router ............ 39
Hình 3-17 : Kiến trúc VPN khởi tạo từ khách hàng tới máy chủ ................................. 40
Hình 3-18 : Kiến trúc VPN trực tiếp........................................................................... 40
Hình 3-19: Kiến trúc MPLS VPN lớp liên kết ............................................................ 43
Hình 3-20 : Kiến trúc VPN ngang hàng...................................................................... 43
Hình 3-21 : Mơ hình mạng MPLS VPN đơn giản ....................................................... 48
Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN ........................ 49
Hình 3-23 : Mạng hình sao ......................................................................................... 50
Hình 3-24 : mạng mắt lưới ......................................................................................... 50
Hình 3-25 : Mơ hình mạng MPLS .............................................................................. 52
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 1
LỜI MỞ ĐẦU
Cùng với xu thế tồn cầu hĩa, sự mở rộng giao lưu hợp tác quốc tế ngày càng
tăng, quan hệ hợp tác kinh doanh khơng chỉ dừng lại trong phạm vi một huyện, một
tỉnh, một nước mà cịn mở rộng ra tồn thế giới. Một cơng ty cĩ thể cĩ chi nhánh, cĩ
các đối tác kinh doanh ở nhiều quốc gia và giữa họ luơn cĩ nhu cầu trao đổi thơng tin
với nhau. Để bảo đảm bí mật các thơng tin được trao đổi thì theo cách truyền thống
người ta dùng các kênh thuê riêng, nhưng nhược điểm là nĩ đắt tiền, gây lãng phí tài
nguyên khi dữ liêu trao đổi khơng nhiều và khơng thường xuyên. Vì thế người ta đã
nghiên cứu ra những cơng nghệ khác vẫn cĩ thể đáp ứng được nhu cầu trao đổi thơng
tin như thế nhưng đỡ tốn kém và thuận tiện hơn, đĩ là giải pháp mạng riêng ảo.
Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với cơng
nghệ luơn được cải tiến để an tồn hơn. Vì thế, chúng em đã chọn đề tài “nghiên cứu
đánh giá hiệu quả sử dụng của các loại mạng riêng ảo”. Nội dung đề tài gồm hai phần
chính là nghiên cứu khái quát về mạng riêng ảo và hiệu quả ứng dụng của nĩ.
Với khả năng và kiến thức cịn hạn chế, đề tài khơng tránh khỏi thiếu sĩt, chúng
em mong nhận được sự gĩp ý sửa chữa của thầy cơ và các bạn.
Chúng em xin chân thành cảm ơn thầy Võ Trường Sơn cùng các thầy bộ mơn
Điện tử - Viễn Thơng đã giúp đỡ chúng em hồn thành đề tài này.
Nhĩm sinh viên thực hiện đề tài.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 2
Chương 1 Khái quát về VPN
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chĩng mặt trên
tồn thế giới cả về số lượng và về kĩ thuật. Và sự phát triển đĩ khơng cĩ dấu hiệu sẽ
dừng lại. Sự phát triển khơng chỉ đơn giản là số lượng lớn thành viên mới kết nối vào
hệ thống Internet mỗi giờ mà cịn là sự xâm nhập của nĩ vào các khía cạnh cuộc sống
hiện đại, vào các hoạt động thương mại với quy mơ lớn nhỏ khác nhau.
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và
dịch vụ bằng các website của mình. Cùng với thời gian, nĩ sẽ phát triển thành thương
mại điện tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng
internet.
Cùng với sự phát triển đĩ thì các vấn đề về bảo mật, bảo vệ các nguồn thơng tin
quan trọng được lưu trên hệ thống được coi trọng hơn. Hơn nữa, cùng với sự phát triển
tồn cầu hĩa, chi phí bổ sung cho thơng tin liên lạc, truyền tải dữ liệu giữa các chi
nhánh trên khắp nơi tăng cao. Người ta thấy rằng cĩ thể giảm chi phí này bằng cách sử
dụng mạng internet, từ đĩ cĩ thể tăng lợi nhuận của tổ chức.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh thế của việc truyền tải dữ liệu
quan mạng trung gian cơng cơng khơng an tồn như Internet. Để giải quyết vấn đề
này, một giải pháp đưa ra là mạng riêng ảo - VPN. Chính điều này là động lực cho sự
phát triển mạnh mẽ của VPN như ngày nay.
1.1 Sự phát triển của các loại VPN
VPN khơng phải là kĩ thuật mới. Mơ hình VPNs đã phát triển được khoảng trên
20 năm và trải qua một số thế hệ để trở thành như hiện nay.
Mơ hình VPN đầu tiên được đề xuất bởi AT&T cuối những năm 80 và được
biết đến với tên Software Defined Networks (SDNs). SDNs là mạng WANs, các kết
nối dựa trên cơ sở dữ liệu mà được phân loại mỗi khi cĩ kết nối cục bộ hay bên ngồi.
Dựa trên thơng tin này, gĩi dữ liệu được định tuyến đường đi đến đích thơng qua hệ
thống chuyển mạch chia sẻ cơng cộng.
Thế hệ thứ hai của VPN đến từ sự xuất hiện của X.25 và kĩ thuật Integrated
Services Digital Network (ISDN) trong đầu những năm 90. Hai kĩ thuật này cho phép
truyền dữ liệu gĩi qua mạng cơng cộng phổ biến với tốc độ nhanh. Và giao thức X.25
và ISDN được xem là nguồn gốc của giao thức VPN. Tuy nhiên do hạn chế về tốc độ
truyền tải thơng tin để đáp ứng các nhu cầu càng tăng của con người nên thời gian tồn
tại của nĩ khá ngắn.
Sau thế hệ thứ 2, VPN phát triển chậm cho đến khi sự xuất hiện của cell-based
Frame Relay (FR) và kĩ thuật Asynchronous Transfer Mode (ATM). Thế hệ thứ 3 của
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 3
VPN dựa trên cơ sở kĩ thuật ATM và FR. Hai kĩ thuật này dựa trên mơ hình chuyển
mạch ảo (virtual circuit switching). Trong đĩ các gĩi tin khơng chứa dữ liệu nguồn hay
địa chỉ gửi đến mà thay vào đĩ là chúng mang các con trỏ đến mạch ảo nơi mà nguồn
và điểm đến được xác định. Với kĩ thuật này thì tốc độ truyền dữ liệu được cải thiện
(160 Mbps hoặc hơn) so với trước đĩ là SDN, X.25 hay ISDN.
Với sự phát triển của thương mại điện tử (e-commerce) giữa thập niên 90,
người sử dụng và các tổ chức muốn một giải pháp cĩ cấu hình dễ dàng, cĩ khả năng
quản lý, truy cập tồn cầu và cĩ tính bảo mật cao hơn. Thế hệ VPN hiện tại đã đáp ứng
được các yêu cầu đề ra, bằng cách sử dụng kỹ thuật “đường hầm” (tunneling
technology). Kĩ thuật này dựa trên giao thức gĩi dữ liệu truyền trên một tuyến xác định
gọi là tunneling, như IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP),
hay Layer 2 Tunneling Protocol (L2TP). Tuyến đường đi xác định bởi thơng tin IP. Vì
dữ liệu được tạo bởi nhiều dạng khác nhau nên “đường hầm” phải cĩ thể hỗ trợ nhiều
giao thức truyền tải khác nhau bao gồm IP, ISDN, FR, và ATM
1.2 Khái niệm mạng riêng ảo.
Mạng riêng ảo (VPN- Virtual Private Network) là mạng kết nối hai hay nhiều
mạng riêng thơng qua mạng cơng cộng (Internet) bằng cách sử dụng các đường hầm
(tunneling) để đảm bảo sự riêng tư và tồn vẹn dữ liệu. Thay vì dùng kết nối thực phức
tạp, đắt tiền như các kênh thuê riêng (leased line), VPN tạo ra các liên kết ảo thơng
qua mạng cơng cộng để kết nối các mạng riêng với nhau mà vẫn đảm bảo các yêu cầu
bảo mật, khả năng truyền tải thơng tin và độ tin cậy của mạng với chi phí thấp.
Hình 1-1 : Mơ hình VPN
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 4
1.3 Các thành phần cơ bản của VPN
User
CSU/DSU
Bộ định
tuyến
Tường
lửa
Máy chủ
VPN
Máy chủ điều khiển truy
nhập và chứng thực
User
CSU/DSU
Bộ định
tuyến
Tường
lửa
Máy chủ
VPN
Máy chủ điều khiển truy
nhập và chứng thực
Mạng Internet
Người dùng truy
cập từ xa
Văn phịng từ xa
Văn phịng trung tâm
Hình 1-2 : Các thành phần cơ bản của VPN
1.3.1 Máy chủ VPN.
Máy chủ VPN (VPN server) là thiết bị mạng dùng để chạy phần mềm máy chủ,
máy chủ cĩ thể là máy tính tốc độ xử lý cao, dung lượng lớn và được cài đặt phần
mềm máy chủ. Nhiệm vụ của máy chủ là cung cấp dịch vụ cho máy khách và thực
hiện quá trình bảo mật cho mạng, máy chủ phải cĩ tính sẵn sàng và độ tin cậy cao, cĩ
khả năng phục vụ các yêu cầu kết nối tại mọi thời điểm.
Ø Chức năng của máy chủ:
- Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi
cĩ nhiều yêu cầu kết nối đồng thời từ các máy khách.
- Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho
phép người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất
hợp pháp.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 5
- Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của
đường hầm là máy khách, máy chủ cĩ thể thực hiện việc khởi tạo đường hầm nếu sử
dụng đường hầm bắt buộc.
- Mật mã hố dữ liệu truyền đi nhằm bảo mật thơng tin khi truyền trên mạng
cơng cộng.
- Lựa chọn các thơng số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người
dùng...
- Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách.
- Máy chủ VPN cĩ thể kiêm nhiệm luơn chức năng của một router hay một
gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách). Cịn khi mạng lớn, vì
máy chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của
router hay gateway thì máy chủ sẽ chạy chậm hơn.
1.3.2 Máy khách VPN.
Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các
máy tính nằm trong cùng một mạng cục bộ của một văn phịng cơng ty) hoặc thiết bị ở
xa (người dùng di động), nĩ khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận
và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đĩ máy chủ và máy
khách mới truyền thơng với nhau. Máy khách cĩ thể là một máy hoạt động dựa trên
phần mềm hoặc là một thiết bị phần cứng chuyên dụng.
Đặc trưng của một VPN client:
- Những người làm việc ở xa văn phịng trung tâm của cơng ty cĩ thể thơng qua
mạng cơng cộng để truy nhập vào mạng cơng ty, rất thuận tiện khi nhân viên làm việc
tại nhà.
- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của
cơng ty và trong mạng mở rộng.
- Các nhà quản trị mạng cĩ thể thơng qua mạng cơng cộng để kết nối với những
nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa
chữa khắc phục sự cố cho các người dùng ở xa.
1.3.3 Bộ định tuyến VPN.
Bộ định tuyến (router) cĩ vai trị tạo ra kết nối với các nút ở đầu xa. Chức năng
chính của bộ định tuyến là định đường đi cho gĩi dữ liệu qua mạng, vì trong mạng
chuyển mạch gĩi để đi tới một nút cĩ rất nhiều đường nên nhiệm vụ của bộ định tuyến
là tìm đường cho dữ liệu đến đích một cách nhanh nhất. Chức năng chính của bộ định
tuyến VPN cũng như bộ định tuyến thơng thường, ngồi ra nĩ cịn cung cấp thêm các
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 6
chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) trên
đường truyền. Do đĩ bộ định tuyến thơng thường cũng cĩ thể dùng làm bộ định tuyến
VPN nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng dịch vụ, khi xây
dựng mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng cho VPN.
Hiện nay người ta cĩ thể nâng cấp các router thơng thường thành router VPN
bằng cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một ít
thời gian để cấu hình, cài đăt và kiểm ta lỗi. Điều này giúp tận dụng được các router
cũ, từ đĩ gĩp phần giảm chi phí khi xây dựng VPN.
Thơng thường nếu khơng sử dụng tường lửa (firewall) thì bộ định tuyến là điểm
cuối của đường hầm VPN. Máy chủ VPN cũng cĩ khả năng đảm nhiệm vai trị của
router VPN. Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định
tuyến, cịn những mạng lớn vì máy chủ phải thực hiện nhiều cơng việc, mạng phải đáp
ứng số lượng lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng.
Người ta cĩ thể sử dụng bộ định tuyến kèm chức năng lọc gĩi. Tuy nhiên, lọc
gĩi khơng đủ để bảo mật đối với nhiều dạng tấn cơng cĩ thể xảy ra trên mạng, đây là
một trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau. Trong phạm
vi của VPN, bộ định tuyến hiện đang được ưa chuơng nhất là các bộ định tuyến mã
hĩa (encryption router).
Ø Những yêu cầu đối với bộ định tuyến:
- Bộ định tuyến bao gồm cả việc mã hĩa và giải mã lưu lượng đối với những kết
nối mạng riêng biệt.
- Phải hỗ trợ những giải thuật mã hĩa IPSec mặc định như DES, CBC, HMAC-
MD5, HMAC-SHA-1…
- Hỗ trợ chiều dài khĩa mã tối ưu nhất đối với yêu cầu bảo mật của mạng.
- Hạn chế việc truy cập đến các khĩa.
- Hỗ trợ việc tái định khĩa một cách tự động theo chu kỳ hoặc mỗi khi cĩ một
kết nối mới.
- Hỗ trợ cơ chế khử phát lại (anti-replay).
- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với
những việc lặp đi lặp lại những hoạt động khơng được phép.
- Hỗ trợ cả hai chế độ transport và tunnel của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gĩi tại
lớp mạng trong mơ hình OSI, khơng dùng để xác thực người dùng. Do đĩ, cần phải cĩ
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 7
thêm một máy chủ xác thực cho bộ định tuyến trong việc tao ra một VPN cĩ tính bảo
mật.
1.3.4 Bộ tập trung VPN.
Bộ tập trung VPN (VPN concentrator) cĩ chức năng giống như hub (máy chủ
truy nhập) trong LAN truyền thống, nĩ dùng để thiết lập một VPN truy nhập từ xa cĩ
kích thước nhỏ.
Nĩ giúp tăng dung lượng và cơng suất của hệ thống, đồng thời cũng cung cấp
khả năng xác thực và bảo mật cao.
1.3.5 Cổng nối VPN.
Cổng nối IP (IP gateway) là thiết bị chuyển các giao thức khơng phải là giao
thức IP sang giao thức IP và ngược lại. Nhờ đĩ mạng cục bộ cĩ khả năng kết nối với
mạng Internet và thực hiện các giao dịch dưa tên nền IP. VPN gateway cĩ thể là thiết
bị phần cứng chuyên dụng hoặc là giải pháp dựa trên phần mềm. Nếu là thiết bị phần
cứng nĩ sẽ được đặt ở giữa mạng cục bộ với mạng bên ngồi, cịn nếu là giải pháp
phần mềm nĩ được cài trên máy chủ.
Cổng nối VPN là các cổng nối bảo mật (Security gateway) được dặt giữa mạng
riêng và mạng cơng cộng nhằm ngăn chặn sự xâm nhập bất hợp pháp từ ngồi vào
mạng riêng. Ngồi ra cổng nối VPN cịn cĩ khả năng thiết lập đường hầm VPN và mã
hố dữ liệu trước khi truyền đi qua mạng cơng cộng.
1.3.6 Tường lửa
Tường lửa là một tấm chắn ngăn chặn sự xâm nhập bất hợp pháp từ bên ngồi
vào mạng nội bộ. Tường lửa cĩ nhiều loại, mỗi loại cĩ cơ chế hoạt động riêng.
Ø Các loại tường lửa :
Một số loại tường lửa thường gặp trong thực tế là: Các bộ lọc gĩi (Packet
Filters), các Proxy kênh (Circuit Proxies), các Proxy ứng dụng (Application Proxies),
kiểm tra trạng thái.
Ø Các bộ lọc gĩi:
Bộ lọc gĩi là loại tường lửa xuất hiện sớm nhất. Nĩ lọc gĩi dựa trên địa chỉ
nguồn và địa chỉ đích của tất cả các gĩi IP đến để đưa ra quyết định cấm hay cho phép
chuyển các gĩi này qua tường lửa dựa trên những quyền mà người quản trị mạng đã
thiết lập. Ngồi ra nĩ cịn lọc gĩi dựa trên loại giao thức (ví dụ UDP hoặc TCP), dựa
trên cổng TCP hoặc UDP, dựa trên số hiệu phân mảnh.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 8
Tường lửa lọc gĩi cĩ một số ưu điểm đĩ là: cơ chế đơn giản, xử lý gĩi rất
nhanh, cĩ thể tích hợp ngay trên phần mềm của bộ định tuyến và nĩ hoạt động mang
tính trong suốt đối với các người dùng đầu cuối.
Tuy nhiên, tường lửa lọc gĩi cũng cĩ những nhược điểm là: quá trình cấu hình
tường lửa rất phức tạp, gặp nhiều khĩ khăn, đặc biệt là khi cần nhiều quyền để điều
khiển một lượng lớn cho nhiều ứng dụng và nhiều người dùng khác nhau. Nhược điểm
thứ hai của tường lửa lọc gĩi cĩ thể coi là một thiếu sĩt đĩ là việc lọc gĩi hoạt động
dựa trên những địa chỉ IP chứ khơng dựa trên quyền truy nhập của người dùng. Thứ ba
là việc lọc gĩi chỉ cung cấp một số tính năng bảo mật đối với những hoạt động “tấn
cơng chính giữa” và khơng cĩ tính năng bảo mật đối với các địa chỉ IP giả mạo. Ngồi
ra, việc lọc gĩi cịn phụ thuộc vào một số cổng của gĩi IP và thường chỉ báo khơng
chính xác về ứng dụng đang sử dụng, những giao thức như NFS (Network File
System) sử dụng nhiều cổng khác nhau gây khĩ khăn trong việc tao quyền để điều
khiển lưu lượng của chúng.
Những bộ lọc gĩi cĩ thể sử dụng như một thành phần trong VPN để giới hạn
lưu lượng chuyển qua một kênh. Tuy vây, việc lọc gĩi thường khơng yêu cầu phải sử
dụng một tường lửa độc lập bởi vì chúng thường được kèm theo trong hầu hết các bộ
định tuyến cĩ hỗ trợ TCP/IP.
Ø Các Proxy kênh và Proxy ứng dụng
Những tường lửa này cho phép nhiều người dùng cùng sử dụng một proxy để
liên lạc với hệ thống bảo mật, che giấu những dữ liệu cĩ giá trị bảo mật và bảo mật
máy chủ tránh sự tấn cơng của nhưng kẻ phá hoại.
So với các bộ lọc gĩi thì các proxy kênh cĩ tính bảo mật cao hơn. Bởi vì, một
proxy kênh sẽ được cài tự động giữa bộ định tuyến mạng với Internet và proxy này
đĩng vai trị là đại diện cho cả mạng khi cĩ nhu cầu liên lạc ra mạng ngồi. Do đĩ, các
máy tính bên ngồi khơng thể lấy được thơng tin địa chỉ cũng như số cổng bên trong
mạng.
Proxy cĩ ưu điểm là cĩ tính bảo mật cao hơn nhưng lại chạy chậm hơn so với
các bộ lọc gĩi là do các proxy kênh phải tái tạo lại các tiêu đề IP cho mỗi gĩi để dảm
bảo các gĩi tin đến đúng đích. Một hạn chế nữa của tường lửa proxy là nĩ thường
được thiết kế để sử dụng những proxy agent khác nhau, mà mỗi agent chỉ điều khiển
một dạng chỉ định mào đầu như lưu lượng của FTP hay TCP.
Chúng ta muốn chuyển nhiều dạng lưu lượng thơng qua proxy thì máy chủ
proxy phải nạp và chạy nhiều proxy agent một lúc.
Các proxy ứng dụng thực hiện việc kiểm tra dữ liệu hiện thời trong một gĩi IP
chuẩn bị được truyền đi nên ngăn cản bất cứ kẻ phá hoại nào sử dụng địa chỉ IP giả
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 9
mạo để lấy quyền truy cập trái phép. Do chức năng của một proxy ứng dụng thuộc lớp
ứng dụng trong mơ hình OSI nên các proxy ứng dụng cĩ thể dùng cho việc xác thực
các khĩa bảo mật khác, kể cả mật khẩu người dùng và những yêu cầu dịch vụ.
Do các proxy ứng dụng dùng cho những ứng dụng chỉ định nên phải cài một
proxy agent cho mỗi dịch vụ IP (như HTTP, FTP, SMTP…) và cần điều khiển việc
truy cập đến chúng. điều này dẫn đến hai điểm bất lợi của các proxy ứng dụng:
+ Luơn tồn tại một đọ trì hỗn giữa việc gia nhập của các dịch vụ IP mới với
các agent sẵn cĩ trên mạng.
+ Proxy ứng dụng địi hỏi phải xử lý nhiều trên các gĩi gây ra hậu quả là hiệu
suất mạng sẽ bị giảm sút.
Hơn nữa, nhiều loại Proxy ứng dụng yêu cầu phải hiệu chỉnh phần mềm client.
Một đặc điểm quan trọng của các proxy ứng dụng là dung lượng của nĩ dành cho các
người dùng và các trình ứng dụng chỉ định. Điều này làm tăng thêm tính bảo mật cho
việc xác thực cho người dùng.
Ø Kiểm tra trạng thái
Một tường lửa lý tưởng là một tường lửa cung cấp cơ chế bảo mật tốt nhất và
hiêu suất cao nhất. Người ta đã phát triển một kỹ thuật gọi là kiểm tra đa lớp trạng thái
SMLI (Stateful Multi-Layer Inspection) để việc bảo mật cĩ tính chặt chẽ hơn trong khi
vẫn đảm bảo tính dễ sử dụng và chi phí thấp, và hiệu suất kh._.ơng bị giảm sút.
SMLI cũng tương tự như một proxy ứng dụng. Trong trường hợp xét đến tất cả
lớp trong mơ hình OSI, thay vì dùng một proxy để đọc và xử ký cho mỗi gĩi thơng qua
các logic điều khiển trên dữ liệu, SMLI sử dụng giải thuật sàng lọc lưu lượng (traffic
screen algorithm) để tối ưu việc phân tích dữ liệu cĩ thơng lượng cao. Với SMLI, mỗi
gĩi được xem xét và so sánh với các trạng thái đã biết của những gĩi thường gặp.
SMLI là nguyên tắc cơ sở cho những sản phẩm tường lửa thế hệ mới cĩ thể thích ứng
với nhiều loại giao thức và cĩ chức năng được nâng cao hơn, dễ sử dụng hơn.
Ưu điểm của SMLI ở chỗ: tường lửa sẽ đĩng tất cả các cổng TCP, sau đĩ sẽ mở
lại các cổng một cách linh động khí các kết nối cĩ yêu cầu đến các cổng này (ví dụ
HTTP sử dụng cổng mặc định là 80). Đặc điểm này cho phép việc quản lý các dịch vụ
sử dụng đến các số cổng lớn hơn 1023 như HTTP cĩ thể yêu cầu phải thay đổi trong
việc cấu hình cho các tường lửa. Các tường lửa kiểm ra trạng thái cũng cung cấp
những đặc điểm như ngẫu nhiên hĩa số tuần tự các cổng TCP và thục hiện việc lọc gĩi
UDP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 10
Ø Tường lửa sử dụng trong VPN.
Các tường lửa được đề cập như là một phần trong giải pháp bảo mật cho mạng
cơng ty, nhưng chỉ với các tường lửa này thì khơng đủ để xây dựng nên VPN. Đĩ là vì
tường lửa khơng thể giám sát hay ngăn cản việc thay đổi dữ liệu (tính tồn vẹn dữ liệu)
cĩ thể xảy ra khi một gĩi được truyển qua mạng Internet hay đĩng vai trị là một tường
lửa kèm theo chức năng mã hĩa.
Ø Những yêu cầu đối với tường lửa
VPN của chúng ta cho dù sử dụng giao thức nào thì cần phải xem xét xem
tường lửa cĩ tương thích với các phần cịn lại trong cơ chế bảo mật, quản trị mạng,
tránh trường hợp xảy ra xung đột hay trùng lặp.
Nếu muốn cài đặt nhiều tường lửa tại nhiều vị trí, ta phải duy trì một chính sách
bảo mật chặt chẽ hơn nếu như tường lửa được lựa chọn hỗ trợ việc quản trị đồng bộ
cho nhiều vị trí. Nếu một sản phẩm cĩ kèm theo khả năng quản lý từ xa, ta phải đảm
bảo tính bảo mật cho việc truy cập từ xa đến tường lửa.
1.4 Các giao thức xây dựng IP-VPN
1.4.1 IP Security
Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thơng tin an tồn
xác nhận người sử dụng ở hệ thống mạng cơng cộng. Đây là giao thức hoạt động ở lớp
mạng, cung cấp các dịch vụ bảo mật, nhận thực, tồn vẹn dữ liệu và điều khiển truy
cập. Nĩ là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
IPSec cho phép thiết lập một đường ngầm bảo mật giữa hai mạng riêng và nhận
thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm cĩ thể là một
cặp host, hoặc một cặp cổng bảo mật (cĩ thể là router, firewall, bộ tập trung VPN)
hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đĩng vai trị
như một kênh truyền bảo mật và các gĩi dữ cĩ thể truyền một cách an tồn thơng qua
đường hầm. Các gĩi tin truyền trong đường ngầm cĩ khuơn dạng giống như các gĩi tin
bình thường khác và khơng làm thay đổi các thiết bị, kiến trúc cũng như những ứng
dụng hiện cĩ trên mạng trung gian, qua đĩ cho phép giảm đáng kể chi phí để triển khai
và quản lý.
Mặc dù IPSec cung cấp các đặc tính cần thiết cho việc bảo mật VPN thơng qua
mạng internet nhưng nĩ vẫn chưa phải là một giao thức hồn thiện. Tất cả các gĩi
được sử lý theo IPSec sẽ làm tăng kích thước gĩi tin do phải thêm vào các tiêu đề
IPSec làm cho thơng lượng của mạng giảm xuống. Điều này cĩ thể được giải quyết
bằng cách nén dữ liệu trước khi mã hĩa, nhưng điều này chưa được chuẩn hĩa.
Hoạt động của IPSec ở mức cơ bản địi hỏi phải cĩ các phần chính sau:
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 11
- Liên kết bảo mật SA (Security Association)
- Xác thực tiêu đề AH(Authentication Header)
- Bọc gĩi bảo mật tải ESP (Encapsulating Security Payload)
- Chế độ làm việc
a) Liên kết bảo mật SA (Security Association)
Để hai bên cĩ thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng
thống thuật tốn mã hĩa, phương thức trao đổi khĩa, sau bao lâu thì cả hai bên sẽ cùng
thay đổi khĩa. Tất cả những thỏa thuận trên đều do SA đảm trách. Việc truyền thơng
giữa bên gửi và bên nhận địi hỏi phải cĩ ít nhất một SA và cĩ thể địi hỏi nhiều hơn vì
mỗi giao thức IPSec địi hỏi phải cĩ một SA cho nĩ
b) Xác thực tiêu đề AH
Xác thực tiêu đề AH cho phép xác thực và kiểm tra tính tồn vẹn dữ liệu của
các gĩi IP truyền giữa hai hệ thống. Nĩ là một phương tiện để kiểm tra xem dữ liệu cĩ
bị thay đổi trong khi truyền khơng. Do AH khơng cung cấp khả năng mật mã dữ liệu
nên các dữ liệu đều được truyền dưới dạng bản rõ.
AH được chèn giữa tiêu đề IP và nội dung phía sau. Gĩi dữ liệu khơng bị thay
đổi nội dung khi chèn AH vào.
Hình 1-3: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý AH
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 12
Hình 1-4 : Khuơn dạng gĩi tin Ipv6 trước và sau khi xử lí AH
c) Bọc gĩi bảo mật tải ESP
Bọc gĩi dữ liệu tải được sử dụng để cung cấp tính an tồn cho các gĩi tin được
truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra
tính tồn vẹn của dữ liệu. ESP đảm bảo tính bí mật của thơng tin thơng qua việc mật
mã gĩi tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm
này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an tồn cho dữ liệu.
Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung
tiếp theo của gĩi. Tuy nhiên ESP cĩ nhiệm vụ mã hĩa dữ liệu nên nội dung của gĩi sẽ
bị thay đổi.
Hình 1-5: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 13
Hình 1-6: Khuơn dạng gĩi tin IPv4 trước và sau khi xử lý ESP
d) Chế độ làm việc
Cĩ hai chế độ làm việc trong IPSec:
+ Chế độ giao vận (Transport mode): chỉ cĩ đoạn lớp giao vận trong gĩi được
xử lý.
+ Chế độ đường hầm (Tunnel mode): tồn bộ gĩi sẽ được ử lí cho mã hĩa xác
thực.
1.4.2 Giao thức đường hầm điểm-điểm PPTP
Được phát triển bởi Microsoft, 3COM và Ascend Communications. Nĩ được đề
xuất để thay thế cho IPSec. PPTP thi hành ở phân lớp 2 (Data Link) trong mơ hình
OSI và thường được sử dụng trong truyền thơng tin hệ điều hành Windows.
Giao thức đường hầm điểm - điểm PPTP được xây dựng dựa trên chức năng
của PPP, cung cấp khả năng quay số truy cập từ xa, tạo ra một đường hầm bảo mật
thơng qua Internet đến site đích.
PPTP sử dụng phiên bản giao thức GRE để đĩng và tách gĩi PPP, giao thức
này cho phép PPTP mềm dẻo xử lý các giao thức khác khơng phải IP như: IPX,
NETBEUI. PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo,
duy trì, kết thúc đường ngầm.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 14
Hình 1-7 : Kiến trúc của PPTP
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và
máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gĩi dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đĩng gĩi của PPP để
đĩng các gĩi truyền trong đường hầm.
Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa
client và máy chủ PPTP. Các gĩi PPTP chứa các gĩi dữ liệu IP. Các gĩi dữ liệu được
đĩng gĩi bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho
giám sát tốc độ dữ liệu truyền trong đường hầm.
PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải cĩ tiêu đề mơi trường
truyền trong gĩi để biết gĩi dữ liệu truyền trong đường hầm theo phương thức nào?
Ethernet, Frame Relay hay kết nối PPP.
PPTP cũng cĩ cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền
đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gĩi.
Hình 1-8 : Đĩng gĩi PPTP/GRE
Ä Cấu trúc gĩi của PPTP
Dữ liệu đường hầm PPTP được đĩng gĩi thơng qua nhiều mức: đĩng gĩi khung
PPP, đĩng gĩi các gĩi GRE, đĩng gĩi lớp liên kết dữ liệu.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 15
Hình 1-9 : Cấu trúc gĩi dữ liệu trong đường hầm PPTP.
Ø Đĩng gĩi khung PPP:
Phần tải PPP ban đầu được mật mã và đĩng gĩi với phần tiêu đề PPP để tạo ra
khung PPP. Sau đĩ, khung PPP được đĩng gĩi với phần tiêu đề của phiên bản sửa đổi
giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự cĩ mặt của trường xác
nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường
nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết lập bởi
PPTP client trong quá trình khởi tạo đường hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đĩng gĩi dữ liệu để gửi qua
mạng IP.
Ø Đĩng gĩi các gĩi GRE.
Tiếp đĩ, phần tải PPP đã được mã hố và phần tiêu đề GRE được đĩng gĩi với
một tiêu đề IP chứa thơng tin địa chỉ nguồn và đích cho PPTP client và PPTP server.
Ø Đĩng gĩi lớp liên kết dữ liệu.
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mơ
hình OSI nên lược đồ dữ liệu IP sẽ được đĩng gĩi với phần tiêu đề (Header) và phần
kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi qua giao
diện Ethernet thì sẽ được đĩng gĩi với phần Header và Trailer Ethernet. Nếu IP
datagram được gửi thơng qua đường truyền WAN điểm tới điểm thì sẽ được đĩng gĩi
với phần Header và Trailer của giao thức PPP.
Ä Ưu điểm và khuyết điểm của PPTP
Ø Ưu điểm của PPTP:
+ PPTP là một giải pháp được xây dựng trên nền các sản phẩm của
Microsoft( các sản phẩm được sử dụng rất rộng rãi).
+ PPTP cĩ thể hỗ trợ các giao thức non-IP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 16
+ PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux, và Apple's
Macintosh. Các nền khơng hỗ trợ PPTP cĩ thể các dịch vụ của PPTP bằng
cách sử dụng bộ định tuyến được cài đặt sẵn khả năng của máy khách PPTP.
Ø Nhược điểm của PPTP:
+ PPTP bảo mật yếu hơn so với ký thuật L2TP và IPSec.
+ PPTP phụ thuộc nền.
+ PPTP yêu cầu máy chủ và máy khách phải cĩ cấu hình mạnh.
+ Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng
như máy chủ truy cập từ từ xa cũng phải cấu hình trong trường hợp sủa
dụng các giải pháp định tuyến bằng đưịng quay số.
+ Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nĩ yếu do sử dụng mã
hĩa với khĩa mã phát sinh từ password của user. Điều này càng nguy hiểm
hơn khi password được gửi trong mơi trường khơng an tồn để chứng thực.
Giao thức đưịng hầm Layer 2 Forwarding (L2F) được phát triển để tăng
cường khả năng bảo mật.
1.4.3 Giao thức đường hầm lớp 2 L2TP
Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec. Tiền thân của nĩ là
Layer 2 Forwarding (L2F), được phát triển để truyền thơng tin an tồn trên mạng
Internet nhưng bị thay thế bởi L2TP vì LT2P cĩ khả năng mã hĩa dữ liệu tốt hơn và cĩ
khả năng giao tiếp với Windown. L2TP là sự phối hợp của L2F) và PPTP. Thường
được sử dụng để mã hĩa các khung Point-to-Point Protocol (PPP) để gửi trên các mạng
X.25, FR, và ATM.
L2TP cĩ thể được sử dụng làm giao thức đường hầm cho mạng VPN điểm-nối-
điểm và VPN truy cập từ xa. Trên thực tế, L2TP cĩ thể tạo ra một đường hầm giữa
máy khách và router, NAS và router, router và router.
Vì L2TP là sự kết hợp của L2F và PPTP do đĩ L2TP cĩ các ưu điểm sau:
- L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đĩ
nĩ cĩ thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập.
- L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thơng qua Internet
và các mạng cơng cộng khác.
- L2TP khơng yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển
hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều khơng
cần phải thực thi phần mềm chuyện dụng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 17
- L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của
riêng truy cập mạng từ xa thơng qua mạng cơng cộng.
Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy
chủ. Do đĩ ISP khơng cần cập nhật dữ liệu chứng thực user hay quyền truy cập của
user từ xa. Hơn nữa mạng riêng nội bộ cũng cĩ thể tự xác định các truy cập tới nĩ và
cĩ các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của
L2TP nhanh hơn so với các nghi thức đường hầm trước nĩ.
Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất
như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích)
của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP cĩ thể được khởi tạo từ user từ
xa và gateway của ISP.
Hình 1-10 : Đường hầm L2TP
Khi khung PPP được gửi đi thơng qua đương hầm L2TP, nĩ sẽ được đĩng gĩi
dưới dạng gĩi dữ liệu user: thơng điệp UDP(Uer Datagram Protocol). L2TP sử dụng
thơng điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gĩi dữ
liệu đường hầm và gĩi bảo trì đường hầm cĩ chung cấu trúc.
a) Các thành phần cơ bản của L2TP
Giao thức L2TP cơ bản được thực thi dựa trên ba bộ phận: Một chủ truy cập
mạng(NAS), bộ tập trung truy cập L2TP(LAC), và máy chủ(LNS).
Ø Máy chủ truy cập mạng - NAS
Máy chủ truy cập mạng trong L2TP là thiết bị truy cập điểm-điểm được cung
cấp theo yêu cầu kết nối mạng tới người dùng từ xa khi họ quay số đến (thơng qua
đường PSTN hoặc ISDN), sử dụng kết nối điểm-điểm. NAS cĩ nhiệm vụ định quyền
người dùng từ xa và quyết định quay số yêu cầu kết nối mạng. Cũng như máy chủ truy
nhập mạng trong PPTP, máy chủ truy nhập mạng trong L2TP cũng được đặt tại ISP và
hoạt động như máy khách trong quá trình thiết lập đường hầm L2TP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 18
Ø Bộ tập trung truy cập L2TP - LAC
Vai trị của LAC: thiết lập đường hầm thơng qua mạng cơng cộng (PSTN,
ISDN và Internet) tới LNS của máy chủ mạng đầu cuối. LAC cĩ thể coi là điểm kết
thúc kết nối vật lý giữa máy khách và LNS của máy chủ mạng.
LAC được đặt tại ISP. Tuy nhiên user từ bên ngồi cũng cĩ thể hoạt động như
LAC trong trường hợp tạo đường hầm L2TP tự nguyện.
Ø Máy chủ mạng L2TP - LNS
LNS được đặt trên mạng máy chủ. Vì vậy nĩ được sử dụng để kết thúc kết nối
L2TP khi LACs kết thúc đường hầm L2TP từ máy khách. Khi LNS nhận được yêu cầu
kết nối mạng ảo từ LAC, nĩ sẽ thiết lập đường hầm và chứng thực người dùng khởi
tạo yêu cầu kết nối đĩ. Nếu LNS chấp thuận yêu cầu kết nối thì nĩ sẽ tạo ra giao diện
ảo.
b) Quá trình tạo kết nối L2TP
Khi người dùng từ xa cần thiết lập đường hầm L2TP thơng qua Internet hoặc
các mạng cơng cộng tương tự, thì quá trình kết nối sẽ diễn ra theo các bước sau:
Ø Người dùng từ xa gửi yêu cầu kết nối tới NAS của ISP gần nhất để khởi tạo
kết nối PPP tới đầu ISP
Ø NAS chấp nhận yêu cầu kết nối sau khi chứng thực user. NAS sẽ sử dụng các
phương pháp chứng thực của PPP như PAP, CHAP, SPAP, và EAP để thực hiện
nhiệm vụ này.
Ø Sau đĩ NAS kích hoạt LAC, LAC thu nhận thơng tin với LNS của mạng
đích.
Ø Sau đĩ, LAC tạo đường hầm LAC-LNS trên mạng tương tác trung gian giữa
hai đầu. Đường hầm cĩ thể là ATM, Frame Relay, hoặc IP/UDP.
Ø Sau khi đường hầm đã được thiết lập thành cơng, LAC đưa Call ID (CID) tới
kết nối và gửi thơng điệp thơng báo đến LNS. Thơng điệp thơng báo chứa các thơng
tin để chứng thực user. Thơng điệp cũng mang các thơng số tùy chọn của giao thức
điều khiển L2TP(LCP) được người dùng và LAC thỏa thuận từ trước.
Ø LNS sử dụng các thơng tin nhận được trong thơng điệp thơng báo để chứng
thực user. Nếu user được chứng thực thành cơng và LNS chấp thuận yêu cầu tạo
đường hầm thì ghép nối PPP ảo(đường hầm L2TP) sẽ được thiết lập dựa trên các tùy
chọn LCP nhận được trong thơng điệp thơng báo.
Ø Người dùng từ xa và LNS trao đổi dữ liệu thơng qua đường hầm L2TP.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 19
Hình 1-11 : Quá trình tạo đường hầm L2TP
c) Tạo đường hầm dữ liệu L2TP
Cũng giống gĩi dữ liệu trong đường hầm PPTP, gĩi dữ liệu L2TP cũng được
đĩng gĩi tại nhiều mức khác nhau:
Ø Đĩng gĩi dữ liệu PPP. Dữ liệu khơng được mã hĩa trước khi đĩng gĩi. Ở
mức này, chỉ cộng thêm header PPP vào gĩi dữ liệu gốc.
Ø Đĩng gĩi khung L2TP. Sau khi dữ liệu gốc được đĩng gĩi trong gĩi PPP, nĩ
sẽ được cộng thêm header L2TP.
Ø Đĩng gĩi khung UDP. Sau đĩ gĩi L2TP đã được đĩng gĩi sẽ được đĩng gĩi
thêm trong frame UDP. Nĩi cách khác header UDP sẽ được thêm vào frame L2TP đã
đĩng gĩi.. Cổng nguồn và đích trong UDP header được thiết lập là 1701 để đặc tả cho
L2TP.
Ø Đĩng gĩi bảo mật dữ liệu UDP. Sau khi khung L2TP được đĩng gĩi trong
UDP, khung UDP được mã hĩa và một IPSec ESP sẽ được thêm vào nĩ. IPSec.
Header và trailer xác nhận IPSec cũng được nối thêm vào và để đĩng gĩi dữ liệu.
Ø Đĩng gĩi IP. Cộng thêm IP header vào gĩi dữ liệu. IP header chứa địa chỉ
của máy chủ (LNS) L2TP và người dùng từ xa.
Ø Đĩng gĩi lớp Data Link. Header và trailer của lớp Data Link được thêm vào
gĩi dữ liệu sau khi đĩng gĩi IP. Header và trailer của lớp Data Link giúp gĩi dữ liệu đi
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 20
tới nút đích. Trong trường hợp nút đích là nút cục bộ thì header và trailer của lớp Data
Link dựa trên kỹ thuật mạng cục bộ (ví dụ Ethernet). Trong trường hợp gĩi dữ liệu
được gửi đến nút ở xa thì header và trailer của PPP sẽ được thêm vào gĩi dữ liệu
đường hầm L2TP.
Hình 1-12 : Quá trình đĩng gĩi dữ liệu trong đường hầm L2TP
Ở phía thu quá trình xử lý dữ liệu sẽ diễn ra ngược lại.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 21
Hình 1-13 : Quá trình mở gĩi dữ liệu trong đường hầm L2TP
d) Ưu điểm và khuyết điểm của L2TP
Ø Ưu điểm:
- L2TP là một giải pháp chung, khơng phụ thuộc nền và hỗ trợ nhiều kỹ thuật
mạng. Hơn nữa L2TP cĩ thể hỗ trợ giao tác thơng qua liên kết non-IP của mạng WAN
mà khơng cần IP.
- Đường hầm L2TP chỉ đơn thuần là người dùng từ xa hoặc ISP. Do đĩ nĩ
khơng yêu cầu bổ sung cấu hình của user từ xa và ISP.
- L2TP cho phép tổ chức kiểm sốt chứng thực users.
- L2TP hỗ trợ kiểm sốt luồng và các gĩi dữ liệu bị loại bỏ khi đường hầm quá
tải. do đĩ giao tác trên L2TP nhanh hơn giao tác trên L2F.
- L2TP cho phép người dùng với địa chỉ IP chưa được đăng ký cĩ thể truy cập
mạng từ xa thơng qua mạng cơng cộng.
- L2TP tăng cường bảo mật bằng cách cách mã hĩa dữ liệu dựa trên IPSec trên
suốt đường hầm và khả năng chứng thực gĩi của IPSec.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 22
Ø Khuyết điểm:
- L2TP chậm hơn PPTP và L2F vì nĩ sử dụng IPSEc để chứng thực từng gĩi
nhận được.
- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình
thêm bộ định tuyến và máy phục vụ truy cập từ xa.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 23
Chương 2 .Đánh giá chung về hiệu quả sử dụng của mạng
riêng ảo
2.1 Các tiêu chí để đánh giá hiệu quả mạng sử dụng giải pháp VPN
Tiêu chí đầu tiên để đánh giá hiệu quả sử dụng VPN là bảo mật. Do dữ liệu
quan trọng của cơng ty được truyền qua một mạng cơng cộng thiếu an tồn như mạng
Internet, thì bảo mật chính là yêu cầu quan trọng nhất giữa tổ chức và quản trị mạng.
Để đảm bảo rằng dữ liệu khơng thể bị chặn hay truy xuất trái phép hoặc cĩ khả năng
mất mát khi truyền tải cần phải cĩ cơ chế mã hĩa dữ liệu phù hợp, cĩ đủ khả năng đảm
bảo an tồn dữ liệu.
Một yêu cầu quan trọng khác khi lựa chọn giải pháp VPN cho mạng doanh
nghiệp là giải pháp được lựa chọn phải phù hợp với cơ sở hạ tầng mạng hiện cĩ và giải
pháp bảo mật ví dụ như tường lửa, sử dụng proxy, phần mềm chống virus hay các hệ
thống bảo mật khác.
Tiêu chí tiếp theo là sự thích nghi giữa các thiết bị từ nhiều nhà cung cấp. Nếu
khơng cĩ sự thích nghi giữa các thiết bị vận hành VPN thì đảm bảo chất lượng dịch vụ
(QoS) rất khĩ đạt được. Do đĩ, khi xây dựng một mạng VPN cần phải lựa chọn các
thiết bị của các hãng cĩ khả năng thích nghi với nhau trước khi lắp đặt chúng vào
mạng VPN. Và theo các nhà chuyên mơn khuyến cáo thì để đạt chất lượng tốt thì các
thiết bị nên từ mua từ một nhà cung cấp. Điều này đảm bảo sự thích nghi hồn tồn
giữa các thiết bi và đảm bảo chất lượng dịch vụ tốt nhất.
Và một vấn đề khác nữa là khả năng quản lý tập trung của một mạng VPN.
Điều này giúp cho người quản trị mạng dễ cấu hình, dễ quản lý và dễ khắc phục sự cố
các vấn đề liên quan VPN từ một vùng cục bộ hay ứng dụng. Một điều quan trọng là
cần phải cĩ một phần mềm quản lý luơn ghi lại các hoạt động hệ thống (logs), điều này
sẽ giúp quản trị mạng khoanh vùng và giải quyết sự cố trước khi gây ảnh hưởng đến
chất lượng tồn bộ hệ thống.
Tiêu chí tiếp theo là giải pháp VPN cĩ dễ dàng bổ sung, cấu hình các thành
phần khác hay khơng. Nếu thành phần bổ sung cĩ kích thước lớn thì hệ thống quản lý
cĩ đủ khả năng ghi và theo dõi số lượng lớn các đường hầm bổ sung vào hệ thống hay
khơng.
Tính tiện dụng cũng là một tiêu chí khơng kém phần quan trọng. Các phần mềm
VPN, đặc biệt là các phần mềm VPN cho khách hàng phải đơn giản và khơng phức tạp
đối để người dùng cĩ thể sử dụng một cách dễ dàng. Thêm vào đĩ quá trình xác nhận
và giao diện phải dễ hiểu và dễ sử dụng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 24
Và yêu cầu về khả năng nâng cấp các mạng VPN đang tồn tại luơn được đặt ra,
việc thêm vào các thành phần mới mà khơng thay đổi nhiều cơ sở hạ tầng hiện tại luơn
là một vấn đề đau đầu của nhiều nhà quản trị mạng.
Vấn đề về việc quản lý băng thơng luơn cĩ một sự quan tâm đặc biệt để đảm
bảo truyền dữ liệu sẵn sàng và ổn định với chất lượng dịch vụ (QoS) đảm bảo. Việc
quản lý băng thơng cĩ nhiều khía cạnh bao gồm quản lý băng thơng theo người sử
dụng, theo nhĩm, theo ứng dụng và cĩ khả năng ưu tiên cho người sử dụng, theo nhĩm
hay ứng dụng tùy theo hợp đồng của các cơng ty.
2.2 Ưu điểm và khuyết điểm của VPN
2.2.1 Ưu điểm:
- Giảm chi phí thiết lập: VPN cĩ giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Khi sử dụng cơng
nghệ VPN ta cĩ thể tiết kiệm một cách đáng kể chi phí thuê kênh riêng hoặc các cuộc
gọi đường dài bằng chi phí cuộc gọi nội hạt. Hơn nữa, sử dụng kết nối đến ISP cịn cho
phép vừa sử dụng VPN vừa truy nhập Internet. Cơng nghệ VPN cho phép sử dụng
băng thơng đạt hiệu quả cao nhất.
- Giảm chi phí vận hành quản lý: bằng cách giảm chi phí viễn thơng khoảng
cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách đáng kể. Ngồi ra các
tổ chức cũng cĩ thể giảm được tổng chi phí thêm nếu các thiết bị mạng WAN dử dụng
trong VPN được quản lý bởi ISP. Một nguyên nhân nữa giúp làm giảm chi phí vận
hành là nhân sự, tố chức khơng mất chi phí để đào tạo và trả cho nhiều người người
quản lý mạng.
- Nâng cao kết nối (Enhanced connectivity): VPN sử dụng mạng Internet cho
kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet cĩ thể được truy cập
tồn cầu, do đĩ ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng cĩ thể kết nối
dễ dàng với mạng intranet chính
- Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thơng qua
mạng cơng cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đĩ, VPN sử
dụng thêm các phương pháp tăng cường bảo mật như mã hĩa, xác nhận và ủy quyền.
Do đĩ VPN được đánh giá cao bảo mật trong truyền tin.
- Hiệu suất băng thơng: sự lãng phí băng thơng khi khơng cĩ kết nối Internet
nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành khi
cĩ yêu cầu truyền tải thơng tin. Băng thơng mạng chỉ được sử dụng khi cĩ kích hoạt
kết nối Internet. Do đĩ hạn chế rất nhiều sự lãng phí băng thơng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 25
- Cĩ thể nâng cấp dễ dàng: bởi vì VPN dựa trên cơ sở Internet nên các nĩ cho
phép các các mạng intranet các tổ chức cĩ thể phát triển khi mà hoạt động kinh doanh
phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối thiểu. Điều
này làm mạng intranet cĩ khả năng nâng cấp dễ dàng theo sự phát triển trong tương lai
mà khơng cần đầu tư lại nhiều cho cơ sở hạ tầng.
2.2.2 Khuyết điểm:
Phụ thuộc nhiều vào chất lượng mạng Internet. Sự quá tải hay tắt nghẽn mạng
cĩ thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng VPN.
Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hồn tồn trên cơ sở kĩ
thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và các
thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN khơng phù
hợp được với các thiết bị và giao thức này. Vấn đề này cĩ thể được giải quyết một
cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gĩi tin SNA và các lưu
lượng non-IP bên cạnh các gĩi tin IP cĩ thể sẽ làm chậm hiệu suất làm việc của cả
mạng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 26
Chương 3 . Đánh giá hiệu quả sử dụng các loại VPN
3.1 Đánh giá các loại VPN phân theo chức năng kết nối
3.1.1 VPN truy cập từ xa:
VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phịng di động
cĩ khả năng trao đổi, truy nhập từ xa vào mạng của cơng ty tại mọi thời điểm tại bất cứ
đâu cĩ mạng Internet.
VPN truy nhập từ xa cho phép mở rộng mạng cơng ty tới những người sử dụng
thơng qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng cơng ty vẫn
duy trì. Loại VPN này cĩ thể dùng để cung cấp truy nhập an tồn cho các thiết bị di
động, những người sử dụng di động, các chi nhánh và những bạn hàng của cơng ty.
Những kiểu VPN này được thực hiện thơng qua cơ sở hạ tầng cơng cộng bằng cách sử
dụng cơng nghệ ISDN, quay số, IP di động, DSL và cơng nghệ cáp và thường yêu cầu
một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.
Trước khi đánh giá về hệ thống VPN truy nhập từ xa, chúng ta hay xem xét sơ
lược về hệ thống truy nhập từ xa truyền thống. Hệ thống này bao gồm các thành phần
chính: Máy chủ truy nhập từ xa (RAS) : được đặt tại trung tâm cĩ nhiệm vụ xác nhận
và chứng nhận các yêu cầu truy cập từ xa, máy chủ dữ liệu và trung tâm dữ liệu. Khi
người dùng muốn truy cập từ xa thì họ sẽ quay số kết nối đến trung tâm. Với cách làm
này thì độ bảo mật khơng cao, tốc độ chậm và nếu người dùng ở rất xa trung tâm thì họ
buộc phải trả cước phí gọi đường dài.
Hình 3-1: Phương thức truy cập từ xa truyền thống
Bằng việc triển khai VPN truy nhập từ xa, những người dùng từ xa hoặc các chi
nhánh văn phịng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 27
ISP’s POP và kết nối đến tài nguyên thơng qua Internet, điều này sẽ giảm cước phí gọi
đường dài một các đáng kể.
Để thiết lập một kết nối VPN truy nhập từ xa, người dùng từ xa và các văn
phịng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP
và kết nối với mạng trung tâm thơng qua Internet.
Hình 3-2: VPN truy nhập từ xa
v Ưu khuyết điểm của VPN truy cập từ xa so với truy cập từ xa truyền thống:
- Khơng cĩ thành phần RAS và các thành phần modem liên quan
- Khơng cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP
- Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đĩ là các kết nối địa
phương. Do đĩ chi phí vận hành giảm rất nhiều.
- Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao
hơn so với phải truyền dữ liệu đi xa.
-VPN cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nĩ hỗ trợ
mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng
cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ cĩ
giảm nhưng khả năng truy cập khơng hồn tồn mất.
Bên cạnh những ưu điểm của VPN thì vẫn tồn tại một số khuyết điểm cịn tồn
tại của Remote Access truyền thống:
DH Giao Thong Van Tai - 450 Le ._. mạng VPN sử dụng đường hầm IPSec
thơng qua một nhà cung cấp dịch vụ hay mạng internet cơng cộng sử dụng mã hĩa
3DES.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 49
Hình 3-22 : Kết nối giữa máy tính A và máy tính B trong mạng VPN
Dễ nhận thấy nhất ở mạng IPsec là mạng cĩ hiệu năng thấp. Việc Các CPE thiết
bị đầu cuối thuê bao (Customer Premise Equipment) ở hai thiết bị đầu cuối tiến hành
kiểm tra gĩi tin, sau đĩ mã hĩa và đĩng gĩi và các gĩi IP gây tốn thời gian và gây trễ
cho gĩi tin. Nếu gĩi tin được truyền đi trong mạng cĩ kích thước lớn hơn kích thước
tối đa cho phép truyền (maximum Transmission Unit) trên bất cứ một liên kế nào giữa
CPE thì các gĩi tin đĩ phải được phân thành các gĩi nhỏ hơn, điều này chỉ xảy ra
trường hợp bit DF (don’t fragment) khơng được thiết lập. Cịn trong trường hợp bit DF
được thiết lập thì gĩi tin sẽ bị mất và một bản tin ICMP sẽ gửi về bên phát.
Thời gian trễ trong mạng sẽ phụ thuộc vào độ phức tạp và tốc độ xử lý của các
CPE. Các thiết bị CPE kém chất lượng thường phải thực hiện hầu hết các chức năng
Ipsec bằng phần mềm khiến trễ trong mạng lớn. Với các CPE khả năng thực hiện Ipsec
bằng phần cứng cĩ tốc tốc độ xử lý gĩi tin cao hơn nhưng chi phí cho các thiết bị này
rất đắt. điều này dẫn đến chi phí triển khai một Ipsec VPN là rất tốn kém.
Từ ví dụ này, ta thấy IPsec VPN là mạng lớp trên của mạng IP và sự trao đổi
thơng tin trong mạng được thực hiện bằng cách thiết lập các đường hầm giữa các site.
Điều này sẽ được làm rõ hơn khi so sánh cấu hình mạng sao và cấu hình mạng lưới tạo
ra cấu hình mạng khơng tối ưu.
Mạng hình sao bao gồm site trung tâm Hub được nối với tất cả các site ở xa
khác. Trong cấu hình này CPE của site trung tâm thường là một thiết bị rất đắt tiền và
phụ thuộc vào số lượng các site ở xa cần kết nối, mỗi site này sẽ thiết lập một đường
hầm Ipsec đến site trung tâm. Cấu hình mạng này khơng phù hợp cho truyền thơng
giữa các site ở xa với nhau vì gĩi tin từ site này tới site khác phải đi qua site trung tâm
và tại site trung tâm sẽ lặp lại các tác vụ như đĩng gĩi tin, xác định đường truyền, mã
hĩa và giải mã đối với các gĩi tin đi qua nĩ. Do đĩ mỗi gĩi tin phải đi qua hai đường
hầm Ipsec dẫn đến trễ xử lý cho mỗi gĩi tin sẽ tăng gấp đơi so với trường hợp hai site
ở xa cĩ thể trao đổi thơng tin trực tiếp.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 50
Hình 3-23 : Mạng hình sao
Giải pháp tối ưu nhất khắc phục hiện tượng trên là thiết lập mạng mắt lưới. tuy
nhiên cấu hình này cĩ nhiều hạn chế và điểm hạn chế lớn nhất là khả năng mở rộng
mạng. số lượng tunnel cần thiết để hỗ trợ một mạng mắt lưới Ipsec sẽ tăng cùng với số
lượng site. Ví dụ một mạng cĩ 20 site thì cần 210 đường hầm IPsec. Cấu hình mạng
như vậy sẽ phải cần CPE phức tạp và đắt tiền. thậm trí cĩ thể khơng thực hiện được
cấu hình mạng mắt lưới.
Hình 3-24 : mạng mắt lưới
Một điểm chúng ta cần phải cân nhắc khi triển khai các mạng VPN đĩ là các
thiết bị CPE. Mỗi nhà cung cấp cần phải chắc chắn rằng tất cả các CPE sẽ hoạt động
tương thích với nhau. Giải pháp đơn giản và và hiệu quả nhất là sử dụng cùng một loại
CPE trong mỗi vùng, tuy nhiên, điều này khơng phải bao giờ cũng thực hiện được do
nhiều yếu tố khác nhau. Tuy ngày nay sự tương thích khơng phải là một vấn đề lớn
nhưng nĩ vẫn cần phải được quan tâm khi hoạch định một giải pháp mạng IPSec VPN.
Mỗi một CPE phải đĩng vai trị như là một router và cĩ khả năng hỗ trợ
tunneling. Những CPE với chức năng bổ sung này địi cĩ giá thành rất cao nên cách
duy nhất để triển khai IPSec trong một mạch cầu là tải các phần mềm IPSec client vào
tất cả các PC phía sau cầu. Giải pháp này địi hỏi sự hỗ trợ khách hàng cao dẫn đến
những khĩ khăn trong quản lý mạng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 51
3.6.3 Ưu điểm của MPLS VPN.
MPLS VPN khác biệt với các VPN trước đĩ là khơng đĩng gĩi và mã hĩa gĩi
tin để đạt mức bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn (tags)
để tạo tính bảo mật cho mạng VPN. Kiến trúc mạng này sử dụng các tuyến mạng xác
định để phân phối các dịch vụ VPN và cơ chế xử lý thơng minh của MPLS VPN hồn
tồn trong phần lõi mạng.
Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS
VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các
CE router này được nối với mạng của nhà cung cấp dịch vụ thơng qua các PE
(Provider Edge) router. Một mạng VPN sẽ bao gồm một nhĩm các CE router kết nối
với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới cĩ
khái niệm về VPN, cịn các CE router thì khơng “nhận thấy” những gì đang diễn ra
bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với
nhau thơng qua một mạng riêng.
Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF)
riêng biệt. VRF cung cấp các thơng tin về mối quan hệ trong VPN của một site khách
hàng khi được nối với PE router. Bảng VRF bao gồm thơng tin bảng định tuyến IP (IP
routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định
tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ cĩ thể kết hợp
với một và chỉ một VRF. Các VRF của site khách hàng mang tồn bộ thơng tin về các
“tuyến” cĩ sẵn từ site tới VPN mà nĩ là thành viên.
Đối với mỗi VRF, thơng tin sử dụng để chuyển tiếp các gĩi tin được lưu trong
các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng
VRF nên nĩ ngăn chặn được hiện tượng thơng tin bị chuyển tiếp ra ngồi mạng VPN
cũng như ngăn chặn các gĩi tin bên ngồi mạng VPN chuyển tiếp vào các router bên
trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một
MPLS VPN, cĩ thể kết nối bất kỳ hai điểm nào với nhau và các site cĩ thể gửi thơng
tin trực tiếp cho nhau mà khơng cần thơng qua site trung tâm.
Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP
thuộc VPN riêng biệt nào. Xét mơ hình mạng như Hình 3-25, cĩ 3 VPN khác nhau và
được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS cĩ thể hỗ trợ hàng trăm đến
hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các
thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và
khơng được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng
MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router
và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router)
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 52
trong mạng MPLS. Các site khách hàng cĩ thể được kết nối với các PE router bằng
nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v...
Hình 3-25 : Mơ hình mạng MPLS
Một trong những ưu điểm lớn nhất của các MPLS VPN là khơng địi hỏi các
thiết bị CPE thơng minh bởi vì tồn bộ các chức năng VPN được thực hiện ở phía
trong mạng lõi của nhà cung cấp dịch vụ và hồn tồn “trong suốt” đối với các CPE.
Các CPE khơng địi hỏi chức năng VPN và hỗ trợ IPSec. điều này cĩ nghĩa là khách
hàng khơng phải chi phí quá cao cho các thiết bị CPE.
Trễ trong mạng được giữ ở mức thấp nhất vì các gĩi tin lưu chuyển trong mạng
khơng phải thơng qua các hoạt động như đĩng gĩi và mã hĩa. Sở dĩ khơng cần chức
năng mã hĩa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần
giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN cịn thấp
hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn
Việc tạo một mạng đầy đủ (mạng mắt lưới) VPN là hồn tồn đơn giản vì các
MPLS VPN khơng sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các
mạng MPLS VPN là mạng mắt lưới, trong đĩ các site được nối trực tiếp với PE vì vậy
các site bất kỳ cĩ thể trao đổi thơng tin với nhau trong VPN. Và thậm chí, nếu site
trung tâm gặp trục trặc, các site ở xa vẫn cĩ thể liên lạc với nhau.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 53
Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN.
Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng lõi mà khơng cần phải
tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta khơng cần đụng
chạm đến nĩ nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về
cấu hình lúc này chỉ cần thực hiện tại PE mà nĩ nối tới.
Vấn đề bảo mật thậm chí cịn đơn giản hơn nhiều khi triển khai trong các mạng
MPLS VPN vì một VPN khép kín bản thân nĩ đã đạt được sự an tồn thơng tin do
khơng cĩ kết nối với mạng Internet cơng cộng. Nếu cĩ nhu cầu truy nhập Internet, một
tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một tường lửa sẽ
được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho tồn bộ mạng VPN.
Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ
cần duy trì các chính sách bảo mật cho một tường lửa duy nhất mà vẫn đảm bảo an
tồn cho tồn bộ VPN.
Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho
mỗi remote site. So sánh với mạng Frame Relay truyền thống cĩ 1 nút trung tâm và 10
remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm
(hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất
một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể.
3.6.4 Đánh giá hiệu quả của VPN MPLS
Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án
triển khai VPN theo cơng nghệ mới, khắc phục được nhiều vấn đề mà các cơng nghệ
ra đời trước nĩ chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong
triển khai hạ tầng thơng tin DN.
Ø Sử dụng cơng nghệ tiên tiến
- Cơng nghệ chuyển mạch nhãn đa giao thức MPLS là cơng nghệ mới nhất
đang được ứng dụng tại đa số các quốc gia lớn như: Nhật, Mỹ, Singapore...
Ø Chi phí đầu tư hiệu quả
- Tận dụng khả năng xử lý của các thiết bị trong mạng lõi MPLS của nhà
cung cấp dịch vụ. Giảm các chi phí đầu tư thiết bị đắt tiền tại đầu khách hàng.
- Đáp ứng mơ hình điểm – đa điểm, cho phép kết nối mạng riêng với chỉ 1
đường kênh vật lý duy nhất
- Chi phí sử dụng rẻ hơn tới 50% so với cơng nghệ truyền thống
Ø Bảo mật an tồn
- Bảo mật tuyệt đối trên mạng lõi MPLS
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 54
- MPLS VPN giữ các thơng tin định tuyến riêng biệt cho mỗi VPN, đảm bảo
người dùng chỉ cĩ thể liên lạc được với các địa chỉ đã được lập sẵn cho VPN
của mình.
Ø Khả năng mở rộng đơn giản
- Khi cĩ nhu cầu thiết lập thêm chi nhánh hoặc điểm giao dịch, khách hàng
chỉ cần đăng kí thêm điểm kết nối với nhà cung cấp dịch vụ mà khơng cần bất
cứ một đầu tư lại gì trên mạng hiện cĩ
- Mọi cầu hình kết nối đều thực hiện tại mạng lõi MPLS, thành viên mạng
khơng cần bất kì một cầu hình nào.
Ø Đơn giản hĩa quản trị mạng
- MPLS-VPN khơng yêu cầu các thiết bị CPE thơng minh. Vì các yêu cầu
định tuyến và bảo mật đã được tích hợp trong mạng lõi. Chính vì thế việc bảo
dưỡng cũng khá đơn giản, vì chỉ phải làm việc với mạng lõi.
-Với quá trình quản trị và thiết lập VPN tại mạng lõi MPLS của nhà cung
cấp dịch vụ sẽ giúp đơn giản hĩa tối đa cơng việc quản trị mạng trong hoạt
động của doanh nghiệp.
- Nhận được nhiều hỗ trợ từ nhà cung cấp.
- Giảm các chi phí đầu tư thiết bị đắt tiền và phức tạp.
Ø Tốc độ cao, đa ứng dụng và cam kết QoS
- VPN MPLS cho phép chuyển tải dữ liệu lên tới tốc độ Gbps qua hệ thống
truyền dẫn cáp quang.
- Cung cấp các khả năng cam kết tốc độ và băng thơng tối thiểu (QoS).
Ø Độc lập với khách hàng:
- MPLS VPN cĩ cách đánh địa chỉ (gán nhãn trong mạng MPLS) hết sức
linh hoạt, người dùng cĩ thể sử dụng bất cứ dải địa chỉ nào (kể cả các địa chỉ
kiểm tra hoặc các địa chỉ khơng được đăng ký) hoặc cĩ thể sử sụng NAT
(Network Address Translation). Mặt khác, người dùng cịn cĩ thể sử dụng các
dải địa chỉ trùng hoặc giống nhau. Một điểm nổi bật khác là mạng của người
dùng khơng yêu cầu các thiết bị hỗ trợ MPLS, các thiết bị đắt tiền như VPN
Router với IP Sec hoặc bất cứ yêu cầu đặc biệt nào khác ngồi IP.
Ø Linh hoạt và khả năng phát triển:
- Với các dịch vụ VPN dựa trên IP, số lượng router trên mạng tăng nhanh
chĩng theo số lượng các VPN. VPN sẽ phải chứa các bảng định tuyến ngày một
lớn. MPLS VPN sử dụng một tập các BGP (Border Gateway Protocol) ngang
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 55
hàng giữa các LSR cạnh (Edge LSR), cho phép số lượng VPN khơng hạn chế
và hỗ trợ nhiều dạng VPN, dễ dàng tạo thêm các VPN hoặc site mới (chỉ cần
thực hiện tại router của site mới).
Ø Trễ trong mạng MPLS-VPN
- Rất thấp, sở dĩ như vậy là do MPLS-VPN khơng yêu cầu mã hĩa dữ liệu vì
đường đi của VPN là đường riêng, được định tuyến bởi mạng lõi, nên bên ngồi
khơng cĩ khả năng thâm nhập và ăn cắp dữ liệu (điều này giống với FR). Ngồi
ra việc định tuyến trong MPLS chỉ làm việc ở giữa lớp 2 và lớp 3 chứ khơng
phải hồn tồn ở lớp 3 vì thế giảm được một thời gian trễ đáng kể. Các thiết bị
định tuyến trong MPLS là các Switch router định tuyến bằng phần cứng, vì vậy
tốc độ cao hơn phần mềm như ở các router khác.
3.7 Đánh giá chi phí cung cấp dịch vụ truyền dữ liệu của một số
nhà cung cấp dịch vụ tại Việt Nam
3.7.1 Leased lines
Leased Lines là thế mạnh của FPT.FPT Telecom hiện đã thiết lập các kênh
quốc tế kết nối đi Hồng Kơng, Singapore, Trung Quốc, Nhật, Hàn Quốc, Úc và Mỹ đạt
tổng dung lượng 2,6 Gbps. Với dung lượng này, FPT Telecom đã triển khai nhiều dịch
vụ truyền dữ liệu tốc độ cao dành cho đối tượng doanh nghiệp. Leased lines (gồm cĩ
leased lines Internet và leased lines “điểm nối điểm”) là một trong những dịch vụ
mạnh của FPT Telecom hiện nay. Ưu điểm của Leased lines là tốc độ ổn định và dễ
dàng kết nối tới mọi địa điểm theo yêu cầu của khách hàng. Sử dụng dịch vụ Leased
lines, khách hàng truy nhập vào Internet 24/24 thơng qua đường truyền số riêng biệt,
do đĩ sẽ loại bỏ được việc phải thuê bao hàng chục đường dây điện thoại dành để kết
nối Internet. Ngồi ra, việc nâng cấp lên tốc độ cao hay thay đổi cấu hình hệ thống sẽ
trở nên dễ dàng hơn bởi khách hàng khơng cần phải đầu tư vào thiết bị mới hay lắp đặt
một hệ thống dây cáp mới. Khi sử dụng dịch vụ Leased line, khách hàng sẽ được cung
cấp khơng hạn chế địa chỉ e-mail dùng tên miền riêng.
Hiện nay, ở FPT gĩi dịch vụ Leased lines tốc độ 64Kbps là 6 triệu đồng/tháng,
cịn gĩi 2Mbps là 53 triệu đồng/tháng. Ngồi ra, FPT cịn cĩ một dịch vụ khá hấp dẫn
với doanh nghiệp là dịch vụ truyền số liệu Leased lines “điểm nối điểm” giữa các chi
nhánh của cùng cơng ty tại khu vực TP.HCM và Hà Nội với gĩi 2Mbps cĩ giá 6 triệu
đồng/tháng. Dịch vụ này cĩ tốc độ từ 10-100Mbps. Chi phí sẽ căn cứ vào khoảng cách
giữa hai điểm. Dịch vụ VPN MPLS kênh Bắc-Nam cũng là dịch vụ dùng để truyền dữ
liệu giữa hai điểm, khơng thơng qua mơi trường Internet. Giá cước của dịch vụ này với
gĩi tốc độ từ 512Kbps là 14 triệu đồng/tháng, cịn gĩi 2Mbps là 30 triệu đồng/tháng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 56
Leased lines của VDC cĩ nhiều tốc độ, từ 128 Kbps cho đến 155Mbps với phí
cài đặt ban đầu là 3,5 triệu đồng (gĩi tốc độ 64 Kbps bao gồm kênh truyền dẫn nội hạt
và hịa mạng cổng kết nối Internet trực tiếp) cho đến 25 triệu đồng (gĩi tốc độ từ 2-155
Mbps), cịn cước thuê bao hằng tháng : với tốc độ 64Kbps cĩ cước thuê kênh truyền
dẫn nội hạt là 676.000 đồng ; 1,5 triệu đồng là cước thuê cổng, dùng thêm sẽ được tính
540 đồng/MB, khống chế cước tối đa là 6,4 triệu đồng. Riêng gĩi cĩ tốc độ 45 Mpbs
sẽ cĩ giá cước là 645,9 triệu đồng.
3.7.2 Frame Relay
Frame Relay là dịch vụ truyền dữ liệu theo phương thức chuyển mạch khung
với tốc độ cao, tạo ra băng thơng lớn thích hợp với các ứng dụng phức tạp. Dịch vụ
này cho phép thiết lập nhiều đường kết nối ảo thơng qua một kênh duy nhất. Cơng
nghệ này sẽ làm giảm thiểu chi phí mua sắm thiết bị cho doanh nghiệp. Khi sử dụng
Frame Relay, khách hàng sẽ kiểm sốt được chất lượng dịch vụ và tốc độ đã đăng ký.
Để sử dụng dịch vụ này, khách hàng phải trả những khoản phí : hịa mạng, thuê cổng
hằng tháng và cước tốc độ (nhà cung cấp cam kết tốc độ tối thiểu). Hiện nay giá cước
hịa mạng của Frame Relay thấp nhất là hai triệu đồng (cổng tốc độ 64–128 Kbps), ba
triệu đồng (192-1.024 Kbps), bốn triệu đồng (1.024-2.048 Kbps); cịn cước thuê cổng
tốc độ 64 Kbps (nội tỉnh là 69.000 đồng, liên tỉnh 486.000 đồng), 128 Kbps (nội tỉnh
112.000 đồng, liên tỉnh 787.000 đồng), gĩi tốc độ 2048 Kbps cĩ mức cước nội tỉnh là
621.000 đồng, cịn liên tỉnh là 4,59 triệu đồng... Cước dịch vụ Frame Relay đi quốc tế
thấp nhất là 335 đơ-la Mỹ/tháng, cao nhất là 1.953 đơ-la/tháng.
3.7.3 VPN
VDC cịn cĩ dịch vụ mạng riêng ảo VPN. Giá hịa mạng dịch vụ VPN là 2 triệu
đồng cho gĩi tốc độ cổng từ 64-896 Kbps, gĩi từ 1.024-2 Mbps là 3 triệu đồng, cịn gĩi
từ 34-155 Mbps là 10 triệu đồng. Cĩ giá khai thác thấp nhất là gĩi 64 Kbps – 1,59 triệu
đồng/tháng, cịn gĩi cao nhất 155 Mbps sẽ cĩ giá 370,9 triệu đồng (gĩi dịch vụ này ít
người sử dụng vì giá cước quá cao). Giá cước nĩi trên chưa cĩ 5 % thuế giá trị gia
tăng.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 57
Giá cước dịch vụ VPN/VNN
A- Cước cài đặt ban đầu:
Tốc độ cổng
Đơn giá
Trong nước
(VNĐ/lần/cổng)
Quốc tế
(USD/lần/cổng)
Từ 64Kbps đến 896 Kbps 2.000.000 300
Từ 1024 Kbps đến 2Mbps 3.000.000 350
Từ trên 2Mbps đến 10Mbps 5.000.000 450
Từ trên 34Mbps, 45Mbps, 155 Mbps 10.000.000 1.000
B- Cước thuê cổng hàng tháng:
Tốc độ cổng
Đơn giá
Trong nước(VNĐ) Quốc tế(USD)
64Kbps 1.597.000 894
128Kbps 2.584.000 1.256
192Kbps 3.258.000 1.505
256Kbps 4.043.000 1.801
384Kbps 5.031.000 2.186
512Kbps 6.238.000 2.691
768Kbps 6.842.000 3.336
896Kbps 7.080.000 3.589
1024Kbps 7.554.000 4.142
1536Kbps 9.071.000
2048Kbps 9.964.000 6.164
4 Mbps 18.060.000 9.734
6 Mbps 23.174.000 14.105
8 Mbps 27.604.000 18.158
10 Mbps 32.480.000 22.370
34 Mbps 70.660.000 48.563
45 Mbps 129.542.000 71.226
155 Mbps 370.962.000 159.348
Viettel cũng là nhà cung cấp cĩ nhiều dịch vụ truyền dữ liệu dành cho đối
tượng doanh nghiệp nhất hiện nay trong các nhà khai thác dịch vụ mạng: dịch vụ
VPN/MPLS, truyền dẫn tín hiệu truyền hình liên tỉnh, dịch vụ thuê kênh riêng liên
tỉnh, thuê kênh riêng nội tỉnh để kết nối kênh thuê riêng liên tỉnh, thuê kênh riêng
trong nước, dịch vụ thuê kênh riêng quốc tế (áp dụng cho các doanh nghiệp cung cấp
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 58
dịch vụ kết nối internet (IXP) thuê để kết nối Internet quốc tế) và dịch vụ thuê kênh
riêng quốc tế. Cước gĩi dịch vụ truyền dẫn dữ liệu VPN tốc độ từ 64 Kbps đến 1024
Kbps là 1,5 triệu đồng/lần/cổng, tốc độ từ 4-10 Mbps: ba triệu đồng/lần/cổng; cước
thuê dịch vụ cĩ tốc độ 64 Kbps là 1,36 triệu đồng, tốc độ 4 Mbps là 12,21 triệu đồng;
cước thuê kênh tốc độ 64 Kbps là 1,08 triệu đồng/tháng, gĩi cĩ tốc độ 2Mbps là chín
triệu đồng/tháng. Gĩi thuê kênh liên tỉnh (tùy thuộc vào vùng) sẽ cĩ các mức cước
khác nhau, như gĩi cước 64 Kbps cĩ giá từ 1,7-6,9 triệu đồng/tháng, gĩi 128 Kbps cĩ
mức cước dao động từ 2,4 đến 8,7 triệu đồng...
3.7.4 Dịch vụ MegaWAN
Là dịch vụ mạng riêng ảo của Tổng cơng ty BCVT Việt Nam Cho phép kết nối
các mạng máy tính của doanh nghiệp (như các văn phịng, chi nhánh, cộng tác viên từ
xa, v.v... ) thuộc các vị trí địa lý khác nhau tạo thành một mạng duy nhất và tin cậy
thơng qua việc sử dụng các liên kết băng rộng xDSL MegaWAN sử dụng phương thức
chuyển mạch nhãn đa giao thức giao thức của mạng thế hệ tiếp theo.
Là dịch vụ cung cấp kết nối mạng riêng cho khách hàng trên nền mạng
IP/MPLS. Dịch vụ VPN/MPLS cho phép triển khai các kết nối nhanh chĩng, đơn giản,
thuận tiện với chi phí thấp cho phép vừa truy nhập mạng riêng ảo vừa truy cập Internet
nếu khách hàng cĩ nhu cầu.
Cơng nghệ: sử dụng đường dây thuê bao số xDSL kết hợp cơng nghệ
VPN/MPLS.
Tốc độ kết nối: cung cấp các tốc độ linh hoạt mềm dẻo tuỳ theo nhu cầu của
khách hàng.
Khả năng đáp ứng: tại các tỉnh và thành phố trên cả nước cĩ dịch vụ ADSL,
SHDSL do VNPT cung cấp.
Giá cước: giá cước mềm dẻo theo từng loại tốc độ.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 59
BẢNG CƯỚC DỊCH VỤ MEGAWAN
(áp dụng từ ngày 19/12/2007)
Ø CƯỚC PHÍ TRẢ MỘT LẦN
+Cước đấu nối hồ mạng
Bảng 3-1
Loại cước Lắp đặt với đường dây điện thoại mới
Lắp đặt với đường dây
điện thoại cĩ sẵn
Cước thuê cổng ADSL
(2M/640K) 600.000 VNĐ/cổng 300.000 VNĐ/cổng
Cước thuê cổng SHDSL
(2M/640K) 1.000.000 VNĐ/cổng 700.000 VNĐ/cổng
Cước thuê kênh tốc độ
dưới 512kbps 150.000 VNĐ/lần/kênh đường lên
Cước thuê kênh tốc độ từ
512Kbps đến 2Mbps 500.000 VNĐ/lần/kênh đường lên
+Cước chuyển đổi
Bảng 3-2
Cước chuyển đổi tốc độ cổng Cước chuyển đổi tốc độ kênh
Từ cổng ADSL
sang cổng SHDSL
Từ cổng SHDSL
sang cổng ADSL
Từ dưới 512kbps
lên bằng hoặc trên
512 kbps
Các trường hợp
khác
400.000
VNĐ/lần/cổng Khơng thu cước
400.000
VNĐ/lần/kênh
100.000
VNĐ/lần/kênh
Ø Cước phí trả hàng tháng
Cước thuê cổng
+ Cổng ADSL (2M/640K): 181.818 VNĐ/cổng/tháng
+ Cổng SHDSL (2M/640k): 272.727 VNĐ/cổng/tháng
Cước thuê kênh đường lên (Up-link) nội tỉnh Đơn vị tính: 1000 đồng/tháng
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 60
Bảng 3-3
Tốc độ
(kbps)
Cước
(Up-link)
Tốc độ
(kbps)
Cước
(Up-link)
Tốc độ
(kbps)
Cước
(Up-link)
64 128 768 799 1.472 1.411
128 224 832 851 1.536 1.445
192 306 896 902 1.544 1.445
256 402 960 954 1.600 1.478
320 462 1.024 1.005 1.664 1.510
384 523 1.088 1.123 1.728 1.542
448 596 1.152 1.240 1.792 1.575
512 670 1.216 1.274 1.856 1.607
576 714 1.280 1.309 1.920 1.639
640 756 1.344 1.343 1.984 1.672
704 757 1.408 1.377 2.048 1.704
Ø Cước thuê ngắn ngày
Cước đấu nối hồ mạng: thu như bình thường
Cước thuê cổng và thuê kênh: (Tổng cước thuê bao ngày khơng lớn hơn cước
thuê tháng)
Bảng 3-4
Thời gian sử dụng Cước thuê theo ngày
2 ngày đầu Bằng 1/10 cước thuê cổng, thuê kênh tháng
Ngày thứ 3 đến ngày thứ 10 Bằng 1/20 cước thuê cổng, thuê kênh tháng
Ngày thứ 11 trở đi Bằng 1/25 cước thuê cổng, thuê kênh tháng
Ø CƯỚC TẠM NGƯNG SỬ DỤNG
Áp dụng trong thời gian tạm ngưng sử dụng dịch vụ (tối thiểu là 1 tháng, tối đa
là 3 tháng)
Cước tạm ngưng = 30% cước thuê hàng tháng thơng thường.
Tạm ngưng dưới 30 ngày vẫn tính cước trịn tháng như thơng thường.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 61
Bảng 3-5 : Bảng so sánh chi phi VPN và Leased Line
Tốc độ cổng Giá cước VPN Giá cước Leased
line Quốc tế (USD)
Trong nước
(VNĐ)
256Kbps 1.801 4.043.000 9.200.000
384Kbps 2.186 5.031.000 9.876.720
512Kbps 2.691 6.238.000 11.200.000
768Kbps 3.336 6.842.000 15.808.000
896Kbps 3.589 7.080.000 14.700.000
1024Kbps 4.142 7.554.000 16.000.000
1536Kbps 9.071.000 20.400.000
2048Kbps 6.164 9.964.000 24.000.000
4 Mbps 9.734 18.060.000 44.800.000
6 Mbps 14.105 23.174.000
8 Mbps 18.158 27.604.000 83.200.000
10 Mbps 22.370 32.480.000
34 Mbps 48.563 70.660.000 299.200.000
45 Mbps 71.226 129.542.000 324.000.000
155 Mbps 159.348 370.962.000
3.7.5 Đánh giá chung
Sau khi khảo sát một vài giá cước của một số nhà cung cấp dịch vụ, ta nhận
thấy, cước phí để thiết lập mạng riêng ảo thì rẻ hơn rất nhiều lần so với các dịch vụ
Frame Relay, ATM, leased line. Tuy nhiên, giữa giá cả và chất luợng dịch vụ cĩ mối
quan hệ tỉ lệ nghịch với nhau. Chi phí thiết lập mạng VPN tuy rẻ nhưng chất lượng vẫn
khơng cao bằng các đường leased line nhưng vẫn cĩ thể chấp nhận được.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 62
KẾT LUẬN
Mạng VPN đã đưa ra một giải pháp kết nối các mạng riêng lại với nhau thơng
qua việc một mạng cơng cộng bằng cách sử dụng các đường hầm để đảm bảo sự riêng
tư và tồn vẹn dữ liệu. Thay vì dùng kết nối phức tạp, đắt tiền như các kênh thuê
riêng(leased line), VPN đã tạo ra các liên kết ảo thơng qua mạng cơng cộng để kết nối
các mạng riêng lại với nhau mà vẫn đảm bảo các yêu cầu về bảo mật, khả năng truyền
tải thơng tin và độ tin cậy của mạng với chi phí thấp. Chi phí để thiết lập một mạng
VPN là rất rẻ, nhưng chất lượng VPN phụ thuộc nhiều vào chất lượng mạng Internet.
Sự quá tải hay tắt nghẽn mạng cĩ thể làm ảnh hưởng xấu đến chất lượng truyền tin của
các máy trong mạng VPN.
Qua đề tài này, chúng em đã hiểu sâu hơn về cơng nghệ mạng riêng ảo và nhận
ra các ưu, nhược điểm cũng như đánh giá đuợc hiệu quả sử dụng của từng loại VPN.
Khả năng ứng dụng vào thực tế của đề tài này là nĩ làm nền tản cho việc lựa
chọn cấu trúc trong việc thiết kế một mạng VPN trong thực tế. Khi thiết kế một mạng
VPN thì người thiết kế phải căn cứ vào chi phí đầu tư của doanh nghiệp, mức độ bảo
mật dữ liệu, quy mơ của mạng và các nhu cầu thực tế của cơ quan mà lựa chọn phương
án, cấu trúc cũng như loại VPN nào để xây dựng một mạng VPN tối ưu nhất.
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 63
THUẬT NGỮ VIẾT TẮT
AAA Authentication, Authorization and
Accounting
Chứng thực, trao quyền và thanh tốn
AH Authentication Header Xác thực tiêu đề
ATM Asynchronous Transfer Mode Chế độ Truyền tải Bất đồng bộ
BGP Border Gateway Protocol Giao thức cổng biên
CBC Cipher Block Chain Khối mật mã
CHAP Challenge Handshake Authentication
Protocol
Giao thức nhận thực bắt tay thách thức
DES Data Encryption Standard Chuẩn mã dữ liệu
DSL Digital Subscriber Line Đường dây thuê bao số
EAP Extensible Authentication Protocol Giao thức chứng thực mở rộng
ESP Encapsulating Security Payload Bọc gĩi bảo mật tải
FR Frame Relay Chuyển tiếp khung
FTP File Transfer Protocol Giao thức truyền tập tin
GRE Generic Routing Encapsulation Sự đĩng gĩi định tuyến tổng quát
IETF Internet Engineering Task Force Lực lượng đặc trách kỹ thuật Internet
IKE Internet Key Exchange Trao đổi khĩa Internet
IPsec IP Security An ninh IP (IETF)
ISDN Integrated Service Digital Network Mạng số liên kết đa dịch vụ
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2
LAC L2TP Access Concentrator Bộ tập trung truy nhập L2TP
LCP L2TP Control Protocol Giao thức điều khiển L2TP
LNS L2TP Network Server Máy phục vụ mạng L2TP
MAC Media Access Control Điều khiển truy nhập phương tiện
MPLS Multi-Protocol Label Switching Chuyển mạch nhãn đa giao thức
MPOA MultiProtocol Over ATM Đa giao thức qua ATM
NAS Network Access Server Máy chủ truy nhập mạng
OSI Open System Interconnection Kết nối các hệ thống mở
PAP Password Authentication Protocol Giao thức xác thực mật khẩu
PPP Point-to-Point Protocol Giao thức liên kết điểm-điểm
PPTP Point-to-Point Tunneling Protocol Giao thức tạo đường hầm điểm nối
điểm
QoS Quality of Service Chất lượng dịch vụ
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 64
RADIUS Remote Authentication Dial in User
Sevice
Dịch vụ qua số kết nối chứng thực từ
xa
RAS Remote Access Server Máy chủ truy cập từ xa
SA Structured Analysis phân tích theo cấu trúc
SMLI Stateful Multi - Layer Inspection Kiểm tra đa lớp trạng thái
TACACS Terminal Access Controller Access
Control System
Hệ thống điều khiển truy nhập bộ điều
khiển truy nhập đầu cuối
TCP Transmission Control Protocol Giao thức điều khiển truyền dẫn
UDP User Datagtam Protocol Giao thức gĩi tin người dùng
VPDNs Virtual Private Dial Network Mạng quay số riêng ảo
WAN Wide Area Network Mạng diện rộng
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
Đề tài nckh sinh viên Đánh giá hiệu quả sử dụng của các loại mạng riêng ảo
GVHD: Th.s Võ Trường Sơn Trang 65
TÀI LIỆU THAM KHẢO
[1] Meeta Gupta, “Building a Virtual Private Network”, Premier Press © 2003
[2] Michael H. Behringer, Monique J. Morrow, “MPLS VPN Security”,Cisco Press,
2005
[2] Ths.Trần Cơng Hùng, “Kỹ thuật mạng riêng ảo”, Nhà xuất bản bưu điện,2002
[3]
[4]
[5]
[6]
[7]
DH Giao Thong Van Tai - 450 Le Van Viet - Quan 9 - tp.HCM
._.
Các file đính kèm theo tài liệu này:
- CH0643.pdf